一、电算化条件下审计工作面临的问题
(一)审计可视线索自然消失的趋势
在会计电算化进程中,随着计算机软硬件水平及现代通讯技术和网络技术的不断提高,客观上,存在着审计可视线索自然消失的趋势。大家知道,审计离不开审计线索。本来在手工会计条件下,由于存在着大量的纸面信息,注册会计师和审计师通过调阅这些纸面信息,加上自己的经验判断,获取审计线索是不成问题的。可是,在应用计算机处理会计资料以后,纸面信息变成了磁性介质上的代码。对于会计界、审计界的许多人来说,过去熟悉的、习惯的、得心应手的东西,变成了陌生的、不习惯的、难以捉摸的东西。而设计会计电算化程序的软件设计人员,并不知道审计人员的需求,即使有关文件规定必须留有审计线索,实际上也是很难做到的。何况,审计工作与主要是处理结构化问题的会计核算工作不同,它主要是处理半结构化和非结构化的一些问题,从某些方面来说,更多的是依靠人的经验和主观判断能力,如:寻找漏洞、揭露矛盾、查错防弊、获取证据等。
(二)会计核算软件的多样性和保密性造成审计数据的难以取得
目前,商品化会计核算软件有几百家之多,再加上自行开发的专用软件,其数量更多。面对如此众多的程序和数据结构各不相同的软件,企图对它们分别编制通用数据转换程序,利用计算机将它们所生成的千差万别的数据库,自动转换成审计工作所需的数据文件,尽管设想很好,但实际上很难做到。何况,世界上没有哪一家软件公司会和盘托出其软件设计过程、程序文本和数据结构。相反,他们为了维护公司利益,保守其技术秘密和商业秘密,只会采取愈来愈严格的防范与保密措施。于是客观上存在着尖锐的矛盾;一方面,审计要求会计信息系统的设计和会计电算化运行中的中间结果及最终结果愈透明愈好,另一方面,商品化会计软件供应商们则希望保密程度愈高愈好,即愈不透明愈好。这不能不说是计算机审计举步维艰的客观原因之一。
(三)会计电算化条件下内部控制的变化对审计提出了新的要求
在手工会计条件下,内部控制一般表现为对人的控制,强调职责分清、相互牵制,采用的手段主要是利用纸面信息进行手工核对和检查,责任容易明确,结果也比较直观。可是,在会计电算化条件下,内部控制转变为对人和机器两方面的控制,而且多数情况是以计算机内部控制为主。因为,除了上述的审计线索自然消失的趋势所带来的差错很难发现以外,计算机的数据和程序的修改在没有控制的情况下,完全可以不留任何痕迹地进行;计算机容易受到‘黑客’的入侵和‘病毒’的侵袭;特别是国内外利用计算机犯罪的众多案例,说明了它不仅是信息处理的有效工具,也是犯罪舞弊的绝妙手段。这对审计工作来说,无疑又增加了新的难题。
(四)认识上的误区造成对计算机审计的忽视
目前有种看法认为:在会计核算实现电算化后,特别是应用了经财政部门评审通过的商品化会计核算软件以后,会计信息的正确性、可靠性已经解决,可有效地防止做假账和会计信息失真的问题,因此也无须对软件产生的信息进行审计。事实是这样吗?非也!因为绝大多数的会计核算软件并没有解决对会计事项,即记账凭证所根据的原始数据是否真实这一至关重要的问题。它们的许多功夫不是花在保证数据源的正确上,而是对已输入数据的计算上,充其量只不过是一把高级的算盘而巳。加上上述的实现会计电算化后内部控制本质上的变化,对会计信息系统事实上存在着的人为干预和利润调节,以及所提供原始数据的虚假性,人们不得不承认这样一个事实;当前的会计电算化并不能有效地防止做假账和会计信息失真的问题。但上述的认识,却对计算机审计产生了一些不利的影响。
二、对策与建议
计算机审计主要内容包括两个方面:一是对包括会计电算化在内的信息系统的系统设计进行审计,以及对会计电算化电算过程及其结果进行审计;二是作为审计的辅助手段,将办公自动化的各种手段引入审计工作。关于后者,由于有成熟的信息和通信技术可加以应用比较好办,本文不再赘述。关于前一方面,正是本文要重点加以研究的。特提出如下对策建议,供有关方面参考。
(一)对包括会计电算化在内的信息系统进行事前与事中审计
如何做到对包括会计电算化在内的信息系统进行事前与事中审计呢?笔者认为,在有关会计电算化的规章制度中,应当明确提出审计要求,审计人员应参加信息系统设计和评审验收。针对审计可视线索自然消失的趋势,强调在会计数据处理流程中,设置审计控制点,由计算机自动记录有关审计所需线索,提供测试数据和比较标准。审计人员有权审查系统的全部技术文档资料,以及进行系统测试和评价。在系统总体设计过程中,主要审查系统的合法合规性、安全可靠性、可审计性及可维护性。在系统测试过程中,主要测试形成系统核心的程序功能是否达到原定要求,内部控制制度是否严密,程序编写是否符合要求,以及测试数据运行结果是否正确。并应对非法数据的容错功能,以及系统抗干扰和对付突然事故的能力,发生非常事件、遭到破坏后的恢复能力作特别测试。在系统评价过程中,关键是评价系统是否达到了原定设计与开发的目标,其中可审计性最重要,如果达不到,有权否决整个系统,即授予在系统设计中的审计一票否决权。
当然,在作好事前与事中审计的基础上,也要做好会计电算化过程的事后审计,主要是通过各种符合性和实质性测试的方法,对会计电算化的运算结果进行审计。特别是,在被审系统的程序有所修改或输入、处理、输出的条件发生变化时,更要进行符合性和实质性测试,并对已经改变了的系统功能再次作出审计评价。
(二)审计通用数据接口的设计
所谓审计通用数据接口,是指为了外部审计(国家审计和社会审计)以及内部审计和财会管理进一步深加工信息的需要,要求各种商品化通用软件和专门开发的软件,设计一个统一数据结构、统一输人要求和有一定强制性的数据文件。规定在会计软件进行数据输出的同时,必须向该数据文件中输入数据,而且要保证审计通用数据接口文件中的数据永远与会计软件内部生成和输出的数据一致,任何人不得任意修改。
这里强调两点:一是统一性;二是强制性。前者是技术上的要求,后者是组织上的要求。两者缺一不可。从某种意义上说,后者更为重要。如何作到强制性呢?笔者以为可从以下几方面入手:
l、将此问题纳入宏观管理体系中。例如,建议在国家审计署颁布的有关计算机审计工作规范或实施细则中,增加有关审计通用数据接口的工作规范及具体要求。
2、以文件的形式公布审计通用数据接口的内容及具体说明,并采取必要的行政措施保证其得到贯彻。
3、对于已实行会计电算化的企事业单位,要求在其管理制度中必须有审计通用数据接口的实施制度,否则审计人员有权提出审计保留意见,并要求被审单位限期改进。
如何做到统一性呢?这就需要有关主管部门组织力量,加以精心设计。商品化会计软件公司也是一支不可忽视的力量。审计通用数据接口的设计完全可以借鉴中国财务软件数据接口标准98001号已达到的功能,并加以改进与完善。
(三)加强对内部控制的审计
健全的内部控制制度能够有效地维护资产和资源的安全,保证包括会计信息在内的一切经济信息的完整、正确与可靠,有效地考核、评价各部门的业绩,以促进经济效益的提高。
对一切信息系统可能产生危害的原因,从系统的数据处理和处理环境两方面来看,可分为环境性原因和数据处理原因两类。因此,针对危害产生的原因而采取的内部控制措施,可分为一般控制和应用控制两种。
所谓一般控制,是指对有关电子数据处理全部活动的控制,包括系统中组织、操作、安全、开发等系统运行环境方面的控制。之所以称为‘一般控制’,一方面是因为这些方面的控制措施普遍适用于会计和其他管理系统,适用于任何企事业单位的电子数据处理系统的内部控制;另一方面是因为它们为每一个应用系统提供了环境,其控制好坏影响应用的成败。只有在强有力的控制下,应用系统才能起到应有的作用。一般控制包括以下几方面:l、组织控制;2、系统开发和操作控制;3、系统资料和文书控制;4、系统开发环境控制;5、其他一般控制。
所谓应用控制,是指对有关电子数据处理中一些具体的特定的会计业务的控制。应用控制具有特殊性,不同的应用系统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,以确保数据输入、处理、输出的正确性和可靠性。故应用控制包括以下几个方面:1、输入控制;2、处理控制;3、输出控制。
输入控制是最重要的控制,因为绝大部分的错误发生在输入阶段。输入控制意味着,只接受得到正式承认的准确数据。处理控制是对数据处理的准确性和可靠性进行的控制。处理控制意味着,只对承认的经济事项加以处理,未经承认的经济事项不予处理。输出控制是确保计算机所产生的数据是有效的、正确的、完整的,而且只向与本范文之家提[会计电算化条件下审计面临的挑战及对策(3)http://www.FwJIa.cOM 欢迎您访问范..文.家]供整理}系统有关的人员提供。
对于已经实现了会计电算化的企事业单位,审计人员必须通过调查信息系统的内部控制和实施依据性试验来查明会计控制和管理控制是否有效地发挥作用,并对内部控制的可靠程度进行评价。
审计人员在调查会计信息系统内部控制情况时,要对会计信息系统中会计事项的流向、电子数据处理用于特定的会计处理范围以及会计控制的基本结构进行审查,同时,必须识别特定的会计处理与会计控制的关系,以及会计控制中可能发生的缺陷和薄弱环节。
审计人员在调查会计信息系统内部控制情况时所做的一切工作,如对经办人员和负责人的询证,观察运行状况,查询、研究有关系统和程序的文件等,都应有记录。在编写审计工作底稿时,还应利用系统流程图和特制的‘内部控制情况问卷’。
审计人员在对被审单位的内部控制进行最终评定之前,要实施符合性测试。主要查明:l、各项内部控制制度是否制订了必要的制约手续,如是否将有关电子数据处理应用程序修改文件装订成册;电子数据处理过程中所发生的错误或异常情况是否编成差错一览表和异常事项报告书。2、如何办理必要的手续。3、由谁实施。
(四)给审计人员以工具软件的强有力支持
在计算机审计的手段方面有两种做法:
l、由专业人员或软件公司开发计算机审计软件,如同会计软件分为商品化通用会计软件和专用会计软件一样,计算机审计软件也可分为商品化通用审计软件和专用审计软件。审计人员的任务是经过培训会操作这些软件。
2、由审计人员根据审计工作的要求,借助软件工具来完成审计工作。对审计人员培训的侧重点是教会他们如何使用这些工具软件。由于审计更多的是处理非结构化和半结构化的问题,主观性、灵活性比会计核算要大得多范文之家提,更适宜用这种方式。
在这方面,微软OFFICE系列软件随着办公自动化的普及,已为中国广大公众所接受,EXCEL作为一个高效的电子表格软件,非常适合于广大企事业单位的财会管理和审计工作,而且能方便地调用各种商品化会计软件所建立的有关数据库,包括通用数据接口的文件。通过上述两种方法的有机结合,特别是加强对审计人员的计算机应用培训,给审计人员以软件工具的支持,是完全可以把计算机审计工作搞好的。