【关键词】计算机审计;内部审计;外部审计;协调与分工
一、何为计算机审计
计算机审计的出现是随着信息时代的浪潮一块到来的。在审计工作中,对于数据的处理采取电算化的方式是计算机审计最早的应用。它有两方面的意义,一是计算机是辅助的审计工具;二是审计的系统由人工审计系统改变为了计算机辅助的审计系统,这实质上是一种自动化的系统审计的过程。是对存储有财务会计信息等数据载体进行的可靠性分析。在目前来看,计算机审计主要有这几种:内部控制审计,系统控制审计,外部控制的审计,以及对于数据信息的审计等。计算机审计技术在方法技术上与人工审计的方法有所不同,但是就本质意义上来讲,它们两者在审计的目的和性质上并没有发生多少改变,因此我们说计算机审计和人工审计在本质上并没有区别。现在有人会猜测,按照这样的趋势发展,最终计算机审计会从我们传统意义上的财务审计管理中分割开,形成一个独立的分支。从审计的范围来看,计算机审计的内容与范围正在发生改变。依照这样的趋势,计算机审计极有可能会独立于传统的财务审计之外。但是,从大的范围上来讲,计算机审计在审计主体上,还只是审计的一种辅助的手段,其不可能独立于内部审计和外部审计而自己独立运作。从另一方面来看,信息技术具有很强的融合性,很难真正把计算机审计和人工审计真正意义上剥离开来,这种工具往往和自身被审计的业务进行结合,很难单纯来讲属于哪一种具体的审计业务。这样来讲,计算机审计必然也会存在内部审计与外部审计的分工与协作的问题。在信息技术越来越发达的今天,审计人员应该更加重视这类课题的研究。
二、计算机审计中的内部审计和外部审计分工进行协作的原则
计算机审计在审计范围上比人工审计要大的多。这种系统最后输出的正确性其实取决于人与机器的协调配合。因此,进行审计时还要特别对审计所用计算机的各种系统和审计程序与文件进行详细的审查,并且还要对计算机使用人员的配置进行审查。由于计算机审计的特殊性,前期犯的小错误会在审计的后期被放大,因此利用计算机进行辅助审计时必须要进行事前的审计。无论采取什么样的审计方法建立信息管理模式,都必须要事前审计与事中审计进行有效的结合,坚特规范性审计和效益型审计同等重要的原则。
三、计算机审计中内部审计与外部审计进行协作的内容
一般意义上来说,由系统进行的审计主要由内部审计进行承担。这种审计模式一般是由全生命周期模式组成的。审计中的每一个阶段都要进行技术上和管理上的检查。这种检查主要是为了降低进行审计的成本。内部审计人员主要是从项目的成本和进度进行审查,内部审计人员在审计时要对系统的有效性进行相关的检验,也要对被审计对象文件的规范性进行审计。这种情形下就要求企业内部的审计人员具备复合型的知识,既要懂得财务知识,又要对计算机在审计工作的作用了解的比较透彻。这符合当代社会对于人才的复合型的要求。但是内部控制系统的审计就必须要内部审计与外部审计相结合才能进行。内部审计是为了加强和完善企业对于内部流程的控制。例如对于系统安全性地审计,内部控制人员一般关注是否有登陆限制措施,或者是否能够应对突发的数据大量丢失的情形,有没有相关的特别的补救计划等等。内部审计还要对计算机是否配置相关的人员进行检查。与内部审计侧重点不同的是,外部审计主要是对计算机进行控制的审计,它从数据的采集处理与分析每个环节都要确保最后的输出结果是符合实际情况的。对于被审计企业的内部控制措施的审计应该有专门的软件在审计小组来完成。内部进行的审计一般是通过对系统进行实质性的测试来完成。外部审计一般对审计系统的符合性进行审查。这项工作不是由外部审计人员来完成的,而是由专业的软件小组来完成的。根据不同的构建方法,软件小组一般可以分为独立进行的小组和合作型的小组来完成最终的审计工作。审计对象是数据类型的文件时,一般来说都是由外部审计来进行承担的。审计数据型文件的目的有两个:一种是对数据文件进行相关的实质性内容的测试,主要测试数据文件的规范性。另外一种是对于软件输出的数据是否符合法律条件和行业标准进行审计,也要检查数据在系统的维护和运行下最后是否合法进行审查。从整体来看,在不同的计算机信息系统下,内部审计和外部审计以及软件小组审计有不同的工作准则。系统开发的审计并不等同于会计审计。系统开发的审计是对会计信息系统构建的过程。软件评审小组的主要工作内容是应用软件包法、资源外包法和最终用户开发法。内部审计主要承担的职责是系统开发的审计。内部控制系统的审计侧重其中一般控制系统的审计。与软件的审计小组和外部的审计人员一起在软件验收时对软件的应用程序进行相关的验收。软件的使用过程中的内部审计侧重于一般的控制系统的审计。外部审计工作主要是数据文件的审计,其中侧重的是应用系统的审计。主要是对内部审计软件的质量和应用程序进行审计。如果对审计的结果持有怀疑的态度,就可以委托软件评审小组对软件和其中的应用程序的内部控制措施进行测试。
四、总结
计算机审计离不开外部审计与内部审计相结合的特点。根据计算机审计在时间和空间上的特点,计算机审计中的内部审计与外部审计既要分工明确,又要在合作时共同协调进行审计,这样才能将审计工作扎实推进。
参考文献
[1]徐龙华.内审标准又添新内容[N].中国财经报(财会世界周刊),2003-2-19(5).
[2]张金城.21世纪中国计算机审计的发展方向[J].审计理论与实践,2000,(11):7-8.
[关键词]会计电算化计算机审计发展思路
一、计算机审计是会计电算化的产物
深化改革是我国经济保持平稳较快增长的必由之路,也是建立现代企业会计制度的必由之路。在深化经济体制改革的过程中,会计电算化得到了普遍应用。会计电算化的普及对审计产生了非常大的影响,表现在多个方面,首先是对审计线索的影响尤其突出。实施了会计电算化,审计线索会发生很大的变化,传统的审计线索在电算化系统中中断甚至消失。其次是对审计内容的影响。系统的处理是否合法合规,是否安全可靠,都与计算机系统的处理和控制功能有关。因此在会计电算化条件下,审计人员要花费较多的时间和精力来了解和审查计算机系统的功能,以证实其处理的合法性、正确性、完整性和安全性。再次是对审计技术手段和方法的影响。实现会计电算化以后,会计电算化信息系统与传统手工会计系统相比,在许多方面发生了变化,必须采用新的审计技术方法才能适应这种变化。最后是对审计人员的影响。计算机要求审计人员除了要具有丰富的财务会计、审计等方面的知识和技能,熟悉有关的政策、法令依据外,还应掌握一定的计算机知识和应用技术。
由此可见,会计电算化的应用必然影响审计工作。会计电算化给审计提出了许多新问题和新要求,传统的审计已不能适应电算化的发展需要,开展计算机审计势在必行。
二、制约计算机审计发展的主要问题
会计电算化对传统的会计理论和实务产生了重大影响,必然对传统的审计产生很大的影响。所以,必须制定与新情况相适应的计算机审计准则,以利于开展计算机审计工作。与此同时,计算机审计准则的制定和计算机审计的开展将会对会计电算化的发展产生积极的推动作用。
在开展计算机审计工作中会遇到许多问题。这些问题正制约着计算机审计工作的进一步发展。概括有以下几个方面:
1.由于缺乏统一的计算机审计准则和标准,开展计算机审计存在较大风险。一是对计算机知识缺乏足够的了解,包括被审计单位的计算机系统程序缺乏了解,以及数据采集可能带来的机密泄露;二是使用技术不成熟的审计软件。有的审计软件没有经过科学的测试,可能本身就存在设计缺陷;三是审计证据的可靠性。由于有的被审计单位计算机运行处在缺乏控制的状态,审计人员就不能过分依靠,否则难以保证审计证据的可靠;四是过分对计算机技术的依赖。审计工作中,审计人员过分依赖计算机技术可能会导致检查效率低下,取证范围狭窄,审计证据不充分。
2.传统的思维方式和审计方法,阻碍了计算机审计的快速推进。首先,存在着用传统思维方式看待审计信息化,缺乏推进计算机审计的信心和远见。在计算机审计遇到困难时,不是从主观上找原因,而是简单地否定计算机审计的应用价值。其次,对计算机审计持观望和等待的态度。有的人认为计算机审计没什么大的用场,还不如手工审计快,不愿把时间浪费在掌握计算机技术上,无暇顾及计算机这一技术问题,自我隔离在信息化之外。其三,存在着技术困难和理念困惑,还没有真正认识到审计信息化必将带来人们思维方式、审计技术方法和作业流程的变革。
3.审计人员的素质与信息化发展水平不匹配,影响了计算机审计的整体推进。目前,有些审计机关面临的一个较大的问题是审计业务水平与审计信息化建设和发展的要求不相适应。一方面,由于审计人员队伍的老龄化,部分审计人员虽然有丰富的财会、审计知识和经验,但由于历史、客观的原因使他们没有机会接触计算机,造成一些知识结构上的欠缺,他们还很难提出符合信息化规律的审计需求,将传统的审计技术方法转换为计算机可以操作的语言还需要有个磨合的过程。另一方面,年轻的审计人员虽然掌握一定的计算机知识,但由于非计算机专业毕业,仅掌握浅层次的计算机基础知识和运用技能,缺乏深层次的计算机系统设计、程序编译检测技能,还不能有效分析系统结构。因此要真正运用计算机软件,完成难度较大的实质性审计程序尚有难度,需依赖专业的计算机技术人员协助,造成审计人员独立性减弱。此外,由于培训时间短,技术掌握不熟练,在审计过程中,还没有将计算机审计真正应用起来。实际运用与软件设计的要求还有一定的差距。4.对计算机审计软件开发和运用缓慢。目前由于电信、金融等机构计算机技术发展迅速,从而审计软件也开发利用较多,但其他领域较少,而通用的审计软件就更少了。迫切需要尽快开发实用审计软件,以提高计算机审计水平。
5.审计信息资源关联差,存在浪费。许多审计信息资料与数据储存在每一台电脑之中,审计信息资料不能有效地与局域网络进行链接,审计信息与数据不能互通,资源与信息没有实现共享。局域网内的审计数据库开发和建设不够完善,还没有为开展计算机审计提供更加便利的条件和环境。
三、计算机审计的发展思路
针对计算机审计发展中存在的问题,提出如下意见和建议,并采取有效措施,大力推动计算机审计工作的发展。
1.制定统一的计算机审计准则、规范和标准,有效规避计算机审计风险。要尽快制定计算机审计标准和准则,对计算机系统内部控制的评价、对审计人员应具备的资格、计算机审计过程和相关的审计技术以及证据收集等方面做出规范。保证计算机审计质量。
2.进一步提高认识,普及计算机审计知识,形成有利审计信息化实施的好环境。每一位审计人员都要提高对开展计算机审计工作的认识。要使审计人员不仅要了解计算机知识和原理;而且还要增强开展计算机审计的意识,并掌握计算机审计操作方法,逐步能根据审计过程中所出现的种种问题及时编写出各种测试、审查程序的模块。为此要大力强化审计干部开展计算机审计的紧迫性的认识,通过学习培训提高对计算机及网络知识的认识。
3.引入市场机制,尽快开发出更多的计算机审计应用软件。从开展计算机审计的实践来看,应当主要开发以下计算机应用审计软件:一是能帮助数据下载,提供不同被审计单位的计算机系统接口的软件;二是能对各管理系统进行测试软件。按特定标准生成用于测试系统的数据,使用测试数据检验程序进程,检测被审计单位执行的功能;三是能进行数据测试的审计软件。按审计的要求抽取数据后执行审计功能;四是建立规范的综合性审计数据库,包括满足制定审计计划需要的数据库,积累审计工作经验的数据库和为编写审计报告提供参考的数据库等。
4.各级审计机关要结合实际,开发适应基层审计工作的小软件。各级审计机关在引进和运用上级审计机关推广的通用审计软件的同时,更要注重结合各地的审计实践,开发出具有行业特点和地方特色的小软件。以通用性和适用性为原则,由最初的利用通用审计软件进行简单的查询和统计分析,向建立具体业务审计模型方向发展,形成较为固定的计算机审计模型,注意满足不同审计对象的相同审计项目的需要,方便不同类型数据的采集、转换与分析,避免资源浪费。
5.加强培训,建设一支适应时代需要的审计队伍。对审计人员素质的提高,要结合实际,因地制宜,分层进行。要经过培训使一线审计人员计算机审计能够分析建模,制订方案,建立审计模型;能够采集数据,下载数据,整理数据;转换数据和分析数据;最后要形成审计结果。
6.科学规划,循序渐进。要按照标准化、规范化、科学化的要求,加强网络硬件的配置。本着“先易后难,先急后缓”的原则。在软件的开发与应用上,要围绕审计项目的实际需要,积极探索适用对路的小软件,逐步建立功能配套、数据完备、操作简便的计算机审计系统。工作中要克服各自为政的状况,积极推行市场化运作模式,避免重复浪费。为此,审计机关的主要领导要经常研究计算机审计方面的问题,加大管理力度,进一步加强目标考核,将计算机审计的推广与应用作为一项硬指标落实到每个审计干部身上,引入奖惩激励机制,形成计算机审计良性发展的态势。
参考文献:
[1]孙伟峰:会计电算化信息系统的特点及其对审计的影响[J];会计之友;2004年04期;70--71
[2]严永斌:我国计算机审计现状及建议[J];会计之友;2006年03期;59--61
[3]张文婧:改进审计业务管理的思考[J];审计与经济研究;2007年03期;41--43
1.1系统风险
系统风险的范围十分广,也是计算机审计最致命的风险。系统风险分为软件环境风险和硬件环境风险。计算机系统是非常复杂的,在文件的记录或操作中由于规范、标准等不统一,进而产生了风险。计算机网络系统是一个开放的系统,其通过互联网及数据库管理系统进行管理,这样就有可能受到外部网络影响,如病毒、黑客的入侵,这些都严重威胁着计算机审计系统的安全。
1.2系统控制风险
系统控制风险是因为审计系统控制不严密造成的。我们知道,传统的审计工作是人与人之间的监督与控制,而在实施电算化以后这种情况就发生了变化,主要表现为人和机器的双重控制,且以对机器的控制为主。审计对象的变化使审计风险发生了转移,审计人员需要对软件开发商在设计软件时嵌入到程序中的内部控制软件方面的内容进行测试,而这些对审计人员而言是一件难度极大的任务。
1.3数据风险
数据风险主要指数据为人为破坏的风险。传统的审计资料是纸质的,人为修改后会留下痕迹,所以篡改的可能性不大。而在运用电算化系统以后,人为篡改数据就不会留下痕迹。特别是系统内的计算公式,被篡改后将导致财务报表的严重失真。由于财务人员并不了解系统如何计算的,所以即便是产生了很大误差也难以发现。对此,审计人员只能靠自己的判断力和经验了。
1.4审计软件风险
审计软件风险是指软件自身的缺陷引起的风险。审计软件没有经过权威部门评审或没有定期升级更新,都会造成软件的不稳定,进而内部的审计核算方法与会计核算不一致的情况。在软件开发中,审计人员不懂软件开发,所以无法将使用需求表达清楚;开发人员不懂审计业务,开发起来同样面临着巨大困难,这两点因素会造成软件在开发之初就存在缺陷,进而影响审计计算、分析。
2、审计风险的规避策略
2.1审前调查,获取充分、准确的信息
在开展审计工作前,应对被审计单位的组织结构进行一系列的详细的调查,对计算机审计系统的软件及硬件有一个大致的了解。针对系统做出详细的评估,如软硬件、技术文档、开况、数据等。据此提出可行的、能满足审计需要的数据采集对象及采集方法。采集的数据必须保证是审计期间的财务数据且都是“结账”后的数据。对纸质凭证等数据进行核对,电子数据应制定责任承诺书,确保提供的电子数据是真实的,数据失真将受到相关责任制度的处罚。
2.2开发和使用计算机审计软件
开发专业的审计软件,通过审计软件来直接房问被审计单位数据,进而完成数据的复核,减少数据索取的繁琐环节,提高工作效率。为给计算机审计打开通道,就必须根据实际需求开发审计软件。尤其是数据采集上,审计软件要有非常的兼容功能,能够访问不同介质、不同编码、不同类型的数据库,进而消除“瓶颈”。在审计软件的应用,要建立完善的应用责任机制,提高审计的威慑力,进而降低审计风险。
2.3加大审计培训力度
大多计算机审计人员是由传统审计转换过来的,审计专业知识较扎实,计算机能力欠缺,所以在计算机审计风险防范上不足。随着计算机技术的广泛应用,审计线索、审计内容、审计技术等都发生了改变,这就对审计人员提出更高的要求。一名高素质的审计人员,不仅要具有扎实的理论知识基础,还要计算机及计算机网络有一定了解,能够熟练操作计算机。因此,加强审计人员应用计算机能力的培训,是当前亟待解决的控制计算机检查风险的首要任务。
2.4加强审计网络的建设工作
网络是计算机审计的前提条件,所以应该有健全的计算机网络。由于我国计算机网络及软件开发较晚,计算机审计的开展存在一定的限制。计算机审计必然要以审计软件为工具,所以必须加快审计软件的研究与开发。有自主研发和委托开发两种模式,其开发中要注重审计软件与会计软件的结合,这样就可以把两个网络联系起来,以便更迅速地获取审计数据,节省工作时间,提高工作效率。
2.5创新审计技术
一、计算机审计技术
计算机审计技术,是指通过计算机完成一系列审计工作的计算,从大体上讲,主要包括数据转换和验证。计算机审计的目的分析数据和整理数据,最终获得审计证据。审计的最重要步骤是数据分析,这个过程直接影响审计结构。
在计算机审计中,数据的分析方式是审计工作中最重要的步骤,审计人员应掌握数据的分析思路,并将自身的审计能力和水平发挥出来。从审计事业的角度来讲,能够给审计思路进行正确和深入的总结是体现计算机审计整体发展水平的重要内容。审计人员应从设定计算和限定条件的过程中,创新审计思路,由此判断审计单位经济活动的真实性和合法性,然后做出合理的判断。
二、基于数据挖掘的审计模式
随着计算机审计理论的不断发展和实践的不断完善,很多计算机审计模式被合理的融入到审计工作中,由于实际工作的需要和相关技术的发展,数据挖掘技术被尝试性地引入了审计过程当中。审计人员通过数据挖掘给审计工作的创新带来了新的突破,现将数据挖掘计算的计算机审计模式归纳如下,如图1所示。图1:数据挖掘计算的计算机审计模式数据挖掘技术能提供高效的方法,让审计人员在面对大量而复杂的审计数据时,拥有宽广的思路。数据挖掘技术在审计项目中主要有两大作用:一是在海量的数据中寻找有用的知识作为审计线索;二是直接找到孤立点。
计算机审计模式因为数据挖掘技术的应用而有所完善,并解决了很多计算机审计模式中的缺点。我国正处于“问题导向型”政府审计的环境中,计算机审计的目的是发现一些异常数据明确被审计单位的业务活动是否具有合法性和合规性。数据挖掘技术在计算机审计中,是为了找出一组异常和孤立的数据,由此获取知识丰富现有的审计知识,并完善业务逻辑等方面。
(一)查询式
在计算机审计模式中,最常被使用的是查询式。这种方法主要是审计人员将采集到的被审计单位的数据,在整理后存入审计人员的数据库,然后编写成SQL语句,进行灵活的查询,由此更加有效的利用数据挖掘技术进行查找和分析,并对记录进行累计、基数,综合计算其最大值和最小值,连接不同的表格,运用函数编写公式,从而生成疑点再进行核实。
这种审计模式的核心技术是掌握SQL语句,该方法的主要对象是关系数据库的二维表。该方法对审计人员的SQL语句的掌握能力要求较高,如何审计情况比较复杂,那么SQL语句也会变得复杂,步骤也较多。这种方法的图形数据很少,结果无法直观的体现出来。例如在以此农村信用社贷款的审计过程中,审计人员在将数据导入整理后,想在贷款数据表输入对应的查找条件,并对应写出转换后的SQL语句。
(二)验证式
这种审计模式需要审计人员先提出自己的假设,然后采用一定技术和方法进行验证和否定这个假设。这种假设到验证的分析方法在日常生活中很常见,在审计工作中,应充分分析这种审计模式的关键,并提出相关合理的假设,假设的提出与审计人员的职业判断有一定关系。例如在某大型酒厂销售的真实性审计中,酒厂标准的酒包装是每盒1瓶,每箱6瓶盒,每件6盒,所以可以得出1件=1箱=6瓶=6盒。由此审计人员能够得到假设,在酒厂进行销售期间,酒产品的数量和消耗的包装物数据应该有一定比例关系,然后在通过这一假设,验证酒厂销售收入情况是否真实。如果审计数据过于复杂,就无法简单的假设,那么可以使用多维分析技术进行准确的分析。
所以,审计人员运用数据挖掘分析和计算审计数据,并找出数据的规律和特点,然后通过相关方法,将这些数据整理成图形或报表展示出来,根据这些内容总结审计经验,建立审计经验库,或是得出新的审计经验,并对这种经验的合理性和准确性进行判断。审计人员应根据审计经验进行适当的更正,并之前不够准确的审计经验,重新挖掘和分析,进行总结归纳,由此可以得出,数据挖掘技术的工作可能是一个不断重复的过程,并且是对目前计算机审计的一种补充。
三、结束语
随着会计电器化的广泛应用,传统内部审计面临着新的挑战,从而出现了电算化会计系统的内部审计。
一、计算机会计系统内部审计的特点
计算机会计系统内部审计的特点,首先是审计的系统性,要对数据、硬件、软件等各种要素进行系统的分析和检查,才能确定输出结果的正确性,作出可靠的审计结论。第二是审计的复杂性,这是由被审系统数据处理方式、数据贮存方式、系统控制方式、应用系统和电子计算机辅助审计技术的多样性和复杂性所决定的。第三是审计资料的隐蔽性、敏感性和易逝性,这是由于审计线索主要以两种形式存在:一种是肉眼可以看见的审计线索,如输入的原始凭证、记账凭证等原始文件、打印出来的会计账簿、会计报表等;另一种是肉眼看不见的,如存储在软盘或硬盘上的会计数据库资料等。第四是审计的运行性,即在不断运行的系统中进行审计和监督。
二、计算机会计系统内部审计的内容
内部审计可以从硬件和软件的系统控制和实质性审查两个方面来进行审计。
l、内控制度的审计。对内部控制制度的审查与评价,既是审计的基础,又是审计的前提。从实施的角度来看,内部控制有些是通过程序来实施的,有些则是通过制度约束来实现的。通过程序的设计和运行来实施控制的“程序化”控制,和通过建立管理工作制度来完成控制的“制度化”控制,必须通过内部审计来确保其实施,才能使计算机会计系统的安全、可靠和稳定得到双重保险。在电算化条件下,虽然仍要审查传统审计的一些内容,但重点主要在于系统软硬件及数据的内部控制。
内部审计人员应在本单位以上各方面制度的制定过程中,积极发挥参谋作用,并在以上制度的实施过程中,定期审计或突击检查,查找内部控制的弱点,提出改进措施,使制定的内部控制制度得以执行,以保证会计数据的安全性、有效性、完整性和准确性。
2、实质性审计。在手工条件下,审计主要是对书面资料进行审查。在电算化条件下,会计核算由计算机在程序的控制下完成,除了审查输入和输出数据,还要审查电子计算机程序和贮存在机内的数据文件。因此审计工作重点转移至对会计软件合法性、正确性的审查和对机内数据文件的审计方面。
三、计算机会计系统内部审计的方法
针对电算化会计系统审计的特点,结合本系统的工作实际,我们已由以前的“绕过计算机”的审计方法,转向在计算机辅助审计的基础上进行“通过计算机”的审计方法:计算机技术和经济管理的结合,极大地提高了管理工作的现代化水平。其中发展最快、应用效果最显著的,是计算机在会计工作中的应用。
随着会计电器化的广泛应用,传统内部审计面临着新的挑战,从而出现了电算化会计系统的内部审计。
一、计算机会计系统内部审计的特点
计算机会计系统内部审计的特点,首先是审计的系统性,要对数据、硬件、软件等各种要素进行系统的分析和检查,才能确定输出结果的正确性,作出可靠的审计结论。第二是审计的复杂性,这是由被审系统数据处理方式、数据贮存方式、系统控制方式、应用系统和电子计算机辅助审计技术的多样性和复杂性所决定的。第三是审计资料的隐蔽性、敏感性和易逝性,这是由于审计线索主要以两种形式存在:一种是肉眼可以看见的审计线索,如输入的原始凭证、记账凭证等原始文件、打印出来的会计账簿、会计报表等;另一种是肉眼看不见的,如存储在软盘或硬盘上的会计数据库资料等。第四是审计的运行性,即在不断运行的系统中进行审计和监督。
二、计算机会计系统内部审计的内容
内部审计可以从硬件和软件的系统控制和实质性审查两个方面来进行审计。
l、内控制度的审计。对内部控制制度的审查与评价,既是审计的基础,又是审计的前提。从实施的角度来看,内部控制有些是通过程序来实施的,有些则是通过制度约束来实现的。通过程序的设计和运行来实施控制的“程序化”控制,和通过建立管理工作制度来完成控制的“制度化”控制,必须通过内部审计来确保其实施,才能使计算机会计系统的安全、可靠和稳定得到双重保险。在电算化条件下,虽然仍要审查传统审计的一些内容,但重点主要在于系统软硬件及数据的内部控制。
内部审计人员应在本单位以上各方面制度的制定过程中,积极发挥参谋作用,并在以上制度的实施过程中,定期审计或突击检查,查找内部控制的弱点,提出改进措施,使制定的内部控制制度得以执行,以保证会计数据的安全性、有效性、完整性和准确性。
2、实质性审计。在手工条件下,审计主要是对书面资料进行审查。在电算化条件下,会计核算由计算机在程序的控制下完成,除了审查输入和输出数据,还要审查电子计算机程序和贮存在机内的数据文件。因此审计工作重点转移至对会计软件合法性、正确性的审查和对机内数据文件的审计方面。
一、对客户局域网和INTRANET的审计
计算机网络审计是电子数据处理环境下的审计(EDP审计)的进一步发展。EDP环境与手工处理相比具有以下几个方面的特征:(1)在组织结构方面,功能与知识、程序和数据的集中化;(2)输入的书面文件减少,缺乏可见形式的业务踪迹,缺乏可见形式的输出;(3)数据处理过程具有运行的连惯性、内控的程序化、业务处理的系统性等特点。在网络环境下,数据传输更加迅速,业务文档更加缺乏可见性;而且由于资源的共享性,数据信息的存储和处理更加脆弱。以上都决定了数据处理的内部控制及系统的可靠性、安全性、效率性处于突出的重要位置。在这里,数据处理的内部控制主要指企业针对网络环境下的会计信息系统而设置的以保护资产安全性与信息真实性为目的的控制措施,诸如职责分离、授权控制、职务轮换等,它属于组织方面的内容。而系统可靠性、安全性、效率性等(简称系统性能)则是针对网络系统正常运行进行评价、检测及管理工作,它属于计算机技术方面的内容。实际上,这两方面是密切联系、相辅相成的。一个再好的计算机系统,如果内部控制薄弱,则信息处理很容易遭到内部人员篡改、破坏;一个好的内部控制环境,离开性能良好的计算机系统同样漏洞百出、易受病毒感染,难以有效运行。事实上一个性能良好的系统就等于会计信息系统有了良好的“机内控制”,二者不可相互替代。因此,在网络环境下,收集与评价计算机网络内部控制及系统性能方面的审计证据对正确发表审计意见,降低审计风险起着重要作用。
局域网就是某一个组织在有限的范围内使用的网络,这个网络使用户能够共享信息和技术。lntranet实际上就是模拟Internet技术建立在公司内部的因特网,就是由公司内部局域网连接起来组成的广域网。Intranet可以使那些规模巨大、拥有众多分支机构的大公司方便地实现在内部分布信息、充分利用现有的数据库、作为销售工具及促进统一的研究与开发等功能。对Intranet来说,建好内部的局域网仍是其核心。
对于作为公司会计信息系统组成部分的局域网和Intranet的审计无外乎两个方面,即符合性测试和实质性测试。对于前者来说,上述系统性能评价与内部控制评价是审计测试的重点。局域网系统性能评价包括可靠性、安全性、效率性等方面的研究和评价。可靠性涉及查找网络问题、报告网络错误即存档方面的控制;安全性包括防止网络被未经授权的用户访问、防止计算机病毒入侵等;效率性要求维护网络软硬件、保证网络高效率性能,且使其服务不致恶化。内部控制评价则要求在网络环境下着重关注以下几个方面:①不相容职责的重新定义和岗位的重新划分;②职务定期轮换和密码口令的定期更换;③重要信息接触的授权、重要文件的备份和操作权限的明确等;④加强内部审计监督。审计人员应充分考虑到在分布式处理环境下会计处理分散化、成本效益考虑给内部控制带来的困难,并分析内部控制的缺陷及其可能带来的对会计报表项目金额的影响。
在实质性测试方面,审计人员可以利用审计软件和测试资料来验证局域网系统是否有效运行。单机环境下的审计软件已难适应网络环境需要,审计师应开发出专用的网络版审计软件在客户网上运行,以查询、核对、摘取会计数据以供进一步调查之用。在传统的单机环境下,审计人员可以采用模拟数据法和虚构单位法(即设计虚拟数据和虚拟单位运行于计算机系统之上,然后将其结果与处理结果对比,以观察计算机程序是否有效)。但在网络环境下,由于(1)网络系统持续运行使其难以停下来接受测试;(2)虚拟数据的运行会改变客户数据记录并给系统带来差错且可能遭到被审单位拒绝——两方面原因,这两种方法用之于审计测试将受到很大阻碍。另外检查程序代码法、并行模拟法都将会遇到困难。如何在网络环境下开发出合适的系统测试方法需要进一步深入研究。另一方面,黑箱式的、绕过计算机网络系统的审计技术可能会重新得到应用和发展。
二、建设专业网络服务于注册会计师审计
计算机网络作为审计的技术手段有着广阔的应用前景。由于客户广泛的经济联系,诸如与顾客和供货商的债权债务关系、与股东和债权人的投融资关系、与政府的征纳税关系、与分支机构的管理与被管理关系等,要验证经济业务的真实性、合法性就必须超越客户范围,与客户的各方关系人联系以获取可靠的审计证据。在传统的审计环境下,为获取这些证据要么花费较长的时间,要么导致较高的审计成本。如果客户与其关联各方及注册会计师之间存在完善的计算机网络,则取证工作及与客户的交流将更易实现,笔者认为,可通过利用Internet及建设专业网络的方式,在以下几个方面提高效率:
1.事务所——客户的网络联系在执业过程中,外勤是注册会计师工作最重要的内容。由于获取实物证据的需要,即使存在完备的网络系统,CPA也不可能实现足不出户的审计,但是大量的与客户之间的交流工作及对审计过程的质量督导都可以通过网络来完成。初步了解审计客户的工作及外勤工作结束后对一些事项处理的意见交换都可在网上进行。这就需要CPA之间传递数据信息的计算机网络。
2.在Internet函证注册会计师在审计过程中,需要向客户的债权债务方发函证实往来账户的余额。实际上,银行存款余额、异地在途存货及分期收款销货、对外投资等都需要向第三方函询证实,函证是审计证据中重要的一部分。然而在手工条件下的函证,不仅费时费力而且回函率极低,以至于在我国函证几乎成为一种无效的审计方法。如果绝大多数企业都有网址,则通过Internet在网上发送E-mai1,即可实现传统的函证工作,而且注册会计师可以迅速及时地得到回函。数字签名技术的出现,使计算机网络中传递文件的真实性得到了验证,也使通过网络取得的证据具备了合法性。电子形式的回函能否成为有效的审计证据,还需进一步研究与规范,通过E-mail函证还需要网络技术发展的支持和法律法规及准则的规范。
由于企业每年的审计一般是在会计年度结束后的几个月才进行的。在这段时间内,审计小组需要检查所有的会计记录。故而,需要对计算机数据保留时间做严格要求。一般而言,采用的新型计算机会计信息系统至少要将数据保留到每年的审计结束。
二、计算机会计信息工作审计的具体步骤
(一)对企业内部控制的初步审计
计算机会计信息系统比传统的手工会计信息系统复杂很多,其控制过程从对人的控制扩展到对计算机和人的控制。计算机的处理过程具有集中性、连续性,随着计算机的数据存储载体变化以及共享程度的提高,会计中财务账簿控制系统渐渐失去作用。这种情况下必须要做好对审计内部控制的加强。而企业内部控制的初步审计就是针对这种情况产生的。企业内部控制的初步审计就是审计人员初步熟悉电算化会计系统的业务流程以及企业内部控制的基本结构。从原始的数据凭证到最终的各种报表的输出,整个过程现在审计前有大致的了解。一般来说,审计人员可以与企业内部的有关人员座谈、查阅资料或者实地观察等来跟踪业务处理方法,从而了解企业审计单位信息的内部控制方式有哪些,从而有利于今后审计工作的顺利开展。
(二)对内部执行情况进行测试
完成了企业内部控制的初步审计之后,接下来就是对内部执行情况进行测试。对于一个健全的计算机会计信息系统而言,即便具有健全的内部控制机制,在实际的业务处理过程中也不一定能够被有效执行,因而必须对其内部执行情况进行测试。检查这些必要的控制制度是否在执行或者由哪个工作人员执行以及使用哪种方法执行。通过了解以上执行情况,从而把握其系统的可靠性、完备性以及可依赖程度,最终做出综合评价。同时,审计人员应该采取相应的审查文档和有关的企业工作人员进行面对面的交流,从而更好的把握系统的流程,确定实际情况与规章制度的要求差距在哪里,并确定相应的解决方案。
(三)对内部控制情况进行评价
通过对内部控制执行情况进行有效的测试之后,进而需要对内部控制情况做出详细的评价。评价过程遵循客观、公平、严格的准测。一般而言,主要从以下三个方面进行把握。第一,评价初步的审查结果,评价被审计的计算机会计信息系统中有哪些是比较满意的工作,哪些工作略显不足。第二,评价内部控制情况符合测试的案例,其具体的符合程度是多少。是否真正能够按照其要求发挥出应有的作用。第三,上述的两种情况,其可靠性有多强,是否能够真正的为计算机会计信息审计工作服务。
三、计算机会计信息工作审计的现状及改进措施
(一)当前企业计算机会计信息工作审计的现状
当前我国多数企业计算机会计信息工作的审计有一定的不足之处。首先,数据的保密性和安全性较差。这主要体现在目前多数企业的计算机会计信息对各种分散的交易数据常常会收集起来,放置于计算机的中央存储器中进行存储。这种统一的存储方式加大了数据丢失和泄露的风险。有时候由于黑客攻击等计算机遭受病毒入侵,造成了数据的泄露或者损坏,缺乏相应的安全性保护机制。其次,对于计算机会计信息工作的监督和管理力度不大。虽然现在计算机会计信息工作有相应的规章制度,但是很多时候仅仅是一种形式,而不能够真正的按照规章制度来进行。这归根结底是因为对其监控和管理的力度不大造成。最后,当前我国会计从业人员的信息化素质普遍不高。我国的许多会计从业人员对于计算机的熟练程度不够,在进行操作时实际能力更差。有些企业的相关人员对于企业的财务管理系统没法充分的掌握和理解,一旦发生风险也不知如何控制,因而极大的增加了计算机会计信息工作的难度。
(二)改进措施
针对以上这种情况,首先要做的是充分发挥审计功能,从而有效降低企业的内部控制风险。一般说来,现阶段使用的内部审计方式主要有对会计软件进行审计、对会计数据文件进行设计、对会计信息系统进行事前、事中和事后的设计等。其次,需要企业建立和完善计算机会计信息系统的操作规章制度。当前条件下,开展会计工作不能再如以前那种墨守陈规、没有变通的会计工作,而应当跟得上时代的步伐,努力适应新的经济形势,发展更加适用于企业本身的操作流程。与此同时,还需要从长远的发展看待会计工作的进行,将操作的规章作为具体的指导方针,从根本上认识和解决计算机会计信息工作审计,为会计工作的顺利开展做出一定的贡献。最后,努力提高会计从业人员的专业素养和综合素质。从严要求会计从业人员,要求其补充自身的会计知识和现代会计信息系统知识,熟练操作和使用计算机。只有真正加强了会计从业人员的专业素养和综合素质,才能真正提高其信息处理水平,才能够保证现代会计信息化系统的顺利进行。
四、结论
