计算机审计的内容和定位
一、计算机审计面临的问题
计算机及其网络技术的发展,企业信息化的进程,进一步推动了计算机技术在企业财务会计工作中的应用,同时,也给传统的审计工作提出了新的课题。
第一,如何实施对计算机财务会计软件本身的审计。实现计算机信息数据处理的财务会计软件自身的合法性、具体处理规则的准确性以及对非法处理的控制等,是决定会计信息系统提供的财务会计信息是否准确的关键要素之一。
第二,如何实施对系统数据的审计。尽管计算机会计信息系统可以按照会计制度的要求,仿照传统会计的凭证、账簿及报表等格式处理输出各类会计信息,但是,在计算机信息系统中。对数据的组织和管理模式却发生了实质性的变化。如何按照审计方案的要求获取基础数据,并进一步进行审计处理,是对系统数据实施审计的关键。
二、计算机审计的主要内容
《中华人民共和国审计法实施条例》第三十条规定:“审计机关有权检查被审计单位运用电子计算机管理财政收支、财务收支的财务会计核算系统。被审计单位应当向审计机关提供运用电子计算机储存、处理的财政收支、财务收支由于数据及有关资料”。
从《条例》所赋予的权利来看,计算机审计的对象是被审计单位的计算机财务会计核算系统(即财务会计软件)及其系统数据。
(一)对计算机财务会计软件的审计
在计算机财务会计核算系统中,会计核算的具体过程、核算方法以及对核算过程和方法的控制,基本上都是通过软件程序的方式固定实现的。这样,对会计核算过程的审计,就主要体现在对计算机财务会计软件的模式和主要功能的审计上。
1.对计算机财务会计软件模式审计
计算机财务会计软件模式,是对会计核算组织及核算业务过程的具体体现。会计核算的组织是否严密,核算业务过程是古符合内部控制制度的要求等,都可以通过对计算机财务会计软件模式审计得出结论
对计算机财务会计软件模式审计,可通过运行系统的最长业务流程和最短业务流程实现,其中,关键的业务环节的控制可通过简单运行进行检测。例如,会计制度要求,经过审核的会计凭证才能记账,就可以通过对样本凭证的审核和记账操作结果验证。
2.确保系统安全的功能审计
这主要包括两方面内容,其一,是系统的使用安全控制功能;其二,是系统的数据安全控制功能。
系统的使用安全控制,是指系统所具备的禁止非法使用和禁止越权使用的控制功能、在财务会计软件中,是通过对系统使用人员的密码设置和授权设置以及进入系统的身份验证功能实现的。对这些功能的审计,可通过简单的测试试验得出结论。
系统数据,按时间划分,可分为历史数据和当前数据;按数据的处理性质划分,可分为基础数据、中间数据和结果数据。对系统数据的管理,是按照系统数据的组织模型借助于数据库管理系统实现的。
为确保系统数据安全。系统不仅要具备对历史数据的卸出和重新装入功能,还应具备对基础数据的完整的备份与恢复功能。对这些功能的审计,不仅要测试其功能的完整性,而且要重点测试其与基础设置的一致性。例如,在存货核算系统中,若上年度采用移动平均法,本年度改为先进先出法,则对上年度的历史数据恢复后,系统对上年度的存货计价方法也应相应的采用移动平均法。
3.保留审计线索的功能评价
计算机系统中,电子数据的特点、使原有在手工方式下的直接修改数据的“痕迹”消失,但是,利用计算机的“海量”存储能力,从软件设计的理论上分析,任何处理过程都是可以记录并查询的,这就为审计线索的保留提供了技术基础。例如:应收账款的核销处理,却早需要,系统可以详细的记录每一笔核销的对应账项;同样,对于使用者对系统的每一步操作。包括其操作时间和操作内容系统都可以详细的记录,等等。当然,考虑到系统的运行效率,在财务会计软件中,应保留哪些审计线索,审计部分首先应提出具体的要求,否则,就没有评价的标准。
4.系统功能的合法化审计
系统功能合法化审计助重点,是审查软件是否提供了支持系统进行非法处理或违法处理的功能。例如:某些系统提供的“反记账”和“反结账”功能,就是支持使用者实现“无”痕迹修改历史账簿的功能。这些“违法”功能,在软件中往往隐藏较深。最直接的审计方法是分析软件的功能模型或数据组织模型,但这涉及到软件产品的技术秘密,可操作性几乎没有。这一方面内容的审计方法,本文在后面的计算机审计测试系统中介绍。
5.软件业务处理规则的审计
业务处理规则是软件系统进行某一业务处理的原则、步骤和具体算法。例如:期末转账处理,不仅有具体的各类成本费用的计算、分摊和结转的算法,税金的算法,还有严格的处理原则和结转顺序;存货成本的计算,不同的存货计价方法,其对应的业务规则是不同的;等等。业务规则是否准确,直接影响系统的运算处理结果。
对软件业务处理规则的审计,同样是十分困难的,本文在后面的计算机审计测试系统中介绍。
(二)对系统数据的审计
目前国内大部分企业计算机财务会计核算系统中,所采用的财务会计软件是由专业的软件公司研制的,专业软件设计者与系统应用者的不同,客观上限制了故意作弊的动机和可能。但是,由于财务会计软。件的通用性特点,其灵活程度足以满足使用者的部分作弊和造假需求,加之计算机系统本身数据处理的隐蔽性和不可视化的处理过程设计,使利从计算机系统作弊和造假的审计更困难,因此,对系统数据的审计在计算机审计中就更加重要。
对系统数据的审计重点包括初个方面:
1.进入财务会计核算系统的原始数据审计
由于各企业信息化的程度不同,使得企业财务会计核算系统的原始数据的获取方式不一致,按目前国内企业的实际分析,主要可分为两种类型:其一,全面实现了企业信息化(如:已实施ERP)的企业,其财务会计核算系统的原始数据,一部分源于业务系统,这部分来源于业务系统的原始数据(记账凭证为主)可以通过系统的查询功能直接查询到其对应的具体业务,另一部分来源于企业的自制记账凭证的人工输出或系统内部的机制转账凭证;其二,仅在财务会计部门实现计算机处理的企业,其系统原始数据(记账凭证为主)来源于各类凭证的人工输入和系统内部的机制转账凭证。
由于系统原始数据的复杂性。决定了传统手工审计的困难声是计算机审计系统的重点力作之一。
2.财务会计核算系统输出的财务会计信息的审计。
在财务会计软件中,对系统输出的设计,完全是一种工具化的设计,也就是说,系统具体输出什么、以何种方式输出、输出格式是怎样的?等等,基本上是由使用者决定的;软件只是提供了实现使用者输出要求的机制和功能。例如:在利润表中,尽管系统可以准确的核算出任意一个会计期间的营业收入,但是,使用者完全可以通过利润表的初始化设置,使利润表中输出的营业收入与系统的核算结果一致或不一致,而这种一致或不一致都是系统无法控制的。
因此,对财务会计核算系统输出信息的审计,同样是计算机审计系统的重点功能。
三、计算机审计的定位。
计算机在财务会计工作中的具体应用。对计算机审计提出了客观需求,计算机技术的发展,特别是计算机系统间数据接口技术的发展和数据接口标准及数据接口规范(如:XML标准等)的发展,为计算机审计提供了技术支持。
根据对计算机财务会计核算系统审计的对象和目标的不同,一部分审计工作可以在被审计单位的计算机财务会计核算系统中通过一些简单的测试进行或沿用传统的审计方式,但是,更多的工作需要计算机审计的支持。结合不同的审计目标和审计要求,计算机审计可分为:计算机审计系统和计算机审计测试系统。
(-)计算机审计系统
计算机审计系统,就是按照审计目标和审计内容的要求,获取转换被审计单位的财务会计数据,并能利用各类审计程序和审计方案进行审计处理的计算机系统。
计算机审计系统的目标是计算机财务会计核算系统的系统数据,包括系统原始数据和输出信息。
计算机审计系统应具备以下三个方面的基本功能:
1.能够按照审计要求,获取转换被审计单位的计算机财务会计核算系统的数据。
这一功能可通过统一的数据转换接口的方式实现,当然,由于各软件的设计差异,导致其系统数据组织的模型设计不同,尽管目前大部分软件都设计了输出标准数据文件格式的功能,但仍然无法满足审计的要求,这就需要有关审计管理部门,从实际审计工作出发,设计并发布统一的审计数据接口标准(或依据已有的标准),以实现计算机审计系统与计算机财务会计系统的数据对接。
2.能够按照审计方案的要求设置对获取数据的再处理业务模型
不同审计目标和审计内容的要求,具体体现为不同的审计方案,在具体的审计方案中,体现的是对数据的不同处理业务规则和具体的算法模型。部分模型可以在审计系统中以程序加方式固定,但还有一部分模型是无法固定的,这些模型需要在具体审计时,由审计人员依据审计方案进行具体的设计。
3.审计数据处理及或出和对比输出功能
审计数据处理是指按照系统设置的业务处理模型和算法模型进行系统数据重新处理的过程。
输出是按照审计要求对系统处理结果进行查询和打印输出的功能。
对比输出是指审计系统的处理结果与原系统的处理结果进行对比输出的功能。
(二)计算机审计测试系统
计算机应用系统的准确,主要取决于两个方面,即:系统基础数据及其处理的准确和系统模型及系统程序的准确,通过计算机审计系统,可部分或全面地检查计算机财务会计系统的基础数据和对数据的处理,计算机审计测试系统的目标,就是测试检查计算机财务会计系统的系统模型和系统程序。可以通过以下两个方面实现:
1.样本数据检测法
目前国内的财务会计软件,尽管各软件公司的产品不同,并且同一软件公司又有多个不同的版本。但其基本功能是基本一致他。这样就为设计统一的检测样本提供了基础。根据对财务会计软件检查的主要功能点、控制点和主要业务处理规则及相应算法的审计要求,可以设计一套全面的软件审计样本检测数据,通过与财务会计系统的数据转换接口,将样本数据导入被审计单位的计算机财务会计系统;并进一步将系统处理结果与标准结果对比。可以实现对财务会计软件的基本测试。
2.处理过程跟踪测试法
样本数据检测法,由于受到样本数据自身的限制。不可能对软件系统进行全面完整的检测和测试,特别是一些特殊的业务处理规则和软件中可能处理的概率较小的处理逻辑“错误”和个别业务的处理“陷阱”及个别的非法处理功能等,通过样本数据检测法都是难以检测的。
从财务会计软件的设计角度来看,其软件系统的具体处理过程(包括处理步骤和具体算法)及处理结果都是可以通过计算机系统自动跟踪论述的,这是处理过程跟踪测试法的基础,通过自动跟踪描述的系统处理过程和处理结果的进步分析,可进一步对系统进行测试,当然,这种方法,一方面涉及软件产品的技术秘密,另一方面其工作量也是巨大的,在关键性业务的审计时有时只有通过此方法或类似的方法才能获得效果。