计算机审计研究

计算机审计产生于20世纪60年代，当时美国的一些财务公司出于提高自身工作效率的目的，研发了面向多种审计环境的以审计作业为核心的管理软件，这些管理软件成为了最早的审计软件。一些软件公司也尾随其后开始研制专门的审计软件。然而，真正的商品化审计软件出现在1987年，加拿大的ACL Services Ltd公司推出了第一个商品化的审计软件ACL（Audit Command Language），经过几十年的发展，审计软件的功能越来越丰富，适用范围不断扩大。在我国，1990年山西省审计局开发了一套审计软件，主要是面向工业企业财务收支审计业务的， 该软件是第一个通过审计署鉴定的审计软件。1997年， “审计之星”软件正式，是国内最早的商品化审计软件。目前，市场上出现了大量的审计软件， 这些软件已经成为管理信息系统中不可或缺的重要组成部分之一，有力地推动了我国审计信息化的进程。但是，由于审计需求的复杂度远远超过会计需求，国家审计、社会审计、内部审计等需求也互不相同，计算机审计理论不深入，相关方法与技术也不成熟，审计信息化建设无论从广度和深度都无法与会计信息化相比，因此，亟待加强在计算机审计理论、方法和技术等领域的研究。

一、计算机审计形成的原因及其基础

计算机的出现成为了计算机审计产生的最直接原因。计算机审计是由多种因素的相互作用而逐步形成的。（1）审计对象经营管理活动全面信息化彻底改变了审计的环境，成为推动计算机审计产生发展的最直接的外部因素。1993年12月，我国正式启动了国民经济信息化的建设——“三金工程”，即金桥工程、金关工程和金卡工程。2002年8月，在中办发17号文件《国家信息化领导小组关于我国电子政务建设的指导意见》中正式提出了“启动和加快宏观经济管理、金财、金盾、金审、社会保障、金农、金水、金质等8个业务系统工程建设，相应构建标准化体系和安全保障体系，进一步推进电子政务的发展。”通过“金字工程”，我国政府机关、银行、税务、海关、国有企业等开始了信息化，审计对象的财务数据、市场数据、生产数据、采购数据等逐步数字化，审计的外部环境已经在悄然发生改变，所以，时任审计署审计长李金华针对这种改变及时地提出：“审计人员不掌握计算机技术，将失去审计的资格。”由于企业、政府等组织全面实现了管理信息化，财务数据和业务数据电子化，从而彻底改变了审计的环境，这成为推进计算机审计产生和发展的最直接的外部因素。（2）经济社会发展对审计本身提出了更高的要求，成为推动计算机审计发展的内生动力。随着经济发展和社会管理的需要，审计的目标、范围、职能不断扩大，审计目标从单纯的财务审计到跟踪审计、预算执行审计、经济责任审计、环境审计等，充分揭示和反映经济社会运行中的突出问题、深层次矛盾和潜在风险，全力维护国家经济安全；加大对腐败案件和经济犯罪案件线索的揭露和查处力度，促进反腐倡廉建设；加大从体制、机制、制度以及政策措施层面发现和分析问题的力度，推进深化改革和民主法治建设。显然，审计的目标、内容、范围、职能等发生了深刻变化，为此，刘家义审计长及时提出了要发挥审计“免疫系统功能”的观点，全力服务经济社会科学发展，这是我国经济发展到新阶段对审计发展提出的更高要求，出路只有技术创新。另一方面，企业的规模越来越大，经营行为越来越复杂，财务等数据呈现爆炸式增长，传统的审计方式已经难以为继，面对挑战出路只有技术创新。可见，经济社会的发展，企业规模的扩大等对审计本身提出了更高的要求，这是计算机审计发展的内生动力。（3）计算机技术的飞速发展成为计算机审计发展的助推剂。1964年，英特尔公司创始人摩尔在一篇文章中断言：每18个月，集成电路的性能将提高一倍，而其价格将降低一半。这就是著名的摩尔定律，被计算机半个世界的发展历史准确无误地验证。摩尔定律归纳了计算机技术进步的速度，即每5 年处理器的速度会快10倍，每10年会快100 倍，计算机已经从少数人专用的庞然大物变成多数人身边不可或缺的工具，也成为每个审计人员的助手，特别海量数据处理技术的发展大大丰富了计算机审计的处理手段，使得许多原来难以实现的事情成为可能，成为计算机审计发展的助推剂。

计算机审计是多学科交叉融合的产物，把自然科学和社会科学的某些思想、理论、方法、策略和手段有机地结合起来，应用定量和定性相结合的方法，运用计算机等现代工程技术，辅助审计人员对被审计单位的经济数据等进行分析、提取、挖掘等，从而发现审计线索，为审计人员提出审计结论提供帮助和依据。因此，笔者认为数学（主要是粗糙集，模糊集合等理论）、计算机理论（主要是人工智能，数据挖掘等理论）、管理学（主要是审计学、会计学等理论）等构成了计算机审计的理论基础，系统观和复杂观构成了计算机审计的哲学观。首先，计算机审计研究对象是人与信息系统构成的复杂系统，目标是建立电子审计系统（e-Audit），核心是构建的系统具有“免疫功能”，因此必须树立系统观念。其次，随着信息化建设的深入，社会经济规模和企业规模的日益扩大，信息系统的复杂度也越来越大，以互联网为基础，企业与企业、企业与消费者、企业与政府、政府与个人等形成了包含的成千上万子系统所谓是巨系统，这个巨系统的基本特征就是复杂性。因此，系统观与复杂观是相互联系的对立统一体，构成了计算机审计研究的基本观点。

二、计算机审计三阶段论

计算机审计的发展从初级到高级要经历三个发展阶段。第一个阶段是计算机审计的初级阶段，主要内容是审计工作与管理的信息化。各类通用的审计软件经过多年的发展已经基本成型，基本实现了审计工作与管理的信息化，通过信息化提升规范化，规范化又进一步促进了信息化。审计署开发了现场审计实施系统（Audit Office， AO），该软件是专门针对审计署的实际工作需要而开发的，针对性非常强，但通用性一般，主要包括审计程序导向、数据采集与转换、审计项目管理、审计统计抽样、审计数据分析、工作底稿管理，以及审计报告管理等功能模块。同时，还配套开发了现场审计实施系统应用平台，该平台实现了各子系统间以及与审计机关之间的信息共享，极大地提高了工作效率。第二个阶段为计算机辅助审计（CAA）阶段。随着审计自身信息化的不断深入与完善，大量的计算机技术被应用到审计工作当中，计算机技术已经成为审计工作中最重要的辅助工具，从而形成了计算机审计发展的第二个阶段。这个阶段的一个突出特点是工具论，即计算机是审计的工具。目前该阶段正在发展之中，软件的实用性一般，功能不完善，还需要经历一个比较长时间的发展。第三个阶段为电子审计（eAUDIT）阶段。该阶段的特点是审计的信息化是全方位的、体系化的。我国在十二五规划提出的目标就是建设电子审计体系，实现电子审计，这是计算机审计的高级阶段。该阶段的一个突出特点是体系化。研究对象从单一的被审计单位扩展到被审计单位和审计单位自身所构成的一个系统。研究方法从单一的信息方法发展到系统方法，即综合的系统的研究方法。实现目标也从简单的发现问题和纠正错弊上升到实现审计的免疫系统功能。目前而言，无论在理论研究还是技术研究都处于起步阶段。计算机审计发展的这三个阶段是由初级到高级、由简单到复杂、由局部到整体的逐步向前发展的过程。但从实际发展看，这三个阶段是相互交叉、相互促进、螺旋式推进的过程。这样的划分有助于人们认识计算机审计实质，从而正确把握计算机审计发展规律，为今后的研究提供指导和帮助。

三、计算机审计概念演变及其本质

计算机审计的概念是一个使用非常广泛的概念之一，不同学者有不同的定义和理解，这对学术交流和推动计算机审计的研究不利，因此，有必要厘清一些模糊的认识。我国对于计算机审计概念的正式表述最早可以追溯到2001年。2001年国务院办公厅以文件形式发了一个通知，即《关于利用计算机信息系统开展审计工作有关问题的通知》，其中对“计算机审计”是这样定义的：计算机审计包括对计算机管理的数据进行检查和对管理数据的计算机进行检查。日本会计检察院认为“计算机审计”包含两方面的内容，一是对计算机系统本身的审计，如对系统安装、使用成本，系统和数据、硬件和系统环境等方面的审计；二是计算机辅助审计，即采用计算机手段进行审计，帮助审计部门和审计人员进行审计工作。这与我国对于计算机审计的理解基本一致，但表述更具体。李学柔等学者对“计算机审计”也是从两个方面进行定义的，认为一种是把计算机系统作为审计的对象来看，审计执行经济活动和会计信息处理的计算机系统，另一种是把计算机作为审计的工具对待，利用计算机辅助审计，统称为计算机审计。笔者把上述对计算机审计的理解称为“广义的计算机审计”，分析了大量国内外相关文献，发现2002年以前大部分学者对计算机审计的理解是广义的，研究内容既有涉及对计算机系统本身的审计，又有计算机辅助审计。但是，2001年安然事件发生，由于安然公司通过计算机报告的财务数据严重失实，损害了投资人的利益，动摇了公众对审计的信心，所以国际会计联合会会长梅尔提出：“会计师将不得不对实际上通过计算机报告的财务信息承担责任”，于是有大量学者开始研究企业信息系统的安全性与真实性等问题，一时成为研究热点，研究内容涉及IT内控、IT治理、信息系统的安全性、信息系统的真实性等问题，研究的核心是如何保障信息系统的真实、安全、合法等，这些研究主要使用“信息系统审计”这一术语，从而使得“对计算机系统本身的审计”这一涵义逐步从“计算机审计”这一概念中剥离出来，并且逐渐成为“信息系统审计”这一概念的专属涵义。而对于“采用计算机技术对计算机管理的数据进行检查”这一类问题的研究，学者们继续使用“计算机审计”这一术语，也常常使用如“计算机辅助审计”，“审计信息化”，“数字审计”等术语。显然，这里的“计算机审计”概念仅包含“采用计算机技术对计算机管理的数据进行检查”，笔者称之为”狭义的计算机审计”。

从本质上讲，计算机审计就是自动地和智能地收集审计证据的过程，即在审计对象的信息系统中自动地和智能地提取具有审计兴趣的信息的过程。因此，可以这样定义：

定义1 设一个会计信息系统B为一个四元组（U，A，V，F），其中

U为论域，即会计分录的集合， U={x1，x2，…，xn}，U中的每一个xi（i≤n），称为一个会计分录；

A为科目属性的集合，A={a1， a2，…，am}， A中的每一个aj（j≤m），称为一个科目属性；

V为A的值集，V中的每一个 Vj为属性aj（j≤m）的值域；

F：U×AV是一个审计信息函数，Fx： AV， x∈U， 反映了会计分录x在K中的审计信息。

定义2 设U为会计分录集，记

U2 = U×U ={（xi， xj）：xi，xj∈ U}

若关系R U2，且满足：

（1）（xi， xi）∈ R， （？坌 i≤n）

（2） ？坌 i， j ≤n， （xi， xj）∈ R？圯（xj， xi）∈ R

（3） ？坌 i， j ，k≤n， （xi， xj）∈ R，（xj， xk）∈ R？圯（xi， xk）∈ R

则称关系R是会计分录集U上的一个等价关系，即审计关系。

定义3 设U是会计分录集，若存在Ci？哿U（i≤k），且满足：

（1）Ci≠？椎（i≤k）

（2）Ci∩Cj=？椎（i≠j）

（3） Ci=U

则称C={C1，C2，…， Ck}为会计分录集U上的一个划分。用C*表示U上划分的全体。

推论1 会计分录集U上的等价关系必然产生U上的一个划分，会计分录集U上的一个划分必然由U上的一个等价关系产生。会计分录集U上的等价关系与划分一一对应。

推论2 令（U，A，V，F）是一个会计信息系统B，对于B？哿A，

RB={（xi， xj）|fl（xi）=fl（xj），？坌al∈B， 1≤l≤m， 1≤i，j≤n}

是U上的一个审计关系，从而生产U上的一个审计划分

C=U/RB ={[xi] B|xi∈U， 1≤i≤n}

其中

令U是一个会计分录的非空有限论域， R是U上的二元等价关系， U/R是会计分录集U上由R 生成的等价类全体， 它构成了会计分录集U的一个审计划分，会计分录集U上的划分与会计分录集U上的二元等价关系之间是一一对应的关系， 每一被划分的集合称为审计信息。

把从被审计单位度的会计信息系统中获得的具有审计兴趣的信息称为审计信息，即审计信息是对审计对象的数据空间的划分。每一个被划分的集合称为一个审计发现，该过程称为计算机审计。

根据定义，得到计算机审计具有三个基本属性：一是基础信息来自被审计组织的信息系统。其中的电子数据不是相互割裂的，它通过自身的结构、属性以及与其他数据的关联隐含地揭示出审计对象的统计相关性。二是挖掘出的模式是可以证实的。通过数据展示技术可以将挖掘出的模式进行直观的展示，通过实证等方法可以获得这些模式所反映的审计含义，把这些经过实证的，符合审计含义的，可以为人们的理解的模式称为审计信息。三是发现过程是非平凡的。从数据中获取的模式需要不断地调整、修正，有的模式甚至需要进一步证实或证伪，这个过程是一个不断迭代的过程。

四、计算机审计与信息系统审计区别

计算机审计与信息系统审计两个概念长期模糊不清，难分彼此，这将会严重阻碍我国审计信息化的建设与发展，而且也不利于我国审计工作的开展。由于历史的原因，有部分学者在研究时仍然使用计算机审计的广义概念。庄明来（2010）提出了将计算机审计与信息系统审计作为两个并列的概念，并且详细分析了两者的区别。目前计算机审计与信息系统审计之间有着本质区别，主要体现在两个方面：（1）审计目标与范围不同对于计算机审计而言，国际审计准则《计算机信息系统环境下的审计》（ISAs第401号，2004年）指出：“在计算机信息系统环境下，并不改变审计的总体目标和范围”，我国的《计算机信息系统环境下的审计》（独立审计具体准则第20号，1999年）也指出：“注册会计师在计算机信息系统环境下执行会计报表审计业务，应当考虑其对审计的影响，但不改变审计目的和范围。”信息系统审计目标比较明确，是指对信息系统等资产的保护，对信息系统的真实性、完整性、合法性、可用性、安全性、保密性、可靠性、效益、效果、效率等发表审计意见。因此决定其审计内容包括：信息系统购买、开发、应用等方面的安全性和合法性等；信息系统在使用过程中，其数据和程序的真实性和完整性等；信息系统项目投资的绩效等。因此信息系统审计必须采用单独的审计准则体系。（2）基础理论与研究方法不同信息系统审计采用的研究方法是以传统的审计基本理论为指导，并且吸收了大量的计算机知识等，因此，信息系统审计工作主要是由会计师事务所承担的。而计算机审计的主要基础是计算机科学，包括数据库、人工智能、数据挖掘、网络与通讯、信息安全等，同时也融合了审计学、管理学、经济学等社会科学的理论，采用了系统论、工程论等方法，强调系统的观点和复杂性的观点。目前，提出了审计数据的取证技术与方法，审计信息的分析技术与方法，审计系统的挖掘技术与方法，审计证据的融合技术与方法等。

[本文系国家自然科学基金（70971067，71271117），江苏省“六大人才高峰”项目（2007148）及江苏省网络与信息安全重点实验室课题（BM2003201）阶段性研究成果]

参考文献：

[1]王智玉：《审计信息化与审计组织方式》，《审计研究》2011年第4期。

[2]陈耿：《网络环境下的信息系统审计职能与类型研究》，《南京审计学院学报》2011年第1期。

[3]陈耿：《信息系统审计专业建设与人才培养研究》，《中国科教创新导刊》2010年第35期。

[4]国务院办公厅：《关于利用计算机信息系统开展审计工作有关问题的通知》，[2001]88文。

[5]陈耿、景波、陈圣磊、冯国富著，《计算机审计》，东北财经大学出版社，2012.6

[6]李学柔、秦荣生：《国际审计》，中国时代经济出版社2002年版。

[7]陈耿：《面向中观审计的规则发现算法研究》，东南大学2005年硕士学位论文。

[8]Information Systems Audit and Control Association， Standards， Guidelines and Procedures for Auditing and Control Professionals（4th）[R]，2010. （编辑 余俊娟）