1、引言

　　近年來，隨著我國信息技術(shù)的蓬勃發(fā)展，各行業(yè)的信息化水平都有不同程度的提高。在某些領(lǐng)域，尤其是國有商業(yè)銀行等，大型信息系統(tǒng)的應用已日趨成熟。這些信息系統(tǒng)的后臺普遍為大型數(shù)據(jù)庫（如Oracle，DB2等），存儲著海量的數(shù)據(jù)。如何快捷有效地從大型信息系統(tǒng)中采集審計所需的電子數(shù)據(jù)，成為審計人員必須面對的問題。筆者曾參與過對幾類大型信息系統(tǒng)的計算機審計工作，通過實踐總結(jié)了一些經(jīng)驗，希望借此文與廣大審計戰(zhàn)線的同仁相互交流，以期共同提高。

　　2、商業(yè)銀行信息系統(tǒng)特點及數(shù)據(jù)采集難點

　　一般而言，商業(yè)銀行信息系統(tǒng)復雜，數(shù)據(jù)量大。在其系統(tǒng)升級改造過程中，往往又牽涉到系統(tǒng)前后版本、新舊模塊的銜接與切換。這一切都導致在計算機審計過程中，數(shù)據(jù)采集涉及的對象極為繁雜。

　　2.1 系統(tǒng)結(jié)構(gòu)復雜

　　(1) 企業(yè)組織架構(gòu)復雜，各子單位應用系統(tǒng)數(shù)據(jù)較為零散。

　　一般的大型商業(yè)銀行都在各個地區(qū)設(shè)有分行，不少分行自建的信息系統(tǒng)與總行相對獨立。目前，仍有大量業(yè)務數(shù)據(jù)分散存儲于各分行，只能通過從各分行匯總上報，以取得相對完整的數(shù)據(jù)。

　　(2) 系統(tǒng)的原始資料缺失，部分系統(tǒng)缺少說明文檔。

　　銀行信息系統(tǒng)開發(fā)周期長，早期的項目管理大多不甚規(guī)范。部分系統(tǒng)ER圖、軟件開發(fā)文檔缺失。審計過程中對該部分系統(tǒng)架構(gòu)和業(yè)務流程很難有清晰的概念，從而導致數(shù)據(jù)采集過程中難以對所需的業(yè)務數(shù)據(jù)進行精確定位。

　　2.2 信息系統(tǒng)版本繁多

　　系統(tǒng)在多年的開發(fā)過程中存在諸多應用版本，且多個版本并存。

　　商業(yè)銀行信息系統(tǒng)包含以下幾個主要組成模塊：核心賬務系統(tǒng)、信貸管理系統(tǒng)、國際業(yè)務處理系統(tǒng)、客戶綜合信息系統(tǒng)等。在整個信息系統(tǒng)升級換代過程中，不同系統(tǒng)運行著不同版本的應用模塊，給業(yè)務數(shù)據(jù)的匯總工作帶來了很大的困難。

　　(1) 數(shù)據(jù)集中升級過程中不同子系統(tǒng)上線及廢止時間不一致。

　　在商業(yè)銀行新版本信息系統(tǒng)的推廣過程中，因地域差異等原因，各分行系統(tǒng)上線及廢止時間往往不盡一致。在數(shù)據(jù)采集過程中，如需延伸審計各分行系統(tǒng)升級過程中的業(yè)務數(shù)據(jù)，則很可能同時面對新舊兩個版本的系統(tǒng)，這給數(shù)據(jù)的整合也提出了更高要求。

　　2.3 數(shù)據(jù)復雜工作強度及難度大

　　(1) 審計涉及面光并且數(shù)據(jù)量大，服務器負擔較重。

　　在對商業(yè)銀行的審計中，審計涉及的業(yè)務數(shù)據(jù)常逾數(shù)百G。而審計現(xiàn)場搭建的數(shù)據(jù)服務器因處理能力的限制，常會出現(xiàn)硬盤容量不足，數(shù)據(jù)采集轉(zhuǎn)換速度過慢的情況。針對此種情況，一方面要不斷提高數(shù)據(jù)服務器的軟硬件配置；另一方面采取及時刪除中間表、利用機器空余時間進行運算等手段提高數(shù)據(jù)采集和整理的效率。

　　(2) 數(shù)據(jù)來源眾多，不同口徑數(shù)據(jù)往往存在差異。

　　在審計過程中，不同分行及相應職能部門提交的數(shù)據(jù)往往存在一定的差異。這些差異一般是由于統(tǒng)計口徑的不同而產(chǎn)生的。在此情況下，審計人員需花費大量時間用于查找數(shù)據(jù)差異并分析原因，從而延緩整個審計進度。

　　(3) 系統(tǒng)流程復雜，數(shù)據(jù)核實難度較大

　　商業(yè)銀行提供的一些匯總報表，如資產(chǎn)負債表、損益表等，往往是從整個系統(tǒng)中抽取的數(shù)字進行統(tǒng)計的結(jié)果，過程非常復雜。審計人員要對此類數(shù)據(jù)進行核實，難度較大。

　　3、商業(yè)銀行信息系統(tǒng)數(shù)據(jù)采集實踐

　　針對商業(yè)銀行信息系統(tǒng)的特點以及在審計過程中數(shù)據(jù)采集的難點，筆者在實踐中總結(jié)了一些海量數(shù)據(jù)的采集方法，在實際工作中，可有效克服業(yè)務數(shù)據(jù)采集中的常見問題，從而大大提高審計工作的效率。

　　3.1 審前調(diào)查

　　在傳統(tǒng)審計模式下，不論審計項目的大小，在審計之前都要對審計對象的基本情況進行了解，以便制定切實可行的審計方案，有條不紊的開展審計工作。信息系統(tǒng)數(shù)據(jù)的采集工作同樣如此，需要審計人員進行審前調(diào)查，而且審前調(diào)查的內(nèi)容不僅包括常規(guī)審計方法下的一些內(nèi)容，還有著更多與計算機審計相關(guān)的內(nèi)容。具體包括：

　　(1) 業(yè)務流程

　　要詳細了解商業(yè)銀行每個業(yè)務環(huán)節(jié)的具體操作方式和目的，并根據(jù)了解的情況繪制業(yè)務流程圖。目的是使審計人員有一個初步的審計思路，更好的設(shè)計切實可行的審計方案，同時初步確定數(shù)據(jù)采集的范圍。

　　(2) 組織架構(gòu)

　　對被審計單位整體組織架構(gòu)有一個詳盡的了解。根據(jù)了解的情況繪制被審計單位的組織結(jié)構(gòu)圖。從而使得審計人員對被審計單位的結(jié)構(gòu)進行了解，進而對業(yè)務的流程有著更為清晰的了解。

　　(3) 計算機系統(tǒng)

　　了解商業(yè)銀行計算機的軟硬件配置情況，包括操作系統(tǒng)、常用軟件、主要服務器的硬件配置情況等。目的是方便數(shù)據(jù)的采集和轉(zhuǎn)出。

　　(4) 業(yè)務系統(tǒng)

　　了解商業(yè)銀行業(yè)務系統(tǒng)的名稱、版本、開發(fā)商、功能等內(nèi)容，以及業(yè)務操作系統(tǒng)中的重點表、業(yè)務系統(tǒng)間的關(guān)聯(lián)關(guān)系、各系統(tǒng)在業(yè)務流程中的重要性程度等。

　　(5) 數(shù)據(jù)庫系統(tǒng)

　　了解被審計單位業(yè)務系統(tǒng)所使用的各個數(shù)據(jù)庫系統(tǒng)的基本情況，包括數(shù)據(jù)庫系統(tǒng)的名稱和版本，數(shù)據(jù)庫系統(tǒng)本身的格式，通過該系統(tǒng)可導出的數(shù)據(jù)文件格式等。

　　通過審前調(diào)查，審計人員還需要進一步明確相關(guān)業(yè)務數(shù)據(jù)的具體格式。數(shù)據(jù)格式以滿足審計人員的需求或?qū)徲嬡浖牟杉鬄闇?。如無法達到以上要求，則需通過源數(shù)據(jù)處理等方法將其轉(zhuǎn)換為所需的數(shù)據(jù)格式。

　　審前調(diào)查階段結(jié)束時，審計人員需要向被審計商業(yè)銀行提出電子數(shù)據(jù)需求表，同時要求對方提供相應的數(shù)據(jù)字典。在數(shù)據(jù)字典中，應包括數(shù)據(jù)表間的關(guān)系、字段含義，以及數(shù)據(jù)流程圖。

　　3.2 數(shù)據(jù)采集

　　(1) 數(shù)據(jù)采集的具體方法

　　一是利用商業(yè)銀行后臺數(shù)據(jù)庫管理系統(tǒng)的數(shù)據(jù)導出功能，將所需業(yè)務數(shù)據(jù)按固定格式導出，形成txt等格式的數(shù)據(jù)文件，進而導入審計現(xiàn)場的數(shù)據(jù)服務器中。

　　二是拷貝信息系統(tǒng)的備份文件，然后在類似系統(tǒng)環(huán)境下重建該數(shù)據(jù)系統(tǒng)，或者建立審計中間表。審計人員在重建后的系統(tǒng)或者中間表上開展審計分析工作。

　　三是使用審計軟件自帶的數(shù)據(jù)轉(zhuǎn)出工具。如《現(xiàn)場審計實施系統(tǒng)》自帶的數(shù)據(jù)轉(zhuǎn)換接口工具。

　　四是使用通用數(shù)據(jù)轉(zhuǎn)出工具。例如：某商業(yè)銀行的后臺數(shù)據(jù)庫為DB2，我們可以直接使用ODBC將DB2中所需的數(shù)據(jù)導入數(shù)據(jù)服務器的SQL Server數(shù)據(jù)庫中。

　　審計人員需根據(jù)被審計商業(yè)銀行的數(shù)據(jù)特點靈活挑選具體的數(shù)據(jù)采集方式。如：數(shù)據(jù)密集型部門，由于數(shù)據(jù)量通常超過一般審計軟件的處理能力，目前通用的數(shù)據(jù)采集方式則是重建模擬系統(tǒng)，然后在模擬系統(tǒng)中進行數(shù)據(jù)篩選等操作。內(nèi)部財務等數(shù)據(jù)量不大的部門，則完全可以使用SQL Server等中小型數(shù)據(jù)庫軟件在臺式機上進行數(shù)據(jù)采集和分析。

　　(2) 數(shù)據(jù)采集點的選擇

　　根據(jù)被審計商業(yè)銀行的數(shù)據(jù)存儲模式，可采用不同的數(shù)據(jù)采集策略。對于數(shù)據(jù)集中存放的銀行，采集點最好選擇數(shù)據(jù)集中點。對于數(shù)據(jù)分散存放的銀行，則可以采用兩種方式進行數(shù)據(jù)采集。一種是與每個數(shù)據(jù)存放點建立數(shù)據(jù)連結(jié)通路，單獨采集數(shù)據(jù)，匯總到數(shù)據(jù)中心后對其進行整合；另一種是在數(shù)據(jù)采集前，請被審計銀行利用自己的網(wǎng)絡將數(shù)據(jù)集中后供審計人員集中采集。

　　(3) 數(shù)據(jù)采集頻率選擇

　　聯(lián)網(wǎng)審計的數(shù)據(jù)采集頻率是由被審計單位數(shù)據(jù)在生產(chǎn)系統(tǒng)中的保留時間、被審計系統(tǒng)的業(yè)務特征、審計周期等因素綜合確定。采集頻率還應該可以根據(jù)審計的需要方便的設(shè)置，一般以系統(tǒng)參數(shù)的形式給出。另外，采集周期的選擇也要考慮到審計周期的長短。

　　3.3 數(shù)據(jù)驗證

　　數(shù)據(jù)驗證是對采集到的商業(yè)銀行電子數(shù)據(jù)的真實性和完整性的檢查，以確保審計數(shù)據(jù)和審計工作的質(zhì)量，防止“假賬真查”。

　　由于銀行信息系統(tǒng)較為復雜，如果對采集的全部數(shù)據(jù)進行驗證工作顯然難以實現(xiàn)。因此，必須選擇重點系統(tǒng)和重點數(shù)據(jù)表，對其內(nèi)容進行驗證。同時，還可根據(jù)系統(tǒng)內(nèi)部的業(yè)務邏輯，通過不同業(yè)務數(shù)據(jù)之間的勾稽關(guān)系來對數(shù)據(jù)進行交叉驗證，從側(cè)面印證業(yè)務數(shù)據(jù)的真實性、完整性。

　　4 數(shù)據(jù)采集的經(jīng)驗

　　4.1 分離審計

　　在現(xiàn)場審計過程中，審計人員不得直接對被審計軟件系統(tǒng)的數(shù)據(jù)庫進行分析和測試，而應首先將業(yè)務數(shù)據(jù)遷移到審計人員搭建的數(shù)據(jù)平臺，以免對被審計軟件系統(tǒng)中的數(shù)據(jù)造成破壞。

　　4.2 保證審計軟件的運行效率

　　無論采用何種數(shù)據(jù)采集方法，在審計軟件初步接受被采集數(shù)據(jù)到確認保存數(shù)據(jù)的過程中，可能會產(chǎn)生一些臨時數(shù)據(jù)表。長此以往，勢必影響審計軟件的運行速度。為了避免臨時數(shù)據(jù)占用計算機磁盤和內(nèi)存空間，提高審計軟件的運行效率，可以數(shù)據(jù)采集后集中對臨時數(shù)據(jù)進行清理。

　　4.3 加強安全保密

　　對于已采集的業(yè)務數(shù)據(jù)要進行加密，以保證其安全性。對審計軟件應確認關(guān)閉其數(shù)據(jù)出口，防止無關(guān)人員隨意調(diào)用、改動，從而導致數(shù)據(jù)遭到破壞或泄漏，對被審計商業(yè)銀行的利益造成損害。

　　4.4 靈活運用第三方輔助軟件

　　在數(shù)據(jù)采集中，可以靈活運用第三方的輔助軟件，以提高工作效率。如在采集流程中，需要創(chuàng)建、導出、導入諸多數(shù)據(jù)表文件，操作繁雜，但同時大部分工作又存在著高度的相似性。此時可以運用UltraEdit等文本處理軟件，通過其列模式、文本快速定位、文本對比等功能，簡化操作過程，進一步減少數(shù)據(jù)采集階段的工作時間。(審計署駐上海特派員辦事處)