电算化审计审前准备应注意的四个环节

      一、突出重点，收集被审单位资料要有目的性

      具体有以下几个方面：一是电算化系统。在日常实行“两项报备”制度的基础上，了解电算化业务系统的名称、版本、开发商、功能等内容。了解软件配置情况，包括操作系统和常用软件，目的是方便数据的采集和转出。二是数据库系统。了解被审计单位业务系统所使用的数据库系统的基本情况，包括数据库系统的名称和版本，数据库系统本身的数据格式，数据库系统本身可导出的数据格式。三是数据库结构。通常在一个数据库中会有很多数据表，各表之间根据不同的情况会存在一些必要的关联关系，了解哪些表是审计所需要的，并要了解各表之间存在什么样的关联关系以及各表的结构。四是业务流程。如会计电算化方面，要详细了解被审计单位整个业务从头至尾每个环节的具体操作方式和目的，通过查看凭证编制、凭证录入、审核记账、财务处理、档案管理、财务主管及财务系统修改等情况，了解电算化岗位是否按照有关规定实施充分的职责分离并做到相互制约。初步审查数据处理流程图，了解原始数据的起点、文件名称和系统内的代码、数据经过的单位或部门、数据的终点和保管的措施，并制作必要的简明数据流程图，初步确定数据采集的范围。其他业务方面也应如此。五是各项规章制度。了解被审计单位业务核算所使用的会计准则，包括国家制定各种规定和被审计单位内部制定的各种制度，为审计中发现问题提供依据。

      二、提前介入，数据采集和整理要有超前性

      （一）在数据采集方面

      1.利用AO审计软件采集和转换电子数据。通过编写针对性强、满足一定条件的查询语句和对大量数据的复算、检查、核对、判断，使审计重点更加突出，审计目的更加明确，为有的放矢地开展现场审计打下良好的基础。由于AO系统能对大量的数据进行计算、比对和分析，从而能较深刻地揭示经济活动中存在的问题线索和变化趋势，包括对财务软件后台数据库表文件结构的分析，表间关联字段的查找和其他字段信息的释义等，在充分了解数据库表文件结构的基础上，有选择地将其导入AO软件。同时，结合数据采集中所掌握的信息，分析判断被审计单位财务管理中存在的薄弱环节。

      2.利用被审计单位业务系统所使用的数据库系统的转出功能。例如：利用SQL数据库自身的“导入和导出数据”功能可以将SQL数据库中的数据表全部或有选择转存为其他格式文件。如我局在对医院行业审计进行审前调查时，审计组在了解有关的法律、法规、规章、政策和其他文件资料的同时，有重点地调查了相关医院计算机控制下的门诊系统、住院系统和药物进、销、存系统，对省、市、县三级医院的收费标准，对门诊收费系统和住院部收费系统的电子数据进行了审计，审计人员将医院所有收费项目与收费情况的数据进行采集，并通过计算机进行数据分析，使医院的乱收费项目无一漏网。

      3.数据采集的范围。一般情况下如果对被审计单位的业务了解得比较深入，则可以根据需要只采集审计人员关注的数据表即可。如果审计人员是初次对此类业务进行审计或是对此业务不是很熟悉，就应采集被审计单位数据库中的所有表。

      （二）在数据处理方面

      要根据审计需求进行数据整理，目前数据整理的方式大致有以下几种方式：一是将采集的财务原始电子数据整理成和纸质账簿相似的电子账簿，以便还未掌握数据库操作技术的审计人员使用电子数据进行审计分析。二是将采集的财务数据、业务数据再整理导入到专用审计软件中，以便掌握该软件操作的审计人员使用。三是将采集的财务数据、业务数据再整理成各种数据表，导入到通用的数据库操作系统软件（如SQL SERVER系统等）中，以供熟练掌握数据库操作技术的审计人员使用。

      三、把握尺度，内控制度评价要有公允性

      （一）对被审计单位电算化系统背景信息评价

      内容主要有电算化系统的规模硬件和网络的技术复杂性，被审计单位电算化系统会计核算和业务系统等应用软件取得的方式，电算化系统的管理情况，电算化系统处理业务流程等。

      通过对以上背景信息评价，基本收集了被审计单位信息系统硬件和软件的基本情况，包括电算化系统的大小、使用软件的类型、技术复杂性，使得审计人员能够决定采取何种方法采集、转换、分析数据以及可能遇到的困难，提前采取相应措施，做到不打无准备之仗。

      （二）对被审计单位电算化系统控制环境评价

      主要目的是确定被审计单位电算化系统总体控制环境中控制的健全性、合理性和有效性及其存在的风险。

      1.不相容职能分离控制情况。了解和评价电算化系统管理人员及操作人员所承担业务和职责是否相分离，系统管理人员和操作人员是否不能接触有关应用程序文件等。

      2.软件控制情况。了解和评价电算化系统投入使用后，所应用的软件是否被修改，修改是否经过适当的审批，是否有适当的文字记录修改内容及影响等。

      3.访问控制情况。了解和评价电算化系统运行是否有操作日志，记录系统操作情况，操作日志能否被删除，且不可恢复，系统管理员、操作人员的口令、密码是否定期更换，对数据库的访问是否有严格的授权限制等。

      4.系统的安全性和灾难恢复控制情况。了解和评价电算化系统使用的应用软件来源是否合法、是否经过有关部门认证，财务系统的电算化是否与外网实现物理隔离，计算机是否有防病毒措施并定期升级病毒库，是否建立了系统备份和系统恢复机制，备份的各种数据是否异地存储，硬件配置是否能够保证系统安全可靠地运行等。