并行審計技術（Concurrent Auditing Technique）是指在應用系統(tǒng)對其業(yè)務進行處理時，同時采集審計證據的技術。

　　一、并行審計技術產生的背景

　　隨著計算機技術在會計信息系統(tǒng)中的廣泛應用，人們發(fā)現在計算機信息處理環(huán)境下采集審計證據往往比手工環(huán)境下更為復雜，因為審計人員開始面對許多手工環(huán)境下不存在的、復雜的內部控制技術。在審計過程中，要確認這些內部控制的有效性，必須對其有所了解，并且要能取得充分可靠的證據。然而，信息技術發(fā)展很快，與之相關的控制技術也在不斷發(fā)展，了解控制技術并不是輕而易舉的。這就導致審計人員用傳統(tǒng)的方式采集證據時，在某些情況下常常被迫做出讓步，難以取得充分可靠的證據。

　　此外，計算機信息系統(tǒng)在企業(yè)的經營管理中起著越來越重要的作用，系統(tǒng)如果停止運行，有時會直接影響企業(yè)的生產經營活動，給企業(yè)帶來損失。因此，對計算機信息系統(tǒng)的審計往往要求在系統(tǒng)運行過程中進行審計取證。審計人員一方面要及時完成審計任務，另一方面又不能妨礙和干擾被審計系統(tǒng)的正常工作。

　　面對計算機信息處理環(huán)境對審計工作的上述影響，傳統(tǒng)審計技術在某些情況下已無能為力，審計人員要想取得充分可靠的審計證據，則需要利用并行審計技術。

　　二、并行審計技術介紹

　　并行審計技術是在20世紀60年代后期和70年代初期產生的。使用并行審計技術采集審計證據包括兩個方面：一是為采集、處理和打印審計證據，需要在應用系統(tǒng)或系統(tǒng)軟件中嵌入專門的審計模塊。二是將采集到的證據存儲在應用系統(tǒng)文件中或存儲在專門的審計文件中，以便審計人員進行審查。

　　隨著信息技術的快速發(fā)展，目前已形成了多種并行審計技術。但是，我們可以將其分為三類：一是當應用系統(tǒng)進行處理時，利用測試數據對系統(tǒng)進行評價；二是當應用系統(tǒng)進行處理時，追蹤或映射應用系統(tǒng)的變化狀況；三是當應用系統(tǒng)進行處理時，選擇交易進行審計復核?；谏鲜龇诸?，下面分別介紹三種并行審計技術：綜合測試、快照和系統(tǒng)控制審計復核文件，它們依次對應上述三類并行審計技術。

　　（一）綜合測試（Integrated Test Facility，ITF）。綜合測試（ITF）是在應用系統(tǒng)正常處理其業(yè)務時，用測試數據對系統(tǒng)進行檢測的一種方法。這種方法要在應用系統(tǒng)的文件中建立一個虛擬實體，并讓應用系統(tǒng)處理該實體的審計測試數據。例如：應用系統(tǒng)是工資系統(tǒng)，可在其數據庫中建立一個虛擬的職員；應用系統(tǒng)是一個存貨系統(tǒng)，可在其數據庫中建立一個虛擬的存貨項目。測試數據和正常產生的業(yè)務數據一同輸入應用系統(tǒng)進行處理，通過將應用系統(tǒng)對測試數據處理的結果同預期結果進行比較，可確定應用系統(tǒng)的處理和控制功能是否恰當、可靠。采用綜合測試法將會涉及兩個問題：采用何種方法建立測試數據與采用何種方法消除綜合測試交易對系統(tǒng)的影響。

　　1.建立測試數據的方法。第一種方法是對被審計單位的現場交易做標記輸入到應用系統(tǒng)中，視帶標記的交易為測試數據，如圖1所示。采用這種方法，應用系統(tǒng)中必須有特定的計算機程序能夠識別出帶標記的交易，并且使這些交易既要更新應用系統(tǒng)的主文件，同時也要更新ITF虛擬實體。

　　圖1  給現場交易做標記視為測試數據    選擇和識別ITF交易有多種策略。第一，在源文件中或屏幕布局中包含一個專門的標識字段，用來表示一筆交易即為正常交易又為ITF交易。由審計人員來選擇確定對哪些現場交易做標記，所選交易的特征可以與測試數據的設計相一致，也可以根據制定的抽樣計劃進行選擇。第二，在應用系統(tǒng)的程序中嵌入審計軟件模塊，利用審計軟件來選擇交易并給交易加標記使其成為ITF交易。第三，在應用系統(tǒng)中嵌入抽樣程序，抽樣程序具有根據抽樣計劃給交易做標記，并使其成為ITF交易的功能。不論采用何種策略，應用系統(tǒng)中必須有相應的處理程序，專門處理帶標記的交易。

　　給現場交易做標記使其成為ITF交易的優(yōu)點是：容易使用，并且測試交易代表了系統(tǒng)的正常處理業(yè)務。但是這種方法也有缺點：首先，使用現場數據限制了對系統(tǒng)的全面測試；其次，在應用系統(tǒng)中追加代碼來識別做標記的交易，并以特定方式處理這些交易，可能會影響其正常處理，如：它可能降低系統(tǒng)的響應時間。

　　第二種方法是自行設計測試數據，測試數據與現場交易數據一同輸入應用系統(tǒng)。如圖2所示。采用這種方法，審計人員應當根據所要使用的測試數據的特征來設計并創(chuàng)建測試數據。

　　圖2（略）自行設計測試數據

　　自行設計測試數據同從現場交易中選擇測試數據相比，測試數據的覆蓋面大，可全面測試系統(tǒng)，但設計和建立測試數據要花費一定的時間和費用。

　　2.消除ITF交易的影響。在應用系統(tǒng)中出現ITF交易會影響其輸出結果，因此，必須消除ITF交易的影響?？刹捎孟铝蟹椒ㄏ齀TF交易的影響：一種方法是修改應用程序使其能夠識別ITF交易，并消除ITF交易對用戶的影響；另一種方法是提交額外的輸入，抵銷ITF交易的影響。

　?。ǘ┛煺眨⊿napshot）。當應用系統(tǒng)非常龐大或復雜時，追蹤通過系統(tǒng)的不同執(zhí)行路徑會有一定難度，審計人員要想對交易進行審查，會面對一定的困難。對此情況，可以利用快照技術來進行審查?？煺占夹g是指當交易通過應用系統(tǒng)流動時，讓軟件給交易拍“像”。通常是在應用系統(tǒng)的重要處理發(fā)生點嵌入軟件，當交易通過不同處理點時，嵌入軟件可捕捉交易的映像。為證實不同快照點的處理，審計人員使軟件捕捉交易的前映像和后映像，通過檢驗前映像、后映像及其變換，評價交易處理的真實性、準確性和完整性。

　　實施快照技術主要涉及以下三個方面：第一，確定應用系統(tǒng)中快照點的位置，它也是審計的關鍵點。審計人員可根據應用系統(tǒng)中每一處理點的重要性來確定快照點的位置。第二，確定何時捕捉交易快照?？勺屒度胲浖δ承└唢L險的交易始終做快照，也可安排嵌入軟件，根據某類抽樣計劃做不同交易的快照。第三，嵌入軟件必須對每一交易提供身份識別和時間戳，以使審計人員能確定，快照數據應用于哪一筆交易、交易通過不同快照點時其狀態(tài)變化情況如何、捕捉到的快照數據是哪一個處理點的、捕捉到每一處理點的快照數據是何日何時的。此外，還應設計相應的快照報告生成系統(tǒng)，使其能夠按照審計人員的要求輸出快照報告。

　?。ㄈ┫到y(tǒng)控制審計復核文件（System Control Audit Review File SCARF）。系統(tǒng)控制審計復核文件（SCARF）是指在一個應用系統(tǒng)中嵌入審計模塊，對該系統(tǒng)的交易進行連續(xù)監(jiān)控。審計模塊置于事先確定的點，用以采集審計人員認為重要的交易或事件信息，采集到的信息存放在一個專門的審計文件一一SCARF主文件中，審計人員通過審查該文件的信息，可以確定應用系統(tǒng)的哪些方面需要追查。圖3以一個主文件更新程序為例說明SCARF技術。

　　使用SCARF技術首先要確定由SCARF嵌入審計程序采集什么信息。其次要確定與SCARF一同使用的報告系統(tǒng)。

　　1.確定SCARF嵌入審計程序采集什么信息。在一個應用系統(tǒng)中，SCARF嵌入審計程序的性質和布局取決于審計人員所要采集證據的類型，在很多方面，SCARF技術與快照有相似的地方，它也可以捕捉快照。此外，還可以采集其他信息：應用系統(tǒng)的錯誤、系統(tǒng)的例外情況、統(tǒng)計樣本等。

　　SCARF嵌入審計程序的完整性對于所采集證據的可靠性至關重要，因此必須采取措施對該程序的內容及其完整性加以保護。第一，應用程序中不應包含嵌入審計程序的源代碼，只允許調用語句存在。程序源代碼應保存在專門的庫文件中，只有經過授權的人員才可訪問。第二，支持該程序的文檔也應妥善安全地保管。第三，對程序進行維護時，應當認真考慮如何維護，如果審計人員具有編程技能和知識，應自己進行維護，如果必須依賴他人，則必須尋求獨立的第三方的幫助。

　　2.確定與SCARF一同使用的報告系統(tǒng)。

　　（1）確定SCARF文件如何更新?？蔀槊恳粦孟到y(tǒng)建立一個臨時的、SCARF工作文件，由臨時文件更新SCARF主文件，也可由每個應用系統(tǒng)直接更新SCARF主文件。

　?。?）把SCARF文件的數據進行分類并確定審計報告的格式。一個SCARF系統(tǒng)可采集大量數據，只有經過恰當分類，并采用適當的報告形式輸出，才能為審計人員提供清晰的數據。

　?。?）確定報告的編制時間。編制報告期間的長度主要取決于所采集審計證據的重要性和生成報告的成本，如果SCARF系統(tǒng)識別出重要的異常情況，則讓報告生成系統(tǒng)立即生成報告，而在多數情況下，則選擇按一定的時間間隔生成報告。（作者單位：財政部財政科學研究所研究生部）