引论:我们为您整理了13篇计算机审计系统范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
虽然计算机安全防范技术在不断进步和完善,但是道高一尺、魔高一丈,非法入侵计算机系统的案件还是不断地出现和增加。本文所要探讨的,是目前法律界所面临的紧迫而又棘手的问题,即如何获取非法入侵或攻击计算机系统的计算机证据。算机证据的收集和评价是一个法律问题,但又往往需要一定的计算机技术和其它科学技术,甚至是一些尖端的技术。对于攻击计算机系统的取证,传统的方法并不十分有效。
计算机审计系统应该具有监视功能和检测功能。监视功能是指审计系统通过监视对计算机系统的所有操作,为入侵计算机系统的犯罪侦破和犯罪审理提供线索和证据,一个良好的审计系统还可以协助发现潜在的入侵者;检测功能是指审计系统能够检测程序的真实性、完整性和可靠性,判断程序是否已被篡改、是否处于正常的运行状态中。计算机审计技术就是在计算机系统中模拟社会的审计工作,对计算机系统的活动进行监视和记录的一种安全技术,运用计算机审计技术的目的就是让对计算机系统的各种访问留下痕迹,使计算机犯罪行为留下证据。计算机审计技术的运用形成了计算机审计系统,计算机审计系统可以用硬件和软件两种方式实现。
独立性是审计工作的本质特征,计算机审计的独立性具体体现在以下两个方面:(1)不管是在操作系统中还是在应用软
件中,审计系统都应作为一个独立的子系统而存在。(2)设立工作独立、行为自主的计算机系统审计员。审计系统把对计算机系统的所有活动以文件形式保存在存储设备上,形成系统活动的监视记录。监视记录是系统活动的真实写照,是搜寻潜在入侵者的依据,也是入侵行为的有力证据。监视记录本身被实施最严密的保护。在保护监视记录的问题上,应该坚持独立性的原则,即只有审计员才能访问监视记录。
二、计算机审计系统的设想
(一)监视记录的设计。监视记录的内容包括:用户标识;(在网络上使用时)使用软件的设备地址;使用软件的起止时间;调用的子程序及调用子程序的起止时间;访问的硬件设备及访问的起止时间;使用软件过程中访问的文件和目录,访问的类型(创建、打开、关闭、读、写、拷贝、删除、重命名、运行等)以及访问的起止时间;针对文件数据的操作,包括读、增、删、改、复制等操作以及操作对象在文件中的具置;对软件参数的修改。
(二)监视模块的设计。设计的监视功能包括:①监视整个应用软件的活动,并提供详细的监视记录,使所有活动留下线索。②允许选择特定的监视对象,这项功能可以在现有证据不充分的情况下,令审计员可以实施重点监视,更深入、详细的取证。③在一定程度上检测和判定对系统的入侵和入侵企图,提供报警信息并能实施必要的应急措施。④提供对监视记录的以任何项目为关键字的查询及各种组合查询,多方面满足审计员的审查需要。⑤报警参数管理。审计员可以通过报警参数管理功能,设置需要实时报警的事项。⑥监视记录文件的维护。
(三)检测模块的设计。检测模块采用动态检测法检测程序的真实性、完整性和可靠性;而对于数据文件的检测,则是利用信息验证码。实现动态检测的关键,是设计出针对被检软件的完整的模拟数据和模拟操作,并确定其正确的处理结果。模拟数据和模拟操作包括合法的和非法的两种,这样做的目的是观察那些包含安全保护功能的程序是否能够阻止非法行为的发生,从而判断其安全保护是否在发挥作用。实施检测时将模拟数据或模拟操作经过软件处理后得到的实际结果与正确的结果相比较,确定程序的功能是否可靠、程序是否被修改过。当检测到程序的真实性、完整性和可靠性遭到破坏时,及时发出报警。信息验证码是根据信息的全部内容通过某种算法产生的一种检验码,它与信息的全部内容密切相关。
总之,计算机审计是一种崭新的审计方式,与手工审计相
篇2
小微企业是小型企业、微型企业及家庭作坊式企业和个体工商户的统称。小微企业无法与国有垄断行业的企业或是大中型外企比肩。但是小微企业在国民经济中发挥着巨大的作用。据统计,已登记注册的小微企业有一千多万户,占我国企业总数的99%,提供了85%的就业岗位,贡献了我国60%的GDP和54.3%的税收。可见,小微企业是国民经济和社会发展的重要力量。
二、计算机审计的内容
计算机审计主要是指对企业电算化系统进行审计,以判断电算化系统的处理过程是否合规、合法、可靠。这可以称为计算机系统审计。
会计电算化系统是计算机审计的重点,一般包括三个层次:计算机系统、会计处理系统、电算化管理系统。其中,计算机系统包括计算机的硬件、系统软件和数据库软件。会计处理系统是指专门的会计信息处理软件。而电算化管理系统主要指一种管理制度和内部控制流程。而对会计电算化系统的审计,就是对这三个层次的审计。其中,对前两个层次的审计,主要是针对软硬件系统层级的审计,是属于技术层次的审计。而对第三层次的审计是有关于电算化控制制度的审计,是属于制度层面的审计。
在计算机审计的方法上,分为数据级审计、系统级审计、制度级审计。数据级审计就是对数据的合法、可靠性进行检查。系统级审计就是对电算化系统中的硬件、系统软件、数据库软件和会计处理系统等软硬件系统的内部控制在多个层面上进行检查。制度级审计就是对企业电算化系统的各种无形的管理的制度的内部控制有效性进行检查。审计理论中,审计的测试包括实质性测试和符合性测试。实质性测试就是验证数据的可靠性和完整性。数据级审计就属于实质性测试的范畴。而符合性测试指审计人员在对被审计单位内部控制进行初评的基础上,为证实该控制是否在实际工作中得以贯彻执行而进行的测试活动。系统级审计和制度级审计就属于符合性测试的内容。数据级审计和系统级审计的方法主要涉及到计算机方面的尤其是软件工程中软件测试的相关技术知识。
软件测试一般分为静态和动态两种。静态测试不涉及程序的实际执行,如阅读程序代码等。动态测试分为白盒测试和黑盒测试。白盒测试就是这一方法是把测试对象看作一个打开的盒子,测试人员依据程序内部逻辑结构相关信息,设计或选择测试用例,对程序所有逻辑路径进行测试。黑盒测试黑盒测试也称功能测试,它把程序看作一个不能打开的黑盒子,在完全不考虑程序内部结构的情况下,在程序接口进行测试。
三、计算机审计在小微企业中的运用
(一)技术层面的应用。
在小微企业的计算机审计工作中,由于小微企业通常规模小、人数少、技术实力不强等因素的制约,使得静态测试几乎无法无法做到,而动态测试也只能做到一部分黑盒测试的内容。
静态测试需要审计人员获得所审计软件程序的源代码或者流程图。而这两样由于软件厂商保密性的要求,一般不会提供给审计人员。而如果审计人员采用反汇编等措施来获取程序源代码,一来由于技术条件要求苛刻,二来在转换过程中会出现与原始代码的差异,所以原始程序始终无法得到。且由于各种电算化系统软件是以各个功能模块的形式展现在企业面前的,所以整个电算化系统对于使用企业和审计人员来讲就是一个黑箱,无法知道其内部运行构造。而嵌入监控程序这一措施也因为技术上和成本上难以实现而在实际操作中无法得到应用,所以只能做到黑盒测试。而黑盒测试也只能大致做到数据测试法的层级。对于小微企业中的电算化系统,审计人员在审计时,数据测试可以很好地完成。而由于电算化系统各部分功能模块众多、结构复杂,通常只能测试到几个系统的主要模块,很难达到遍历的程度。且因为小微企业的审计收费偏低,为了考虑审计成本的影响审计人员也无法做到对所有的功能模块全部进行模拟测试。而这还是实力比较强的小型企业的状况。对于实力不济的微型企业,只是按照常规的审计流程做些数据测试级别的审计。除非相关系统经常出现严重错误,否则其他的计算机审计程序基本不做。这一部分是由于审计成本的原因导致,另一部分是由于审计人员的技术能力达不到造成的。
在实际审计工作中,小微企业的审计项目收费低,所以考虑到成本因素,审计人员在审计过程中只是完成了基本的审计程序,而对小微企业电算化系统的计算机审计涉及甚少。而这也成为小微企业的计算机审计无法有效开展的致命伤。
(二)制度层面的应用。
对于电算化制度层面的审计,小微企业也有自己的特色。小微企业在组织结构类型中通常采用创业型组织结构。这种结构下,企业的所有者或管理者作为中心人员,完成所有企业的重大决策,并对下属直接控制。也就是说,在这种组织结构中实行的就是中心人员一言堂,只有基本的管理制度,电算化制度几乎不存在。对规模较大的小微企业,通常采用职能型组织结构。这种组织结构下,不同的部门有不同的业务职能,形式上各部门相互独立,但在实际业务中各个部门都在相互影响。即使在职能型组织结构中,针对电算化的内部管理控制制度也很不健全。通常是在审计过程中被审企业按要求整改,审计过后企业又恢复原样。
四、相关对策
而如何解决这些问题呢?对于计算机系统审计存在的问题,可以要求市场上的电算化系统必须经过国家相关机构的质检后可上市出售。这样审计人员在进行计算机审计时只要相关系统是经过国家机构认可的,就可省去大量测试环节。不仅降低了审计风险,也降低了审计成本,提高了审计效率。此外,可安排事务所的一部分审计人员专门进行计算机审计方面的培训,如果有相关的审计程序要做,可由这些具备必要知识技能的人员来完成。对于电算化制度方面的审计,要完善审计公告制度。对于屡审不改的企业要及时公示,敦促其建立适当的管理控制制度。
五、结论
随着电算化系统在各个企业的普及,计算机审计的相关问题越来越的到社会的重视。尤其是企业中的重要群体——大量小微企业,其计算机审计的效率和效果与审计成本、审计人员的计算机水平及企业组织结构之间的矛盾非常突出。这就需要作为社会服务管理的提供者——政府出面,制定规定来对电算化系统的可靠程度进行保证,以降低审计风险,减少审计成本。也需要会计师事务所针对小微企业计算机审计的特殊性来采取措施。而在电算化制度层面的问题,一方面要加强审计的公告监督,一方面也要认识到小微企业由于自身发展状态的限制,很多制度的不完善是不可避免的。不能制定的相关制度限制的太死而阻碍小微企业的发展。制定相应规范时要考虑到小微企业的实际情况。
参考文献:
[1]李雪.审计理论研究[M].青岛:中国海洋大学出版社,2005.
[2]文森特,等.蒙哥马利审计学[M].北京:中信出版社,2007.
[3]中国注册会计师协会.审计[M].北京:经济科学出版社,2011.
[4]中国注册会计师协会.公司战略与风险管理[M].北京:经济科学出版社,2011.
[5]普雷斯曼,等.软件工程[M].北京:机械工业出版社,2011.
[6]刘文乐,等.软件测试技术[M].北京:机械工业出版社,2012
[7]姜玉泉.会计电算化与计算机审计[J].审计研究,2001,4:60-62.
篇3
IAPC关于计算机信息系统审计准则的分析
国际审计实务委员会(IAPC)对计算机信息系统环境下的审计的研究较早,先后了一系列的相关准则。到目前为止颁布了六个有关计算机信息系统环境下审计内容的国际审计准则。它们分别就单机、联机和数据库系统下的电子数据处理环境对会计制度和有关内部控制的研究和评价产生的影响作出补充规定。下面就其内容做一汇总介绍:
(一)《计算机环境下的审计》。该准则明确了在计算机信息系统环境下审计的目的与范围,技术与能力的要求,审计计划的考虑,内部控制研究、评价及风险评估的影响,制定与实施审计程序应关注的方面等。该准则只是为在计算机信息系统环境下的审计制定一般原则和指导,其他五个准则或实务公告均为该准则的补充或扩展。
计算机信息系统环境下的审计,审计人员应当对约定计划中的计算机硬件、软件和处理系统有充分的了解,并且要了解计算机信息系统对内部控制的研究与评价以及对审计程序的影响,包括计算机辅助审计技术。审计人员还应当对执行审计程序的计算机信息系统处理有足够的知识,这将视所采用的具体的审计方法而定
(二)其他五个准则或实务公告。
1、《风险评估和内部控制——计算机信息系统环境特征和考虑因素》。该实务公告是第一项准则的补充。该公告明确了计算机信息系统环境的特征,计算机信息系统环境下内部控制的内容及评价方法。审计人员应当收集与审计计划有关的计算机信息系统环境的资料,包括计算机信息系统的功能情况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置情况等。审计人员在编制全面计划时,应当考虑下列事项:在对内部控制的全面评价中确定对计算机信息系统控制的可信赖程度;制定关于怎样、何处与何时检查计算机信息系统功能的计划;制定关于利用计算机辅助审计技术进行的审计程序计划。
2、《计算机信息系统环境——独立微型计算机》。该实务公告为第一项准则的补充,其明确了微型计算机系统及其特征、在微型计算机环境下的内部控制、微型计算机环境对审计程序的影响等。该准则指出微机对会计制度的影响和有关的风险一般将由下列情况而定:微机使用于会计应用处理的范围;被处理的财务业务的类型和重要性;应用中运用的文件和程序性质。微机环境下的内部控制应当包括:管理部门对操作微型计算机的规定和控制;程序和数据安全;软件和数据的完整性控制;硬件、软件和数据备份控制。
3、《计算机信息系统环境——联机计算机系统》。该实务公告为第一项准则的补充,其明确了联机计算机系统及其特征、在联机计算机环境下的内部控制、联机计算机环境对审计程序的影响等。并强调某些一般控制程序对联机处理特别重要,包括存取控制、控制方面的口令、系统开发和维护控制、程序编制以及业务记录控制。同时,对联机处理特别重要的应用控制包括:处理前的适当授权,终端设备编辑。合理性和其他确认测试、截止测试、文件控制、余额控制。联机环境对会计制度的影响及其相关联的风险,一般是联机系统用于会计应用处理的范围、财务业务类型和重要性、使用应用文件和程序性质。
4、《计算机信息系统环境——数据库系统》。该实务公告为第一项准则的补充。其明确了数据库系统及其特征,在数据库系统下的内部控制,数据库环境对审计程序的影响等。具体分两部分,一部分是控制标准,另一部分则是实现控制标准的具体审计程序。明确了只有内部的员工可以接触数据库,数据库使用人员有权进行修改,删除,索引,插入,参考,选择和更新的操作,为了不影响基础表格中的数据,删除、插入和更新的操作应受到限制。不同的使用者只能执行跟他们工作职能相关的某些操作,基础表格不应被改动,数据库操作须密码控制。数据库殊帐户的存取应该受到限制,数据库系统表格的操作许可指令不应被修改,应用表格不应该在系统表格空间创建等。
5、《计算机辅助审计技术》。该准则为第一项准则的扩展,其明确了审计软件和测试数据两种辅助审计技术、利用计算机辅助审计技术的范围及需要考虑的因素、注册会计师在计算机辅助审计技术应用中的主要工作和控制手段等。如在运用制度遵守性和数据真实性程序中缺少输入文件和缺乏可见的审计踪迹时;通过利用计算机辅助审计技术可以改进审计程序的效果和效率。计算机辅助审计技术有多种,国际审计准则说明其中的两种:用于审计目的的审计软件和数据测试技术,审计软件可以作为审计程序的一部分,以处理来源于单位会计制度的重要审计数据。数据测试技术是用在执行审计程序时将数据进入单位的计算机系统,并将获得的结果同预定的结果相比较。在编制审计计划时,审计人员应当考虑手工和计算机辅助审计技术适当结合,在确定是否利用计算机辅助审计技术时,需要考虑:审计人员的计算机知识、专门技术和经验;计算机辅助审计技术的可用性和合适的计算机设备;无法实行手工测试;效果与效率;时间因素等。
我国关于计算机信息系统审计准则相关内容分析
(一)审计署于1996年12月颁布的《审计机关计算机辅助审计办法》是我国最早的关于计算机辅助审计的准则文件。该办法首先明确了计算机辅助审计的含义及所包括的内容。其可用于审计业务所需法律、法规的辅助检索;对被审计单位财务报表的辅助分析;对被审计单位的计算机应用系统进行符合性检验;分析审计风险和确定审计范围;对被审计单位的财政、财务收支进行检查;形成审计工作底稿;形成审计报告、审计意见书和审计决定;对审计资料的管理;对审计项目计划的管理;对审计档案的管理;对审计业务的综合、统计和分析等;同时对承担该类审计业务的人员资格及业务素质、利用专家工作做了规定。明确了被审计单位及审计机关、审计人员在信息系统审计中应承担的义务。
(二)中国注册会计师协会于1999年2月颁布的《独立审计具体准则第20号—计算机信息系统环境下的审计》。它指出了在计算机信息系统环境下审计的一般原则、计划、内部控制研究、评价与风险评估和审计程序。在一般原则中明确了计算机信息系统环境下不应改变审计的目的和范围,注册会计师应考虑计算机信息系统对被审计单位会计信息和内部控制的影响,并有效地计划、指导、监督和复核审计工作,同时提及了合理利用专家工作。在制定审计计划时,注册会计师应充分了解被审计的单位的计算机信息系统环境以及该环境下的内部控制,并考虑其对固有风险和控制风险评估的影响。在对内部控制研究、评价与风险评估中,应充分考虑计算机信息系统的特征。该准则将审计程序分为:手工审计方式、计算机辅助审计方式以及两者结合审计方式三大类,并在实施审计程序时,应充分考虑计算机信息系统环境对审计测试的性质、时间和范围可能产生的影响,以将审计风险降低至可接受的水平。
(三)国务院办公厅于2001年11月16日颁布的《关于利用计算机信息系统开展审计工作有关问题的通知》(88号文),明确审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的信息系统;并规定被审计单位的计算机信息系统应当具备符合国家标准或者行业标准的数据接口,已投入使用的计算机信息系统没有设置符合标准的数据接口的,被审计单位应将审计机关要求的数据转换成能够读取的格式输出;被审计单位应当视同纸质会计凭证、会计账簿、会计报表和其他会计资料以及有关经济活动资料保存期限的规定,保存计算机信息系统处理的电子数据,在规定期限内不得覆盖、删除或者销毁;审计机关对被审计单位电子数据真实性产生疑问时,可以对计算机信息系统进行测试,测试计算机信息系统时,审计人员应当提出测试方案,监督被审计单位操作人员按照方案的要求进行测试;审计机关应积极稳妥地探索网络远程审计;审计人员应当严格执行审计准则,在审计过程中,不得对被审计单位计算机信息系统造成损害,并对知悉的国家秘密和商业秘密负有保密的义务。
三、我国计算机信息系统审计准则的差距
(一)观念障碍导致对准则的需求和供给的明显不足。就目前我国的情况来看,计算机审计呈现出“上热下冷中间无力”的无奈局面。在民众中存在着思想误区。一是无所谓的思想,他们对计算机审计的意义和作用认识不足,认为是一些没有实际意义的形象工程。二是畏难情绪,认为计算机审计深不可测,高不可攀,一下子难以到位,而且被审计单位信息化程度参差不齐,认为手工的传统审计还是占主导地位。三是认为计算机“万能”,认为被审计单位的电子数据只要转换到审计软件中来,就能发现问题,从而导致急功近利,贪大求全。
(二)准则制定缺乏系统性和结构性。我国的计算机信息系统审计准则既有审计署和国务院办公厅的,又有中国注册会计师协会颁布的。而且只有一般性原则和指导,缺乏具体的实务公告和实施指南。仅有的《计算机辅助审计办法》只是涵盖了审计工作的极小一部分,针对我国目前审计实务界的现状,广泛采用的仍旧是依靠系统打印出来的数据进行手工审计,即绕过计算机审计,如何对其进行规范,如何进行审计则还没有相应的准则。而国际审计实务委员会颁布的有关计算机信息系统环境下的审计准则,既有一般性的原则和指导,又有具体的准则和实务公告。从独立微机,到联机系统,再到数据库系统的审计,还有计算机辅助审计技术。内容比较全面系统,结构性较强。
(三)准则未考虑对计算机审计人员的素质要求以及合适的审计人员:IAPC规定了审计人员应当对约定计划中的计算机硬件、软件和处理系统有充分的了解,并且要了解计算机信息系统对内部控制的研究与评价以及对审计程序有怎样的影响,包括计算机辅助审计技术。审计人员还应当对执行审计程序的计算机信息系统处理有足够的知识。同时在《计算机辅助审计技术》中明确了注册会计师应做的工作及控制手段等。国外的注册会计师队伍发展相当成熟,人员素质相对较高,无论是独立性,还是科学性和客观性都是计算机信息系统审计的不二人选。而我国的计算机审计工作具体是由注册会计师来承担,还是由政府审计部门承担尚无统一的说法。翻阅近十年的注册会计师考试试卷,均没有涉及计算机审计的相关内容,足见还没有将计算机水平提高到评价注册会计师执业能力的高度。而且对于信息系统环境下审计师虚具备哪些基本素质以及如何提高完善都还没有以准则的形式加以明确。
(四)准则对计算机审计技术标准关注不足。在IAPC颁布的相关准则中,不论是独立微机,还是联机系统,或者是数据库系统,还是计算机辅助审计技术,都对技术解决问题做出了具体规定。如存取控制、口令密码,数据备份,数据测试技术和审计软件等。而我国在有关准则中并没有考虑有关的技术标准,只是在《计算机辅助审计办法》中浅层次地提到了对商业审计软件的测评及明确应用范围。同时也稍微强调了一些数据接口及数据转换问题。远远无法满足审计实务界的需求。
构建我国计算机审计准则的建议
(一)统一计算机审计工作的管理体制。中国注册会计师经过近20年的发展,从总体上看,在审计理念和实践方面都有了长足的进步,但由于注册会计师在其发展过程中,因资格取得方式、参加后续教育、审计实践的多少以及部分注册会计师的观念仍受计划经济模式的影响等方面的原因,形成了注册会计师水平参差不齐。而审计署作为国家直属机关,是国务院的组成部分,在国务院总理的领导下,主管全国的审计工作。在政策、资金、人员上都显示了明显的优势。因此建议考虑由国家审计署来根据国情制定一系列的计算机审计准则,并在具体执行计算机审计工作中不断完善准则。
(二)制定计算机审计人员的技能准则。这里包括计算机审计人员应有的资格和能力、技能以及他们的后续教育等等,均可以在该准则中明确。一个胜任的计算机审计人员不仅要具备传统的审计技能,还要具备丰富的计算机软、硬件知识,还要能制定相应的审计程序,运用计算机进行审计。对于计算机审计人员的后续教育问题,可以通过以下途径加以解决:①加大培训力度,将普及性培训与专业应用培训和专家培训相结合。②可以在注册会计师考试中增加《计算机与网络审计》这一门课程,将计算机水平作为评价注册会计师执业能力之一。③可以考虑在高校的审计专业中开设有关计算机审计的课程或另开计算机审计专业,直接培养信息系统审计相关人才。对于该问题可另设专题研究,本文就不再详细展开。
(三)应包含计算机审计的技术标准。如就软件层次,建议在准则中明确以下内容:①计算机处理中要留下审计底稿的轨迹。由于审计人员在操作中希望计算机产生的结果与他们手工编制的底稿相差不大,能与手工审计底稿共存,这样便于审计人员分析。同时也便于审计内部复核和外部检查人员的认可。②计算机操作模式。要具有多面性,根据实际条件,在审计作业现场,计算机操作模式应做到既单机操作,又能进行网络操作。③软件要具有兼容性,虽然计算机辅助审计软件本身自成系统,但是应考虑与办公自动化兼容,吸收办公软件中简易、灵活、方便、排版性强等特点,加大软件适用范围。④软件电子数据导入接口。由于目前我国计算机辅助审计有两种操作方法,一种是单机审计式操作,数据为手工输入法;一种是网络审计式操作,即电子数据直接导入,在开发中应考虑同时满足两种需要。⑤软件处理内容的通用性,软件在设计过程中,应尽量考虑处理审计工作底稿的共性部分,不宜面面俱到,避免产生负面影响。参照IAPC做法,我们可以颁布类似于《计算机信息系统环境——数据库系统》,《计算机辅助审计技术》等的系列准则,以丰富和完善我国的计算机审计准则体系。从而解决审计实务与审计准则的矛盾差距,使得准则能真正起到指导实践的作用。
参考文献:
[1]陈婉玲 《我国计算机审计的现状与发展对策分析》《广东审计》 2003/3
[2]柳岸青、管亚梅 《试析中外计算机信息系统环境下审计准则差异》《商业会计》2003/4
[3]刘中华、孔 龙《国际审计准则对计算机审计及内部控制技术的揭示》《兰州大学学报》 1998/2
[4]王景东 《财政审计的深化:信息系统审计》 《中国审计》 2003/5
[5]杨传君 《谈辅助审计软件的通用性和实用性》 《中国内部审计》 2001/4
[6]陈婉玲、韦沛文 《网络经营与网络财会条件下的审计初探》《会计研究》 2003
篇4
一、计算机系统与计算机系统审计风险
计算机系统环境相对于手工会计环境,由于其数据处理的集中程度高、处理速度快、信息储存方式、储存媒介特殊,给审计工作带来了独特的风险。
(一) 计算机系统的特征
1.计算机环境下,信息处理过程中的错误有短时间内重复出现的可能。较之手工会计,会计电算化系统处理的集中化,加之计算机运算的高速性,计算机会计信息系统的输入过程比手工系统多了将人可读的数据转换为机器可读代码形式,使得其处理结果发生错误的可能性大大提高,而一旦发生错误,就往往在短时间内产生连锁反应,使得多种文件、账簿,以至整个系统失真。如果发生错误的原因在于系统受到攻击或系统程序、应用软件出现差错,则计算机就会连续重复执行同一错误操作,而不易被察觉。
2.计算机环境下,内部控制的功能发生改变。计算机环境改变了会计凭证的形式。在电算化会计系统中,会计和财务的业务处理方法和处理程序发生了很大的变化,各类会计凭证和报表的生成方式、会计信息的储存方式和储存媒介也发生了很大的变化。原先反映会计和财务处理过程的各种记账凭证、汇总表等书面形式的资料减少了。由于网上办公、无纸化办公等的推行,每一项业务的有关信息由业务人员直接输入计算机,并自动记录,原来在核算过程中进行的各种必要的核对、审核等工作,有相当一部分变为由计算机自动完成了。原来书面形式的各类会计凭证转变为以文件、记录形式储存在磁性介质上。因此,电算化会计系统的内部控制与手工会计系统的内部控制制度有着很大的不同,控制的重点由对人的控制为主转变为对人、机控制为主,控制的程序也应当与计算机处理程序相一致。
3.计算机环境下,信息的安全性要求更高。手工条件下,可以将重要的数据文件或记录在纸上的重要信息,保存在安全性较高的物理场所,如企业的保险柜里,以保证数据的安全。在计算机环境下所有的信息都存储在磁、光或计算机硬盘中,而这些存储介质发生损坏的可能性较之账簿等纸质工具发生损坏的可能性大大增加。
4.计算机环境下,舞弊的防范更难。计算机运行速度快、精度高,但同时使系统丧失了人类所具有的对不合逻辑、不合理的以及例外事项的判断和处理能力,因此,要求在数据处理过程中增加多种检查控制。在计算机环境下,数据被擅自篡改也不易留下线索。
(二)计算机系统的审计风险
1983年美国注册会计师协会的第47号《审计准则说明书》 、《审计风险和重要性》中将审计风险模型确定为:审计风险(AR)=固有风险(IR)×控制风险(CR)×检查风险(DR)。这一观点被世界会计师联合会及包括我国在内的世界多数国家的审计职业界所接受。
审计风险会因客户的会计电算化和内部控制的程序化而呈现出新的特征,审计师就应重新规划审计程序,采取相应的对策和辅助审计软件进行审计。
1.计算机系统的固有风险。固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。具体表现为:
一方面,计算机系统的安全性是影响固有风险的根本因素。大部分电算化系统设计成客户服务系统,它有巨大的容量和信息存储量。这些系统一般整体性很强,利用企业资源规划系统保证程序的连续性。如果系统失败,整个公司也很有可能面临破产的命运。如果没有一套包括计算机系统在内的完整的风险管理系统,公司就要承担高风险。主要包含: 计算机系统的物理安全;计算机程序的合理性;网络信息通讯的安全性三方面。
另外,电子化会计数据的安全性问题是影响审计固有风险的关键因素。手工条件下,可以将重要的数据文件或记录在纸上的重要信息保存在安全性较高的物理场所,如企业的保险柜里,或者通过不相容职务的内部牵制保证数据的安全。在计算机环境下所有的信息都存储在磁、光或计算机硬盘中,要确保硬件遭到破坏时信息的安全,防止未经授权的侵入破坏或篡改计算机应用程序。
2.计算机系统的控制风险。控制风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。具体表现为:
首先,访问权控制的不严密有可能导致虚假的会计数据。访问权控制的功能是在数据信息和非法访问者之间建立一道安全屏障。未经授权的访问计算机系统,工作人员的访问密码泄露,越权访问、修改或删除会计数据等情况如果不能被置于访问权控制之下,都会极大地损害会计数据的安全性、真实性。
其次,网络传输和数据存贮故障或软件的不完善,有使会计数据出现异常错误的可能性。相对手工系统,计算机系统下这种风险难以通过有效的内部控制制度消除,必须靠先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的几率。大多数会计软件能对数据录入的一致性和正确性以及会计数据处理的安全性和连续性进行控制,但对于集成化程度较高的企业级管理软件来说,数据的共享性和一致性还不尽人意。
计算机系统下,内部控制包括对人和机器两方面的控制,而且以对机器控制为主。计算机内部控制的框架如图1:
从图1可以看出,计算机系统内部控制由一般控制和应用控制构成。其中,一般控制是指对计算机会计信息系统的组织、开发、应用环境等方面进行的控制,主要包括组织与管理控制、系统开发与维护控制、系统操作控制、系统安全及文档控制等。应用控制,是指对计算机会计信息系统中具体的数据处理功能的控制。应用控制有特殊性,不同的应用系统有不同的控制要求,但应用系统一般都包括会计数据的输入控制、处理控制和输出控制三个方面。一般控制的缺陷产生的危害极大,会影响应用控制的有效性,这是由一般控制的基础地位所决定的。另外,新的计算机信息系统技术的应用,如微机――主机连接系统、分散的数据库系统、终端处理系统及直接提供信息给可见系统的企业管理系统等,增加了计算机信息系统整体复杂性和它们所影响的具体应用的复杂性。
3.计算机系统的检查风险。检查风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报,而未能被实质性测试发现的可能性。检查风险是审计人员唯一可以自主确定和控制的风险。
对账户或交易的重大实质性测试往往离不开企业的历史数据,随着会计法规的完善和计算机技术的发展,会计软件在不断的更新,历史数据取得的难度将会加大。由于软件版本的更新、平台的迁移,难以从往年帐套里提取这些历史数据,迫使审计师不得不转向大量的历史文档中收集整理数据。这一方面降低了审计效率,更重要的是带来了更高的检查风险。
另外,由于目前大多数审计人员只是会计、审计方面的专家,要求审计人员在有限的时间设计很全面的测试数据是不现实的。再加上审计软件设计中本身的缺陷也会增大检查风险。
二、计算机系统审计风险的防范
(一)准确评价计算机系统的固有风险
1.评估计算机设备的物理安全性。对于计算机系统的控制,审计人员应了解系统设置是如何依赖这些硬件控制的;操作系统如何利用这些硬件控制;系统如何报告检查出的错误,以及纠正错误的程序。了解计算机系统环境存在的潜在威胁,如企业对水、火灾的防范措施,有没有配备合适的稳压器,不间断电源(UPS)等降低电源波动带来的影响,对所有的访问尤其是非法入侵是否都记录在计算机日志里,管理人员采取了什么措施应对非法入侵,计算机系统是如何防范计算机病毒,有没有具体的应急措施应对意外情况的发生等。
2.评价电子数据的安全性。为了保证信息的安全性,一方面要注意计算机硬件的安全,更主要的是要防止未经授权更改或删除电子数据。所以,要做到:信息的访问权只给单位中指定的人;对会计数据修改或删除的权力只赋予被授权的人;计算机系统能够辨认访问者的访问权限;单位的信息安全部门应密切监视来自外部的恶意攻击,然后定期以报告的形式向信息安全的负责人报告;电子数据要有备份,备份数据能得到妥善保管。
3.检查信息通讯的安全性。为保证一台计算机与其它的设备,如终端或其他的计算机系统之间信息传输信息的完整性与真实性,被审计单位至少要对传输的信息加密;接收信息的应用程序与发送信息的线路分开; 接收到信息后有信息反馈检查,特殊信息要依靠调制解调器解调传输;企业的内部信息通讯系统与国际互联网之间要有防火墙,以防来自互联网上的恶意攻击。
(二)合理评估计算机系统的控制风险
对于控制风险的评估主要应集中于对组织管理控制风险,访问权控制风险,程序开发、数据修改控制风险的合理估计。
1.组织管理控制风险的识别。组织控制的关键在于职责的分工。审计人员应检查被审计单位的组织结构、职权和责任的分配情况,如程序与开发系统、计算机操作、输入数据的控制等职责,在可行的情况下是否予以分离,职工定期轮换工作岗位制度是否完善等。目的在于确定职责分工是否能够提供有力的内部控制。注册会计师应判断组织管理控制的强弱,对由于职责分工不够而产生的风险作出合理评价。
2.电算化系统开发控制。对于首次接受审计的企业,对电算化系统开发控制的审计,审计人员应主要了解系统开发前是否有计划,开发系统是否得到授权,是否有相应的程序加以控制等。
3.计算机设备、信息和程序访问权控制可能的缺陷。审计人员要分两个层次了解访问控制:访问控制的程序整体执行情况及人事和工资管理部门执行内部控制的情况。具体要了解公司是否使用了访问控制软件,其能够提供哪些功能,公司有没有专门负责数据安全的部门,对工资水平修改的程序、员工花名册的变化是否只是由人事部门决定,人员变动是否得到了及时记录等。
(三)努力控制检查风险
检查风险是审计人员唯一可控风险,在这个阶段,审计的任务是在准备阶段初步风险评估的基础上,对内部控制进行测试,评价控制风险,决定可以接受的检查风险。将检查风险控制在可接受范围之内。对于内部控制的测试主要包括对数据输入控制的测试、数据通讯和数据处理控制的测试和数据输出控制的测试。
1.数据输入控制的审计。审计人员在对数据输入控制进行审计时,应注意检查经济业务的发生是否有适当的批准文件,以保证数据输入的合规性;同时应注意检查所输入数据的正确性,完整性,数据是否被不正确地添加、复制或修改等情况。主要进行输入有效性测试,包括字符域控制的测试,信息合理性测试,数据范围控制的测试,信息有用性的测试,信息完整性的测试等。
2.数据通讯和数据处理控制的审计。审计人员对输入过程控制进行审计时,应注意检查经济业务数据的来源是否可靠,资料是否完整、准确,有没有可能被篡改过;检查数据的处理方法是否正确,处理的步骤、使用的程序、结果的保存是否正确无误,等等。主要进行数据处理的有效性测试,采用的技术方法有综合抽查设备法(ITF),标签与跟踪法或借助审计软件。
3.数据输出控制的审计。审计人员应注意审查输出的计算机处理结果是否准确无误,输出的结果是否被及时、按照规定提供给有关的人员或部门,是否有必要的手续和记录,等等。主要进行控制总数,数据的勾稽关系和输出的合理性检验。
在以上审计程序中,输入有效性测试、处理有效性测试、控制总数,数据的勾稽关系和输出的合理性检验任何一项存在重大缺陷,审计人员要评估控制风险为高风险。
(四)综合运用适当的审计方法
一般来说,审计人员所采用的审计方法主要有:面谈法、问卷调查法、审阅法、流程图法、测试法等。为了有效防范计算机系统的审计风险,结合计算机审计的特点,应用合理的方法或方法的组合,才能取得实效。
1.面谈法。面谈法具有简单方便之优点,在内部控制审计中经常被采用。审计师为了获得一次高效的面谈,应该与被访问者相互配合和信任。在对一般控制审计时,可以通过与被审单位的领导与职工交谈,向电算部门及各业务部门的人员询问了解有关的职责分离的控制是否得到执行。在对系统开发控制和程序修改控制审计时,向有关参与系统开发人员了解有无用户代表和内审人员参加,参加了哪些工作,现有的信息系统能否符合用户的要求等。另外还可以通过面谈了解内部控制的经济性,重大的错误是否得到及时、恰当的纠正,输出的资料是如何处置的,有无健全的检查、保管、分发制度等。
2.问卷调查法。问卷调查法节省时间,调查面广。审计人员可以根据需要调查的情况设计好调查问卷,获取信息,以判断有关的内部控制是否存在、可靠,有无得到执行。在内部控制审计的各个程序都可以使用。使用这种方法要注意问卷调查表中问题的性质、提问技巧、度量的尺寸或调查表的布局设计。
3.审阅法。审阅法是指审计人员通过仔细审查和翻阅有关的书面文件或记录,借以查明资料及所反映的记录是否公允、正确、合法、合规,从中发现错弊或疑点。审计人员在一般控制审计时,通过审阅内部审计人员留下的系统开发的工作底稿,了解系统开发的控制。通过审阅系统测试的数据及结果,检查系统在试运行阶段的运行情况,有无被修改,系统在正式投入使用前是否经过了最后批准。通过审阅有关系统访问控制的计算机日志,了解是否只有被授权人才可以访问特定程序或信息,对使用错误密码企图进入系统的情况,系统都作了记录并有专人调查。
4.流程图法。流程图在审计活动中发挥着越来越重要的作用。利用流程图,可以对被审计的信息系统结构有更深刻的理解,从而更有效地分析系统的运行过程。在计算机审计中,流程图可能是现成的,审计人员应该确定被审计单位提供的流程图是否正确,防止被审计单位造假。有时被审计单位提供的流程图不够详细或者没有现成的流程图,审计人员应要求被审计单位提供源程序,据此得到流程图,确定源程序中设置了哪些控制措施。对内部控制审计时,使用流程图法可以帮助审计人员分析和设计内部控制。审计人员还可以利用流程图找出系统中的薄弱环节。
5.测试法。测试贯穿于计算机审计的整个过程,是计算机审计的重要方法。是审计人员收集证据的重要技术。测试法是从计算机输入开始,跟踪某项业务直至计算机输出,以检验计算机应用程序、控制程序和系统可靠性的一种方法。在计算机环境下内部控制的审计中,使用测试法检查访问权控制的有效性,使用测试法检查输入有效性控制的执行情况,如对工资处理应用程序中输入数据的数据类型、数据有效性、数据范围、逻辑关系、数据加工的内部控制的测试。
【主要参考文献】
[1] 石爱中,胡继荣.《审计研究》.经济科学出版社,2002.
[2] 杨占芳. “计算机信息系统的内部控制”. 中州审计,2004年第8期.
[3]肖忠. “浅谈计算机系统审计的证据收集方法”. 计算机与现代化,2004年第8期.
[4] 刘汝焯等. 《计算机审计技术和方法》. 清华大学出版社, 2004.
[5] 叶陈刚,李相志. 《审计理论与实务》. 中信出版社. 2005.
篇5
会计实行计算机信息系统下的电算化后,会计工作的职能划分、权责关系、稽核关系及会计文档的管理形式等会计业务关系发生了显著的变化,因此过去的一套内部控制制度将无法适应新格局下的会计核算管理,迫切需要建立一套与时俱进、高效严谨的内部控制体系。同时,会计信息化给内部控制审计带来了新的挑战。
二、关于计算机信息系统下的内部控制
(一)什么是计算机信息系统下的内部控制
传统的内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。
我国财政部1994年的《会计核算软件基本功能规范》,在输入、处理、输出和安全四个方面对会计软件提出了规范化要求,涉及到的实际上都是内部控制的问题,即会计信息化软件应实现的具体控制。而1999年7月1日正式生效的《独立审计具体准则第2号-计算机信息系统环境下的审计》是第一次涉及计算机信息化系统内部控制的审计法规则。计算机信息化系统下的内部控制就是被审单位的组织与管理控制,应用系统开发和维护控制、计算机操作控制、系统软件控制,以及数据与程序控制等一系列控制的总称。
(二)计算机信息系统内部控制的分类
美国执业会计师协会第3号《审计准则公告》、《国际审计准则》第2号以及我国《独立审计具体准则第2号》,都把计算机会计内部控制分为一般控制(Generalcontrols)和应用控制(Applicationcontrols)两大类,并将前者定义为:1、电子数据处理的组织和操作的计划;2、对系统或程序的设计、开发和变动的记录、审核、测试和批准;3、制造商在设备内部设置的控制;4、对数据文件和接触设备的控制;5、对系统的运行有影响的其他数据和指令程序的控制。公告把应用控制定义为输入控制、数据处理控制和输出控制。
对于以上分类方法,我们认为从各方面来看,都有值得商讨的地方。内部控制的分类首先要概念清晰,同时也要区分控制主体,以便职责的明确划分。为此,我们认为应将其分成两大类:管理制度控制和程序系统控制。其中包含系统和软件的计算机软硬件就是我们所说的程序系统。程序系统控制是通过软件本身功能来实现的内部控制机制,从而达到系统的自我保护的目的,主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。软件开发部门为程序系统控制的责任者,用户不对其负责任。而管理制度控制一般则是以管理制度的形式实行的,涉及的方面主要包括组织、操作、维护和资料保管等。当然,可以将管理制度控制进一步分为环境控制(或基础控制)和操作控制(或控制)两类,组织、维护和资料保管都属于环境控制的范畴。显然控制制度的制订和实施与计算机程序系统无关,而应归责到会计软件使用单位。这种分类方法主要的有点是分类比较的清晰明朗,方便理解,而且实现控制的措施和控制的主体一致,责任分明,使得各方面明确自己应该干什么。
三、计算机信息系统内部控制的审计步骤
(一)内部控制的初步了解和描述
初步了解主要是了解企业单位网络中的安全控制的具体进行流程,使用了那些方法或者工具,最后的控制结果成效是什么样的,除此之外,也应了解有关企业的信息系统管理制度是否制定、如何制定,制定了其实施情况是怎么样的。通常审计人员采用询问,实地观察,查阅系统资料的方法了解,同时对一些基本业务处理过程进行跟踪,最后用文字描述、流程图和调查表等方式详细记载其了解的所有情况。
(二)对企业内部具体情况进行符合性测试
符合性测试是在对被审单位内部控制进行初评的基础上,为证实该控制是否在实际工作中行以贯彻执行,以及其效果是否符合设立该控制的初衷而进行的测试活动。进行符合性测试的目的是获取对准备予以信赖的内部控制是否有效执行的证据,从而确定会计报表审计的范围和程序。
1、一般控制的测试
一般控制的测试就是要初步了解企业内部对信息系统控制的情况,是否符合有关规章准则,是否健全有效,以避免应用系统中不能察觉错误的风险的发生。
(1)对被审单位组织与管理控制的测试。在该对组织与管理的审查时,审计人员应该把审点放在分工与职责分工上。可以通过询问,实地检查的方法对单位各部门,特别是了解数据处理和数据使用有关部门的分工情况,而部门领导以及部门职员之间是否做到职责分工,以及各部门是否建立并有效实施了合适的计算机信息化内部控制制度。
(2)对被审单位系统开发和维护控制的测试。在此审查中,审计人员应当关注开发过程中领导的参与度,是否了解开发的整个过程并且对此过程进行了职责之内的有效控制;为了满足后续需求,开发和维护中是否留存关键文件;是否为了防范风险进行了安全控制,是否做了风险应对计划和措施。
(3)对被审单位计算机操作控制的测试。审查操作控制时,审计人员应当了解数据处理部门有没有设置控制小组,各小组或小组成员是否职责分明,准确完整地进行控制操作,并记录下了操作记录,以及单位是否设有内部监督检查机构会人员对以上人员及其操作的控制。
(4)对被审单位系统软件控制的测试。审计人员应该检查系统软件处理错误的控制、系统使用权限的控制、防止病毒入侵的控制等功能有没有发挥其保障应用程序安全的效果,其效果是否高效明显。
(5)对数据和程序控制时,审计人员应该重点审查在整个数据和程序体系中,有无建立监督控制体制,接触数据和应用程序的人员是否经过授权,且其是否接受相关检查监督。
2、应用控制的测试
应用控制是对一般控制的深化和具体化,可以通过对应用控制的测试进一步取得控制评价的依据。
(1)输入控制的测试。在输入控制的审查中,应当了解是否有适当的控制举措来监督业务执行和输入的授权情况,控制业务的准确及时的输入,同时有无充分的控制措施来监督错误数据的更改与重新输入。
(2)计算机处理与数据文件控制的测试。在测试过程中应关注数据文件完整性和准确性控制效果,有无保留审计线索以备查。
篇6
薄弱环节:一是并发处理数据能力有待加强,如在2012-2013全国风险审计中,全行千名审计人员,同时最大上线人数超200人,审计系统查询和表关联动作出现性能明显下降,IQ集群数据库吞吐能力尚不能强力支撑生产环境。二是现有基础数据,目前通过数据交换平台将十余个业务系统的业务数据导入基础数据库,目前存在少量数据不完整,缺失现象。根本原因由于审计系统设计的缺陷(缺开放性),使得农业银行经营、管理过程中产生的数据未能全部导入审计系统,如小额支付系统。还有随着ABIS、CMS、FMIS、BOEING等系统的升级带来数据结构的变化,都带来审计系统数据迁移的滞后。发展方向:随着农行信息化建设的不断发展,近几年陆续完成了全国数据大集中并适时开展了新一代核心银行系统建设工程,标志着物理集中和部分程度逻辑集中的实现,并开始向全面的逻辑集中迈进。审计信息化平台的发展也将顺应这一趋势,抓住逻辑集中的契机,加快平台内部众多辅助平台的逻辑融合步伐。一是打破信息系统间的数据隔断,通过系统集成的预处理提高多个系统数据间的关联性和一致性程度,保证审计线索不会因系统隔断而丧失。二是通过对审计流程再造工程,进一步理清审计查证步骤,简化审计步骤,创新审计方法,提高审计信息化平台的易用性,降低平台核心系统的使用难度,进一步提高审计信息化水平。三是发挥农行信息系统逻辑集中的优势,提高审计信息化平台对新业务、新渠道、新技术的适应能力,建立开放式平台架构,为审计事业发展提供足够的扩展性。四是由于我国金融企业在经济发展的大环境下,市场潜力大,各项业务发展迅猛,风险防控压力加剧,这对审计监管提出了新的要求,这种审计需求的动态变化也使得审计信息化平台的建设成为一个长期的动态过程。只有准确把握审计业务发展路径和信息化建设趋势,把审计业务的变化融入到审计信息化平台的不断完善之中,通过科学的规划,开放的平台架构,渐进式的实施,卓有成效的建好企业审计信息化平台,以应对未来更多的挑战。
篇7
目前,计算机作为信息处理工具已经被人们所接受。无论是生活还是工作我们已经越来越离不开它,其主要特点表现为数据处理速度快、计算准确。其中1954年美国通用公司首次将计算机应用于工资处理,开创了会计电算化的先河。之后随着信息技术的发展、硬件价格的降低,使得一般的企业有愿望、有能力使用计算机完成日常的会计核算工作。目前的会计核算系统已经能够实现全部工作由计算机处理、完全替代手工的会计核算。在会计核算实现计算机处理的同时人们不禁要问审计工作什么时候也能够实现计算机自动处理。
审计是由专职机构或人员接受委托或授权,对被审计单位在一定时期内全部或一部分经济活动的有关资料,按照法规和一定的标准进行审核检查,收集和整理证据,以判明有关资料的合法性、公允性、一贯性和经济活动的合规性、效益性,并出具审计报告的具有独立性的经济监督、评价、鉴证活动,其目的在于确定、解除被审计单位的受托经济责任和加强对被审计单位的管理、控制。审计过程包括收集证据、分析整理、出具审计报告。
传统审计以纸介质的账证表作为审计证据,审计人员通过翻阅、计算、对比、评价、鉴证,实现对企业经济活动的监督、管理和控制。然而现代审计在大部分企业的会计核算工作已经使用电算化软件后,审计工作面临着两个必须解决的主要问题—审计证据的数字化、审计过程的自动化。
计算机审计系统的目标
计算机审计系统的目标为:降低审计工作的强度、提高审计工作的效率、保证审计工作的质量。
计算机会计已经实现从手工核算到计算机核算的转变。但是计算机审计的发展却不尽如人意,它明显滞后于计算机会计。究其原因有技术上的、也有管理上的。由于许多被审单位都已经实现电算化,传统纸介质的账证表已不再使用,取而代之为磁性的数字文档。在新的环境下,审计人员在审计过程中遇到的主要问题包括:获取真实、完整、有效的审计证据、灵活选择审计模型、严格编制审计报告。
一个好的审计软件系统应该具有通用性、完整性、正确性、安全性。其中通用性表现为一般不经过程序改动就可以满足大多数企业的审计需要;完整性表现为审计证据没有缺失;正确性表现为汇总核算过程准确无误;安全性表现为审计证据不会被篡改。
计算机审计的重点
会计工作是对企业所发生的各项业务以凭证的形式进行记录,按照账户进行核算、汇总,通过规范的报表如实反映企业的经营活动、经营状况。而审计工作则是对“记录”的公允性、合法性、一贯性进行审计;对核算方法、过程及各种报表的合规性进行审计;对企业经营活动的效益性进行审计。
计算机审计系统的主要职责是“辅助”审计人员完成对计算机会计系统所记录的企业各项经济活动、核算过程以及汇总结果进行审计。
计算机会计系统的工作方式及数据处理过程是从经济业务发生编制出记账凭证,并输入计算机系统,经过汇总核算生成各种账证表,而计算机审计的工作范围则应该从输入计算机的会计凭证开始到各种审计模型的使用,最终编制出审计报告。由于计算机会计软件系统有不同的品牌,每一个品牌的软件系统的数据结构各不相同。使得在使用计算机审计软件的时候不得不花费大量时间和精力确认会计系统中记录的数据凭证的真实性、完整性。从而大大降低了计算机审计系统的通用性,使得审计人员不得不沿用手工方式进行审计。
通用性强的审计系统要求应用的审计模型必须建立在标准的、统一的数据平台之上,人们在使用计算机系统进行审计时应该把工作重点放在审计方法的使用、审计过程的实现和审计模型的选择上,而不是放在数据的获取上。如今计算机会计系统只需将数字记账凭证输入计算机,之后汇总、核算、编辑会计报表等工作全部由计算机自动完成。所以会计人员已经从手工核算解脱出来,把“计算”工作抛给了计算机。面对这样的形式对于审计系统来说应该把证据“确认”的工作抛给计算机,而审计系统的核心内容应该针对不同的审计方法和模型进行“程序化”处理。
通用计算机审计系统的设想
(一)搭建通用审计系统的数据平台
通用数据平台的搭建可以采用两种方式,第一种方式由财务软件开发单位按照国家规定的标准(《信息技术 会计核算软件数据接口标准GB/T19581-2004》)在软件运行过程中,每一个会计期末将计算机财务系统中的记账凭证表、财务账表、会计科目表、以及一些辅数据表等相关数据输出到财务系统外部,供计算机审计软件使用,而审计人员则可以根据输出得到的账证表,以此为数据平台设计审计模型;第二种方式由审计软件的开发单位,针对每一个品牌的会计软件(而不是针对每一个被审单位)的数据库进行数据采集,采集到的数据格式要求必须符合《信息技术 会计核算软件数据接口标准GB/T19581-2004》标准,以此作为通用计算机审计系统的数据平台,设计审计模型,开发通用的审计系统。采用第一种方法,对于通用计算机审计系统是一个最理想的结果;采用第二种方法,对于通用计算机审计系统来讲,数据获取稍微麻烦一些,但依然是可行的,因为国内现有的、正规的、商品化的财务软件也就二三十家,通用审计系统可以针对每一个品牌的财务软件,按照(GB/T19581标准)将财务软件系统的相关数据导出。
(二)验证审计系统的数据平台
为了验证搭建起来的用于通用审计系统的数据平台,我们可以通过重构会计核算实现对记帐凭证、会计科目等数据的验证,具体办法就是在计算机审计系统中对获取的记帐凭证和会计科目等相关数据,按照正常的、符合会计准则要求的生成相关账证表,并编制资产负债表、利润表和现金流量表等。以此和被审单位的会计系统产生的对应账证表进行比较,如果一致,说明数据平台是真实、完整、有效、可用的。
(三)设计通用审计模型
计算机审计系统使用的数据平台搭建、确认完成以后,接下来的工作就是如何把关注点指向审计模型的建立、审计算法的设计、查帐方法的使用等。在审计查帐过程中使用的方法各种各样,包括:按规模划分,祥查法、抽查法;按顺序划分,顺查法、逆查法;按技术划分,审阅法,等。
使用计算机审计系统进行查帐,原来采用手工方式查帐困难的方法在计算机审计系统下可以很方便、快捷、准确、高效地进行。
以“顺查法”为例。手工使用“顺查法”查账过程就是按照业务发生到输出账表前后的时间顺序进行审查。根据原始凭证编制记账凭证,将记账凭证进行入账处理,然后登记总账、明细账和总分类账,期末的时候编制资产负债表、利润表以及现金流量表等。顺查法的优点就是全面、系统、准确;缺点是费时、费力、不易抓住重点。
然而,在计算机审计系统中采用顺查法最能够充分体现计算机的优势,它可以克服手工顺查法的缺点。做到省时、省力、而且容易抓住重点。
下面我们解释在数据平台确定的情况下,如何设计通用性强的计算机审计系统完成“顺查法”。
首先要抓住审计的重点,在计算机记账凭证库中根据审计的条件确定审查的对象和线索,例如:关注凭证金额大的记账凭证,关注会计科目使用频繁的记账凭证,关注科目容易出现问题的记账凭证等,总之可以根据需要定义各种条件。确定需要审计的对象之后,要进一步查阅和记账凭证相关的原始凭证,以确定被审计的业务。需要审计的记账凭证确定之后,我们可以从输入记账凭证到入帐处理以及输出各种财务报表,确定审计线索、审计方法和审计过程,所有这些工作都可以由计算机系统自动完成。“顺查法”如此,其它方法也可以做到由计算机自动完成。
国内财务软件审计数据接口调查分析
本文设想的通用计算机审计系统的基础是账簿数据表、记账凭证数据表、会计科目数据表、科目余额及发生额数据表、资产负债表、利润表的从格式到内容的规范化,标准化。
本文作者针对审计系统与财务系统之间数据交换的标准化现状做了两个问卷调查,一个是针对财务软件开发公司进行的调查(CQT),另一个是针对财务软件用户进行的调查(UQT)。其中UQT共发出98份,收回67份,所有问卷针对财务软件公司是否向用户公开数据表结构的回答,其中只有2份UQT确认其使用的金蝶财务软件向用户披露数据表结构;CQT的采集,直接通过电话向财务软件公司当面调查,共调查11家财务软件公司。调查内容见表1。
从表1可以看出,绝大部分财务软件不提供二次开发工具、不公开数据表结构、不支持CSIA接口、不支持T19581接口。这种情况的直接结果就是计算机审计系统的通用性无法实现,因为各个财务软件数据表的结构不同,访问方式不同,计算机审计系统疲于应付不同的数据库。
财务系统数据表结构的披露
企业在经营过程中要适时披露相关财务信息,有些是强制性,例如:资产负债表、利润表、现金流量表等。有些是非强制性的。然而对于计算机财务系统而言,数据表结构、数据表记录内容应该属于强制性披露的。尽管在相应的规范、制度、准则中没有提及。计算机财务软件的版权属于软件开发单位。但是因为计算机财务系统使用的数据库已经由使用单位买下,数据库中记录的数据是企业经营数据。所以数据库和数据库中的记录的所有权属于软件使用单位,为了能够使计算机审计系统能够方便的访问库中记录,获取相关的账证表等信息,实现计算机审计系统的自动化和通用性,被审单位有必要披露数据表的结构和数据表中的记录。但是数据库数据表结构并非被审单位设计的,因此数据表结构的披露应该由计算机财务软件开发单位按照《信息技术 会计核算软件数据接口标准GB/T19581-2004》输出相关用于计算机审计的电子账证表。
在GB/T19581标准中规定需要会计核算软件输出的数据样式有:格式说明文件、电子账簿文件、会计科目文件、部门、单位、项目信息、科目余额及发生额、记账凭证、企业资产负债表和企业利润表。
结论
综上所述,本文主要从国家标准(GB/T19581)出发,探讨了通用计算机审计系统的实现方法,认为应在实际应用与操作中强调构造计算机审计系统数据平台的必要性,以及尽快完善相关的规章制度的迫切性。
参考文献:
篇8
近年来,环保监管部门积极实施污染源在线监控的信息系统能力建设,用以实现对废水排污企业进行实时监控,并将其数据作为环保部门排污申报核定、排污许可证发放、总量控制、环境统计、排污费征收和现场环境执法等环境监督管理的依据。废水在线监控系统结构主要由三部分组成:(1)数据采集系统,包括废水污染源各监控站房内数据采集设备、与数据采集设备接口的其他相关设备,如门禁系统、摄像系统、温度计等。数采仪的操作系统为Windows CE。(2)数据传输通讯系统,包括利用GRPS实现监控平台与废水污染源各监控站房内数据采集设备进行无线通讯与数据传输。(3)基于废水污染源监控数据的综合信息管理系统,包括监测信息的、管理、利用、比对、审核和共享。操作系统采用Windows 2003 Server,数据库为SQL Server 2005/2008,开发平台为。审计试图从废水在线监控系统的功能性、安全性;数据库数据的准确性、完整性;各排污企业的终端监测设备安全性和运行稳定性等方面进行检查,诊断系统未充分发挥效用的病症所在,并提出切实可行的改进建议。
二、实施过程和测试方法
根据审计内容和要求,主要运用SQL Server软件还原系统备份数据,对上千万条信息记录进行数据分析,查找产生问题的原因。同时结合查阅工作记录等相关资料、实地查看现场以及问询等手段,查找系统运行和管理中存在的问题。现对主要内容的审计方法介绍如下:
(一) 测试废水在线监控系统数据的准确性
从数据传输过程、数据统计过程和数据比对校验三个方面对系统数据的准确性开展测试和审查。一是利用数据库分析对现场监测仪器的显示数据与数采仪的数据进行逐一比对,统计分析数据传输的误差情况,分析误差是否在制度规范的可接受范围内,检查数采仪统计均值计算的准确性,以此判断监测仪表模拟信号转换到数字信号的准确率。二是将被审计单位提供的单位排污口信息导入数据库,与废水在线监控系统中对应字段信息进行比对分析,发现“排放口名称”字段标识存在错误。进一步通过审查相关资料发现,被审计单位未建立信息维护机制,也未对字段信息进行审核。此外,将污水处理厂废水设计排放量与系统对应字段进行比对分析发现,废水在线监控系统数据库中部分污水处理厂废水排放量数据异常,且未对异常情况进行监测与处理。三是通过查看比对监测资料和比对校验工作记录发现,被审计单位未对废水在线监控系统现场端废水流量设备进行比对监测,影响废水在线监控系统废水流量数据的准确性,从而导致废水在线监控系统中由污染物浓度与废水流量相乘得出的污染物排放量的准确性无法判断。
(二)测试废水在线监控系统数据的完整性
在对上述异常情况进行分析的基础上,修正和剔除错误信息后对废水主要污染物因子-化学需氧量的采集次数进行测试,评价系统数据的完整性。根据国家和地方的技术规范,对废水连续排放和间隙排放等不同排放方式的累计排放小时数等参数进行测算,以获取每天理论采集次数。进而运用数据库分析工具对海量数据进行计算得出,三年实际系统获取次数仅占应采集次数75%左右,未进行监测的废水量达10亿万吨左右,未监测的废水量比例为34%。采集数据的缺失是表象,查找数据缺失的原因是关键。因此,在数据分析的基础上通过对采集次数缺失情况进行逐一排查发现,被审计单位对主要污染物因子化学需氧量的系统采样频率设置不合理,且未对数据缺失情况建立相应的监控制度和实施数据补缺措施,是导致数据缺失较大的症结所在。
(三)测试废水在线监控系统的安全性
篇9
1、前言
随着Internet的发展,开发分布式,跨平台,易扩展的软件系统成为大型企业级应用的趋势。J2EE(Java 2企业版)作为一种成熟的分布式企业级开发平台,由一整套服务(Services)、应用程序接口(APIs)和协议构成,它对开发基于Web的多层、分布式应用提供了功能支持。受到越来越多人的关注,成为开发火型企业级应用的首选。中国农业银行计算机辅助审计系统(以F简称CAS系统)就是基于J2EE平台开发的大型系统。本文以下内容将对J2EE技术在中国农业银行计算机审计系统中的应用进行研究和探讨,以供参考。
2、J2EE概述
在Java发展的过程中,它首先取得了Applet的胜利,使得以Web为中心的开发广泛地采用了Java语言。开发人员使用Applet技术,把开发的Applet很容易添加到到HTML页面。但是随着Web技术的发展,传统的静态页面已经不能满足开展、世务的需要,出现了服务器页面技术,这时Applet不能雅任此需求。SUN看到Web应用的潜力,推出了Java Servlet技术,满足服务器编释的需求。Servlet广泛应用于企业级应用程序的开发中。后来其他厂商为了简化Servlet的开发,逐渐共同推出了JSP技术,JSP更容易开发表示层,最后SUN也把JSP作为J2EE标准的一部分。又由于Servlet处理业务逻辑的局限,SUN后来推出了EJB技术。
J2EE平台规范是一个由SUN公司定义的用于简化分布式企业级应用开发与部署的基于组件的模式。它提供了一个多层次的分布式应用模型利一系列开发技术规范。多层次分布式应用模型是根据功能把应用逻辑分成多个层次,每个层次支持相应的服务器和组件,组件在分布式服务器的组件容器中运行(如Servlet组件在Servlet容器上运行,EJB组件在EJB容器上运行),容器间通过相关的协议进行通讯, 实现组件间的相互调用。
J2EE使用多层的分布式应用模型,应用逻辑按功能划分为组件,各个应用组件根据他们所在的层分布在不同的机器上。事实上,sun设计J2EE的初衷正是为了解决两层模式(client/server)的弊端,在传统模式中, 客户端担当了过多的角色而显得臃肿,在这种模式中,第一次部署的时候比较容易,但难丁升级或改进,可伸展性也不理想, 而且经常基丁某种专有的协议一一通常是某种数据库协议。它使得重用业务逻辑和界面逻辑非常困难。现在J2EE的多层企业级应用模型将两层化模型中的不同层面切分成许多层。
3、系统总体设计
3.1,系统架构
CAS系统使川J2EE技术架构,采用B/S(Browse/Server)结构,系统为三层结构:数据库服务器、应削服务器、客户端。
3.2,CAS系统的数据库
CAS系统的数据库分为4部分:原始数据库,从新一代业务系统、信贷管理系统、国际业务系统迁移过米的原始业务数据及外部数据;基础数据库,日志、机构、人员、设备、字典、文件存储索引等;档案数据序,审计、作记录、审计工作底稿、审计依据等;临时数据库,审计查证过程中产生的数据。
JDBC中最重要的对象是Conection,Connection对象代表与数据库的连接。连接过程包括所执行的SQL语句和在该连接上所返回的结果。一个应用程序可与单个数据库有一个或多个连接,或者可与许多数据库有连接。获得连接之后才能向数据库发送SQL指令。
3.3,系统模块划分
系统管理主要是实现对系统运行的控制信息的管理,内容主要包括系统参数的定义、字典信息的维护和日志管理。
注册管理主要是实现对审计机构、审计人员和审计设备的管理。
环境定义主要是维护原始数据的使用环境,内容主要包括原始数据表信息的维护和业务机构在不同系统中的对照信息的维护。
项目管理主要是实现对整个审计流程及其过程和环节的控制和全面管理。其功能主要包括:项目立项、万案制定、项口授权、审计开工和收工。
审计查证提供一个功能丰富的查帐平台,审计人员可以利用多种查询、统计、计算工具和图形化分析工具,方便准确地实现审计思想向计算机能够执行并可记录的运算过程的转换,从而使计算机模仿手工查帐的步骤进行自动查帐,以达到帮助审计人员准确、高效地完成审计任务的目的。
审计方法管理主要是实现对审计过程中产生的方法进行管理,内容包括审计方法的优化、审计方法的变更和审计方法的查询。
审计文档生成主要是实现审计工作记录、审计工作底稿、存在问题清单、审计工作报告、审计意见书、处罚决定书、牿改报告、后续审计情况、后续审计报告等审计文档的生成功能,并提供文档归档功能将审计文档归入审计档案。
档案管理是指对审计过程生成的审计文档进行统一规范档案化管理。审计档案管理的目的是建立审计档案库,从而实现审计文档的积累和信息共享,以及根据审计档案对审计进行多角度分析的功能。
依据管理是指对审计上作中需要经常使用的相关依据的管理,其目的主要是实现审计依据(如法律法规)信息的统一电子化管理,为审计人员提供最及时、最准确的审计依据,从而有效的提高审计的权威性,保证审计成果的可靠性。
4、结尾
本文以上内容对J2EE技术进行了介绍,并随后分析了其总体设计,对其在中国农业银行计算机审计系统中的应用进行了初步的探讨,表达了观点和见解,但由于此技术是一个系统,仍需要对其详细设计进行进一步的研究,才能真正的将技术与审计系统相结合,这是本人将要研究的方向。
【参考文献】
篇10
2.检查数据处理系统中的控制,并据此评价应用控制在保证数据处理的及时性、准确性和完整性方面的可靠程度;
除检查一般控制和应用控制外,审计人员还应参与新数据处理系统或应用项目的设计与开发以及其后所进行的重大修改工作。
可能的情况是,开发出来的数据处理系统缺乏控制措施,因此管理人员和审计人员就不能依赖其完整性。所以,如果管理部门指望正在开发的系统在可审性和适当控制方面得到合理的保证,那么审计人员在系统设计与开发过程中的检查就是至关重要的。要达到这一目标并不总是可行的,因为审计机构可能没有检查系统设计与开发所需的资源或人力。但是,这项检查应当作为一个审计目标。
一、电算化系统一般控制的检查
数据处理方式由机械处理向自动化处理的转变,需要改进传统的审计“自动化数据处理系统的复杂性和范围的广泛性,要求审计人员给予处理数据的系统和数据本身更多的关注。如果系统在安全性方面得到合理的保证并具有足够的控制,审计人员就可以信赖被处理的报告的数据。审计人员应该区别一般控制和应用控制。”一般控制通常适用于系统进行的大部分数据处理,而应用控制则可能因应用项目而异,而要分别加以检查。在检查个别应用控制时,审计人员应考虑被查系统一般控制的效果;
1.组织控制。职权和责任的分配必须以能够保证有效果、高效率地实现组织目标的方式进行。审计人员应该检查被审单位的组织结构、职权和责任的分配与分工情况、其目的在于确定职责分工是否能够提供有力的内部控制,例如,程序与系统开发、机操作、输入数据的控制、以及保持应用控制的控制小组等职责,在可行的情况下应予以分离。同时,审计人员应从“整个系统”的角度加以考虑。
在检查职责分工情况时,审计人员应该评价控制的强度并报告由于职责分工不够而暴露的弱点。职工定期轮换工作岗位及强制性休假等制度有利于管理部门维持足够的职责分工。审计人员应对这些制度的执行情况加以检查。
2.设施、人员和安全控制,拥有足够的实物设施和其他资源(如训练有素的人员等)是一个单位实现其数据处理目标所必需的。审计人员应该确定被审单位是否拥有满足数据处理需要的足够资源。
人事管理,包括监督、激励和员工的职业,是成功的数据处理的组成部分。审计人员应该评价有关的管理方针和惯例,以确定是否制订了必要的方针及方针的执行情况。例如,由于整个计算机领域迅速发展,一个组织的人事管理部门需要制订包括数据处理人员在内的和培训计划。该计划应该能够保证职工跟上最新发展,以使他们能够以最佳效果和最高效率履行职责,并能够在工作中采用已经证明为具有成本效益的新方法。数据处理人员培训和发展计划不当可能会阻碍组织目标的实现。
审计人员应该确定被审单位是否制订了有关计算机硬件、计算机程序、数据文件、数据传送、输入和输出资料以及人员的安全规定。该项检查应该不仅涉及中央处理站的计算机设备,还应包括其他地点的小型机、计算机终端、通讯设施及其他外围设备。
在检查计算机硬件的实物安全性时,审计人员应该考虑为在正常数据处理中断以后继续处理关键应用项目而制订的应急计划是否充分。该计划应包括应急电源和后备硬件的规定以及关于使用后备设备和将人员、程序、表格和数据文件转移到另外的处理地点的详细计划。审计人员还应该考虑该计划经过测试的程度以确定在实际紧急情况下能够继续进行数据处理的可能性。
审计人员还应该检查数据文件的实物安全性;该项检查应保证,在可行的情况下,数据和文件档案资料由不能接触机和存取计算机程序的人员保管;文件档案资料安全;计算机操作员和其他人员不能随意接触文档资料;制订有文件备份的规定(包括另外存放备份文件的规定)。在文件联机存储的情况下,审计人员应该考虑是否采取了充分的存取授权控制措施以及备份文件是否有地进行拷贝。此外,审计人员还应检查数据备份文件是否做了适当的标志和标签、席计人员还需检查文件的以保证文件的完整性和准确性。对子程序备份文件也应建立同样严格的控制。
3.操作系统控制。计算机系统通常由操作系统(也常称为系统软件)控制。由于这些操作系统通常具有数据管理、多道程序管理能力和文件标签检验,以及其他许多授权控制功能,因此,它们是计算机处理一般控制的组成部分。审计人员应该了解操作系统能够执行的控制,并确定这些控制的利用程度以及未被利用的情况。审计人员应该知道哪些人维护操作系统,或有能力修改操作系统。这些人可能有意或无意地破坏操作系统的控制,使其失效。
4.硬件控制。计算机硬件经常能够检查出硬件功能失常而引起的错误。审计人员应该了解:(1)系统设施是如何依赖这些硬件控制的;(2)操作系统如何利用这些硬件控制;(3)系统如何报告检查出的错误,以及纠正错误的程序。
二、电算化系统控制的检查
在对所有应用项目的数据处理的可靠性或完整性进行估计之前,必须对具体的应用控制和一般控制措施进行全面的评价。
依据这一准则进行审计工作有两个目的,兹分述如下:
篇11
教育系统;内部审计;信息化建设
近年来,党和政府高度重视教育事业,教育经费投入连年增长,比如我市2013年教育经费总支出为15.52亿元,占财政总支出的30.62%,2014年教育经费总支出为15.84亿元,占财政总支出的36.83%,教育经费的使用和管理日益成为社会关注的热点。要如何管好、用好教育经费,提高教育经费的使用效益,是教育行政部门和中小学校财务管理的第一要务。教育工作涉及面广,教育经费支出复杂、量大,特别是近年来在教育系统内部出现了一些违规和腐败现象,对整个教育系统的声誉产生了严重的影响。如何规范教育经费的使用,发挥其最大使用效益是教育内部审计工作需要解决的问题之一。
一、内部审计信息化的缘起——信息技术的挑战
近几年来,随着计算机的普及、网络的发展,信息系统的广泛使用,大量的经济业务活动通过网络实现了无纸化。如我们教育系统的会计核算已实行了电算化,这使得审计线索和内容发生了变化。在会计核算手工系统中,由原始凭证到记账凭证,由过账到财务报表的编制,每一步都有文字记录,都有经手人签字,审计线索十分清楚。但在会计电算化系统中,传统的账薄没有了,绝大部分的文字记录消失了,取而代之的是存有会计资料的磁盘。此外,从原始数据进入计算机,到财务报表的输出,这中间的全部会计处理集中由计算机按程序指令自动生成,传统的审计线索在这里中断了、隐藏了、消失了。会计电算化系统的特点及其固有的风险,决定了审计的内容要增加对计算机系统处理和控制功能的审查,这必然要求我们也要建立审计电算化系统,通过程序指令自动审计。
二、内部审计信息化建设的重要意义
国家审计署原审计长李金华曾在不同场合多次强调:“审计信息化建设是审计系统一场深刻的革命,是未来审计的主要手段,是现代审计的发展方向。不加强审计信息化建设,我们将失去审计资格”。精辟地阐述了审计信息化对于审计工作的深远影响,为审计工作的发展指明了方向。那么我们实现审计信息化有哪些重要意义呢?笔者认为主要体现在以下几点:1.内部审计信息化是解决当前审计信息种类多样化、数量规模化、信息内容复杂化的有效手段。2.内部审计信息化是改善内审工作环境,提高工作效率的重要途径。3.内部审计信息化是实现审计事前发现风险疑点,事前防范风险的重要方式。4.内部审计信息化是规范内部审计行为,提高审计质量,控制审计水平的可靠工具。
三、内部审计信息化建设的三个阶段
目前我市教育系统内部审计,均采用传统的手工审计,根据实际情况,笔者认为审计信息化建设应该遵循“先易后难、分步实施、逐步完善”的原则,分三个层次来逐步推进。首先是实现计算机辅助审计;第二是构建审计信息化系统;第三是实现信息系统的审计。
(一)实现计算机辅助审计。
计算机辅助审计是指审计人员利用计算机设备和软件来辅助审计工作。从这几年内审工作的经验来看,笔者觉得计算机辅助审计可以使审计人员从冗长乏味的计算工作中解放出来,将更多的时间精力集中于那些需要专业判断的部分,进而提高审计工作效率;还可以辅助审计人员完成以下工作:1.数据采集与转换。利用计算机技术可以识别不同会计核算软件的数据格式并将其转化为通用的数据格式。2.数据分析与计算。将计算机技术用于分析性审计程序,可以非常快捷、方便、准确地得到分析结果。3.审计抽样。在手工条件下需要人工计算的总体容量、抽样容量及标准估计值等工作,现均由计算机审计软件自动完成,因而方法更科学,结果更客观。4.项目管理。计算机软件可以辅助审计人员完成编制审计计划、记录审计日志、生成审计底稿、撰写审计报告、管理审计档案等工作。
(二)构建审计信息化系统。
审计信息系统(AIS)是在计算机辅助审计得到广泛应用的基础上,将多种审计模块集成到单位管理信息系统(MIS)中构成的一个子系统。它具有多种功能:既可以对单位的投资决策、生产经营和财务管理等进行全过程动态审计,也可用于进行经济责任审计,还可以充当单位经营管理、辅助决策的工具。随着网络经济的出现,人们对处理和传递信息的计算机系统的安全、可靠和有效性更加关注。这就要求我们审计内容不能仅仅局限于对会计信息的审计,而要延伸到系统本身,即对审计信息系统进行审计。
四、内部审计信息化建设的应对措施
(一)建立健全审计信息化制度体系。
加强信息安全和保密工作,建立健全规章制度。比如,我们现在大多数财务软件在设计时没有考虑到审计的需求,导致审计软件与财务软件难以对接,这对审计的效率和质量造成很大影响。因此,需要进一步制定并完善财务软件设计的相关制度规范。还有我们要建立和完善服务质量检查、考评机制,要形成完备的工程运行维护、系统监管与应急响应、专业人员知识和技能更新等机制,确保系统的正常运行,为审计信息化提供制度保障。
(二)加大基础设施建设,提升软硬件系统配置。
“工欲善其事,必先利其器”,在审计信息化建设上加大投入。既要把钱用在刀刃上,保障审计业务人员人手一台笔记本电脑和一个移动硬盘。硬件设施的不断完善,为审计信息化建设提供了基础平台。又要杜绝浪费,搞信息化建设要贴近审计工作实际,既要适度超前,又不能盲目追求高标准,要以合理的信息化投入换取审计能力和效率的提升。还有我们要充分考虑审计机关信息化人才培养状况,如果不培养一批高素质的人才去运用,那么我们的设备再先进,也只能束之高阁。
(三)树立“人才强审”战略。
人才是开展审计信息化的重要条件。审计机构应积极引进既有丰富会计、审计知识又具备较高计算机技能的复合型人才,同时积极开展有关计算机辅助审计方面的后续教育。使审计人员不断地认识审计信息化系统环境下的审计特点,掌握审计软件的使用、维护等技能,从而有效地完成审计任务。在审计人员的培养方面,我们应该积极培养具有复合性知识结构的审计人员。比如,可以对会计人员或计算机软件开发人员进行学习培养,使得他们也能加入到审计队伍当中,成为审计信息化的专职或兼职人员。
(四)大力推广计算机审计。
首先进一步完善并推广审计信息系统和现场审计实施系统,积极探索联网审计和信息化审计。这需要我们建成审计信息化数据库,制定数据库规划,完善充实审计数据库,提升数据资源建设的规范化,为审计业务提供有效支持。其次实现审计方法的信息化,积极研究探索审计抽样、内控测评、风险评估等审计方法的信息化实现方式。将计算机技术运用于审计实践,增加审计的技术含量,提高审计的质量和效率。审计信息化建设应注重实际应用,可以根据审计的实际需要开发一些具有行业和地方特色的小软件、小模块,比如我们可以开发教育行业专业的审计软件等。
五、如何防控内部审计信息化风险
计算机审计风险是指审计人员在对被审计单位会计电算化系统进行审计后得出的审计结论与被审计事项实际情况相背离的可能性。也可以理解为审计人员不能正确合理地运用计算机审计技术从而导致审计结果与事实不相符,发表不恰当的审计意见。影响计算机审计风险的因素主要有如下几方面:
(一)审计数据是否完整、准确。
为保证审计数据的完整和准确,审计人员在审计时必须认真检查被审计单位所提供的数据是否真实,是否属于审计时间范围内的财务数据,是否属于结账后的数据,财务数据是否有纸质账册、报表相配套。同时,审计人员获得的财务数据,应该是被审计单位财务人员对财务数据作现场备份所得的。
(二)审计方法与技术选择是否恰当。
审计人员可以根据被审计单位不同的系统而采取不同的审计方法和技术,从而有效地降低审计风险。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时,则可采用绕过计算机的审计方法,用核对、复核、分析性程序等审计技术;当被审计单位采用实时处理,纸质的审计线索较少且输入输出不能直接核对时,则可采用计算机审计的方法,当被审计单位采用每时每刻都在运行,审计过程中不能终止工作时,则可采用制度基础法。这样,既可以降低审计风险,又可以减少对被审计系统正常工作的影响。
(三)审计方式的选择是否合理。
由于要审计的内容大都存储在磁性介质中,而磁性介质很容易被篡改、删除而不留下任何痕迹。因此对于会计信息系统财务审计一般应采用就地审计或突击审计的方式。在进行审计时,可以采用事先不通知操作员或程序员的情况下,把系统中正在运行的数据拷贝出来进行审查,以防程序员对系统的应用程序进行篡改或更换程序版本,防止操作员把数据篡改、删除等,只有这样,才能保证被审计程序和数据的正确、完整性,也才能有效地降低审计风险。
(四)是否积极取得被审计单位的支持和配合。
在进行计算机审计时,如果被审计单位的财务人员、操作人员不予配合,把存在磁性介质当中以及会计信息系统中财务数据进行加密、修改、删除、隐匿等,则审计人员很难进行审查,因此,审计时应积极取得被审计单位的支持和配合,以此来降低审计风险。
六、结束语
国家审计署原审计长李金华指出:“审计信息化不光是个技术方法的问题,它对审计工作的方式、程序、质量和管理,乃至审计人员的思维方式和自身素质都会带来深刻的影响”。也就是说,创新审计技术与创新审计模式是互为前提、互相推动的一体两面。加快内部审计信息化建设既是实现内部审计转型的一项重要任务,更是开展以风险控制为导向管理审计的重要技术支撑。必须要把推进内部审计信息化建设作为利用信息技术改造提升传统审计方式的重要内容,纳入到推进内部审计实现全面转型与发展的总体部局之中,统一规划,整体推进。
篇12
会计电算化的实施,改变了会计的信息存贮方法、核算形式及内部控制方式,对审计也产生了很大的影响。
①在信息存贮方法上。在传统的手工会计系统中,从原始凭证到记账凭证,由过账到财务报表的编制,每一步都有文字记录,审计是针对这些文字记录而言。但在会计电算化系统中,会计处理集中由计算机完成,会计信息集中存贮在磁性介质上,只留下肉眼看不见的线索。
②在会计核算形式上。在会计电算化系统中,不一定要遵循手工操作方式下的会计核算方式,而是直接输入数据由计算机按程序自动进行处理得出结果。如果会计电算化系统的应用程序出错或被人非法篡改,则计算机只会按给定的程序以同样错误的方式处理有关的会计事项,从而得出错误的结果。
③在内部控制上。传统的手工会计系统中,会计部门的内部控制一般表现为对人的控制,强调职责分清、相互牵制,采用的手段主要是利用纸面信息进行人工核对与检查。但在会计电算化条件下,内部控制转变为对人和机器两方面的控制,且多数情况以计算机内部控制为主。如果计算机内部控制设置不当,没有形成有效的控制,就给人以可乘之机,甚至可能被神不知鬼不觉地嵌入非法的舞弊程序,给企事业单位招致严重的损失。
因此,在会计电算化条件下,审计人员必须要了解和审查会计电算化系统的处理功能及其内部控制,以证实其会计事项处理的合法性、结果的正确性及信息的完整性和安全性。
二、实施会计电算化审计面临的现状
由于各行业各单位会计电算化系统应用环境大不相同,应用程序也各具特点。从使用的系统来看大致有以下两种情况:
1、购置商用会计软件。
目前,商业化会计电算化软件有几百家之多,不同的电算化系统虽然有着不同的特点,但也有着基本的相同点:①输入、处理、统计、查询、输出及维护功能较完整全面,界面设置较好;②对软件设计过程、程序文本和数据结构采取严格的防范和保密措施,安全性较好;③采用计算机内部控制取代部分手工会计的内部控制,减少了人为因素。这些特点给会计工作带来了较大的便利。然而由于各种会计软件的数据库千差万别,其防范保密措施更是八仙过海,各显神通,这就给审计人员开发通用的审计软件带来困难。
2、自行开发会计软件。
自行开发会计软件,一般是根据企事业单位自身的需要,结合实际情况研制而成的。如我校某些下属单位的会计软件就是由单位提出要求,请计算机人员编制而成。这些软件使得财务会计后台核算,包括从记账到报表输出、统计查询的全过程自动化,一般具有较强的检测排错功能和统计处理功能,实用性强。但在系统安全方面及内部控制方面需要人工予以辅助来加强系统的管理。比如:有的数据库没有加密,可以随时打开修改数据,就要求管理者制定规章制度来约束会计人员的行为。
三、审计对策
会计电算化的实施使得会计系统本身发生了很大的变化,对电算化系统的审计与对手工账簿的审计相比,相应在审计内容、方法上也发生了变化。无论是对购置的会计软件还是对自行开发的会计软件,审计内容上都需要对其系统内控进行审计,以及对其电算过程和结果进行审计,审计方法或措施有所不同。
1、加强对系统内控的审计
对系统内部控制的审计,一般经过以下几个步骤:
①对内部控制进行描述:审计人员可以通过与被审单位有关人员座谈、实地观察、查阅系统的文档资料等办法,必要时可编制内部控制情况问卷,了解系统的内部控制,将它用图示描述出来。
②对内部控制进行初步评价:侧重于评价内部控制的健全性和合理性。主要从以下几方面来评价系统控制是否已经设立、控制的布局是否合理、有无过多或不必要的控制:
A:是否实施了职责分离,以达到相互牵制、相互制约的目的。主要包括计算机开发和维护部门以及系统使用部门内部的职责分离,如凭证的输入与审核应由不同人员担任。这种控制不但要以规章制度的形式明确每个部门及人员的职责,还应在系统中采用密码控制技术,防止越权行为的发生。
B:是否编制了切实可行的开发计划,计划是否经过严格审查、仔细研究和反复调查后才予以实施;在开发过程中是否实施了严格的人员调配;系统的文档资料是否齐全规范,保管制度是否科学等。这项评价适用于自行开发会计软件的单位。
C:是否只有经过授权批准的人才能接触系统的硬件、软件、数据文件及系统文档资料;机房是否具有安全保护措施、设备是否具有保护措施等;数据文件是否具有备份措施等。
D:是否建立正确可靠的硬件及软件平台,保证系统正常运作;尤其是系统软件中是否具有错误处理的功能、文件保护的功能及安全保护的功能。如:系统是否自动建立使用系统的人员和活动记录,以备日后检查;存贮的文件是否实施加密措施,以保证只有掌握密码的人才能打开文件等等。
E:是否采取了严格的输入控制措施,来保证系统输入信息的可靠性。例如:输入凭证的完整性、是否具有凭证的试算平衡控制、凭证的编号是否按顺序设置,有无重复号码、凭证的借贷方金额是否相等、对由计算机发现的错误是否拒绝接受并予以提示,改正错误后重新提交系统并作好错误记录等等。
F:是否采取了适当的处理控制措施,来保证会计数据处理准确性、完整性。例如:是否只有经过授权批准的人才能执行登账、对账、结账等会计处理操作;系统是否具有防止或及时发现数据出错的措施;对非正常中断是否具有恢复功能;系统是否具有防止非法篡改的功能等等。
G:是否采取了适当的输出控制措施,来保证系统能完整、准确地输出经处理的会计信息。例如:未经授权批准的人不能接触输出资料,打印输出的资料是否进行登记,并经有关人员检查后签章才能使用或予以保管等。
以上内部控制在系统中由计算机内部控制和手工控制组成。不同的系统中设置的程序化控制也不相同,尤其是自行开发的会计软件在这方面比较松懈,因此对每个系统都应认真检查是否建立了规章制度,用管理来弥补计算机内部控制的不足。
③对内部控制的执行情况进行符合性测试。主要是对上条中设置的内部控制措施是否得到认真执行而采取的测试。对计算机内部控制可以利用计算机进行辅助测试,对手工控制则可以采取如观察法、实验法等手工测试方法。
④对内部控制进行总评。主要考虑系统内部控制中有哪些比较满意的措施、是否能够通过符合性测试,符合程度如何、内部控制是否可以信赖等。
2、做好系统电算过程和结果的审计
在系统中,输入的原始数据、处理的中间结果和最后结果都是以数据文件的形式存贮于电、磁介质或打印输出在纸质账页上,要对系统电算过程和结果的真实性、正确性、合法性等进行评价,必须对数据文件进行审计。数据文件审计可以是对打印输出的数据文件进行审计,也可以是对存贮在电、磁介质上数据文件进行审计,前一种数据文件审计与手工会计系统中对凭证、账簿、报表的审计方法与技术相同,后一种数据文件的审计则需要运用计算机辅助审计技术进行审查。通常,为了节省时间,提高审计效益和审计质量,采用后一种审计方法。即可直接从系统中取得所需数据。
对于自行开发的会计软件,审计人员可以复制它的数据库,直接用计算机语言或采用计算机语言编制辅助审计程序访问数据库,可对整个数据库或选定的数据进行复核,可有效地执行大量数据的验算、重新分类及汇总工作,可详细地检查数据库的内容,按指定的标准查找记录,总之,根据审计目的进行计算和处理,并按照审计要求输出审计信息。
篇13
一、进行会计电算化审计面临的现状
由于各单位会计电算化系统的使用要求和环境大不相同,应用的程序也各具特点。从使用的系统来看大致分为购置的商用会计软件系统和自行开发的会计软件系统两种类型。不同的电算化系统虽然有着不同的特点,但有着共同的优点:①输入、处理、统计、查询、输出及维护功能较完整全面,界面设置较好;②操作简便,实用性强,大大降低了人﹑财﹑物的消耗,并提高了信息的使用效率。③一般具有较强的检测排错功能和统计处理功能,有较好的保密功能和安全性。然而各种会计软件自身的缺陷也给审计工作带来了很大的困难,比如:各种会计软件的数据库千差万别,其防范保密措施也各显神通,给审计人员开发通用的审计软件带来困难;在系统安全方面及内部控制方面也需要人工予以辅助来加强系统的管理,有的数据库没有加密,可以随时打开修改数据,就要求管理者制定规章制度来约束会计人员的行为。
二、开展对会计电算化系统审计的必要性
会计电算化的实施,改变了会计的信息存贮方法、核算形式及内部控制方式,对审计监督财政财务收支的真实性、合法性和效益性提出了新的要求。
(一)、会计电算化系统审计是审计监督财政财务收支真实性目标的必然要求。
真实性着重解决财政财务收支活动是否确实存在,有关资料记录是否客观、全面、准确。在会计电算化系统中,通过直接输入数据,由计算机按程序自动进行处理得出结果,如果会计电算化系统的应用程序出错或被人非法篡改,则计算机只会按给定的程序以同样错误的方式处理有关的会计事项,从而得出错误的结果。
(二)、会计电算化系统审计是审计监督财政财务收支合法性目标的必然要求。
合法性着重解决财政财务收支活动是否符合国家法律法规和规章规定,有关资料编报是否符合财务通则、会计准则及有关制度规定。在会计电算化条件下,内部控制转变为对人和机器两方面的控制,且多数情况以计算机内部控制为主。如果计算机内部控制设置不当,没有形成有效的控制,就给人以可乘之机,甚至可能被神不知鬼不觉地嵌入非法的舞弊程序,给企事业单位招致严重的损失。
(三)、会计电算化系统审计是审计监督财政财务收支效益性目标的必然要求。
效益性着重解决财政财务收支活动是否经济合理,富有成效。如果被审系统的内部控制健全有效,会计软件功能正确可靠,则可减少数据文件实质性审查的数量和范围,反之,则应扩大实质性审查的数量和范围。
三、会计电算化审计方法
会计的电算化必将导致会计电算化审计。会计电算化审计的本质是审计与现代信息技术(主要是计算机技术)相融合的一个发展过程。其目标是通过审计与现代信息技术的有机结合,评价控制会计信息系统,实施审计监督服务,以促进经济发展和社会进步。因此,审计内容上需要重点对其系统内控进行审计,以及对其电算过程和结果进行审计。
(一)、系统内控的审计
对系统内部控制的审计,可经过概括描述﹑初步评价﹑综合性测评﹑总体评价四个步骤进行。具体方法如下:
1.审计人员要通过对会计软件的学习以及实地观察、查阅系统的文档资料等办法,做到对系统内部控制的初步了解,将它概括描述出来,做到心中有数。
2.侧重于评价内部控制的健全性和合理性。首先看内部是否具有相互牵制和制约作用,职能权限的管理是否恰当。例如凭证的输入与审核是否由不同人员进行。这种控制不但要以规章制度的形式明确每个部门及人员的职责,还应在系统中采用密码控制﹑有效口令控制﹑数据加密等手段,防止越权行为的发生。其次看是否采取了严格的输入和输出控制措施,来保证系统输入和输出信息的可靠性。例如:输入凭证的完整性、是否具有凭证的试算平衡控制、凭证的编号是否按顺序设置,有无重复号码、凭证的借贷方金额是否相等、对由计算机发现的错误是否拒绝接受并予以提示,改正错误后重新提交系统并作好错误记录;未经授权批准的人不能接触输出资料,打印输出的资料是否进行登记,并经有关人员检查后签章才能使用或予以保管等等。再次看是否采取了适当的处理控制措施,来保证会计数据处理准确性、完整性。例如:是否只有经过授权批准的人才能执行登账、对账、结账等会计处理操作;系统是否具有防止或及时发现数据出错的措施;对非正常中断是否具有恢复功能;系统是否具有防止非法篡改的功能等等。最后看机房是否具有安全保护措施、设备是否具有保护措施等;数据文件是否具有备份措施等。
3.对内部控制的执行情况进行综合性测评,测评上条中设置的内部控制措施是否得到认真执行。对计算机内部控制可以利用计算机进行辅助测评,对手工控制则可以采取如观察法、实验法等手工测评方法。
4.通过考查系统内部控制中有哪些比较满意的措施、是否能够通过符合性测试,符合程度如何、内部控制是否可以信赖等,对内部控制进行总体评价。
(二)、系统电算化过程和结果的审计