李晨旭

六安市金安區(qū)投資審計(jì)中心 安徽 六安 237000

引言

審計(jì)證據(jù)是審計(jì)工作人員在工作中以審計(jì)目標(biāo)為中心，遵循有關(guān)程序及方法，獲得的用來(lái)證明審計(jì)事項(xiàng)真相和確保審計(jì)決定及意見(jiàn)正確的依據(jù)，是工作的基礎(chǔ)和重要組成部分。依據(jù)外形特征，可以將其劃分為幾種，包括書(shū)面證據(jù)、鑒定和勘察證據(jù)、視聽(tīng)或電子證據(jù)、實(shí)物證據(jù)、口頭證據(jù)、環(huán)境證據(jù)等。隨著信息技術(shù)的不斷發(fā)展，產(chǎn)生了電子審計(jì)證據(jù)，其是基于電子技術(shù)，以數(shù)字化的形式存在，其優(yōu)勢(shì)為表現(xiàn)方式多元化、準(zhǔn)確等，能夠促進(jìn)工作效率的提升，規(guī)范審計(jì)文檔及項(xiàng)目質(zhì)量監(jiān)督。然而不足的是電子審計(jì)證據(jù)獲取難度較大，對(duì)審計(jì)人員提出了新的要求，即應(yīng)具備較強(qiáng)的取證能力，在獲取電子審計(jì)證據(jù)時(shí)，應(yīng)注重風(fēng)險(xiǎn)控制。

1 電子審計(jì)證據(jù)的含義

現(xiàn)階段，還沒(méi)有統(tǒng)一的界定。通常就是審計(jì)人員在工作中，為形成審計(jì)意見(jiàn)而獲取的審計(jì)證據(jù)，其存在方式是數(shù)字形式，建立在信息技術(shù)基礎(chǔ)上。其具有高科技性、精準(zhǔn)性、易損性、人機(jī)結(jié)合性、多態(tài)性等一些特點(diǎn)。

2 電子審計(jì)證據(jù)的獲取風(fēng)險(xiǎn)

2.1 不足風(fēng)險(xiǎn)

即在搜集證據(jù)時(shí)存在不充分的問(wèn)題，無(wú)法提供有效的證據(jù)。首先，證據(jù)來(lái)自網(wǎng)絡(luò)及系統(tǒng)，證據(jù)的可靠性受網(wǎng)絡(luò)及系統(tǒng)內(nèi)部控制制度的質(zhì)量影響，審計(jì)工作人員只利用常規(guī)測(cè)試程序，很難明確業(yè)務(wù)及報(bào)表的公允性[1]。當(dāng)前各種審計(jì)軟件不斷更新，系統(tǒng)網(wǎng)絡(luò)漏洞變多，導(dǎo)致之前年度的數(shù)據(jù)準(zhǔn)確性受到了質(zhì)疑。例如電子證據(jù)不用依靠其他介質(zhì)能夠獨(dú)立重現(xiàn)，這是不足，不利于電子證據(jù)的證明性。如果是通過(guò)人為操作介質(zhì)，可以更改電子證據(jù)，增加證據(jù)認(rèn)定工作的難度。其次，其具備人機(jī)結(jié)合以及精準(zhǔn)性的特點(diǎn)，在采集信息證據(jù)時(shí)，能夠避免受人為因素影響，提升證據(jù)的可靠性。然而若是在獲取證據(jù)時(shí)應(yīng)用的參數(shù)存在差異，就會(huì)影響到電子證據(jù)的精準(zhǔn)程度。且證據(jù)很多都是基于編程獲得的，如果出現(xiàn)和被審計(jì)單位數(shù)據(jù)存在差異的現(xiàn)象，被審計(jì)單位由于其利益影響，可能不會(huì)輕易認(rèn)可證據(jù)結(jié)果，需要兼具電子及紙質(zhì)形式的證據(jù)，才能認(rèn)可結(jié)果。

2.2 失真風(fēng)險(xiǎn)

即體現(xiàn)的信息無(wú)法確保真實(shí)性，無(wú)法體現(xiàn)審計(jì)事實(shí)。首先，電子審計(jì)證據(jù)是基于計(jì)算機(jī)系統(tǒng)基礎(chǔ)上的，存儲(chǔ)在不同的存儲(chǔ)介質(zhì)中，需要利用計(jì)算機(jī)翻譯編碼，實(shí)施輸入及輸出的操作，若是數(shù)據(jù)編碼產(chǎn)生問(wèn)題，就會(huì)影響到證據(jù)的真實(shí)性。運(yùn)用計(jì)算機(jī)獲取及存儲(chǔ)的證據(jù)，數(shù)據(jù)有被修改的可能。另外，系統(tǒng)通常建立在網(wǎng)絡(luò)的基礎(chǔ)上，其具有開(kāi)放及共享的特點(diǎn)，導(dǎo)致電子審計(jì)證據(jù)易受較多的因素影響，如黑客襲擊、網(wǎng)絡(luò)故障、非法人員入侵、病毒等，無(wú)法確保會(huì)計(jì)信息可靠性及真實(shí)性[2]。其次，電子審計(jì)證據(jù)具有易損性的特點(diǎn)，因?yàn)榇嬗谟?jì)算機(jī)，導(dǎo)致數(shù)據(jù)信息易被修改，即便加上密碼也存在被破解的可能性。若是對(duì)原始電子數(shù)據(jù)操作缺乏有力的監(jiān)督，就會(huì)影響到電子審計(jì)證據(jù)的獲取。最后，電子審計(jì)證據(jù)具有人機(jī)結(jié)合的特點(diǎn)，容易出現(xiàn)失真問(wèn)題。以往在對(duì)證據(jù)進(jìn)行搜集時(shí)，所有的交易都具備完整的線索，交易環(huán)節(jié)都有人員簽字蓋章、文字記錄等，工作人員可結(jié)合會(huì)計(jì)處理程序，立足于原始單據(jù)，追蹤交易事項(xiàng)，直到形成報(bào)表。電子審計(jì)證據(jù)獲取工作中，審計(jì)人員在工作中所有的處理缺乏直接責(zé)任人，導(dǎo)致工作人員容易出現(xiàn)錯(cuò)誤審計(jì)判斷，或是發(fā)現(xiàn)問(wèn)題但是缺乏證據(jù)，或是在取證環(huán)節(jié)發(fā)現(xiàn)被審計(jì)單位已經(jīng)改動(dòng)原子數(shù)據(jù)，極大增加了審計(jì)的難度。

2.3 泄密風(fēng)險(xiǎn)

泄密風(fēng)險(xiǎn)就是在電子審計(jì)證據(jù)收集以及存儲(chǔ)中易產(chǎn)生信息被流傳以及竊取的問(wèn)題，影響了證據(jù)的有效性。首先，電子審計(jì)數(shù)據(jù)具有高科技性的特點(diǎn)，導(dǎo)致其對(duì)系統(tǒng)、計(jì)算機(jī)、網(wǎng)絡(luò)具有較強(qiáng)的依賴性，介質(zhì)體積不斷縮小，容量越來(lái)越大，將大量的數(shù)據(jù)存儲(chǔ)到小的介質(zhì)上，提升了遺失以及泄密風(fēng)險(xiǎn)產(chǎn)生的幾率?；谟?jì)算機(jī)系統(tǒng)的應(yīng)用，可以劃分功能模塊，實(shí)施分開(kāi)管理，或是通過(guò)設(shè)置密碼，合理地進(jìn)行人員分工[3]。如果部分人員超越權(quán)限獲取密碼或是口令，可以簡(jiǎn)單地獲得數(shù)據(jù)。其次，其具有多態(tài)性以及易損性的特點(diǎn)，一張光盤(pán)就能裝下被審單位甚至行業(yè)的所有數(shù)據(jù)，如果光盤(pán)出現(xiàn)遺失、流傳或惡意拷貝的問(wèn)題，就會(huì)帶來(lái)嚴(yán)重的泄密風(fēng)險(xiǎn)。

3 電子審計(jì)證據(jù)風(fēng)險(xiǎn)控制措施

3.1 技術(shù)措施

以往審計(jì)人員在工作中獲取審計(jì)證據(jù)需要基于多種方法，如觀察、檢查、分析性復(fù)核、查詢和函證、監(jiān)盤(pán)等。在信息化時(shí)代下，可借助信息技術(shù)分析被審計(jì)數(shù)據(jù)，獲取可靠數(shù)據(jù)，進(jìn)而深入分析，獲得審計(jì)證據(jù)?？梢?jiàn)，計(jì)算機(jī)技術(shù)發(fā)揮著重要的作用，可以減少電子審計(jì)證據(jù)獲取的風(fēng)險(xiǎn)，為提升工作的效率，減少風(fēng)險(xiǎn)，應(yīng)合理運(yùn)用計(jì)算機(jī)技術(shù)：第一，數(shù)據(jù)分析技術(shù)。首先，數(shù)據(jù)查詢方法。即依據(jù)審計(jì)分析模型，在通用軟件利用SQL語(yǔ)句分析采集的電子數(shù)據(jù)?；趯?duì)審計(jì)范圍進(jìn)行擴(kuò)展，運(yùn)用該方法，可降低失真及不足的風(fēng)險(xiǎn)。其次，建立在業(yè)務(wù)規(guī)則基礎(chǔ)上的審計(jì)分析數(shù)據(jù)分析法[4]。其旨在找出數(shù)據(jù)中與業(yè)務(wù)規(guī)則不一致的數(shù)據(jù)，但是有一定的要求，即業(yè)務(wù)規(guī)則容易獲得、審計(jì)人員熟練掌握業(yè)務(wù)。該方法基于把被審計(jì)單位的數(shù)據(jù)在規(guī)則庫(kù)中定義業(yè)務(wù)規(guī)則，對(duì)數(shù)據(jù)進(jìn)行監(jiān)測(cè)，結(jié)合數(shù)據(jù)與業(yè)務(wù)規(guī)則的相符情況，找出可疑數(shù)據(jù)并實(shí)施分析和判斷，進(jìn)而獲取證據(jù)。該方法的應(yīng)用能夠降低不足及失真風(fēng)險(xiǎn)。再次，并行審計(jì)技術(shù)。其就是在運(yùn)用應(yīng)用系統(tǒng)處理業(yè)務(wù)時(shí)采集審計(jì)證據(jù)。常見(jiàn)的技術(shù)包括快拍、集成測(cè)試、嵌入審計(jì)程序法、擴(kuò)展記錄技術(shù)等，有利于減少風(fēng)險(xiǎn)。第二，監(jiān)控技術(shù)。首先，身份識(shí)別及驗(yàn)證技術(shù)。其就是用戶給系統(tǒng)提交身份證明，通過(guò)系統(tǒng)驗(yàn)證之后才能有訪問(wèn)的權(quán)限?；谶\(yùn)用該技術(shù)可以驗(yàn)證通過(guò)合法用戶，避免非法用戶接觸數(shù)據(jù)，確保審計(jì)數(shù)據(jù)和證據(jù)的完整性和安全性，減少泄密及失真的風(fēng)險(xiǎn)。對(duì)登錄賬號(hào)以及口令設(shè)置，用戶設(shè)置有難度的口令，口令加密進(jìn)行存儲(chǔ)，設(shè)置嘗試次數(shù)，定期更新，口令不和其他人分享，還可以運(yùn)用令牌設(shè)備。另外，生物測(cè)定技術(shù)。這是常用的方法，將人體生物特征當(dāng)作訪問(wèn)限制標(biāo)準(zhǔn)。如簽名識(shí)別技術(shù)、聲音識(shí)別、指紋識(shí)別技術(shù)等。其次，加密技術(shù)。其應(yīng)用可以保護(hù)傳輸數(shù)據(jù)，避免產(chǎn)生被修改或截取的問(wèn)題；對(duì)計(jì)算機(jī)以及存儲(chǔ)介質(zhì)中的相關(guān)數(shù)據(jù)進(jìn)行保護(hù)，避免沒(méi)有授權(quán)的人修改及瀏覽數(shù)據(jù)，組織及檢測(cè)數(shù)據(jù)修改現(xiàn)象；驗(yàn)證身份是否真實(shí)，可以減少泄密及失真風(fēng)險(xiǎn)；對(duì)稱密碼技術(shù)，就是收發(fā)件人運(yùn)用一樣的密鑰為數(shù)據(jù)進(jìn)行加密及解密；非對(duì)稱密碼技術(shù)，運(yùn)用一對(duì)密鑰，分別用于加密及解密，提前交換密鑰，就能解開(kāi)信息的密碼。最后，添加水印技術(shù)。其就是把水印嵌入之前的數(shù)據(jù)中，進(jìn)而證明多媒體作品歸屬。其包含較多種，具備拷貝保護(hù)效用的數(shù)字水印可應(yīng)用到審計(jì)證據(jù)中。其旨在識(shí)別接受者的信息，用來(lái)監(jiān)控及跟蹤非法拷貝行為。這種水印在不同拷貝種嵌入相應(yīng)的水印，被稱之為數(shù)字指紋[5]。

3.2 環(huán)境控制措施

首先，掌握被審單位環(huán)境情況。了解被審計(jì)單位和電子數(shù)據(jù)控制有關(guān)的內(nèi)部環(huán)境。注重管理層組織結(jié)構(gòu)，相關(guān)部門(mén)分工科學(xué)性，單位治理結(jié)構(gòu)有效性；被審單位管理人員情況，包括素質(zhì)和道德情況，尤其注重單位領(lǐng)導(dǎo)人對(duì)于IT治理的認(rèn)知水平。若是被審單位治理結(jié)構(gòu)或IT治理存在不足，就會(huì)影響信息系統(tǒng)的可靠性，無(wú)法有效地獲取證據(jù)。其次，注重設(shè)備及證據(jù)環(huán)境的控制。其主要是物理保護(hù)方法，電子審計(jì)數(shù)據(jù)及計(jì)算機(jī)對(duì)存放環(huán)境要求較高，對(duì)于磁盤(pán)、光盤(pán)以及軟盤(pán)，應(yīng)該注意遠(yuǎn)離強(qiáng)磁場(chǎng)。另外，要制定有關(guān)的規(guī)定、設(shè)置門(mén)禁，避免無(wú)關(guān)人員進(jìn)入存放場(chǎng)所，減少失真及泄密風(fēng)險(xiǎn)。除此之外，在審查實(shí)踐中應(yīng)注意軟件及硬件情況，獲取有關(guān)的技術(shù)文檔，同時(shí)測(cè)試系統(tǒng)，測(cè)評(píng)其內(nèi)部控制制度，總結(jié)系統(tǒng)中的不足及特點(diǎn)，判斷系統(tǒng)與國(guó)家相關(guān)技術(shù)標(biāo)準(zhǔn)是否一致。盡可能直接從被審計(jì)單位數(shù)據(jù)庫(kù)中獲取有關(guān)的電子數(shù)據(jù)，進(jìn)而進(jìn)行整理和分析。審計(jì)人員在工作中不能在被審計(jì)單位計(jì)算機(jī)中進(jìn)行文件的編寫(xiě)及刪除，應(yīng)該結(jié)合工作方案及目標(biāo)提出需求，由被審計(jì)單位的相關(guān)人員操作，避免在操作中產(chǎn)生系統(tǒng)崩潰情況或一些其他無(wú)法預(yù)見(jiàn)的誤會(huì)，同時(shí)確保獲取的證據(jù)可以得到被審單位的認(rèn)同，減少重新核實(shí)的工作量。在對(duì)電子證據(jù)進(jìn)行收集以及固定中，如果發(fā)現(xiàn)電子證據(jù)需要馬上進(jìn)行收集和取證操作，以免其消失；盡可能在現(xiàn)場(chǎng)打印收集證據(jù)；若是要拷貝證據(jù)，需要當(dāng)場(chǎng)檢查拷貝情況，避免由于各方面因素打不開(kāi)計(jì)算機(jī)文件。及時(shí)地獲取電子證據(jù)，確保電子證據(jù)沒(méi)有受到破壞，同時(shí)確保其連續(xù)性[6]。最后，網(wǎng)絡(luò)環(huán)境的控制措施?？梢粤⒆阌趲追矫妫〝?shù)據(jù)加密、病毒防護(hù)、防火墻及授權(quán)。在獲取證據(jù)時(shí)，對(duì)部分?jǐn)?shù)據(jù)設(shè)置訪問(wèn)權(quán)限，減少工作中的泄密及失真風(fēng)險(xiǎn)。利用數(shù)據(jù)加密技術(shù)，讓數(shù)據(jù)在傳輸操作前變成非可讀形式，以免由于相關(guān)因素導(dǎo)致泄密風(fēng)險(xiǎn)?？梢耘鋫溆行У挠布O(shè)備，例如，增加防火墻設(shè)備、數(shù)據(jù)加密設(shè)備等。構(gòu)建安全的運(yùn)行環(huán)境，給系統(tǒng)專門(mén)構(gòu)建可靠的局域網(wǎng)，科學(xué)的設(shè)置多層加密關(guān)口及防火墻?；诶糜行У木W(wǎng)絡(luò)控制措施，能夠減少泄密及失真風(fēng)險(xiǎn)。

3.3 人員控制措施

基于人員方面采取有效的風(fēng)險(xiǎn)控制措施，能夠避免失真和泄密風(fēng)險(xiǎn)。首先，立足于審計(jì)工作人員層面來(lái)說(shuō)，工作的開(kāi)展對(duì)人員提出了較高的要求，要提升審計(jì)工作人員的專業(yè)性及業(yè)務(wù)能力。工作人員應(yīng)該掌握有關(guān)的知識(shí)，如審計(jì)、管理、會(huì)計(jì)、信息系統(tǒng)、電子商務(wù)、法律、計(jì)算機(jī)、信息系統(tǒng)等，同時(shí)具有較強(qiáng)的綜合能力，如信息系統(tǒng)調(diào)查、數(shù)據(jù)預(yù)處理、分析、采集能力。需要熟練地運(yùn)用計(jì)算機(jī)技術(shù)。除此之外，審計(jì)工作人員應(yīng)該積極的更新自身的知識(shí)結(jié)構(gòu)，了解最新的法律法規(guī)、技能，進(jìn)而提升審計(jì)證據(jù)的獲取及使用水平。其應(yīng)該樹(shù)立較強(qiáng)的風(fēng)險(xiǎn)意識(shí)。對(duì)于保存證據(jù)的各種存儲(chǔ)工具，在平日使用中要加強(qiáng)防范，例如突然停電帶來(lái)的影響等。對(duì)于需要送到外部維修的涉及機(jī)密和秘密的計(jì)算機(jī)，應(yīng)該交由國(guó)家保密局規(guī)定的廠商，保護(hù)好企業(yè)及國(guó)家機(jī)密。另外，審計(jì)單位應(yīng)該積極地組織審計(jì)人員學(xué)習(xí)保密方面的知識(shí)，確保其在工作中能夠依據(jù)保密規(guī)定進(jìn)行涉秘?cái)?shù)據(jù)及信息的有關(guān)操作。在對(duì)電子材料進(jìn)行查閱以及撰寫(xiě)時(shí)，工作人員需要始終保持警惕性，外出時(shí)將電腦放在視線范圍內(nèi)，確保材料的保密性及完整性。其次，立足于被審計(jì)單位職工層面來(lái)說(shuō)，要想避免工作中產(chǎn)生風(fēng)險(xiǎn)，應(yīng)該注重風(fēng)險(xiǎn)控制工作，例如和被審單位部分職工面談或采取調(diào)查問(wèn)卷的方式，找出問(wèn)題和證據(jù)；查看職工職責(zé)分離的落實(shí)情況等。在工作中要依靠群眾，在座談了解的同時(shí)記錄重要言辭，標(biāo)記出相關(guān)的內(nèi)容，還要讓被詢問(wèn)者簽字確認(rèn)，確保證據(jù)獲取的可靠性。

3.4 法律法規(guī)方面

雖然國(guó)內(nèi)法律法規(guī)層面開(kāi)始關(guān)注電子審計(jì)證據(jù)，并且設(shè)置了部分條例，然而有關(guān)的法律法規(guī)依然不夠健全，需要對(duì)不利于電子審計(jì)證據(jù)的相關(guān)行為，如破壞、蓄意隱匿、帶來(lái)消極影響，細(xì)化有關(guān)的處罰內(nèi)容。通過(guò)加強(qiáng)電子審計(jì)證據(jù)方面的法律法規(guī)建設(shè)，能夠?yàn)楂@取電子審計(jì)證據(jù)方面工作提供依據(jù)及規(guī)范，避免產(chǎn)生風(fēng)險(xiǎn)。

4 結(jié)束語(yǔ)

綜上所述，當(dāng)前科技在高速的發(fā)展，能夠?yàn)閷徲?jì)證據(jù)收集工作提供便利，然而其特性帶來(lái)的風(fēng)險(xiǎn)問(wèn)題也要引起重視，立足于電子審計(jì)證據(jù)特性層面，發(fā)現(xiàn)存在的風(fēng)險(xiǎn)，并采取有效的控制措施，可以減少風(fēng)險(xiǎn)的產(chǎn)生，確保電子審計(jì)證據(jù)的完整性、安全性及質(zhì)量，優(yōu)化電子審計(jì)證據(jù)獲取工作的效果。