计算机审计的审前调查

作 者:

作者简介:
叶兴翠,江苏省审计厅

原文出处:
江苏审计

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2009 年 07 期

关 键 词:

字号:

      一、审前调查的准备阶段

      (一)制定审前调查方案。“凡事预则立,不预则废”,要想圆满完成审前调查工作就需要制定一个好的工作方案。一个好的审前调查工作方案要具备以下三个条件:第一,要符合项目规模、性质的实际;第二,对审前调查工作具有指导性,操作性强;第三,对于审计实施成果的取得、质量的保证有决定性影响。

      (二)配备结构合理的审前调查人员。计算机审计的审前调查需要一定的技术支持,普通的审计人员对财务知识的储备较为充分,但对信息化、电算化的相关知识储备则相对欠缺,所以在配备审前调查人员时应当考虑到这一点,除按常规配备组织领导型干部和财务审计业务骨干人员外,还应当配备具有适当计算机知识和技能的审计人员,对于一些电算化起步较早、信息化程度较高、业务特色鲜明的被审单位,必要时审计机关可以调动本机关计算机专业技术人员或聘请外部计算机专业技术人员参加。

      (三)明确审前调查工作要求。审前调查多属试探了解性质,集中集体智慧显得极为重要。进行审前调查前,调查小组所有成员应当开一次碰头会,明确审前调查的具体要求,布置收集资料的范围、内容、重点、标准,提出编写调查工作日记、记录、底稿等一系列工作制度。此外,审前调查小组还需明确定期召开情况碰头分析讨论会议制度,每个成员都定期不定期及时讨论调查发现的新情况、新问题,以提高调查的效果。

      二、审前调查的实施阶段

      (一)明确审前调查方式和调查内容。

      1、明确审前调查方式。与常规审前调查方式一样,计算机审计的审前调查通常可以选择的方式有以下几种:组织有关人员座谈或者向有关人员咨询;发放调查问卷或者调查表;查阅或者获取与信息化相关的资料;实地考察;走访与审计项目有关的单位。

      2、确定审前调查内容。审前调查工作开展得越充分,审计实施方案就会编制得越具有针对性,对审计作业的指导性也越强,项目的审计质量也更能得到保障。结合工作实践,笔者认为计算机方式下审计的审前调查应包括以下内容:

      (1)调查了解被审单位的信息化环境。调查了解被审单位信息技术部门在被审单位组织架构中的位置及其工作人员的职责分工情况;了解被审单位的计算机信息系统框架,包括系统的主要功能,各子系统的名称、功能,业务处理及数据传输流程;在了解被审单位业务流程和会计程序的基础上,了解被审单位使用的财务系统软件的名称、版本,取得方式和时间及主要功能和特点;使用的业务系统软件的名称、版本,取得方式和时间及主要功能和特点;财务信息化系统与相关业务系统的数据共享程度及数据交互方式;同时,对被审单位在业务处理过程中可能涉及到的外部电子数据也要进行必要的了解。

      (2)调查测评被审单位计算机系统的内控情况。审计人员应当在对被审单位计算机信息系统内控情况审计调查的基础上,评价被审单位计算机信息系统内控执行情况。

      ①会计信息系统软件控制制度的建立。了解被审单位所使用的财务软件程序是否执行国家有关的财务制度和会计准则规定,计算机会计信息系统是否通过相关部门鉴定,是否保留非法功能;对自行开发的软件检查重要部分源程序代码,判断是否有错误;编制测试数据,进行程序正确性的验证;检查被审程序的流程图,判断是否有逻辑错误;对较为复杂的应用程序,可编写一部分虚拟业务,测试被审程序的正确性。

      ②计算机硬件控制管理情况。了解被审单位计机房建设、硬件配置、运行环境是否可靠,信息管理系统所用的计算机是否专用,有无规定未经许可不得接入Internet等其他网络,以保证信息管理系统数据的安全性、可靠性;被审单位是否存在未经许可,私自拆装设备,修改系统配置的行为;系统是否配置不间断电源,出现硬件故障是否能够及时修复。

      ③信息系统操作控制。了解被审单位是否建立了计算机安全应急系统;程序与系统开发、计算机操作、输入数据的控制以及其他不相容职责是否分离;系统管理员是否指定专人,系统的进入是否进行身份验证,对操作密码是否严格管理,密码是否定期更换;所有电子数据处理业务是否经过适当授权管理,电子数据处理部门与用户是否实现了职责分离,电子数据处理部门内部是否实现了职责分工,已输入计算机的原始凭证和记账凭证等会计数据是否经过审核;计算机操作员能否随意接触、修改文档资料;是否有日志记录,记录操作人、操作时间、操作内容、故障情况等内容,操作人员离开机房前,是否执行相应命令退出信息管理系统;了解被审单位是否采取了必要的存取授权控制措施以及备份文件是否定期进行拷贝。

      (3)其他需要了解的情况和应获取的资料。除上述情况外,调查人员还应当对被审单位业务流程对信息化的依赖程度进行调查,了解被审单位信息系统全部停止运行或者局部停止运行对被审单位持续运行的影响程度;了解信息系统对外输出数据的方式、可输出数据的类型,获得被审单位信息系统的数据结构说明、用户使用手册等与信息管理系统直接相关的资料,向被审单位获取系统的建设文档,对系统取得之后重大调整升级的,获取相应的更新记录文件。

      (二)有针对性地确定电子数据的采集方案,对采集的电子数据进行初步分析。

      1、数据采集的范围。一般情况下,如果对被审单位的业务了解得比较深入,则可以根据需要只采集审计人员关注的数据表即可。但是,如果审计人员是初次对此类业务进行审计或是对此业务不是很熟悉,建议审计人员采集被审单位数据库中的所有表。这是因为,数据库系统中有些表虽然很小,但却是一些代码型的文件。出于各种原因,有时被审单位并不愿意提供系统的用户手册或数据词典,审计人员要想剖解对方的信息系统必须依靠这些代码表来协助确定业务数据表中某些字段的含义。对于被审单位关键业务数据由外部单位提供的情况下,还需要进一步协调取得相应单位的这些业务数据。

相关文章: