一、计算机会计信息系统内部控制审计的步骤 (一)对内部控制的初步审查 初步审查的目标是使审计人员了解计算机信息系统在会计工作中应用程度,初步熟悉电算化会计系统的业务流程和内部控制的基本结构,包括从原始凭证的编制到各种会计报表输出的整个过程。审计人员一般可以通过与被审计单位有关人员座谈、实地观察、查阅系统的文档资料、跟踪一些业务的处理方法,了解被审计单位信息系统内部控制的措施有哪些,其控制目标是什么,并在工作底稿中描述这些控制。 (二)对内部控制的执行情况进行符合性测试 一个电算化会计信息系统,即使具有健全的内部控制,在实际业务处理过程中也不一定被认真执行,因此对其实际执行情况还要进行符合性测试。符合性测试就是对内部控制制度实际执行情况进行检查,即检查这些必要的控制制度是否在执行、是否按规定执行、由谁执行、如何执行等,以便对内部控制的强弱、可靠性及可依赖程度做出最后评价。执行符合性测试时,审计人员应当采用审查相关文档、和有关人员面谈等方法,并将实际程序和补偿性控制与规定的程序进行比较,以确定各项控制是否适当并且一贯应用。 (三)对内部控制进行评价 对会计信息系统内部控制的评价应根据符合性测试的结果,评价被审计信息系统内部控制的可靠性。一是要评价初步审查过程中,被审计信息系统内部控制中有哪些比较满意的控制措施;二是要评价符合性测试过程中,上述各项控制措施是否按照规定的要求发挥作用,其符合程度如何;三是上述各项控制是否仍然可以依赖,其可靠性如何。 (四)出具内部控制评审结果报告 对于内部控制评价和测试的情况,审计人员必须做好审计记录,并撰写内部控制审计报告来表达审计意见,并针对存在的问题以及可能导致的错弊,提出改进的建议。 二、计算机会计信息系统内部控制的审计内容 计算机会计信息系统的内部控制一般分为两类,即一般控制和应用控制。它们均是计算机应用于会计信息系统所产生的特殊控制,用来预防、发现和纠正系统中所发生的错误、舞弊和故障,使系统能正常运行,是其提供可靠和及时的会计信息的重要保证。 (一)计算机会计信息系统一般控制的审计 对一般控制的审计就是要取得审计证据,确认被审计期间有关的制度和规程是否健全,计算机信息系统是否按照规定的制度和规程工作,控制的作用是否达到了预期的效果。 1、实施组织控制的审查 为了审查组织控制是否健全,审计人员首先应当了解被审计单位的组织结构、人员分工情况。审计人员可以通过与被审计单位的管理层和员工交谈,向信息系统部门以及各业务部门的人员询问调查,了解业务部门与信息部门的职责是否分离;信息系统部门内是否有恰当的职务分离。此外,审计人员应当实地观察业务的处理和会计信息系统的操作情况,实地检查在业务处理过程中是否确实保持有恰当的职责分离。 2、系统开发与维护控制的审查 对一个系统的首次审计,审计人员应当对系统开发和调试进行追溯审计。审计人员应向有关人员了解系统开发的各项内部控制,包括系统开发的过程有无审计人员参加,他们参与了哪些工作,现有的信息系统是否符合用户的要求。如果审计人员留有审查系统开发的工作底稿,审计人员可以查阅这些重要的底稿,了解系统开发的控制。审计人员还应了解系统的测试,查阅测试的数据和结果,检查系统在试运行阶段的数据和结果,查实系统在投入使用前是否经过了最后的批准。另外,审计人员应检查信息系统是否编有完整的文档资料,查阅这些资料,并把它们复印下来作为工作底稿以备查。再次审计系统时,审计人员不需再重复审查系统的开发和调试,只需检查自上次审计以来信息系统所作的维护改进。审计人员要了解和查实所作的修改是否经过批准,修改后有无经过测试即投入使用,有无对修改作详细的文档记录等。 3、系统安全控制的审查 信息系统接触控制是安全控制审查的重点。审计人员应通过实地观察,查看是否只有经过批准的人员才可以接触系统的硬件、软件、数据文件和文档资料。例如,审计人员要实地检查机房或者终端是否上锁;未经批准的人员是否有可能接触系统;程序员有无可能接触计算机设备和系统的会计数据文件;要检查系统资料保管制度的执行情况等。接触控制的另一重要措施是密码的使用,审计人员应调查是否只有经过批准的人才可以得到密码,对用错密码企图进入系统的情况,系统是否有记录并且有专人进行调查。 系统的硬件、软件、数据文件的后备以及灾难的补救计划是系统安全控制的重要措施。审计人员应当实地检查系统的后备硬件、软件和数据文件备份,并检查其是否符合安全要求。审计人员应向有关人员了解,一旦系统发生意外,出现数据文件的毁坏时,操作员是否懂得利用后备文件进行恢复;如果系统全部毁坏,信息部门能否利用后备硬件、软件和数据文件进行恢复。 4、硬件和系统软件控制的审查 硬件与系统软件是由计算机厂商提供的,一般而言,其功能和控制是较为可靠的。它们的审查一般与整个计算机信息系统的处理和控制功能审查一起执行,较少单独审查。当系统软件有多种选择的功能和控制时,审计人员应当注意被审单位选择了哪些功能,是否充分利用了其控制。硬件、系统软件功能和控制的审查要利用到计算机辅助审计技术。 5、操作控制的审查 对操作控制的审查,审计人员应当首先检查有无操作管理制度,是否对操作员的人数、口令、使用权限等实行严格的控制管理,是否按照操作手册中规定的操作步骤进行操作;其次应实地观察操作人员的操作情况,检查操作人员的分工以及错误的处理和更正程序是否符合内部控制的原则,是否有详细的日志记录。