应用范围及方法 评估会计电算化软件的内在风险 很多人对计算机准确性存在盲目信任的惯性,对经计算机执行一系列复杂程序运行后输出的数据确信不疑,而实际上,由于程序的编制,带有很多人为的因素,因此对审计而言采用会计电算化的行业,审计人员首先要评估软件的内在风险。前提是对计算机软件有清楚的认识,目的是审计人员为了确定依赖这些软件控制的可靠性,以减少数据的实质性测试的风险。经评价验证后,如果认为内在风险较低,则可缩短审计时间,减少审计成本。具体方法是: 1.分析系统的方法。首先对软件中的重要程序模块进行解剖,阅读数据处理的流程,分析程序的逻辑结构,以确定程序运行是否可靠、稳定,程序的各种功能是否都能实现,程序的数据处理、数据生成是否正确,是否能满足会计处理的各种需要。采用这种方法能发现软件本身存在的根本问题,确定被审计单位会计核算基础的可靠性。 2.选样测试系统的方法。审计人员首先建立一个包含一个月基本会计资料的数据库,然后输入到会计软件中,根据其核算处理后输出的结果判断软件的可靠性。 3.评价数据安全性的方法。审计人员可对数据安全性的各个方面进行测试。(1)存储安全。例如,软件中凭证的制作是否采用二次输入的方法,软件是否能对数据进行备份,备份的方式是否安全(备份的安全性主要指在存储媒介溢满的情况下,是否能提前向使用者发出提示)等。(2)使用安全。通过数据测试及评价数据的安全性能直观地反映出该会计软件各方面的性能,更可判断出使用该软件的内在风险。(3)权限管理安全。进入程序的权限方面可以判断具体工作人员的相关性、保密性和唯一性去界定数据的可靠、安全性。 对于审计人员来讲,要检验被测试的计算机程序本身和使用与原来设计程序的初衷或目标是否一致,或是发现程序本身存在的漏洞是很难的,这意味着审计人员在很多情况下需要求助更专业的计算机软件工程师,以确定软件编制内在风险。 验证会计资料总体完整性 会计资料的取得往往来源于各个软件日常活动收集的数据,但判断数据是否完整,需要审计人员的验证。验证的具体方法是:首先,根据行业年初或月初的会计科目余额,确定会计凭证总体的初始年、月余额,并输入计算机中。其次,将行业当年或当月的会计凭证库转化为审计人员熟悉并能操作的格式,目前商品化软件一般都能达到这一目的。转化后的会计凭证库需要作进一步的调整,仅保留需要的数据以加快运算速度。例如对会计凭证库中只保留一级科目名称、借方金额、贷方金额等,而剔除摘要、二级科目名称等,审计人员再进行汇总计算以得出当年或当月会计科目的发生额,最后,将年、月初余额与发生额相累计并以报表的形式输出,审计人员将其与行业的年报或月报相核对,以验证总体的完整性。而最终的数据是否完整,取决于是否与实际的业务发生情况一致。 协助审计人员进行统计抽样 近年来,一种建立在科学理论基础上的、已通过国际审计界广泛实践证明的、以制度为基础的审计方法正逐步应用于审计工作实践中。该方法在符合性、实质性测试中都运用到统计抽样,这正是计算机辅助审计技术大显身手的领域。具体有:一是运用于审计日常抽样的编码工作。二是方便地运用审计抽样。从总体中抽取样本时,对审计人员来讲最关键的是所有总体中的项目都能被客观地抽取,而采用恰当的统计抽样方法能避免抽取无代表性样本的风险。在统计抽样中运用计算机辅助审计技术可达到迅速、客观、公正的目的。 关键样本及高价值样本的分离 对运用计算机获得数据的企业或机关团体而言,大量的会计处理是日常性的事务,而审计人员所关心的是一些关键的会计处理,运用计算机辅助审计技术能对企业的会计数据库进行分析,确认及打印出在某段时期内高价值的和关键的样本,而靠人工是不可能做到的。 所谓的高价值及关键样本主要指不相关的会计科目,单笔金额超过审计人员预先设定数的样本,不常变动的会计科目,如资本公积等。审计人员在对风险控制的基础上,对关键样本及高价值样本进行重点审计即可满足一般审计的需要。 日常会计资料的分析及计算 现代审计要求审计人员对企业的会计资料进行较多的分析,而这正是计算机辅助审计技术的专长,例如对企业的应收账款、账龄进行分析等。 审计文书及审计项目管理 审计人员亦可运用办公自动化软件进行审计文书管理,如审计通知书、被审计单位基本情况、审计计划、审计工作底稿、审计报告。档案等均可由计算机协助处理,方便日后的查询及调阅。而目前多媒体的应用、计算机外设的增多能使计算机将图像、声音、动画、视频等转化为数字处理并存储,由此满足了审计各种方式取证的要求,更为审计工作的无纸化开创了广阔的前景。 电算化环境下审计需要做好的工作 1.对被审计单位的信息系统实施审计 目前,绝大多数被审计单位在审计时是绕过信息系统的。由于集成化系统中原始凭证大量减少、数据之间直接对应关系模糊、业务处理和财务处理高度集成,使得系统中存储数据与输出数据可能不一致。比如,有关人员通过在系统中嵌入非法程序块转移了数据,而打印出虚假数据提供给审计人员,这种行为必然加大审计风险。审计人员要想了解系统提供的数据的可信赖程度,必须对系统本身进行审计,这是审计不可能回避的。 首先,审计人员要对被审单位计算机信息系统及其相关情况有所了解,包括: