吴梓榕

(南京审计大学，江苏 南京 211815)

一、引言

近些年来，随着科学技术的不断进步与革新，信息技术得到了高度关注与重视，越来越多的企业使用电子计算机进行业务开展以及财务处理，传统的易出错的手工操作逐渐转化为计算机命令与自动化控制，信息技术风险也随之产生。由于计算机指令通常是程序性、批量化操作，其覆盖面和影响范围较大，审计人员对信息系统相关控制的测试则尤为关键。现代信息系统审计将系统化控制分为一般控制和应用控制两个层面。与此同时，传统手工审计逐渐难以应付复杂的信息化环境及新时代的审计需求，信息化建设成为审计工作的前进方向，大量审计工作的开展均需要计算机技术的支撑，计算机辅助审计(CAATS)应运而生。

二、信息系统审计和计算机辅助审计的方法概述

(一)信息系统审计

信息系统审计是指审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。通常将信息系统审计分为信息技术一般控制及应用控制两个部分。

信息技术一般控制是与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制等。可以理解为基础性的内部控制。

信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算的准确性，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。

(二)计算机辅助审计

从宏观层面来说，计算机辅助审计是指在设计和执行审计程序的过程中，充分融入计算机技术，使审计工作实现自动化的新型审计程序。从微观层面来说，计算机辅助审计程序更多体现在对审计数据的采集、清洗、分类、筛选、计算和分析。随着计算机基础设施的普及以及自动化、无纸化办公的实施，审计人员可以通过信息系统收集审计信息及相关数据，将审计分析的逻辑及口径转化为公式及算法，最终形成审计结果。

三、运用信息技术的意义

(一)信息系统一般控制和应用控制的意义

在信息化时代背景下，企业业务规模迅速扩大，信息化已经成为其保持核心竞争力的重要因素，在企业业务运转、人事管理等流程越来越多地采用系统线上流转的方式进行。在企业内部审计或外部审计中，对上述流程中涉及高度依赖信息系统的环节，评估系统化的内部控制效率及效果是确保该环节工作有序进行的必要措施。

(二)计算机辅助审计程序的意义

开展计算机审计是现代审计的必然选择。近年来，随着企业信息化的加强以及审计领域的拓展，在财务报表审计、企业内部日常审计以及专项审计等当中，运用传统审计方法不足以应对体量较大的原始数据，无法提供充分、必要的审计证据，也严重制约了审计效率的提高。而运用计算机辅助审计程序，一方面，可以确保获取的原始数据的准确性和完整性，另一方面也大大丰富了审计手段，扩大了审计覆盖面，进一步提高了审计效率。

四、信息技术在审计中的应用

(一)信息系统一般控制在审计中的应用

随着财务信息化的发展，在注册会计师审计中，为了对财务报表不存在重大错报提供合理保证，注册会计师需要测试被审计单位与财务报表数据相关的系统化控制，从而在风险评估与控制测试环节中进行一般控制测试。审计人员经过评估，识别出与业务相关的信息系统，采用适当审计程序，测试相应内部控制是否设计得当，是否得到执行，以及执行是否有效。目前，各家规模较大的会计师事务所或咨询公司均拥有成熟的、较为统一的一般控制测试框架，通常情况下可以归纳为信息安全、运行维护、变更管理和系统开发四个方面[1]，详细的控制要求如表1所示。

表1 注册会计师审计中信息系统一般控制关注要点

此外，在评估识别出的信息系统内部控制缺陷的严重程度时，审计人员应核实是否存在补偿性控制，以及补偿性控制是否能够弥补控制缺陷。

在企业内部审计中，除上述与财务报表相关的一般控制，内审人员还应根据相关机构对企业的监管要求，结合公司实际业务模式以及对信息系统的依赖程度，全面评估公司的信息科技风险及一般控制。如根据银监会发布的«商业银行信息科技风险管理指引»(银监发〔2009〕19号)监管要求，除上述四个方面，商业银行还需从信息科技治理、信息科技战略、风险管理、业务连续性、外包管理等方面设计并完善内部控制，保障企业信息系统的有效运行。

(二)信息系统应用控制在审计中的运用

1.流程的审查

企业的业务系统应有明确的系统化处理流程，审计人员需要了解这些流程以及其执行情况。通常情况下，在针对业务流程、业绩考核等内部控制开展审计工作时，审计人员需要获取相应系统中存储的数据，采取穿行测试、复算等程序，确保计算结果的准确性。

2.输入与输出控制的审查

审计人员应跟踪业务流程，观察业务数据获取途径、审批及录入程序，识别未经授权访问的风险，评价数据输出使用的相关控制，判断是否开启操作日志等[2]，据此获取充分适当的审计证据，证实数据、信息在系统中的流转符合公司流程及制度，从而规避信息录入错误及信息泄露等风险。

(三)计算机辅助审计程序(CAATS)在审计中的应用

1.在社会审计中的运用

随着大量电商、互联网企业的涌现及蓬勃发展，审计人员仅凭传统的手工审计方式已经很难保证审计的效果和效率。在社会审计中，注册会计师凭自身能力无法确保被审计单位收入的真实性，于是聘请信息系统审计的专家运用CAATS技术协助其进行审计工作。

通常情况下，信息系统审计人员会直接或间接访问被审计单位的后台数据库，获取被审计单位的业务及财务原始数据，根据信息系统审计的方法论以及职业判断，采取外部信息比对、异常指标分析等方式，为企业信息化收入提供合理保证。但信息系统审计人员如何参与、参与程度却始终没有一个统一的标准。

在证监会2020年6月修订的«IPO业务若干问题解答»第53条——信息系统核查中首次给予了一定指引，其规定互联网营收或毛利占比超过30%的互联网企业需对各业务系统开展信息系统可靠性专项核查。此外，在核查维度上，证监会也以互联网线上销售、互联网信息服务、互联网游戏等代表性的互联网企业为例，规范了信息系统审计人员的核查方向，包括但不限于经营数据的完整性和准确性、用户真实性和变动合理性、平均用户收入变动分析等多个维度的数据比对和分析。该解释为CAATS在互联网企业的外部审计中的应用提供了思路与指导，并被广泛应用在IPO及其他各类社会审计中。

2.在企业内部审计中的应用

计算机辅助审计技术在企业内部审计中的新兴技术，包含两层内容:其一是指使用通用的软件或技术(如Word、Excel)帮助搜集审计证据、分析审计资料、复算会计数据以及记录审计过程；其二是指运用特殊的软件支撑审计工作的开展[3]。在数据井喷以及疫情的影响下，数据规模、体量较大的企业也在不断探索利用计算机工具建设数据式审计或大数据审计的工作模式，以期达到持续审计的效果，降低审计风险，提升审计的准确性和效率[4]。CAATS的详细应用如下:

(1)提供必要的技术支持，提高审计效率。业务基础数据往往以报表、PDF等形式在企业各个系统中存放，审计人员可以通过Excel、SQL等工具，或利用审计技术支撑团队获取标准化的数据并进行处理和分析。同时，运用Python爬虫技术爬取外部网页数据，运用PDF＿miner等函数识别并抓取PDF文档内的数据，以及运用语音、图像等技术，为审计人员获取审计证据提供必要的支持，有利于大大提升审计的效率及效果。

(2)建立数字化审计平台，整合审计资源。依托数字化审计平台，协同监督审计项目组，进而实现审计全覆盖。在审计过程中，在平台中共享审计资料，沟通审计事项；在审计汇报时，将审计发现下发至被审计单位、部门进行核实反馈，并完成征求意见，建立线上沟通机制；在审计结束后，联合被审计单位、部门完成问题的整改计划，并追踪跟进整改情况。

(3)整合业务数据，构建并维护审计模型。同一业务流程、同一事项的相关信息经常散落在不同系统中。面对这一困难，可以通过搭建审部审计数据库，将业务数据与相关外部数据统一存放，使来源于多个系统的相关数据能被整合，发挥协同功效，提高数据的可审计性。

搭建审计模型，首先，将各渠道获取的数据分类、汇总并整合，根据日常审计及专项审计中的审计发现，梳理分析口径，通过关联分析等方法分析出目标风险数据；其次，将审计中的风险点转化为语句及算法，完成数据核查，初步建立审计模型。

在审计模型维护阶段，审计人员或审计支撑团队定期复核验证模型数据的完整性和准确性，并定期将审计模型中的风险数据在审计平台中远程下发，由被审计部门或单位复核并反馈；同时，结合审计重点，开展现场数据核查，验证模型数据准确性和命中率，深入挖掘风险数据及潜在问题，不断优化审计模型，拓展风险监控领域[5]。

五、结束语

综上所述，笔者对信息技术参与审计的方法与应用进行了梳理，从信息系统一般控制、应用控制和计算机辅助审计技术出发，阐述了信息技术与审计工作二者的关联与意义。在如今的各项审计业务中，信息技术起到了举足轻重的作用，审计信息化建设成了审计工作的前进目标和发展方向。审计机构、人员可以通过加强个人能力的培训、强化软硬件建设等措施来适应，并不断创新，以充分发挥审计信息化的优势。