因此,应针对审计准则、审计范围和审计线索各因素的变化对审计方法的影响,在原有传统审计方法的基础上,构建出新的信息化审计方法,嵌入黑匣子+系统备份加密+穿行测试,Box+Copy+Needle,简称BCN方法。如图2所示。
(一)嵌入黑匣子Box 嵌入黑匣子是指在企业会计信息系统设计时,强制性地对系统功能进行规范,通过在被审计单位的会计系统中嵌入具有记录功能的程序模块,采集审计所关心的关键数据,并对被审计单位会计信息生成过程和性质进行记录。此项功能的特点在于:—方面嵌入会计系统的审计模块本身具有隐蔽性;另一方面此模块能对被审计单位的会计信息系统操作情况,进行序时记录。它主要是针对出纳人员,会计人员,审核人员等人员操作时间和操作顺序,操作范围进行记录,防止同一人在同一时间完成会计登帐的全部过程而缺少的内部控制过程。审计人员可以在审计时对此进行全面的检查或有针对性的抽查,发现审计线索,为下一步工作做好准备。利用此种审计方法,可获得的审计证据有:是否有不合法而进行使用有口令的程序(如数据修改程序);是否有未经批准而调用某个数据文件;是否有越权使用系统;是否擅自调阅,擅自修改审计“交易轨迹”的操作。
(二)系统备份加密Copy 系统备份加密是指将被审计单位的会计信息系统进行备份,如同发票复写,并建立一套备份加密制度,以便保持备份数据安全性,真实性和可靠性。审计机构或专门的外部独立的数据信息管理服务机构均可作为备份机构,但至少一份备份数据由执行审计业务的审计机构来保存并适当加密。此项功能的特点在于:一是它主要针对现在软件存在“反记账”和“反结账”功能,通过对记账过程中的更改部分进行记录,审计人员可以重点排查更改部分,获得企业会计信息是否被非法改动的证据;二是的实时性,如:对电子签章的审计,就可通过比较需审计的签章与备份记录的原始签章来实现。
(三)穿行针测试Needle 穿行针测试是指利用模拟数据将被审计单位的有关数据输入被审计单位的程序控制系统,进行数据重新处理,来获得测试数据,将测试数据与被审计单位的会计信息对比来获得审计证据。此项功能的特点在于:一是可以对程序控制系统本身质量和功能进行审计,系统的好坏直接影响数据的安全性和完整性,因此系统自身的审计亦是信息化环境下,内部控制中必不可少的内容。二是在审计中依据报表审计和信息系统审计的各种标准,进行风险分析,将报表认定、业务活动、信息系统IT基础结构要素三者相匹配,开展IT环境中的审计工作。
在集成化的信息系统中,大量的内部控制都由信息系统实现,将会有更多的风险和控制转移到信息系统中。因此,在信息化审计中需要许多新的审计方法,本文所构建的审计方法BCN方法还需要在实际中进一步的测试和改进。同时,信息化下审计将会面临许多新的需求,如:信息系统外包的审计需求,电子商务业务的审计需求,在线及自动审计等。
