引論:我們為您整理了13篇計算機審計系統范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
雖然計算機安全防范技術在不斷進步和完善,但是道高一尺、魔高一丈,非法入侵計算機系統的案件還是不斷地出現和增加。本文所要探討的,是目前法律界所面臨的緊迫而又棘手的問題,即如何獲取非法入侵或攻擊計算機系統的計算機證據。算機證據的收集和評價是一個法律問題,但又往往需要一定的計算機技術和其它科學技術,甚至是一些尖端的技術。對于攻擊計算機系統的取證,傳統的方法并不十分有效。
計算機審計系統應該具有監視功能和檢測功能。監視功能是指審計系統通過監視對計算機系統的所有操作,為入侵計算機系統的犯罪偵破和犯罪審理提供線索和證據,一個良好的審計系統還可以協助發現潛在的入侵者;檢測功能是指審計系統能夠檢測程序的真實性、完整性和可靠性,判斷程序是否已被篡改、是否處于正常的運行狀態中。計算機審計技術就是在計算機系統中模擬社會的審計工作,對計算機系統的活動進行監視和記錄的一種安全技術,運用計算機審計技術的目的就是讓對計算機系統的各種訪問留下痕跡,使計算機犯罪行為留下證據。計算機審計技術的運用形成了計算機審計系統,計算機審計系統可以用硬件和軟件兩種方式實現。
獨立性是審計工作的本質特征,計算機審計的獨立性具體體現在以下兩個方面:(1)不管是在操作系統中還是在應用軟
件中,審計系統都應作為一個獨立的子系統而存在。(2)設立工作獨立、行為自主的計算機系統審計員。審計系統把對計算機系統的所有活動以文件形式保存在存儲設備上,形成系統活動的監視記錄。監視記錄是系統活動的真實寫照,是搜尋潛在入侵者的依據,也是入侵行為的有力證據。監視記錄本身被實施最嚴密的保護。在保護監視記錄的問題上,應該堅持獨立性的原則,即只有審計員才能訪問監視記錄。
二、計算機審計系統的設想
(一)監視記錄的設計。監視記錄的內容包括:用戶標識;(在網絡上使用時)使用軟件的設備地址;使用軟件的起止時間;調用的子程序及調用子程序的起止時間;訪問的硬件設備及訪問的起止時間;使用軟件過程中訪問的文件和目錄,訪問的類型(創建、打開、關閉、讀、寫、拷貝、刪除、重命名、運行等)以及訪問的起止時間;針對文件數據的操作,包括讀、增、刪、改、復制等操作以及操作對象在文件中的具置;對軟件參數的修改。
(二)監視模塊的設計。設計的監視功能包括:①監視整個應用軟件的活動,并提供詳細的監視記錄,使所有活動留下線索。②允許選擇特定的監視對象,這項功能可以在現有證據不充分的情況下,令審計員可以實施重點監視,更深入、詳細的取證。③在一定程度上檢測和判定對系統的入侵和入侵企圖,提供報警信息并能實施必要的應急措施。④提供對監視記錄的以任何項目為關鍵字的查詢及各種組合查詢,多方面滿足審計員的審查需要。⑤報警參數管理。審計員可以通過報警參數管理功能,設置需要實時報警的事項。⑥監視記錄文件的維護。
(三)檢測模塊的設計。檢測模塊采用動態檢測法檢測程序的真實性、完整性和可靠性;而對于數據文件的檢測,則是利用信息驗證碼。實現動態檢測的關鍵,是設計出針對被檢軟件的完整的模擬數據和模擬操作,并確定其正確的處理結果。模擬數據和模擬操作包括合法的和非法的兩種,這樣做的目的是觀察那些包含安全保護功能的程序是否能夠阻止非法行為的發生,從而判斷其安全保護是否在發揮作用。實施檢測時將模擬數據或模擬操作經過軟件處理后得到的實際結果與正確的結果相比較,確定程序的功能是否可靠、程序是否被修改過。當檢測到程序的真實性、完整性和可靠性遭到破壞時,及時發出報警。信息驗證碼是根據信息的全部內容通過某種算法產生的一種檢驗碼,它與信息的全部內容密切相關。
總之,計算機審計是一種嶄新的審計方式,與手工審計相
篇2
小微企業是小型企業、微型企業及家庭作坊式企業和個體工商戶的統稱。小微企業無法與國有壟斷行業的企業或是大中型外企比肩。但是小微企業在國民經濟中發揮著巨大的作用。據統計,已登記注冊的小微企業有一千多萬戶,占我國企業總數的99%,提供了85%的就業崗位,貢獻了我國60%的GDP和54.3%的稅收。可見,小微企業是國民經濟和社會發展的重要力量。
二、計算機審計的內容
計算機審計主要是指對企業電算化系統進行審計,以判斷電算化系統的處理過程是否合規、合法、可靠。這可以稱為計算機系統審計。
會計電算化系統是計算機審計的重點,一般包括三個層次:計算機系統、會計處理系統、電算化管理系統。其中,計算機系統包括計算機的硬件、系統軟件和數據庫軟件。會計處理系統是指專門的會計信息處理軟件。而電算化管理系統主要指一種管理制度和內部控制流程。而對會計電算化系統的審計,就是對這三個層次的審計。其中,對前兩個層次的審計,主要是針對軟硬件系統層級的審計,是屬于技術層次的審計。而對第三層次的審計是有關于電算化控制制度的審計,是屬于制度層面的審計。
在計算機審計的方法上,分為數據級審計、系統級審計、制度級審計。數據級審計就是對數據的合法、可靠性進行檢查。系統級審計就是對電算化系統中的硬件、系統軟件、數據庫軟件和會計處理系統等軟硬件系統的內部控制在多個層面上進行檢查。制度級審計就是對企業電算化系統的各種無形的管理的制度的內部控制有效性進行檢查。審計理論中,審計的測試包括實質性測試和符合性測試。實質性測試就是驗證數據的可靠性和完整性。數據級審計就屬于實質性測試的范疇。而符合性測試指審計人員在對被審計單位內部控制進行初評的基礎上,為證實該控制是否在實際工作中得以貫徹執行而進行的測試活動。系統級審計和制度級審計就屬于符合性測試的內容。數據級審計和系統級審計的方法主要涉及到計算機方面的尤其是軟件工程中軟件測試的相關技術知識。
軟件測試一般分為靜態和動態兩種。靜態測試不涉及程序的實際執行,如閱讀程序代碼等。動態測試分為白盒測試和黑盒測試。白盒測試就是這一方法是把測試對象看作一個打開的盒子,測試人員依據程序內部邏輯結構相關信息,設計或選擇測試用例,對程序所有邏輯路徑進行測試。黑盒測試黑盒測試也稱功能測試,它把程序看作一個不能打開的黑盒子,在完全不考慮程序內部結構的情況下,在程序接口進行測試。
三、計算機審計在小微企業中的運用
(一)技術層面的應用。
在小微企業的計算機審計工作中,由于小微企業通常規模小、人數少、技術實力不強等因素的制約,使得靜態測試幾乎無法無法做到,而動態測試也只能做到一部分黑盒測試的內容。
靜態測試需要審計人員獲得所審計軟件程序的源代碼或者流程圖。而這兩樣由于軟件廠商保密性的要求,一般不會提供給審計人員。而如果審計人員采用反匯編等措施來獲取程序源代碼,一來由于技術條件要求苛刻,二來在轉換過程中會出現與原始代碼的差異,所以原始程序始終無法得到。且由于各種電算化系統軟件是以各個功能模塊的形式展現在企業面前的,所以整個電算化系統對于使用企業和審計人員來講就是一個黑箱,無法知道其內部運行構造。而嵌入監控程序這一措施也因為技術上和成本上難以實現而在實際操作中無法得到應用,所以只能做到黑盒測試。而黑盒測試也只能大致做到數據測試法的層級。對于小微企業中的電算化系統,審計人員在審計時,數據測試可以很好地完成。而由于電算化系統各部分功能模塊眾多、結構復雜,通常只能測試到幾個系統的主要模塊,很難達到遍歷的程度。且因為小微企業的審計收費偏低,為了考慮審計成本的影響審計人員也無法做到對所有的功能模塊全部進行模擬測試。而這還是實力比較強的小型企業的狀況。對于實力不濟的微型企業,只是按照常規的審計流程做些數據測試級別的審計。除非相關系統經常出現嚴重錯誤,否則其他的計算機審計程序基本不做。這一部分是由于審計成本的原因導致,另一部分是由于審計人員的技術能力達不到造成的。
在實際審計工作中,小微企業的審計項目收費低,所以考慮到成本因素,審計人員在審計過程中只是完成了基本的審計程序,而對小微企業電算化系統的計算機審計涉及甚少。而這也成為小微企業的計算機審計無法有效開展的致命傷。
(二)制度層面的應用。
對于電算化制度層面的審計,小微企業也有自己的特色。小微企業在組織結構類型中通常采用創業型組織結構。這種結構下,企業的所有者或管理者作為中心人員,完成所有企業的重大決策,并對下屬直接控制。也就是說,在這種組織結構中實行的就是中心人員一言堂,只有基本的管理制度,電算化制度幾乎不存在。對規模較大的小微企業,通常采用職能型組織結構。這種組織結構下,不同的部門有不同的業務職能,形式上各部門相互獨立,但在實際業務中各個部門都在相互影響。即使在職能型組織結構中,針對電算化的內部管理控制制度也很不健全。通常是在審計過程中被審企業按要求整改,審計過后企業又恢復原樣。
四、相關對策
而如何解決這些問題呢?對于計算機系統審計存在的問題,可以要求市場上的電算化系統必須經過國家相關機構的質檢后可上市出售。這樣審計人員在進行計算機審計時只要相關系統是經過國家機構認可的,就可省去大量測試環節。不僅降低了審計風險,也降低了審計成本,提高了審計效率。此外,可安排事務所的一部分審計人員專門進行計算機審計方面的培訓,如果有相關的審計程序要做,可由這些具備必要知識技能的人員來完成。對于電算化制度方面的審計,要完善審計公告制度。對于屢審不改的企業要及時公示,敦促其建立適當的管理控制制度。
五、結論
隨著電算化系統在各個企業的普及,計算機審計的相關問題越來越的到社會的重視。尤其是企業中的重要群體——大量小微企業,其計算機審計的效率和效果與審計成本、審計人員的計算機水平及企業組織結構之間的矛盾非常突出。這就需要作為社會服務管理的提供者——政府出面,制定規定來對電算化系統的可靠程度進行保證,以降低審計風險,減少審計成本。也需要會計師事務所針對小微企業計算機審計的特殊性來采取措施。而在電算化制度層面的問題,一方面要加強審計的公告監督,一方面也要認識到小微企業由于自身發展狀態的限制,很多制度的不完善是不可避免的。不能制定的相關制度限制的太死而阻礙小微企業的發展。制定相應規范時要考慮到小微企業的實際情況。
參考文獻:
[1]李雪.審計理論研究[M].青島:中國海洋大學出版社,2005.
[2]文森特,等.蒙哥馬利審計學[M].北京:中信出版社,2007.
[3]中國注冊會計師協會.審計[M].北京:經濟科學出版社,2011.
[4]中國注冊會計師協會.公司戰略與風險管理[M].北京:經濟科學出版社,2011.
[5]普雷斯曼,等.軟件工程[M].北京:機械工業出版社,2011.
[6]劉文樂,等.軟件測試技術[M].北京:機械工業出版社,2012
[7]姜玉泉.會計電算化與計算機審計[J].審計研究,2001,4:60-62.
篇3
IAPC關于計算機信息系統審計準則的分析
國際審計實務委員會(IAPC)對計算機信息系統環境下的審計的研究較早,先后了一系列的相關準則。到目前為止頒布了六個有關計算機信息系統環境下審計內容的國際審計準則。它們分別就單機、聯機和數據庫系統下的電子數據處理環境對會計制度和有關內部控制的研究和評價產生的影響作出補充規定。下面就其內容做一匯總介紹:
(一)《計算機環境下的審計》。該準則明確了在計算機信息系統環境下審計的目的與范圍,技術與能力的要求,審計計劃的考慮,內部控制研究、評價及風險評估的影響,制定與實施審計程序應關注的方面等。該準則只是為在計算機信息系統環境下的審計制定一般原則和指導,其他五個準則或實務公告均為該準則的補充或擴展。
計算機信息系統環境下的審計,審計人員應當對約定計劃中的計算機硬件、軟件和處理系統有充分的了解,并且要了解計算機信息系統對內部控制的研究與評價以及對審計程序的影響,包括計算機輔助審計技術。審計人員還應當對執行審計程序的計算機信息系統處理有足夠的知識,這將視所采用的具體的審計方法而定
(二)其他五個準則或實務公告。
1、《風險評估和內部控制——計算機信息系統環境特征和考慮因素》。該實務公告是第一項準則的補充。該公告明確了計算機信息系統環境的特征,計算機信息系統環境下內部控制的內容及評價方法。審計人員應當收集與審計計劃有關的計算機信息系統環境的資料,包括計算機信息系統的功能情況以及計算機處理的集中或分布程度、使用的計算機硬件和軟件、數據重置情況等。審計人員在編制全面計劃時,應當考慮下列事項:在對內部控制的全面評價中確定對計算機信息系統控制的可信賴程度;制定關于怎樣、何處與何時檢查計算機信息系統功能的計劃;制定關于利用計算機輔助審計技術進行的審計程序計劃。
2、《計算機信息系統環境——獨立微型計算機》。該實務公告為第一項準則的補充,其明確了微型計算機系統及其特征、在微型計算機環境下的內部控制、微型計算機環境對審計程序的影響等。該準則指出微機對會計制度的影響和有關的風險一般將由下列情況而定:微機使用于會計應用處理的范圍;被處理的財務業務的類型和重要性;應用中運用的文件和程序性質。微機環境下的內部控制應當包括:管理部門對操作微型計算機的規定和控制;程序和數據安全;軟件和數據的完整性控制;硬件、軟件和數據備份控制。
3、《計算機信息系統環境——聯機計算機系統》。該實務公告為第一項準則的補充,其明確了聯機計算機系統及其特征、在聯機計算機環境下的內部控制、聯機計算機環境對審計程序的影響等。并強調某些一般控制程序對聯機處理特別重要,包括存取控制、控制方面的口令、系統開發和維護控制、程序編制以及業務記錄控制。同時,對聯機處理特別重要的應用控制包括:處理前的適當授權,終端設備編輯。合理性和其他確認測試、截止測試、文件控制、余額控制。聯機環境對會計制度的影響及其相關聯的風險,一般是聯機系統用于會計應用處理的范圍、財務業務類型和重要性、使用應用文件和程序性質。
4、《計算機信息系統環境——數據庫系統》。該實務公告為第一項準則的補充。其明確了數據庫系統及其特征,在數據庫系統下的內部控制,數據庫環境對審計程序的影響等。具體分兩部分,一部分是控制標準,另一部分則是實現控制標準的具體審計程序。明確了只有內部的員工可以接觸數據庫,數據庫使用人員有權進行修改,刪除,索引,插入,參考,選擇和更新的操作,為了不影響基礎表格中的數據,刪除、插入和更新的操作應受到限制。不同的使用者只能執行跟他們工作職能相關的某些操作,基礎表格不應被改動,數據庫操作須密碼控制。數據庫殊帳戶的存取應該受到限制,數據庫系統表格的操作許可指令不應被修改,應用表格不應該在系統表格空間創建等。
5、《計算機輔助審計技術》。該準則為第一項準則的擴展,其明確了審計軟件和測試數據兩種輔助審計技術、利用計算機輔助審計技術的范圍及需要考慮的因素、注冊會計師在計算機輔助審計技術應用中的主要工作和控制手段等。如在運用制度遵守性和數據真實性程序中缺少輸入文件和缺乏可見的審計蹤跡時;通過利用計算機輔助審計技術可以改進審計程序的效果和效率。計算機輔助審計技術有多種,國際審計準則說明其中的兩種:用于審計目的的審計軟件和數據測試技術,審計軟件可以作為審計程序的一部分,以處理來源于單位會計制度的重要審計數據。數據測試技術是用在執行審計程序時將數據進入單位的計算機系統,并將獲得的結果同預定的結果相比較。在編制審計計劃時,審計人員應當考慮手工和計算機輔助審計技術適當結合,在確定是否利用計算機輔助審計技術時,需要考慮:審計人員的計算機知識、專門技術和經驗;計算機輔助審計技術的可用性和合適的計算機設備;無法實行手工測試;效果與效率;時間因素等。
我國關于計算機信息系統審計準則相關內容分析
(一)審計署于1996年12月頒布的《審計機關計算機輔助審計辦法》是我國最早的關于計算機輔助審計的準則文件。該辦法首先明確了計算機輔助審計的含義及所包括的內容。其可用于審計業務所需法律、法規的輔助檢索;對被審計單位財務報表的輔助分析;對被審計單位的計算機應用系統進行符合性檢驗;分析審計風險和確定審計范圍;對被審計單位的財政、財務收支進行檢查;形成審計工作底稿;形成審計報告、審計意見書和審計決定;對審計資料的管理;對審計項目計劃的管理;對審計檔案的管理;對審計業務的綜合、統計和分析等;同時對承擔該類審計業務的人員資格及業務素質、利用專家工作做了規定。明確了被審計單位及審計機關、審計人員在信息系統審計中應承擔的義務。
(二)中國注冊會計師協會于1999年2月頒布的《獨立審計具體準則第20號—計算機信息系統環境下的審計》。它指出了在計算機信息系統環境下審計的一般原則、計劃、內部控制研究、評價與風險評估和審計程序。在一般原則中明確了計算機信息系統環境下不應改變審計的目的和范圍,注冊會計師應考慮計算機信息系統對被審計單位會計信息和內部控制的影響,并有效地計劃、指導、監督和復核審計工作,同時提及了合理利用專家工作。在制定審計計劃時,注冊會計師應充分了解被審計的單位的計算機信息系統環境以及該環境下的內部控制,并考慮其對固有風險和控制風險評估的影響。在對內部控制研究、評價與風險評估中,應充分考慮計算機信息系統的特征。該準則將審計程序分為:手工審計方式、計算機輔助審計方式以及兩者結合審計方式三大類,并在實施審計程序時,應充分考慮計算機信息系統環境對審計測試的性質、時間和范圍可能產生的影響,以將審計風險降低至可接受的水平。
(三)國務院辦公廳于2001年11月16日頒布的《關于利用計算機信息系統開展審計工作有關問題的通知》(88號文),明確審計機關有權檢查被審計單位運用計算機管理財政收支、財務收支的信息系統;并規定被審計單位的計算機信息系統應當具備符合國家標準或者行業標準的數據接口,已投入使用的計算機信息系統沒有設置符合標準的數據接口的,被審計單位應將審計機關要求的數據轉換成能夠讀取的格式輸出;被審計單位應當視同紙質會計憑證、會計賬簿、會計報表和其他會計資料以及有關經濟活動資料保存期限的規定,保存計算機信息系統處理的電子數據,在規定期限內不得覆蓋、刪除或者銷毀;審計機關對被審計單位電子數據真實性產生疑問時,可以對計算機信息系統進行測試,測試計算機信息系統時,審計人員應當提出測試方案,監督被審計單位操作人員按照方案的要求進行測試;審計機關應積極穩妥地探索網絡遠程審計;審計人員應當嚴格執行審計準則,在審計過程中,不得對被審計單位計算機信息系統造成損害,并對知悉的國家秘密和商業秘密負有保密的義務。
三、我國計算機信息系統審計準則的差距
(一)觀念障礙導致對準則的需求和供給的明顯不足。就目前我國的情況來看,計算機審計呈現出“上熱下冷中間無力”的無奈局面。在民眾中存在著思想誤區。一是無所謂的思想,他們對計算機審計的意義和作用認識不足,認為是一些沒有實際意義的形象工程。二是畏難情緒,認為計算機審計深不可測,高不可攀,一下子難以到位,而且被審計單位信息化程度參差不齊,認為手工的傳統審計還是占主導地位。三是認為計算機“萬能”,認為被審計單位的電子數據只要轉換到審計軟件中來,就能發現問題,從而導致急功近利,貪大求全。
(二)準則制定缺乏系統性和結構性。我國的計算機信息系統審計準則既有審計署和國務院辦公廳的,又有中國注冊會計師協會頒布的。而且只有一般性原則和指導,缺乏具體的實務公告和實施指南。僅有的《計算機輔助審計辦法》只是涵蓋了審計工作的極小一部分,針對我國目前審計實務界的現狀,廣泛采用的仍舊是依靠系統打印出來的數據進行手工審計,即繞過計算機審計,如何對其進行規范,如何進行審計則還沒有相應的準則。而國際審計實務委員會頒布的有關計算機信息系統環境下的審計準則,既有一般性的原則和指導,又有具體的準則和實務公告。從獨立微機,到聯機系統,再到數據庫系統的審計,還有計算機輔助審計技術。內容比較全面系統,結構性較強。
(三)準則未考慮對計算機審計人員的素質要求以及合適的審計人員:IAPC規定了審計人員應當對約定計劃中的計算機硬件、軟件和處理系統有充分的了解,并且要了解計算機信息系統對內部控制的研究與評價以及對審計程序有怎樣的影響,包括計算機輔助審計技術。審計人員還應當對執行審計程序的計算機信息系統處理有足夠的知識。同時在《計算機輔助審計技術》中明確了注冊會計師應做的工作及控制手段等。國外的注冊會計師隊伍發展相當成熟,人員素質相對較高,無論是獨立性,還是科學性和客觀性都是計算機信息系統審計的不二人選。而我國的計算機審計工作具體是由注冊會計師來承擔,還是由政府審計部門承擔尚無統一的說法。翻閱近十年的注冊會計師考試試卷,均沒有涉及計算機審計的相關內容,足見還沒有將計算機水平提高到評價注冊會計師執業能力的高度。而且對于信息系統環境下審計師虛具備哪些基本素質以及如何提高完善都還沒有以準則的形式加以明確。
(四)準則對計算機審計技術標準關注不足。在IAPC頒布的相關準則中,不論是獨立微機,還是聯機系統,或者是數據庫系統,還是計算機輔助審計技術,都對技術解決問題做出了具體規定。如存取控制、口令密碼,數據備份,數據測試技術和審計軟件等。而我國在有關準則中并沒有考慮有關的技術標準,只是在《計算機輔助審計辦法》中淺層次地提到了對商業審計軟件的測評及明確應用范圍。同時也稍微強調了一些數據接口及數據轉換問題。遠遠無法滿足審計實務界的需求。
構建我國計算機審計準則的建議
(一)統一計算機審計工作的管理體制。中國注冊會計師經過近20年的發展,從總體上看,在審計理念和實踐方面都有了長足的進步,但由于注冊會計師在其發展過程中,因資格取得方式、參加后續教育、審計實踐的多少以及部分注冊會計師的觀念仍受計劃經濟模式的影響等方面的原因,形成了注冊會計師水平參差不齊。而審計署作為國家直屬機關,是國務院的組成部分,在國務院總理的領導下,主管全國的審計工作。在政策、資金、人員上都顯示了明顯的優勢。因此建議考慮由國家審計署來根據國情制定一系列的計算機審計準則,并在具體執行計算機審計工作中不斷完善準則。
(二)制定計算機審計人員的技能準則。這里包括計算機審計人員應有的資格和能力、技能以及他們的后續教育等等,均可以在該準則中明確。一個勝任的計算機審計人員不僅要具備傳統的審計技能,還要具備豐富的計算機軟、硬件知識,還要能制定相應的審計程序,運用計算機進行審計。對于計算機審計人員的后續教育問題,可以通過以下途徑加以解決:①加大培訓力度,將普及性培訓與專業應用培訓和專家培訓相結合。②可以在注冊會計師考試中增加《計算機與網絡審計》這一門課程,將計算機水平作為評價注冊會計師執業能力之一。③可以考慮在高校的審計專業中開設有關計算機審計的課程或另開計算機審計專業,直接培養信息系統審計相關人才。對于該問題可另設專題研究,本文就不再詳細展開。
(三)應包含計算機審計的技術標準。如就軟件層次,建議在準則中明確以下內容:①計算機處理中要留下審計底稿的軌跡。由于審計人員在操作中希望計算機產生的結果與他們手工編制的底稿相差不大,能與手工審計底稿共存,這樣便于審計人員分析。同時也便于審計內部復核和外部檢查人員的認可。②計算機操作模式。要具有多面性,根據實際條件,在審計作業現場,計算機操作模式應做到既單機操作,又能進行網絡操作。③軟件要具有兼容性,雖然計算機輔助審計軟件本身自成系統,但是應考慮與辦公自動化兼容,吸收辦公軟件中簡易、靈活、方便、排版性強等特點,加大軟件適用范圍。④軟件電子數據導入接口。由于目前我國計算機輔助審計有兩種操作方法,一種是單機審計式操作,數據為手工輸入法;一種是網絡審計式操作,即電子數據直接導入,在開發中應考慮同時滿足兩種需要。⑤軟件處理內容的通用性,軟件在設計過程中,應盡量考慮處理審計工作底稿的共性部分,不宜面面俱到,避免產生負面影響。參照IAPC做法,我們可以頒布類似于《計算機信息系統環境——數據庫系統》,《計算機輔助審計技術》等的系列準則,以豐富和完善我國的計算機審計準則體系。從而解決審計實務與審計準則的矛盾差距,使得準則能真正起到指導實踐的作用。
參考文獻:
[1]陳婉玲 《我國計算機審計的現狀與發展對策分析》《廣東審計》 2003/3
[2]柳岸青、管亞梅 《試析中外計算機信息系統環境下審計準則差異》《商業會計》2003/4
[3]劉中華、孔 龍《國際審計準則對計算機審計及內部控制技術的揭示》《蘭州大學學報》 1998/2
[4]王景東 《財政審計的深化:信息系統審計》 《中國審計》 2003/5
[5]楊傳君 《談輔助審計軟件的通用性和實用性》 《中國內部審計》 2001/4
[6]陳婉玲、韋沛文 《網絡經營與網絡財會條件下的審計初探》《會計研究》 2003
篇4
一、計算機系統與計算機系統審計風險
計算機系統環境相對于手工會計環境,由于其數據處理的集中程度高、處理速度快、信息儲存方式、儲存媒介特殊,給審計工作帶來了獨特的風險。
(一) 計算機系統的特征
1.計算機環境下,信息處理過程中的錯誤有短時間內重復出現的可能。較之手工會計,會計電算化系統處理的集中化,加之計算機運算的高速性,計算機會計信息系統的輸入過程比手工系統多了將人可讀的數據轉換為機器可讀代碼形式,使得其處理結果發生錯誤的可能性大大提高,而一旦發生錯誤,就往往在短時間內產生連鎖反應,使得多種文件、賬簿,以至整個系統失真。如果發生錯誤的原因在于系統受到攻擊或系統程序、應用軟件出現差錯,則計算機就會連續重復執行同一錯誤操作,而不易被察覺。
2.計算機環境下,內部控制的功能發生改變。計算機環境改變了會計憑證的形式。在電算化會計系統中,會計和財務的業務處理方法和處理程序發生了很大的變化,各類會計憑證和報表的生成方式、會計信息的儲存方式和儲存媒介也發生了很大的變化。原先反映會計和財務處理過程的各種記賬憑證、匯總表等書面形式的資料減少了。由于網上辦公、無紙化辦公等的推行,每一項業務的有關信息由業務人員直接輸入計算機,并自動記錄,原來在核算過程中進行的各種必要的核對、審核等工作,有相當一部分變為由計算機自動完成了。原來書面形式的各類會計憑證轉變為以文件、記錄形式儲存在磁性介質上。因此,電算化會計系統的內部控制與手工會計系統的內部控制制度有著很大的不同,控制的重點由對人的控制為主轉變為對人、機控制為主,控制的程序也應當與計算機處理程序相一致。
3.計算機環境下,信息的安全性要求更高。手工條件下,可以將重要的數據文件或記錄在紙上的重要信息,保存在安全性較高的物理場所,如企業的保險柜里,以保證數據的安全。在計算機環境下所有的信息都存儲在磁、光或計算機硬盤中,而這些存儲介質發生損壞的可能性較之賬簿等紙質工具發生損壞的可能性大大增加。
4.計算機環境下,舞弊的防范更難。計算機運行速度快、精度高,但同時使系統喪失了人類所具有的對不合邏輯、不合理的以及例外事項的判斷和處理能力,因此,要求在數據處理過程中增加多種檢查控制。在計算機環境下,數據被擅自篡改也不易留下線索。
(二)計算機系統的審計風險
1983年美國注冊會計師協會的第47號《審計準則說明書》 、《審計風險和重要性》中將審計風險模型確定為:審計風險(AR)=固有風險(IR)×控制風險(CR)×檢查風險(DR)。這一觀點被世界會計師聯合會及包括我國在內的世界多數國家的審計職業界所接受。
審計風險會因客戶的會計電算化和內部控制的程序化而呈現出新的特征,審計師就應重新規劃審計程序,采取相應的對策和輔助審計軟件進行審計。
1.計算機系統的固有風險。固有風險是指假定不存在相關內部控制時,某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生錯報或漏報的可能性。具體表現為:
一方面,計算機系統的安全性是影響固有風險的根本因素。大部分電算化系統設計成客戶服務系統,它有巨大的容量和信息存儲量。這些系統一般整體性很強,利用企業資源規劃系統保證程序的連續性。如果系統失敗,整個公司也很有可能面臨破產的命運。如果沒有一套包括計算機系統在內的完整的風險管理系統,公司就要承擔高風險。主要包含: 計算機系統的物理安全;計算機程序的合理性;網絡信息通訊的安全性三方面。
另外,電子化會計數據的安全性問題是影響審計固有風險的關鍵因素。手工條件下,可以將重要的數據文件或記錄在紙上的重要信息保存在安全性較高的物理場所,如企業的保險柜里,或者通過不相容職務的內部牽制保證數據的安全。在計算機環境下所有的信息都存儲在磁、光或計算機硬盤中,要確保硬件遭到破壞時信息的安全,防止未經授權的侵入破壞或篡改計算機應用程序。
2.計算機系統的控制風險。控制風險是指某一賬戶或交易類別或連同其他賬戶、交易類別產生錯報或漏報,而未能被內部控制防止、發現或糾正的可能性。具體表現為:
首先,訪問權控制的不嚴密有可能導致虛假的會計數據。訪問權控制的功能是在數據信息和非法訪問者之間建立一道安全屏障。未經授權的訪問計算機系統,工作人員的訪問密碼泄露,越權訪問、修改或刪除會計數據等情況如果不能被置于訪問權控制之下,都會極大地損害會計數據的安全性、真實性。
其次,網絡傳輸和數據存貯故障或軟件的不完善,有使會計數據出現異常錯誤的可能性。相對手工系統,計算機系統下這種風險難以通過有效的內部控制制度消除,必須靠先進的硬、軟件平臺以及會計軟件本身的自我保護,減少出現異常錯誤的幾率。大多數會計軟件能對數據錄入的一致性和正確性以及會計數據處理的安全性和連續性進行控制,但對于集成化程度較高的企業級管理軟件來說,數據的共享性和一致性還不盡人意。
計算機系統下,內部控制包括對人和機器兩方面的控制,而且以對機器控制為主。計算機內部控制的框架如圖1:
從圖1可以看出,計算機系統內部控制由一般控制和應用控制構成。其中,一般控制是指對計算機會計信息系統的組織、開發、應用環境等方面進行的控制,主要包括組織與管理控制、系統開發與維護控制、系統操作控制、系統安全及文檔控制等。應用控制,是指對計算機會計信息系統中具體的數據處理功能的控制。應用控制有特殊性,不同的應用系統有不同的控制要求,但應用系統一般都包括會計數據的輸入控制、處理控制和輸出控制三個方面。一般控制的缺陷產生的危害極大,會影響應用控制的有效性,這是由一般控制的基礎地位所決定的。另外,新的計算機信息系統技術的應用,如微機――主機連接系統、分散的數據庫系統、終端處理系統及直接提供信息給可見系統的企業管理系統等,增加了計算機信息系統整體復雜性和它們所影響的具體應用的復雜性。
3.計算機系統的檢查風險。檢查風險是指某一賬戶或交易類別或連同其他賬戶、交易類別產生錯報或漏報,而未能被實質性測試發現的可能性。檢查風險是審計人員唯一可以自主確定和控制的風險。
對賬戶或交易的重大實質性測試往往離不開企業的歷史數據,隨著會計法規的完善和計算機技術的發展,會計軟件在不斷的更新,歷史數據取得的難度將會加大。由于軟件版本的更新、平臺的遷移,難以從往年帳套里提取這些歷史數據,迫使審計師不得不轉向大量的歷史文檔中收集整理數據。這一方面降低了審計效率,更重要的是帶來了更高的檢查風險。
另外,由于目前大多數審計人員只是會計、審計方面的專家,要求審計人員在有限的時間設計很全面的測試數據是不現實的。再加上審計軟件設計中本身的缺陷也會增大檢查風險。
二、計算機系統審計風險的防范
(一)準確評價計算機系統的固有風險
1.評估計算機設備的物理安全性。對于計算機系統的控制,審計人員應了解系統設置是如何依賴這些硬件控制的;操作系統如何利用這些硬件控制;系統如何報告檢查出的錯誤,以及糾正錯誤的程序。了解計算機系統環境存在的潛在威脅,如企業對水、火災的防范措施,有沒有配備合適的穩壓器,不間斷電源(UPS)等降低電源波動帶來的影響,對所有的訪問尤其是非法入侵是否都記錄在計算機日志里,管理人員采取了什么措施應對非法入侵,計算機系統是如何防范計算機病毒,有沒有具體的應急措施應對意外情況的發生等。
2.評價電子數據的安全性。為了保證信息的安全性,一方面要注意計算機硬件的安全,更主要的是要防止未經授權更改或刪除電子數據。所以,要做到:信息的訪問權只給單位中指定的人;對會計數據修改或刪除的權力只賦予被授權的人;計算機系統能夠辨認訪問者的訪問權限;單位的信息安全部門應密切監視來自外部的惡意攻擊,然后定期以報告的形式向信息安全的負責人報告;電子數據要有備份,備份數據能得到妥善保管。
3.檢查信息通訊的安全性。為保證一臺計算機與其它的設備,如終端或其他的計算機系統之間信息傳輸信息的完整性與真實性,被審計單位至少要對傳輸的信息加密;接收信息的應用程序與發送信息的線路分開; 接收到信息后有信息反饋檢查,特殊信息要依靠調制解調器解調傳輸;企業的內部信息通訊系統與國際互聯網之間要有防火墻,以防來自互聯網上的惡意攻擊。
(二)合理評估計算機系統的控制風險
對于控制風險的評估主要應集中于對組織管理控制風險,訪問權控制風險,程序開發、數據修改控制風險的合理估計。
1.組織管理控制風險的識別。組織控制的關鍵在于職責的分工。審計人員應檢查被審計單位的組織結構、職權和責任的分配情況,如程序與開發系統、計算機操作、輸入數據的控制等職責,在可行的情況下是否予以分離,職工定期輪換工作崗位制度是否完善等。目的在于確定職責分工是否能夠提供有力的內部控制。注冊會計師應判斷組織管理控制的強弱,對由于職責分工不夠而產生的風險作出合理評價。
2.電算化系統開發控制。對于首次接受審計的企業,對電算化系統開發控制的審計,審計人員應主要了解系統開發前是否有計劃,開發系統是否得到授權,是否有相應的程序加以控制等。
3.計算機設備、信息和程序訪問權控制可能的缺陷。審計人員要分兩個層次了解訪問控制:訪問控制的程序整體執行情況及人事和工資管理部門執行內部控制的情況。具體要了解公司是否使用了訪問控制軟件,其能夠提供哪些功能,公司有沒有專門負責數據安全的部門,對工資水平修改的程序、員工花名冊的變化是否只是由人事部門決定,人員變動是否得到了及時記錄等。
(三)努力控制檢查風險
檢查風險是審計人員唯一可控風險,在這個階段,審計的任務是在準備階段初步風險評估的基礎上,對內部控制進行測試,評價控制風險,決定可以接受的檢查風險。將檢查風險控制在可接受范圍之內。對于內部控制的測試主要包括對數據輸入控制的測試、數據通訊和數據處理控制的測試和數據輸出控制的測試。
1.數據輸入控制的審計。審計人員在對數據輸入控制進行審計時,應注意檢查經濟業務的發生是否有適當的批準文件,以保證數據輸入的合規性;同時應注意檢查所輸入數據的正確性,完整性,數據是否被不正確地添加、復制或修改等情況。主要進行輸入有效性測試,包括字符域控制的測試,信息合理性測試,數據范圍控制的測試,信息有用性的測試,信息完整性的測試等。
2.數據通訊和數據處理控制的審計。審計人員對輸入過程控制進行審計時,應注意檢查經濟業務數據的來源是否可靠,資料是否完整、準確,有沒有可能被篡改過;檢查數據的處理方法是否正確,處理的步驟、使用的程序、結果的保存是否正確無誤,等等。主要進行數據處理的有效性測試,采用的技術方法有綜合抽查設備法(ITF),標簽與跟蹤法或借助審計軟件。
3.數據輸出控制的審計。審計人員應注意審查輸出的計算機處理結果是否準確無誤,輸出的結果是否被及時、按照規定提供給有關的人員或部門,是否有必要的手續和記錄,等等。主要進行控制總數,數據的勾稽關系和輸出的合理性檢驗。
在以上審計程序中,輸入有效性測試、處理有效性測試、控制總數,數據的勾稽關系和輸出的合理性檢驗任何一項存在重大缺陷,審計人員要評估控制風險為高風險。
(四)綜合運用適當的審計方法
一般來說,審計人員所采用的審計方法主要有:面談法、問卷調查法、審閱法、流程圖法、測試法等。為了有效防范計算機系統的審計風險,結合計算機審計的特點,應用合理的方法或方法的組合,才能取得實效。
1.面談法。面談法具有簡單方便之優點,在內部控制審計中經常被采用。審計師為了獲得一次高效的面談,應該與被訪問者相互配合和信任。在對一般控制審計時,可以通過與被審單位的領導與職工交談,向電算部門及各業務部門的人員詢問了解有關的職責分離的控制是否得到執行。在對系統開發控制和程序修改控制審計時,向有關參與系統開發人員了解有無用戶代表和內審人員參加,參加了哪些工作,現有的信息系統能否符合用戶的要求等。另外還可以通過面談了解內部控制的經濟性,重大的錯誤是否得到及時、恰當的糾正,輸出的資料是如何處置的,有無健全的檢查、保管、分發制度等。
2.問卷調查法。問卷調查法節省時間,調查面廣。審計人員可以根據需要調查的情況設計好調查問卷,獲取信息,以判斷有關的內部控制是否存在、可靠,有無得到執行。在內部控制審計的各個程序都可以使用。使用這種方法要注意問卷調查表中問題的性質、提問技巧、度量的尺寸或調查表的布局設計。
3.審閱法。審閱法是指審計人員通過仔細審查和翻閱有關的書面文件或記錄,借以查明資料及所反映的記錄是否公允、正確、合法、合規,從中發現錯弊或疑點。審計人員在一般控制審計時,通過審閱內部審計人員留下的系統開發的工作底稿,了解系統開發的控制。通過審閱系統測試的數據及結果,檢查系統在試運行階段的運行情況,有無被修改,系統在正式投入使用前是否經過了最后批準。通過審閱有關系統訪問控制的計算機日志,了解是否只有被授權人才可以訪問特定程序或信息,對使用錯誤密碼企圖進入系統的情況,系統都作了記錄并有專人調查。
4.流程圖法。流程圖在審計活動中發揮著越來越重要的作用。利用流程圖,可以對被審計的信息系統結構有更深刻的理解,從而更有效地分析系統的運行過程。在計算機審計中,流程圖可能是現成的,審計人員應該確定被審計單位提供的流程圖是否正確,防止被審計單位造假。有時被審計單位提供的流程圖不夠詳細或者沒有現成的流程圖,審計人員應要求被審計單位提供源程序,據此得到流程圖,確定源程序中設置了哪些控制措施。對內部控制審計時,使用流程圖法可以幫助審計人員分析和設計內部控制。審計人員還可以利用流程圖找出系統中的薄弱環節。
5.測試法。測試貫穿于計算機審計的整個過程,是計算機審計的重要方法。是審計人員收集證據的重要技術。測試法是從計算機輸入開始,跟蹤某項業務直至計算機輸出,以檢驗計算機應用程序、控制程序和系統可靠性的一種方法。在計算機環境下內部控制的審計中,使用測試法檢查訪問權控制的有效性,使用測試法檢查輸入有效性控制的執行情況,如對工資處理應用程序中輸入數據的數據類型、數據有效性、數據范圍、邏輯關系、數據加工的內部控制的測試。
【主要參考文獻】
[1] 石愛中,胡繼榮.《審計研究》.經濟科學出版社,2002.
[2] 楊占芳. “計算機信息系統的內部控制”. 中州審計,2004年第8期.
[3]肖忠. “淺談計算機系統審計的證據收集方法”. 計算機與現代化,2004年第8期.
[4] 劉汝焯等. 《計算機審計技術和方法》. 清華大學出版社, 2004.
[5] 葉陳剛,李相志. 《審計理論與實務》. 中信出版社. 2005.
篇5
會計實行計算機信息系統下的電算化后,會計工作的職能劃分、權責關系、稽核關系及會計文檔的管理形式等會計業務關系發生了顯著的變化,因此過去的一套內部控制制度將無法適應新格局下的會計核算管理,迫切需要建立一套與時俱進、高效嚴謹的內部控制體系。同時,會計信息化給內部控制審計帶來了新的挑戰。
二、關于計算機信息系統下的內部控制
(一)什么是計算機信息系統下的內部控制
傳統的內部控制是指經濟單位和各個組織在經濟活動中建立的一種相互制約的業務組織形式和職責分工制度。
我國財政部1994年的《會計核算軟件基本功能規范》,在輸入、處理、輸出和安全四個方面對會計軟件提出了規范化要求,涉及到的實際上都是內部控制的問題,即會計信息化軟件應實現的具體控制。而1999年7月1日正式生效的《獨立審計具體準則第2號-計算機信息系統環境下的審計》是第一次涉及計算機信息化系統內部控制的審計法規則。計算機信息化系統下的內部控制就是被審單位的組織與管理控制,應用系統開發和維護控制、計算機操作控制、系統軟件控制,以及數據與程序控制等一系列控制的總稱。
(二)計算機信息系統內部控制的分類
美國執業會計師協會第3號《審計準則公告》、《國際審計準則》第2號以及我國《獨立審計具體準則第2號》,都把計算機會計內部控制分為一般控制(Generalcontrols)和應用控制(Applicationcontrols)兩大類,并將前者定義為:1、電子數據處理的組織和操作的計劃;2、對系統或程序的設計、開發和變動的記錄、審核、測試和批準;3、制造商在設備內部設置的控制;4、對數據文件和接觸設備的控制;5、對系統的運行有影響的其他數據和指令程序的控制。公告把應用控制定義為輸入控制、數據處理控制和輸出控制。
對于以上分類方法,我們認為從各方面來看,都有值得商討的地方。內部控制的分類首先要概念清晰,同時也要區分控制主體,以便職責的明確劃分。為此,我們認為應將其分成兩大類:管理制度控制和程序系統控制。其中包含系統和軟件的計算機軟硬件就是我們所說的程序系統。程序系統控制是通過軟件本身功能來實現的內部控制機制,從而達到系統的自我保護的目的,主要包括數據輸入、內部處理、信息輸出、數據傳輸和系統安全保護控制。軟件開發部門為程序系統控制的責任者,用戶不對其負責任。而管理制度控制一般則是以管理制度的形式實行的,涉及的方面主要包括組織、操作、維護和資料保管等。當然,可以將管理制度控制進一步分為環境控制(或基礎控制)和操作控制(或控制)兩類,組織、維護和資料保管都屬于環境控制的范疇。顯然控制制度的制訂和實施與計算機程序系統無關,而應歸責到會計軟件使用單位。這種分類方法主要的有點是分類比較的清晰明朗,方便理解,而且實現控制的措施和控制的主體一致,責任分明,使得各方面明確自己應該干什么。
三、計算機信息系統內部控制的審計步驟
(一)內部控制的初步了解和描述
初步了解主要是了解企業單位網絡中的安全控制的具體進行流程,使用了那些方法或者工具,最后的控制結果成效是什么樣的,除此之外,也應了解有關企業的信息系統管理制度是否制定、如何制定,制定了其實施情況是怎么樣的。通常審計人員采用詢問,實地觀察,查閱系統資料的方法了解,同時對一些基本業務處理過程進行跟蹤,最后用文字描述、流程圖和調查表等方式詳細記載其了解的所有情況。
(二)對企業內部具體情況進行符合性測試
符合性測試是在對被審單位內部控制進行初評的基礎上,為證實該控制是否在實際工作中行以貫徹執行,以及其效果是否符合設立該控制的初衷而進行的測試活動。進行符合性測試的目的是獲取對準備予以信賴的內部控制是否有效執行的證據,從而確定會計報表審計的范圍和程序。
1、一般控制的測試
一般控制的測試就是要初步了解企業內部對信息系統控制的情況,是否符合有關規章準則,是否健全有效,以避免應用系統中不能察覺錯誤的風險的發生。
(1)對被審單位組織與管理控制的測試。在該對組織與管理的審查時,審計人員應該把審點放在分工與職責分工上。可以通過詢問,實地檢查的方法對單位各部門,特別是了解數據處理和數據使用有關部門的分工情況,而部門領導以及部門職員之間是否做到職責分工,以及各部門是否建立并有效實施了合適的計算機信息化內部控制制度。
(2)對被審單位系統開發和維護控制的測試。在此審查中,審計人員應當關注開發過程中領導的參與度,是否了解開發的整個過程并且對此過程進行了職責之內的有效控制;為了滿足后續需求,開發和維護中是否留存關鍵文件;是否為了防范風險進行了安全控制,是否做了風險應對計劃和措施。
(3)對被審單位計算機操作控制的測試。審查操作控制時,審計人員應當了解數據處理部門有沒有設置控制小組,各小組或小組成員是否職責分明,準確完整地進行控制操作,并記錄下了操作記錄,以及單位是否設有內部監督檢查機構會人員對以上人員及其操作的控制。
(4)對被審單位系統軟件控制的測試。審計人員應該檢查系統軟件處理錯誤的控制、系統使用權限的控制、防止病毒入侵的控制等功能有沒有發揮其保障應用程序安全的效果,其效果是否高效明顯。
(5)對數據和程序控制時,審計人員應該重點審查在整個數據和程序體系中,有無建立監督控制體制,接觸數據和應用程序的人員是否經過授權,且其是否接受相關檢查監督。
2、應用控制的測試
應用控制是對一般控制的深化和具體化,可以通過對應用控制的測試進一步取得控制評價的依據。
(1)輸入控制的測試。在輸入控制的審查中,應當了解是否有適當的控制舉措來監督業務執行和輸入的授權情況,控制業務的準確及時的輸入,同時有無充分的控制措施來監督錯誤數據的更改與重新輸入。
(2)計算機處理與數據文件控制的測試。在測試過程中應關注數據文件完整性和準確性控制效果,有無保留審計線索以備查。
篇6
薄弱環節:一是并發處理數據能力有待加強,如在2012-2013全國風險審計中,全行千名審計人員,同時最大上線人數超200人,審計系統查詢和表關聯動作出現性能明顯下降,IQ集群數據庫吞吐能力尚不能強力支撐生產環境。二是現有基礎數據,目前通過數據交換平臺將十余個業務系統的業務數據導入基礎數據庫,目前存在少量數據不完整,缺失現象。根本原因由于審計系統設計的缺陷(缺開放性),使得農業銀行經營、管理過程中產生的數據未能全部導入審計系統,如小額支付系統。還有隨著ABIS、CMS、FMIS、BOEING等系統的升級帶來數據結構的變化,都帶來審計系統數據遷移的滯后。發展方向:隨著農行信息化建設的不斷發展,近幾年陸續完成了全國數據大集中并適時開展了新一代核心銀行系統建設工程,標志著物理集中和部分程度邏輯集中的實現,并開始向全面的邏輯集中邁進。審計信息化平臺的發展也將順應這一趨勢,抓住邏輯集中的契機,加快平臺內部眾多輔助平臺的邏輯融合步伐。一是打破信息系統間的數據隔斷,通過系統集成的預處理提高多個系統數據間的關聯性和一致性程度,保證審計線索不會因系統隔斷而喪失。二是通過對審計流程再造工程,進一步理清審計查證步驟,簡化審計步驟,創新審計方法,提高審計信息化平臺的易用性,降低平臺核心系統的使用難度,進一步提高審計信息化水平。三是發揮農行信息系統邏輯集中的優勢,提高審計信息化平臺對新業務、新渠道、新技術的適應能力,建立開放式平臺架構,為審計事業發展提供足夠的擴展性。四是由于我國金融企業在經濟發展的大環境下,市場潛力大,各項業務發展迅猛,風險防控壓力加劇,這對審計監管提出了新的要求,這種審計需求的動態變化也使得審計信息化平臺的建設成為一個長期的動態過程。只有準確把握審計業務發展路徑和信息化建設趨勢,把審計業務的變化融入到審計信息化平臺的不斷完善之中,通過科學的規劃,開放的平臺架構,漸進式的實施,卓有成效的建好企業審計信息化平臺,以應對未來更多的挑戰。
篇7
目前,計算機作為信息處理工具已經被人們所接受。無論是生活還是工作我們已經越來越離不開它,其主要特點表現為數據處理速度快、計算準確。其中1954年美國通用公司首次將計算機應用于工資處理,開創了會計電算化的先河。之后隨著信息技術的發展、硬件價格的降低,使得一般的企業有愿望、有能力使用計算機完成日常的會計核算工作。目前的會計核算系統已經能夠實現全部工作由計算機處理、完全替代手工的會計核算。在會計核算實現計算機處理的同時人們不禁要問審計工作什么時候也能夠實現計算機自動處理。
審計是由專職機構或人員接受委托或授權,對被審計單位在一定時期內全部或一部分經濟活動的有關資料,按照法規和一定的標準進行審核檢查,收集和整理證據,以判明有關資料的合法性、公允性、一貫性和經濟活動的合規性、效益性,并出具審計報告的具有獨立性的經濟監督、評價、鑒證活動,其目的在于確定、解除被審計單位的受托經濟責任和加強對被審計單位的管理、控制。審計過程包括收集證據、分析整理、出具審計報告。
傳統審計以紙介質的賬證表作為審計證據,審計人員通過翻閱、計算、對比、評價、鑒證,實現對企業經濟活動的監督、管理和控制。然而現代審計在大部分企業的會計核算工作已經使用電算化軟件后,審計工作面臨著兩個必須解決的主要問題—審計證據的數字化、審計過程的自動化。
計算機審計系統的目標
計算機審計系統的目標為:降低審計工作的強度、提高審計工作的效率、保證審計工作的質量。
計算機會計已經實現從手工核算到計算機核算的轉變。但是計算機審計的發展卻不盡如人意,它明顯滯后于計算機會計。究其原因有技術上的、也有管理上的。由于許多被審單位都已經實現電算化,傳統紙介質的賬證表已不再使用,取而代之為磁性的數字文檔。在新的環境下,審計人員在審計過程中遇到的主要問題包括:獲取真實、完整、有效的審計證據、靈活選擇審計模型、嚴格編制審計報告。
一個好的審計軟件系統應該具有通用性、完整性、正確性、安全性。其中通用性表現為一般不經過程序改動就可以滿足大多數企業的審計需要;完整性表現為審計證據沒有缺失;正確性表現為匯總核算過程準確無誤;安全性表現為審計證據不會被篡改。
計算機審計的重點
會計工作是對企業所發生的各項業務以憑證的形式進行記錄,按照賬戶進行核算、匯總,通過規范的報表如實反映企業的經營活動、經營狀況。而審計工作則是對“記錄”的公允性、合法性、一貫性進行審計;對核算方法、過程及各種報表的合規性進行審計;對企業經營活動的效益性進行審計。
計算機審計系統的主要職責是“輔助”審計人員完成對計算機會計系統所記錄的企業各項經濟活動、核算過程以及匯總結果進行審計。
計算機會計系統的工作方式及數據處理過程是從經濟業務發生編制出記賬憑證,并輸入計算機系統,經過匯總核算生成各種賬證表,而計算機審計的工作范圍則應該從輸入計算機的會計憑證開始到各種審計模型的使用,最終編制出審計報告。由于計算機會計軟件系統有不同的品牌,每一個品牌的軟件系統的數據結構各不相同。使得在使用計算機審計軟件的時候不得不花費大量時間和精力確認會計系統中記錄的數據憑證的真實性、完整性。從而大大降低了計算機審計系統的通用性,使得審計人員不得不沿用手工方式進行審計。
通用性強的審計系統要求應用的審計模型必須建立在標準的、統一的數據平臺之上,人們在使用計算機系統進行審計時應該把工作重點放在審計方法的使用、審計過程的實現和審計模型的選擇上,而不是放在數據的獲取上。如今計算機會計系統只需將數字記賬憑證輸入計算機,之后匯總、核算、編輯會計報表等工作全部由計算機自動完成。所以會計人員已經從手工核算解脫出來,把“計算”工作拋給了計算機。面對這樣的形式對于審計系統來說應該把證據“確認”的工作拋給計算機,而審計系統的核心內容應該針對不同的審計方法和模型進行“程序化”處理。
通用計算機審計系統的設想
(一)搭建通用審計系統的數據平臺
通用數據平臺的搭建可以采用兩種方式,第一種方式由財務軟件開發單位按照國家規定的標準(《信息技術 會計核算軟件數據接口標準GB/T19581-2004》)在軟件運行過程中,每一個會計期末將計算機財務系統中的記賬憑證表、財務賬表、會計科目表、以及一些輔數據表等相關數據輸出到財務系統外部,供計算機審計軟件使用,而審計人員則可以根據輸出得到的賬證表,以此為數據平臺設計審計模型;第二種方式由審計軟件的開發單位,針對每一個品牌的會計軟件(而不是針對每一個被審單位)的數據庫進行數據采集,采集到的數據格式要求必須符合《信息技術 會計核算軟件數據接口標準GB/T19581-2004》標準,以此作為通用計算機審計系統的數據平臺,設計審計模型,開發通用的審計系統。采用第一種方法,對于通用計算機審計系統是一個最理想的結果;采用第二種方法,對于通用計算機審計系統來講,數據獲取稍微麻煩一些,但依然是可行的,因為國內現有的、正規的、商品化的財務軟件也就二三十家,通用審計系統可以針對每一個品牌的財務軟件,按照(GB/T19581標準)將財務軟件系統的相關數據導出。
(二)驗證審計系統的數據平臺
為了驗證搭建起來的用于通用審計系統的數據平臺,我們可以通過重構會計核算實現對記帳憑證、會計科目等數據的驗證,具體辦法就是在計算機審計系統中對獲取的記帳憑證和會計科目等相關數據,按照正常的、符合會計準則要求的生成相關賬證表,并編制資產負債表、利潤表和現金流量表等。以此和被審單位的會計系統產生的對應賬證表進行比較,如果一致,說明數據平臺是真實、完整、有效、可用的。
(三)設計通用審計模型
計算機審計系統使用的數據平臺搭建、確認完成以后,接下來的工作就是如何把關注點指向審計模型的建立、審計算法的設計、查帳方法的使用等。在審計查帳過程中使用的方法各種各樣,包括:按規模劃分,祥查法、抽查法;按順序劃分,順查法、逆查法;按技術劃分,審閱法,等。
使用計算機審計系統進行查帳,原來采用手工方式查帳困難的方法在計算機審計系統下可以很方便、快捷、準確、高效地進行。
以“順查法”為例。手工使用“順查法”查賬過程就是按照業務發生到輸出賬表前后的時間順序進行審查。根據原始憑證編制記賬憑證,將記賬憑證進行入賬處理,然后登記總賬、明細賬和總分類賬,期末的時候編制資產負債表、利潤表以及現金流量表等。順查法的優點就是全面、系統、準確;缺點是費時、費力、不易抓住重點。
然而,在計算機審計系統中采用順查法最能夠充分體現計算機的優勢,它可以克服手工順查法的缺點。做到省時、省力、而且容易抓住重點。
下面我們解釋在數據平臺確定的情況下,如何設計通用性強的計算機審計系統完成“順查法”。
首先要抓住審計的重點,在計算機記賬憑證庫中根據審計的條件確定審查的對象和線索,例如:關注憑證金額大的記賬憑證,關注會計科目使用頻繁的記賬憑證,關注科目容易出現問題的記賬憑證等,總之可以根據需要定義各種條件。確定需要審計的對象之后,要進一步查閱和記賬憑證相關的原始憑證,以確定被審計的業務。需要審計的記賬憑證確定之后,我們可以從輸入記賬憑證到入帳處理以及輸出各種財務報表,確定審計線索、審計方法和審計過程,所有這些工作都可以由計算機系統自動完成。“順查法”如此,其它方法也可以做到由計算機自動完成。
國內財務軟件審計數據接口調查分析
本文設想的通用計算機審計系統的基礎是賬簿數據表、記賬憑證數據表、會計科目數據表、科目余額及發生額數據表、資產負債表、利潤表的從格式到內容的規范化,標準化。
本文作者針對審計系統與財務系統之間數據交換的標準化現狀做了兩個問卷調查,一個是針對財務軟件開發公司進行的調查(CQT),另一個是針對財務軟件用戶進行的調查(UQT)。其中UQT共發出98份,收回67份,所有問卷針對財務軟件公司是否向用戶公開數據表結構的回答,其中只有2份UQT確認其使用的金蝶財務軟件向用戶披露數據表結構;CQT的采集,直接通過電話向財務軟件公司當面調查,共調查11家財務軟件公司。調查內容見表1。
從表1可以看出,絕大部分財務軟件不提供二次開發工具、不公開數據表結構、不支持CSIA接口、不支持T19581接口。這種情況的直接結果就是計算機審計系統的通用性無法實現,因為各個財務軟件數據表的結構不同,訪問方式不同,計算機審計系統疲于應付不同的數據庫。
財務系統數據表結構的披露
企業在經營過程中要適時披露相關財務信息,有些是強制性,例如:資產負債表、利潤表、現金流量表等。有些是非強制性的。然而對于計算機財務系統而言,數據表結構、數據表記錄內容應該屬于強制性披露的。盡管在相應的規范、制度、準則中沒有提及。計算機財務軟件的版權屬于軟件開發單位。但是因為計算機財務系統使用的數據庫已經由使用單位買下,數據庫中記錄的數據是企業經營數據。所以數據庫和數據庫中的記錄的所有權屬于軟件使用單位,為了能夠使計算機審計系統能夠方便的訪問庫中記錄,獲取相關的賬證表等信息,實現計算機審計系統的自動化和通用性,被審單位有必要披露數據表的結構和數據表中的記錄。但是數據庫數據表結構并非被審單位設計的,因此數據表結構的披露應該由計算機財務軟件開發單位按照《信息技術 會計核算軟件數據接口標準GB/T19581-2004》輸出相關用于計算機審計的電子賬證表。
在GB/T19581標準中規定需要會計核算軟件輸出的數據樣式有:格式說明文件、電子賬簿文件、會計科目文件、部門、單位、項目信息、科目余額及發生額、記賬憑證、企業資產負債表和企業利潤表。
結論
綜上所述,本文主要從國家標準(GB/T19581)出發,探討了通用計算機審計系統的實現方法,認為應在實際應用與操作中強調構造計算機審計系統數據平臺的必要性,以及盡快完善相關的規章制度的迫切性。
參考文獻:
篇8
近年來,環保監管部門積極實施污染源在線監控的信息系統能力建設,用以實現對廢水排污企業進行實時監控,并將其數據作為環保部門排污申報核定、排污許可證發放、總量控制、環境統計、排污費征收和現場環境執法等環境監督管理的依據。廢水在線監控系統結構主要由三部分組成:(1)數據采集系統,包括廢水污染源各監控站房內數據采集設備、與數據采集設備接口的其他相關設備,如門禁系統、攝像系統、溫度計等。數采儀的操作系統為Windows CE。(2)數據傳輸通訊系統,包括利用GRPS實現監控平臺與廢水污染源各監控站房內數據采集設備進行無線通訊與數據傳輸。(3)基于廢水污染源監控數據的綜合信息管理系統,包括監測信息的、管理、利用、比對、審核和共享。操作系統采用Windows 2003 Server,數據庫為SQL Server 2005/2008,開發平臺為。審計試圖從廢水在線監控系統的功能性、安全性;數據庫數據的準確性、完整性;各排污企業的終端監測設備安全性和運行穩定性等方面進行檢查,診斷系統未充分發揮效用的病癥所在,并提出切實可行的改進建議。
二、實施過程和測試方法
根據審計內容和要求,主要運用SQL Server軟件還原系統備份數據,對上千萬條信息記錄進行數據分析,查找產生問題的原因。同時結合查閱工作記錄等相關資料、實地查看現場以及問詢等手段,查找系統運行和管理中存在的問題。現對主要內容的審計方法介紹如下:
(一) 測試廢水在線監控系統數據的準確性
從數據傳輸過程、數據統計過程和數據比對校驗三個方面對系統數據的準確性開展測試和審查。一是利用數據庫分析對現場監測儀器的顯示數據與數采儀的數據進行逐一比對,統計分析數據傳輸的誤差情況,分析誤差是否在制度規范的可接受范圍內,檢查數采儀統計均值計算的準確性,以此判斷監測儀表模擬信號轉換到數字信號的準確率。二是將被審計單位提供的單位排污口信息導入數據庫,與廢水在線監控系統中對應字段信息進行比對分析,發現“排放口名稱”字段標識存在錯誤。進一步通過審查相關資料發現,被審計單位未建立信息維護機制,也未對字段信息進行審核。此外,將污水處理廠廢水設計排放量與系統對應字段進行比對分析發現,廢水在線監控系統數據庫中部分污水處理廠廢水排放量數據異常,且未對異常情況進行監測與處理。三是通過查看比對監測資料和比對校驗工作記錄發現,被審計單位未對廢水在線監控系統現場端廢水流量設備進行比對監測,影響廢水在線監控系統廢水流量數據的準確性,從而導致廢水在線監控系統中由污染物濃度與廢水流量相乘得出的污染物排放量的準確性無法判斷。
(二)測試廢水在線監控系統數據的完整性
在對上述異常情況進行分析的基礎上,修正和剔除錯誤信息后對廢水主要污染物因子-化學需氧量的采集次數進行測試,評價系統數據的完整性。根據國家和地方的技術規范,對廢水連續排放和間隙排放等不同排放方式的累計排放小時數等參數進行測算,以獲取每天理論采集次數。進而運用數據庫分析工具對海量數據進行計算得出,三年實際系統獲取次數僅占應采集次數75%左右,未進行監測的廢水量達10億萬噸左右,未監測的廢水量比例為34%。采集數據的缺失是表象,查找數據缺失的原因是關鍵。因此,在數據分析的基礎上通過對采集次數缺失情況進行逐一排查發現,被審計單位對主要污染物因子化學需氧量的系統采樣頻率設置不合理,且未對數據缺失情況建立相應的監控制度和實施數據補缺措施,是導致數據缺失較大的癥結所在。
(三)測試廢水在線監控系統的安全性
篇9
1、前言
隨著Internet的發展,開發分布式,跨平臺,易擴展的軟件系統成為大型企業級應用的趨勢。J2EE(Java 2企業版)作為一種成熟的分布式企業級開發平臺,由一整套服務(Services)、應用程序接口(APIs)和協議構成,它對開發基于Web的多層、分布式應用提供了功能支持。受到越來越多人的關注,成為開發火型企業級應用的首選。中國農業銀行計算機輔助審計系統(以F簡稱CAS系統)就是基于J2EE平臺開發的大型系統。本文以下內容將對J2EE技術在中國農業銀行計算機審計系統中的應用進行研究和探討,以供參考。
2、J2EE概述
在Java發展的過程中,它首先取得了Applet的勝利,使得以Web為中心的開發廣泛地采用了Java語言。開發人員使用Applet技術,把開發的Applet很容易添加到到HTML頁面。但是隨著Web技術的發展,傳統的靜態頁面已經不能滿足開展、世務的需要,出現了服務器頁面技術,這時Applet不能雅任此需求。SUN看到Web應用的潛力,推出了Java Servlet技術,滿足服務器編釋的需求。Servlet廣泛應用于企業級應用程序的開發中。后來其他廠商為了簡化Servlet的開發,逐漸共同推出了JSP技術,JSP更容易開發表示層,最后SUN也把JSP作為J2EE標準的一部分。又由于Servlet處理業務邏輯的局限,SUN后來推出了EJB技術。
J2EE平臺規范是一個由SUN公司定義的用于簡化分布式企業級應用開發與部署的基于組件的模式。它提供了一個多層次的分布式應用模型利一系列開發技術規范。多層次分布式應用模型是根據功能把應用邏輯分成多個層次,每個層次支持相應的服務器和組件,組件在分布式服務器的組件容器中運行(如Servlet組件在Servlet容器上運行,EJB組件在EJB容器上運行),容器間通過相關的協議進行通訊, 實現組件間的相互調用。
J2EE使用多層的分布式應用模型,應用邏輯按功能劃分為組件,各個應用組件根據他們所在的層分布在不同的機器上。事實上,sun設計J2EE的初衷正是為了解決兩層模式(client/server)的弊端,在傳統模式中, 客戶端擔當了過多的角色而顯得臃腫,在這種模式中,第一次部署的時候比較容易,但難丁升級或改進,可伸展性也不理想, 而且經常基丁某種專有的協議一一通常是某種數據庫協議。它使得重用業務邏輯和界面邏輯非常困難。現在J2EE的多層企業級應用模型將兩層化模型中的不同層面切分成許多層。
3、系統總體設計
3.1,系統架構
CAS系統使川J2EE技術架構,采用B/S(Browse/Server)結構,系統為三層結構:數據庫服務器、應削服務器、客戶端。
3.2,CAS系統的數據庫
CAS系統的數據庫分為4部分:原始數據庫,從新一代業務系統、信貸管理系統、國際業務系統遷移過米的原始業務數據及外部數據;基礎數據庫,日志、機構、人員、設備、字典、文件存儲索引等;檔案數據序,審計、作記錄、審計工作底稿、審計依據等;臨時數據庫,審計查證過程中產生的數據。
JDBC中最重要的對象是Conection,Connection對象代表與數據庫的連接。連接過程包括所執行的SQL語句和在該連接上所返回的結果。一個應用程序可與單個數據庫有一個或多個連接,或者可與許多數據庫有連接。獲得連接之后才能向數據庫發送SQL指令。
3.3,系統模塊劃分
系統管理主要是實現對系統運行的控制信息的管理,內容主要包括系統參數的定義、字典信息的維護和日志管理。
注冊管理主要是實現對審計機構、審計人員和審計設備的管理。
環境定義主要是維護原始數據的使用環境,內容主要包括原始數據表信息的維護和業務機構在不同系統中的對照信息的維護。
項目管理主要是實現對整個審計流程及其過程和環節的控制和全面管理。其功能主要包括:項目立項、萬案制定、項口授權、審計開工和收工。
審計查證提供一個功能豐富的查帳平臺,審計人員可以利用多種查詢、統計、計算工具和圖形化分析工具,方便準確地實現審計思想向計算機能夠執行并可記錄的運算過程的轉換,從而使計算機模仿手工查帳的步驟進行自動查帳,以達到幫助審計人員準確、高效地完成審計任務的目的。
審計方法管理主要是實現對審計過程中產生的方法進行管理,內容包括審計方法的優化、審計方法的變更和審計方法的查詢。
審計文檔生成主要是實現審計工作記錄、審計工作底稿、存在問題清單、審計工作報告、審計意見書、處罰決定書、牿改報告、后續審計情況、后續審計報告等審計文檔的生成功能,并提供文檔歸檔功能將審計文檔歸入審計檔案。
檔案管理是指對審計過程生成的審計文檔進行統一規范檔案化管理。審計檔案管理的目的是建立審計檔案庫,從而實現審計文檔的積累和信息共享,以及根據審計檔案對審計進行多角度分析的功能。
依據管理是指對審計上作中需要經常使用的相關依據的管理,其目的主要是實現審計依據(如法律法規)信息的統一電子化管理,為審計人員提供最及時、最準確的審計依據,從而有效的提高審計的權威性,保證審計成果的可靠性。
4、結尾
本文以上內容對J2EE技術進行了介紹,并隨后分析了其總體設計,對其在中國農業銀行計算機審計系統中的應用進行了初步的探討,表達了觀點和見解,但由于此技術是一個系統,仍需要對其詳細設計進行進一步的研究,才能真正的將技術與審計系統相結合,這是本人將要研究的方向。
【參考文獻】
篇10
2.檢查數據處理系統中的控制,并據此評價應用控制在保證數據處理的及時性、準確性和完整性方面的可靠程度;
除檢查一般控制和應用控制外,審計人員還應參與新數據處理系統或應用項目的設計與開發以及其后所進行的重大修改工作。
可能的情況是,開發出來的數據處理系統缺乏控制措施,因此管理人員和審計人員就不能依賴其完整性。所以,如果管理部門指望正在開發的系統在可審性和適當控制方面得到合理的保證,那么審計人員在系統設計與開發過程中的檢查就是至關重要的。要達到這一目標并不總是可行的,因為審計機構可能沒有檢查系統設計與開發所需的資源或人力。但是,這項檢查應當作為一個審計目標。
一、電算化系統一般控制的檢查
數據處理方式由機械處理向自動化處理的轉變,需要改進傳統的審計“自動化數據處理系統的復雜性和范圍的廣泛性,要求審計人員給予處理數據的系統和數據本身更多的關注。如果系統在安全性方面得到合理的保證并具有足夠的控制,審計人員就可以信賴被處理的報告的數據。審計人員應該區別一般控制和應用控制。”一般控制通常適用于系統進行的大部分數據處理,而應用控制則可能因應用項目而異,而要分別加以檢查。在檢查個別應用控制時,審計人員應考慮被查系統一般控制的效果;
1.組織控制。職權和責任的分配必須以能夠保證有效果、高效率地實現組織目標的方式進行。審計人員應該檢查被審單位的組織結構、職權和責任的分配與分工情況、其目的在于確定職責分工是否能夠提供有力的內部控制,例如,程序與系統開發、機操作、輸入數據的控制、以及保持應用控制的控制小組等職責,在可行的情況下應予以分離。同時,審計人員應從“整個系統”的角度加以考慮。
在檢查職責分工情況時,審計人員應該評價控制的強度并報告由于職責分工不夠而暴露的弱點。職工定期輪換工作崗位及強制性休假等制度有利于管理部門維持足夠的職責分工。審計人員應對這些制度的執行情況加以檢查。
2.設施、人員和安全控制,擁有足夠的實物設施和其他資源(如訓練有素的人員等)是一個單位實現其數據處理目標所必需的。審計人員應該確定被審單位是否擁有滿足數據處理需要的足夠資源。
人事管理,包括監督、激勵和員工的職業,是成功的數據處理的組成部分。審計人員應該評價有關的管理方針和慣例,以確定是否制訂了必要的方針及方針的執行情況。例如,由于整個計算機領域迅速發展,一個組織的人事管理部門需要制訂包括數據處理人員在內的和培訓計劃。該計劃應該能夠保證職工跟上最新發展,以使他們能夠以最佳效果和最高效率履行職責,并能夠在工作中采用已經證明為具有成本效益的新方法。數據處理人員培訓和發展計劃不當可能會阻礙組織目標的實現。
審計人員應該確定被審單位是否制訂了有關計算機硬件、計算機程序、數據文件、數據傳送、輸入和輸出資料以及人員的安全規定。該項檢查應該不僅涉及中央處理站的計算機設備,還應包括其他地點的小型機、計算機終端、通訊設施及其他外圍設備。
在檢查計算機硬件的實物安全性時,審計人員應該考慮為在正常數據處理中斷以后繼續處理關鍵應用項目而制訂的應急計劃是否充分。該計劃應包括應急電源和后備硬件的規定以及關于使用后備設備和將人員、程序、表格和數據文件轉移到另外的處理地點的詳細計劃。審計人員還應該考慮該計劃經過測試的程度以確定在實際緊急情況下能夠繼續進行數據處理的可能性。
審計人員還應該檢查數據文件的實物安全性;該項檢查應保證,在可行的情況下,數據和文件檔案資料由不能接觸機和存取計算機程序的人員保管;文件檔案資料安全;計算機操作員和其他人員不能隨意接觸文檔資料;制訂有文件備份的規定(包括另外存放備份文件的規定)。在文件聯機存儲的情況下,審計人員應該考慮是否采取了充分的存取授權控制措施以及備份文件是否有地進行拷貝。此外,審計人員還應檢查數據備份文件是否做了適當的標志和標簽、席計人員還需檢查文件的以保證文件的完整性和準確性。對子程序備份文件也應建立同樣嚴格的控制。
3.操作系統控制。計算機系統通常由操作系統(也常稱為系統軟件)控制。由于這些操作系統通常具有數據管理、多道程序管理能力和文件標簽檢驗,以及其他許多授權控制功能,因此,它們是計算機處理一般控制的組成部分。審計人員應該了解操作系統能夠執行的控制,并確定這些控制的利用程度以及未被利用的情況。審計人員應該知道哪些人維護操作系統,或有能力修改操作系統。這些人可能有意或無意地破壞操作系統的控制,使其失效。
4.硬件控制。計算機硬件經常能夠檢查出硬件功能失常而引起的錯誤。審計人員應該了解:(1)系統設施是如何依賴這些硬件控制的;(2)操作系統如何利用這些硬件控制;(3)系統如何報告檢查出的錯誤,以及糾正錯誤的程序。
二、電算化系統控制的檢查
在對所有應用項目的數據處理的可靠性或完整性進行估計之前,必須對具體的應用控制和一般控制措施進行全面的評價。
依據這一準則進行審計工作有兩個目的,茲分述如下:
篇11
教育系統;內部審計;信息化建設
近年來,黨和政府高度重視教育事業,教育經費投入連年增長,比如我市2013年教育經費總支出為15.52億元,占財政總支出的30.62%,2014年教育經費總支出為15.84億元,占財政總支出的36.83%,教育經費的使用和管理日益成為社會關注的熱點。要如何管好、用好教育經費,提高教育經費的使用效益,是教育行政部門和中小學校財務管理的第一要務。教育工作涉及面廣,教育經費支出復雜、量大,特別是近年來在教育系統內部出現了一些違規和腐敗現象,對整個教育系統的聲譽產生了嚴重的影響。如何規范教育經費的使用,發揮其最大使用效益是教育內部審計工作需要解決的問題之一。
一、內部審計信息化的緣起——信息技術的挑戰
近幾年來,隨著計算機的普及、網絡的發展,信息系統的廣泛使用,大量的經濟業務活動通過網絡實現了無紙化。如我們教育系統的會計核算已實行了電算化,這使得審計線索和內容發生了變化。在會計核算手工系統中,由原始憑證到記賬憑證,由過賬到財務報表的編制,每一步都有文字記錄,都有經手人簽字,審計線索十分清楚。但在會計電算化系統中,傳統的賬薄沒有了,絕大部分的文字記錄消失了,取而代之的是存有會計資料的磁盤。此外,從原始數據進入計算機,到財務報表的輸出,這中間的全部會計處理集中由計算機按程序指令自動生成,傳統的審計線索在這里中斷了、隱藏了、消失了。會計電算化系統的特點及其固有的風險,決定了審計的內容要增加對計算機系統處理和控制功能的審查,這必然要求我們也要建立審計電算化系統,通過程序指令自動審計。
二、內部審計信息化建設的重要意義
國家審計署原審計長李金華曾在不同場合多次強調:“審計信息化建設是審計系統一場深刻的革命,是未來審計的主要手段,是現代審計的發展方向。不加強審計信息化建設,我們將失去審計資格”。精辟地闡述了審計信息化對于審計工作的深遠影響,為審計工作的發展指明了方向。那么我們實現審計信息化有哪些重要意義呢?筆者認為主要體現在以下幾點:1.內部審計信息化是解決當前審計信息種類多樣化、數量規模化、信息內容復雜化的有效手段。2.內部審計信息化是改善內審工作環境,提高工作效率的重要途徑。3.內部審計信息化是實現審計事前發現風險疑點,事前防范風險的重要方式。4.內部審計信息化是規范內部審計行為,提高審計質量,控制審計水平的可靠工具。
三、內部審計信息化建設的三個階段
目前我市教育系統內部審計,均采用傳統的手工審計,根據實際情況,筆者認為審計信息化建設應該遵循“先易后難、分步實施、逐步完善”的原則,分三個層次來逐步推進。首先是實現計算機輔助審計;第二是構建審計信息化系統;第三是實現信息系統的審計。
(一)實現計算機輔助審計。
計算機輔助審計是指審計人員利用計算機設備和軟件來輔助審計工作。從這幾年內審工作的經驗來看,筆者覺得計算機輔助審計可以使審計人員從冗長乏味的計算工作中解放出來,將更多的時間精力集中于那些需要專業判斷的部分,進而提高審計工作效率;還可以輔助審計人員完成以下工作:1.數據采集與轉換。利用計算機技術可以識別不同會計核算軟件的數據格式并將其轉化為通用的數據格式。2.數據分析與計算。將計算機技術用于分析性審計程序,可以非常快捷、方便、準確地得到分析結果。3.審計抽樣。在手工條件下需要人工計算的總體容量、抽樣容量及標準估計值等工作,現均由計算機審計軟件自動完成,因而方法更科學,結果更客觀。4.項目管理。計算機軟件可以輔助審計人員完成編制審計計劃、記錄審計日志、生成審計底稿、撰寫審計報告、管理審計檔案等工作。
(二)構建審計信息化系統。
審計信息系統(AIS)是在計算機輔助審計得到廣泛應用的基礎上,將多種審計模塊集成到單位管理信息系統(MIS)中構成的一個子系統。它具有多種功能:既可以對單位的投資決策、生產經營和財務管理等進行全過程動態審計,也可用于進行經濟責任審計,還可以充當單位經營管理、輔助決策的工具。隨著網絡經濟的出現,人們對處理和傳遞信息的計算機系統的安全、可靠和有效性更加關注。這就要求我們審計內容不能僅僅局限于對會計信息的審計,而要延伸到系統本身,即對審計信息系統進行審計。
四、內部審計信息化建設的應對措施
(一)建立健全審計信息化制度體系。
加強信息安全和保密工作,建立健全規章制度。比如,我們現在大多數財務軟件在設計時沒有考慮到審計的需求,導致審計軟件與財務軟件難以對接,這對審計的效率和質量造成很大影響。因此,需要進一步制定并完善財務軟件設計的相關制度規范。還有我們要建立和完善服務質量檢查、考評機制,要形成完備的工程運行維護、系統監管與應急響應、專業人員知識和技能更新等機制,確保系統的正常運行,為審計信息化提供制度保障。
(二)加大基礎設施建設,提升軟硬件系統配置。
“工欲善其事,必先利其器”,在審計信息化建設上加大投入。既要把錢用在刀刃上,保障審計業務人員人手一臺筆記本電腦和一個移動硬盤。硬件設施的不斷完善,為審計信息化建設提供了基礎平臺。又要杜絕浪費,搞信息化建設要貼近審計工作實際,既要適度超前,又不能盲目追求高標準,要以合理的信息化投入換取審計能力和效率的提升。還有我們要充分考慮審計機關信息化人才培養狀況,如果不培養一批高素質的人才去運用,那么我們的設備再先進,也只能束之高閣。
(三)樹立“人才強審”戰略。
人才是開展審計信息化的重要條件。審計機構應積極引進既有豐富會計、審計知識又具備較高計算機技能的復合型人才,同時積極開展有關計算機輔助審計方面的后續教育。使審計人員不斷地認識審計信息化系統環境下的審計特點,掌握審計軟件的使用、維護等技能,從而有效地完成審計任務。在審計人員的培養方面,我們應該積極培養具有復合性知識結構的審計人員。比如,可以對會計人員或計算機軟件開發人員進行學習培養,使得他們也能加入到審計隊伍當中,成為審計信息化的專職或兼職人員。
(四)大力推廣計算機審計。
首先進一步完善并推廣審計信息系統和現場審計實施系統,積極探索聯網審計和信息化審計。這需要我們建成審計信息化數據庫,制定數據庫規劃,完善充實審計數據庫,提升數據資源建設的規范化,為審計業務提供有效支持。其次實現審計方法的信息化,積極研究探索審計抽樣、內控測評、風險評估等審計方法的信息化實現方式。將計算機技術運用于審計實踐,增加審計的技術含量,提高審計的質量和效率。審計信息化建設應注重實際應用,可以根據審計的實際需要開發一些具有行業和地方特色的小軟件、小模塊,比如我們可以開發教育行業專業的審計軟件等。
五、如何防控內部審計信息化風險
計算機審計風險是指審計人員在對被審計單位會計電算化系統進行審計后得出的審計結論與被審計事項實際情況相背離的可能性。也可以理解為審計人員不能正確合理地運用計算機審計技術從而導致審計結果與事實不相符,發表不恰當的審計意見。影響計算機審計風險的因素主要有如下幾方面:
(一)審計數據是否完整、準確。
為保證審計數據的完整和準確,審計人員在審計時必須認真檢查被審計單位所提供的數據是否真實,是否屬于審計時間范圍內的財務數據,是否屬于結賬后的數據,財務數據是否有紙質賬冊、報表相配套。同時,審計人員獲得的財務數據,應該是被審計單位財務人員對財務數據作現場備份所得的。
(二)審計方法與技術選擇是否恰當。
審計人員可以根據被審計單位不同的系統而采取不同的審計方法和技術,從而有效地降低審計風險。當打印文件充分且與被審計單位輸入輸出聯系比較密切能直接核對時,則可采用繞過計算機的審計方法,用核對、復核、分析性程序等審計技術;當被審計單位采用實時處理,紙質的審計線索較少且輸入輸出不能直接核對時,則可采用計算機審計的方法,當被審計單位采用每時每刻都在運行,審計過程中不能終止工作時,則可采用制度基礎法。這樣,既可以降低審計風險,又可以減少對被審計系統正常工作的影響。
(三)審計方式的選擇是否合理。
由于要審計的內容大都存儲在磁性介質中,而磁性介質很容易被篡改、刪除而不留下任何痕跡。因此對于會計信息系統財務審計一般應采用就地審計或突擊審計的方式。在進行審計時,可以采用事先不通知操作員或程序員的情況下,把系統中正在運行的數據拷貝出來進行審查,以防程序員對系統的應用程序進行篡改或更換程序版本,防止操作員把數據篡改、刪除等,只有這樣,才能保證被審計程序和數據的正確、完整性,也才能有效地降低審計風險。
(四)是否積極取得被審計單位的支持和配合。
在進行計算機審計時,如果被審計單位的財務人員、操作人員不予配合,把存在磁性介質當中以及會計信息系統中財務數據進行加密、修改、刪除、隱匿等,則審計人員很難進行審查,因此,審計時應積極取得被審計單位的支持和配合,以此來降低審計風險。
六、結束語
國家審計署原審計長李金華指出:“審計信息化不光是個技術方法的問題,它對審計工作的方式、程序、質量和管理,乃至審計人員的思維方式和自身素質都會帶來深刻的影響”。也就是說,創新審計技術與創新審計模式是互為前提、互相推動的一體兩面。加快內部審計信息化建設既是實現內部審計轉型的一項重要任務,更是開展以風險控制為導向管理審計的重要技術支撐。必須要把推進內部審計信息化建設作為利用信息技術改造提升傳統審計方式的重要內容,納入到推進內部審計實現全面轉型與發展的總體部局之中,統一規劃,整體推進。
篇12
會計電算化的實施,改變了會計的信息存貯方法、核算形式及內部控制方式,對審計也產生了很大的影響。
①在信息存貯方法上。在傳統的手工會計系統中,從原始憑證到記賬憑證,由過賬到財務報表的編制,每一步都有文字記錄,審計是針對這些文字記錄而言。但在會計電算化系統中,會計處理集中由計算機完成,會計信息集中存貯在磁性介質上,只留下肉眼看不見的線索。
②在會計核算形式上。在會計電算化系統中,不一定要遵循手工操作方式下的會計核算方式,而是直接輸入數據由計算機按程序自動進行處理得出結果。如果會計電算化系統的應用程序出錯或被人非法篡改,則計算機只會按給定的程序以同樣錯誤的方式處理有關的會計事項,從而得出錯誤的結果。
③在內部控制上。傳統的手工會計系統中,會計部門的內部控制一般表現為對人的控制,強調職責分清、相互牽制,采用的手段主要是利用紙面信息進行人工核對與檢查。但在會計電算化條件下,內部控制轉變為對人和機器兩方面的控制,且多數情況以計算機內部控制為主。如果計算機內部控制設置不當,沒有形成有效的控制,就給人以可乘之機,甚至可能被神不知鬼不覺地嵌入非法的舞弊程序,給企事業單位招致嚴重的損失。
因此,在會計電算化條件下,審計人員必須要了解和審查會計電算化系統的處理功能及其內部控制,以證實其會計事項處理的合法性、結果的正確性及信息的完整性和安全性。
二、實施會計電算化審計面臨的現狀
由于各行業各單位會計電算化系統應用環境大不相同,應用程序也各具特點。從使用的系統來看大致有以下兩種情況:
1、購置商用會計軟件。
目前,商業化會計電算化軟件有幾百家之多,不同的電算化系統雖然有著不同的特點,但也有著基本的相同點:①輸入、處理、統計、查詢、輸出及維護功能較完整全面,界面設置較好;②對軟件設計過程、程序文本和數據結構采取嚴格的防范和保密措施,安全性較好;③采用計算機內部控制取代部分手工會計的內部控制,減少了人為因素。這些特點給會計工作帶來了較大的便利。然而由于各種會計軟件的數據庫千差萬別,其防范保密措施更是八仙過海,各顯神通,這就給審計人員開發通用的審計軟件帶來困難。
2、自行開發會計軟件。
自行開發會計軟件,一般是根據企事業單位自身的需要,結合實際情況研制而成的。如我校某些下屬單位的會計軟件就是由單位提出要求,請計算機人員編制而成。這些軟件使得財務會計后臺核算,包括從記賬到報表輸出、統計查詢的全過程自動化,一般具有較強的檢測排錯功能和統計處理功能,實用性強。但在系統安全方面及內部控制方面需要人工予以輔助來加強系統的管理。比如:有的數據庫沒有加密,可以隨時打開修改數據,就要求管理者制定規章制度來約束會計人員的行為。
三、審計對策
會計電算化的實施使得會計系統本身發生了很大的變化,對電算化系統的審計與對手工賬簿的審計相比,相應在審計內容、方法上也發生了變化。無論是對購置的會計軟件還是對自行開發的會計軟件,審計內容上都需要對其系統內控進行審計,以及對其電算過程和結果進行審計,審計方法或措施有所不同。
1、加強對系統內控的審計
對系統內部控制的審計,一般經過以下幾個步驟:
①對內部控制進行描述:審計人員可以通過與被審單位有關人員座談、實地觀察、查閱系統的文檔資料等辦法,必要時可編制內部控制情況問卷,了解系統的內部控制,將它用圖示描述出來。
②對內部控制進行初步評價:側重于評價內部控制的健全性和合理性。主要從以下幾方面來評價系統控制是否已經設立、控制的布局是否合理、有無過多或不必要的控制:
A:是否實施了職責分離,以達到相互牽制、相互制約的目的。主要包括計算機開發和維護部門以及系統使用部門內部的職責分離,如憑證的輸入與審核應由不同人員擔任。這種控制不但要以規章制度的形式明確每個部門及人員的職責,還應在系統中采用密碼控制技術,防止越權行為的發生。
B:是否編制了切實可行的開發計劃,計劃是否經過嚴格審查、仔細研究和反復調查后才予以實施;在開發過程中是否實施了嚴格的人員調配;系統的文檔資料是否齊全規范,保管制度是否科學等。這項評價適用于自行開發會計軟件的單位。
C:是否只有經過授權批準的人才能接觸系統的硬件、軟件、數據文件及系統文檔資料;機房是否具有安全保護措施、設備是否具有保護措施等;數據文件是否具有備份措施等。
D:是否建立正確可靠的硬件及軟件平臺,保證系統正常運作;尤其是系統軟件中是否具有錯誤處理的功能、文件保護的功能及安全保護的功能。如:系統是否自動建立使用系統的人員和活動記錄,以備日后檢查;存貯的文件是否實施加密措施,以保證只有掌握密碼的人才能打開文件等等。
E:是否采取了嚴格的輸入控制措施,來保證系統輸入信息的可靠性。例如:輸入憑證的完整性、是否具有憑證的試算平衡控制、憑證的編號是否按順序設置,有無重復號碼、憑證的借貸方金額是否相等、對由計算機發現的錯誤是否拒絕接受并予以提示,改正錯誤后重新提交系統并作好錯誤記錄等等。
F:是否采取了適當的處理控制措施,來保證會計數據處理準確性、完整性。例如:是否只有經過授權批準的人才能執行登賬、對賬、結賬等會計處理操作;系統是否具有防止或及時發現數據出錯的措施;對非正常中斷是否具有恢復功能;系統是否具有防止非法篡改的功能等等。
G:是否采取了適當的輸出控制措施,來保證系統能完整、準確地輸出經處理的會計信息。例如:未經授權批準的人不能接觸輸出資料,打印輸出的資料是否進行登記,并經有關人員檢查后簽章才能使用或予以保管等。
以上內部控制在系統中由計算機內部控制和手工控制組成。不同的系統中設置的程序化控制也不相同,尤其是自行開發的會計軟件在這方面比較松懈,因此對每個系統都應認真檢查是否建立了規章制度,用管理來彌補計算機內部控制的不足。
③對內部控制的執行情況進行符合性測試。主要是對上條中設置的內部控制措施是否得到認真執行而采取的測試。對計算機內部控制可以利用計算機進行輔助測試,對手工控制則可以采取如觀察法、實驗法等手工測試方法。
④對內部控制進行總評。主要考慮系統內部控制中有哪些比較滿意的措施、是否能夠通過符合性測試,符合程度如何、內部控制是否可以信賴等。
2、做好系統電算過程和結果的審計
在系統中,輸入的原始數據、處理的中間結果和最后結果都是以數據文件的形式存貯于電、磁介質或打印輸出在紙質賬頁上,要對系統電算過程和結果的真實性、正確性、合法性等進行評價,必須對數據文件進行審計。數據文件審計可以是對打印輸出的數據文件進行審計,也可以是對存貯在電、磁介質上數據文件進行審計,前一種數據文件審計與手工會計系統中對憑證、賬簿、報表的審計方法與技術相同,后一種數據文件的審計則需要運用計算機輔助審計技術進行審查。通常,為了節省時間,提高審計效益和審計質量,采用后一種審計方法。即可直接從系統中取得所需數據。
對于自行開發的會計軟件,審計人員可以復制它的數據庫,直接用計算機語言或采用計算機語言編制輔助審計程序訪問數據庫,可對整個數據庫或選定的數據進行復核,可有效地執行大量數據的驗算、重新分類及匯總工作,可詳細地檢查數據庫的內容,按指定的標準查找記錄,總之,根據審計目的進行計算和處理,并按照審計要求輸出審計信息。
篇13
一、進行會計電算化審計面臨的現狀
由于各單位會計電算化系統的使用要求和環境大不相同,應用的程序也各具特點。從使用的系統來看大致分為購置的商用會計軟件系統和自行開發的會計軟件系統兩種類型。不同的電算化系統雖然有著不同的特點,但有著共同的優點:①輸入、處理、統計、查詢、輸出及維護功能較完整全面,界面設置較好;②操作簡便,實用性強,大大降低了人﹑財﹑物的消耗,并提高了信息的使用效率。③一般具有較強的檢測排錯功能和統計處理功能,有較好的保密功能和安全性。然而各種會計軟件自身的缺陷也給審計工作帶來了很大的困難,比如:各種會計軟件的數據庫千差萬別,其防范保密措施也各顯神通,給審計人員開發通用的審計軟件帶來困難;在系統安全方面及內部控制方面也需要人工予以輔助來加強系統的管理,有的數據庫沒有加密,可以隨時打開修改數據,就要求管理者制定規章制度來約束會計人員的行為。
二、開展對會計電算化系統審計的必要性
會計電算化的實施,改變了會計的信息存貯方法、核算形式及內部控制方式,對審計監督財政財務收支的真實性、合法性和效益性提出了新的要求。
(一)、會計電算化系統審計是審計監督財政財務收支真實性目標的必然要求。
真實性著重解決財政財務收支活動是否確實存在,有關資料記錄是否客觀、全面、準確。在會計電算化系統中,通過直接輸入數據,由計算機按程序自動進行處理得出結果,如果會計電算化系統的應用程序出錯或被人非法篡改,則計算機只會按給定的程序以同樣錯誤的方式處理有關的會計事項,從而得出錯誤的結果。
(二)、會計電算化系統審計是審計監督財政財務收支合法性目標的必然要求。
合法性著重解決財政財務收支活動是否符合國家法律法規和規章規定,有關資料編報是否符合財務通則、會計準則及有關制度規定。在會計電算化條件下,內部控制轉變為對人和機器兩方面的控制,且多數情況以計算機內部控制為主。如果計算機內部控制設置不當,沒有形成有效的控制,就給人以可乘之機,甚至可能被神不知鬼不覺地嵌入非法的舞弊程序,給企事業單位招致嚴重的損失。
(三)、會計電算化系統審計是審計監督財政財務收支效益性目標的必然要求。
效益性著重解決財政財務收支活動是否經濟合理,富有成效。如果被審系統的內部控制健全有效,會計軟件功能正確可靠,則可減少數據文件實質性審查的數量和范圍,反之,則應擴大實質性審查的數量和范圍。
三、會計電算化審計方法
會計的電算化必將導致會計電算化審計。會計電算化審計的本質是審計與現代信息技術(主要是計算機技術)相融合的一個發展過程。其目標是通過審計與現代信息技術的有機結合,評價控制會計信息系統,實施審計監督服務,以促進經濟發展和社會進步。因此,審計內容上需要重點對其系統內控進行審計,以及對其電算過程和結果進行審計。
(一)、系統內控的審計
對系統內部控制的審計,可經過概括描述﹑初步評價﹑綜合性測評﹑總體評價四個步驟進行。具體方法如下:
1.審計人員要通過對會計軟件的學習以及實地觀察、查閱系統的文檔資料等辦法,做到對系統內部控制的初步了解,將它概括描述出來,做到心中有數。
2.側重于評價內部控制的健全性和合理性。首先看內部是否具有相互牽制和制約作用,職能權限的管理是否恰當。例如憑證的輸入與審核是否由不同人員進行。這種控制不但要以規章制度的形式明確每個部門及人員的職責,還應在系統中采用密碼控制﹑有效口令控制﹑數據加密等手段,防止越權行為的發生。其次看是否采取了嚴格的輸入和輸出控制措施,來保證系統輸入和輸出信息的可靠性。例如:輸入憑證的完整性、是否具有憑證的試算平衡控制、憑證的編號是否按順序設置,有無重復號碼、憑證的借貸方金額是否相等、對由計算機發現的錯誤是否拒絕接受并予以提示,改正錯誤后重新提交系統并作好錯誤記錄;未經授權批準的人不能接觸輸出資料,打印輸出的資料是否進行登記,并經有關人員檢查后簽章才能使用或予以保管等等。再次看是否采取了適當的處理控制措施,來保證會計數據處理準確性、完整性。例如:是否只有經過授權批準的人才能執行登賬、對賬、結賬等會計處理操作;系統是否具有防止或及時發現數據出錯的措施;對非正常中斷是否具有恢復功能;系統是否具有防止非法篡改的功能等等。最后看機房是否具有安全保護措施、設備是否具有保護措施等;數據文件是否具有備份措施等。
3.對內部控制的執行情況進行綜合性測評,測評上條中設置的內部控制措施是否得到認真執行。對計算機內部控制可以利用計算機進行輔助測評,對手工控制則可以采取如觀察法、實驗法等手工測評方法。
4.通過考查系統內部控制中有哪些比較滿意的措施、是否能夠通過符合性測試,符合程度如何、內部控制是否可以信賴等,對內部控制進行總體評價。
(二)、系統電算化過程和結果的審計
