浅谈计算机审计的运用
来源: 中国注册会计师·江前忠
2005-10-15
普通
在计算机化会计系统环境下,传统审计技术和方法中的相当一部分仍然可利用,但是计算机数据处理与手工处理有许多不同点,从而产生许多独特的计算机审计技术和工具。本文拟对计算机审计的过程和具体的审计技术进行讨论。
一、计算机审计的过程
与传统手工审计一样,计算机审计过程可分成接受业务、编制审计计划、实施审计和报告审计结果等四个阶段。其中重点是计算机审计实施阶段,包括计算机信息系统的内部控制评价和对计算机系统所产生的会计数据(信息)进行测试评价。计算机审计过程具体可细分为以下主要步骤。
1.准备阶段。
①了解企业基本情况,与企业的有关人员初步面谈并查阅其会计电算化系统的基本资料,归纳出被审计系统的特点和重点。
②组织审计人员和准备所需要的审计软件。根据被审计企业会议电算化系统的构成特点,复杂程度可选择安排有计算机审计经验的注册会计师担任项目负责人,组成审计小组,准备审计软件。如果对某审计项目需要特殊的审计软件,还必须组成一个专门小组预先开发好所需要的软件,以保障审计工作顺利开展。
2.内部控制的初步审查。初步审查的目标是使审计人员了解计算机信息系统在会计工作中的应用程度,初步熟悉电算化会计系统的业务流程和内部控制的基本结构,包括从原始凭证的编制到各种会计报表的输出的整个过程。一般采用如下的检查和会谈:
①审阅上期的审计报告和管理建议书,初步了解上期系统的弱点。
②检查会计电算化系统的文档和系统使用手册,了解系统模块结构、名称、数据库以及相应的功能。
③检查输入数据的基本依据(电子数据和有关的原始凭证),初步了解企业会计原始数据产生的内部控制制度的基本情况。
④针对一些基本情况和上述检查发现的问题,与会计人员、系统开发和维护人员、程序员面谈,以便得到与司题相关的背景资料。
⑤初步审查数据处理流程图,了解原始数据的起点、文件名称和系统内的代码、数据经过的单位或部门、数据的终点和保管的措施,以及对产生和使用数据的单位的内部控制,并制作必要的简明数据流程图。
同时,审计人员还要对下列资料进行了解:
①系统安装日期、计算机硬件系统的型号、机房的基本管理设施、系统管理制度、系统的负荷量(数据处理量)。
②系统的组织结构、各级管理的职责,以及计算机系统的负责人和系统管理人员。
③系统内务应用子系统的控制类型和主要经济业务。
3.初步审查结果的评价。初步审查后,审计人员必须从整个会计信息系统内部控制的角度出发,评价初步审查的结果,确定内部控制的可行性程度,并作出结论。其结论可按以下三种方式之一作出:
①退出审计。由于缺乏实施审计的技术或内部控制不可依赖等许多问题,审计人员可针对这些问题提出一些管理建议并退出审计。
②对一般控制和应用控制进一步详细的审查。这一方式是在初步审查表明内部控制有可依赖性的情况下采取的,实质性测试可作一些简化。
③决定不依赖于内部控制。作出这一决定可能有两种原因:一是直接进行实质性测试更容易达到预定的审计目标;二是因为计算机内部控制系统可能不完善,各应用系统的用户自己增加了一些必要的补充控制,对补偿控制进行测试更易于达到审计的目的。
初步审查是通过应用面谈、实地检查观察、阅读内控制度和有关系统分析设计的文档、填制内控制度调查表等方法取得初步审查结果,并对这些结果作出评价,为下一步应当怎样审计提供必要信息。
4.内部控制的深入审查。与初步审查一样,审计人员要判断是否退出审计,或是依赖系统的内部控制进入下一阶段符合性测试,或是直接进入实质性测试过程。对于某些应用子系统,审计人员可决定依赖于其内部控制,也可采用其他更适宜的审计过程。
5.符合性测试阶段。符合性测试阶段的目标是寻找证据确定计算机系统的内部控制制度是否在发挥作用,以及实际存在的控制制度是否可信赖。除了在前面审查中所用手工收集证据方法仍可用外,在这一步骤,审计人员基本上是用计算机辅助收集证据和验证审计计划中已提出的各项控制制度是否可依赖。
6.用户补偿控制的审查和测试。在某些情况下,审计人员可能决定不依赖计算机系统的内部控制,因为应用于系统的用户采用了一些补充控制来补充原控制制度的弱点。
7.实质性测试。实质性测试阶段的目标是取得充分的证据,使审计人员能作出计算机系统在各重大方面是否偏离公允性或存在哪些弱点的最后判断,实质性测试可分为六类:
①出错处理的测试;
②数据质量的测试;
③数据一致:性的测试;
④实物盘点与计算机系统中的数据比较测试;
⑤利用外部数据资源对系统内的数据进行的测试;
⑥分析性检查测试。
8.全面评价和编制审计报告。通过上述的审计步骤,审计证据和对各项目的初步评价结果已经形成,但这些证据和初步评价的结果是比较分散的。全面评价的目的是将收集到的审计证据和初步评价结果进行综合,筛选出重要的证据和主要的问题,将这些问题和证据作为重点进行综合评价。评价的范围包括对会计数据的公允性、内控制度的健全性和有效性,以及会计电算化系统的效率性和效益性。在评价结果的基础上编制客观公正的审计报告和管理建议书。在报告提供给委托人之前,还应当征求被审计企业的意见,必要时对重大的问题进行追加审计,以保证审计报告和管理建议书有更高的可信度。编制审计报告和建议书的基本过程和方法都与传统审计一样。但应当注意的是,应用计算机进行审计,其审计结果汇总评价的许多方面可由计算机自动完成,甚至最终的审计报告也可由计算机辅助完成。
二、计算机审计的种类及其技术
1.审计管理计算机化技术。计算机审计是一件复杂的工作,如果不借助计算机管理整个审计过程,就会出现许多问题并产生不良的后果。因此,应建立必要的审计管理数据和管理软件,为审计管理决策提供各项管理决策信息。
2.内部控制制度的评价测试技术。内部控制的审查和评价主要是为了找出以下问题的答案:
①系统内的部门和人员是否实施充分的职责分离和监督?
②数据文件。系统文档和软件的拷贝是否设有必要的控制制度?
③软件维护、数据修改是否有控制制度?利用控制则试技术可揭示内部控制的弱点,提出改进建议,保障内部控制制度正常发挥作用。
3.数据库或数据文件的审计技术。对数据库或数据文件的审计技术主要是为确保数据的完整性而创立的。计算机审计人员可利用这些技术获取所需的审计证据,并对这些证据进行评价,从而判断数据是否真实、可靠、完备、合法、合规。
4.应用软件的审计技术对用户的应用软件的审计主要是要评价一个系统的软件质量。软件质量的好坏直接影响数据的安全性和完整性。为确保系统发挥正常的作用,对软件的审计,尤其是对软件的维护审计,是一项重要的经常性的工作。这项审计也是计算机审计中最难的,需要有较熟练的计算机软件开发维护以及编程技术。
5.系统开发和维护的评价技术。新系统的开发和维护是为了改进原来系统的功能。在开发前一般都设定用户的目标,开发新软件就是根据这些目标进行的。但作为系统用户要清晰了解新软件是否达到既定的要求,需要对新系统在试运行期间进行必要的审计。所以这一审计技术比较特殊。
一、计算机审计的过程
与传统手工审计一样,计算机审计过程可分成接受业务、编制审计计划、实施审计和报告审计结果等四个阶段。其中重点是计算机审计实施阶段,包括计算机信息系统的内部控制评价和对计算机系统所产生的会计数据(信息)进行测试评价。计算机审计过程具体可细分为以下主要步骤。
1.准备阶段。
①了解企业基本情况,与企业的有关人员初步面谈并查阅其会计电算化系统的基本资料,归纳出被审计系统的特点和重点。
②组织审计人员和准备所需要的审计软件。根据被审计企业会议电算化系统的构成特点,复杂程度可选择安排有计算机审计经验的注册会计师担任项目负责人,组成审计小组,准备审计软件。如果对某审计项目需要特殊的审计软件,还必须组成一个专门小组预先开发好所需要的软件,以保障审计工作顺利开展。
2.内部控制的初步审查。初步审查的目标是使审计人员了解计算机信息系统在会计工作中的应用程度,初步熟悉电算化会计系统的业务流程和内部控制的基本结构,包括从原始凭证的编制到各种会计报表的输出的整个过程。一般采用如下的检查和会谈:
①审阅上期的审计报告和管理建议书,初步了解上期系统的弱点。
②检查会计电算化系统的文档和系统使用手册,了解系统模块结构、名称、数据库以及相应的功能。
③检查输入数据的基本依据(电子数据和有关的原始凭证),初步了解企业会计原始数据产生的内部控制制度的基本情况。
④针对一些基本情况和上述检查发现的问题,与会计人员、系统开发和维护人员、程序员面谈,以便得到与司题相关的背景资料。
⑤初步审查数据处理流程图,了解原始数据的起点、文件名称和系统内的代码、数据经过的单位或部门、数据的终点和保管的措施,以及对产生和使用数据的单位的内部控制,并制作必要的简明数据流程图。
同时,审计人员还要对下列资料进行了解:
①系统安装日期、计算机硬件系统的型号、机房的基本管理设施、系统管理制度、系统的负荷量(数据处理量)。
②系统的组织结构、各级管理的职责,以及计算机系统的负责人和系统管理人员。
③系统内务应用子系统的控制类型和主要经济业务。
3.初步审查结果的评价。初步审查后,审计人员必须从整个会计信息系统内部控制的角度出发,评价初步审查的结果,确定内部控制的可行性程度,并作出结论。其结论可按以下三种方式之一作出:
①退出审计。由于缺乏实施审计的技术或内部控制不可依赖等许多问题,审计人员可针对这些问题提出一些管理建议并退出审计。
②对一般控制和应用控制进一步详细的审查。这一方式是在初步审查表明内部控制有可依赖性的情况下采取的,实质性测试可作一些简化。
③决定不依赖于内部控制。作出这一决定可能有两种原因:一是直接进行实质性测试更容易达到预定的审计目标;二是因为计算机内部控制系统可能不完善,各应用系统的用户自己增加了一些必要的补充控制,对补偿控制进行测试更易于达到审计的目的。
初步审查是通过应用面谈、实地检查观察、阅读内控制度和有关系统分析设计的文档、填制内控制度调查表等方法取得初步审查结果,并对这些结果作出评价,为下一步应当怎样审计提供必要信息。
4.内部控制的深入审查。与初步审查一样,审计人员要判断是否退出审计,或是依赖系统的内部控制进入下一阶段符合性测试,或是直接进入实质性测试过程。对于某些应用子系统,审计人员可决定依赖于其内部控制,也可采用其他更适宜的审计过程。
5.符合性测试阶段。符合性测试阶段的目标是寻找证据确定计算机系统的内部控制制度是否在发挥作用,以及实际存在的控制制度是否可信赖。除了在前面审查中所用手工收集证据方法仍可用外,在这一步骤,审计人员基本上是用计算机辅助收集证据和验证审计计划中已提出的各项控制制度是否可依赖。
6.用户补偿控制的审查和测试。在某些情况下,审计人员可能决定不依赖计算机系统的内部控制,因为应用于系统的用户采用了一些补充控制来补充原控制制度的弱点。
7.实质性测试。实质性测试阶段的目标是取得充分的证据,使审计人员能作出计算机系统在各重大方面是否偏离公允性或存在哪些弱点的最后判断,实质性测试可分为六类:
①出错处理的测试;
②数据质量的测试;
③数据一致:性的测试;
④实物盘点与计算机系统中的数据比较测试;
⑤利用外部数据资源对系统内的数据进行的测试;
⑥分析性检查测试。
8.全面评价和编制审计报告。通过上述的审计步骤,审计证据和对各项目的初步评价结果已经形成,但这些证据和初步评价的结果是比较分散的。全面评价的目的是将收集到的审计证据和初步评价结果进行综合,筛选出重要的证据和主要的问题,将这些问题和证据作为重点进行综合评价。评价的范围包括对会计数据的公允性、内控制度的健全性和有效性,以及会计电算化系统的效率性和效益性。在评价结果的基础上编制客观公正的审计报告和管理建议书。在报告提供给委托人之前,还应当征求被审计企业的意见,必要时对重大的问题进行追加审计,以保证审计报告和管理建议书有更高的可信度。编制审计报告和建议书的基本过程和方法都与传统审计一样。但应当注意的是,应用计算机进行审计,其审计结果汇总评价的许多方面可由计算机自动完成,甚至最终的审计报告也可由计算机辅助完成。
二、计算机审计的种类及其技术
1.审计管理计算机化技术。计算机审计是一件复杂的工作,如果不借助计算机管理整个审计过程,就会出现许多问题并产生不良的后果。因此,应建立必要的审计管理数据和管理软件,为审计管理决策提供各项管理决策信息。
2.内部控制制度的评价测试技术。内部控制的审查和评价主要是为了找出以下问题的答案:
①系统内的部门和人员是否实施充分的职责分离和监督?
②数据文件。系统文档和软件的拷贝是否设有必要的控制制度?
③软件维护、数据修改是否有控制制度?利用控制则试技术可揭示内部控制的弱点,提出改进建议,保障内部控制制度正常发挥作用。
3.数据库或数据文件的审计技术。对数据库或数据文件的审计技术主要是为确保数据的完整性而创立的。计算机审计人员可利用这些技术获取所需的审计证据,并对这些证据进行评价,从而判断数据是否真实、可靠、完备、合法、合规。
4.应用软件的审计技术对用户的应用软件的审计主要是要评价一个系统的软件质量。软件质量的好坏直接影响数据的安全性和完整性。为确保系统发挥正常的作用,对软件的审计,尤其是对软件的维护审计,是一项重要的经常性的工作。这项审计也是计算机审计中最难的,需要有较熟练的计算机软件开发维护以及编程技术。
5.系统开发和维护的评价技术。新系统的开发和维护是为了改进原来系统的功能。在开发前一般都设定用户的目标,开发新软件就是根据这些目标进行的。但作为系统用户要清晰了解新软件是否达到既定的要求,需要对新系统在试运行期间进行必要的审计。所以这一审计技术比较特殊。