时间:2022-06-13 16:19:48
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇计算机辅助审计论文范例。如需获取更多原创内容,可随时联系我们的客服老师。
(一)计算机审计规章标准尚待完善。我国审计法规比较完善但涉及到计算机审计还有空白,计算机辅助审计仍在试验阶段。各行各业人员组织安排、管理模式、工作思路重点均不相同,计算机辅助审计的开展情况也不尽相同。
(二)限制计算机辅助审计运用的核心问题数据的搜集和使用还没解决。海量数据及其复杂关系给计算机审计带来数据存储和处理双重挑战。海量数据的增、删、修、查、存、统计、导入、导出、格式转换等要求极高数据处理速度。日益庞大的数据库系统对现有数据整合处理方法提出挑战,计算机硬软件的快速更新要求也使审计的深度和广度难以拓展。
(三)缺少审计分析模型。审计工作中最有价值财产是经验,而审计模型则是审计技巧与审计经验的完美组合。虽不断被优化与深化,但审计模型仍受初始数据真实性、数据可靠性以及建模人员审计经验的影响。现有软件多是采用查询审计模型库外加审计经验判断方法进行审计。
(四)审计方式有待转变。审计在方式、方法、思维、机制和手段等方面与外部经营环境的变化和业务的进步仍有代沟,无法适应监督控制职能的需要。尤其是在如何运用非现场审计方式,包括采用信息技术系统对风险与效益状况进行实时预警,纵向、真实、即时、实用的阶段评价分析和监测方面还有较大提升空间。
二、开展计算机辅助审计中的问题对策
(一)丰富计算机辅助审计理论基础,加速法规出台。没有强大的理论后盾,计算机辅助审计难以为继,也不可能发挥应有的作用。及时总结经验,拓展理论研究,尤其要研究技术、对象、线索、方法,加强和规范计算机辅助审计的独立性、客观性和公正性。加快计算机审计立法进程,使其有法可依。
(二)与会计信息系统相匹配的审计准则和制度的讨论制订应加快步伐。信息化条件下,审计线索、审计对象和审计方式等已发生质变,现有审计准则已不能推进计算机审计发展。上到行业从战略层面应建立、完善并统一计算机辅助审计制度;下至审计部门可结合自身特点,制定具有可操作性的标准、规范。重点梳理计算机审计过程,审计技术,相关人员资质,信息系统后评价及数据收集等方面应遵循的准则,保障当前计算机审计顺利进行。
(三)加强计算机辅助审计软件的多样化、信息化性和通用化。研制跨平台和多环境使用的辅助审计软件,研制行业通用版本的辅助审计软件,研制符合行业实际的辅助审计软件,并尽可能延长软件生命周期。同时还要针对规范审计手段和审计行为,提升审计水平、提高审计效率、扩大审计领域,推进网络化进程。在网络互联实现审与被审双方信息的共享交流的前提下,通过辅助审计软件,加快审计工作速度,节约人力物力,更好地发挥监督职能。
(四)完善审计机构计算机的运行条件,提高计算机软配置。审计机构负责人应具备发展审计事业的长远眼光,对设备硬件建设予以倾斜,切实调整计算机硬件升级,整合调试审计资料与审计内网,紧跟会计电算化发展的步伐,促进审计事业的现代化。
(五)实行周期动态监测,建立监督长效机制。验证目前审计方法在周期监控中的实用性,筛选合适的审计方法,探讨便于周期监控的审计方法思路;构建监控模块体系,定期不定期进行关键件领域的监控,实施危机动态预警。全盘评估被审计对象的财务风险,实时预警风险,变落伍的事后评价为事前预警、事中补救和事后总结“三位一体”;还要对各项监测数据进行统计分析,掌握信息系统的运行情况,便于及时的维护预防。
关键词:信息系统审计信息技术现状
国内外学者对于信息系统审计及其相关概念缺乏统一的认识,因此有必要厘清信息系统审计及其相关概念。现代审计的主流是以财务报表审计为代表的对信息的检验,对信息系统审计研究的文献极其有限,且缺乏对信息系统审计研究的文献的梳理与评说。同财务审计相比,信息系统审计在审计目标、审计内容等方面存在着不同之处。
一、信息系统审计
信息系统审计(Information System Audit,ISA)是目前常常提到的概念,一般理解为对计算机系统的审计,信息系统审计的国际权威组织――国际信息系统审计和控制协会给信息系统审计作了如下定义:信息系统审计是收集和评估证据,以确定信息系统与相关资源能否适当地保护资产、维护数据完整、提供相关和可靠的信息、有效完成组织目标、高效率地利用资源并且存在有效的内部控制,以确保满足业务、运作和控制目标,在发生非期望事件的情况下,能够及时地阻止、检测或更正的过程。信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程。对信息系统合法性、可靠性、安全性、有效性和效率性进行审计,对被审单位的信息系统做出科学、合理的评价。
信息技术在社会生产各个领域的广泛应用,也使得审计理论界与实务界出现了一系列相关术语。(1)计算机审计,国内学术界对计算机的叫法多种多样,例如信息系统审计、审计信息化、EDP审计等等;有的文献认为计算机审计包括:对计算机管理的数据进行检查;对管理数据的计算机进行检查。根据国内对“计算机审计”一词的使用情况,可以把计算机审计的含义总结如下:计算机审计是与传统审计相对称的概念,它是随着计算机技术的发展而产生的一种新的审计方式,其内容包括利用计算机进行审计和对计算机系统进行审计。由此可见,计算机审计的内涵和IT审计的内涵相似。(2)电子数据审计,电子数据审计是目前审计实务界使用较多的一个术语,对于电子数据审计,目前还没有给出明确的定义,根据目前对该术语的使用情况,电子数据审计一般可以理解为“对被审计单位信息系统中的电子数据进行采集、预处理以及分析,从而发现审计线索,获得审计证据的过程。”(3)电子数据处理审计,电子数据处理(Electronic Data Processing,EDP)审计和电子数据审计是两个不同的概念,电子数据处理审计是信息系统审计的初级阶段,它是指对计算机信息处理系统的开发及其软件、硬件和运行环境进行测试,并评价计算机信息系统数据处理是否准确、真实、安全、可靠、高效,满足企业经营管理的需要。对于电子数据审计和电子数据处理审计这两个不同的概念,在实际应用中,一定要加以区分。(4)持续审计,持续审计(Continuous Audit,CA)是指在相关事件发生的同时,或之后相当短的时间内产生审计结果的一种审计行为。持续审计是同传统期间审计相对应的概念,其本质是审计方法的创新,它强调审计过程的持续性、审计实施的即时性和审计活动的整合性,并且基于例外审计和战略系统审计的理念,要求审计师运用“自上而下”和“自下而上”相结合的手段,对审计对象做出合理的专业判断。(5)计算机辅助审计,如同CAM(Computer-aided Manufacturing,计算机辅助制造)、CAD(Computer-aided Design,计算机辅助设计)等概念一样,计算机在审计领域中的辅助应用被称为计算机辅助审计。中国国家审计署把计算机辅助审计理解为:“计算机辅助审计,是指审计机关、审计人员将计算机作为辅助审计的工具,对被审计单位财政、财务收支及其计算机应用系统实施的审计”。
通过以上的分析,笔者认为计算机审计覆盖了计算机辅助审计和信息系统审计两项内容,信息系统审计是计算机审计的组成内容之一。
二、国外信息系统审计研究现状
随着信息技术与审计理论的发展,国外信息系统审计大致经历了萌芽、发展、成熟和普及期四个时期。
20世纪80年代,计算机犯罪率急剧上升,信息系统的安全防范体制仍很不充分。为适应信息系统审计实务发展的要求,美国EDP审计师协会1981年举办了首次注册信息系统审计师(CISA)资格认证考试,1984年的《EDP控制的目标》提出了信息系统的系列控制标准,1987年了《信息系统审计的基本准则》(General Standards for Information Systems Auditing);日本通产省在1982年设立了“计算机安全研究会”,而后发表了《有关计算机安全对策》,1985年发表了《IT审计标准》,提出了“随着信息系统网络化的进展,仅仅是系统内部的审计是不充分的,有必要尽早地引入由具有专门知识与技术的、与系统没有直接关系的第三方(信息系统审计师)对信息系统的安全、可靠等进行全面检查……”等观点,并在日本的软件水平考试中增添“系统审计师”考试,培养从事信息系统审计的专业队伍。上述审计理论与实务表明,国外信息系统审计发展已经进入成熟期,并走上了正规化和专业化的轨道。
进入20世纪90年代以后,国外信息系统审计研究进入普及期。1994年, EDPAA正式更名为信息系统审计与控制协会(ISACA),ISACA成立后主要致立于信息系统审计准则体系的制定工作。ISACA的信息系统审计规范类似于CPA审计准则体系,它由基本准则、审计指南和作业程序构成,其显着特点就是以COBIT为基本工具,并借以与ITGI的指南相联系,以弥补ISACA规范在审计细节方面关注的不足。截止到2010年12月,ISACA已经了16项基
本准则,41项审计指南和11项作业程序,为信息系统审计人员开展审计活动提供了指引。
三、国内信息系统审计的研究现状
随着我国信息化进程的推进,国内理论界与实务界也开展了针对信息系统审计的相关研究。中华人民共和国审计署京津冀特派办于2005年了《计算机审计操作规则》、《审计中间表创建和使用管理规则》和《数据分析报告撰写规则》等操作规则之后,又于2006年9月了《信息系统审计操作规则》、《网上审计操作规则》以及《审计数字化应用规则》等信息系统审计的规则。中国审计协会为了规范组织审计机构及人员开展信息系统审计活动,保证审计质量,于2008年根据《内部基本审计准则》的精神制定并颁布了《审计具体准则第28 号――信息系统审计》。尽管28号审计准则的出台受了很多学者的评论,但20号审计准则却是我国第一个真正意义上的信息系统审计准则,也为我国信息系统审计人员开展信息系统审计活动提供了法律依据。在政府或相关机构颁布信息系统审计准则的同时,国内学者也对信息系统审计开展了研究。对我国开展信息系统审计已经迫在眉睫,而开展信息系统审计将面临审计观念的转变、信息系统审计的专业人才以及行业准则与实务指南等问题,应加快行业准则与实务指南的制定。可以借鉴ISACA的做法,也采用三个层次体系结构,以基本准则为核心,统领审计指南和作业程序,从而使整个准则体系不断扩展。
参考文献:
[1]中华人民共和国审计署,《审计机关计算机辅助审计办法》,1997,第二条.
论文摘 要:随着审计对象经营管理信息化的不断发展和深化,内部审计由传统的手工查证逐步转变为利用计算机进行辅助审计的方式,内部审计人员与审计对象的沟通也随之发生了变化。该文对计算机辅助审计方式下内部审计沟通的主要变化进行了分析,对计算机辅助审计方式下内部审计如何实施有效沟通进行了探讨和研究。
随着全球信息网络化的发展,计算机网络技术被广泛应用于企业经营和内部管理的全过程。面对审计资料无纸化、审计数据海量化的新挑战,内部审计对业务的监督逐步由现场手工查证的传统方式过渡到利用计算机进行远程监控与现场核实结合的新方式,内部审计人员与审计对象的沟通方式也随之发生了一些新变化。
一、计算机辅助审计发展情况简述
计算机辅助审计是指审计机构、审计人员在审计过程和审计管理活动中,以计算机为工具,推广应用信息技术,深入开发利用信息资源,改进审计作业和管理手段,全面、及时、有效地检查和监督经营管理信息,维护资产安全,更经济、有效地履行审计职能的活动过程。
计算机辅助审计的推广有赖于企业内部网络化和计算机软、硬件投入程度的加大。近年来,一些大型国有企业、金融机构以及税务、财政部门都不同程度地创建完善了财务收支和各种内部管理的网络系统。这些机构的内审部门也基本实现了与内部其他相关部门的网络互联,为实现信息交换网络化开辟了快速通道,为开展网络审计、实现实时监控打下了基础。与此同时,这些较大行业和系统积极推动计算机辅助审计建设,硬件投入和更新较为及时,软件开发也初见成效,使内部审计工作迈上了新的台阶。
二、计算机辅助审计引起沟通的主要变化
沟通贯穿于审计工作的全过程,是审计人员必备的专业技能。中国内部审计协会的《内部审计具体准则第10号——内部审计与外部审计的沟通》、《内部审计具体准则第11 号——结果沟通》、《内部审计具体准则第20号——人际关系》,以及国际内部审计专业实务框架等,均给出内部审计活动如何进行沟通的指引。审计沟通的技巧对于建立良好的人际关系、创造和谐的工作气氛、实现有效的信息交流、保证审计工作的顺利开展具有十分重要的作用。
与传统审计方式对比,计算机辅助审计中的沟通主要有以下变化。
(一)增加了与业务主管部门和一线业务人员的日常沟通。近十年来,各种业务电算化建设速度非常迅速,业务处理大集中模式已经成为主要的发展方向。面对着繁多的平台模块、各不相同的数据表定义,内部审计师不可能具备业务主管部门和一线人员所具有的相关系统知识和技能。为深入了解和研究各类业务系统功能模块的具体用途和数据关系,有针对性地使用审计软件创建审计模型、查找审计疑点,内部审计师必须加强与业务主管部门和一线业务人员的日常沟通。
(二)增加了与审计软件开发人员的沟通环节。传统审计以现场作业为主,审计人员主要面向业务经办的一线业务人员及其管理者,通过审阅、核对、复算、盘点、观察、鉴定、分析性复核等方法进行取证。在计算机辅助审计方式下,对审计软件应用的需求逐步加大,开发适用的审计软件对提高审计效率和保证审计质量起到重要的作用。参与设计审计软件的内部审计人员必须与技术开发人员进行良好沟通,才能将成熟的审计方法和技巧融入审计软件中,建立适用的查证疑点模型,有效建立业务系统与审计系统之间的关联,提高查找疑点的准确性。
(三)增加了远程沟通审计业务疑点的机会。受审计资源的限制,传统审计是在本系统内部选取某几个分支机构作为具体抽样对象开展现场审计,内部审计人员主要在审计对象的工作场所内进行查证。在计算机辅助审计方式下,借助审计软件,运行适当的审计模型,可以广泛地发现系统内存在的重大风险以及普遍性问题,不受地理范围的限制,真正实现以风险为导向的审计模式。审计软件的运行,可以得到几十条、几百条、甚至上万条需要核实的疑点,除少数存在重大风险的疑点需要内部审计人员到现场进行重点核实外,对中等风险的疑点可以通过系统追查业务的具体流向以确定问题所在,其他大部分低风险的疑点可以通过远程沟通方式进行核实:如通过邮件、电话等方式询问疑点的情况,移交被审计单位的上级主管协助核实,对风险轻微的可以移交审计对象自查。由于远程沟通并非面对面的沟通方式,审计对象可能会由于不了解审计工作而抗拒配合对问题的核实,又或是随便应付了事,因此,远程沟通需要审计人员更多的沟通技巧。
三、如何实现计算机辅助审计中的有效沟通
(一)加强与管理人员和一线业务人员沟通,加深对业务系统的熟悉程度
在信息化时代,内部审计人员只有熟悉审计对象业务系统、了解审计客体信息的构造和特点,才能有针对性地采取专用技术,实现应有的监督作用。首先,内部审计部门应以制度形式,制定与驻地审计对象的日常工作联系制度,要求审计对象定期将业务系统的发展状况、功能扩展、优化更新情况,以及新业务流程等文件报送审计机构。其次,日常工作中,内部审计人员应关注业务系统发展的新动态,可以根据专业方向定期与业务管理人员联系讨论业务发展的新动态,参加业务主管部门的培训班,保持业务知识的更新。再次,内部审计人员可以短期跟班工作等方式加深对系统实际操作的了解,实地向一线业务人员了解具体业务流程,更好地理论联系实践。通过不断的知识更新与深入研究,内部审计人员才能尽快深入了解业务动态及相关系统功能,为有针对性地将审计技巧融入审计软件打好基础。
(二)加强与软件开发人员沟通,实现审计技巧与审计软件开发的有机结合
内部审计信息化建设的关键,是组成审计专家和计算机专家结合的研发小组,开发合适的计算机辅助审计软件。首先,需要高级管理层重视,以内部审计章程的形式,要求所有业务系统的开发必须留有审计系统的数据接口,为获取完整的业务数据提供条件。其次,内部审计专家应从审计实务出发,将审计原理和内部审计程序转变为流程图的形式,以便开发人员理解审计作业流程,编译出符合审计规范的软件。再次,内部审计专家应针对本机构业务系统的具体特点,研发各类查证和分析技巧,并与开发人员一同选用适当的统计工具和常用的审计函数,使软件开发人员开发出简明易懂、符合审计人员工作习惯的软件。
(三)增强远程沟通的公开性与透明度,顺利获得审计对象对内部审计工作的帮助和支持
在进行远程沟通时,首先要取得沟通对象的信任,内部审计人员应该注意将审计目的、测试的范围、疑点核实的反馈方法等具体事项向每个审计对象进行详细说明,并取得审计对象上级管理部门与审计对象机构负责人的配合,以消除双方的误解,提高沟通的层次。其次,必须与审计对象声明审计工作的严肃性,明确核实工作中的审计联系人和提供核实材料的责任人,避免审计对象敷衍了事、避重就轻、无端否认事实等情况。再次,必须要保证远程沟通过程的信息交流通畅,内部审计应公开查证人员名单、联系方式,定期公布审计工作进度,让审计对象理解和自觉配合审计工作,及时提供完整、真实的信息。
(四)重视内部审计软件应用的培训,提高计算机辅助审计工作效率和效果
目前,大多数内部审计人员依然秉承传统的审计技术,只会使用审计对象的管理系统进行简单查询,对审计软件的使用也只是处于查询、编制工作底稿的初级水平,远未达到掌握数据库和灵活使用审计软件进行模型编制、多纬度分析的高级水平。内部审计机构应注重加强对审计软件的培训,使所有内部审计人员熟练掌握操作知识与技巧,培养一批既精通审计业务,又了解掌握计算机技术的复合型内部审计人才,提高计算机辅助审计工作效率和效果。一是制定经常性的培训计划,编制从基础级到提高级的各等级培训教材,鼓励员工参与培训,逐步提高应用水平;二是推行应用水平等级考试,将考核成绩纳入内部审计职业准入的条件之一,并结合激励措施引导学习和应用的自觉性;三是要注重对业务查询、模型编制、疑点核实等使用经验的总结和提升,不断提高和加深对审计软件的应用水平。
参考文献:
[1]索耶.内部审计:现代内部审计实务(第五版)(美)[M].北京:中国财政经济出版社,2005.
【关键词】计算机审计; 信息系统审计; 比较计算机审计(Computer Auditing)与信息系统审计(Information SystemAudit,简称IS 审计),前者约定俗成,后者势在必行,但两者在我国的学术研究与实践应用中长期模糊不清、难舍难分,这不仅不利于我国审计工作的开展,同时也可能影响我国审计信息化的发展。
本文拟通过两者的产生与发展、基本概
念与审计目标、适用准则与审计技术等
方面的比较,厘清两者的主要区别,以求
它们在我国取得并行不悖的发展。
一、两者的产生与发展过程比较
在计算机审计与IS 审计产生之前,
电子数据处理(Electronic Data Processing,EDP)审计早已存在。可以说,EDP 审计是计算机审计与IS 审计的前身与发展的基础。
(一)EDP 审计的产生与发展
EDP 审计不仅是指电子数据处理环
境下的审计,还包括对电子数据处理系统的
审计。F.Kanfuman(1961)、A.Pinkney
(1966)、T..W.Merae (1976)、Joseph
Sardinas (1987)、W.Thomas Poter 和
William E.Perry(1987)等学者都从不
同的角度对EDP 环境中内外部审计规则
和组成方法、EDP 审计的测试方法、特
殊审计技术、审计步骤等方面展开深入
研究。1968 年美国注册会计师协会
(AICPA)出版的《会计审计与计算机》一
书,详细阐述了在EDP 环境下如何开展
IS 审计和传统的外部审计。而作为信息
系统审计与控制协会(IASCA)的前身,
成立于1969 年的EDP 审计协会(EDPAA)
及其属下的EDP 审计师基金会
(EDPAF)25 年间一直使用EDP一词。至
今,EDP 审计与IS 审计仍有并驾齐驱之
势。例如,在Jack.J.Champlain所著的
《审计信息系统》(第2 版,2003) 一书
中,仍然将EDP 审计师与IS 审计师相
提并论。
从诸多文献资料分析,EDP 包含两
种含义,一为环境说;二为系统说。作环
境说,诚如国际审计准则15 指出:“为
了国际审计准则的目的,当一个单位对
与审计有重要意义的财务资料的处理,
包含有任何类型或大小的计算机时,就
存在着电子数据处理的环境”。面对这一
环境进行审计的审计师也就是EDP 审
计师。而作系统说,则更多是指计算机信
息系统,以该系统作为审计对象必然会
改变审计的总体目标和范围,因而也才
有应用而生的信息系统审计与控制协会
及其单独的审计标准、指南和程序,
以及由此产生的IS 审计师。
(二)计算机审计的产生与发展
有关计算机审计的研究,在国外参考
文献中并不少见。例如,Andrew D
Chambers(1984)、Javier F.Kuong(1987)
和S.Rao Vallabhaneni(1989)等学者,
均围绕计算机审计的安全与内部控制、相
关技术、内部控制的实施等加以论述。值
得注意的是,在各职业组织所的有
关标准、指南或程序中,却鲜有使用计算
机审计一词,如美国注册会计师协会
(AICPA) 的《计算机辅助审计》
(1978)和取代SAS No.3 号(1974)的
《审计标准说明书第48 号》(SAS.No.
48,1984),国际内部审计师协会20 世
纪70 年布的《系统控制与审计》,
加拿大执业会计师协会(CICA)两次发
布的《计算机控制和工作指南》
(1970,1986),以及加拿大审计标准委
员会颁布的《EDP环境下的审计———一
般原则》(1984)等等,也都较少采用“计
算机审计”一词。
在我国,有关计算机审计研究经久
不衰。在20 世纪80 年代,我国学者往
往将其与国外的EDP 审计相联系。例
如在对Poter 和Perry(1987)合著的
《EDP:Controlls And Auditing (第5
版)》翻译中,李大庆和乔勇等学者
(1990)就将其直接译为《计算机审计》。
我国学者潘晓江(1983)较早针对我国
会计电算化提出审计应采取的充分发
挥人在控制中的主导地位、注意实行数
据可靠性控制和注意保留必要的审计
线索三大措施。从20 世纪90 年代至
今,我国以“计算机审计”为题的研究
成果颇丰。据笔者不完全统计,这类教
材和专著已逾30 本,较早的作者有肖
泽忠(1990)、陈婉玲(1990)、李长旭
(1990)等。
我国审计机关无论是关于计算机应
用的规定,还是组织系统内有关专家进
行研究,也多以计算机审计为题加以进
行。例如,审计署1993 年的《审计
署关于计算机审计的暂行规定》和1996
年的《审计机关计算机辅助审计办
法》等。邱胜利和张玉(1990,1993)、董
化礼(2002)、刘汝焯(2004)、国家863
计划审计署课题组(2006)等,也都以计算机审计为题展开研究。
(三)IS 审计的产生与发展
对IS 审计贡献最大的莫过于国际
信息系统审计与控制协会(Information
System Audit and Control Association,
ISACA)。1994 年,ISACA 替代了
原有电子数据处理审计协会(EDPAA)
。至2008 年2 月止,该协会已经
了16 个审计标准、39 个审计指南
和11 个审计程序。而其于1996 年发
布的信息和相关技术控制目标(Control
Objective for information and
Related Technology,COBIT)已经成
为全球公认的、权威的信息技术控制目
标体系。同时,该协会每年还举办IS 审
计师资格考试,有力地推动了世界范围
内IS 审计的发展。
日本通产省于1983 年了《系
统审计标准》,并在全国软件水平考试中
增加“系统审计师”一级的考试。1985
年,日本内部审计师协会在其所的
《审计白皮书》中认为,内部审计师的最
新发展是“IS 审计”。另据IIA 对美国和
英国的调查,被调查企业中实施MIS 审
计的企业所占的比例各年分别为:1968
年48%,1975 年60%,1979 年65%。而
1983 年再对这两个国家1 687 个内部
审计部门的调查中显示,已有70.8%的
企业在进行MIS 审计。
由于我国从一开始就将电算化会计
信息系统确定为计算机审计对象,致使
人们将其等同于IS 审计的审计对象。同
时,学者们也往往将IS 审计与IT 审计
等同视之。如胡克瑾(2002)在其《IT 审
计》专著中指出,IT 审计是指对以计算
机为核心的信息系统的审计。李丹
(2003) 也认为,“信息系统审计也称为
IT 审计”。
(四)从国内研究现状看两者的发展
借助有关学术论文的统计数据,也
许可以发现我国学者对计算机审计与
IS 审计的研究偏好与倾向。笔者以“计
算机审计”、“信息系统审计”和“电算化
审计”作为关键词进行检索。采用“篇名
+ 年份+ 全部数据+ 全部期刊+ 精确
匹配”为检索条件,对中国期刊网的期刊
数据库各年进行检索,以下是检索结果
统计表(见表1)。
在表1 对29 年来统计
中,三种研究倾向的论文总数为696
篇,其中,有关计算机审计的研究论文占
了61.93%,而在近五年这一研究倾向
论文也高达219 篇,占近五年全部论文
总数的58.40%,无论处于哪一时间段,
研究计算机审计的论文占三种研究倾向
论文总数的比例均超过50%。而研究信
息系统审计的论文在2003 年及以前的
24 年中仅有44 篇,近五年则有101 篇,
其平均每年有20 篇,尤其是近三年更
呈递增趋势。但其各年所发表的论文数
均明显低于计算机审计研究倾向的论文
数。至于电算化审计研究方向,由于它与
计算机审计、信息系统审计两个研究方
向有重复之嫌,故近年来呈下降趋势,在
未来研究中它可能被计算机审计和信息
系统审计两个研究方向所替代。由表1
也同时看到,我国在继续对计算机审计
进行研究的同时,亟须加快对信息系统
审计的理论与实务研究。
二、两者的基本概念、审计目标与审
计内容比较
计算机审计与IS 审计的本质区别,
首先见之于基本概念、审计目标与审计
内容等三个方面。因此,了解两者在这三
个方面的区别与联系,有利于今后开展
相关理论研究与应用研究。
(一)基本概念的比较
1.计算机审计的基本概念。日本会
计检察院计算机中心认为,计算机审计
有两方面的含义,一是对计算机系统本
身的审计,包括系统安装、使用成本,系
统和数据、硬件和系统环境的审计;二是
计算机辅助审计,包括用计算机手段进
行传统审计用计算机建立一个审计数据
库,帮助专业部门进行审计。
我国学者对计算机审计的理解与上
述基本一致。肖泽忠(1990)认为:“计算
机审计是审计人员用手工的或电算化的
审计方法、技术和程序对电算化或手工
信息系统进行的审计”(以下简称为“二
方观”)。陈婉玲(1990)、刘志涛(1990)、詹航恩和张蒙生(1993)、李学柔和秦荣生(2002)也都表达相同的观点。李长旭(1990)则认为,计算机审计是针对会计核算电算化而言的,即凡是对实现会计核算电算化的企业进行的审计都可称为计算机审计(以下简称为“一方观”)。
综观国内外学者对计算机审计的诸
多论述,多数学者将计算机审计作为一
个广义的概念,认为计算机审计包括两
个方面,一是将计算机系统作为审计的
对象;二是将计算机作为审计的工具。
与计算机审计的基本概念相近的还
有“电算化审计”,它同样具有“二方观”
与“一方观”。朱荣恩和徐建新(1986)根
据英国《审计研究》(1982 年版)的资料
编译并发表题为“发展中的电算化审计”
中指出,电算化审计是“评价、控制会计
电算化信息系统”的审计。王军等
(1995)多数学者赞同这一观点。袁树民
等(1995)则持“二方观”,其基本概念与
计算机审计无异。
2.IS 审计的基本概念。IS 审计至今尚未形成统一的概念。Ron Weber 在《信息系统审计与控制》一书中指出,IS审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。日本通产省情报协会对IS 审计定义如下:“为了信息系统的安全、可靠与有效,由独立于审计对象的IS 审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IS 审计对象的最高领导,提出问题与建议的一连串的活动”。而我国学者也普遍认为,IS 审计是由专业审计人员根据IS 审计准则及相关规定,对信息系统的计划、研发、实施,以及运行维护等各环节所进行的审计,以保证被审计信息系统安全、稳定和有效,同时,它还将根据审计结果对被审单位提出改进建议。
应当指出的是,在我国审计署和财
政部的诸多准则与通则中,“信息系
统”一词尚未达到统一规范的表述。例
如,审计署的《审计机关计算机辅
助审计办法》(1996),将信息化的信息
系统称为“计算机应用系统”,财政部
的《独立审计准则 20———计算机
信息系统环境下的审计》,则为“计算
机信息系统”,而《审计准则第1211 号
了解被审计单位及其环境并评估重大
错报风险》中则称之为“财务报告信息
系统”、“信息技术系统”、“信息系统”
和“自动化信息系统”等不同的用语。
在新《财务通则》第八章的信息管理
中,则将信息系统定义为:“财务业务
一体化信息处理系统,也称为财务管理
信息系统或者管理型财务软件”。尽管
我国对各类信息系统诸多的不同表述
有待统一,但它们都是指信息化的会计
信息系统则是毫无疑义的。
(二)审计目标与审计内容的比较
1.计算机审计的审计目标与审计内
容。国际审计准则(ISAs)第401 号《计
算机信息系统环境下的审计》(2004)指
出:“在计算机信息系统环境下,并不改
变审计的总体目标和范围”,我国的
《独立审计具体准则第 20 号———计算
机信息系统环境下的审计》(1999)也
指出:“注册会计师在计算机信息系统
环境下执行会计报表审计业务,应当
考虑其对审计的影响,但不改变审计
目的和范围”。鉴于我国对计算机审计
的“二方观”认识,其审计目标也包括
两个方面:一是具有提高执行经济业
务和会计信息处理的计算机系统的合
法性、正确性和安全性;二是加快审查
速度、扩大抽查范围、提高审计效率和
审计质量的双重目标( 陈婉玲,
2002)。与之相适应,计算机审计内容
也就相应包括两个方面:一是包括对
信息化会计信息系统的开发设计、数
据输入、处理和输出进行审计;二是加
快审计信息化的步伐,建立信息化的
审计网络体系。随着市场经济的迅速
发展,在国务院办公厅《关于利用计算
机信息系统开展审计工作有关问题的
通知》([2001]88 号)中也明显
指出,“简单地讲,计算机审计包括:对
计算机管理的数据进行检查;对管理
数据的计算机进行检查”。可见,计算
机审计的审计内容主要是面对数据
(会计数据等)的检查,而对管理数据
的计算机进行检查,则是借助于信息
系统鉴证以获取处理数据是否正确性
的判断。
2.IS 审计的审计目标与审计内容。
IS 审计目标比较明确,它是指对信息系
统的资产保护,信息系统的可用性、安全
性、完整性和有效性发表审计意见。由于
IS 审计的审计对象是被审单位的信息
系统,因此决定其审计内容包括:(1)信
息系统的管理、规划与组织;(2)信息
技术基础设施与操作实务;(3)资产的
保护;(4)灾难恢复与业务持续计划;
(5)应用系统开发、获得、实施与维护;
(6)业务流程评价与风险管理。上述诸
多的审计内容,以及日益纷繁复杂的信
息系统,也迫使我们在IS 审计之际不能
不采用单独的审计准则体系和更多的计
算机辅助审计技术。
三、两者适用准则及采用技术比较
由于计算机审计与IS 审计的审计
目标、审计内容的不同,决定了前者面向
数据审计的特点与后者面向系统审计的
特点,由此也就使各自的审计准则和审
计技术各不相同。
(一)适用准则的比较
如上所述,计算机审计目标与内容
决定其相关准则的多维性。这可以从国
际审计准则15、16 和20 等内容加以了
解。这些相关规定大多提及EDP 环境,
虽然也不免涉及系统审计,但却主要是
针对财务报表等资料加以规定的。同时,
它们也并非专门针对IS 审计。我国的审
计署、中注协、国务院办公厅从1993 年
至2007 年,陆续诸多与计算机技
术应用有关的规定,究其实质,也都侧重
于财务会计数据审计而非单独针对IS
审计的。
与计算机审计的上述规范相比,IS
审计内涵、审计准则、职业组织、执业主
体等则十分明确。以审计标准为例,截至
2008 年2 月,国际信息系统审计与控制
协会已16 个审计标准,包括审计
章程、审计独立性、职业道德和标准、职
业能力、审计计划、审计工作的执行、审
计报告、后续工作、违规和非法行为、信
息技术管理、审计计划中风险评估的应
用、审计实质性、使用其他审计专家的工
作成果、审计证据、信息技术控制、电子
商务等。可喜的是,我国内部审计协会发
布并于2009 年1 月1 日施行的《内部
审计具体准则第 28 号———信息系统审
计》围绕总则、一般原则、审计计划、信息
技术风险评估、信息系统审计的内容、信
息系统审计的方法、审计报告与后续工
作等方面对内部审计中的信息系统审计
加以规定。虽然这一具体准则与国际信
息系统审计与控制协会已的审计标
准尚有一定的距离,但它毕竟首开我国
信息系统审计准则制定之先河。以下是
国内外已的计算机审计与IS 审计
相关准则体系的比较(见表2)。
(二)采用的审计技术与工具比较
从当前相关文献来看,有关计算机
审计技术介绍比较宽泛,而有关IS 审计
技术则有针对性强的特点。笔者认为,从
信息与信息系统的“产品”与“生产工厂”
的关系看,两者在审计过程中是紧密联
系的。只有当产生信息的系统本身具有
可靠性时,审计师才能初步确信该系统
产生信息的可靠性。而为了鉴证系统的
可靠性,IS 审计师往往通过检测被审系
统输入、处理与输出数据与信息来加以鉴证,其有效性不言而喻。鉴于计算机审计与IS 审计两者的审计目标的不同,两者采用审计技术与工具也就有所不同。
以下是笔者根据国内、外有关文献对两
者采用技术与工具的归纳:
1.两者共同采用的技术与工具。主
要有:测试数据法、追踪法、综合测试工
具(ITF)、平行模拟法、嵌入审计模块法、
流程图检查法、审计软件法、程序编码审
查法、程序比较法等。
2.两者各自采用不同的技术与工
具。其中,计算机审计技术主要有:受控
处理法、受控再处理法、漏洞扫描与入侵
检测、利用数据管理系统辅助法、利用操
作系统和实用程序法、利用被审系统辅
助法和利用电子表格辅助法等。IS 审计
技术主要有:基本案例评估法、系统控制
审计复核文件(SCARF)、快照法、审计
钩(hooks)、连续与间歇模拟(CIS)、延
展性记录法等。
四、结论
计算机审计与IS 审计无论是其产
生与发展,还是其基本概念、审计目标、
审计内容,抑或是其适用准则与采用的
审计技术,都有着很大的区别。但两者
在我国审计发展过程中却有其特定的
地位与作用。以信息化会计系统的财
务数据为审计对象的计算机审计,在当
前广泛开展财务报表审计过程中对其
展开研究仍然有着重要意义。同时,它
所强调的审计信息化建设使其“二方
观”能够进一步发扬光大。可以预见,
随着环境的变化与信息技术应用的深
入,计算机审计的内涵与外延也必将
得以深入与拓展。
成功地开展我国的IS 审计,是我国
审计走向世界的必由之路。上市公司根
据COBIT 框架实施内部控制已是大势
所趋,大、中型企业也必然紧随其后,由
此也就决定了IS 审计的势在必行。透过
IS 审计师资格考试的内容使我们看到
了IS 审计对知识与技术要求的高难度,
尤其是近年来对某些企业单位的IS 审
计之实践更使我们感到任重而道远。因
此,起步伊始的我国IS 审计,倘一开始
就能够借鉴国外先进的经验,追踪国际
惯例,并针对国情提出自己的发展对策,
无疑可以健康发展。
计算机审计与IS 审计两者绝非泾
渭分明,而两者究竟应当遵循哪些审计
准则,是近期内我国应当重点研究的问
题。诚然,从技术的角度看,国际IS 审计
标准、指南和程序已经日臻完整和成熟,
我国似无另起炉灶之必要,但由于我国
企业单位种类繁多,许多内外环境与国
外迥然不同,如果没有切合国情的部门
规章和规范性文件对IS 审计加以指
导,则可能欲速不达。因此,应当结合
我国IS 审计的现实状况,根据实践经
验、具体业务流程和技术方法分期发
布相应规章与规范性文件,逐步规范
我国的IS 审计。
【参考文献】
[1] Jack J.Champlain:Auditing InformationSystems,2sted,John Wiley &Sons,Inc.2003.
[2] 张德明,译.国际审计准则[M].大
连:东北财经大学出版社,1990.
[3][美]W.Thomas Poter,等著.计算机
审计[M].李大庆等,译.北京:中国
财政经济出版社,1990.
[4] 潘晓江.电子计算机审计与数据可靠
性控制—会计电算化之后现代审计
的对策[J].会计研究,1983(5)、(6).
[5] 王光远.管理审计理论[M].北京:中
国人民大学出版社,1996.
[6] 胡克瑾.IT 审计[M].北京:电子工
【关键词】会计电算化;审计;信息系统
(1)存货盘点观察小组应由熟悉客户营运情况的有经验干部领导。风险愈大,要求的经验愈高。对于较欠经验的助理人员,应给予适当的督导,并鼓励他们将疑点问题告知现场合伙人员或其他领导。(2)如合伙人或领导无法亲临盘点现场,应预留电话,以便助理人员遇到重大问题时联络。审核前预先召开会议,提示重点,可以帮助较欠经验的助理人员注意到写作论文潜在的问题。(3)执行盘点审核时:①抽查的重点应为高价值的项目。②如果不是每一个地点均列入审核范围,不要事先或太早告知客户前往的地点;如果采用循环盘点的方式,不要轻易让客户熟悉选样的模式。③对于重大或不寻常的盘点差异、客户人员记录核查人员抽查项目、客户人员对查核程序过度关心等现象,审计人员均应提高专业警觉性。④对于好像很久未用的存货项目,或存放的地点或方式不寻常的项目,应保持警惕,弄清是否有受损、过时及过量的存货。⑤盘点时公司及工厂间的存货调拨收发活动,应尽量避免或减少;如不可避免,应做好适当控制。
加大执法力度,杜绝企业短期行为为彻底杜绝企业的短期行为,保证会计信息的真实合法,除了对企业加大审计力度外,还应以法律对企业进行约束。1.重新修订《会计法》、《公司法》等有关法律法规。通过立法程序明确规定如下内容:首先,企业经营者应承担的短期行为方面的法律责任。凡是由企业经营者个人行为因素造成的,无论其对短期行为的界限是否清楚,也无论是否经过会计人员之手,均应追究企业经营者的责任;凡是直接由会计人员个人行为因素造成的,应追究会计行为主体和企业经营者的相应责任;其次,因企业对外提供虚假会计信息而给投资者、债权人等广大会计信息使用者导致决策失误等而造成损失的,应承担民事赔偿责任;最后,民事赔偿的主体应是会计信息失真的责任者即企业经营者,而不是企业法人实体,更不是会计行世界经济的快速发展,计算机技术的广泛应用,使会计电算化已成为现实并广泛应用。会计电算化是审计变革的催化剂,它将大大加快利用现代信息技术,按照审计环境要求进行审计变革的进程。
会计电算化信息系统的定义及特点(一)电算化信息系统的定义会计电算化信息系统(CAIS---ComputerizedAccountingInformationSystem)指的是以计算机为主要信息处理手段的会计信息系统,该系统是由人员、计算机硬件、计算机软件、相关的信息资料文件和会计规范等基本要素组成,是一个人机结合的系统。(二)会计电算化信息系统的特点1.会计电算化系统的基本特点(1)数据存储的磁性化、无纸化。(2)内部控制的程序化。在手工会计方式下,管理人员可以通过职能分割、人员的分工形成内部控制体系。(3)数据处理的集中化、自动化。(4)会计人员业务知识的多面化。2.会计电算化系统与手工会计系统的区别(1)数据准确性明显提高。计算机具有高精度、高准确性和逻辑判断的特点,使得数据的准确性有了明显的提高。(2)数据处理速度明显提高。计算机具有高速处理数据的能力,计算机会计信息系统利用计算机自动处理会计数据,极大的提高了数据处理的效率,增强了系统的及时性。(3)提供信息的系统性、全面性、共享性大大增强,能够为管理者、投资人、债权人、财政税务部门提供更多更好的信息。
会计电算化信息系统对审计的影响(一)对审计线索的影响在电算化会计中,计算机的使用改变了会计记录的存储与处理,表现在如下几个方面:(1)会计凭证的存储与处理。原始凭证或记账凭证一经输入机内,便以文件的形式存入机内的数据文件。(2)帐薄的存储与处理。总分类帐为文件所代替,明细分类帐采用满页打印式,因而导致两类数据之间的日常核对只能在机内进行。帐薄登录时,通过计算机登帐程序自动执行,使用的是哪一种程序难以判断。(3)报表的编制采用按事先的公式到帐薄文件、其他报表文件中取数计算,数据来源、公式定义、编制结果、打印格式等均采用机内文件的形式。由于磁性介质修改不留痕迹的特点,使审计人员很难相信打印输出的会计报表,正是根据企业单位提供的公式定义文件加以编制的。(二)会计系统内部控制的改变由于会计系统实现了电算化,手工会计系统原有的内部控制已不能适应电子数据处理的新特点,不能有效的降低电算化会计系统特有的风险。为了系统的安全可靠和系统处理与存储的会计信息准确完整,必须考虑电算化系统的特点,针对其固有的风险,建立新的内部控制。这些内部控制除了有关电子数据处理的制度、规定和人工执行的程序控制外,内部控制的程序化是电算化会计信息系统的一个重要特点。对程序控制,审计员要利用计算机辅助审计技术进行审计。对于电算化信息系统内部控制的弱点,审计人员要能评估其影响,并向被审单位提出改进的建议。(三)对审计内容的影响在会计电算化的条件下,审计的经济监督职能并没有改变。但由于会计电算化信息系统的特点及固有的风险决定了审计的内容要发生相应的变化,包括对计算机处理和控制功能的审查。这是在传统的手工审计中所没有的。因此,电算化会计信息系统的审计内容就应当包括系统的开发与设计、会计软件的程序、数据文件以及内部控制的审计等。(四)审计技术的改变在手工会计处理的条件下,审计可根据具体情况进行顺查、逆查或抽查。审查一般采用审阅、核对、分析、比较、调查和证实等方法。所有审查工作都是由人工完成的。在会计电算化条件下,会计的特点决定了审计的内容和技术的改变。虽然人工的各种审查技术仍是很重要的,但计算机辅助审计是必不可少的审计技术。(五)对审计人员的要求更高在会计电算化条件下,由于审计线索内部控制、内容和审计技术的改变,决定了对审计人员的要求更高了,即审计人员不仅要有会计、审计理论和实务知识,而且要掌握计算机和电算化会计方面的知识和技能。(六)审计标准和准则的变化人们在过去的审计工作中已建立起一整套审计标准,如审计人员标准、审计报告标准等。但由于审计线索、审计内容、审计技术等的变化,过去的审计标准的某些部分已不再适用,而与电算化系统有关的准则和标准尚未建立,所以,在这种形势下,要完成审计工作,必须修改和完善相应的审计准则和标准。由上述可见,会计电算化给审计提出了许多新问题、新要求。传统的手工审计已不能适应电算化的要求。学习、研究和开展计算机审计是审计部门和审计人员的新课题和新任务。
三、对会计电算化系统进行审计的对策(一)努力抓好会计电算化系统的审计工作电算化会计系统开发审计是审计人员对电算化会计系统开发过程中的可行性研究、设计、试行等所进行的审查和鉴证。系统开发前,审计人员通过参与开发过程实施事前审计,根据系统开发过程中的控制点,随时审查系统的开况。审计人员在电算化会计系统开发完成后,对系统开发质量进行的审计为事后审计。事后审计的重点是会计电算化各项控制措施的有效性,其目的是弄清系统是否在可控制下运行,能否保证数据处理和输出结果的正确性和可靠性。审计人员一般可采用符合性测试方法审查已开发的电算化会计系统。(二)积极培养复合型知识结构的审计人员(1)加强广大审计人员计算机知识及应用能力的培训,逐步扩展和更新现有的计算机知识,提高操作水平,以达到能够对数据库等电算化会计处理系统进行操作来获取审计证据的目的;(2)合理配置审计小组人员,充分考虑审计专家和计算机专家的紧密配合,合理分工,相互沟通;(3)在高校财经类专业的教学中重视计算机正规知识的教育,除开设计算机基础、程序设计、会计电算化等课程之外,还要开设计算机辅助设计等相关课程,使高校成为培养计算机审计后备人才的摇篮。(三)加强对会计信息系统内部控制制度审计对会计电算化系统内部控制制度的审核与评价应从程序控制和制度控制两方面的测试与评价进行。程序控制的责任者是软件开发部门。对本单位自行设计开发的电算化系统,应结合开发过程中形成的各种文档资料,审计系统的开发计划是否经过严密的审证,仔细研究调查后方可实施。制度控制的责任者是会计软件的使用单位。审查系统工作环境的控制是否完善,是否建立和健全机器设备使用控制制度,是否制定和执行科学的操作规程以保证会计信息的准确性和可靠性。(四)大力开展计算机辅助审计计算机辅助审计技术有两种,即审计软件和测试数据。审计软件由审计人员使用的计算程序所组成,处理来源于被审计单位会计制度的重要审计数据。测试数据技术是用于执行审计程序时将数据输入被审计单位的计算机系统,并将获得的结果同预定的结果相比较。计算机辅助审计不但要对输入的原始数据和打印输出的会计数据进行审查,还必须对计算机信息处理系统的程序、相关的内部控制系统、数据文件以及对计算机硬件本身的可靠程序进行审计。这样才能保证计算机信息系统处理系统数据的可靠性、安全性和准确性。
四、对未来审计方式的展望20世纪80年代后期西方出现的计算机审计整合法,它将传统审计(财务审计)和计算机(电子数据处理)审计结合为一体。在这个阶段,所有的高级审计人员都受到计算机审计和财务审计的训练,无须交叉咨询。一般审计人员也接受过计算机审计和财务审计的基本训练。计算机审计技术小组主要是开发设计审计软件。整个系统的审计报告不再分计算机系统和会计系统两种形式,而是一份综合审计报告。应用这一方式,审计的效率将大大提高。这一计算机审计的方法,体现了审计的发展趋势。
【参考文献】
1、谭浩强主编、INTERNET基础﹝M﹞、北京:清华大学出版社,2000:212-216
2、李国良、互联网对财务会计的影响、
3、金光华、李刚等著、网络审计﹝M﹞、上海:立信会计出版社,2000:138-139
4、易佩富、如何对实行会计电算化的单位进行审计﹝J﹞、中国审计信息与方法2001(3):16-18
【关键词】会计电算化;审计;信息系统
(1)存货盘点观察小组应由熟悉客户营运情况的有经验干部领导。风险愈大,要求的经验愈高。对于较欠经验的助理人员,应给予适当的督导,并鼓励他们将疑点问题告知现场合伙人员或其他领导。(2)如合伙人或领导无法亲临盘点现场,应预留电话,以便助理人员遇到重大问题时联络。审核前预先召开会议,提示重点,可以帮助较欠经验的助理人员注意到论文潜在的问题。(3)执行盘点审核时:①抽查的重点应为高价值的项目。②如果不是每一个地点均列入审核范围,不要事先或太早告知客户前往的地点;如果采用循环盘点的方式,不要轻易让客户熟悉选样的模式。③对于重大或不寻常的盘点差异、客户人员记录核查人员抽查项目、客户人员对查核程序过度关心等现象,审计人员均应提高专业警觉性。④对于好像很久未用的存货项目,或存放的地点或方式不寻常的项目,应保持警惕,弄清是否有受损、过时及过量的存货。⑤盘点时公司及工厂间的存货调拨收发活动,应尽量避免或减少;如不可避免,应做好适当控制。
加大执法力度,杜绝企业短期行为为彻底杜绝企业的短期行为,保证会计信息的真实合法,除了对企业加大审计力度外,还应以法律对企业进行约束。1.重新修订《会计法》、《公司法》等有关法律法规。通过立法程序明确规定如下内容:首先,企业经营者应承担的短期行为方面的法律责任。凡是由企业经营者个人行为因素造成的,无论其对短期行为的界限是否清楚,也无论是否经过会计人员之手,均应追究企业经营者的责任;凡是直接由会计人员个人行为因素造成的,应追究会计行为主体和企业经营者的相应责任;其次,因企业对外提供虚假会计信息而给投资者、债权人等广大会计信息使用者导致决策失误等而造成损失的,应承担民事赔偿责任;最后,民事赔偿的主体应是会计信息失真的责任者即企业经营者,而不是企业法人实体,更不是会计行世界经济的快速发展,计算机技术的广泛应用,使会计电算化已成为现实并广泛应用。会计电算化是审计变革的催化剂,它将大大加快利用现代信息技术,按照审计环境要求进行审计变革的进程。
会计电算化信息系统的定义及特点(一)电算化信息系统的定义会计电算化信息系统(CAIS---ComputerizedAccountingInformationSystem)指的是以计算机为主要信息处理手段的会计信息系统,该系统是由人员、计算机硬件、计算机软件、相关的信息资料文件和会计规范等基本要素组成,是一个人机结合的系统。(二)会计电算化信息系统的特点1.会计电算化系统的基本特点(1)数据存储的磁性化、无纸化。(2)内部控制的程序化。在手工会计方式下,管理人员可以通过职能分割、人员的分工形成内部控制体系。(3)数据处理的集中化、自动化。(4)会计人员业务知识的多面化。2.会计电算化系统与手工会计系统的区别(1)数据准确性明显提高。计算机具有高精度、高准确性和逻辑判断的特点,使得数据的准确性有了明显的提高。(2)数据处理速度明显提高。计算机具有高速处理数据的能力,计算机会计信息系统利用计算机自动处理会计数据,极大的提高了数据处理的效率,增强了系统的及时性。(3)提供信息的系统性、全面性、共享性大大增强,能够为管理者、投资人、债权人、财政税务部门提供更多更好的信息。
会计电算化信息系统对审计的影响(一)对审计线索的影响在电算化会计中,计算机的使用改变了会计记录的存储与处理,表现在如下几个方面:(1)会计凭证的存储与处理。原始凭证或记账凭证一经输入机内,便以文件的形式存入机内的数据文件。(2)帐薄的存储与处理。总分类帐为文件所代替,明细分类帐采用满页打印式,因而导致两类数据之间的日常核对只能在机内进行。帐薄登录时,通过计算机登帐程序自动执行,使用的是哪一种程序难以判断。(3)报表的编制采用按事先的公式到帐薄文件、其他报表文件中取数计算,数据来源、公式定义、编制结果、打印格式等均采用机内文件的形式。由于磁性介质修改不留痕迹的特点,使审计人员很难相信打印输出的会计报表,正是根据企业单位提供的公式定义文件加以编制的。(二)会计系统内部控制的改变由于会计系统实现了电算化,手工会计系统原有的内部控制已不能适应电子数据处理的新特点,不能有效的降低电算化会计系统特有的风险。为了系统的安全可靠和系统处理与存储的会计信息准确完整,必须考虑电算化系统的特点,针对其固有的风险,建立新的内部控制。这些内部控制除了有关电子数据处理的制度、规定和人工执行的程序控制外,内部控制的程序化是电算化会计信息系统的一个重要特点。对程序控制,审计员要利用计算机辅助审计技术进行审计。对于电算化信息系统内部控制的弱点,审计人员要能评估其影响,并向被审单位提出改进的建议。(三)对审计内容的影响在会计电算化的条件下,审计的经济监督职能并没有改变。但由于会计电算化信息系统的特点及固有的风险决定了审计的内容要发生相应的变化,包括对计算机处理和控制功能的审查。这是在传统的手工审计中所没有的。因此,电算化会计信息系统的审计内容就应当包括系统的开发与设计、会计软件的程序、数据文件以及内部控制的审计等。(四)审计技术的改变在手工会计处理的条件下,审计可根据具体情况进行顺查、逆查或抽查。审查一般采用审阅、核对、分析、比较、调查和证实等方法。所有审查工作都是由人工完成的。在会计电算化条件下,会计的特点决定了审计的内容和技术的改变。虽然人工的各种审查技术仍是很重要的,但计算机辅助审计是必不可少的审计技术。(五)对审计人员的要求更高在会计电算化条件下,由于审计线索内部控制、内容和审计技术的改变,决定了对审计人员的要求更高了,即审计人员不仅要有会计、审计理论和实务知识,而且要掌握计算机和电算化会计方面的知识和技能。(六)审计标准和准则的变化人们在过去的审计工作中已建立起一整套审计标准,如审计人员标准、审计报告标准等。但由于审计线索、审计内容、审计技术等的变化,过去的审计标准的某些部分已不再适用,而与电算化系统有关的准则和标准尚未建立,所以,在这种形势下,要完成审计工作,必须修改和完善相应的审计准则和标准。由上述可见,会计电算化给审计提出了许多新问题、新要求。传统的手工审计已不能适应电算化的要求。学习、研究和开展计算机审计是审计部门和审计人员的新课题和新任务。
三、对会计电算化系统进行审计的对策(一)努力抓好会计电算化系统的审计工作电算化会计系统开发审计是审计人员对电算化会计系统开发过程中的可行性研究、设计、试行等所进行的审查和鉴证。系统开发前,审计人员通过参与开发过程实施事前审计,根据系统开发过程中的控制点,随时审查系统的开况。审计人员在电算化会计系统开发完成后,对系统开发质量进行的审计为事后审计。事后审计的重点是会计电算化各项控制措施的有效性,其目的是弄清系统是否在可控制下运行,能否保证数据处理和输出结果的正确性和可靠性。审计人员一般可采用符合性测试方法审查已开发的电算化会计系统。(二)积极培养复合型知识结构的审计人员(1)加强广大审计人员计算机知识及应用能力的培训,逐步扩展和更新现有的计算机知识,提高操作水平,以达到能够对数据库等电算化会计处理系统进行操作来获取审计证据的目的;(2)合理配置审计小组人员,充分考虑审计专家和计算机专家的紧密配合,合理分工,相互沟通;(3)在高校财经类专业的教学中重视计算机正规知识的教育,除开设计算机基础、程序设计、会计电算化等课程之外,还要开设计算机辅助设计等相关课程,使高校成为培养计算机审计后备人才的摇篮。(三)加强对会计信息系统内部控制制度审计对会计电算化系统内部控制制度的审核与评价应从程序控制和制度控制两方面的测试与评价进行。程序控制的责任者是软件开发部门。对本单位自行设计开发的电算化系统,应结合开发过程中形成的各种文档资料,审计系统的开发计划是否经过严密的审证,仔细研究调查后方可实施。制度控制的责任者是会计软件的使用单位。审查系统工作环境的控制是否完善,是否建立和健全机器设备使用控制制度,是否制定和执行科学的操作规程以保证会计信息的准确性和可靠性。(四)大力开展计算机辅助审计计算机辅助审计技术有两种,即审计软件和测试数据。审计软件由审计人员使用的计算程序所组成,处理来源于被审计单位会计制度的重要审计数据。测试数据技术是用于执行审计程序时将数据输入被审计单位的计算机系统,并将获得的结果同预定的结果相比较。计算机辅助审计不但要对输入的原始数据和打印输出的会计数据进行审查,还必须对计算机信息处理系统的程序、相关的内部控制系统、数据文件以及对计算机硬件本身的可靠程序进行审计。这样才能保证计算机信息系统处理系统数据的可靠性、安全性和准确性。四、对未来审计方式的展望20世纪80年代后期西方出现的计算机审计整合法,它将传统审计(财务审计)和计算机(电子数据处理)审计结合为一体。在这个阶段,所有的高级审计人员都受到计算机审计和财务审计的训练,无须交叉咨询。一般审计人员也接受过计算机审计和财务审计的基本训练。计算机审计技术小组主要是开发设计审计软件。整个系统的审计报告不再分计算机系统和会计系统两种形式,而是一份综合审计报告。应用这一方式,审计的效率将大大提高。这一计算机审计的方法,体现了审计的发展趋势。
【参考文献】
1、谭浩强主编、INTERNET基础﹝M﹞、北京:清华大学出版社,2000:212-216
2、李国良、互联网对财务会计的影响、
3、金光华、李刚等著、网络审计﹝M﹞、上海:立信会计出版社,2000:138-139
4、易佩富、如何对实行会计电算化的单位进行审计﹝J﹞、中国审计信息与方法2001(3):16-18
近年来,襄樊市审计局加大计算机建设与应用步伐,在计算机辅助审计方面进行了有益探索,先后在企业、财政、金融、农林水、行政事业等行业38个单位尝试进行计算机辅助审计,取得了较好成效。在审计数据采集与分析、软件开发与应用等方面有了一些初步的经验和体会。
一、计算机辅助审计的主要步骤
(1)可行性分析。主要是调查了解被审单位会计信息的管理现状,看其计算机使用水平能否满足审计项目的方案要求(质量、时限等),从而确定是否采用计算机辅助审计。
(2)审前准备。主要是配备相应的电脑和熟悉计算机应用的审计人员,选择符合财政部规定、适用性强的审计软件。制定审计方案、下发审计通知书等;
(3)现场审计。主要包括数据采集和数据分析两个环节。数据采集就是应用一定的方法,对被审单位的数据信息进行迁移,按审计方案的要求以及财务管理的基本原理进行整理;数据分析就是应用相关审计软件对采集到的数据进行分类、筛选、归并、统计和分析判断,从中查找被审单位财务管理中的疑点线索,发现违纪违规问题,汇总相关数据,以满足审计报告的需求。
(4)审计报告。在传统手工审计的基础上,结合计算机辅助审计将采集到的数据,应用计算机进行结论性审计文档的处理,形成审计报告,出具审计决定。审计意见书等,并由此形成被审单位电子数据库的部分数据。
二、数据采集的主要方法
在分析被审单位电子记帐数据的完整性的基础上,确定采用计算机辅助审计,我们主要采取以下方法来进行数据采集。
第一步:导出被审单位财务管理数据。在实践中主要采取三种方法:
(一)直接使用被审单位的财务管理软件,将数据导出为通用数据库格式(如:mdb、xls、txt等)。其优点是:适用范围宽、导出数据随审计人员的意愿,因而是审计人员首选也是运用最多的数据导出方法。因为一些著名的财务软件为证明自己的“开放性”、“兼容性”特征,都具备“数据可被第三方软件使用”这一功能,诸如:用友、金碟、远方等,并且版本越高,此项功能越明显。而且从审计情况看,如今不少行政企事业单位大都使用上述软件。
如在对樊城公安分局的审计中,该单位使用的是用友M8.0财软,我们就直接将其总帐、明细帐分别导成一个通用数据库如mdb的两张数据表;在对全市民政系统审计中,因该系统使用了用友M7.0,一次只能将总帐、明细帐的一个科目导成一个通用数据库,因此我们就根据需要,生成了多个科目的多个相关数据库。另外有些软件开发商专门设计了特定格式的导出,如:电力系统使用的远方财软4.XX版本,高度自动化设计,财务人员只需输人原始资料,数据汇总、帐表生成等全部由系统自动完成,其操作程序符合财政部最新颁布的会计制度,审计人员可将其中所有汇总表格和明细帐的查询结果导出为EXCEL格式,利用帐页查询功能,完成电子数据的采集工作。当然一些高端数据库软件,如:使用SQLServer、DB2等作为数据仓库开发的财软,由于这些服务器端的专业数据库软件本身具有强大的分析、备份和安全恢复等功能,因而客户端的应用软件也就没有必要开发数据导出功能了。
(二)直接使用被审单位企业(财务)管理软件而产生的备份数据。
因为几乎所有的企业(财务)管理软件都具有数据的备份和恢复功能。我们完全可以将数据的备份带回,在自己的电脑中进行恢复。这种方法最大的优点是导出的数据最完整(甚至包括软件的
使用日志、用户权限及密码等),分析起来最方便。由于用户软件本身具有强大的分析和查询功能,因而不需要借助任何第三方的辅助分析软件或数据库软件。但其缺点是必须有一套与被审单位软件一致的能使用的软件,且有多少个审计对象,你就需要准备多少个软件。这类商业软件由于审计人员只用于辅助审计,不作为生产使用,因而购买起来极不经济,其来源主要是通过以下方式获得:一是使用演示版软件,由于相当多的演示版软件与标准版软件仅在表证的打印上有区别,因而使用演示版软件没有问题。二是使用软加密方式的软件。相当多的软件是通过合法用户名和系列号来限制使用的,我们可以用被审单位软件的用户名和序列号在自己的电脑在进行安装软件,再将备份的数据恢复进来就可使用了(如:远方财软)。三是使用“光盘市场”版软件,目前光盘市场提供的版本相近的经过解密的软件,如:用友、金碟、交易等大腕软件,基本上都可以使用。四是与软件公司协商,支付少量费用,借用软件公司同版本号的正版软件和限次软件。
(三)直接将用户软件的原始数据库表导出。
就是使用专业数据库,如:SQLServer等,直接使用专业库的管理工具将数据导出。这种方法的特点是对审计人员的计算机技能提出了较高要求。主要表现在:l、软件的开发者为减少数据的冗余而采用了关系表,用户采用了这些表在自己的电脑中分析时需自行定义关系。2.这些表一般都为原始数据,审计人员要得到自己的记录集需自建查询集(视图)。3、这些表多为英文或拼音组成的字段(为了适应更多的开发工具)且有许多认证字段,完全搞清楚还费点周折。但是如果将上面问题都搞清楚了,使用通用数据库软件和专门的辅助审计软件分析起来还是比较方便的。
第二步、导出数据迁移
一般情况下,将数据导出后必须存入审计人员的电脑中,置于审计人员自己定义的某一目录下。这一点,要视实际情况的不同,分别采取不同的对策,从审计实践看,不外乎有以下王种情况:
(一)若数据文件总量在SM以下,通常采用压缩软件如:winzip等将数据压缩成几张盘,将数据带走。
(二)若数据文件总量在SM以上,如采用压盘方法由于盘片较多,恢复成功的风险较高,因而一般采用外置硬盘的方法,将数据在不压缩状态下直接导入自己的硬盘。
外置硬盘有打印机接口的外置硬盘和USB接口的外置硬盘。USB接口的硬盘支持热插拔,打印机接口的硬盘支持老一些的电脑,外置硬盘通常由外置硬盘盒加普通硬盘组成,这是一种最经济最方便的数据迁移的方法。
(三)若审计人员随身携带有笔记本电脑(带以太网卡)且被审单位也组建了局域网,可直接采用电脑与电脑对拷的方法实现。这里也有两种方法:
1、笔记本电脑与数据源电脑直接对持。审计人员需自己制作一条网络线(将普通的网络跳线12.36对调),将两台电脑配成对等网,在数据源电脑中将自己需要的数据目录设置“共享”后,拷入笔记本电脑。
2.网络下载。审计人员将自己的笔记本电脑接入被审单位的网络,找一个被审单位空闲的PJ45信息接口,配置好网络获取一个合法网络帐户,进入网络后,将数据源电脑中的数据持出。
三、如何进行数据分析
在审计工作中,我们大都要使用通用的或专门的软件分析数据。因为通用的数据库软件具有极其强大的分析功能,使用起来也特别方便灵活。若审计人员很熟悉诸如:Foxpro、access、SQLServer或SQL语句之一种,基本上就可以不依赖任何辅审软件独立开展计算机辅助审计了。以我局对湖北化纤集团审计为例,我们直接将被审单位的数据采集回来后,导入access2000,利用access2000中的可视化的查询分析器对数据进行筛选,得出所需要的数据。但是现阶段不少审计人员并不熟悉专业数据库软件的使用,尽管诸如access、foxpro、SQLserver等使用起来都很方便容易,但对相当多的审计人员来说仍有一定困难,这样就可结合使用相对而言更易使用的一些软件,诸如:南京特派办的《审计数据采集分析软件》等。
从实际情况看,我们主要是采取以下几种方法进行数据分析的:
一是利用被审单位软件的自身查询功能,发现不正常的会计分录。主要通过查看明细帐、记帐凭证,审查会计科目的对应关系,发现不正常的会计分录。如:“实收资本”科目一般对应“现金”、“银行存款”或者是“存货”等资产类科目,如在查询中发现,有的对应科目却是“应付款‘、”其他应付款“等科目,就可将这种不正常的会计事项作为审计重点,经调阅有关的原始凭证和调查相关往来单位,发现该单位虚列股本、转移国有资本、化公为私等问题;
二是利用被审单位软件数据转换功能,结合《审计数据采集分析软件》的查询、筛选等功能,发现违规支出。以“费用”审计为例,首先将把被审单位数据库中“管理费用”、“经营费用”和“财务费用”明细帐打开,将数据转换成EXCEL格式,通过《审计数据采集软件》进行查询摘要、筛选数据,经调阅有关的原始凭证和审计相关单位,发现费用中违规支出问题。
三是利用分类汇总、规划求解和拖动复制柄等功能,发现收入不合规等问题。比如审查债权债务,湖北化纤集团涉及的往来单位共有1938个,往来款总额数亿元,若一个审计人员用人工查账法,按帐龄分析其发生的现状,摸清其真实合法情况,需要一个星期。但运用计算机辅助审计,在EXCEL电子表格中,按照“单位”、“帐龄”等检索条件,一个小时之内查出三年以上不良资产1000多万元,往来单位1360个;二年至三年往来单位269个,金额3000多万元;又如在今年的电力行业审计中,在审查电价标准方面,我们首先将被审计单位用电量数据库采集过来,存为EXCEL电子表,用电总量中分居民生活电量、农民排灌电量、优惠
[论文摘要]经过20多年的改革开放.
三、积极稳妥地探索 网络 远程审计和 计算 机审计
1.善用互联网优势,提高内审工作效率。
随着高速公路里程的不断延伸,高速公路经营 企业 经济 业务量也不断扩大,每年一次的现场审计监督手段已无法适应其 发展 要求。如今,计算机己广泛应用于企业经营管理、劳资财会和工程建设等各个领域,加之企业局域网的建立和完善,高速公路经营公司与下属公司、物资供应商、 金融 机构、税务部门等外部组织的联系也越来越多地通过网络进行,这就要求内部审计必须伸入“网络”空间。
高速公路经营企业内审工作如果没有 现代 化的科技手段,就无法适应多变的形势。企业根据知识经济时代信息化建设的要求,加大对内部审计的科技投资力度,使内审工作摆脱手工操作早et进入信息化、规范化的发展阶段,从而尽可能减少、避免资产的闲置、浪费,提高企业经济效益。
2.积累经验,积极攻关,探索计算机审计的新方法、新技术。lw881.com
远程审计是利用审计数据接口技术,通过互联网获得被审单位的原始数据,以计算机为辅助工具,运用审计软件分析判断,并通过互联网传输或在网上公布审计报告的审计方式。计算机审计是计算机技术和电算化 会计 信息系统发展的结果,主要包括两个方面的内容:①对计算机会计信息系统(edp)进行审计,即将计算机系统作为审计的对象。②计算机辅助审计,即利用计算机作为审计的辅助工具。
目前,能够适用高速公路企业的审计软件系统几乎没有,大多数企业均不具备符合国家标准或行业标准的数据接口。如何对那些已经在不同程度上实现了计算机会计管理系统的部门和单位进行审计监督,推动 交通 内审信息化建设,笔者建议,吸收全行业既有计算机基础理论水平、应用能力又有内审实践经验的人员组成技术攻关小组,开展计算机审计的实践与理论研讨活动,对遇到的技术性问题进行攻关, 总结 和推广计算机审计的专家经验等,势在必行。
四、从不同的角度切入,实现内审部门多种绩效评价模型的构建。
1.建立内审部门绩效评价模型的不利因素高速公路经营公司为了提高运作效率,需要加强对各职能部门的绩效进行考核,内审部门也不例外。内审部门的绩效评价问题在我国提出较晚,在评价指标的选择上过于简单,在权重赋值上随意性强:①内审部门作用的发挥深受其独立性、权威性特征的影响,而这些特征的强弱多由内部审计管理模式和内审在企业中的地位决定。②内审工作实际上是一种面向企业内部提供的服务,对于服务质量的认定缺乏统一的方法和标准。③内审部门的贡献一般都具有长期性,而绩效评价一般以不超过一年的时间段为周期。④内审部门的作用多具有间接性很难用定量方法计量,用定性方法又过于简单,缺乏说服力。⑤内审部门提供的咨询服务依赖于领导的重视程度和作业单位的具体行动,很难评价咨询服务的质量。
论文摘要:回顾IS审计的发展历程,进而披露IS审计在我国的发展现状,并对产生问题的原因进行剖析,最后对如何构建完善的Is审计模型提出解决策略。
Is审计,是指Informationsystemauditing,即信息系统审计,它是指审计组织以信息技术为手段,组织计划审计项目,实施审计的全过程,以判断该信息系统是否安全、可靠和有效,并对信息系统对财务报告的影响做出判断或单独提出信息系统审计报告的全过程。以确认审计风险或评价企业信息战略、优化组织运营为目标,对组织营运所依赖的信息系统进行独立、客观确认和咨询活动。信息系统审计的内容包括两个方面:一是以信息技术为手段所开展审计工作的全过程,即计算机辅助审计技术(CAAT);二是指审计部门以组织的信息系统为对象,以风险评估或内部控制检查为手段,对该系统所产生的会计信息系统的真实性、合法性做出确认或通过优化企业信息管理,增加企业核心竞争能力即信息系统的审计或EDP审计。信息系统审计与控制协会——ISACA成立于1969年,最初称为EDP审计师联合会,总部在美国的芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人。是信息系统审计的专业人员唯一的国际性组织,CISA(CertiifedInformationSystemAuditor)也是这一领域的唯一职业资格。该组织通过制定和颁布信息系统审计准则、实务指南等专业标准来规范和指导信息系统审计师的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够享用其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA每年还举办CISA资格考试,通过考试的人员可以申请CISA资格,符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。
1IS审计发展历程回顾
在信息系统审计的萌芽阶段,人们称之为电子数据处理审计(electronicdataprocessingauditing)或计算机审计,它是作为传统审计业务的扩展发展起来的。早期的计算机应用比较简单,相应地,计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计。从财务报表审计的角度来看,这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查,属于审计程序中的实质性测试环节。此时,它只是传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。
随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。风险基础的审计模式的采用以及信息技术在被审计单位的各个领域的广泛应用,信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,并且直接或间接地影响到财务报表的真实、公允。在这种情况下,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段,计算机审计的业务范围已经覆盖了一项审计业务的全过程,计算机审计这一概念已经不能反映这一业务的全部内涵,信息系统审计的概念随之出现。
1.1在建立信息系统审计制度,开展信息系统审计研究方面,美国走在前面
早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEMAUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATIONSYSTEMAUDITANDCONTROLASSOCIATION)即ISACA。美国是首先对网上财务信息的审计直接颁布指导性文件的国家。注册会计师协会(AICPA)为指导其会计师事务所成员,于1997年1月颁布了名为《互联网上的财务报告》(FinnacialStatementsontheIntemet)的指导性文件。该文件于1999年8月15日更新,是现阶段的最新版本。该指导性文件详细表明了美国注册会计师协会审计和鉴证组成员的立场。他们指出网上财务报告的使用者不同于传统印刷版财务报告的使用者,网上披露财务信息只是一种营销手段,网络为企业提供了时常更新其信息的可能性。
1.22001年1月,英国审计职业委员会(APB)颁布了
《网上审计报告公告》(ElectmnicPublicationofAuditorsReports)该公告主要解决了以下几个问题:(1).检查电子版财务信息的生成。(2).审计报告的用词。在对应印刷版财务报表的审计报告中,审计报告往往通过页码范围来确认已审计的财务报表。然而在网站上所的财务报表和审计报告中,使用页码范围已不合时宜,因此APB建议直接使用财务报表名称来取代页码范围;同时需要在审计报告中指出所使用的通用会计准则和审计准则的国籍。(3).信息间的链接。APB非常关注已审计信息和未审计信息之间使用超链接的问题。APB建议审计师应要求“在信息使用者通过超链接从已审计信息跳到非审计信息时,网站应能向使用者发出警告信息”。
13澳大利亚审计与鉴证准则委员会(AustralianAuditnadAssurnaceStnadardBoard,AASB)AASB是最先对网上财务信息审计作出指导的审计准则制定者。AASB于1999年颁布了审计指导声明(AGS)1050《与电子方式呈报财务报告相关的审计问题》。AGS1050的目的在于“当公司利用信息技术在公共网络如互联网上已审计财务信息时,就一些问题为审计师提供一定的指导”。AASB在AGS1050中重述了审计的基本准则,并强调“电子方式财务报告并没有改变管理当局和审计师的责任”,即财务报告的主要责任仍在管理当局。
1.4日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍
2IS审计在我国发展现状及存在问题剖析
近年来,我国审计信息化建设在纳入国家信息化建设(即:金审工程)范围后,有了较快发展。在信息技术和网络技术方面逐渐形成体系,审计业务软件开发应用中也有了较快发展。但审计信息化建设在实际工作中,还存在一些不容忽视的问题,这些问题如不妥善解决将影响审计信息化建设和发展进程。
2.1审计人员对信息系统审计理解偏差,信息系统审计水平匮乏
在注册会计师的行业,由于我国CPA的市场化建设及推行较晚,现行的CPA的素质较低。同时在CPA的考试中也没有计算机方面的要求,因此绝大多数的CPA运用计算机的水平很低。CPA的审计工作仍然是传统的手工审计。计算机仅仅用作文字处理或者基本不用。有些单位计算机专业技术人员只占在职人员总数的5%左右,与审计信息化建设和发展的需要还有较大差距;同时由于计算机技术的飞速发展与知识更新培训的不足,许多审计人员的计算机应用水平及相关技能无法得到同步提高,计算机应用仍停留在较低水平上,计算机功能也没有得到充分发挥。主要体现在应用意识不强,操作技能还不熟练。因而审计系统计算机人材缺乏的问题,也是制约审计信息化建设和发展的因素之一。
2.2信息系统审计理论研究几乎是空白
信息系统审计工作目前还处于探索阶段,还没有形成一套成型的专业规范理论结构。会计、审计界所进行的一些信息系统审计的探索和尝试以及开发的一些信息系统审计软件,还大都停留在对被审计单位的电子数据进行处理的阶段。
2.3信息系统审计硬件条件严重不足
2.4信息系统审计软件条件严重欠缺
虽然我国的网络财务软件较国际先进水平的差距不大,但是由于推出较晚,目前使用面还不广。同时网络财务软件的设计没有考虑审计软件设计的需要,使得审计软件的数据收集以及其功能的发挥受到很大的制约。
2.5IS审计信息化建设效益低
2.6IS审计成本不断攀升
2.7IS审计业务水平不满足信息化发展的的要求
2.8IS审计准则及专业规范不到位
我国的信息系统审计工作目前还处于探索阶段,还没有形成一套成形的专业规范。目前我国会计审计界所进行的一些计算机审计的探索和尝试以及开发的一些计算机审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。运用传统的会计审计知识已经不能对这样的客户进行风险评估、内控测试与评价,从而无法进行真正意义上的“风险基础模式”的审计业务,影响我国会计师行业审计业务质量。这一现状使得我国的注册会计师行业在与国外大型会计公司的竞争中处于不利地位。
3基于新经济时代的完善的IS审计模型的构建策略
新经济是建立在网络经济和技术创新基础上的一种经济形态,以信息网络为代表的高新技术产业,正在世界范围内,尤其是发达国家飞速发展。因此,审计信息化建设和发展关系到我国审计事业的兴衰,体现着我国审计事业发展水平。为此,构建完善的Is审计模式成为当务之急:
31构建完善的Is审计准则体系
目前,我国的Is审计准则比较分散,不统一,执行起来具有很大难度。现有审计准则既有审计署和国务院办公厅的,又有中国注册会计师协会颁布的,而且只有一般性原则和指导意见,缺乏具体的实务公告和行业指南。并且《计算机辅助审计技术方法》只是涵盖了审计工作的一部分,针对我国目前审计实务界的现状,广泛采用的仍是系统打印出来的数据进行手工审计,即绕过计算机审计,如何对其进行规范,目前还没有相应的准则。因此,我国可以借鉴国际审计实务委员会颁布的有关计算机信息系统环境下的审计准则。因为这套准则既有一般性的原则和指导,又有具体的准则和实务公告,从独立微机到联机系统,再到数据库系统的审计和计算机辅助审计技术,内容比较全面并且结构性强。
3.2构建完善的Is审计实施体系
信息系统审计实施体系是指由IT和审计相关的学科为理论基础,以传统审计为实践基础,以审计指南为指导,以审计工具为辅助,以审计业务为核心的有机整体。构建信息系统审计实施体系的目的在于全面了解信息系统审计的内涵和外延,从而有助于该领域的进一步深入研究,也可更加有效地指导实际的审计工作。完善的Is审计实施体系如图所示:
3.3构建全面的联网审计系统
联网审计是指审计机关与被审计单位进行网络互连后,在对被审计单位财政财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实、合法、效益进行实时、远程检查监督的行为。随着近年来一些地方联网审计试点的开展,有数据显示,在2003年,审计署对中国工商银行进行了联网审计,和1999年相比,全部参审人员仅为1999年人工现场审计的1.1%,人均发现的违纪违规问题却是1999年的38倍。
联网审计正悄悄改变着延续了100多年的传统审计模式。联网审计是顺应信息化发展的产物,不论在亚洲还是在欧洲、美洲,联网审计都处在试点阶段。据悉,2005年《中央部门预算执行联网审计工作方案》(以下简称《工作方案》)正式完成。《工作方案》规定,审计重点是国家工商总局等四大中央部门,将首批执行联网审计。该方案根据《审计署2005年度统一组织审计项目计划》、(2004至2007年审计信息化发展规划》、《审计机关审计项目质量控制办法(试行)》和(2005年财政审计应用计算机技术工作意见》制定。审计人员坐在办公室内就能动态甚至实时跟踪、查看被审计单位预算资金动态,从资产负债变动、预算经费收支、大额支出、预算指标执行、行政性收费等多个角度进行数据分析,发现疑点或异常后及时通知被审计单位,努力把腐败消灭在萌芽状态;在对具体项目审计中,大量的审前调查在自己的办公室内完成,进驻被审计单位前已经确定了审计重点和审计实施方案等,审计员在被审计单位的主要工作不再是查账找问题,而调查取证联网审计发现的疑点。
但联网审计,包括其试点活动都在近三年内才开始启动,联网审计无论在理论和实践中都存在很多问题,尤其是一些法律、技术、规范等多方面的难题。(1)法律盲区是联网审计的主要障碍之一。比如,按照现有审计法规,审计机关能否具有与被审计单位联网取得数据的权力,有没有随时获取被审计单位数据并进行审计的权力,在发现问题后有没有及时通知被审计单位的权力,被审计单位有没有相对应的义务等。
(2)信息系统审计技术急需跟进。在开展联网审计前,应首先对被审计单位的信息系统进行审计;要探索适用范围更广的公网传输机制;要研究数据库技术、联机分析技术、数据挖掘技术等在联网审计中的应用;要通过与重点行业、重点领域的联网,建立审计数据中心,为审计业务提供支持。
3.4运用信息技术支撑审计管理的科学化
通过审计项目管理系统,审计人员可获得自己所需要的项目信息或上报自己的审计情况;审计组长可对审计人员的审计工作进行指导、监督和协调,并掌握审计进度情况;专职复核人员和业务部门负责人可对审计项目进行监督复核;本级审计机关领导对审计项目进行查询、指导和监督。
3.5尽快弥补我国注册会计师的知识结构缺陷