國際會計師聯合會(IFAC)下設的國際審計實務委員會(IAPC)對計算機信息系統環境下的審計的研究較早,先後發布了壹系列的相關準則。到目前為止頒布了六個有關計算機信息系統環境下審計內容的國際審計準則。它們分別就單機、聯機和數據庫系統下的電子數據處理環境對會計制度和有關內部控制的研究和評價產生的影響作出補充規定。現將這幾個準則規範的內容作壹匯總介紹。
第壹,《信息系統環境下的審計》。該準則明確了在計算機信息系統環境下審計的目的與範圍,技術與能力的要求,審計計劃的考慮,內部控制研究、評價及風險評估的影響,制定與實施審計程序應關註的方面等。該準則只是為在計算機信息系統環境下的審計制定壹般原則和指導,其他五個準則或實務公告均為該準則的補充或擴展。
當在壹個計算機信息系統環境下進行審計時,審計人員應當對約定計劃中的計算機硬件、軟件和處理系統有充分的了解,並且要了解計算機信息系統對內部控制的研究與評價以及對審計程序有怎樣的影響,包括計算機輔助審計技術。審計人員還應當對執行審計程序的計算機信息系統處理有足夠的知識,這將視所采用的具體的審計方法而定。
第二,《風險評估和內部控制--計算機信息系統環境特征和考慮因素》。該實務公告為第壹項準則的補充,該公告明確了計算機信息系統環境的特征,計算機信息系統環境下內部控制的內容及評價方法。
審計人員應當收集與審計計劃有關的計算機信息系統環境的資料,包括計算機信息系統的功能情況以及計算機處理的集中或分布程度、使用的計算機硬件和軟件、數據重置情況等。
審計人員在編制全面計劃時,應當考慮下列事項:在對內部控制的全面評價中確定對計算機信息系統控制的可信賴程度;制定關於怎樣、何處與何時檢查計算機信息系統功能的計劃;制定關於利用計算機輔助審計技術進行的審計程序計劃。
第三,《計算機信息系統環境--獨立微型計算機》。該實務公告為第壹項準則的補充,該公告明確了微型計算機系統及其特征、在微型計算機環境下的內部控制、微型計算機環境對審計程序的影響等。
準則指出微機對會計制度的影響和有關的風險壹般將由下列情況而定:微機使用於會計應用處理的範圍;被處理的財務業務的類型和重要性;應用中運用的文件和程序性質。微機環境下的內部控制應當包括:管理部門對操作微型計算機的規定和控制;程序和數據安全;軟件和數據的完整性控制;硬件、軟件和數據備份控制。
第四,《計算機信息系統環境--聯機計算機系統》。該實務公告為第壹項準則的補充,該公告明確了聯機計算機系統及其特征、在聯機計算機環境下的內部控制、聯機計算機環境對審計程序的影響等。
準則強調某些壹般控制程序對聯機處理特別重要,包括存取控制、控制方面的口令、系統開發和維護控制、程序編制以及業務記錄控制。同時,對聯機處理特別重要的應用控制包括:處理前的適當授權,終端設備編輯。合理性和其他確認測試、截止測試、文件控制、余額控制。
聯機環境對會計制度的影響及其相關聯的風險,壹般將依下述而定:聯機系統用幹會計應用處理的範圍;處理的財務業務的類型和重要性;使用的應用文件和程序性質。
第五,《計算機信息系統環境--數據庫系統》。該實務公告為第壹項準則的補充,該公告明確了數據庫系統及其特征,在數據庫系統下的內部控制,數據庫環境對審計程序的影響等。
第六,《計算機輔助審計技術》。該準則為第壹項準則的擴展,該準則明確了審計軟件和測試數據兩種輔助審計技術、利用計算機輔助審計技術的範圍及需要考慮的因素、註冊會計師在計算機輔助審計技術應用中的主要工作和控制手段等。
準則指出,在下列情況下,可應用計算機輔助審計技術:在運用制度遵守性和數據真實性程序中缺少輸入文件和缺乏可見的審計蹤跡時;通過利用計算機輔助審計技術可以改進審計程序的效果和效率時。
計算機輔助審計技術有多種,國際審計準則說明其中的兩種:用於審計目的的審計軟件和數據測試技術。審計軟件可以作為審計程序的壹部分,以處理來源於單位會計制度的重要審計數據。數據測試技術是用在執行審計程序時將數據進入單位的計算機系統,並將獲得的結果同預定的結果相比較。
在編制審計計劃時,審計人員應當考慮手工和計算機輔助審計技術的適當結合,在確定是否利用計算機輔助審計技術時,需要考慮的因素包括:審計人員的計算機知識、專門技術和經驗;計算機輔助審計技術的可用性和合適的計算機設備;無法實行手工測試;效果與效率;時間因素。
信息系統審計的重點環節
[日期:2007-05-28] 來源: 作者:審計署建設建材審計局 張京奕 [字體:大 中 小]
信息系統審計是壹個通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面作出判斷的過程。
信息系統審計的方法
信息系統審計過程與壹般審計過程壹樣,分為準備階段、實施階段和報告階段。其中,準備階段和報告階段所涉及的技術方法與財務審計所運用的技術方法區別不大,而實施階段所涉及的技術方法則具有信息技術的特色。在實施階段,針對被審計的信息系統,審計人員所開展的工作可以分為三個層次,即了解、描述和測試。
計算機信息系統環境下審計技術方法與手工環境下傳統的審計技術方法相比,相應增加了計算機技術的內容。對信息系統審計的方法既包括壹般方法即手工方法,也包括應用計算機審計的方法。信息系統審計的壹般方法主要用於對信息系統的了解和描述,包括:面談法、系統文檔審閱法、觀察法、計算機系統文字描述法、表格描述法、圖形描述法等。應用計算機的方法壹般用於對信息系統的控制測試,包括:測試數據法、平行模擬法、在線連續審計技術(通過嵌入審計模塊實現)、綜合測試法、受控處理法和受控再處理法等。應用計算機技術的審計方法主要是指計算機輔助審計技術與工具的運用。但不能把計算機輔助審計技術與工具的使用過程與信息系統審計等同起來。在信息系統審計的過程中,仍然需要運用大量的手工審計技術。
信息系統審計應關註的重點環節
1.數據環節
在審計中,必須使用壹種方法能夠向前、向後追蹤單個交易和資產記錄,以便使審計人員選擇壹些交易對其進行詳細檢查,確認交易記錄是否符合壹般的審計目標。如對會計事項信息的檢查,要檢查它的完整性、時效性、合規性和信息披露等方面,檢查內容包括與本會計年度有關的交易是否全部記錄在冊;所有記錄的交易是否都是合理發生的並與本會計年度有關;記錄的交易是否數據準確,計算無誤:記錄的交易是否符合基本的和輔助的法律規定,符合特定權威機構的要求;對記錄的交易是否進行正確的分類,並符合信息對外披露的要求等。對財務報表信息的檢查,要檢查完整性、存在性、會計計量、所有權以及信息披露等方面,檢查內容包括是否記錄了所有的資產和負債:所有記錄的資產和負債是否都是存在的;對資產和負債的計量是否精確,計算方法是否符合按合理性、壹致的標準制定的會計政策的要求:確認資產是被審主體所有的、負債是被審主體應該承擔的,並且資產和負債是否由合法的經濟活動產生的;資產、負債、資本和存貨是否都得到正確的披露。同時對信息系統提供的業務信息也要進行分析,例如每月的工資總數、某階段的付款清單和訂貨信息等,要弄清基本的交易情況,並壹直追蹤到信息源。對上述信息的分析可以采用計算機輔助審計技術,按照特定的標準對數據進行匯總、分類、排序、比較和選擇,並進行各種運算。
2.內部控制環節
內部控制壹般而言是指組織經營管理者為了維護財產物資的安全、完整,保證會計信息的真實、可靠,保證經營管理活動的經濟性、效率性和效果性以及各項法律和規範的遵守,而對經營管理活動進行調整、檢查和制約所形成的內部管理機制,是組織為實現管理目標而形成的自律系統。計算機系統的內部控制主要分為應用控制、壹般控制和管理控制等三個方面,在審計過程中要對被審計單位內控制度進行評價,包括電算化系統的內控制度。為了對系統的內控制度進行評價,審計人員必須驗證內部控制系統是否存在,並能提供令人滿意的證據,證明它正在有效地發揮作用。在計算機系統中,應檢查以下方面來證明內控制度的有效性:(1)控制系統資源的存取。包括物理資源,例如終端、服務器、連接盒、相關文檔等;還包括邏輯資源,如軟件、系統文件和表、數據等。(2)控制系統資源的使用。用戶應該只能對授權給他們的那些資源進行操作。(3)建立按用戶職能分配資源的制度。把重要的任務功能按用戶或用戶組進行分離,以減少無意的誤操作、濫用系統資源和對數據的非授權修改。(4)記錄系統的使用情況。按時間順序建立壹個使用記錄,記錄內容應包括例外事例和與安全有關的事件是由誰觸發的,財務信息的創建、修改和刪除是由誰完成的。(5)確認處理過程的準確性。用產生財務控制信息,確認處理過程的準確完成。(6)管理人員對財務信息系統的修改。應該保證財務信息系統的所有修改都是經過授權、有文檔記錄、經過徹底(獨立地)測試的,確認最後以壹種有控制的方式投入使用。(7)保護財務信息系統免遭計算機病毒的襲擊。必須建立壹套控制措施,檢測病毒,防止病毒感染財務信息系統。
3.數據傳輸轉移環節
在信息系統中,有些數據需要在兩個財務信息系統或財務信息系統與業務信息系統之間相互轉移,在此過程中可能會出現壹些問題,尤其是在需要手工重新錄入時。因此在審計時要重點關註以下方面:在轉移過程中數據可能會發生變化;新的科目代碼表與老的可能不壹樣,需要在兩個財務信息系統之間建立復雜的對應關系:中心數據庫可能被壹些地理上分散的服務器取代;當前財務信息系統中的數據質量不佳;當用壹個總的信息系統取代壹個預定財務信息系統時,需要補充許多新的數據。在檢查這壹環節時,壹定要保證輸出的消息是經過批準、完整和精確的,保證輸出的消息在約定時間內準確地發送給指定的接收者,保證流人的消息是完整、準確和真實可靠的。
信息系統審計案例分析
2006年,在對某酒店開展的審計中,對酒店信息系統的安全性、可靠性進行了測試。測試結果發現信息系統在數據傳輸和運算上存在錯誤,通過數據驗證,證明錯誤產生的原因是由信息系統本身缺陷造成的。上述審計結果得到了被審計單位的認可,促使被審計單位更換了信息系統,提高了計算機管理水平。
這次審計之所以能取得壹定的效果,主要是註意從數據和內控制度入手,利用計算機輔助審計技術和手工審計技術相結合開展信息系統審計。(1)在數據環節上,信息系統審計和數據審計對系統數據的利用角度是不壹樣的。數據審計側重於數據之間的關聯,是審計數據的結果;而信息系統審計側重於數據的真實完整性,是通過測試數據的真實完整性來審計信息系統的安全性和可靠性。在審計中,通過詳細了解信息系統的數據庫結構,對比數據庫中表文件的記錄數量大小和字段完整程度,確定需要查詢的數據庫表文件,把主表的數據完整性作為重點的測試目標。(2)在內部控制和數據傳輸環節,通過繪制組織機構圖、系統流程圖和現場走訪等方式,全面了解酒店的業務流程和工作特點。通過摸清酒店的業務流程,跟蹤基礎數據流在業務流程中的走向,鎖定數據的大量運算點,是確定審計方向的關鍵。信息系統中所有業務活動的發生都集中體現在基礎數據流上,基礎數據流是壹個信息系統的重要構成要素,數據的大量運算點是測試系統運行安全性和可靠性的關鍵點。在此基礎上,確定了年審日報匯總、會議團體客房轉賬和業務系統與財務核算系統手工傳輸數據三個系統模塊,作為對信息系統進行安全性、可靠性測試的重點。這三個模塊是信息系統內數據大量運算和系統間傳輸數據的關鍵點,由於基礎數據在運算、自動傳輸和手工傳輸過程中存在發生錯誤和被調整修改的可能性,因此利用計算機輔助審計技術進行驗證。
在驗證過程中,通過分步驟編寫查詢語句和程序,調出數據生成中間表進行比對,發現疑點,根據疑點特征繼續比對,直到發現錯誤點。在SQL語句不能保證完成大批量查詢和比對任務的情況下,采用計算能力更強、運算速度更快的JAVA來編寫查詢程序,起到了事半功倍的效果。