《信息系统环境下的电子审计证据》.docVIP

PAGE 1 ??今天，信息技术（IT）的发展和融合以及信息系统（IS）的整合已使得信息之间的无缝流动成为可能。组织对自动化和集成信息系统的与日俱增的依赖正在成为现实，而审计人员也正是在这一环境下收集电子信息，以作为审计证据。但是何为电子审计证据？它的特性是什么，它与传统的审计证据有何区别？它有何影响，尤其是对于审计方法而言？它有哪些风险，可以实施哪些控制手段降低这些风险？上述事项正是此份报告的着眼之处，它提供了实践性指导并建议鉴证标准委员会将这份关于电子证据和相关事项的指导纳入加拿大鉴证标准当中。????定义及特性????在这份研究报告中，电子审计证据被定义为任何生成的、传递的、经过处理的、记录的、以及/或者是以电子形式保存的被审计人员以来用以支持审计报告内容的信息。除非经过打印输出，运行和读取该数据唯一的渠道只能是硬盘和软件系统。电子信息的形式可以是文本、图像、音像文件。电子审计证据包括了会计记录，特别是原始文档、日记账和总账、支持性文件和其他任何形式的以电子形式存在的 可为审计使用的数据或是信息。????电子审计证据是一种以数字形式存在但其逻辑结构却与信息本身相分离的信息。电子审计证据的特性在许多方面都有别于那些传统的证据：比如，它的来源更加难以被确立，信息的变化更加难以被侦测，确定相关授权人员的批准以及签名本身的真实性都更为困难。????电子审计证据的可靠性????电子审计证据出现所引起的一个基础性问题是，它本身是否能成为支持审计报告内容的足够恰当的一部分证据。从信息的真实性、完整性、权威性以及认可性方面考量，电子审计证据的确带来了一些特定的风险。相应的，研究报告也表明审计人员正是将这些因素作为了评估电子信息可靠性（以期能用作审计证据）的标准。每一项标准的重要性是由信息自身的属性和来源，以及将来可能的审计用途所决定的。这些标准同时也有可能在评估传统审计证据时发挥作用。审计人员不能简单的只通过查阅文件证据来对这些标准加以评估，尽管在评估纸质文件时常常是这样的。电脑打印件或是屏幕的影像仅仅是电子信息以规定格式的再次呈现，而并未在原始来源、权威性或是完整性方面提供任何联系。审计人员应该确定的是，用以生成、传递、纪录和保存电子信息的控制手段和技术对于保证电子信息的可靠性是足够的。????审计方法????电子审计证据对审计方法的影响是此研究报告中着重阐述的另一个重要事项。研究小组相信，电子信息的可靠性取决于信息系统（IS）和支持技术的可靠性。在数据生命周期中全程贯穿应用的IS控制和技术决定着由该系统生成的电子信息的可靠性程度，以及是否能作为审计证据使用。报告得出的结论是，在支持一项或多项财务报表事项的重要信息生成、传递、处理、纪录和/或者是以电子形式保存的情况下，审计人员将倾向于选择一种复合式方法以及实施控制测试以降低控制风险。如果内部控制不充分，审计人员将难以获取足够适当的审计证据。由于自动化的集成IS系统实务中提供的是无纸化审计线索，这样在审计证据是由系统产生的电子数据时，审计人员将不能真正的采用任何的实质性审计方法。在上述情况下，仅仅依靠实质性审计程序的实施来降低检查风险，使一个或多个报表项目的审计风险降到某个可接受的低水平显得不太现实，因为为审计证据收集的电子信息中错报误报的巨大风险将不会被检查出来。????控制和安全技术????该报告提供了总体控制、应用控制和安全技术指导。他们都与作为审计证据的电子信息的可靠性密切相关。?报告同时也解释了这些控制措施和安全技术是如何帮助确保信息的真实性、完整性、权威性以及认证方式。更具体的是，报告还涉及了可应用于不相容职责和访问控制的分离、保留、存档、电子文档和其他数据的可获取性和毁坏、加密、电子签名和数字证书、管理和审计线索以及计算机服务提供商与商业伙伴协议的政策和流程。报告中甚至讨论了有助于保证电子信息真实性、完整性、权威性和认证的加密和非加密安全技术。????电子签名????由于文档签署在电子环境中已脱胎换骨，所以这一事项需要仔细审查。电子签名是一种描述由电子生成的技术中立的二进制形式的种类术语。它的形式多样，?产生的方法也很多。在虚拟环境中，签发者无法被真正确认。这就是为什么签名不仅被用来作为许可意见的确认，也被用以识别签发者本身。由于电子信息易于在不同媒介中迁移的特性，电子签名和文档本身是相互独立的。签名一定要与某个特定的文档联系同时确定文档的真实性。签名的目的同时也是为了降低电子签名许可的法律不确定性。报告建议审计人员在评估电子签名可靠性的时候对其认证、完整性、授权以及认可加以考虑。在获取可靠电子签名的时候，恰当的控制措施和技术是必不可少的。报告检验了多种现有的安全技术以及它们能够帮助实现的目标。在当前，电子签名和公共密钥架构（