电算化环境下的内部审计

作 者:

作者简介:

原文出处:
财会月刊

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2004 年 0B 期

关 键 词:

字号:

      一、电算化环境下内部审计工作遇到的问题

      1.电算化环境下,无纸化数据和无纸化交易减少了数据的重复输入、重复处理,也使会计处理程序化。业务发生后只要业务人员执行相应的功能,会计人员不再填制凭证就可以直接记录到相应的账户上,系统的内部控制更多地依赖自身的实时控制。于是,数据的可靠性、原有纸制审计证据的减少、内部控制体系(会计处理及业务处理流程)的变化成为内部审计必须面对的问题。

      2.网络应用和企业全面信息化的实现改变了电算化初期那种单一的、独立的业务处理模式,企业按照高效原则进行业务重组、业务处理流程重构。业务数据、财务数据、业务处理、财务处理集成在一起,使管理审计和财务审计相互融合,无形中扩大了审计范围,提高了审计的难度和对审计人员专业知识的要求。

      系统集成化使很多企业改变了管理模式,如有些企业根据业务需要把工作组作为基本工作单元,每个工作组内的成员共享数据,由于信息系统可以在不留下任何痕迹的情况下用后面的处理结果直接覆盖前面的处理结果,这就为审计评价数据完整性和可靠性增加了难度。系统集成化还使业务数据之间、财务数据之间,业务数据与财务数据之间的直接对应关系变得更加模糊、复杂,再加上数据的覆盖和网络化,从报表、账簿结果追查到原始业务变得非常困难。

      3.电算化环境下企业的内部控制发生了很大变化。原有手工处理环境下的一些内部控制措施因失去了作用而被取消,有些内部控制措施被程序化后通过软件程序的执行而发挥作用,同时针对信息系统的特点又增加了一些新的内部控制措施。由于内部控制技术(如密码控制技术、防火墙技术等)不断发展,如何了解、测试、评价信息系统的内部控制情况便成了审计的难题。

      4.电算化环境下审计证据大多存储在数据库中,传统的审计技术难以达到目的,必须不断采用新的审计技术和手段,比如采用测试程序嵌入系统完成对重要处理的审计、利用审计软件采集和分析要审计的数据、采用软件动态跟踪某些重要数据的变化。如何掌握并运用新的审计技术和手段无疑成为内部审计人员工作中遇到的又一个问题。

      二、电算化环境下内部审计需要做好的几项工作

      1.对单位的信息系统实施审计。目前,绝大多数单位在内部审计时是绕过信息系统的。由于集成化系统中原始凭证大量减少、数据之间直接对应关系模糊、业务处理和财务处理高度集成,使得系统中存储数据与输出数据可能不一致。比如,有关人员通过在系统中嵌入非法程序块转移了数据,而打印出虚假数据提供给审计人员,这种行为必然加大审计风险。内部审计人员要想了解系统提供的数据的可信赖程度,必须对系统本身进行审计,这是内部审计不可能回避的。

      首先,内部审计人员要对本单位计算机信息系统及其相关情况有所了解,包括:①系统的硬件信息和软件信息。比如信息系统的结构、所使用主机的型号、内存容量、输入及输出设备、通讯设备、辅助存储设备,所使用的操作系统、通信软件、数据库管理系统和应用系统等。②系统进行业务处理的具体情况。比如处理的过程、发生错误的多少等。③本单位对其他单位信息系统的依赖程度。比如有的企业与其供货商或销售商共同管理存货,某些原料或产品的仓库设在供货商或销售商处,企业需要时直接从那里取得。这种情况下,如果供货商或销售商采用信息系统进行存货核算与管理,则本企业的存货信息高度依赖供货商或销售商的信息系统。④被审计系统的内部控制。如本年度设备的变更信息、维护信息、应用系统的复杂程度及重要的处理过程等。在了解信息系统的基础上,内部审计人员根据重要性和复杂程度确定审计程序。实施审计时,符合性测试的重点应该是系统内部控制的设置和遵守情况、系统内定义的信息转换规则。对于财务、业务集成化系统而言,单位发生的每一项业务在业务系统中都会根据业务人员、财务人员事先定义的转换规则自动生成会计记录,进入财务系统。此时审核的重点不应是系统生成的大量重复的凭证,而是定义的信息转换规则是否正确和有效、是否符合相关法规的要求、对这些规则的管理等是否有效。

      2.加强对内部控制的审计,做到一般控制审查和应用控制审查相结合。在手工处理环境下,单位内部控制的重点就是人及其处理的业务。而电算化环境下,业务处理过程包括了手工处理、计算机系统处理、人与计算机进行交互处理这几部分,单位内部控制的重点变成了人及其处理的业务、人机交互处理过程、计算机系统业务处理过程和不同系统之间信息的传递过程,内部控制的重点和环节发生了很大变化。只有对信息系统的内部控制实施审计,才能了解内部控制运行状况并由此确定后续实质性测试的重点和审计程序。

      电算化系统中,可以把控制划分为一般控制和应用控制两部分。一般控制是对系统中组织、开发、操作、管理等系统运行环境所进行的控制,通常以制定规章制度、网络安全软件和程序控制形式体现;应用控制是对信息系统的某一具体处理过程施加的控制,主要以程序的形式体现。审计时,应该在对系统一般控制做出评价的基础上,通过读原程序、模拟数据上机测试、上机处理实际业务、采用审计软件等方式测试系统的安全性、控制程序的正确性和有效性。

      3.充分利用计算机辅助审计技术和工具。电算化系统的安全性、业务处理的正确性、应用控制的有效性、系统的运行效率等只有通过上机测试才能检验。因此内部审计人员可以对手工填制的原始单据、简单业务的处理、非程序控制制度和措施采用原来手工审计的有效方法,对于某些特定业务的处理过程、重要数据、复杂的处理过程及程序化的控制措施则应该充分利用计算机辅助审计技术和工具进行审计。

相关文章: