今天,信息技术(IT)的发展和融合以及信息系统(IS)的整合已使得信息之间的无缝流动成为可能。组织对自动化和集成信息系统的与日俱增的依赖正在成为现实,而审计人员也正是在这一环境下收集电子信息,以作为审计证据。但是何为电子审计证据?它的特性是什么,它与传统的审计证据有何区别?它有何影响,尤其是对于审计方法而言?它有哪些风险,可以实施哪些控制手段降低这些风险?上述事项正是此份报告的着眼之处,它提供了实践性指导并建议鉴证标准委员会将这份关于电子证据和相关事项的指导纳入加拿大鉴证标准当中。
定义及特性
在这份研究报告中,电子审计证据被定义为任何生成的、传递的、经过处理的、记录的、以及/或者是以电子形式保存的被审计人员以来用以支持审计报告内容的信息。除非经过打印输出,运行和读取该数据唯一的渠道只能是硬盘和软件系统。电子信息的形式可以是文本、图像、音像文件。电子审计证据包括了会计记录,特别是原始文档、日记账和总账、支持性文件和其他任何形式的以电子形式存在的可为审计使用的数据或是信息。
电子审计证据是一种以数字形式存在但其逻辑结构却与信息本身相分离的信息。电子审计证据的特性在许多方面都有别于那些传统的证据:比如,它的来源更加难以被确立,信息的变化更加难以被侦测,确定相关授权人员的批准以及签名本身的真实性都更为困难。
电子审计证据的可靠性
电子审计证据出现所引起的一个基础性问题是,它本身是否能成为支持审计报告内容的足够恰当的一部分证据。从信息的真实性、完整性、权威性以及认可性方面考量,电子审计证据的确带来了一些特定的风险。相应的,研究报告也表明审计人员正是将这些因素作为了评估电子信息可靠性(以期能用作审计证据)的标准。每一项标准的重要性是由信息自身的属性和来源,以及将来可能的审计用途所决定的。这些标准同时也有可能在评估传统审计证据时发挥作用。审计人员不能简单的只通过查阅文件证据来对这些标准加以评估,尽管在评估纸质文件时常常是这样的。电脑打印件或是屏幕的影像仅仅是电子信息以规定格式的再次呈现,而并未在原始来源、权威性或是完整性方面提供任何联系。审计人员应该确定的是,用以生成、传递、纪录和保存电子信息的控制手段和技术对于保证电子信息的可靠性是足够的。
审计方法
电子审计证据对审计方法的影响是此研究报告中着重阐述的另一个重要事项。研究小组相信,电子信息的可靠性取决于信息系统(IS)和支持技术的可靠性。在数据生命周期中全程贯穿应用的IS控制和技术决定着由该系统生成的电子信息的可靠性程度,以及是否能作为审计证据使用。报告得出的结论是,在支持一项或多项财务报表事项的重要信息生成、传递、处理、纪录和/或者是以电子形式保存的情况下,审计人员将倾向于选择一种复合式方法以及实施控制测试以降低控制风险。如果内部控制不充分,审计人员将难以获取足够适当的审计证据。由于自动化的集成IS系统实务中提供的是无纸化审计线索,这样在审计证据是由系统产生的电子数据时,审计人员将不能真正的采用任何的实质性审计方法。在上述情况下,仅仅依靠实质性审计程序的实施来降低检查风险,使一个或多个报表项目的审计风险降到某个可接受的低水平显得不太现实,因为为审计证据收集的电子信息中错报误报的巨大风险将不会被检查出来。
控制和安全技术
该报告提供了总体控制、应用控制和安全技术指导。他们都与作为审计证据的电子信息的可靠性密切相关。 报告同时也解释了这些控制措施和安全技术是如何帮助确保信息的真实性、完整性、权威性以及认证方式。更具体的是,报告还涉及了可应用于不相容职责和访问控制的分离、保留、存档、电子文档和其他数据的可获取性和毁坏、加密、电子签名和数字证书、管理和审计线索以及计算机服务提供商与商业伙伴协议的政策和流程。报告中甚至讨论了有助于保证电子信息真实性、完整性、权威性和认证的加密和非加密安全技术。
电子签名
由于文档签署在电子环境中已脱胎换骨,所以这一事项需要仔细审查。电子签名是一种描述由电子生成的技术中立的二进制形式的种类术语。它的形式多样, 产生的方法也很多。在虚拟环境中,签发者无法被真正确认。这就是为什么签名不仅被用来作为许可意见的确认,也被用以识别签发者本身。由于电子信息易于在不同媒介中迁移的特性,电子签名和文档本身是相互独立的。签名一定要与某个特定的文档联系同时确定文档的真实性。签名的目的同时也是为了降低电子签名许可的法律不确定性。报告建议审计人员在评估电子签名可靠性的时候对其认证、完整性、授权以及认可加以考虑。在获取可靠电子签名的时候,恰当的控制措施和技术是必不可少的。报告检验了多种现有的安全技术以及它们能够帮助实现的目标。在当前,电子签名和公共密钥架构(PKI)也许是对于电子签名而言最为值得信赖的技术和管理工具。所述架构的实施成本非常的高昂,而且目前在加拿大或是国际范围内都还没有建立起统一的标准。
法律意义
电子文档和签名已在加拿大以及世界范围的法律认可上取得了不小的进展。与许多其它管辖权规定一样,加拿大联邦政府和大多数省份已经通过了电子商务法规,并修改了各自的证据法案对电子文档和签名形式的证据加以承认,而且确立了此类证据的准入标准。尽管有如此显著的进展,在加拿大法律下电子文档和签名许可条件仍存在某些法律上的不确定性。大的方面如管辖权和网络交易适用法律的模糊性仍然存在。
在电子文档的许可性受到质疑的情况下,试图得到获得承认的证据文件的人常常在验证其真实性和完整性上遇到困难。决定证据的许可性得由法院作出判断。组织实体降低与电子文档许可相关的法律风险的最佳途径是应用和维持一套可靠的信息系统,和使用有助于确立数据真实性和完整性的恰当技术。
对于电子签名来说,法律总体上是技术中立的,对适用于所有电子文档的可靠性标准未作出细化规定。电子签名的可靠性依赖于识别签发者的可能性,电子文档和签名之间联系的可靠性,以及判断文档在签名之后被修改的可能性。