【编者按】在信息化环境下，企业运用信息技术编制财务报表，设计和执行内部控制。注册会计师在对企业的财务报表进行审计时，必须考虑信息技术的影响。同时，信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战，中国注册会计师协会资助普华永道中天会计师事务所研究编写了《财务报表审计中对信息系统的考虑》一书，已经出版发行。本刊约请作者加以摘编，分期连载，以飨读者。
计算机辅助审计技术（Computer Assisted Audit Techniques，简称 CAATs），是通过运用计算机技术使审计程序自动化的方法。计算机辅助审计技术的应用最早可以追溯至二十世纪六十年代，而随着信息技术越来越广泛的应用，传统纸质的审计数据正在逐步消失，为了应对财务会计流程信息化、数字化的浪潮，计算机辅助审计技术得以迅速发展。广义上讲，计算机辅助审计技术包括审计工作中运用的一切计算机技术；在本期以及下一期，我们将主要阐述实务中应用较为广泛的信息系统数据审计方法。
一、CAATs 在财务报表审计中的作用
（一）CAATs 的主要功能
随着企业的快速发展以及信息时代的到来，原有脱机进行的审计程序已经无法适应新时代的审计环境：一方面，企业逐步依赖系统进行业务的处理，交易信息均存储于信息系统之中，财务数据也不再被记录在纸质账簿之中；另一方面企业的规模越来越大，交易量级数上升，审计人员很难再依赖人工对如此大量的数据进行审计工作。为了处理基于系统产生的财务数据，同时提升审计工作的效率，审计团队开始依赖计算机辅助审计工具实现相应的审计目标。
计算机辅助审计工具能够帮助审计团队实现以下功能：
1. 快速准确地完成海量重复计算；
2. 反映数据异常体现潜在内控缺口；
3. 清晰反映异常高风险的交易；
4. 行业关键指标对比，有助于了解公司业务，为审计计划制定提供支持依据。
基于所能够实现的功能，目前 CAATs 的主要应用包括：
1. 审计计划阶段对于被审计公司的风险评估；
2. 审计程序中的测试，具体包括：
（1）基于验证系统控制所实施的报表数据验证；
（2）基于实质性测试所实施的系统数据提取；
（3）其他为了满足财务报表审计所实施的系统数据提取与分析；
（4）日记账分析；
（5）核心业务数据（即可能保存在财务系统外，但构成公司商业实质的原始交易数据）分析。
3. 特殊行业的关键指标统计，用于行业对比。
（二）CAATs 的适用情形
在审计计划阶段，项目组在制定总体审计策略与具体审计计划过程中应当考虑对于 CAATs 的使用。
通常来说，审计项目组会基于以下方面的考虑而决定使用CAATs：
1. 审计测试中存在大量重复的工作，使用 CAATs 能够大大提升效率，减少不必要的重复劳动；
2. 审计测试中存在复杂的计算的过程，使用 CAATs 能够规避人工计算统计造成的错误；
3. 企业的业务流程依赖系统且交易量巨大，审计团队无法采用人工的方式对数据进行测试；
4. 企业流程文档均以电子化文档存储于系统中，审计团队无法脱机获得审计证据；
5. 企业舞弊风险较高，需要对全部的交易数据进行测试或对筛选的异常交易进行细节测试；
6. 企业所处行业高度依赖信息系统，例如电商平台、网络游戏等互联网企业；
7. 审计团队能够获取必要的数据执行 CAATs 测试程序。
CAATs 能够被应用于审计程序的各个方面，其中最为广泛应用的领域是实质性程序。
（三）考虑是否适用 CAATs 时的注意事项
CAATs 能够为审计团队化繁为简，大大提升审计工作的效率，但并非所有的审计对象均适用 CAATs。审计团队在考虑适用 CAATs 时需要考虑以下几个方面：
1. 评估数据质量及可用性
在审计计划阶段，审计团队可以在了解与财务报告相关的业务系统的同时对可以采用 CAATs 进行处理的数据类型进行了解。审计团队应当评估数据质量是否能够满足 CAATs 的可用性及实现高效地处理。
2. 获取详细的电子化客户数据
审计团队需要从企业的系统中获取数据并导入至相应的分析工具之中。在数据导出及存储的过程中，审计团队应当关注数据的完整性及客户数据的安全。
在首次数据提取的情况下，审计团队应当对所需要的数据进行初步评估。数据需求依据审计程序的目标及审计期间而有所不同。数据需求一旦确定，审计团队应当将正式的数据需求发送至企业的 IT 人员进行沟通，确定所期望的数据格式、数据传输的方式以及数据获取的时间。审计人员应当保留数据提取的脚本并且记录下如何保证数据总量的完整性及数据字段的准确性。
在第一年审计后，审计人员可以将以往年度的数据需求作为当年审计的基础。审计人员应当根据审计范围、系统及流程的变化对数据需求进行修改。审计人员可以将以往年度获取的数据样例及数据提取脚本所谓参考与数据需求一并发送，以协助 IT 人员进行数据提取工作。
3. 测试时点
考虑到审计现场工作的时点及数据分析所需的时间提前量，审计人员应当尽早提出相应的数据需求。这样一方面使得数据分析能够及时完成，另一方面也能顾及可能发生的数据提取问题而造成的数据重复提取情况（例如数据质量、完整性及准确性的不足）。
4. 数据格式
审计人员应当根据企业的系统及数据分析所使用的程序来选择最恰当的数据提取格式，以方便 CAATs 的执行。
目前主流的数据文件格式包括：
（1）Excel 数据表格文件
（2）XML 文件
（3）DBF (dBase)
（4）文本文件（.txt，.csv 等）
（5）ASCII 码打印文件
（6）开放式数据库连接
审计人员在提取数据的同时应当从企业获得相关的数据字典，内容需要包含各个字段的描述、字段的数据格式、长度等信息。数据字典对于审计人员理解数据起着非常重要的作用。
5. 数据传输方式
审计人员可以通过光盘、USB 或者安全的 FTP 获取企业的数据。审计人员应当检查数据传输是否被加密或受到密码保护。大容量数据文件可以通过 WinZip 或者 WinRAR 进行压缩，在压缩的同时可以通过软件进行密码保护。
6. 数据存储及安全性
审计人员获取数据后应当将数据保存至本地工作电脑或 USB 内。审计人员应当确保工作电脑的安全，确保无关人员无法查看工作电脑中的数据。同时针对存储客户数据的 USB 应当进行加密并妥善保管。
7. 保密性
审计人员应当向企业阐明数据需求的理由及测试目的，并且确保对企业数据尽到保密义务。在使用 FTP 进行数据传输时，审计人员应当使用安全的 FTP；在使用光盘、USB 或者邮件方式进行数据传输时，审计人员应当确保数据被适当加密或受到密码保护。同时审计团队应当严格确保数据仅能够由审计项目组的相关人员获取并使用，禁止向其他团队或人员传播数据。
8. 所提取的数据是否完整、准确
审计人员应当执行相关的程序确保用于 CAATs 所提取数据的完整性与准确性。这是为了验证企业所提取的数据是否能够真实反映所记录的信息。
审计人员可以通过控制测试或实质性测试来保证数据的完整性与准确性。
9. 对数据进行拆解、构造、分类及分析
在确定获得完整、准确、恰当的数据后，审计人员就能够通过计算机程序执行 CAATs 了。CAATs 能够被用于对数据进行拆解、构造、分类及分析。
10. 评估及应对 CAATs 的结果
审计人员应当验证 CAATs 执行的结果，确保 CAATs 得到正确的执行。为了验证 CAATs 执行的合理性，审计人员可以将 CAATs 结果与已经验证的客户数据进行比较比对。对于通过 CAATs 发现的异常交易，审计人员应当对此类交易进行重点关注，通常这些交易都反映出更高的风险。
二、CAATs 工作的规划与执行
与系统审计相似，不同的计算机辅助审计工作均需要经历以下几个步骤：（1）审计范围的确立；（2）了解数据源的系统逻辑及数据表结构；（3）数据提取；（4）源数据处理与清洗；（5）数据导入；（6）数据处理；（7）分析结果；（8）底稿记录。下面具体介绍各个步骤：
（一）审计范围的确立
CAATs审计范围的确立与财务审计团队的工作范围以及客户所使用的系统息息相关。首先，财务审计团队应当识别审计过程中需要涉及的系统报表、交易数据等电子数据；然后，财务审计团队应当确认相关数据的可读性与数据质量，了解数据的可依赖性；最后，根据数据的可读性、处理复杂程度、数据量大小并结合团队技术能力决定是否需要系统专家进行 CAATs 的审计工作。
审计范围的确立需要系统审计的专家与财务审计团队进行沟通，一方面识别审计过程中需要依赖的系统报表、需要关注的数据以及日记账审阅的范围；另一方面，确认数据的可用性能否支持相应的审计目标。
（二）了解数据源的系统逻辑及数据表结构
这是具体审计工作中最为关键的一个步骤。计算机辅助审计工作如何有效、高效地完成取决于在这一步骤中是否充分理解了数据的系统逻辑与表结构。如果在测试工作实施前对对象表有深刻的理解，则整个工作将会事半功倍；如果贸贸然直接进行测试而忽略了这一步骤，则可能在测试过程中出现提取数据存在偏差，而导致测试结果出现差异，反复抓取数据。
这一步骤需要系统审计的专家与系统开发人员进行深入沟通，了解系统的逻辑以及数据库表中对于各业务数据的记录方式，保证审计人员能够理解系统中数据处理的逻辑，并且明确数据抓取的方案。
（三）数据提取
理解数据源的系统逻辑及数据表结构后，审计人员可以根据其理解在客户 IT 人员的帮助下抓取相应的数据。数据提取导出过程中审计人员应当考虑导出目标数据的性质、范围及期间，确保满足审计目标的需要。
审计人员应当保证数据提取的结果是根据审计人员理解的逻辑导出，并且为了避免数据在导出后被修改，应当由审计人员现场导出数据或现场观察数据的导出过程。
在数据提取的过程中，审计人员应当考虑数据导出的文件格式以及数据传输的方式，确保数据的可读性以及数据安全性，通常最佳的数据导出的格式为.csv、.txt 或 Excel 表格。审计人员应当审计人员应当确保客户理解获取数据的意图，并保证客户数据的安全性。
审计人员获取数据后应当确保提取数据的准确性与完整性，确保客户所提供的数据应当包含了所有相关的记录。
（四）源数据处理与清洗
计算机辅助审计工具对源数据的格式均有着一定的要求，因此针对源数据的处理与清洗必不可少。在源数据的处理与清洗过程中，应当避免对源数据的内容进行修改，主要的处理过程包括：格式修改、空行删除、多个文件合并、去除重复表头等。源数据的处理与清洗通常可以使用通用的文本及表格编辑工具，例如：Word，Notepad，Excel等，但对于大量的数据或是复杂的处理与清洗过程，则需要使用更为高级的文本处理工具（例如 UltraEdit）。
如果在源数据处理过程中发现乱码、串行等，应当查找原因并重新进行数据提取。
（五）数据导入
源数据处理清洗完毕后，审计人员需要将数据导入相应的工具之中。由于一些工具对数据导入格式有着严格要求，数据导入可能出现系统报错的情况，如果遇到此类情况，应当按照错误类型重新进行源数据处理与清洗的步骤。
（六）数据处理
数据处理是计算机辅助审计工作的核心步骤，审计人员应当根据确定的审计目的，执行相应的数据处理工作。通常审计人员或是在电子表格中对数据进行处理，或是在相应工具中编写脚本，通过执行脚本进行数据处理。
具体数据处理过程会在案例中进行具体分析。
（七）分析结果
数据处理完成后，审计人员应当分析 CAATs 的结果，并且依据不同的结果进行相应的跟进工作。所有相应的结果都应当与财务审计团队进行沟通，确保财务审计团队依据结果进行进一步的审计工作。
（八）底稿记录
与审计过程中的其他测试一样，在所有测试工作完成后，审计人员应当按照审计准则中的要求对审计工作进行底稿记录。为了确保能够达到可重新执行的标准，审计人员在底稿记录中应当注意一下事项：
针对数据提取与清洗，审计人员应当在底稿中记录对于客户系统的理解及提取数据的逻辑，同时保留从客户系统中提取的源数据及清洗后的数据；审计人员对于提取与归档的数据应当尽量保证数据最小化，减少不必要信息的获取以提升数据文件的存储效率；通常对于小规模的数据，可以采用 excel 的数据文件进行归档保存，而对于数据量较大的数据，应当采用 txt、csv 等格式保存相应审计数据；对于数据的处理过程，审计人员应当记录对于测试目的的理解以及数据处理具体所使用的逻辑及语句。审计人员应当将结果及对于结果的跟进工作记录于底稿之中。
执行 CAATs，满足不同的功能需要依赖不同的工具，我们将在下一期介绍目前较为流行的计算机辅助审计工具。
 
原文链接：http://www.cicpa.org.cn/mag2018/201809/index.html
转载请注明。