關于對會計信息系統審計計劃的分析

王雙/勃利縣審計局

關于對會計信息系統審計計劃的分析

王雙/勃利縣審計局

會計信息系統審計是指通過一定的技術手段收集并客觀評估證據的過程，以判斷一個會計信息系統是否做到安全、可靠、合規和有效等，確保其符合企業經營目標的同時，又能最經濟的使用資源。它突破了傳統的審計理論框架對審計理論和實踐提出新的問題和挑戰。

會計信息系統；審計計劃；分析

進入21世紀，伴隨著新型技術的高速發展，人類對信息的捕捉、獲取、處理、存儲、傳遞等方式也發生了重大的變化。現代信息處理技術在會計領域的應用及發展，使得會計信息系統成為進行收集、加工、處理和存儲會計數據的重要手段，給會計學科帶來深遠而廣泛的影響。盡管實現會計電算化后，極大地改善了會計業務的處理，但同時也對會計審計工作提出了新的挑戰。審計人員不僅要對會計信息系統產生的數據是否真實、正確、合法進行審計，而且還要對會計信息系統的硬件和軟件，以及整個會計信息系統的安全性、可靠性、內部控制的健全性與有效性等方面進行審計。這些遠遠超出了傳統審計理論框架，給審計理論和實踐都提出了許多新的問題。尤其是隨著審計工作范圍的擴大，審計中的各個要素及審計的標準和準則也隨之發生變化，審計的風險也越來越大，因而注冊會計師必須密切關注會計信息系統審計的風險及控制方法。

一、認識系統及其獨創環境

在一般計劃階段，注冊會計師獲取關于客戶會計信息系統的情況，并將其作為對控制環境的內容進行考慮。通常，注冊會計師應獲得以下事項的信息：（1）系統設置種類及其結構，系統數據處理模式，一般需要系統結構圖和系統流程圖。（2）系統軟件類型。（3）系統人員的組織結低包括EDP部門在組織中的位置、人員的數目及內部組織計劃。（4）系統應用范圍及復雜性，以及所需的計算機審計專家協助的比重。

二、了解審計信息系統的使用

注冊會計師必須了解業務經過會計系統中手工部分和電算化部分的路徑，考慮預期的與計算機相關的控制風險估計水平，確定在最高水平以下的控制，以及憑證和測試控制對控制風險評估的影響。會計制度的有效的測試方法是從結尾處開始，注冊會計師應確定將要進行審計的財務報表中的重大金額。對影響這些金額的交易從財務報表到其來源進行追查。然后，由審計師對這一流程的每一個處理環節進行確認。在業務中這些處理是指開始、記錄、計算、匯總、報告。通常，每個處理環節都有可能發生錯誤，因而對這些處理環節設置控制程序也是非常必要的。注冊會計師還可以確定應在每個重要會計領域中的使用程序。

三、了解控制活動

若在會計工作中依賴于會計信息系統，則注冊會計師必須對一般控制加以了解。為了更好地服務于客戶，許多注冊會計師即使沒有計劃將控制風險水平評估在最高水平之下，也對一般控制進行審核。通常，這一審核是由計算機審計專家來完成的，也可以由注冊會計師在會計信息系統中進行附加測試來完成。該檢查可通過以下方法來完成：詢問或調查EDP部門的職員、檢查現存的文件，如用戶手冊、以前年度的工作底稿、其他在計算機中的信息和應用程序等。注冊會計師的目標就是確定上述事項的存在是否具有合理保證：（1）EDP部門內部及EDP與使用者之間的職責是否充分分離。（2）開發的、買入的或變更的程序在執行前是否經過批推和測試；（3）對數據文件的接觸是否只限于經過批準的使用者。

確認上述事項的合理性是很復雜的，絕對保證是不可能的，而且大部分系統都有一些缺陷。例如，在聯機系統中對使用者接觸終端和數據文件都有嚴格的限制，但系統程序員還是有可能繞過這些控制而接觸系統軟件。注冊會計師必須對審計環境中存在的缺陷的嚴重性進行評估。在了解一般控制之后，注冊會計師應對一般控制是否有效進行判斷。把這些控制作為降低控制風險的估計水平的一部分究競是否必需，取決于注冊會計師對應用控制的認識。若降低控制風險的估計水平依賴于一般控制，則必須對控制程序進行測試。控制程序測試必須取得計算機審計專家的協助。同樣，計算機審計專家可設計各種“敲擊系統”測試方法來測試評估控制軟件。

四、交易及余額詳細測試的計劃

交易及余額詳細測試的計劃包括根據具體控制目標和審計目標制定的交易類別測試和余額詳細測試計劃。在下列情形中，注冊會計師在交易及余額詳細測試的計劃中，不會使用EDP控制作為降低控制風險估計水平的依據：（1）客戶未在重要會計領域使用電算化系統；（2）交易類別的具體控制目標不依賴于計算機處理的結果；（3）一般控制中存在重大缺陷，且沒有補償性的控制。若在重大會計領域應用了會計信息系統，而且交易類別的具體控制目標的實現要依賴于計算機處理的結果，則必須在控制風險的評估中考慮EDP控制的作用。與這一目標相關的EDP控制是應用控制和一般控制。

為測試EDP應用控制，注冊會計師可在幾種測試方法中進行選擇。應用軟件包括計算和累加數據的程序化會計程序和程序化控制程序。通常，在程序化會計程序中，憑證、清單、文件及報告的軌跡都以計算機打印形式存在；相反，在程序化控制程序中，除非在檢查時發現交易被拒絕或異常，否則，不會留下文件軌跡。

無論注冊會計師在測試EDP應用控制中采用的是手工測試還是計算機輔助測試須對一般控制的有效性進行考慮。當注冊會計師在年末進行余額的直接測試時。通常不必依賴于計算機。若既定余額直接測試的范圍依賴于與計算機相關的控制程序或在應用期中進行余額的直接測試。則必須對一般控制的有效性進行考慮。當余額的直接測試應用了計算機生成的信息時，注冊會計師應對測試方法進行選擇，可考慮如下替代方法：（1）在年末直接測試計算機生成的信息。這一測試方法在控制風險的評估中不必依賴應用控制和一般控制，但可能不是最有效的測試方法。（2）在期中測試計算機生成的信息和一般控制，而在年末修訂對控制的評估。在許多情況下，可通過詢問和觀察來完成修訂工作。（3）在期中測試計算機生成的信息并采用系統軟件自動生成的報告來確定從期中到期末應用程序是否沒有變更。當一般控制存在缺陷而可依賴系統軟件時，這一測試方法很有用。若注冊會計師決定在對以計算機可讀形式存在的系統文件實施余額的直接測試中使用計算機輔助測試，必須制訂附加的計劃。

［1］孟秀轉.IS審計：信息時代審計業務的發展［J］.北京聯合大學學報.2002（04）.

［2］來明敏，顏淑姬.計算機信息系統審計準則比較研究［J］.財會通訊（學術版）. 2005（06）.

［3］歐先錦.談信息系統審計［J］.重慶職業技術學院學報，2004（02）.