笔者认为传统的审计模式已无法应对新的信息系统环境,必须构建新的审计模式。 一、信息系统环境下的新审计模式简介 1.三类审计程序。从内容上说,信息系统环境下的审计应分为三部分,即信息系统审计、系统数据审计和系统外审计。前两者属于依赖信息系统的审计,后者属于非依赖信息系统的审计。三者互相支持,互为补充,只有三者结合才能在信息系统环境下构筑固若金汤的审计防线。 (1)信息系统审计是对被审计单位信息系统进行审计,也称IT审计或IS审计。发达国家已在该领域作了大量的理论研究和实践,国际信息系统审计协会已经制定了信息及相关技术的控制目标。 (2)系统数据审计是面向系统中电子数据的审计,主要目的在于寻找解决问题的线索。在会计电算化和信息集成化、网络化的时代,审计针对的是数据而不仅是账套、报表、财务数据,更有大量的业务数据,有些学者认为信息系统环境下的审计本质就是数据审计。 (3)系统外审计并不直接针对信息系统,也不依赖信息系统或由信息系统产生的数据,而是用函证、盘点、观察、询问、核对、查阅等传统审计方法,对在系统数据审计或信息系统审计中确定的重点领域和发现的问题通过获取信息系统外的证据进行核实。 2.信息系统环境下新审计模式为:
二、信息系统审计 合法的软件程序、合理的处理规则和对非法处理进行有效控制,是信息系统提供客观、完整的信息的关键要素。因此,信息系统审计的重点就是功能模块的实现与处理规则、数据流的算法与合法性、控制的执行与效率。如果能证明被审计单位信息系统的设计、运行是合法、合理且有效的,将减少系统外审计的工作。 1.对系统软件和应用软件的测试。包括数据测试法、受控处理法、平行模拟法、程序编码检查法、程序比较法、嵌入审计程序法等。软件测试对发生额的验证较为有效,因此在审计利润表和科目借贷方发生数时应被重点运用。 2.对信息系统内部控制的测试,通常用于控制测试。信息系统内部控制可分为一般控制和应用控制。一般控制普遍适用于某一单位的信息系统,为每一应用系统提供控制环境。一般控制审计包括:①对组织管理控制的审计;②对系统环境安全管理控制的审计;③对数据货源管理控制的审计;④对系统运行管理的审计;⑤对系统升级、更换控制的审计。应用控制从技术角度对信息系统进行控制,不同的应用系统有不同的控制要求。应用控制审计包括:①对输入控制的审计,如审核职责分工、接触控制、操作权限控制、系统的核对控制以及系统输入的程序化控制;②对处理控制的审计,如审核处理的操作控制、处理条件的检查与控制、处理结果的正确性、完整性、未被重复性控制以及错误控制;③对通信控制的审计,如审核加密通信、数字签名、确认应答与超时重传、自动纠错机制等;④对数据库控制的审计,如用户的身份确认控制、数据库的存取控制、保密控制、完整性控制、并发控制、恢复控制;⑤对输出控制的审计,如测试输出操作的控制、输出条件的检查、输出数据的正确性、完整性、安全性控制、格式控制、及时性和异常处理控制。 3.对信息系统后台设置的审计。既可用于控制测试,也可用于实质性测试。后台设置工作不同于前台终端机操作,一般经授权后由系统维护人员在系统后台实行,内容包括业务处理的原则、步骤、各种参数、系数设置、计算模式和算法设置、数据库衔接设置、数据库修改等。被审计单位的许多会计估计和会计政策都会采取后台设置的方式实施,而这正是舞弊的重要手段之一。这种舞弊隐蔽性强,能起牵一发而动全身的功效。审计人员应检查后台设置的合法性、合理性,查阅记录后台操作、修改的计算机日志或纸质内部控制文档,询问系统维护人员,以获得相关线索。在验证截止认定时,要检查系统日期的更新情况。 进行信息系统审计时必须考虑实际运行的系统可能与测试时的系统不同。如果只在期中某段时间采用针对舞弊的系统程序,而在期末改为正常的系统,审计人员不一定能发现问题。对此,可通过对连续期间数据的仔细分析来发现异常,也可实行突击检测。把最源头最可靠的原始数据输入审计软件,以运行出的财务结果与被审计单位的账表核对,也是相对有效的检测方法。 三、系统数据审计 1.采集数据,它是数据审计的前提和基础,具有明确的选择性、目的性和可操作性。既可从终端查询下载,也可从后台数据库直接取得。不同的目的应采取不同的取得方式。 2.数据转换、清理和验证。数据转换不仅是语法层次的问题(即将意义相同但形式不同的数据转换成所需要的形式统一的数据),还是语义层次的问题(即要识别原始数据的含义和各个表、字段之间的关系)。数据清理和验证的目的在于去除干扰,提高数据质量,检查所采集数据的真实性、完整性。账表、账账、账证核对的机械工作主要在该阶段完成。 3.建立审计中间表,以解决因范式分解造成的信息分裂问题,因数据日的不同造成的垃圾数据问题,因数据结构变化造成的审计分析模型难以复用问题,因利用外部关联数据引发的信息整合问题。 4.多维分析,把握总体,锁定重点,撰写数据分析报告。多维分析的方法有切片、切块、旋转、钻取、挖掘等,以发现趋势和异常。 5.建立个体模型,内外关联,筛选分析数据。可以利用法律规章的具体规定、数据间的勾稽关系、业务逻辑与流程、内外数据关联、审计经验和专业判断等建立个体分析模型。 6.延伸落实,运用信息系统审计和系统外审计取证。 系统数据审计的六个步骤是一个完整的体系,不同的审计任务中可能具体运用的方法有多有少,但是没有哪个步骤可以省略。还应看到,系统数据审计主要在于分析既定结果的数据的合理性,但难以解释数据在信息系统中变化的过程。系统数据审计需要采集的三个主要数据库,具体为凭证库、科目库和期初余额库。要对这些数据进行完整性、有效性的验证,将通过审计软件运行出的报表与被审计单位的报表进行核对。但是,凭证库里的每个数据在系统中如何形成、是否被正确处理,则必须依靠信息系统审计中的软件测试来验证。