試論會計信息化審計

周映群　何永斌

所謂會計信息化審計是指審計人員接受委托或授權，收集并評估證據以判斷一個計算機系統（主要會計信息系統）是否有效做到保護資產、維護數據完整并最有效率地完成組織目標的活動過程。它既包括信息系統外部審計的鑒證目標——即對被審計單位的信息系統保護資產安全及數據完整的鑒證，又包含內部審計的管理目標——即不僅包括被審計信息系統，保護資產安全及數據完整，而且包括信息系統的有效性目標。

一、會計信息化審計與電算化審計的區別

會計信息化審計來源于會計電算化，但它們有著本質的區別，首先，會計電算化審計只是將計算機僅僅當作手工作業審計的工具和奴隸，只意味著審計手段的改變；其次，會計電算化審計對象局限于財政財務收支，難以擴大到與經濟效益有關的經營管理和其他領域；第三，電算化會計技術由于模擬手工作業審計的審計過程，不僅未充分考慮計算機信息系統的特點（如：隱形化、程序化、不盡安全等），而且未充分利用現代信息技術（通訊、網絡等）的特點和優勢，這不能不說是對現有資源的巨大浪費；同樣，如果只把計算機網絡應用于先進的工作程序的自動化，也是沒有認識到它的潛能。但會計信息化審計則不同，它是建立在對現代信息技術（計算機、網絡和通信等）、對傳統審計模式進行重構，并在重構的現代化審計模式上通過評價來控制會計信息系統。據此發展的會計信息化審計技術就是在計算機系統中模擬社會的審計工作，對計算機系統的活動進行監視和記錄的一種安全技術。運用會計信息化審計技術的目的就是讓對計算機系統的各種訪問留下痕跡，使計算機犯罪行為留下證據，計算機審計技術的運用形成了會計信息化審計系統。會計信息化審計是適應變化后環境的需要。計算機網絡帶來的會計系統的開放與系統共享，而開放與共享應是以安全為基礎的。企業一方面通過網絡開放自己，向全世界推銷自己的形象和產品，實現電子貿易、電子信息交換，但也需要守住自己的商業秘密、管理秘密和財務秘密，而其中實現了電子化即具有貨幣價值的會計秘密、理財秘密是最重要的。會計信息化審計要求我們有必要創造一個安全的環境，抵抗來自系統內外的各種干擾和威脅，做到該開放的開放該共享的共享，該封閉的要讓黑客無奈。因此，無論是從數據的完整、真實、及時方面，還是從審計線索清晰度與系統安全方面來看，信息化審計是電算化審計基礎上一個質的飛躍。

二、會計信息化審計的主要內容及方法

會計信息化審計包含兩層意思：一是對信息化會計系統的審計，二是利用網絡進行輔助審計。但是，由于現代信息技術已發展到第二階段 —— 網絡信息技術階段，從而使會計信息化審計與電算化審計及傳統手工審計相比，在審計內容和方法上有了很大的不同。其主要內容及方法如下：

（一）審計線索的追蹤審查

在手工會計系統中，每一個步驟都會產生相應的紙性介質的會計資料，審計線索十分清楚；在電算化會計系統中，加工過程的自動化可能導致部分可視性線索消失，但交易伙伴間的信息交換大多還是通過紙面文件的形式來完成，審計人員可以利用“繞過計算機審計方法”獲得所需的審計證據；在信息化會計系統中，許多業務的談判、簽約甚至交易，都是在網上進行，資金的結算也通過信用卡等在網上交割，經濟業務信息按一定程序在網上自動生成會計信息并傳送，整個交易過程幾乎呈現無紙化態勢，審計人員很難獲取所需的審計線索。因此，必須采用如下方法來保留審計線索：①在系統內建立日志和追蹤文件，以審查在數據處理過程中是否有過渡文件被修改和處理。②在審計機構和簽字確認的單位同時形成原始數據的備份或在不同部門各自形成相關的數據庫，這樣既可以相互監督，又可以使審計線索得以保留。③還可采取就地審計和突擊審計的方式，以防程序員對被審系統的應用程序加以篡改，防止操作員對被審計系統數據文件進行增加、刪除、修改等。

（二）信息化會計系統的安全性審計

在網絡環境下，由于網絡的開放性，一方面提供了會計信息的共享性，另一方面，電子形式的會計信息又會受到諸如網絡故障、計算機病毒、計算機黑客和非法者入侵等潛在威脅的影響，這些都會嚴重威脅會計信息和數據的安全、完整，嚴重時可能導致會計信息系統的崩潰。這樣在信息化審計中，保障會計信息的安全性，以控制審計風險，就顯得比以往更加突出，并成為信息化審計的最重要問題之一。因此，審計人員應從制度化控制和程序化控制兩方面加強系統安全審計：①了解被審企業對國家及上級主管部門頒發的計算機法規條例的遵守情況，檢查被審企業是否建立、完善并實施系列安全管理制度；②定期進行系統安全測試，以評價系統數據加密、身份認證、用戶授權、反病毒、防火墻等安全技術應用的合法性及有效性。

（三）信息化會計系統的內部控制審計

在網絡環境下，由于系統建立和運行的復雜性，內部控制的范圍也相應擴大。因此，對信息化會計系統內部控制的審計也應有所改進，具體內容如下：①通過訪談了解被審單位有沒有制定適當的權限標準體系，崗位人員是否按照所授予的權限對系統進行操作。②審查是否將系統內不相容職務劃分清楚，在數據輸出時，對不同密級的數據授予不同的權限。③被審單位的系統操作是否遵循一定的標準、操作規程進行，即是否建立了嚴格的硬件操作規程、作業運行規程、用機時間記錄規程以及操作員訪問系統的標準操作規程。④審查是否建立了數據備份與數據檔案管理制度。系統（包括數據）管理和備份數據與軟件管理是否由不同人承擔，系統進行備份數據恢復時，是否由具體操作員和主管共同批準。

（四）對信息化會計系統應用程序的審計

信息化審計中對會計系統應用程序的審計目標有兩個：①程序處理過程是否與有關的標準及法規相符。②考核程序對錯誤的檢驗和控制情況。為達到審計目標，可運用包括符合性測試和實質性測試在內的多種測試方法，對被審計應用程序運行過程中產生的數據的準確性、可靠性、合法性進行驗證；也可運用在被審系統中設立的審計控制點，定時與不定時地、成批或實時地收集有關審計數據，以進行審計驗證。另外，還應結合被審系統的特點，采用一些專門的技術和方法，例如模擬數據測試法、人工測試法、計算機輔助法、審計程序測試法等。

（五）充分利用網絡進行輔助審計

在網絡環境下，審計人員應充分利用網絡資源的優勢，在審計各個工作階段實施網絡輔助審計，以提高審計工作效率：①利用網上Microsoft office 軟件強大的計算、分析、制表及文字編輯功能，可編制各類審計工作底稿，并可制成相應的文件供隨時調用和遠程發送；②通過計算機網絡自動收集有關審計綜合信息、審計法規信息、審計項目信息、審計內審信息等，為審計工作提供相關信息；③利用Internet的超級鏈接功能，在網上檢索被審企業的基本業務信息；在取得被審企業的網絡管理權限后可查詢并復制重要的財務信息；④借助嵌入審計程序對網上數據處理的一些敏感環節進行實時動態的監控，以滿足審計的需要；⑤利用 E-mail 向銀行、稅務、工商及往來單位發出電子郵件對被審企業的支付能力、納稅情況和信用狀況進行調查與評價，以獲取有用的審計證據；⑥利用桌面視頻會議系統支持視頻、聲音、文件瀏覽協同修改等特點隨時召開可視會議，進行調查、座談和取證，并可就重大審計問題進行網上專家會診。

三、會計信息化審計所面臨的系統安全問題及其對策

會計信息系統所面臨的風險主要有：①利用網絡及安全管理的漏洞窺探用戶口令或電子賬號，冒充合法用戶作案，篡改磁性介質記錄竊取資產。②利用網絡遠距離竊取企業商業機密以換取錢財，或利用網絡傳播計算機病毒以破壞企業信息系統。③建立在計算機網絡基礎上的電子商貿趨向“無紙化”，越來越多經濟業務的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過電子貨幣賬單、銀行結算單及其他賬單，就有可能將公私財產的所有權進行轉移。

針對信息系統所存在的風險，在審計過程中首先應了解企業網絡的基礎情況；其次要達到安全控制的目標(主要包括保證系統運轉正常，數據完整可靠，保障數據的有效備份與系統的恢復能力，對系統資源使用的授權與限制等)；還要了解企業現行的安全控制情況及潛在的漏洞。審計人員應充分取得目前企業對網絡環境的安全保密計劃，了解所有有關的控制目標的實現情況，系統還有哪些潛在的漏洞。并利用各種技術工具產品如網絡安全測試產品、網絡監視產品、安全審計分析器，對企業現有的安全控制措施進行測試。

同時，我們在判斷一個系統是否安全，不能單從雙方當事人的判斷做出結論，而必須有第三方的專業審計人員通過審計做出評價，這時審計人員必須具有獨立性，站在公正、公平和中立的立場、角度做出客觀的評價，這種獨立性主要表現在以下兩個方面：①不管是在操作系統中還是在應用軟件中，審計系統都應作為一個獨立的系統而存在。②設立工作獨立、行為自主的計算機系統審計員。

另外，雖然如Netware、Windows、NT、UNIX等網絡安全操作系統，均提供了審計所需的安全功能，但由于操作系統提供的是面向整個系統的審計功能，不能考慮到各種應用軟件的具體情況，不能很好地滿足各種客戶的需要。因此，計算機用戶可以根據應用軟件的特點和自身需要，設計出有針對性的應用軟件審計系統。我們說從會計電算化到會計信息化審計，并不僅僅是一個名詞的改變，它更代表一種改革的觀念、一種新的審計思想、一種普遍的大趨勢。它將在網絡通信飛速發展的今天日益得到發展與完善，構筑新的審計理論框架。

（作者單位：云南財貿學院會計學院溫州大學計算機科學與工程學院）