网络环境下内部控制审计方法新探
来源:
2005-02-10
普通
作为内部控制制度的三大组成要素:控制环境、会计系统、控制程序,在网络经济的发展中出现新特点,给审计注入了新生命,并为网络审计提出了新视点。
(一)网络内部控制制度
在对计算机环境下的内部控制制度进行审计时,应在其组成要素的基础上进一步对内部控制主体进行分类,并对相应分类下的内部控制内容进行有重点的了解,方能完整认识内部控制制度信息化下出现的新特点。
内部控制制度从控制主体上可以分为程序系统控制与管理制度控制。程序系统是指计算机硬软件系统,主要是网络系统和会计软件。程序系统控制主要是靠软件本身功能来实现的内部控制机制,以实现系统的自我保护,主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。程序系统控制的责任者是软件开发部门,用户不应负有责任;管理制度控制一般是以管理制度的形式实行的,包括组织、操作、维护和资料保管等方面。
作为网络经济直接产物的程序系统控制是网络信息环境下的基础性和根本性的内部控制,管理制度控制只是作为其附产品而进行内容更新。当然,传统的内部控制审计方法如询问、检查、观察方法对于管理制度控制的审计仍然是重要的,但是对程序系统控制的审计来说,必须在传统方法上利用网络审计技术才能获得充分而适当的审计证据,进而实现全面了解测试网络环境下的内部控制审计目标。
(二)网络内部控制审计方法
在网络审计中需要多种多样的网络审计技术,许多审计方法在仍在探索与研究中。笔者只就网络化环境下的一些适用内部控制的审计方法进行简单介绍。
1.黑匣嵌入审计。指通过在被审计单位的会计系统中嵌入具有记录功能的程序模块,采集审计所关心的关键数据,并对被审计单位会计信息生成过程和性质进行记录。这种方法需要在网络信息系统设计时,就要强制性地对系统功能目标进行规范。
此种方法特点在于:—方面,嵌入会计系统的审计模块本身具有隐蔽性,另一方面此模块能对被审汁单位的会计信息系统操作情况,进行序时记录,,利用此种审计方法,可获得的审计证据有:是否有不合法而进行使用有口令的程序(如数据修改程序);是否有未经批准而调用某数据文件;是否有越权使用系统;是否擅自调阅,擅自修改审计“交易轨迹”的操
作。
2.系统备份加密审计。
指将被审计单位的会计信息系统进行备份,如同发票复写,并建立一套备份加密制度,以便保持备份数据安全性,真实性和可靠性。审计机构或专门的外部独立的数据信息管理服务机构均可作为备份机构,但至少一份备份数据由执行审计业务的审计机构来保存并适当加密。
此种方法特点在于它的实时性。如对电子签章的审计,就可通过比较需审计的签章与备份记录的原始签章来实现。利用此种方法可获得企业会汁信息是否被非法改动的证据。
3.穿行测试审计。
指利用模拟数据将被审计单位的有关数据输入被审计单位的程序控制系统,进行数据重新处理,来获得测试数据,将测试数据与被审计单位的会计信息对比来获得审计证据。
此种方法可以对程序控制系统本身质量和功能进行审计,系统的好坏直接影响数据的安全性和完整性,因此系统自身的审计亦是网络环境下内部控制中必不可少的内容。在设计时可采用平行虚拟数据测试、非正常数据测试、平行运行测试等方法。
作者:张辉(北京承天冀科技有限公司)
(一)网络内部控制制度
在对计算机环境下的内部控制制度进行审计时,应在其组成要素的基础上进一步对内部控制主体进行分类,并对相应分类下的内部控制内容进行有重点的了解,方能完整认识内部控制制度信息化下出现的新特点。
内部控制制度从控制主体上可以分为程序系统控制与管理制度控制。程序系统是指计算机硬软件系统,主要是网络系统和会计软件。程序系统控制主要是靠软件本身功能来实现的内部控制机制,以实现系统的自我保护,主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。程序系统控制的责任者是软件开发部门,用户不应负有责任;管理制度控制一般是以管理制度的形式实行的,包括组织、操作、维护和资料保管等方面。
作为网络经济直接产物的程序系统控制是网络信息环境下的基础性和根本性的内部控制,管理制度控制只是作为其附产品而进行内容更新。当然,传统的内部控制审计方法如询问、检查、观察方法对于管理制度控制的审计仍然是重要的,但是对程序系统控制的审计来说,必须在传统方法上利用网络审计技术才能获得充分而适当的审计证据,进而实现全面了解测试网络环境下的内部控制审计目标。
(二)网络内部控制审计方法
在网络审计中需要多种多样的网络审计技术,许多审计方法在仍在探索与研究中。笔者只就网络化环境下的一些适用内部控制的审计方法进行简单介绍。
1.黑匣嵌入审计。指通过在被审计单位的会计系统中嵌入具有记录功能的程序模块,采集审计所关心的关键数据,并对被审计单位会计信息生成过程和性质进行记录。这种方法需要在网络信息系统设计时,就要强制性地对系统功能目标进行规范。
此种方法特点在于:—方面,嵌入会计系统的审计模块本身具有隐蔽性,另一方面此模块能对被审汁单位的会计信息系统操作情况,进行序时记录,,利用此种审计方法,可获得的审计证据有:是否有不合法而进行使用有口令的程序(如数据修改程序);是否有未经批准而调用某数据文件;是否有越权使用系统;是否擅自调阅,擅自修改审计“交易轨迹”的操
作。
2.系统备份加密审计。
指将被审计单位的会计信息系统进行备份,如同发票复写,并建立一套备份加密制度,以便保持备份数据安全性,真实性和可靠性。审计机构或专门的外部独立的数据信息管理服务机构均可作为备份机构,但至少一份备份数据由执行审计业务的审计机构来保存并适当加密。
此种方法特点在于它的实时性。如对电子签章的审计,就可通过比较需审计的签章与备份记录的原始签章来实现。利用此种方法可获得企业会汁信息是否被非法改动的证据。
3.穿行测试审计。
指利用模拟数据将被审计单位的有关数据输入被审计单位的程序控制系统,进行数据重新处理,来获得测试数据,将测试数据与被审计单位的会计信息对比来获得审计证据。
此种方法可以对程序控制系统本身质量和功能进行审计,系统的好坏直接影响数据的安全性和完整性,因此系统自身的审计亦是网络环境下内部控制中必不可少的内容。在设计时可采用平行虚拟数据测试、非正常数据测试、平行运行测试等方法。
作者:张辉(北京承天冀科技有限公司)