计算机审计是与传统的手工审计相对称的概念。传统的手工审计是指在手工操作下对手工信息系统所进行的审计,计算机审计则是随着计算机的产生及其在审计中的应用以及数据处理电算化的发展而出现的。计算机审计与传统的手工审计并没有本质的区别,其审计的目的与职能并没有改变。计算机审计是计算机技术与数据处理电算化发展的结果,它的产生有两方面的原因:
一方面,计算机在管理信息系统特别是在会计信息系统中的应用,对传统审计产生了很大的影响。被喻为20世纪最伟大发明的计算机在40年代问世后,在科学计算、自动控制和数据处理等领域中逐步得到了广泛的应用。它在管理信息处理中的应用,形成了电算化管理信息系统,其中较为重要的是电算化会计信息系统。随着企业会计电算化信息系统的建立与健全,会计信息系统在数据处理流程、处理方式、内部控制及组织结构等方面发生了很大变化,这些变化对传统审计的审计线索、审计手段、审计技术方法、审计准则等方面产生了重大影响,使得只具有传统审查手段的审计人员无法揭露会计电算化环境下的经济犯罪和会计信息失真问题,审计面临着失去资格的巨大行业风险。另一方面,审计自身的发展也促进了计算机审计的产生。第二次世界大战后,随着社会经济的发展,审计监督作用的加强,审计范围也在不断扩大:从原来的财政财务审计发展到经营管理审计、绩效审计,从外部审计到内部审计,从事后审计到事中、事前审计等。面对如此广泛的审计范围,传统审计方法越来越不能及时完成审计任务,达到审计目的。综上,审计对象的信息化和审计自身的发展对传统审计提出了新的问题和要求,计算机审计应运而生。
一、开展计算机审计的目的、作用
近年来,随着信息社会的发展,尤其是先进的计算机技术高速发展和普遍运用,使会计信息、业务信息的记录、处理、传递和储存等发生了根本性变化。审计机关的审计对象普遍利用计算机进行业务和数据处理,而我省审计系统的审计手段却远远跟不上这种变化。审计署已明确提出,审计信息化是一场革命,能不能在这场革命中掌握主动权,直接关系今后审计事业的发展,关系审计工作的前途命运,审计人员不掌握计算机技术,就将失去审计资格。 “浙江省审计厅关于印发《2003至2007年审计工作发展实施意见》的通知”指出:要以加快推广先进技术和应用科学方法,提高审计信息化水平为目标,积极探索信息化审计和效益审计环境下新的审计方式,促进提高审计工作效率,努力推进审计工作科学化进程。运用计算机技术,推进审计专业技能升级。加快引进、消化、开发计算机审计软件,加快推行计算机辅助审计。今后五年,在署定、省定行业同步审计项目和已实现“会计电算化”、“管理信息化”的被审单位的审计项目中,全面推行计算机辅助审计,探索计算机系统审计和远程联网审计。因此,计算机审计的研究应用问题,就显得十分迫切。
李金华审计长指出:计算机审计要坚定不移地抓下去,这是中国审计的出路所在。要加强计算机的开发运用。这条路子如果不走出来,审计是没有出路的。 “全面审计,突出重点”只有靠计算机才能真正做到。运用计算机审计的问题不光是投入问题,更是思想认识和培训问题。
(一)目的:是进一步推动计算机审计的应用和普及,改进审计技术,提升审计质量,促进审计事业的健康发展。
(二)计算机审计的作用
1、计算机审计可以反过来可促进会计电算化的发展
①计算机审计可以保护会计电算化环境的安全性。通过计算机可以揭露问题,为被审单位提出安全方面的建议,保证会计电算化环境的安全性。
②计算机审计可以保证电算化环境中会计数据的可靠性和真实性。会计的命脉是数据的真实性。会计电算化后,由于数据存贮介质的改变,使数据有了被篡改、不准确的可能,而计算机审计要根据计算机审计准则,通过各种有效的方法和程序,对会计电算化环境方面提供的数据是否正确、公正、全面进行审计。这样,就可以有效地防止利用计算机输入非法数据篡改会计数据或破坏磁介质中的会计数据等舞弊犯罪行为,提高会计电算化环境中会计数据的可靠性和真实性。
③计算机审计可以促进会计电算化环境中内部管理和控制制度的不断完善。计算机审计要根据计算机审计准则,通过各种有效的方法和程序,包括对会计电算化环境中内部管理和控制制度进行研究和评价,指出内部管理和控制薄弱环节,提出改善意见,促使被审单位加强会计电算化环境中的内部管理和控制。
2、开展计算机审计对审计发展的影响
计算机审计的发展给审计科学带来了深刻的影响,这种影响不仅表现在审计数据处理和信息载体的重大变革上,还表现在审计方法审计理论等方法的发展上,具体体现在以下几个方面:
1. 计算机审计的开展,发展和完善了审计方法与技术体系。审计电算化的有效开展,使得审计资料的审查与分析工作主要由计算机完成,从而可以利用计算机运算速度快,能进行复杂运算等优势,采用或选择一些手工审计条件下很难或无法完成的方法与技术,提高了审计册效率。例如,手工审计中统计抽样审计方法,由于需要进行一些复杂的计算,在手工审计条件下很难使用。审计电算化以后,可通过编制抽样审计软件只需输入需要的可靠性程度、样本量等原始数据即可审计软件给出审计结果。
2. 扩展了审计的内容与范围。手工条件下由于审计方法与技术的限制,对手工信息系统的审计往往以财务审计和事后审计为主。审计电算化以后,可利用计算机的特长,积极开展事前审计,事中审计和效益审计。例如,内部审计人员可通过对成本费用的事中复核、审查成本费用支出的合理性,及时提出降低成本费用的审计意见;可建立一个以会计学、管理学、运筹学、控制论、行为科学为基础,以计算机技术、仿真技术为手段的智能审计电算化网络系统,辅助审计人员进行效益审计。
3. 推动了审计工作规范化的进程。审计电算化的有效开展,要求对手工信息系统的审计必须规范化。这是因为,计算机只能按人们给它编定的程序和指令执行各种审计处理,如果审计工作本身不规范,则每次审计或对每个单位审计步骤,内容和方法都不相同,要利用计算机有效高效地进行审计是非常困难的。另外,计算机审计程序的编写成本是相当高的,如果审计工作不规范,每次审计都和编写一套程序,那么审计电算化就没有意义了。因此,开展审计电算化,必将推动我国审计工作规范化的进程。
4. 增强了审计信息的反馈能力。在手工审计条件下,审计信息在反馈、整理的灵敏度、准确度、相关性等方面存在着大量的不足,计算机技术的引入对促进审计信息的利用有着重要的推动意义。具体反映在以下几个方面:
(1) 及时性:审计电算化给审计信息的利用提供了极大的优势,手工条件下严重滞后或需要长期准备常规审计信息,电算化都可适时提供了。例如:利用计算机网络,下级审计部门的审计信息可及时传递到上级审计部门,以便于及时编制审计报告; 再例如,审计电算化后,大量的审计信息(审计法规,被审单位基本情况) 都存储在计算机内,需要时可随时查阅,使资料的索取更加及时了。
(2) 准确性:计算机审计不会发生手工计算、整理、复核、核对等的差错,而且电算化后,审计人员可以选用那些审计复杂、工作量大、但更为实用的审计方法,以使审计信息更加准确。
以上问题说明,会计电算化已向审计提出了新的挑战,如何在那些已经在不同程度上实现了会计电算化的部门和单位进行审计监督,已不可避免的提到审计机关的议事日程上来了,解决这个问题的唯一途径就是研究会计电算化信息系统的各种审计问题,探讨适合我国特点的计算机审计方法和内容,使它具有向审计人员提供可靠资料的可能,并逐步培养一批合格的技术人员,以适应这方面的要求。
二、国外计算机审计的发展阶段与我国审计信息化的趋势
计算机审计的发展阶段 计算机审计则随着计算机技术的进步和管理信息系统、会计信息系统电算化的发展而发展。计算机硬件、软件以及管理信息系统的电算化的发展变化,引起了计算机审计的发展变化,这可以从计算机审计方法或技术的变化上反映出来。
(一)绕过计算机审计(Audit aroud the Computer)阶段
在20世纪50年代中期至60年代中期,电子数据处理系统处于数据的单项处理阶段,管理信息系统、会计信息系统的电算化还处于起步阶段,这时系统结构和应用环境简单,计算机没有得到广泛和深入的应用,审计人员还未来得及更新知识,掌握计算机技术。因此,这时的审计主要采用“绕过计算机审计”的方法,计算机审计处于“绕过计算机审计”的发展阶段。
1、概念。绕过计算机审计又称为“黑盒”审计或间接审计,这种审计模式把计算机仅仅看成存储和处理数据的机器,审计人员在审计时只对输入资料和打印输出资料及其管理办法进行审查。这种审计模式的原理是“黑箱原理”,即审计人员追查审计线索到黑箱外部的输入和输出,通过对这两种变量的研究,得出黑箱内部情况的推理:如果输入与输出不相符,则推定会计电算化系统的处理过程是错误的,反之亦然。“绕过计算机审计”的审计过程可如下图所示: 2、优点。(1)审计技术难度低。这种审计模式实际上是审计人员对会计电算化信息系统采取的一种类似传统手工审计模式。这一模式对审计人员的计算机水平要求较低,在审计人员对计算机知识知之甚少的情况下,也可以进行审计。(2)较少干扰被审系统的正常工作。采取这一审计模式既不需要使用被审单位的计算机也不需要查看被审系统的程序与数据文件以及计算机硬件等配置,因此对被审系统干扰较少,易于得到被审单位理解与支持。
3、缺点。审计风险高,主要表现在两个方面:(1)审核范围有限。此审计模式应用的前提是被审单位提供充分的输入与输出资料,审计所需线索与证据必须打印齐全。但是,计算机即具有强大的数据存储功能,被审单位打印输出的资料仅是其中为数有限的一部分,而且许多会计软件在设计时出于系统运行速度等方面的考虑,并没有为日后审计保留审计线索。可见,绕过计算机审计模式所取得的审计线索和审计证据是不充分的。(2)审计结果的可靠性较低。这种审计模式仅依靠被审单位打印输出资料与输入资料相稽核,而不对会计电算化系统本身进行测试,审计人员对资料得生成过程以及资料是否真实就没有太多把握,因此,一般不可能查出计算机处理过程中可能隐藏的各种重大错误和舞弊行为,审计风险自然会高。
4、适用范围。由于此审计模式的上述缺点,运用此审计模式审计时,要求被审单位经济业务简单,业务处理过程比较单一,计算机输入资料与输出资料联系比较密切而且内部控制制度健全。因此,绕过计算机审计模式适用于对内控比较健全的中小企业的审计。
(二)利用计算机审计(Audit with the Computer) 阶段
随着计算机技术的发展,数据处理技术进入数据综合处理阶段(1965----1970年)。计算机技术和电算化管理、会计信息系统的发展,既向审计工作审计人员提出了挑战,又为审计人员提供了接受挑战、解决新问题的有力武器。计算机不仅可以帮助审计人员减轻繁重的审计文书处理负担,加快审查速度,提高审计效率,而且可以用来审计电算化信息系统应用程序和数据文件,扩大审计范围,提高审计质量。另外,有了计算机,审计人员可以利用计算机发展和创造新的审计方法、技术和技巧。计算机审计迎来新的发展阶段----“利用计算机审计”阶段。
1、概念。利用计算机审计又称为计算机辅助审计,是指利用计算机技术和审计软件对会计信息系统所进行的审计。审计软件一般有两种:一种是通用审计软件,它是一组能够帮助审计人员获取、计算、分析电算化信息记录的程序,适用于多种审计工作。例如,利用通用审计软件可实现数据获取、数据重计算、数据分类、文件格式转换、文件合并等功能;另一种是专用审计软件,它是为了某个特定的系统或某个审计项目而编写的程序。例如工程预决算审计软件、计算机审计抽样软件等。“利用计算机审计”的审计过程如下图所示:
2、优点。(1)扩大了审计范围,使审计结论更可靠。计算机抽样技术使得对被审对象的全面审计成为可能,手工审计中以样本推断总体得常规做法已不必要。利用计算机技术,审计人员在对重点项目进行审计时,可以扩大审计范围,甚至可以在一定范围内进行逐笔审计。审计范围的扩大,使审计结论更可靠,从而在一定程度上提高了审计质量。(2)提高了审计效率。例如,手工抽样是一项复杂耗时的工作,而利用计算机抽样软件,只需审计人员对可信赖度、重要性水平等参数进行设置,计算机便会自动进行计算样本量、选择样本、推断总体误差等一系列工作,快速而准确。同时,计算机在数据计算、综合与分析方面也具有强大优势。
3、缺点。利用计算机进行审计时,审计人员应具备计算机方面的相关知识,以便使用审计软件、编写特定审计程序进行计算机辅助审计。同时,审计机关要出资购买审计软件或请人开发专用软件为审计之用。因此,这一审计模式也存在着审计技术复杂和审计成本高的缺点。
4、适用范围。由于是“辅助”审计模式,因此这一审计模式在审计实务中一般与其他审计模式相结合。其中,直接审计模式与辅助审计模式关系最为密切,因为直接审计模式涉及对系统程序化控制的测试、数据文件的实质性测试等内容。在间接审计中,对一些原始数据不多、计算过程费时易错但运用计算机强大的计算功能可以大幅度提高审计工作效率与质量的工作,可利用计算机辅助审计模式,如,执行分析性程序、计算折旧、匡算各种应计项目的计提等。
(三)穿过计算机审计(Audit throug the Computer)阶段
随着电算化系统的复杂化和审计人员对计算机知识及技术的掌握,数据处理技术进入数据的系统处理阶段(1970年以后)。计算机审计进入“穿过计算机审计”(Audit throug the Computer)的发展阶段。
计算机技术的复杂化,电算化管理信息系统的复杂化,使得会计电算化信息系统中输入数据与输出数据越来越缺少一一对应关系。而且,在某些系统中,由于采用了联机数据输入技术,输入数据时并没有产生和留下原始凭证;另一些系统中,由于采用了实时文件更新技术,原始数据在输入计算机后,立即加以处理,数据文件随时都在更新,因此打印输出结果可能带有滞后性;此外,在会计电算化信息系统中,只有在例外情况下,计算机才打印输出,而且打印输出资料只是计算机大量储存信息中极少数的一部分。所有这些情况都表明, “绕过计算机审计” 和单纯“利用计算机审计”的方法难以应对日益复杂的会计电算化信息系统,审计人员不得不进入计算机系统,以确定内部控制、应用程序、数据处理、数据文件等的正确性与可靠性,计算机审计进入“穿过计算机审计”的发展阶段。
1、概念。穿过计算机审计又称“白盒”审计或直接审计,这种审计模式不仅要求审查被审单位的输入与输出数据,还要审查被审单位会计电算化系统的系统程序、应用程序、数据文件以及计算机硬件等配置,以实现在对被审系统的控制与处理功能的可靠性进行评价的基础上确定实质性测试的性质、时间与范围。“穿过计算机审计”的审计过程如下图所示:
2、优点。这一审计模式的显著优点是审计风险低。审计人员利用这一模式进行审计时,直接对被审单位的会计电算化信息系统的程序、数据文件进行审查,在对系统内控可靠性进行科学评价的基础上确定实质性测试的性质、时间与范围,而不再仅仅依靠被审单位提供的打印资料对系统内部控制进行推理。这既增强了审计人员的独立性,又使得审计结论、可靠性提高,从而提高了审计报告质量,并可以把审计风险控制在可接受的范围内。
3、缺点。(1)审计技术复杂。运用这一审计模式时,审计人员要对被审单位会计电算化系统内部控制的可靠性进行评价,而在计算机信息系统环境下,内部控制大多是通过程序化的方式实现。这就要求审计人员必须掌握计算机知识及其应用技术、数据处理及其管理技术,熟悉通用审计软件的操作,并能根据审计过程中出现的问题编写各种测试审查程序,否则若依赖计算机技术人员协助工作会减弱审计人员的独立性。(2)易干扰被审系统的正常工作。因为这一审计模式要审查被审单位系统的程序、数据文件以及计算机硬件等配置,因此会占用被审系统较多的正常工作时间。
4、适用范围。由于这一审计模式对审计人员素质提出了更高的要求,而且审计成本无论是对被审单位还是对审计单位都很高。因此这一审计模式适用于大中型会计师事务所对大中型企业的审计工作。
(四)网络审计(Audit on Line) 模式
20世纪90年代,特别是进入21世纪后,随着Internet和电子商务的发展,现代信息技术为计算机审计的发展带来前所未有的机遇。审计人员只要把自己的计算机连接到网上,并取得被审单位的审查权限,就的在任何地方、任何时间通过网络完成除实地盘点和观察外的大部分审计工作。审计项目负责人可以在网上完成制定审计计划,给在不同地点的审计人员分配审计任务;在网上复核审计人员的工作底稿,并对助理人员进行监督与指导;随时了解审计项目的进展情况,协调各审计人员的工作;草拟和签发审计报告等工作。Internet和网络经营的发展带来了计算机审计的新时代----网络审计(Audit on Line)。
1、概念。随着计算机网络的发展,出现了会计联机实时报告系统,传统的事后审计、就地审计方式将逐渐被在线实时审计模式所取代。所谓在线实时审计是指通过审计机关和被审单位的网络互联,即时审查被审单位会计信息系统的审计模式。“网络审计审计”的审计过程如下图所示:
2、优点。这一审计模式拓展了审计时空,加强了审计监督职能。审计单位和被审单位的网络互联,使得审计人员足不出户就可以对被审单位进行远程审计,可以分散或实时连续地抽取审计数据,使传统审计的时空向更为广阔的信息化电子时空拓展,从而变定时实地审计为实时远程审计,变事后审计为事前、事中审计,变静态审计为动态审计,既提高了审计效率也使审计的监督作用得到了加强。
3、缺点。网络安全问题使在线实时审计面临着固有风险、控制风险以外的风险――信息风险。由于网络化会计信息系统自身的设计缺陷以及黑客袭击等原因,用户错误操作时有发生。在网络环境下,信息系统的安全、稳定和有效成为审计部门关注的重点。同时,审计人员在利用网络进行数据、信息的收集、分类、管理、存档时,也要有可靠得技术手段和管理技术,以保证网上审计系统和审计信息的安全,从而把网络审计的信息风险降低到可接受的程度。
4、适用范围。在线实时审计模式无论是对企事业单位的内部审计、动态审计,还是对上市公司的事中、事前审计都是必不可少的。网络审计模式代表着未来审计的发展方向。
我国审计信息化的趋势 目前,我国审计工作正处于重要的发展战略机遇期,审计工作面临的主客观环境发生了很大的变化,对审计工作的要求进一步提高,传统的思维方式、工作模式已不能适应形势发展的需要。在当前“总结经验、开拓创新、不断深化、寻求进一步发展”的关键阶段,要加快审计事业发展,实现审计工作现代化,必须不断加快审计信息化建设。审计信息化建设是在我国实施“科教兴国”战略和国家电子政务建设的大背景下起步和发展起来的,是贯彻落实科教兴国战略的具体行动。审计信息化必须适应国家电子政务发展的形势要求,这不仅仅是个审计技术方法问题,它还将对整个审计工作的方式、程序、质量和管理,乃至审计人员的思维方式和自身素质带来重大影响,它是一场深刻的革命。我们能不能在这场革命中掌握主动权,直接关系到今后审计事业的发展。
在“2004年全国审计工作座谈会”上,“计算机审计”成为贯穿会议始终的惟一内容,将信息化提升到如此高的重要地位,这在全国各个部委都可谓开创了“先河”。对于审计信息化来说,2004年是意义非凡的一年,以应用系统建设、网络基础设施建设、安全系统建设、标准规范建设和人员培训为主要内容的“金审”一期到今年将结束,目前主要进行工程验收准备。以计算机联网审计为主要内容的“金审”二期即将开始。展望未来,会上提出了《2004至2007年审计信息化发展规划》:到2007年,利用计算机技术开展的审计项目将达到年度计划项目的60%以上。而总结过去,我们发现审计信息化也呈现出四大趋势。
趋势一:审计业务与审计技术滚动发展
刘家义副审计长介绍说:“1999年的时候,我们以手工审计方式为主对工商银行和建设银行进行审计,全国共组织了2.3万名审计人员。而2003年运用计算机技术对工商银行进行审计时,全部参审人员仅为1999年的1.1%,查出的违纪违规问题却是1999年的38倍。”从这组对比中我们能够感受到信息化的力量,但是刘家义副审计长却告诉我们,在审计机关内部,是业务带动技术、技术促进业务的发展。审计工作是一项对业务要求比较高的工作,发现经济违规现象背后的本质更多凭借的是很强的业务素质、丰富的审计经验、精湛的审计技术。利用信息技术将重要审计案例的经验进行快速繁衍,利用计算机建模技术把复杂的审计业务转换成计算机可以处理的审计模型和可以识别的审计方法,是审计业务带动审计技术、审计技术促进审计业务的审计信息化滚动发展的模式。近年来,审计机关利用计算机检索、关联等功能对电子数据进行分析,发现一批重要案件线索。
审计署副审计长刘家义在会上介绍,2003年对中国工商银行审计中,审计署驻广州特办运用在实践中摸索出的审计评价模型,对工行广东分行电子数据进行分析时,发现工行南海区分行对“华光”集团的贷款风险高度集中且资金流异常的线索,通过查证,揭示了累计骗贷74亿元的金融大案。计算机技术在财政、行政事业、企业等审计领域也取得了突破性进展,提高了审计效率,扩大了审计范围。
据刘家义介绍,2001年审计署正式启动了“金审工程”。目前金审工程一期已初步建成了。审计急需的三大数据库:一是被审计单位资料库,已收集了全国189万个单位、每个单位100多个指标的基本信息;二是审计专家经验库,目前已有140条经验入库;三是审计文献资料库,依托南京审计学院作为国内审计情报资料重要集散地的优势开发建设,目前进库资料文献达6000余篇。预计到2007年,利用计算机技术开展的审计项目将达到年度计划项目的60%以上。
除审计业务带动审计技术发展之外,被审计单位信息化水平也一定意义上推动审计信息化朝向高水平发展,由于审计部门需要经常性地与银行、海关以及大型企事业单位打交道,而银行、海关等部门信息化开始很早、水平较高,如果审计信息化水平低于这些单位,就会发生“看不到数据打不开帐”的情况。
趋势二:倡导少花钱多办事
在本次会议的第二天,湖北省老河口市审计局主题报告会场出现了李金华审计长的身影,抛开另一个分会场上财政审计司、金融审计司的报告不听,为什么特别来听一个市级单位介绍经验呢?在会议结束后的总结讲话中,他认为,老河口市“少花钱多办事,花小钱办大事”的精神正是值得倡导的精神。少花钱、多办事,用好纳税人的每一分钱,是未来审计信息化建设的又一大特色。 据了解,审计信息化早期投入外加金审一期的资金投入总共不到3亿元,与很多项目动辄数十亿元的规模相比,审计信息化走了一条节约资金的务实道路。首先,很多审计单位从其他投入中节约出资金用于信息化建设。刘家义副审计长介绍说:从1999年开始,审计机关共从其他资金中节约出8000多万元用于审计信息化。其次,规范资金投入环节,国家审计署信息化建设办公室副主任丁世平介绍说:“我们的所有采购项目都严格按照招标程序进行,以避免浪费”。另外,提倡从技术角度出发节约资金,比如在项目建设之前进行详细的调研,在统一规划的前提下组织实施;比如软件建设不鼓励自己开发,鼓励采用成熟的软件产品,或者在产品之上开发出特定功能的模块;再比如在购买设备上不搞攀比,以产品实用性为购买前提,不盲目追求技术的先进性。
趋势三:联网审计成为下一步工作重点
在被审计单位现场没有电子数据怎么办?被审计单位数据量大、系统复杂,打不开帐怎么办?审计业务的发展对审计信息化提出了新的要求----必须要进行计算机联网审。
据了解,审计项目实施的信息化手段和方式有两个方面,对全国188万个被审计单位中经济核算管理相对独立、没有实行部门或行业信息集中的众多的被审计单位,实施现场审计的方式;对掌握国家巨额财政资金、影响国计民生和国家经济运行秩序、且已实行行业数据大集中的部门,实施联网审计。联网审计有三种方式,一种是对数据大集中、信息化程度较高的行业实施“集中式”模式的联网审计;对以省和中心城市进行数据集中的行业实施“分布式”模式的联网审计;对诸如中央一级预算单位的部门实施“点到点”模式的联网审计。从2000年开始,国家审计署与中国农业银行合作开展北京、上海等6省分行联网审计工作的试点已经取得“阶段性成果”。
审计署4年内将对中央一级预算单位实施联网审计
大批审计人员进驻现场开展手工审计的景象有望在未来几年内得到彻底改变。来自有关方面的最新信息显示,目前我国审计机关正着力实施以计算机应用为第一特征的信息化发展规划,以实现审计方式的革新和审计效率的全面提升。
根据这一计划,到2007年,审计署将初步建成联网审计系统,开始对中央一级预算单位以及财政、海关、税务、金融等部门开展联网审计。
经过几年努力,计算机审计正逐步取代传统的手工审计方式,成为审计机关开展审计工作的“利器”。在2003年对中国工商银行的审计中,审计署广州特派办运用《商业银行风险审计评价模型》对工商银行广东分行所有电子数据进行分析,发现南海区分行对“华光”集团贷款风险高度集中及资金流异常线索,进而查出骗贷74亿元的金融大案,包括广东省分行副行长、南海区区长等在内的犯罪嫌疑人被抓获。
据对四大国有独资商业银行审计情况的统计,1999年,在以手工审计方式为主的情况下,全国共组织了2.3万名审计人员对工商银行和建设银行进行审计,2003年在对工商银行的审计中,由于运用计算机技术,全部参审人员仅为1999年的1.1%,人均发现违纪违规问题却是1999年的38倍。
据悉,目前包括审计数据库建设、审计系统网络互联基础设施建设的有关方案已经制定。而为了配合这一信息化发展规划的实施,审计系统大规模的人员培训工作已经启动。
趋势四:审计公告制度对信息化提出新挑战
在很多发达国家,对被审计单位的审计结果进行公开是一件十分正常的事情,这在中国还需要一个时间。但是李金华审计长提出,审计公告制度一定是我们国家未来的发展方向。审计公告制度的颁布意味着信息的最大限度公开,虽然在这当中IT技术并不是最主要的,但是仍然会对审计信息化提出新的挑战,比如信息的网上发布将促使各级审计机关加快政府网站的建设,而审计公告制度对审计信息化提出的其他挑战,相信将伴随公告制度的颁布将一一浮出水面。
三、我国计算机审计的现状与存在的问题
(一)我国计算机审计的现状
对于我国国家审计信息化发展现状,审计署计算机技术中心主任王智玉一个突出的感受就是发展不平衡:幅员辽阔的960万平方公里范围里,东部沿海地区的发展水平能够比发达国家,而西部地区还是相当落后,差距在20年以上。像审计署的计算机普及率达到人均一台以上,直属于审计署的“野战军”----审计署驻各地的18个特派员办事处计算机应用也达到很高水平;而在一些贫困地区,有的县市审计局竟然没有一台计算机。为数不多的计算机审计骨干还是集中在审计署、特派办和省一级审计机关,而大多数工作在基层一线的审计人员的计算机操作使用水平并不是很高,因此审计信息化建设道路任重道远。计算机审计的发展水平与经济及信息技术的发展水平直接相关。尽管我国在上世纪80年代开始了会计电算化,但由于经济及信息技术发展的原因,对电算化会计信息系统的审计基本上都采用了“绕过计算机”的方法。我国计算机审计相对于会计电算化的发展始终处于滞后状态,特别是在会计电算化正以前所未有的速度向会计信息化和全面管理信息系统发展的今天,这种滞后尤为突出。与发达国家相比,我国的计算机审计尚处于起步阶段,但近几年国家审计署、其派出机构和各地审计机关都努力作到硬件设施建设、软件开发应用、人员培训考核“三位一体”,为推进计算机审计奠定了坚实的基础。现在,我国在审计机构的网络建设、审计法规的建立与完善、利用计算机审计等方面取得了可喜的成绩。
一我国计算机审计已取得初步成效
1.审计管理信息化建设初见成效。
我国审计管理信息化的一个重要方面是审计网络和网站的建设。我国审计机关已建成了由单位内局域网、系统专用网和因特网三套互相独立、物理上互相隔离,信息上互相联通的网络组成的信息网。审计署实现了与各省、市、自治区审计机关和各派出机构之间的联网,审计机关的文件和信息通过网络传递。全国各省、市、自治区有相当一部分已建立了省至地级市、县、区的联网。许多审计机构都先后建立了自己的网站或网页。
审计署作为我国最高审计机关,以建成了署机关局域网、全国审计系统专用网、因特网三套相互独立、物理上相互隔离、信息上相互联通的信息网。审计署实现了通过电话拨号与各省、市、自治区和各派出机构之间的联网。网上有机关辅助办公系统、常用法规检索系统等。审计署建立了自己的网站(英文网站http://www.audit.bov.cn ,中文网站http://www.cnao.gov.cn)。全国各省、市、自治区审计机关也大部分建立了省至市的联网。审计机构网络与网站的建设为我国计算机审计向网络审计发展奠定了网络基础。
审计信息管理计算机化和审计办公自动化在我国也取得了可喜成绩。我国已开发了多个审计信息管理系统和审计办公自动化系统。例如,审计署计算机技术中心、办公厅和四川省审计厅共同开发的《机关计算机辅助办公系统》。系统有文书起草、审核、签发、收集、分类、归档、查询和按密级管理等功能,该系统已在全国审计机关内推广使用。现在,我国各级审计机关大部分都利用了计算机进行公文处理、审计对象管理、机关财务管理、人事管理、文件档案管理等等。各级注册会计师协会、各会计师事务所都广泛利用计算机进行文字处理和表格处理和资料管理,不同程度地采取了办公自动化技术。
2.初步建立了计算机审计准则和规范
为规范我国审计人员开展计算机审计工作,我国已建立了相应的准则和规范。它们是:
①1993年9月审计署签发的审计长令《审计署关于计算机审计的暂行规定》,该规定确定了计算机审计的内容。
②审计署1996年12月发布的《审计机关计算机辅助审计办法》。它指出了计算机辅助审计的内容、对审计人员的要求、对被计审单位的要求、审计机关与人员的责任等。
③中国注册会计师协会1999年2月颁布的《独立审计具体准则第20号--计算机信息系统环境下的审计》。它指出了在计算机信息系统环境下审计的一般原则、计划、内部控制研究、评价与风险评估和审计程序。
④国务院办公厅2001年11月16日颁布的《关于利用计算机信息系统开展审计工作有关问题的通知》88号文,明确审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的信息系统,对信息系统的数据接口、电子信息的保存要求、系统的测试、网络远程审计的探索和审计人员在计算机审计中的义务等作出了规定。
这些法规的建立为我国开展计算机审计提供了法律依据,促进了我国计算机审计发展的规范化。
3.审计软件的开发取得了显著进步
由于审计环境和审计工作的不确定性,我国审计软件的开发多年来受到较大的困扰,但近几年来有所突破,取得了显著进步。计算机辅助审计软件的开发。我国审计机关已经开发了几十个审计软件,这些审计软件包括:通用审计法规检索系统、企业审计信息系统、中央部门预算执行审计软件、审计抽样软件、通用审计软件等等。软件开发使得计算机辅助审计变得切实可行。目前,我国较成功的审计软件主要有以下几大类:
①审计法规检索系统;
②审计信息管理系统;
③审计抽样软件;
④企业审计软件;
⑤多种行业审计软件。如:基建工程预决算审计软件,财政预算执行审计软件,银行审计软件,外资审计软件,海关审计软件等等;
⑥适合会计师事务所使用的审计软件。
4.计算机辅助审计成果渐丰
计算机辅助审计就是利用计算机帮助审计人员执行审计工作。近几年来,我国在利用计算机辅助审计方面做了大量工作,取得了不少成绩。是各级审计机关在审计署的推动下,在财政预算执行审计、银行审计、海关审计、企业审计等方面广泛尝试了利用计算机辅助审计,大大提高了审计效率,取得了可喜的成果。例如,广州特派办近几年使用通用审计软件共查出违规金额达64.52亿元,占审计报告违规金额的47.65%。在一次对ΧΧ银行的贷款业务审计中,他们使用通用审计软件调出并核查了该银行的信贷管理数据、借款人基本情况数据和借款合同的电子数据,查出了14家关联企业通过互相担保、提供虚假信息等手段在此国有银行骗贷三亿多元的重大案件,使银行及时采取措施,减少了国有资产的损失。
我国的会计师事务所近年来除广泛利用计算机进行字处理、客户管理和业务管理外,也开始用于辅助审计。不少事务所用EXCEL编制各种审计表格、进行分析性复核、编制合并报表等等。也有一些事务所利用通用审计软件如通审2000、审计之星或自己编制的一些小型的专用审计软件辅助审计。
(二)我国计算机审计存在的主要问题
虽然在信息化的推动下,我国的计算机审计近几年来有了迅速的发展,但总的来说还是处于学习和摸索阶段,还存在不少问题,主要有:
1.缺乏胜任的计算机审计人才
计算机审计是会计、审计、信息系统、网络技术与计算机应用的交叉学科。开展计算机审计要求审计人员具有复合型的知识结构,既要掌握财会、审计知识,又要掌握信息系统、计算机与网络技术。但我国现在还很缺乏具有复合型知识结构的胜任的计算机审计人员。虽然在职的审计人员都接受了一些计算机知识培训,但一般多是初级程度的培训,如字处理、电子表格、会计软件的操作等。大部分审计人员并不熟悉计算机是如何进行经济与会计业务处理的,不知道计算机处理与网络技术的运用有什么风险、怎么样的控制才能有效降低这些风险,也不掌握如何对计算机信息系统进行审计或利用计算机和网络技术进行审计。计算机技术人员虽然对计算机和网络技术比较熟悉,但他们又不熟悉会计、审计知识,不知道要审什么、该怎样审。发达国家,如美国,有注册IT审计师。我国不仅缺乏胜任的IT审计师,甚至连IT审计师应有什么样的知识和技能、其工作职责是什么,其与一般审计师的关系如何等研究都很少。开发实用性和通用性较强的审计软件所需要的高层次、高水平的人员也很缺乏。人才的缺乏严重制约着我国计算机审计的发展。
2.与计算机审计有关的法规和准则有待进一步完善
审计必须依法进行,计算机审计也不例外。但目前我国与电子商务、网络经济和计算机应用有关的法律法规还很不完善,有些甚至还是完全空白。例如,电子凭证、电子合同、数字签名等的法律效力和保存要求:数字认证机构的认定及其法律责任;计算机犯罪 如制造病毒、黑客攻击等适用的法律:在计算机审计中审计机构的权力、责任和被审计单位的义务等,有关的立法还很欠缺,这给依法开展计算机审计带来很大的障碍。
另外,尽管我国审计署和中注协都已颁发了一些有关计算机审计的准则和规范,但是这些准则和规范还不完善。已有的准则和规范中缺乏对计算机信息系统开发和系统功能审计方面规范。而且,已有的规范还比较概括、笼统,没有相应的实施细则。对计算机审计尚处于摸索阶段的我国审计人员来说,显然还缺乏具体的指南。
与计算机审计有关法律、法规和准则的不完善,是影响我国计算机审计发展的重要因素之一。
3.信息系统缺乏应有的审计接口
开展计算机审计要求计算机信息系统留有审计接口,以便通过接口取得被审系统的电子信息,进行有关的审计处理。虽然我国软件协会财务及管理软件分会曾对财务软件的数据接口提出了标准要求,但许多财务与管理软件都没有执行。我国现有的计算机信息系统大部分没有设置审计接口,有些系统的数据库还加了密,使审计软件无法访问系统的资料,电子资料的获取成了利用计算机辅助审计的瓶颈。除已有的信息系统缺乏审计接口外,更令人忧虑的是,现在正在开发的电子政务系统和企业管理系统大部分也都没有考虑到审计接口这一要求。
4.审计软件的实用性不强
如上所述,我国现在已经有了不少审计软件,软件的功能也比前几年有了很大的进步,但是相当一部分辅助审计的软件实用性不够强,使用效果不够理想。部分审计软件鉴定通过后,真正用于审计一线的不多。究其原因除了审计人员的素质问题外,一个重要的原因是相当一部分审计软件不能切实解决一线审计人员迫切要解决的问题,不能有效地加快审查的速度,提高审计效率和审计质量,因而未能受到审计人员的欢迎和乐于使用。影响审计软件的实用性的一个重要原因是开发人员与用户的脱节。用户在使用中发现的问题和改进的要求没有畅通的渠道反馈给开发人员,对软件不满意只好放弃使用。开发人员不能不断地根据用户的建议和要求改进与优化软件,软件的实用性必然很有问题。审计软件作为计算机审计的重要工具,其不受审计人员的欢迎,必然要制约我国计算机审计的发展。
5.缺乏对计算机信息系统开发与功能审计的要求与研究
尽管早在1993年签发的审计长令中已指出,审计机关有权对被审计单位的信息系统进行审计,但至今审计署尚未制定对计算机信息系统进行审计的规范,也没有主动介入对计算机信息系统的审计,只有极少数审计机关如南京特派办对一些电算化系统进行过审计调查。
在我国,财政部早在1994年颁布了《商品化会计核算软件评审规则》和《会计核算软件的基本功能规范》,对会计核算软件的基本要求和商品化会计软件的评审都作出了明确规定。我国商品化的会计软件都经过了财政部门组织的审查。对采用非商品化软件以外国软件的单位,在以机代账验收过程中,部分也经过了财政部门或会计师事务所的审查。但这些审查主要侧里于系统进行会计核算的合法性和安全性审查。
总的来说,在我国,无论是审计机关还是注册会计师协会,都缺乏对计算机信息系统的开发与系统功能进行审计的要求和研究。电子商务和信息化的发展使审计人员已无法绕过计算机审计,对计算机信息系统的开发与功能审计是计算机审计的重要内容,缺乏对信息系统开发与功能审计的研究与实践,是我国计算机审计不可忽略的问题。
6、穿过计算机审计进展不大。
尽管1993年的审计长令指出,审计机关有权对被审计单位的信息系统进行审计,但审计署没有制定对计算机信息系统进行审计的规范。只有极少数审计机关如南京特派办对一些电算化系统进行审计。这主要是由于,我国财政部规定会计核算软件由财政部门组织评审,而且财政部制定颁布了许多规定、办法等来规范会计核算软件的评审工作。因此,我国的会计核算软件都经过了财政部门的审查,相对来说比较安全可靠,而且,至今也没发生过重大得审计失误案例,这在某种程度上无疑是对绕过计算机审计这一模式的肯定。但今年来日益增多的计算机舞弊案例,表明了绕过计算机审计的风险,穿过、利用计算机审计势在必行。总的来说,利用计算机审计是我国计算机审计中最薄弱的环节,急需加强。
四、计算机审计的目标
(一)评价企业会计信息的真实性、公允性和合法性目标
众所周知,评价企业会计信息(包括会计报表)的真实性和公允性是财务审计的主要任务。在计算机环境下,它仍然是计算机财务审计要做的主要审计任务。计算机系统为决策者提供了决策所用的更丰富的会计信息,企业外部信息使用者(股东、潜在投资人、银行、政府机构等)也期望企业提供真实可靠的会计信息----财务报告。若计算机系统提供的数据是不公允或不合法的,则依据此信息做出的决策会损害决策者所在的机构及其企业本身的利益。会计信息也必须符合一定的国家法律法规的要求。因而,通过审查证实系统对经济业务的处理是否符合国家有关经济法律和法规的规定,系统对会计信息的处理是否遵照会计准则和会计制度的要求,是计算机审计的第一大目标。例如,计算机信息系统有根据经济业务自动编制记账凭证进行帐务处理的功能,审计人员要查明,系统编制记账凭证式是否满足会计确认的条件,所列示的借贷科目、金额和会计期间是否符合会计制度的规定等,其确认其功能是否符合会计制度的规定。
(二)保障资产安全目标
一个计算机系统的资产包括硬件、软件、有关人员、数据文件、系统文档和其他有关的消耗性材料(如软磁盘、打印用的材料等)。像其他所有资产一样,它们应当由设定的内部控制制度来保护。由于计算机系统的资产一般是集中安装在一个地方,资产的保护是一个重要的内容。提高系统的安全性,保证计算机系统资源不受自然的或人为的破坏,使计算机系统得以正常运行是计算机审计的有一个重要目标。
为了保障资产的安全性,需要进行
1.计算机舞弊审查。计算机舞弊的审计主要是针对利用计算机进行贪污、舞弊和破坏等计算机犯罪活动,计算机舞弊对计算机审计有如此重大的影响,在对会计电算化系统的审计时,对计算机舞弊的审查也是一项不可忽视的审计任务。
2.评价企业预防数据被毁和被偷窃的控制措施:在计算机系统中的数据比手工系统更容易被毁损和偷窃,因为计算机数据都存放在磁盘(或其他磁性介质)上,易于拷贝易于毁损.这些弱点引起的损失是由于现有计算机系统的内部控制松懈而造成的。因此,进行计算机审计时,应注意把计算机系统数据安全弱点作为审计的主要内容和任务。
3.数据保密评价:计算机联网,数据库共享,如果计算机系统的管理理控制不是有效的,那些该保密的共享数据库也就成为人人皆知的信息。尽管数据或信息共事,也应该允许企业或组织对不同的数据分级进行加密控制,以此确保数据安全和保护信息生产者的利益。因此对数据保密管理的评价也是必要的审计工作。
审计人员还要审查编审人员是否在系统中留下了舞弊程序,例如“活动天窗”、“逻辑炸弹”等。
(三)确保数据完整性目标
数据完整性是计算机审计的一个基本概念。它是指数据具有的一些属性,完备、健全、真实、合法、合规的一种状态。维护数据的完整性需要一定的费用支出,但得到的收益一定远超过内部控制所需的成本。企业信息(或数据)的价值取决于两个主要因素的影响:(1)决策者利用、依赖的程度,(2)数据共享的程度。这两个程度越高,数据的价值就越高,从而维护数据的完整性就越重要。
评价数据完整性目标主要是审查计算机系统对数据的完备性、真实性、合法性和合规性所实施的内部控制是否恰当,这些控制是否需要进一步改进和补充。例如。在帐务处理系统中,为提高凭证输入的准确完整性,要求系统在凭证输入过程中执行凭证号顺序控制、科目代码有效检验、凭证数据完整性检验、借贷金额平衡检验等控制。审计人员要查明这些这些应有的控制是否存在,并有效地发挥其控制作用。
(四)改进效率性目标
评价系统购的效率性隐含着要熟悉用户的需求。评价一个系统提供的报告是否使信息使用者和决定者能便利地利用。系统的有效性审计一般在系统运行一段时间后进行.管理部门往往要求事后审计来确定指定的计算机系统是否达到既定的目标。这种评价的信息可帮助管理部门做决策:是舍弃此系统,或是继续使用,或是通过改进后再使用。通过系统的效率审计,各种系统资源的利用更能充分,保证系统的输出信息及时、正确、经济。
效率性审计也可在系统开发期间进行,如果开发的计算机系统是比较昂贵的和重要的,系统的管理部门就可能要对计算机系统开发是否达到用户的要求有一个独立的评价.计算机审计师就是承担这类评价的理想人选。
(五)改进效益性目标
一个高效益的计算机系统必然是耗用最少的资源取得所需要的输出。计算机系统耗费各种各样的资源:计算机硬件及外围设备使用时间、软件、通讯网、人力等。
系统的效益问题很难找到完满的答案。我们不可能孤立地评价计算机系统的各应用于系统的效益性。如果一个子系统的优化是以其他系统低效益为代价,则系统的整体不可能是最优的,因此系统的优化不得不考虑次优的问题。在计算机还未满负荷的情况下,计算机系统功效益就变成一个重要的问题。有的应用于系统所需的数据可能反映迟钝,管理部门必须决定是否该子系统的效益性可改进或应该再新增计算机硬件和软件。由于计算机硬件和软件是昂贵的,管理部门需要了解利用的资源是否分配合理和能否作改进。这就需要公证鉴定人员做评价。计算机审计师具有独立、客观、公正的优势。管理部门将乐意聘请他们去做这一评价工作。对系统进行效果性审查和评价的目的是改进会计电算化系统的效果。
五、计算机审计的内容
计算机审计的含义本身具有双重性,计算机审计的内容包含着两方面:
(一)对计算机会计信息系统进行审计
《中华人民共和国审计法实施条例》第30条规定:“审计机关有权检查被审计单位运用电子计算机管理财政收支、财务收支的财务会计核算系统。被审计单位应当向审计机关提供运用电子计算机储存、处理的财政收支、财务收支电子数据丛有关资料。”审计署令第9号指出:“凡使用计算机处理财政、财务收支及其有关经济活动的被审计单位,审计机关有权使用计算机技术,依法独立对其计算机财务系统进行审计监督。”由此看出计算机审计的对象是被审计单位的计算机财务会计核算系统(即财务会计软件)及其系统数据。
(1)审查会计系统的内部控制
会计电算化系统的内部控制系统由两个子系统构成:一是一般控制系统,它是系统运行环境方面的控制,为应用程序的正常运行提供外围保障。一般控制包含组织控制、系统开发控制、系统安全控制、硬件和系统软件控制答内容。另一子系统是应用控制系统,它是针对具体的应用系统和程序而设置的各种控制措施。由于各应用系统有着不同的目的、任务和运行规律,因此,需要根据特定的应用系统设置相应的控制措施。不过尽管各应用系统所需要的控制措施不同,但每个应用系统均由输入、处理和输出三个部分构成,因此,可以把应用控制分为输入控制、处理控制和输出控制。电算化会计系统的内部控制是否健全有效,决定了系统是否有可能安全可靠的按既定方针运行,也决定了系统提供的会计信息是否合法、真实和可靠。对内部控制进行审计的目的在于确定审计人员依赖这些控制的程度,以减少为检验系统执行而进行数据实质性测试的范围。经评价验证,在内部控制健全的情况下,可缩短审计时间,减少审计成本。
(2)系统开发审计
系统开发审计是指对会计电算化系统开发过程所进行的审计。这是一种事前审计,它具有积极的意义。内部审计人员最适合于进行这种审计,因为他们在地理、人事关系、被审单位的地位等方面都有很多有利的条件。系统开发审计实际上是审计人员参与系统分析、设计和调试。
系统开发审计一方面要检查开发工作是否受到恰当的控制以及系统开发的方法是否科学、先进和合理,另一方面还要检查系统开发过程中是否产生了必要的系统文档资料以及这些文档资料是否符合规范。
(3)应用程序审计
被审单位会计电算化系统程序是否执行国家财经制度和会计准则规定,所处理业务的程序,许多控制功能和方法都体现在程序之中。应用程序质量的高低会影响会计电算化系统的可靠性、真实性和安全性从而影响会计数据处理的合规性、正确性。对应用程序的审计,可以对程序直接进行审查,也可以通过数据在程序上的运行进行间接测试。对程序进行直接检查,可借助流程图作为工具,流程图用标准的图形、符号等来反映程序的处理逻辑。在对程序进行间接测试时,往往需要设计测试数据。这种测试数据可以是真实的数据,也可以是模拟的数据。
审查应用程序有两个目的,一是测试应用控制系统的符合性;二是通过检查程序运算和逻辑的正确性达到实质性测试目的。测试应用控制的符合性是指对嵌入应用程序中的控制措施进行测试,看它们是否按设计要求在运行和起作用。
(4)数据文件审计
在会计电算化系统中,会计凭证、明细账、总账及会计报表的内容均以数据文件的形式存储在硬盘或软盘中。对数据文件进行审计,可以将该文件打印出来进行检查,也可以在计算机内进行审查。对打印的数据文件的审计同对手工会计系统进行审计并无不同。而对存储在磁性介质上的数据文件可以用计算机身及软件进行直接或间接的测试和检查。
数据文件审计有两个目的:一是对数据文件进行实质性测试,二是通过数据文件的审计,测试一般控制或应用控制的符合性。但数据文件审计主要是为了实质性测试。
(二)以计算机为审计工具进行审计
这部分通常称为计算机辅助审计技术,通过利用计算机辅助审计技术可以改进审计程序的效果和效率.具体内容为:
(1)利用计算机验证会计资料总体的完整性
在企业采用会计电算化的情况下,可运用计算机辅助审计技术来验证会计资料总体的完整性.常规审计中由于处理工具和方法的落后,审计人员根本没有时间和精力对企业会计资料总体进行验证,至多对某一会计科目进行账证、账账、账表核对,而使用计算机后,可通过一些简单的程序使该项工作快速、准确地完成.
(2)利用计算机协助审计人员进行统计抽样
近年来,一种建立在科学理论基础上的,已通过国际审计界广泛实践证明的以制度为基础的审计方法已逐步应用于我们的审计之中.该方法在符合性、实质性测试中都运用到统计抽样,而计算机辅助审计技术正可在此领域大显身手,具体方面有:
①运用于审计日常抽样的编码工作.一般情况下,无论是否采用计算机辅助审计技术都可选取随机数(运用随机数表),再转化为审计总体的编码,但其工作量大而枯燥.而运用计算机辅助审计技术,调用一个简单的MND()函数,仅需几秒即可完成随机数的产生及所有的编码工作.
②方便地运用于审计抽样.计算机辅助审计技术在决定恰当的抽样方法及规模、选择样本及评价方面都能使审计人员得到帮助.从总体中抽取样本时,对审计人员来讲最关键的是所有总体中的项目都能被客观地抽取,而采用恰当的统计抽样方法能避免抽取无代表性样本的风险.在统计抽样中运用计算机辅助审计技术可达到迅速、客观、公正的目的.
(3)利用计算机进行高价值样本及关键样本的隔离 所谓的高价值及关键样本主要指单笔金额超过审计人员预先设定数的样本(如单笔金额在一万元以上的现金收付);不常变动的会计科目,如实收资本等.对企业而言,大量的会计处理是日常性的事务,如报销、成本结算、费用结转等,确认及打印出在某段时期内高价值的和关键的样本,人工分析并全部隔离出这些高风险的交易事项常常是不可能的.而审计人员所关心的正是这些关键的会计处理,运用计算机辅助审计技术能对企业的会计数据库进行分析,隔离出所有的高价值样本及关键样本,审计人员在风险控制的基础上,对关键样本及高价值样本进行重点审计即可满足一般审计的需要.
(4)利用计算机进行日常会计资料的分析及计算 现代审计要求审计人员对企业的会计资料不仅要进行复查,更要在复查的基础上进行较多的分析,这正是计算机辅助审计技术的专长,例如对企业的应收账款的账龄进行分析,当前众多企业的应收账款金额居高不下,在企业应收账款电算化的情况下,可以很简单地得到分析结果,而手工输入再由计算机汇总亦很方便.对企业库存的材料也可以进行深层次的分析,了解流动资金的周转情况.而这些分析工作在手工方式下对于会计人员来讲是心有余力不足的.
六、计算机辅助审计的方法
计算机辅助审计的方法可以分为以下几种:
1.程序编码审查法
顾名思义,这种方法是直接对系统应用程序的源程序编码进行审查。众所周知,计算机是按给他编定的程序指令运行并实现相应功能的。如果审查证明信息系统的应用程序正确有效,则可以直接证实程序的功能正确有效,反之亦然。采用这种方法对应用程序进行审计的步骤如下:
(1)取得与被审程序有关的得文档资料,如程序说明书、程序流程图、源程序表、与此程序有关的数据文件结构和代码表等。
(2)通过向有关人员询问及查阅文档资料了解被审程序应有的处理和控制功能。
审阅源程序表。对较复杂的程序,根据源程序划出程序流程图活和对原有的程序流程图。通过对源程序和程序流程图的分析,判断被审程序是否能实现预定的功能,逻辑流程有无错误,是否包含舞弊程序,最后导出审计结论。
(3)采用这种方法对应用程序进行审计的优点是审计人员审查的事程序本身,因此能发现程序中存在的任何的错弊问题。其缺点是对审计人员的计算机水平要求高,比较费事费时,而且要注意证实被审的源程序确是真实运行程序的源程序。
2.测试数据法
测试数据法是将一卒正对系统应有功能而设计的测试数据输入被审的系统进行处理,将处理的结果与应有的正确结果进行比较,进而判断系统的处理与控制功能是否正确有效的一种系统功能审查方法。采用这种方法对应用程序进行审计的步骤如下:
(1)通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。
(2)针对系统应有的功能涉及测试业务数据,并根据系统应有的功能准备这些业务处理应有的正确结果。
(3)在专门的测试时间里,把测试数据输入被审系统处理,得到处理结果。
(4)把实际的处理结果和预期的正确结果进行比较,进而判断系统的功能是否正确有效。如果两者一致,说明系统功能正确;否则,要查找差异的原因,再做出判断。
测试数据法的优点是适用范围广,应用简单易行,对审计人员的计算机技术水平要求不高。因此,它被广泛应用于各种系统的测试和验收。其主要的缺点是可能不能发现程序中所有的错弊。如果审计人员没有预想到程序中的某些错弊,没有针对它们设计测试数据进行测试,则这种审查方法不可能发现这些错弊。
3.受控处理法
对于一些已经投入使用的较大型网络系统,例如银行系统、ERP系统等,被审单位可能难以为审计人员专门准备一个与实际系统一样的测试环境,因而难以用测试数据法对被审系统的功能进行审计。在这种情况下,可以采用受控处理法对系统功能进行审查。受控处理法是审计人员通过监控系统对各类真实业务的处理并检查其处理结果,进而判断系统功能是否正确。采用受控处理法进行系统测试的步骤如下:
(1)通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。
(2)在系统的正常运行中,审计人员监控系统对各类真实业务的处理,取得相应的处理结果;同时,审计人员根据正确的处理原则对相应的业务进行处理,得到正确的处理结果。
(3)把系统处理结果与正确结果比较,从而判断被审系统功能是否正确有效。
受控处理法的优点是简单、易行,不用准备测试数据,对审计人员的计算机技术水平要求不高。其主要缺点是在某一时间里,真实业务可能不能覆盖系统的所有功能,用此方法可能不能发现系统存在的所有问题。
4.整体测试法(ITF)
整体测试法又是称作“虚构公司法”。这是一种对系统功能动态的审查方法,即在系统真实运行时对系统进行审查。它根据系统使用同一应用程序处理各分公司(或部门、或其他个体)业务的原理,通过审查系统对虚构公司的测试业务处理结果来判断系统的功能是否正确。采用整体检测法对信息系统功能进行审查的步骤如下:
(1)通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。
(2)在被审系统中建立一个虚拟公司,针对系统应有的功能,设计与虚拟公司有关的测试业务,并准备这些测试业务处理应有的正确结果。
(3)在被审系统正常运行时,把虚构公司的测试数据和被审单位的真实数据一起输入系统处理,找出系统对虚拟公司测试业务的处理结果。
(4)把系统对虚拟公司测试业务的处理结果与应有的正确结果进行比较,从而判断被审系统的处理和控制是否正确。如果结果一致,说明系统功能正确;否则要检查差异原因,确定是否系统的功能有问题。
此方法是在系统正常处理过程中进行测试的,因此可直接测试到被审系统在真实业务处理时的功能是否正确有效。然而,整体检测法也有弊端。因为测试是在系统真实业务处理过程中进行的,如果未能及时、恰当的处理虚拟的测试数据,这些虚拟的测试数据可能会对被审单位真实的业务和汇总的信息造成破坏或影响。
5.平行模拟法
平行模拟法又叫并行模拟法,它是通过比较被审系统和模拟系统对被审单位真实业务处理的结果来判断被审系统功能是否正确的一种系统功能的审查方法。使用这种方法进行审计的步骤如下:
(1)通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能;
(2)审计人员取得一套具有被审系统应有的处理和控制功能、且功能正确的模拟系统。模拟系统可以专门开发,也可以通过别的途径取得,例如购买商品化通用软件。
(3)把被审单位真实的业务数据分别输入模拟系统与被审系统进行处理,并分别得出处理结果。
(4)把两者的结果进行比较,从而确定被审系统功能是否正确。因为模拟系统功能是正确的,如果两者结果相同,则可确定被审系统功能也正确。如果发现两者结果不一致,要检查差异的原因,确定被审程序功能是否有问题。
平行模拟法的优点是一旦取得了模拟程序,可以随时对被审系统进行抽查,也可以用模拟系统重新处理全部的真实业务数据,进行比较全面的审查。与抽查相比,可以进行更彻底的测试。其主要却电视模拟系统的开发通常需要花费较长的时间,开发或购买费用都较高;而且,如果实际使用的系统更新,则模拟系统亦要随之更新,相应要增加费用。
6.程序比较法
程序比较法是一种通过把被审程序与标准程序进行比较,进而确定二者是否一致,被审程序功能是否正确的一种审查方法。这种审计方法只能用于某系统或某应用程序的再次审计。使用这种方法对信息系统功能进行审查的步骤如下:
(1)被审的应用程序曾被审查过且证实其处理与控制功能正确有效。审计人员保存了一份该程序的备份,且确保没有人可以改动它。
(2)审计时,审计人员使用专门的程序比较软件来比较再用的被审程序和此备份程序。如果两者没有差异,则可确定在用的被审程序未被改动过,功能正确。否则,说明被审程序被改动过,需要进一步检查系统的修改是否经批准的修改维护,修改后功能是否正确。采用程序比较法可比较两者的源程序码,亦可比较其经过编译的目标程序码。
这种方法因为比较的是程序的本身,其优点是能发现被审程序的任何改动。其缺点是要使用程序比较软件,而且当发现两者有差异时,要进一步判断修改后的程序功能是否恰当比较困难。
7.嵌入审计程序法
嵌入审计程序是指在被审计算机信息系统的开发阶段,在被审系统中嵌入为执行特定审计功能而设计的程序。嵌入审计程序法是指利用嵌入审计程序对系统功能进行审查的方法。嵌在计算机信息系统中主要有两类:一类主要是在一些特定点上对系统的处理进行实时监控的程序。这类审计程序只要系统一运行,它就在特定的处理环节对系统进行连续监控,凡是出现满足制定条件的情况将被写进特定的审计文件中,以便审计人员进行调查分析。另一类嵌入审计程序只有在审计人员调用时才起作用。这类嵌入审计程序不一定仅用于对程序功能的审查,也可以是其他的辅助审计程序。
要采用嵌入审计程序法,要求审计人员在系统开发阶段就对嵌入审计程序的功能提出需求,以便在系统设计中包含了要嵌入的审计程序。
8.程序跟踪法
程序跟踪法是通过一步一步跟踪被审程序对业务的处理过程的处理结果,进而判断被审程序是否正确的程序审查方法。除可以用专门的跟踪软件对被审程序的运行进行跟踪外,不少高级语言或数据库管理系统都有程序跟踪测试的命令,审计人员可以利用这些命令对被审程序进行跟踪。
程序跟踪法的优点是通过跟踪被审程序的运行,可确切知道程序是怎样处理的;对有错误的程序,可通过跟踪找出错误所在。其缺点是要求审计人员熟练掌握编程语言的指示,而且进行跟踪并分析程序存在的问题一般很费事费时,所以这种方法不会用于整个信息系统应用程序的审查。这种方法通常用于程序员对程序的调试和排错。
9.漏洞扫描与入侵检测
漏洞扫描与入侵检测适用于审查和测试系统安全性的技术方法,它利用计算机帮助检查和发现系统存在的安全漏洞及入侵的迹象。
漏洞扫描是一种自动检测远端或本地主机安全脆弱点的技术。扫描程序集中了已知的常用攻击方法,针对系统存在的各种脆弱点,对系统进行扫描,并按统一的格式输出扫描结果,以便审查人员分析并发现系统存在的漏洞。
入侵检测指对计算机和网络资源的恶意使用行为进行识别的处理过程。它不仅可以检测外来的入侵行为,而且可以检测内部用户未经授权的滥用行为。对系统的入侵检测,可利用嵌入被审系统中的入侵检测程序执行。一方面检测程序可以根据用户的行为和系统资源的使用情况是否出现异常判断是否发生了入侵情况。另一方面,检测程序可根据常见的入侵模式和入侵过程的特征判断入侵是否发生。一旦发现系统被入侵的迹象,系统将给出警告信息。漏洞扫描与入侵检测不仅可以审查计算机信息系统应用程序的漏洞与缺陷,而且可审查包括网络和硬、软件在内的整个信息系统的安全性。
课题组组长:吴桂英
课题组成员:来明敏 何志方 王 琼
课 题 总纂:何志方
|