计算机审计实务工作流程有利于规范审计人员审计行为,提高审计质量,有效控制审计风险。这里,笔者结合自身的工作体会,对计算机审计实务工作流程作一初步探讨,思考开展计算机审计在审计各阶段应该做什么、怎么做。 一、计算机审计的调查了解工作 对被审计单位信息系统和电子数据情况等进行调查了解是对被审计单位进行调查了解工作的一部分,主要涉及调查了解的内容、方式和结果三个方面。 1.调查了解的内容。对被审计单位信息系统和电子数据情况进行调查了解是计算机审计调查了解工作的核心内容。要完成这项任务,需要调查了解的内容主要有:被审计单位信息化组织情况、实现程度;使用的财务核算软件和业务管理系统的功能和与特点;财务核算软件和业务管理系统的控制与执行情况;财务核算软件和业务管理系统的数据定义、数据结构与数据流程等技术情况。 2.调查了解的方式。调查了解可以选择下列方式:向有关人员口头或书面询问;查阅或索取资料;实地考察和测试相关数据处理过程;走访与审计项目有关的单位等。 3.调查了解的结果。在调查了解工作结束后,应当对调查了解的有关情况作出记录。记录的内容包括:被审计单位信息系统和电子数据等的基本情况;对被审计单位在信息系统等方面可能存在问题进行评估的情况;确定的计算机审计事项和审计应对措施。 在编制审计实施方案时,应将以下关于计算机审计的内容包含在内:拟使用的计算机审计软件、硬件配置和所需的技术条件;被审计单位相关数据的获取或转换方案;重要审计事项和关键环节的计算机审计步骤和方法;计算机审计的人员配置和分工等。当然,也可以另行单独编制计算机审计实施方案作为审计实施方案的附件,形成更加系统和完整的计算机审计工作计划。 根据调查了解的结果,审计组认为被审计单位使用的软件和信息系统可能存在瑕疵或缺陷,进而可能对于电子数据的真实性、完整性产生重要影响时,应当在审计实施方案中增加信息系统审计的内容。 二、计算机审计的现场实施 这里指的计算机审计的现场实施,是区别于计算机审计调查了解工作而言的,它们共同组成计算机审计实施阶段。计算机审计的现场实施主要包含数据采集、编制审计工作底稿和审计取证三个方面。 1.数据采集。在计算机数据采集时,应有被审计单位的业务人员和技术人员在现场配合,并由被审计单位人员按审计需求进行数据采集,操作过程应作相应记录,避免因审计人员直接上机操作而带来的审计风险。 审计人员认为被审计单位提供的电子数据不符合要求,或对其提供的电子数据存在疑问时,应当提出获取电子数据或测试计算机信息系统的方案,由双方工作人员共同进行数据的重新获取或测试工作。必要时,还可以由双方认可的软件开发公司提供技术支持。 2.编制审计工作底稿。审计工作底稿主要记录审计人员依据审计实施方案执行审计措施的活动。审计人员对包含计算机审计事项在内的每一个审计事项均应当编制审计工作底稿。因此,审计人员应当将开展计算机审计的过程作必要的记录,以保证在审计结束后可以复现计算机审计过程。例如,审计人员采集数据的方法和过程,对具体审计事项进行计算机审计所采取的主要步骤和分析处理方法均应当在审计工作底稿中予以记录。 3.审计取证。这里的审计取证是指对确定的审计事项进行审查而获取审计证据的过程。 审计人员获取的电子审计证据包括与信息系统控制相关的配置参数、反映交易记录的电子数据等。采集被审计单位电子数据作为审计证据的,审计人员应当记录电子数据的采集和处理过程。由于电子数据具有可修改性,一般在实务工作中,以电子资料、计算机存储或处理形式获取的审计证据可打印成纸质材料,同时注明获取方法和处理过程,并由被审计单位和个人盖章或签名;如有困难的,可在被审计单位工作人员的现场监督下,由审计人员对数据进行处理并将获取的电子证据刻录在不可擦除的光盘内予以保存,同时以纸质材料的形式说明获取方法、审计过程、审计结果和数据保存方式,由被审计单位和个人在纸质说明上盖章或签名。 三、计算机审计的终结 经过计算机审计的现场实施阶段后,进入到计算机审计的终结阶段。这个阶段包括计算机审计结果、对计算机审计的总结和电子数据保存三个方面。 1.计算机审计结果。对于使用计算机进行审计发现被审计单位违反国家有关法律法规方面的问题,应当在审计报告编审时按照重要性原则和有关编审程序将其纳入审计报告,这构成了审计报告的主要内容。审计组在开展计算机审计中,如发现被审计单位信息系统存在问题,一般应在审计报告中予以反映,并提出意见和建议。对于被审计单位信息系统存在重大漏洞或者不符合国家规定的,应当责成被审计单位在规定期限内整改。 2.对计算机审计的总结。审计组在审计项目实施结束后,应对计算机审计成果、经验等电子资料进行汇总整理,指定专人编写计算机审计情况说明,经审计组长或者主审审核确认后,连同审计报告一并向本部门和分管领导汇报。对在计算机审计过程中形成的具有典型性的计算机审计经验,应按相关规范要求进行整理,以备工作交流和今后工作参考。