今天,信息技術(IT)的發(fā)展和融合以及信息系統(tǒng)(IS)的整合已使得信息之間的無縫流動成為可能。組織對自動化和集成信息系統(tǒng)的與日俱增的依賴正在成為現(xiàn)實,而審計人員也正是在這一環(huán)境下收集電子信息,以作為審計證據。但是何為電子審計證據?它的特性是什么,它與傳統(tǒng)的審計證據有何區(qū)別?它有何影響,尤其是對于審計方法而言?它有哪些風險,可以實施哪些控制手段降低這些風險?上述事項正是此份報告的著眼之處,它提供了實踐性指導并建議鑒證標準委員會將這份關于電子證據和相關事項的指導納入加拿大鑒證標準當中。
定義及特性
在這份研究報告中,電子審計證據被定義為任何生成的、傳遞的、經過處理的、記錄的、以及/或者是以電子形式保存的被審計人員以來用以支持審計報告內容的信息。除非經過打印輸出,運行和讀取該數據唯一的渠道只能是硬盤和軟件系統(tǒng)。電子信息的形式可以是文本、圖像、音像文件。電子審計證據包括了會計記錄,特別是原始文檔、日記賬和總賬、支持性文件和其他任何形式的以電子形式存在的可為審計使用的數據或是信息。
電子審計證據是一種以數字形式存在但其邏輯結構卻與信息本身相分離的信息。電子審計證據的特性在許多方面都有別于那些傳統(tǒng)的證據:比如,它的來源更加難以被確立,信息的變化更加難以被偵測,確定相關授權人員的批準以及簽名本身的真實性都更為困難。
電子審計證據的可靠性
電子審計證據出現(xiàn)所引起的一個基礎性問題是,它本身是否能成為支持審計報告內容的足夠恰當的一部分證據。從信息的真實性、完整性、權威性以及認可性方面考量,電子審計證據的確帶來了一些特定的風險。相應的,研究報告也表明審計人員正是將這些因素作為了評估電子信息可靠性(以期能用作審計證據)的標準。每一項標準的重要性是由信息自身的屬性和來源,以及將來可能的審計用途所決定的。這些標準同時也有可能在評估傳統(tǒng)審計證據時發(fā)揮作用。審計人員不能簡單的只通過查閱文件證據來對這些標準加以評估,盡管在評估紙質文件時常常是這樣的。電腦打印件或是屏幕的影像僅僅是電子信息以規(guī)定格式的再次呈現(xiàn),而并未在原始來源、權威性或是完整性方面提供任何聯(lián)系。審計人員應該確定的是,用以生成、傳遞、紀錄和保存電子信息的控制手段和技術對于保證電子信息的可靠性是足夠的。
審計方法
電子審計證據對審計方法的影響是此研究報告中著重闡述的另一個重要事項。研究小組相信,電子信息的可靠性取決于信息系統(tǒng)(IS)和支持技術的可靠性。在數據生命周期中全程貫穿應用的IS控制和技術決定著由該系統(tǒng)生成的電子信息的可靠性程度,以及是否能作為審計證據使用。報告得出的結論是,在支持一項或多項財務報表事項的重要信息生成、傳遞、處理、紀錄和/或者是以電子形式保存的情況下,審計人員將傾向于選擇一種復合式方法以及實施控制測試以降低控制風險。如果內部控制不充分,審計人員將難以獲取足夠適當的審計證據。由于自動化的集成IS系統(tǒng)實務中提供的是無紙化審計線索,這樣在審計證據是由系統(tǒng)產生的電子數據時,審計人員將不能真正的采用任何的實質性審計方法。在上述情況下,僅僅依靠實質性審計程序的實施來降低檢查風險,使一個或多個報表項目的審計風險降到某個可接受的低水平顯得不太現(xiàn)實,因為為審計證據收集的電子信息中錯報誤報的巨大風險將不會被檢查出來。
控制和安全技術
該報告提供了總體控制、應用控制和安全技術指導。他們都與作為審計證據的電子信息的可靠性密切相關。 報告同時也解釋了這些控制措施和安全技術是如何幫助確保信息的真實性、完整性、權威性以及認證方式。更具體的是,報告還涉及了可應用于不相容職責和訪問控制的分離、保留、存檔、電子文檔和其他數據的可獲取性和毀壞、加密、電子簽名和數字證書、管理和審計線索以及計算機服務提供商與商業(yè)伙伴協(xié)議的政策和流程。報告中甚至討論了有助于保證電子信息真實性、完整性、權威性和認證的加密和非加密安全技術。
電子簽名
由于文檔簽署在電子環(huán)境中已脫胎換骨,所以這一事項需要仔細審查。電子簽名是一種描述由電子生成的技術中立的二進制形式的種類術語。它的形式多樣, 產生的方法也很多。在虛擬環(huán)境中,簽發(fā)者無法被真正確認。這就是為什么簽名不僅被用來作為許可意見的確認,也被用以識別簽發(fā)者本身。由于電子信息易于在不同媒介中遷移的特性,電子簽名和文檔本身是相互獨立的。簽名一定要與某個特定的文檔聯(lián)系同時確定文檔的真實性。簽名的目的同時也是為了降低電子簽名許可的法律不確定性。報告建議審計人員在評估電子簽名可靠性的時候對其認證、完整性、授權以及認可加以考慮。在獲取可靠電子簽名的時候,恰當的控制措施和技術是必不可少的。報告檢驗了多種現(xiàn)有的安全技術以及它們能夠幫助實現(xiàn)的目標。在當前,電子簽名和公共密鑰架構(PKI)也許是對于電子簽名而言最為值得信賴的技術和管理工具。所述架構的實施成本非常的高昂,而且目前在加拿大或是國際范圍內都還沒有建立起統(tǒng)一的標準。
法律意義
電子文檔和簽名已在加拿大以及世界范圍的法律認可上取得了不小的進展。與許多其它管轄權規(guī)定一樣,加拿大聯(lián)邦政府和大多數省份已經通過了電子商務法規(guī),并修改了各自的證據法案對電子文檔和簽名形式的證據加以承認,而且確立了此類證據的準入標準。盡管有如此顯著的進展,在加拿大法律下電子文檔和簽名許可條件仍存在某些法律上的不確定性。大的方面如管轄權和網絡交易適用法律的模糊性仍然存在。
在電子文檔的許可性受到質疑的情況下,試圖得到獲得承認的證據文件的人常常在驗證其真實性和完整性上遇到困難。決定證據的許可性得由法院作出判斷。組織實體降低與電子文檔許可相關的法律風險的最佳途徑是應用和維持一套可靠的信息系統(tǒng),和使用有助于確立數據真實性和完整性的恰當技術。
對于電子簽名來說,法律總體上是技術中立的,對適用于所有電子文檔的可靠性標準未作出細化規(guī)定。電子簽名的可靠性依賴于識別簽發(fā)者的可能性,電子文檔和簽名之間聯(lián)系的可靠性,以及判斷文檔在簽名之后被修改的可能性。
與鑒證標準相關的建議
研究小組建議,加拿大與審計證據和內部控制概念相關的鑒證標準應該根據電子審計證據及其證據所處的環(huán)境作出更新。更明確些說,報告建議加拿大鑒證標準作出以下調整:
承認審計收集的、用以支持審計報告的審計證據常常只以電子格式存在的事實;
對電子審計證據的特性進行規(guī)范,并指明其與傳統(tǒng)審計證據的不同之處;在現(xiàn)有建議中對審計證據的本質和來源提供更進一步的詳細資料,以便將電子環(huán)境納入考慮范圍;解釋評估電子審計證據可靠性的難度, 建立幫助評估的標準;
闡明電子審計證據對審計方法的影響;
闡明電子環(huán)境對證據獲取方法的影響;
闡明電子環(huán)境對審計線索和審計程序時間性的影響。
對于電子審計證據給審計方法所帶來的影響,指導也作出了細化的說明—在支持一個或多個財務報表項目的重要信息以電子形式生成、傳遞、處理、記錄和/或保存的情況下:
復合式審計方法也許是開展有效審計的唯一途徑;
在采用實質性審計方法之前,審計人員應該首先確信實質性審計程序的應用將顯著降低檢查風險,以使得審計風險降低到一個能夠接受的低水平;審計人員也許會得出下述結論,認為在實質性審計方法的基礎上對一個或多個財務報表項目的審計程序進行有效計劃是不可能或是不可行的。