(一)电子数据审计 电子数据审计主要是指审计机关利用计算机,对被审计单位计算机管理的财务数据和相关经济数据进行审计。它实质上是一种以计算机为工具的审计技术和方法。与传统手工审计相比,审计目标、审计范围和审计内容基本是相同的,只是审计的手段发生了变化。开展电子数据审计,不但有利于提高审计效率,而且能利用计算机快速处理庞大数据量的特点,对海量财务数据或经济数据进行各种查询检索、分类分组、计算汇总等操作,大大扩展审计工作的深度和广度。 电子数据审计一般通过计算机应用程序来实现,具体是: 1、利用审计软件进行审计。审计软件是适用于多种常用财务软件处理的电子数据,辅助审计人员完成审计任务的应用软件。它能够帮助审计人员导入、读取被审计单位的财务电子数据,为审计人员执行各种数据查询、分类、筛选、计算、汇总等工作,还为审计人员提供各种审计模型(需要审计人员设置,是一种比较容易为审计人员所掌握的工具软件。现在较多行政、企事业单位都采用用友、金蝶等财务软件进行会计核算,因此,利用审计软件进行审计的适用范围比较广。目前,审计署已评审通过了10多个审计软件,如《数据采集软件》、《金剑审计软件》等。最近,审计署开发推出现场审计实施系统(“AO系统”),作为审计人员现场审计的操作平台,为计算机审计提供了一个更有效的软件工具。利用审计软件进行审计,审计人员先要了解被审计单位财务核算软件的有关基本情况,并对审计软件能否识别、读取财务电子数据作出判断。获取被审计单位的财务电子数据,最好是备份数据,这样不会对会计人员正常工作造成干扰。导入财务电子数据后,审计人员要注意审查数据的真实性和完整性,这是保证计算机审计结论正确性的关键一步。再根据审计目标和审计内容,利用审计软件提供各种查账功能对数据进行分析,汇总、统计基本财务数据,复核各项存在勾稽关系的数据,发现异常情况和违法违纪行为线索,并保存分析结果。这些工作都可以在非现场完成。进入现场审计阶段,审计人员围绕分析结果,有针对性进行审计,有效提高审计效率。 2、利用通用数据库软件进行审计。一些经济业务量大、业务较为复杂的单位,根据自己的工作特点,专门开发了独有的信息管理系统,进行处理各项经济业务和会计核算工作。而这些信息管理系统的数据往往不能直接被审计软件所识别、读取,但可以导出或转换为一些通用数据格式或文本格式,为常用的、审计人员熟悉的数据库软件所识别、读取。这些软件一般有:EXCEL、AC-CESS、FOXFPO、SQL SERVER等。利用数据库软件进行审计,对于数据量不是很大的财务电子数据,审计人员可以利用普通办公用计算机或者便携式计算机进行处理分析。但有些被审计单位的财务数据量特别庞大,如银行、证券公司,一年数据量就达到几十千兆,甚至几百千兆。对于这样的数据,普通办公用计算机根本无法进行处理分析,需要配备如服务器之类的较高档次的计算机来处理分析数据。这种审计方法,获取数据是最关键的一步,也是难度最大的一步。审计人员要充分了解信息系统的开发原理、操作平台、数据结构、系统功能及经济数据量、财务数据量等情况,评估数据导出或转换的可能性和难度。在可能的情况下,要求被审计单位将信息系统数据导出或转换成符合审计人员熟悉的数据库软件的数据格式,并索取有关数据代码的解释文件。审计人员将获取的电子数据导入自己的数据库软件中,再进行数据整理、加工,清理无用的数据和更正数据在导出或转换过程中产生的错误内容。最后,利用数据库软件提供的各种统计、汇总、查询、分组分类、筛选功能以及已设置好的一些模块对电子数据进行分析,并将分析结果保存,作为下一步审计工作的依据。这种方法灵活性较大,审计人员能根据审计工作需要对数据进行各种分析,但它不容易为被审计单位所接受,也对审计人员数据库软件操作应用能力、计算机硬件配置要求比较高,而且在数据转换过程还可能出现意外的结果,影响数据质量。 3、利用被审计单位的信息系统进行审计。一些信息管理系统,在开发时为满足单位日常管理工作需要,设置了较为全面的查询分析功能。审计人员可以利用这些查询分析功能来开展审计工作。首先要充分了解被审计单位的信息管理系统的查询分析功能,掌握其使用方法,充分评估查询功能能为审计工作提供哪些帮助,能帮助完成哪些工作,并制定相应的工作方案。要加强与被审计单位的联系沟通,获取能满足各项查询功能,但不具有数据录入更新功能的用户权限以及必需的硬件条件。最后,利用提供的权限进入被审计单位信息管理系统,运用信息系统提供的各种查询功能对财务数据和相关的经济数据进行查询分析,生成分析结果。这种审计方法,较为方便,也容易为被审计单位所接受。但由于信息管理系统的查询功能是为被审计单位日常管理所需而开发的,审计人员使用这项功能往往会受到一定的局限性,有时还未必能满足审计工作需要。 (二)信息管理系统审计 行政、企事业单位开发应用的信息管理系统往往是单位日常管理的工作平台,一般融合了各项相关内部控制、管理流程、信息传递等工作。而这些单位的经济数据和财务数据一般是密不可分的。信息管理系统的有效性、合法性、安全性直接关系到被审计单位的财务数据的真实性、合法性。因此,信息系统的广泛应用,也为审计工作带来新的审计内容。理论上,对信息系统的审计方法有很多,常见有测试数据法、整体测试法、并行测试法、受控处理法等。但这些方法对审计人员的计算机知识水平要求比较高,现阶段的审计人员的素质,是很难达到的。而且目前尚缺乏行之有效的信息系统审计方法、技术和操作规范指南。因而,对于目前市县审计机关的审计资源来讲,开展信息管理系统审计是一项高要求的审计任务。但是,由于信息管理系统包含了被审计单位一部分甚至大部分的业务流程、控制环节等管理工作,这些也恰好是审计工作的一部分。不开展这项工作,便留下审计“死角”。因此,审计机关要抱着探索、实践的态度,积极创造条件,逐步开展这项工作。 现阶段开展信息系统审计,可以先从简单入手,结合财务审计工作,重点对信息系统运行情况进行审计。通过询问、调阅文档、复核、抽查、测试等方法,检查信息系统处理各项经济业务的真实性、合法性和正确性;检查应用信息系统的权限管理(各项业务的权限管理)、安全管理(硬件安全和数据安全)等内部控制的有效性,揭露利用计算机应用软件进行欺诈与舞弊行为,反映信息系统相关的内部控制薄弱环节。