實施電算化會計審計的基本方法

摘 要:會計電算化帶來的會計環境的變化，需要審計活動做出相應的調整#65377;會計電算化條件下的審計工作，需要正確評審被審計單位的電算化系統，并考慮使用適合電算化條件的審計技術方法#65377;

關 鍵 詞:會計電算化;審計;方法

中圖分類號:F239.1 文獻標識碼:A文章編號:1006-3544(2007)03-0032-02

電子計算機在管理活動和會計系統中的應用，使得傳統的手工數據處理系統轉變為電子數據處理系統即電算化會計信息系統，會計環境的發展變化需要審計活動做出相應的調整#65377;

一#65380;評審被審計單位的電算化系統

隨著信息技術的發展，越來越多的經濟組織使用計算機進行業務管理和財務處理#65377;信息技術在財務會計領域的廣泛使用，使得財務信息的載體#65380;會計數據生成的途徑和方式#65380;審計的軌跡#65380;管理和控制的方法等都發生了新的變化#65377;《中華人民共和國國家審計基本準則》第二十六條規定:“在計算機審計信息系統環境下進行審計，不應改變審計方案確定的審計目標和范圍#65377;”要遵守審計準則的這一要求，保證審計的質量，審計人員必須做好兩個方面的工作#65377;一是正確評審被審計單位的電算化系統，二是要考慮使用適合電算化條件的審計技術方法#65377;

1.電算化系統的風險分析及對審計方案的影響#65377;在對實行電算化的單位實施審計時，首先要考慮電算化對被審計單位財務會計資料真實性可能產生的影響#65377;也就是說要對電算化系統的風險進行分析，以便審計人員確立正確的風險意識，并能在審計中使用有針對性的審計方法#65377;由于電算化系統具有其獨特的屬性，如果被審計單位控制不當，就可能從以下幾個方面影響會計信息的正確性:允許匿名處理經濟和會計業務，減少會計責任;移去或者模糊審計線索;允許未經授權的會計數據修改，或者不留相應痕跡的會計記錄修改;易受到遠程的和未經授權的訪問和攻擊;隱藏或者進行一些不可見的處理;通過分布式系統廣泛地分散數據等#65377;正是由于實行電算化后存在上述風險，審計人員在編制審計方案前需要對這些風險進行分析，并在編制審計方案時，確定適當的審計方法，對相關控制的有效性和所產生數據的正確性進行審查評價#65377;在制定審計方案時，應當就以下幾個方面進行分析，并做出相應的決策:是否需要聘請IT審計專家參加審計;IT系統對被審計單位以及每一會計領域風險評估的影響;是否使用計算機輔助審計技術以支持審計，訪問和分析業務數據使用何種軟件工具最合適;對被審計單位的計算機控制系統的信賴程度等#65377;審計人員必須把這些事予以考慮，并寫入審計方案#65377;

2.對電算化系統進行評審的主要內容#65377;對電算化系統的評審主要由以下三部分組成:(1)對被審計單位電算化系統背景信息的評審#65377;對背景信息評審的目的是為了弄清和收集被審計單位電算化系統硬件和軟件的基本情況，包括計算機系統的大小#65380;類型以及技術復雜性等，使得審計人員能夠決定是否需要專業的IT審計支持，并考慮審計是否在未來介入被審計單位財務電算化系統的技術和開發#65377;(2)電算化控制環境的評審#65377;由于電算化系統控制環境中的弱點能夠削弱每個財務應用程序中控制的有效性，審計人員需要對其控制環境開展專門的評審#65377;對控制環境評審的目的，是為了確定電算化系統總體控制環境中控制強度#65380;弱點和風險#65377;在電算化系統總體控制環境中確定的風險可能削弱植于應用程序中的控制的有效性，因而是被審計單位的固有風險#65377;對電算化系統控制環境評審的內容，主要是對計算機部門#65380;系統軟件和IT硬件中的控制措施進行評審#65377;包括:有關職責的分離;物理訪問控制;邏輯訪問控制;操作控制;變更管理程序;災禍恢復方案;外部IT服務提供商的使用;用戶自行開發和運行的應用程序的控制#65377;評審的方法通常是從詢問被審計單位IT策略方面的戰略性問題開始，以便審計人員能夠檢查客戶的IT策略#65380;系統管理#65380;內部控制以及安全策略的充分性#65377;審計人員要確定電算化財務信息系統總體IT審計風險的程度和屬性，以便在審計方案中提出相應的檢查措施#65377;(3)電算化系統應用程序的評審#65377;對應用程序進行評審是為了檢查存在于各具體財務應用程序中的控制措施#65380;內部控制系統及審計風險#65377;通過評審了解應用程序的控制措施，確定每個應用程序的審計風險水平，決定對應的審計方法#65377;對應用程序控制的評審不應孤立地考慮，應當將電算化系統的總體控制環境與各個具體的應用程序控制以及支持電算化的手工控制聯系起來進行審查評價#65377;對具體應用程序評審的內容主要有:應用程序的可審計性#65380;文檔管理情況#65380;應用程序的安全狀況#65380;輸入控制#65380;數據傳輸控制#65380;處理控制#65380;輸出控制#65380;常規數據控制等#65377;

3.評審結果的總結和利用#65377;上述評審完成后，審計人員應當對評審結果進行總結#65377;總結的內容應當包括:對被審計單位財務系統復雜性的評估;電算化環境下被審計單位風險的總體評估;各應用程序和會計領域的風險評估;針對各個會計領域，提出審計中是否依賴其已有的控制以及對應的審計方法#65377;審計人員應當寫出一個簡短的總結報告，概括反映電算化系統控制弱點的屬性和程度，并將這一評審報告列入審計工作底稿#65377;對這一報告可從以下三個方面加以利用:一是審計人員應當將其確定的控制弱點同它們可能對財務報告的影響聯系起來，然后確定實質性審計檢查的措施;二是要將被審計單位電算化系統的控制弱點納入審計意見書，以便其改進工作;三是為確定具體使用計算機輔助審計技術提供依據#65377;

二#65380;制定合理的電算化會計審計程序

1.準備階段#65377;(1)了解企業基本情況#65377;在這一階段，主要先了解被審計單位的基本情況#65377;一方面，調閱上一期的審計底稿資料;另一方面，與企業的有關人員初步面談并查閱被審計單位的會計電算化系統的基本資料，歸納出被審計系統的特點和重點#65377;(2)組織審計人員和準備所需的審計軟件#65377;通過了解被審計單位的基本情況，可明確被審計單位會計電算化系統的構成特點#65380;復雜程序以及審計任務的輕重，選擇安排有計算機審計經驗的注冊會計師擔任項目負責人，組成審計小組#65377;審計小組根據被審計企業的特點準備審計軟件，包括通用的審計軟件和審計現場需要直接編制的小軟件#65377;如果對某審計項目需要特殊的而且比較復雜的審計軟件，還必須組成一個專門開發軟件的小組，預先開發好所需的特殊軟件，以保障審計工作順利開展#65377;

2.內部控制的初步審查#65377;計算機審計的第二步是對計算機內部控制的初步審查#65377;初步審查的目標是使審計人員了解計算機信息系統在會計工作中的應用程度，初步熟悉電算化會計系統的業務流程和內部控制的基本結構，包括從原始憑證的編制到各種會計報表的輸出的整個過程#65377;一般采用如下的檢查和會談:(1)審閱上期的審計報告和管理建議書，初步了解上期系統的弱點;(2)檢查會計電算化系統的文檔和系統使用手冊，了解系統模塊結構#65380;名稱#65380;數據庫以及相應的功能;(3)檢查輸入數據的基本依據，初步了解企業會計原始數據產生的內部控制制度的基本情況;(4)對一些基本情況和上述檢查發現的問題，與會計人員#65380;系統開發和維護人員#65380;程序員面談，以便得到與問題相關的背景資料;(5)初步審查數據處理流程圖，了解原始數據的起點#65380;文件名稱和系統內的代碼#65380;數據經過的單位或部門#65380;數據的終點和保管的措施，以及產生和使用數據的單位內部控制，并制作必要的簡明數據流程圖#65377;同時，審計人員還要對下列資料進行了解:系統安裝日期#65380;計算機硬件系統的型號#65380;機房的基本管理設施#65380;系統管理制度#65380;系統的負荷量;系統的組織結構#65380;各級管理的職責，以及計算機系統的負責人和系統的管理人員;系統中各應用子系統的控制類型和主要的經濟業務#65377;

3.初步審查結果的評價#65377;初步審查后，審計人員必須從整個會計信息系統內部控制的角度出發，評價初步審查的結果，確定內部控制的可靠性程度，并得出結論#65377;其結論包括以下三種:(1)退出審計#65377;由于計算機審計人員缺乏實施審計的技術或內部控制不可信賴，存在許多問題，審計人員可提出一些管理建議并退出審計#65377;(2)進一步進行詳細審查#65377;這一方式是在初步審查取得的信息表明內部控制是有一定的可信賴性的情況下采取的，實質性的測試可作一些簡化#65377;(3)決定不信賴其內部控制#65377;做出這一決定有兩種可能的原因:一是直接實行實質性測試更容易達到預定的審計目標;二是審計人員認為可信賴用戶的補償控制，因為計算機內部控制系統可能不完善，各應用系統的用戶往往需要自己增加一些必要的補充控制，因此，計算機審計師決定對補償控制進行測試，這樣更易于達到審計的目的#65377;

4.內部控制的深入審查#65377;深入審查是為了使審計人員對計算機系統所用的內部控制制度有更深入的了解#65377;與初步審查一樣，審計人員要判斷是否退出審計，或信賴系統的內部控制而進入下一階段——控制的符合性測試，或是直接進行實質性測試#65377;對于某些應用子系統，審計人員決定信賴其內部控制，而對其他的子系統則采用其他更適宜的審計程序#65377;在此階段，一般控制和應用控制都是審查的重點，但一般可先審查一般控制，如果發現系統的一般控制存在一些普遍的弱點，審計人員就要繼續詳細審查應用控制，否則可簡化對應用控制的審查#65377;詳細審查階段收集證據的方法與初步審查所用的方法相同#65377;在深入審查階段，審計人員必須鑒別出引起系統損失的原因和提出對現有控制制度改進的建議性方案，而且必須表明實施的計算機控制制度哪些是可信賴的，哪些是有待于進一步測試確定的#65377;

5.符合性測試階段#65377;符合性測試階段的目標是尋找證據確定計算機系統的內部控制制度是否在發揮作用，以及實際存在的控制制度是否可以信賴#65377;除了在前面審查中所用的手工收集證據的方法仍可用外，在這一步驟審計人員基本上是用計算機輔助收集證據#65377;例如，會計軟件開發和維護控制的測試，數據輸入的有效性測試和數據處理的準確性測試等符合性測試都是要利用計算機來完成的#65377;

6.用戶補償控制的審查和測試#65377;在某些情況下，審計人員可能決定不信賴企業計算機系統的內部控制，因為應用子系統的用戶采用了一些補償控制來補充原內控制度的弱點#65377;例如，在子系統之間原始數據的傳遞存在弱點，用戶可以此核對由計算機程序產生的數據和控制的總額，在評價補償控制時，對于那些重復的控制，不必重新審查和測試#65377;補償控制審查和測試如同前面所提及的方法一樣#65377;

7.實質性測試#65377;實質性測試階段的目標是取得充分的證據，使審計人員對計算機系統在各重大方面是否偏離公允性或存在哪些弱點做出最后判斷#65377;外部審計師表達這種判斷以便在審計報告中指出系統是否在各重大方面存在表述不公允;而內部審計師所關注的問題更為廣泛，包括:現有控制系統是否存在著某些弱點，系統已造成哪些損失或將帶來什么損失，現有計算機系統是否高效率和高效益等#65377;

8.全面評價和編制審計報告#65377;通過上述審計步驟，審計證據和對各項目的初步評價結果已經形成，但這些證據和初步評價的結果是比較分散的，全面評價的目的是將審計小組各成員所收集的審計證據和初步評價結果進行綜合，篩選出重要的證據和主要問題，將這些問題和證據作為重點進行綜合評價#65377;評價的范圍包括會計數據的公允性#65380;內部控制的健全性和有效性，以及會計電算化系統的效率性和效益性#65377;在評價結果的基礎上，根據審計委托人的要求編制客觀公正的審計報告和管理建議書#65377;在報告提供給委托人之前，還應當征求被審計企業的意見，必要時對重大問題追加審計，以保證審計報告和管理建議書的可信度#65377;編制審計報告建議書的基本過程和方法都與傳統審計一樣#65377;但應當注意的是，應用計算機進行審計，其審計結果匯總評價的許多方面可由計算機自動完成，甚至最終的審計報告也可由計算機輔助完成#65377;

參考文獻:

[1]康沛.我國計算機審計發展現狀及對策[J].中國內部審計，2005(10).

[2]李志軍.手工系統和電算化系統條件下審計的比較[J].財會月刊，2003(5).

[3]董化禮.計算機審計數據采集與分析技術[M].北京:清華大學出版社，2002.

[4]林文彬.試論審計對計算機會計信息系統的要求[J].現代審計，2001(1).

[5]莊明來.論計算機網絡環境下的詳細審計[J].審計研究，2006(6).

[6]官晶文，趙云萍.如何把握會計電算化的審計方法[J].實務研究，2000(9).

(責任編輯:郄彥平;校對:龍會芳)