会计信息系统的安全性直接影响到审计人员对数据的信赖程度和审计风险的控制程度。结合审计实践,笔者认为会计信息系统安全性审计的主要内容应集中在系统环境、内控制度以及数据审查3个环节(如图)。
(一)会计信息系统环境安全的审计 会计信息系统安全性审计首先应关注对系统内在风险的评估,即根据计算机审计准则,通过有效的方法和手段,对会计信息系统环境中的硬件和软件进行审计。一是检查硬件的安全性。会计信息系统中,数据的处理和信息的存储都依靠硬件设备。计算机属于精密电子设备,过热、过冷或电源故障等事故,都会威胁硬件安全。因此,为保证系统安全和数据的准确性,审计人员必须要对硬件设备管理情况进行评价,检查被审计单位是否制定硬件管理制度,机房有无空调、防火、防水、稳压装置,重点关注是否设专人管理设备、计算机房以及终端的硬件密码控制等。二是检查网络系统的安全性。网络技术具有一定的开放性,各单位在利用Internet处理电子政务、电子商务时,也会将自身暴露于风险中。网络技术的使用提高了会计系统安全控制的难度,相应加大了审计风险。因此,审计人员在审计过程中应重点关注系统防火墙设置、通信线路的安全、系统安全漏洞、杀毒软件是否有效,检查网络传输数据是否采用回叫技术、密码技术、特殊接触控制、数字签名技术等控制措施,对会计信息系统环境进行评价。 (二)会计信息系统内控制度执行的审计 目前,会计信息系统的内控制度,有些是通过系统程序来实施的,有些则是通过制度约束来实现的,即通过程序的设计和运行来实现“程序化”控制,通过建立管理工作制度来实现“制度化”控制。因此,审计人员只有先确认系统内控制度已有效实施,才能确认系统所提供数据的安全、可靠。 一是对会计软件合法性进行符合性和实质性测试。运用符合性测试方法对系统进行分析,重点剖析系统核算模块,了解数据处理流程,分析程序的逻辑结构;检查系统是否对录入的原始数据设定并实施了相应控制;信息系统的数据流和业务流程是否吻合,确定程序的会计核算基础以及数据处理、数据生成是否正确,是否能满足会计处理的各种需要。同时,对数据输入控制和处理控制实施实质性测试。通过输入错误数据,检查系统对输入数据是否进行了必要的检测,是否可以及时捕捉或发现不符情况,并自动提醒或警示操作员进行检查和修改,评价系统平衡校验、数据类型校验等校验能力。通过实际操作,进一步了解和掌握系统操作日志是否完全记录所有操作,是否存在非正常修改、删除功能等情况;与输出的纸介质会计资料进行核对,检查系统操作的完整性和正确性。 二是检查内部控制管理情况。国内外会计信息化的实践表明,计算机自身产生错弊的几率很低,人为因素是信息安全保障的主要方面。因此,审计人员需重点关注单位的内部控制管理情况。首先,应检查被审计单位的组织与管理控制。审查单位是否建立恰当的组织机构和职责分工制度,审核复查机制是否有效执行,系统开发维护人员、操作人员和管理稽核人员是否做到互不兼任等,评价不同人员间是否实现相互牵制、相互制约、防止或减少舞弊发生的目的。其次,应检查操作管理控制,主要审查权限控制与规程控制两个方面。审查系统是否制定适当的权限标准体系,其权限管理、登陆和修改控制等是否有效执行,有无存在越权操作的可能;对操作员职责、操作程序和注意事项进行检查,比如是否规定了数据备份及机器的使用范围,以及是否要求使用防病毒感染的专用存储设备等等。再次,应检查系统维护控制,对日常为保障系统正常运行而进行的系统软硬件安装、修正、调试、更新、扩展、备份等工作进行审查,了解工作是否及时开展并行之有效。 (三)会计数据安全性和完整性审计 对被审计单位会计信息系统的环境安全以及内控制度进行审计,均是为保证会计信息系统数据的正确、公允所作的间接辅助审计。在此基础上,最为实质的保障方法就是对所采集的电子数据进行安全审查。 一是精确复核。对数据进行分析性复核,如通过审计软件对采集的会计数据从流水账逐级核对至总账,将账套数据与会计报表数据进行复核。对部分会计处理数据进行计算,与实际记录进行比较,列明产生差异的记录,作出核实结论。二是查找审计线索。审计过程中,审计人员可根据系统的某一特征对系统所提供数据从不同角度进行筛选分析,发现可疑问题线索;或可通过审计软件,对一些异常会计记录和交易进行筛选和查询,发现审计线索;亦可通过被审计单位会计信息系统的日志文件分析部分重大事件产生原因,分析其对会计系统整体的影响,进而发现系统异常表征,从而发现审计线索。