计算机科学 2007Vo1.34№.10
计算机辅助审计技术(CAATs)研究综述 )
陈 伟 张金城 QIU Ro-Bin 。
(南京审计学院信息管理系 南京210029) (南京航空航天大学经济与管理学院 南京 210016)
(宾夕法尼亚州立大学信息科学系美国宾夕法尼亚州 莫尔文 19355)。
摘 要 计算机辅助审计技术(Computer Assisted Audit Techniques,CAATs)是 目前审计领域研究的一个热点。本
文对 CAATs的研究进行了综述,首先分析了CAATs的概念,然后对 CAATs的研究内容进行 了分类。在此基础上,
对常见的CAATs进行了分析比较,并结合信息技术的发展,分析了CAATs研究的新进展。最后,根据本文的研究,
指 出了 CAATs的研究方向。
关键词 计算机辅助审计技术,审计技术,信息技术
A Survey on Computer-assisted Audit Techniques(CAATs)
CHEN Wei ’ ZHANG Jin-Cheng QIU Ro-Binz’。
(Department of Information Management,Nanjing Audit University,Nanjing 210029)
(College of Economics and Management,Nanjing University of Aeronautics and Astronautics,Nanjing 210016)
(De partment of Inform ation Science,Pennsylvania State University,Malvern,PA 19355,USA)。
A~tmct Co mputer assisted audit techniques(CAATs)iS an active research domain in audit field.CAATs are sur—
veyed in this paper.Firstly,the concept of CAATs is analyzed.Then,the research contents of CAATs are classified.
The common CAATs are analyzed and compared.According tO the information technologies development condition,
some new CAATs researched nOW are analyzed.Finally,the work of this paper iS summarized,and the future research
topics related tO C S are also discussed.
Keywords CAATs,Audit techniques,Information technologies
1 引言
如今,信息技术在很多行业得到广泛的应用。审计对象
的信息化使得传统的纸质踪迹和审计数据或者消失或者存储
在新的电子环境中,因此手工审计(绕计算机审计(auditing a—
round the computer))变得很低效,甚至无效l1]。审计人员为
了适应现今信息时代的需要,必须使用计算机辅助审计技术
来完成审计任务。因此,研究计算机辅助审计技术具有重要
的理论和现实意义。
文E23于 1955年首先提出了“通过计算机审计(auditing
through the computer)”的概念。之后,“通过计算机审计”得
到越来越多学者的关注。“通过计算机审计”是和“绕计算机
审计(auditing around the computer)”相对立的一个概念。为
了实现“通过计算机审计”的思想,文[3,4]提出了类似于测试
数据法(Test Data)的测试程序叠(test decks)的方法。文Es]
也对“通过计算机审计”的技术进行 了研究,它在比较了测试
程序叠法的基础上,提出了~种模型法(the model approach)
来实现“通过计算机审计”,该方法的原理类似于平行模拟法
(Parallel Simulation)[ 。之后,越来越多的计算机辅助审计
技术被提出E7,83。
从早期针对电子数据处理(Electronic Data Processing,
E1)P)系统的审计,到目前针对计算机信息系统的审计,计算
机辅助审计技术已被研究了几十年。使用计算机辅助审计 ,
不仅能节省审计时间、降低审计风险,而且能提高审计质量。
为了能系统、清晰地认识计算机辅助审计技术,从而正确地应
用计算机辅助审计技术,本文对计算机辅助审计技术的研究
进行综述。
2 CAATs的概念及分类
如同 CAM(Computer aided Manufacturing,计算机辅助
制造)、CAD(Computer aided Design,计算机辅助设计)等概
念一样,CAATs(Computer Assisted Audit Techniques)可以
直接理解为计算机辅助审计技术。一些文献为了突出实现计
算机辅助审计技术的工具,有时也会使用 CAATTs(Comput一
·¨Assisted Audit Tools and Techniques,计算机辅助审计工
』}与技术)这一术语。一些文献给出了 CAATs的定义。文
[9]认为:广义上讲,CAATs是指在帮助完成审计的过程中使
用的任何技术。由于多数关于CAATs的定义仅限于指用于
审计计算机应用系统的以及用于抽取和分析电子数据的技
术,因此文El0]把 CAATs描述为:用来直接检测一个应用系
统的内部逻辑以及通过检查被应用系统处理的数据来间接地
评价一个应用系统逻辑的技术。文[11]认为:CAATs是基于
计算机的技术,它能帮助审计人员提高工作效率,并能通过借
助计算机的能力和速度提高收集审计证据的审计功能。文
*)国家“863”计划资助项目(2003AA1Z2330,2005AA1Z2140)、国家自然科学基金项 目(70571038)、江苏省高校自然科学研究计划资助项目
(05KJB520054)、江苏省博士后科研资助计划项目(0502023C)。陈 伟 博士,博士后,副教授,主要研究方向为审计信息化;张金城 教授;
QIU Ro-Bin 博士,南京航空航天大学特聘教授、美国宾夕法尼亚州立大学教授。
· 290 ·
维普资讯
[12]认为:简单地讲,CAATs就是指能用来帮助以更有效的、
高效的、及时的方式进行审计的技术。中国国家审计署把计
算机辅助审计理解为:“计算机辅助审计,是指审计机关、审计
人员将计算机作为辅助审计的工具,对被审计单位财政、财务
收支及 其计 算机 应 用 系统 实施 的 审计ll 。”综 上所 述,
CAATs可以概括为:为了满足信息化环境下审计的需要,基
于计算机的用来对信息系统,或被信息系统处理的数据进行
审计的技术。
比较
确认
试数据
成测试
行模拟
图 1 用于 EDP的计算机辅助审计技术分类
图 2 CAATs的分类
账表分析
数据查询
统计分析
审计抽样
数值分析
一 些文献对CAATs的研究进行了分类。文[143把信息
技术在审计领域的应用分成五类 :(1)数据抽取与分析;(2)欺
骗检测;(3)内部控制评估;(4)电子商务控制;(5)持续监控。
针对早期的EDP系统,文[15,16]X~用于 EDP的计算机辅助
审计技术进行了分类,其主要分类情况如图1所示。文1-9]根
据文[10J对 cAATs的描述,把典型的五种 cAATs分成两
类:测试数据 、集成测试技术(Integrated Test Facility,ITF)和
平行模拟这三种技术是用来直接检测应用系统的内部逻辑;
嵌入审计模块(Embedded Audit Module,EAM)和 通用审计
软件(Generalized Audit Software,GAS)这两种技术用来间接
检测应用系统的逻辑。和文1-9]类似,文E11,12]也把 CAATs
分成两类 :一类用来处理应用数据,另一类用来验证系统的控
制。
根据以上文献的研究,结合目前 CAATs的应用现状,
CAATs的分类可总结为图 2所示。在后文中,我们将按这一
分类对 CAATs进行分析。
3 常见的CAATs分析
根据图 2,常用的计算机辅助审计技术可以分成两类:一
类是用于验证程序/系统的 CAATs,即面向系统的 CAATs;
另一类是 用于 分析 电子 数据 的 CAATs,即 面 向数据 的
CAATs。下面分别对这两类技术进行分析。
3.1 面向系统的 CAATs
常见的用于验证程序/系统的 CAATs分析如下:
(1)平行模拟
平行模拟是指针对某一应用程序,审计人员用一个独立
的程序去模拟该程序的部分功能,在输入数据的同时进行并
行处理,其结果和该应用程序处理的结果进行比较,以验证其
功能正确性的方法。其原理如图 3所示。
图 3 平行模拟原理
平行模拟法的优点是一旦取得了模拟程序,可以随时对
被审系统进行抽查 ,也可以用模拟系统重新处理全部的真实
业务数据 ,进行比较全面的审查。与抽查相比,可以进行更彻
底的测试 。其主要缺点是模拟系统的开发通常需要花费较长
的时间,开发或购买费用都较高;另外,如果被审计的系统更
新 ,则模拟系统亦要随之更新,相应要增加费用。
(2)测试数据
测试数据技术是指采用审计人员准备好的输入数据来检
测应用系统,通过将处理的结果与应有的正确结果进行比较,
从而检测应用系统的逻辑问题和控制问题的一种方法。测试
数据法的优点是适用范围广 ,应用简单易行,对审计人员的计
算机技术水平要求不高。因此,它被广泛应用于各种系统的
测试和验收。其主要的缺点是可能不能发现程序中所有的错
弊。
(3)集成测试
集成测试l1 ]是通过在正常的应用系统中创建一个虚拟
的部分或分支,从而提供一个内置的测试工具。它一般用来
审计复杂的应用系统,其原理如图4所示。该技术是在系统
正常处理过程中进行测试的,因此可直接测试到被审计系统
在真实业务处理时的功能是否正确有效。然而,整体检测法
也有弊端。因为测试是在系统真实业务处理过程中进行的,
如果未能及时、恰当地处理虚拟的测试数据,这些虚拟的测试
数据可能会对被审计单位真实的业务和汇总的信息造成破坏
或影响。
· 29】 ·
维普资讯
图 4 集成测试技术原理
(4)程序编码审查
程序编码审查(Program Code Review)是对应用系统的
编码进行详细审查的一种技术,它一般不被算作真正的计算
机辅助审计技术。通过审查程序编码,审计人员可以识别出
程序中的错误代码、未被授权的代码、无效的代码、效率低 的
代码以及不标准的代码l6]。这种技术的优点是审计人员审查
的是程序本身,因此能发现程序中存在的任何错弊问题。其
缺点是对审计人员的计算机水平要求高,比较费事费时,而且
要确认被审计的源程序的确是真实运行系统的源程序。
(5)程序代码比较
程序代码比较(Program Code Comparison)是指审计人
员对程序的两个版本进行比较。审计人员使用这种技术的目
的主要有:第~,检查被审计单位所给的被审计系统和被审计
单位所使用的系统是否是同一软件;第二,检查和前一个版本
相比,程序代码是否发生了变化,如果发生了变化,是否有程
序变更管理程序。
(6)跟踪
审计人员采用跟踪(Tracing)技术可以分析一个程序的
每一步,从而能发现每一行代码对被处理数据或程序本身的
影响。
(7)快照
快照[1 ](Snapshot)是一种允许审计人员在一个程序或
一 个系统中在指定的点冻结一个程序,使审计人员能够观察
特定点数据的技术。快照技术具有快速、易用的特点 ,对于识
别业务处理中潜在的数学计算错误是非常有用的。缺点是功
能有限,不具有通用性。
3.2 面向数据的 CAATs
有些 CAATs主要用于分析数据文件,和面向系统的
CAATs不同,这些技术不直接测试程序的有效性。常见的用
于分析数据文件的CAATS主要包括嵌入审计模块l_l 技术以
及通用审计软件。嵌入审计模块技术是指在一个应用系统中
长久驻存一个审计模块,该模块检查输入到系统中的每一笔
事务数据,并识别出其中不符合预定义规则的事务数据,审计
人员可以对这些识别出的事务数据进行实时的或定期 的审
查。嵌入审计模块技术的原理如图 5所示。文[e0,21]的研
究都表明嵌入审计模块技术是一种有效的计算机辅助审计技
术。需要指出的是,使用嵌入审计模块技术需要在被审计信
息系统开发时就应该考虑。
由于对被审计系统影响小,对被审计单位依赖小,以及相
对容易使用等因素,使得通用审计软件成为目前最常使用的
CAATs。目前,我国实施的面向数据的计算机审计多是采用
这种 CAATs[22]。通用审计软件具有数据采集和处理功能,
通过数据采集,可以把被审计系统中的数据采集到审计软件
中来,然后通过数据处理,发现审计线索,从而完成审计任务。
· 292 ·
文[11,22,23]都对审计数据采集技术进行了分析和研究。对
于数据处理,常见的技术如下:
图 5 嵌入审计模块技术原理
(1)数据查询
数据查询是目前计算机辅助审计中最常用的数据处理方
法,它是指审计人员在审计软件中通过运行各种各样的查询
命令来检测被审计单位的电子数据。目前,多数审计软件都
提供了这种审计数据处理方法:国内的审计软件如现场审计
实施系统 (Auditor Office,AO)L2 4__等 ;国外 的审计软 件如
ACL[es.e6]、IDEA[ 8]等。
(2)账表分析
账表分析是指通过审计软件把采集来的财务备份数据还
原成电子账表 ,然后直观地审查被审计单位的总账、明细账、
凭证、资产负债表等财务数据,从而达到审计分析的目的。利
用账表分析功能可以简单方便地审查被审计单位 的记账凭
证 、会计账簿和报表。目前,现场审计实施系统中就采用了这
种审计数据处理方法。在账表分析方法中,审计人员除了直
接审查电子账表外,还可以采用其它的审计数据处理方法对
电子账表进行分析处理,从而更加快速地发现审计线索。
(3)审计抽样
审计抽样是指审计人员在实施审计程序时,从被审计对
象总体中选取一定数量的样本进行测试,并根据样本测试结
果,推断总体特征的一种方法。目前,很多审计软件中都开发
了审计抽样模块,如现场审计实施系统、IDEA等。对于审计
抽样技术,文[29]则研究了如何先采用聚类算法对被审计数
据进行聚类,然后 ,再对聚类后的数据进行抽样。这种抽样方
式更能有效地降低审计风险。
(4)统计分析
在面向数据的计算机审计中,统计分析的目的是探索被
审计数据内在的数量规律性,以发现异常现象,快速寻找审计
突破 口。常用的统计分析方法包括一般统计、分层分析和分
类分析[24]。对于统计分析,很多审计软件都具有这一功能,
如现场审计实施系统、IDEA等审计软件。
(5)数值分析
数值分析是根据被审计数据中某字段数据值的分布情
况、出现频率等对该字段进行分析,从而发现审计线索的一种
数据处理方法,这种方法易于发现被审计数据中的隐藏信息。
常用的数值分析方法主要有:①重号分析。用来分析某个字
段中是否有相同的数值。重号分析可以用来检查一个数据表
中是否存在相同的发票被重复多次记账。②断号分析。主要
是对某一字段中数据值的连续性进行分析。对于重号分析和
断号分析,目前已被应用于现场审计实施系统、ACL以及 I—
DEA等审计软件中。③Benford定律[a0,a1]的审计应用。Ben—
fOrd定律是指数字及数字序列在一个数据集中遵循一个可预
维普资讯
测的规律,即在不同种类的统计数字中,首位数字是数字 d的
概率为 loglO(i十i/d)。通过采用 Benford定律对被审计数
据进行分析,识别可能的错误 ,潜在的欺诈或其它不规则事
物,从而发现审计线索。目前,Benford定律已被应用于 IDE—
A审计软件中。
3.3 对 CAATs比较的研究
以上分析了常见的CAATs。文[9]从动态审计还是静态
审计、对被审计系统和数据的影响、对专业知识的需要程度 ,
以及对被审计单位的依赖程度这四个影响使用的因素出发 ,
比较了测试数据、集成测试、平行模拟 、嵌入审计模块以及通
用审计软件这五种典型 CAATs的优缺点 ,如表 1所示。通
过比较,便于审计人员在实施审计时选择合适的CAATs。
表 1 典型CAATs的优缺点分析
( 4 4Ts 影响使用的因素
动态审汁还 对被审计系统 对专业知识的 对被审计单位 类型
是静态审计 和数据的影响 需要程度 的依赖程度
测试数据 静态 影响小 不需要 依赖
信息获取不依 集成测试 动态 影响大 需要
赖被审计单位
需要的程度取 审计人员直接
平行 动态或静态 影响小 决于被审计系 获得输出信息,
模拟 不需要被审计 统的复杂程度
单位的干涉。
在设计和实施 嵌入审
动态 影响大 嵌入审计模块 依赖 计模块
时需要
相对容易使用。
一 般不需要技
术背 景。但在 对被审计单位 通用审
静态 影响小 获取一些具有 计软件 依赖小
复杂结构的数
据时需要 IT专
家的帮助。
3.4 对 CAATs使用情况的研究
一 些文献对 CAA]_s的使用情况进行 了调查研究。文
[32]调查分析了审计人员对用于 EDP的 13种 CAATs的熟
悉情况及其使用情况 ,并分析了相应的原因。调查表明:尽管
有很多可用的 CAATs,但被审计人员广泛使用 的却只是少
数。另外,大部分审计人员对这些常见的 CAATs比较熟悉,
但少数人员却对最常见的 CAATs(~1 ITF)不熟悉。文[9]通
过调查,分析了审计人员对通用审计软件 ACL的使用情况和
满意程度。文[2O]通过对45个内审审计人员和 l5个外审人
员的调查发现:审计人员都熟悉嵌入审计模块技术 ,认为它是
一 种有效的 CAATs,但在过去的 3年里其中只有 8个人使用
过EAM,他们最熟悉的CAATs是通用审计软件。文[21]对
解释审计人员为什么使用不同 EDP审计技术的因素进行了
研究。
4 CAATs研究的发展
文[33]把信息技术在审计中的应用分成五个阶段:第一
阶段,主要使用一些标准应用软件;第二阶段,使用一些外部
数据库、电子邮件、图形等;第三阶段,使用一些审计数据库、
审计软件;第四阶段,开始使用专家系统、决策支持系统和用
于持续审计的特殊软件;第五阶段,把一些先进方法,如人工
神经网络(ANNs)、模糊逻辑(fuzzy logic)、遗传算法(genetic
algorithms)等应用于审计软件之中,这些软件可用来完成对
被审计系统的持续监控。目前对 CAATs的研究和应用一般
处于第三或第四阶段。除了前文所述的常见 CAATs之外,
一 些新的信息技术也正被尝试着应用于计算机辅助审计之
中,主要情况分析如下:
常用的CAATs虽然能对电子数据进行审计,但多数仅
仅是把手工的审计流程计算机化,不能从电子数据中提取一
些隐藏的或未知的信息[ 。而数据挖掘技术可弥补这一方
面的不足。数据挖掘是从大量数据中提取或“挖掘”知识L3 ,
把数据挖掘技术应用于审计数据分析之中具有理论和现实意
义。文[29]研究了数据挖掘技术在审计中的作用,并对数据
挖掘技术和通用审计软件 ACL进行了比较,分析了各自的优
点,指出了如何把数据挖掘技术应用于审计分析之 中。文
[22]研究了如何把数据挖掘中的聚类分析技术应用于审计数
据处理之中,并提出了可视化聚类分析的方法。
审计专家系统也被应用于计算机辅助审计之中。文[35]
研究了一个基于规则的审计专家系统 EDP-XPERT,它主要
用来检测控制系统的可靠性,文[363也研究了一个基于规则
的审计专家系统 ZYANYA,它主要用于对一个系统的开发生
命周期进行审计。由于这两个专家系统的应用范围较小,文
[37]研究了一个称为 INFAUDITOR的专家系统,该 系统能
对信息系统的多个方面进行审计。
网络技术的发展使持续审计(Continuous auditing,CA)
成为可能。根据 CICA/AICPA的研究报告 ,持续审计是指 :
能使独立审计师通过使用在委托项目出现相关事件的同时或
短时问内生成的一系列审计报告,来对委托项目提供书面鉴
证的一种审计方法_3 。尽管持续审计的概念已有十多年了,
但近年技术的发展才使持续审计成为可能[39,40]。文[41]研
究了一个采用嵌入审计模块技术实现的持续审计应用。文
[42]分析了持续审计的结构原理、面临的挑战和机遇。文
[22]介绍了我国实施的持续审计——联网审计的实现原理,
该技术把联网审计分析 四个部分:数据采集与转换、数据传
输、数据存储以及数据处理 。文[18]提出了一种建立持续审
计能力的方法,并在技术上提出了采用审计数据仓库和数据
集市来存贮和处理下载的被审计数据。文[39]根据持续审计
的特点,把持续 审计称为持续在线审计 (Continuous online
auditing,COA),并研究了 COA结构框架相关的问题、影响
COA使用的因素等。文[43]根据对国际四大会计公司的调
查,分析了持续审计目前的现状、以及实施持续审计需要克服
的障碍。
文[44]针对 目前 CAATs的不足,研究 了如何把面向对
象 的 分 布 式 中间 件 (Object—oriented Distributed Middle—
wares)、Internet安全技术 以及智能 Agents等技术应用到计
算机辅助审计中来,提出了一种用于 EDP审计的新方法,称
为电子审计(Electronic Auditing,EA)。EA的基本思想是在
]nternet上电子化和 自动化地执行审计任务。
文[45]探讨了一些用于审计数据处理的新方法。文[33]
则对人工神经网络技术在审计分析性复核中的应用做了进一
步的研究。以上这些研究都为计算机辅助审计提供了新的方
法和思路。
总结与展望 尽管国内外关于 CAATs的研究已经持续
了几十年,但是,由于计算机辅助审计属于交叉学科,信息技
· 293 ·
维普资讯
维普资讯
