一、会计信息系统审计的步骤 (一)审计准备阶段。准备阶段主要是初步调查被审计单位会计信息化的基本状况,拟定科学合理的审计计划;与被审计单位签订审计业务约定书,明确彼此的责任、权利和义务;确定审计范围、确立审计重点、分析审计风险、制定审计计划。审计人员必须提前进入被审单位,了解被审计单位基本情况,与企业的有关人员面谈,查阅其会计信息系统的基本资料。了解被审单位信息系统开发和使用情况、计算机设备软硬件情况、业务量大小以及数据完整程度,判断在被审单位开展计算机审计是否符合成本效益原则、风险有多大。在对被审计单位的内部控制作出初步及深入审查之后,审计人员应获取被审单位有关会计数据,详细调查计算机环境下的计算机信息系统结构、业务处理流程、所采用的数据库类型及数据结构,确定数据采集、转换、定义以及分析中所需的计算机软件及硬件设备,合理配置审计资源,编制审计计划。 (二)审计实施阶段。实施阶段的工作是根据准备阶段确定的范围、重点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见。实施阶段是计算机审计工作的主要阶段。在这个阶段中首先要对被审单位的内部控制进行评价,并执行符合性测试。然后,根据符合性测试的结果,确定实质性测试的计划水平,对被审单位业务数据的实质性进行审查。 1、内部控制的测评。审计人员可以设计关于被审单位计算机信息系统内部控制制度的调查表,发放给系统设计、使用及维护部门的人员填写,并同他们座谈了解系统内部控制的设计和执行情况。调查之后,根据调查情况,审计人员必须从整个会计信息系统内部控制的角度出发,评价被审计单位的内部控制情况,确定被审计单位内部控制的执行程度,并得出评价结论。 2、实质性测试。实质性测试即审查交易和余额的是否真实、完整,是否有违法、违规行为。目的是取得充分的证据,使审计人员能作出最后判断,确定会计信息系统在各种大方面是否偏离公允性或存在哪些弱点的。它是审计实施阶段的核心,任何审计部必须进行实质性测试。 3、汇总审计结果。审计人员利用审计软件的分析汇总功能将发现的各种误差汇总,以确定误差的总体水平是否超过重要性水平。再复核审计工作底稿,确定所获得的审计证据是否能支持审计结论。 (三)审计报告阶段。审计报告阶段是注册会计师对会计信息系统进行测试后,整理审计工作底稿,编制审计报告,对被审计单位会计报表的合理性、公允性、一致性发表意见,做出审计结论;并对被审计单位的会计信息化系统的处理功能、内部控制进行评价,并提出改进意见。主要工作包括:整理审计工作底稿、分类归纳核实材料、编写审计报告、作出审计结论和决定等。这一步骤借助于审计软件的帮助,可以高效、准确地完成。 (四)异议和复审阶段。被审计单位对审计结论和决定若有异议,可提出复审要求,审计部门可组织复审并做出复审结论和决定。特别是被审计单位会计信息化系统有了新的改进时,还需组织后续审计。 二、会计信息系统审计的方法 (一)绕过计算机审计。绕过计算机审计是指审计人员不审查机内程序和方法,只审查输入数据和打印输出的会计资料及其他管理制度的方法,而不直接审查会计信息系统内部的程序及文件。这种方法在20世纪50年代中期到60年代中期,会计信息系统还处于起步阶段时,被广泛应用。因为那时系统结构和应用环境简单,计算机在会计、审计中还没有得到广泛深入地应用,审计人员还未更新知识,未掌握足够的计算机技术,没有足够的技术支持进入到会计信息系统内部进行审计,只能绕过计算机系统,只对其输入与输出进行审计。 这种方法技术要求简单、基本上不会干扰到被审计单位的正常工作。但是同时,这种方法要求打印文件必须充分,否则无法获取所需的线索和证据来支持审计结论,而且,审计结果不可靠,审计人员只能依靠被审计单位打印出来的书面资料来进行审计,因此没有足够的把握直接确定被审计单位实际使用的会计信息系统的可靠性、真实性。 (二)通过计算机审计。通过计算机审计是指除了审查输入和输出数据外,还要对会计信息系统内部的程序和文件进行审查。随着会计信息系统的发展日趋复杂化及计算机技术的普及和广泛应用,使得审计人员有了进入计算机系统进行审计的必要性和可能性。这种方法以会计信息系统为审计的基础和对象,通过对系统的处理及控制得审查,确定数据处理、内部控制和文件内容的正确性和可靠性,进而确定凭证和账务文件实质性测试的范围和数量,最后得出审计结论。 这种方法的独立性强,不用完全依靠系统的运行结果进行审查较少的依赖被审计单位提供的书面资料,因此审计结论较上一种方法更为可靠。但是这种方法要求的审计技术复杂,要求审计人员具有较高的计算机水平,要掌握计算机操作系统应用、程序设计语言、数据结构等多方面的计算机知识。这就对审计人员的素质提出了更高的要求。另外,这一方法的审计成本较高,这种方法需要计算机辅助审计技术,要借助计算机辅助的审计软件来进行,开发软件和聘请专门的计算机专家都会增加审计成本。 (三)利用计算机审计。利用计算机审计是指利用计算机的设备和软件进行审计。严格来讲,这一方法不能算是一种独立的审计方法,它一般是和第二种方法结合使用。这一方法开始于审计人员掌握了一定的计算机知识及应用技术之后,他们发现被审单位可以利用计算机处理经济业务,审计人员也可以利用计算机进行审计工作,许多审计工作可以由计算机来完成,而且可以大大提高审计效率和质量。