(一)对企业内部控制的评价 1、对企业的内部控制环境的评价 在网络化环境下,对企业的内部控制环境的评价,除了传统制度基础审计中对内部控制的调查、测试和评价的内容外,还应包括:企业实施网络财务的规章制度是否健全、合理及执行情况;系统管理员同操作员的职权是否分离,以及软件开发和维护控制、硬件管理和维护控制、组织机构和人员的管理和控制、系统操作的管理和控制、文档资料的管理和控制、系统环境管理和控制、计算机病毒的预防与消除等方面。对这些内部控制环节的调查,可以采取向企业管理当局询问,检查内部控制的文件、记录等方法进行。 2、对内部控制的安全性评价 系统安全和控制是分不开的,由于系统很容易通过网络在不知不觉中受到威胁,所以网络系统控制更为重要。根据控制作用范围的不同,可以把网络系统的控制划分为一般控制和应用控制。一般控制是指对网络信息系统的安全性评价可以采用原手工会计下制度基础审计的方法对系统的有关规章制度、网络系统控制的安全程度、所用财务软件的业务流程合理性、自动识别错误功能、操作的人员控制和时间控制等方面作出评价。应用控制是指对于软件、程序的安全控制要通过读原程序、采用模拟数据测试、上机进行实际业务处理等方法在机上测试其正确性、有效性。如,用模拟测试方法,事先设计好的模拟业务数据进行测试,将系统测试结果与事先利用手工得出结果相比较,从而判断程序的合理性、有效性、安全性。这些测试的关键在设计模拟业务数据,模拟业务数据的设计,要根据控制措施中存在的各项薄弱环节来设计,需要审计人员综合可能出现的各种例外、错误及不合理因素,凭借一定的经验来设计检查某一控制点的数据。 3、对内部控制的总体评价 对网络系统内部控制的总评,是在初步评价的基础上,根据符合性测试的结果,评价被审计系统内部控制情况,通过对信赖程度的评定等级或控制风险量化的百分比,从4个方面进行评比:(1)内部控制的健全性、合理性及有效性;(2)网络系统的安全性;(3)企业财务软件运用的合理性;(4)网络系统的外部监察。 (二)对审计对象的实质性测试 1、进行实时性审计。基于网络资源高度共享的互联网打破了物理距离和时间的限制,网络财务消除了财务、业务活动运作上的时间差,使会计信息实时生成。审计人员在与被审单位达成协议后,经身份验证,通过网络共享被审单位的信息系统资源来进行实时追踪,可以随时完成必要的审计测试。审计由传统的事后静态审计变为事中动态审计。同时,在网络化系统中,数据处理的联机实时化使很多经济业务发生时,不再留下任何手工的凭证,如果不进行联机实时审计,则缺少审计线索。比如:利用网上订单,订货者可以通过互联网实现直接订货、账款划拨不用填手工凭证。 2、对应用程序的审计。在网络财务中,对被审计单位的审计重点有两个,一是会计报表的数据源,即原始凭证;另一个是根据这一数据源所设计的生成证、账、表的会计应用程序。对于后者的审计,应从两方面着手:一是在系统的设计、开发阶段,审计人员要进行事前和事中审计,使开发出来的系统合法、合规、安全、可靠,能满足企业经营管理和财务核算的需要。如,查阅系统设计书,检查设计中是否包括了系统的故障排除措施、安全控制措施以及对数据库的访问操作的适当性控制等。另一方面是,对已投入使用的系统进行事后审计,监督其合法性和安全性。可以从错误发生频度、影响程度和损失金额的方面入手,对系统使用后可能发生的错误、数据泄露、破坏、篡改、非法使用等问题进行审查。 3、对原始数据库的审计。审计人员在完成前几个步骤后, 开始应用审计系统的审计功能或通用审计软件,对原始数据库进行审计。在审计内控制度健全且有效的被审单位原始数据时,抽取适量被审单位实际发生的会计业务原始数据,转换到审计软件中进行处理,用审计结果与被审会计软件的处理结果进行比较分析,检查原始数据的真实正确性。在审计内控制度不健全的被审单位原始数据时,可以采用详细审计法,利用计算机强大的计算功能,对每笔业务审查、核对和分析、测试其原始数据、入账、汇总的正确性。还可使用电子邮件进行函证,审查原始数据的真实性。