时间:2022-12-07 06:14:14
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇计算机审计系统范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
我们所说的计算机辅助审计,其实指的就是在审计技术当中,充分的融入计算机技术。从本质上来说,无论是想要实现会计电算化的发展,还是实现审计技术自身的进步,都要求审计人员必须要合理的运用新技术,来促进审计效率的提升。在信息化的时代环境背景下,进行审计工作,最主要的是要进行被审计单位的会计信息数据采集,并将采集到的数据输入到审计人员的审计系统中,然后再通过技术转换,来使之转变成为能够供审计人员进行相关操作的数据,最后再运用计算机技术,来对数据进行一系列的综合分析,并最终得出审计结论。
2.信息系统审计
(1)信息系统审计的概述
我们所说的信息系统审计,主要指的就是计算机审计当中的一项主要内容与重要的切入点,信息系统审计所做的,主要是对被审计单位计算机信息系统的建设、规划与管理工作。从本质上来说,信息系统审计的对象除了包括产生与存储以及处理数据的信息系统以外,还包括了用于保障信息系统运行的一系列管理制度。
(2)信息系统审计的目标
简单来说,信息系统审计的目标,主要是通过实现对信息系统的可靠性与合法性审计,来进一步实现对被审计信息系统的评价,以此来为开展计算机数据活动提供重要线索并建立基础。具体来说,信息系统审计的目标主要包括了以下三个方面的内容:第一,是对信息系统的薄弱环节进行分析,第二,是对电子数据的完整性与真实性加以评价,第三,是发现信息系统当中所存在的漏洞与非法功能。
(3)信息系统审计的流程
做为审计过程中一个非常重要的组成部分,信息系统审计的基本流程主要包括以下五步:第一,是系统调查;第二,是控制测试;第三,是初步评价;第四,是分析测试;第五,是综合评价。其中,系统调查所需要做的是对被审计单位中信息系统的总体框架与管理体制等进行深入的了解与全面分析,该步也是进行信息系统审计工作的一项重要基础。
二、计算机审计在信息系统审计中的具体运用
1.进行数据的有效采集
我们所说的数据采集,主要指的是把相关数据从被审单位的信息系统中提取出来,然后再进一步将数据输送到审计人员系统当中去的过程。在这个过程当中,我们主要负责解决下面这两个问题:第一,是审计人员该怎样将采集到有效的电子数据,第二,是审计人员怎样对其所采集的数据加以审查分析。同时,也是测试被审单位信息系统接口控制的一个重要指标。
在数据采集过程中,为了确保被审单位的数据信息不被破坏,要求审计人员不能够使用自己的审计系统来对其进行直接的审计测试工作。如果说,在审计人员审计系统中的会计系统和被审计单位数据库系统相同,或者说审计系统中数据库的引擎能够与被审的系统数据库进行直接的连接,那么其就能够采用直接读取方式的方式,来对被审计对象的数据进行采集,并将其出传输到计算机辅助审计系统当中。
2.进行数据的适当清理
就针对于审计数据库的数据来说,要求其必须要充分的满足完整性、正确性、一致性和有效性等指标。不过,因为最开始的审计数据,主要还是由审计人员来从被审计单位的信息系统当中得到的,这些原始数据本身就可能存在着明显的不完整与不一致问题,而这些问题也会对会计报表上数据产生最直接的影响。一般来说,数据转换出现的问题是由于信息系统业务流程控制过程中数据的输入、处理和输出环节存在缺陷。所以说,当我们完成数据采集过程之后,要求审计人员必须要对这些原始数据的质量进行检查与控制分析,然后再从数据质量的问题上,来寻找相关的审计线索,然后再进一步对数据进行有效的清理,对不符合质量要求的数据进行全面的整理,才能更好地便于后续的数据分析于数据转换。
在大多数的情况下,缺失的数值往往都需要进行手工输入,这样一来,就能够从本数据源与其他的数据源当中,来将某些缺失的值推导出来。而针对于错误值来说,我们就能够通过运用统计分析和偏差分析等方法,来对其进行有效的检测。
3.进行数据的转换
所谓的数据转换,主要包括了以下两个方面的内容:首先,是对被审计单位中的相关会计信息数据进行有效的装载,使之传输到由审计软件操作的数据库当中去;然后,是要求其必须要对每张表以及每个字段当中所含有的经济含义进行明确的标识,并掌握各个字段与表格之间所存在相互联系。在此之前,还需要做好充分的前期准备:第一,要对被审计单位的会计信息系统进行详细的调查研究,并对被审计单位的技术人员进行相关事项的询问。第二,从本质上来说,在被审单位的系统设计文档资料当中,往往会对数据项与实务处理的逻辑进行详细的描述,所以审计人员要及时的获取这些资料,并以此来对被审单位的会计信息数据有一个充分的了解与掌握。
4.进行数据的分析
审计人员在对数据进行测试的时候,会将一些有效数据和无效数据通通编制在内。这些数据通常都会事先经过处理,然后在被录入到计算机中,再由计算机确定输出结果。当这些由计算机所确定的输出结果出来之后,审计人员会对其进行详细对比。如果计算机系统运行出来的结果,和人工结果不一样,那么审计人员就要从中找出不一样的原因。
从之前的经验中看,数据测试是让计算机通过审计的第一步。虽然审计人员都清楚的知道计算机所运行出来的结果不会百分之百准确,但审计人员们可以通过这些数据,得知一个大体情况,并且通过这些判定的数据,来确定这套系统是否可行。这种计算机的数据测试技术被审计人员以及计算机的程序开发人员广泛利用,尤其是在测试计算机系统程序的准确性方面,它的作用显得尤为突出,这种计算机数据测试可以用来确定计算机输入事项中的程序、逻辑以及计算机的计算方式,除了这些以外,还可以用来确定计算机的准确性。通常,审计人员会把这项技术用来测试相关利息以及折旧计算。想要掌握这门计算机技术,并不需要太多的专业知识,在对所有的数据和资料进行测试的过程中,也不需要花费太多的成本,最为主要的一点是,当计算机在审计的过程中,并不会修改现有的计算机程序。
二、测试工具整合
对于计算机测试工具的整合而言,它涉及到计算机系统主文档中,数据测试的使用以及虚拟光驱的创建。这些技术都是经过整合的,因为计算机的数据测试,有赖于现实实体和虚拟实体的主文档,所以它是和真实交易一起进行的。因此,计算机的审计工作是相当重要的一个环节,它可以确保每一个运行的数据和被检查的程序都是完全一致的。
计算机的内置编码确定了计算机中的测试数据,它并不会将普通系统运行的结果包括在内,这种功能通常都是用人工进行操作,在前期就将程序设定好。计算机工具整合的主要特点,就是把虚拟数据从测试出来的结果中移除,当计算机开始审核的时候,这是一个不可避免的过程,在使用这项技术的同时,它的主要目的,便是要把实际数据和测试数据同时运行。想要确保测试工具的整合能顺利从常规结果中脱离出来,就必须要制定出细致的审核计划。
对于计算机工具整合而言,是目前最为常见的一种技术。如果对计算机工具整合这项技术规划的相当细致,那么在是用它的时候,花费就会很小。计算机工具整合这项技术不会涉及到其他较为特殊的程序,对于计算机而言,也不会存在设置障碍。现在计算机应用系统正在不断扩大,计算机工具整合系统也会被逐渐发展起来,在它发展的同时,还可以提高开发系统的成本。可一旦当这项技术真正开始投入使用后,后期的成本便会很低。
三、并行模拟
计算机测试工具整合以及数据测试都是通过真实的程序,来对测试数据进行处理。而并行模拟则是用审计程序来处理这些真实数据。并行模拟的正常输出早已达到了控制目的。在计算机审计过程中,其中的测试程序以及审计程序都会被用来处理那些多余的工作,而在审计过程中,最为关心的部分便是它的数量。例如,当计算机在进行并行模拟的时候,它只限于更新产品记录,里面的业绩报告和时间表就不会被包含在里面。
计算机的并行模拟允许综合检验,但它更加适用于交易的审计场合。当它并行模拟的时候,所使用的审计程序通常都是通用的审计程序。并行模拟可以处理计算机中的数据,产生出和审计程序相同的输出结果。生成出来的结果对一样的数据进行处理,对那些后产出的结果进行分析比较。
四、计算机常用的审计软件
(一)通用的审计软件
通用的审计软件是为了帮助信息技术在审核计算中合理利用而专门设计的一款软件。通用软件最早由公共会计事务所研发出来的,迄今为止早已被使用了很长一段时间。这种设计软件是为那些没有计算机专业知识的人员量身定做的一套软件,帮助他们完成各种各样的审计工作。这种通用审计软件可以完成选择数据样本、查找文档、计算结果、检查异常项目等各种复杂的工作。与此同时,它可以把设计人员常用的那些特殊功能合并起来,比如函件准备、统计筛选等。
(二)电脑软件
由于电脑的价格低廉,加上可用软件的不断增多,这让电脑成为了管理审计工作的一个重要工具。现在电脑有很多软件包,例如电子表格,Word文档等,这些都被广泛运用于审计工作中。
计算机技术在各行各业广泛运用,信息传输数字化,信息交流全球化,信息技术应用普及化,使得以审查会计帐册和相关经济活动资料的主要审计方式的审计职业遇到了前所未有的挑战,审计人员不掌握计算机技术,将会失去审计的资格。我国审计署制定了《2004——2007年审计信息化发展规划》勾画了今后四年审计信息化建设的蓝图。因此,积极探索信息化环境下新的审计方式将成为我国今后几年审计工作需做好的基础工作之一。目前国内关于信息系统审计的研究主要还是集中在对概念,特点,影响等方面的总体性分析以及对于信息化环境下内部控制、审计风险及具体的技术解决方式上的探讨,而关于信息系统审计准则的研究相对较少,而准则的重要性又是显而易见的,它是信息系统审计长足发展的准绳和依据,有利于规范审计工作,提高审计质量。因此对于信息系统审计准则的研究有其必要性和迫切性,应当被提到议事日程上来。本文想通过对国内外现有的计算机信息系统审计准则的综述,谈一些自己的粗浅看法,以启发相关准则的制订。
IAPC关于计算机信息系统审计准则的分析
国际审计实务委员会(IAPC)对计算机信息系统环境下的审计的研究较早,先后了一系列的相关准则。到目前为止颁布了六个有关计算机信息系统环境下审计内容的国际审计准则。它们分别就单机、联机和数据库系统下的电子数据处理环境对会计制度和有关内部控制的研究和评价产生的影响作出补充规定。下面就其内容做一汇总介绍:
(一)《计算机环境下的审计》。该准则明确了在计算机信息系统环境下审计的目的与范围,技术与能力的要求,审计计划的考虑,内部控制研究、评价及风险评估的影响,制定与实施审计程序应关注的方面等。该准则只是为在计算机信息系统环境下的审计制定一般原则和指导,其他五个准则或实务公告均为该准则的补充或扩展。
计算机信息系统环境下的审计,审计人员应当对约定计划中的计算机硬件、软件和处理系统有充分的了解,并且要了解计算机信息系统对内部控制的研究与评价以及对审计程序的影响,包括计算机辅助审计技术。审计人员还应当对执行审计程序的计算机信息系统处理有足够的知识,这将视所采用的具体的审计方法而定
(二)其他五个准则或实务公告。
1、《风险评估和内部控制——计算机信息系统环境特征和考虑因素》。该实务公告是第一项准则的补充。该公告明确了计算机信息系统环境的特征,计算机信息系统环境下内部控制的内容及评价方法。审计人员应当收集与审计计划有关的计算机信息系统环境的资料,包括计算机信息系统的功能情况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置情况等。审计人员在编制全面计划时,应当考虑下列事项:在对内部控制的全面评价中确定对计算机信息系统控制的可信赖程度;制定关于怎样、何处与何时检查计算机信息系统功能的计划;制定关于利用计算机辅助审计技术进行的审计程序计划。
2、《计算机信息系统环境——独立微型计算机》。该实务公告为第一项准则的补充,其明确了微型计算机系统及其特征、在微型计算机环境下的内部控制、微型计算机环境对审计程序的影响等。该准则指出微机对会计制度的影响和有关的风险一般将由下列情况而定:微机使用于会计应用处理的范围;被处理的财务业务的类型和重要性;应用中运用的文件和程序性质。微机环境下的内部控制应当包括:管理部门对操作微型计算机的规定和控制;程序和数据安全;软件和数据的完整性控制;硬件、软件和数据备份控制。
3、《计算机信息系统环境——联机计算机系统》。该实务公告为第一项准则的补充,其明确了联机计算机系统及其特征、在联机计算机环境下的内部控制、联机计算机环境对审计程序的影响等。并强调某些一般控制程序对联机处理特别重要,包括存取控制、控制方面的口令、系统开发和维护控制、程序编制以及业务记录控制。同时,对联机处理特别重要的应用控制包括:处理前的适当授权,终端设备编辑。合理性和其他确认测试、截止测试、文件控制、余额控制。联机环境对会计制度的影响及其相关联的风险,一般是联机系统用于会计应用处理的范围、财务业务类型和重要性、使用应用文件和程序性质。
4、《计算机信息系统环境——数据库系统》。该实务公告为第一项准则的补充。其明确了数据库系统及其特征,在数据库系统下的内部控制,数据库环境对审计程序的影响等。具体分两部分,一部分是控制标准,另一部分则是实现控制标准的具体审计程序。明确了只有内部的员工可以接触数据库,数据库使用人员有权进行修改,删除,索引,插入,参考,选择和更新的操作,为了不影响基础表格中的数据,删除、插入和更新的操作应受到限制。不同的使用者只能执行跟他们工作职能相关的某些操作,基础表格不应被改动,数据库操作须密码控制。数据库殊帐户的存取应该受到限制,数据库系统表格的操作许可指令不应被修改,应用表格不应该在系统表格空间创建等。
5、《计算机辅助审计技术》。该准则为第一项准则的扩展,其明确了审计软件和测试数据两种辅助审计技术、利用计算机辅助审计技术的范围及需要考虑的因素、注册会计师在计算机辅助审计技术应用中的主要工作和控制手段等。如在运用制度遵守性和数据真实性程序中缺少输入文件和缺乏可见的审计踪迹时;通过利用计算机辅助审计技术可以改进审计程序的效果和效率。计算机辅助审计技术有多种,国际审计准则说明其中的两种:用于审计目的的审计软件和数据测试技术,审计软件可以作为审计程序的一部分,以处理来源于单位会计制度的重要审计数据。数据测试技术是用在执行审计程序时将数据进入单位的计算机系统,并将获得的结果同预定的结果相比较。在编制审计计划时,审计人员应当考虑手工和计算机辅助审计技术适当结合,在确定是否利用计算机辅助审计技术时,需要考虑:审计人员的计算机知识、专门技术和经验;计算机辅助审计技术的可用性和合适的计算机设备;无法实行手工测试;效果与效率;时间因素等。
我国关于计算机信息系统审计准则相关内容分析
(一)审计署于1996年12月颁布的《审计机关计算机辅助审计办法》是我国最早的关于计算机辅助审计的准则文件。该办法首先明确了计算机辅助审计的含义及所包括的内容。其可用于审计业务所需法律、法规的辅助检索;对被审计单位财务报表的辅助分析;对被审计单位的计算机应用系统进行符合性检验;分析审计风险和确定审计范围;对被审计单位的财政、财务收支进行检查;形成审计工作底稿;形成审计报告、审计意见书和审计决定;对审计资料的管理;对审计项目计划的管理;对审计档案的管理;对审计业务的综合、统计和分析等;同时对承担该类审计业务的人员资格及业务素质、利用专家工作做了规定。明确了被审计单位及审计机关、审计人员在信息系统审计中应承担的义务。
(二)中国注册会计师协会于1999年2月颁布的《独立审计具体准则第20号—计算机信息系统环境下的审计》。它指出了在计算机信息系统环境下审计的一般原则、计划、内部控制研究、评价与风险评估和审计程序。在一般原则中明确了计算机信息系统环境下不应改变审计的目的和范围,注册会计师应考虑计算机信息系统对被审计单位会计信息和内部控制的影响,并有效地计划、指导、监督和复核审计工作,同时提及了合理利用专家工作。在制定审计计划时,注册会计师应充分了解被审计的单位的计算机信息系统环境以及该环境下的内部控制,并考虑其对固有风险和控制风险评估的影响。在对内部控制研究、评价与风险评估中,应充分考虑计算机信息系统的特征。该准则将审计程序分为:手工审计方式、计算机辅助审计方式以及两者结合审计方式三大类,并在实施审计程序时,应充分考虑计算机信息系统环境对审计测试的性质、时间和范围可能产生的影响,以将审计风险降低至可接受的水平。
(三)国务院办公厅于2001年11月16日颁布的《关于利用计算机信息系统开展审计工作有关问题的通知》(88号文),明确审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的信息系统;并规定被审计单位的计算机信息系统应当具备符合国家标准或者行业标准的数据接口,已投入使用的计算机信息系统没有设置符合标准的数据接口的,被审计单位应将审计机关要求的数据转换成能够读取的格式输出;被审计单位应当视同纸质会计凭证、会计账簿、会计报表和其他会计资料以及有关经济活动资料保存期限的规定,保存计算机信息系统处理的电子数据,在规定期限内不得覆盖、删除或者销毁;审计机关对被审计单位电子数据真实性产生疑问时,可以对计算机信息系统进行测试,测试计算机信息系统时,审计人员应当提出测试方案,监督被审计单位操作人员按照方案的要求进行测试;审计机关应积极稳妥地探索网络远程审计;审计人员应当严格执行审计准则,在审计过程中,不得对被审计单位计算机信息系统造成损害,并对知悉的国家秘密和商业秘密负有保密的义务。
三、我国计算机信息系统审计准则的差距
(一)观念障碍导致对准则的需求和供给的明显不足。就目前我国的情况来看,计算机审计呈现出“上热下冷中间无力”的无奈局面。在民众中存在着思想误区。一是无所谓的思想,他们对计算机审计的意义和作用认识不足,认为是一些没有实际意义的形象工程。二是畏难情绪,认为计算机审计深不可测,高不可攀,一下子难以到位,而且被审计单位信息化程度参差不齐,认为手工的传统审计还是占主导地位。三是认为计算机“万能”,认为被审计单位的电子数据只要转换到审计软件中来,就能发现问题,从而导致急功近利,贪大求全。
(二)准则制定缺乏系统性和结构性。我国的计算机信息系统审计准则既有审计署和国务院办公厅的,又有中国注册会计师协会颁布的。而且只有一般性原则和指导,缺乏具体的实务公告和实施指南。仅有的《计算机辅助审计办法》只是涵盖了审计工作的极小一部分,针对我国目前审计实务界的现状,广泛采用的仍旧是依靠系统打印出来的数据进行手工审计,即绕过计算机审计,如何对其进行规范,如何进行审计则还没有相应的准则。而国际审计实务委员会颁布的有关计算机信息系统环境下的审计准则,既有一般性的原则和指导,又有具体的准则和实务公告。从独立微机,到联机系统,再到数据库系统的审计,还有计算机辅助审计技术。内容比较全面系统,结构性较强。
(三)准则未考虑对计算机审计人员的素质要求以及合适的审计人员:IAPC规定了审计人员应当对约定计划中的计算机硬件、软件和处理系统有充分的了解,并且要了解计算机信息系统对内部控制的研究与评价以及对审计程序有怎样的影响,包括计算机辅助审计技术。审计人员还应当对执行审计程序的计算机信息系统处理有足够的知识。同时在《计算机辅助审计技术》中明确了注册会计师应做的工作及控制手段等。国外的注册会计师队伍发展相当成熟,人员素质相对较高,无论是独立性,还是科学性和客观性都是计算机信息系统审计的不二人选。而我国的计算机审计工作具体是由注册会计师来承担,还是由政府审计部门承担尚无统一的说法。翻阅近十年的注册会计师考试试卷,均没有涉及计算机审计的相关内容,足见还没有将计算机水平提高到评价注册会计师执业能力的高度。而且对于信息系统环境下审计师虚具备哪些基本素质以及如何提高完善都还没有以准则的形式加以明确。
(四)准则对计算机审计技术标准关注不足。在IAPC颁布的相关准则中,不论是独立微机,还是联机系统,或者是数据库系统,还是计算机辅助审计技术,都对技术解决问题做出了具体规定。如存取控制、口令密码,数据备份,数据测试技术和审计软件等。而我国在有关准则中并没有考虑有关的技术标准,只是在《计算机辅助审计办法》中浅层次地提到了对商业审计软件的测评及明确应用范围。同时也稍微强调了一些数据接口及数据转换问题。远远无法满足审计实务界的需求。
构建我国计算机审计准则的建议
(一)统一计算机审计工作的管理体制。中国注册会计师经过近20年的发展,从总体上看,在审计理念和实践方面都有了长足的进步,但由于注册会计师在其发展过程中,因资格取得方式、参加后续教育、审计实践的多少以及部分注册会计师的观念仍受计划经济模式的影响等方面的原因,形成了注册会计师水平参差不齐。而审计署作为国家直属机关,是国务院的组成部分,在国务院总理的领导下,主管全国的审计工作。在政策、资金、人员上都显示了明显的优势。因此建议考虑由国家审计署来根据国情制定一系列的计算机审计准则,并在具体执行计算机审计工作中不断完善准则。
(二)制定计算机审计人员的技能准则。这里包括计算机审计人员应有的资格和能力、技能以及他们的后续教育等等,均可以在该准则中明确。一个胜任的计算机审计人员不仅要具备传统的审计技能,还要具备丰富的计算机软、硬件知识,还要能制定相应的审计程序,运用计算机进行审计。对于计算机审计人员的后续教育问题,可以通过以下途径加以解决:①加大培训力度,将普及性培训与专业应用培训和专家培训相结合。②可以在注册会计师考试中增加《计算机与网络审计》这一门课程,将计算机水平作为评价注册会计师执业能力之一。③可以考虑在高校的审计专业中开设有关计算机审计的课程或另开计算机审计专业,直接培养信息系统审计相关人才。对于该问题可另设专题研究,本文就不再详细展开。
(三)应包含计算机审计的技术标准。如就软件层次,建议在准则中明确以下内容:①计算机处理中要留下审计底稿的轨迹。由于审计人员在操作中希望计算机产生的结果与他们手工编制的底稿相差不大,能与手工审计底稿共存,这样便于审计人员分析。同时也便于审计内部复核和外部检查人员的认可。②计算机操作模式。要具有多面性,根据实际条件,在审计作业现场,计算机操作模式应做到既单机操作,又能进行网络操作。③软件要具有兼容性,虽然计算机辅助审计软件本身自成系统,但是应考虑与办公自动化兼容,吸收办公软件中简易、灵活、方便、排版性强等特点,加大软件适用范围。④软件电子数据导入接口。由于目前我国计算机辅助审计有两种操作方法,一种是单机审计式操作,数据为手工输入法;一种是网络审计式操作,即电子数据直接导入,在开发中应考虑同时满足两种需要。⑤软件处理内容的通用性,软件在设计过程中,应尽量考虑处理审计工作底稿的共性部分,不宜面面俱到,避免产生负面影响。参照IAPC做法,我们可以颁布类似于《计算机信息系统环境——数据库系统》,《计算机辅助审计技术》等的系列准则,以丰富和完善我国的计算机审计准则体系。从而解决审计实务与审计准则的矛盾差距,使得准则能真正起到指导实践的作用。
参考文献:
[1]陈婉玲 《我国计算机审计的现状与发展对策分析》《广东审计》 2003/3
[2]柳岸青、管亚梅 《试析中外计算机信息系统环境下审计准则差异》《商业会计》2003/4
[3]刘中华、孔 龙《国际审计准则对计算机审计及内部控制技术的揭示》《兰州大学学报》 1998/2
[4]王景东 《财政审计的深化:信息系统审计》 《中国审计》 2003/5
[5]杨传君 《谈辅助审计软件的通用性和实用性》 《中国内部审计》 2001/4
[6]陈婉玲、韦沛文 《网络经营与网络财会条件下的审计初探》《会计研究》 2003
一、计算机会计系统内部审计的特点
计算机会计系统内部审计的特点,首先是审计的系统性,要对数据、硬件、软件等各种要素进行系统的分析和检查,才能确定输出结果的正确性,作出可靠的审计结论。第二是审计的复杂性,这是由被审系统数据处理方式、数据贮存方式、系统控制方式、应用系统和电子计算机辅助审计技术的多样性和复杂性所决定的。第三是审计资料的隐蔽性、敏感性和易逝性,这是由于审计线索主要以两种形式存在:一种是肉眼可以看见的审计线索,如输入的原始凭证、记账凭证等原始文件、打印出来的会计账簿、会计报表等;另一种是肉眼看不见的,如存储在软盘或硬盘上的会计数据库资料等。第四是审计的运行性,即在不断运行的系统中进行审计和监督。
二、计算机会计系统内部审计的内容
内部审计可以从硬件和软件的系统控制和实质性审查两个方面来进行审计。
l、内控制度的审计。对内部控制制度的审查与评价,既是审计的基础,又是审计的前提。从实施的角度来看,内部控制有些是通过程序来实施的,有些则是通过制度约束来实现的。通过程序的设计和运行来实施控制的“程序化”控制,和通过建立管理工作制度来完成控制的“制度化”控制,必须通过内部审计来确保其实施,才能使计算机会计系统的安全、可靠和稳定得到双重保险。在电算化条件下,虽然仍要审查传统审计的一些内容,但重点主要在于系统软硬件及数据的内部控制。
内部审计人员应在本单位以上各方面制度的制定过程中,积极发挥参谋作用,并在以上制度的实施过程中,定期审计或突击检查,查找内部控制的弱点,提出改进措施,使制定的内部控制制度得以执行,以保证会计数据的安全性、有效性、完整性和准确性。
2、实质性审计。在手工条件下,审计主要是对书面资料进行审查。在电算化条件下,会计核算由计算机在程序的控制下完成,除了审查输入和输出数据,还要审查电子计算机程序和贮存在机内的数据文件。因此审计工作重点转移至对会计软件合法性、正确性的审查和对机内数据文件的审计方面。
三、计算机会计系统内部审计的方法
针对电算化会计系统审计的特点,结合本系统的工作实际,我们已由以前的“绕过计算机”的审计方法,转向在计算机辅助审计的基础上进行“通过计算机”的审计方法:
1、调查法。内部审计人员虽对本单位电算化会计系统的应用情况、使用效果以及存在的问题有所了解,但还应查阅有关的档案资料,对有疑点的问题重点进行调查了解,编制《电算化会计系统审计调查问卷》,请有关人员回答。调查问卷表的主要内容应根据审计要求确定,一般包括:电算化会计系统所采用的机型、操作系统情况、财务软件来源及使用情况,替代手工记账情况,系统的管理、维护、运行和操作等方面的内容。
2、控制法。计算机会计系统的内部控制制度是保证数据处理质量的基础,也是内部审计的基础。根据财务特点,描绘出某项会计业务处理过程的控制流程图,找出这一会计业务处理过程的全部控制环节,检验系统软硬件及数据的安全保密措施。等级口令密码等是否齐备,故障恢复措施是否有效;系统开发文档是否完整规范;数据输入正确性控制措施是否有效;会计软件操作管理制度、会计档案保管制度等是否健全并认真执行。
3、分析法。对会计软件的审查要上溯到系统开发。审批及维护情况的分析检查。审计人员对系统开发的审计,有助于阻止非法或错误的需求进入系统。在系统分析阶段,审计人员通过对系统分析阶段的工作及控制的审查,确认系统需求的合法性、合规性和合理性,其中包括满足内部控制和审计线索的要求。在系统设计和开发过程中必须提出审计要求,系统的各种数据文件都应保留充分的审计线索,将会计数据文件以可审计的形式进行存储保留。审计人员可利用计算机方便地获取本单位会计数据文件,以达到审计的目的。
摘 要:在现今的21世纪,计算机技术越来越发达,我国逐渐迎来了一个随着信息的时代,很多行业的都开始放弃使用手工登帐的方式,而开发出各类的计算机系统,对复杂、多样的数据进行处理。对于会计行业来说,各类的数据大多是使用手工和计算机同时进行的账目的录入、存储、计算,这就使得在会计审计过程中仅以查看手工账本为主的审计方法比较繁琐而且容易出现错误,而传统的计算机审计系统在面向服务架构中也显得不是很实用,所以对于面向服务架构如何做好计算机审计系统成为了现如今的重要课题。
关键词 :服务架构;计算机;审计系统;问题;对策
中图分类号:TP393文献标识码:A文章编号:1673-260X(2015)03-0016-02
当今生活中,随着计算机技术和经济的迅速发展的趋势下,许多国际上的大型企业的管理方式也发生了一定的变化。在企业的财务管理在现代信息技术的环境下,已经基本全部实现了会计电算化,哪怕一个简单的小型企业的会计、财务数据都是会以电子版本的形式存储在计算机中,同时再加以手工记账的配合,这就使得在在以前的会计审计过程中仅以查看手工账本为主的审计方法比较繁琐而且容易出现错误[1]。
同时随着企业管理方式的变化,为了达到更高效的管理模式和信息沟通模式,企业的会计数据不仅仅只有本企业的会计部门有所保存,而是从单一的计算机系统上传在网络上,提供给本企业的各部门,同行业部门,甚至是广大民众都可以看得到。而信息的共享性为企业会计的审计工作带来了更大的难度,企业会计的审计工作不仅仅要保证其准确性性,同时为了更好的服务于本企业的各部门,同行业部门,甚至是广大民众,所以就要对它的审计系统作出一定的研究。
会计审计模式从手工帐基础审计模式经过时间的变化和发展,开始演变为当前的计算机审计模式。在现在的计算机审计系统中,都是对企业会计系统运行所产生的会计数据进行审计,所以称之为计算机审计系统。所以本文所研究的内容就是研究如何对企业会计的计算机审计系统进行改善和优化,使之能够面向服务架构。
1 面向服务架构的基本原则
1.1 什么是面向服务架构
面向服务架构简称SOA(Service-Oriented Architecture)指的是,服务使用者甚至不必关心与之通信的特定服务,因为底层基础设施或服务总线将代表使用者做出适当的选择。基础设施对请求者隐含了数量较多的技术。尤其是不同方面的实现技术,譬如J2EE等类似的用户。通常情况下,假如出现一个既定完成的服务,那样人们就能够运用一个全新的更好的服务,而这种全新的服务实现应该具备一定程度的服务质量。面向服务架构是当前研究领域中的热议话题,同时也是全新的软件设计理念,随着面向服务架构逐渐开始在不同的国内外研究杂志上进行发表后,愈来愈多的企业逐渐加强了对于面向服务架构的注重程度。不过从我国当前对于面向架构的相关介绍情况来看,相关资料非常非常匮乏和不足的。一些国内企业对于面向服务架构也只是保持不明确的态度,同时没有充分的考量其具体的投资相关细节。因此应该在很大程度上必须对面向服务架构的相关部署问题进行详细的研讨和分析。另外面向服务架构的发展方向对于其未来的发展方向也具有非常重要的意义和价值。面向架构对于现代企业应用的开发以及其他方面的问题具有非常显著的推动价值。
1.2 面向服务架构的研究现状
当前面向服务架构被愈来愈多的地区所注重,按照相关调查公司的研究表明,在一些国家大约有占据一大半的企业加大了对于面向服务架构的投资力度。从研究调查结果能够看出,面向服务架构在国外很多企业中得到非常大的投入和应用。不过从我国企业自身进行面向服务架构的研究来看,国内大多数企业都对面向服务架构保持了犹豫的态度,一些企业甚至是对面向服务架构产生较多的质疑,放缓了对面向服务架构的部署相关工作安排。具体来说就是同国内对于面向服务架构匮乏一定的分析存在较大的问题有非常大的关联性。从当前我国对于其研究的主要内容来看,涵盖了以下方面的内容:首先是非常多的关于面向服务架构自身的研究,但是没有注重对于面向服务架构自身的具体内容的合理安排,甚至一些研究只是空谈,没有对于企业自身的发展以及相关规划产生非常深入的影响;其次是比较深入的研究和分析面向服务架构的不同实现技术,匮乏一些经典案例的说明和阐述;再者是频繁的研究面向服务架构同网络的服务关联性,将其概念的关联性进行混杂;最后是并没有注重对于面向服务架构将来发展方向的研究,只不过单单的把“服务”模块化,没有深入的系统的熟悉面向服务架构的设计预期目标[2]。
1.3 计算机审计系统SOA的应用前景
面对当今严格的会计审计要求和规范,如果一个企业要想在激烈的市场竞争中获得成功,就必须不断的优化内部的计算机审计系统,其中包括能够在合适的时间,把适合的审计后的会计数据共享给其他人手中,并让他们加以使用。用户不再只是简单的需要单个应用、单个系统,而是需要一个新的计算机审计系统,其中包含了SOA(面向服务架构)。
2 面向服务架构的计算机审计系统体系结构
2.1 计算机审计系统体系结构
面向Web服务的计算机审计系统属于一种开放性较大的系统,繁杂的审计任务大部分都是有处理问题的Agent进行肩负。一般情况下不同的自动化Agent只能解决具体类别的问题和缺陷,注重对于特殊任务的解决和处理。用网络服务系统封装的Agent,一个服务可能涉及一个或多个Agent这些不同功能的Agent协力合作并提供特定的服务。系统营造了一个开放性较大的氛围,不同的Agent不需要在相同的工作区域内,借助对于其他Agent知识和能力的加深理解,这些Agent可以打破之前受限的智能范畴,协同工作实现预期的目标。
因为系统自身的开放性程度较高,因此能够逐渐向系统中渗透入一些全新的Agent,只有这样的话,才可以让系统的处理能力接近强化。从另外一个方面而言,排除计算机审计系统自身提供的服务,其他个人和公司也能够提供相关的审计项目管理服务以及其他有关联性的计算机审计服务。借助标准化的通讯协议,不同的网络服务系统封装的Agent能够进行自由选择访问其他相关的服务。
2.2 面向服务架构智能Agent交互应用
计算机审计系统中交互系统主要是由外部实体和审计组件两部分构成,外部实体向系统提供被审计单位的数据和模型。根据我国审计法规定,被审计单位接到审计通知书后,要向审计小组提供审计范围内以及特定时间段审计所需要的完整数据,被审计单位的数据其中就涵盖了相关的经营资料和信息,同时还囊括了被审计单位的相关情况等内容。被审计单位模型其中就囊括了审计必需的被审计单位业务流程等系统模型,这些模型也是进行全面进行审计工作的前提和预判审计疑点的参考。审计组件中就囊括了数据采集模块,审计文档管理模块等相关内容。
所谓的数据采集,其主要是审计人员从被审计单位的信息资料中调取一定范围的内容,将其纳入和搜集到审计系统中,使用相关技术措施和手段对电子账进行审计必须要处理以下方面的相关问题,首先就是审计人员搜集电子账中的电子数据,其中就涵盖了电子账套中的数据以及信息系统数据库中的相关资料;其次是研究审查搜集到的电子数据。数据采集是对电子账数据进行具体审查的关键环节,数据采集的真实可靠性对于计算机审计结果具有非常重要价值和意义。假如搜集的数据很难有效的表明企业自身的经济发展情况的话,即便审计人员具有强大的职业预判能力,也很难计算出非常科学有效的审计结果,最终也会递增审计风险。所以数据采集在整个计算机审计过程中的地位显得非常关键,一般情况下,数据采集的信息基本上可以划分为以下几种类别:被审计单位信息采集,以及业务数据采集等。
一是被审计单位信息采集审计业务的开展与被审计单位的企业规模、业务流程、组织结构以及相关的行业法规制度等密切相关,在审计准备阶段和审计实施阶段的初期,审计人员必须首先获得被审计单位相关信息,然后才能开展审计工作,被审计单位信息采集Agent负责此类信息点采集。
二是财务数据采集Agent,财务数据采集主要采集以下两种数据: 财务备份账套数据和财务数据库数据。财务账套数据是会计信息系统中经过加密后的备份电子数据,其格式不是标准的数据库格式,而是会计信息系统以其独特的方式备份数据。不同的会计信息系统财务账套数据文件的格式不同,所以计算机审计系统(WS-CAS)提供不同的财务账套数据采集Agent作为智能数据采集接口,完成财务备份账套数据的采集工作。财务数据库数据是保存在标准数据库中的会计数据,数据文件以标准的数据库文件格式保存,系统为各种数据库提供了相应的数据采集Agent财务数据库中有许多表,其中和审计相关的主要数据库表为会计期间定义表、会计科目表、会计科目的设置表、凭证表等。通过数据采集Agent接口采集数据,审计人员要清楚数据库,数据库表,字段的结构,属性和含义,这样才能对数据进行采集整理,保证数据的完整性。
三是业务数据采集Agent,由于审计范围的不断扩大,审计对象不再局限于财务数据,还包括许多业务数据的审计,如社会保障审计、高速公路收费审计、经济效益审计等,这些数据保存在业务数据库中,由业务数据采集Agent作为智能的采集接口。具体来看首先是账表分析Agent:审计人员将采集到的财务备份数据还原成电子账,通过对被审计单位会计基础资料的检查和分析,找出审计线索,得出审计结论。账表分析Agent的主要功能包括总账审查、科目明细账审查、辅助账审查、会计科目审查、凭证审查、未记账凭证审查、日记账审查、报表审查等;其次是数据查询分析Agent:审计人员根据审计经验,按照一定的审计分析模型,对从数据库中采集到的数据进行查询分析,发现审计线索,达到审计目的,数据查询分析Agent主要的查询分析方法有数值统计、重号分析、断号分析、分类分析、数据分层分析、时间分层分析等。
四是联机处理Agent,联机分析处理是与数据仓库密切相关的一种决策支持工具,联机处理Agent能够使审计人员从多角度对审计数据进行处理,获得对审计数据更深层次的了解,发现审计线索,实现对审计决策的支持和多维分析。
五是审计分析工具Agent,除了上述一般审计分析方法外,计算机审计系统(WS-CAS)还提供了一个开放的、专用的审计分析工具平台,审计人员不但可以利用系统提供的审计分析工具,还可以不断充实新的审计分析服务[3]。
3 结束语
SOA架构的提出将给会计计算机审计工作带来一个新的模式。同时SOA思想会在今后的计算机审计系统发展中起到非常重要的指导作用,而且它代表了未来会计行业发展的趋势。企业会计应用SOA架构也会为企业自身的发展带来前所未有的优势。企业会计需要SOA这样的架构平台,不过人们也必须认识到面向服务架构自身的发展还是存在一定的问题和不足,必须进行充分的研究和努力实践。
参考文献:
2计算机审计系统的薄弱环节和发展方向
薄弱环节:一是并发处理数据能力有待加强,如在2012-2013全国风险审计中,全行千名审计人员,同时最大上线人数超200人,审计系统查询和表关联动作出现性能明显下降,IQ集群数据库吞吐能力尚不能强力支撑生产环境。二是现有基础数据,目前通过数据交换平台将十余个业务系统的业务数据导入基础数据库,目前存在少量数据不完整,缺失现象。根本原因由于审计系统设计的缺陷(缺开放性),使得农业银行经营、管理过程中产生的数据未能全部导入审计系统,如小额支付系统。还有随着ABIS、CMS、FMIS、BOEING等系统的升级带来数据结构的变化,都带来审计系统数据迁移的滞后。发展方向:随着农行信息化建设的不断发展,近几年陆续完成了全国数据大集中并适时开展了新一代核心银行系统建设工程,标志着物理集中和部分程度逻辑集中的实现,并开始向全面的逻辑集中迈进。审计信息化平台的发展也将顺应这一趋势,抓住逻辑集中的契机,加快平台内部众多辅助平台的逻辑融合步伐。一是打破信息系统间的数据隔断,通过系统集成的预处理提高多个系统数据间的关联性和一致性程度,保证审计线索不会因系统隔断而丧失。二是通过对审计流程再造工程,进一步理清审计查证步骤,简化审计步骤,创新审计方法,提高审计信息化平台的易用性,降低平台核心系统的使用难度,进一步提高审计信息化水平。三是发挥农行信息系统逻辑集中的优势,提高审计信息化平台对新业务、新渠道、新技术的适应能力,建立开放式平台架构,为审计事业发展提供足够的扩展性。四是由于我国金融企业在经济发展的大环境下,市场潜力大,各项业务发展迅猛,风险防控压力加剧,这对审计监管提出了新的要求,这种审计需求的动态变化也使得审计信息化平台的建设成为一个长期的动态过程。只有准确把握审计业务发展路径和信息化建设趋势,把审计业务的变化融入到审计信息化平台的不断完善之中,通过科学的规划,开放的平台架构,渐进式的实施,卓有成效的建好企业审计信息化平台,以应对未来更多的挑战。
随着会计电算化在我国各行业中的广泛应用,一批批手工会计信息系统转变为会计电算化信息系统。众所周知,审计的重要内容是会计,会计实现电算化以后,必然影响审计的方法和步骤。如何对会计电算化系统进行审计,便导致了计算机审计的产生。
一、会计电算化对传统审计带来冲击
会计电算化以后,在数据处理和工作效能等方面发生了根本的变化。这种变化不仅反映在系统的数据处理程序、组织方式、审计线索等方面,也必然影响审计的内容、方法和步骤。当审计人员对会计电算化系统进行审计时,一般会遇到以下几种情况:肉眼可见的审计线索减少;电算化系统的复杂性;会计核算过程不直观;控制弊端的方法不严密;计算机及其存储介质所带来的问题。总之,手工会计信息系统转变为会计电算化信息系统后,传统的手工审计受到影响。这种影响表现在以下四个方面:
(1)对审计人员的影响。实行会计电算化以后,由于会计电算化信息系统的环境比手工系统复杂,审计对象也更多和更复杂,审计人员仅靠原有的知识和技能将无法胜任对会计电算化信息系统的审计工作。因此,审计人员除了要具备必须的财务会计、审计方面的知识和技能,熟悉相关的政策、法规依据及审计依据外,还应具备一定的电子计算机知识和网络应用技术。此外,在审计组织中,还应培养一批计算机审计的系统开发人员,从事设计和开发审计应用软件的工作,建立自己的计算机审计系统。
(2)对审计标准和准则的影响。各国的审计界在以往的审计工作中已经建立起了一系列的审计准则和规范,如审计人员标准、现场作业标准、审计报告标准、职业道德规范等等。实现会计电算化以后,由于审计对象、审计线索发生了重大变化,审计的技术方法和手段也相应地发生了变化,这就需要在原有的审计标准和准则的基础上,建立一系列与新情况相适应的新的审计标准和准则,如计算机审计人员培训考核标准、会计电算化信息系统开发的审计准则、内部控制审计准则、审计应用软件标准等,以规范在计算机信息系统环境下审计的一般原则、计划、内部控制研究、评价与风险评估和审计程序等,以适应新形势的需要。
(3)对审计技术方法的影响。会计电算化信息系统与手工系统相比,在许多方面发生了重大变化,必须采用新的审计技术方法才能适应这种变化。如:传统的记账方法可以从账上看到每一笔记录,而会计电算化下一般是经过一个阶段如一个月或一旬才打印一次,在尚未打印以前,只能凭借机器阅读记录。倘若想同时在几笔记录中对照查看,则很难做到。这样一来,审查取证的方法,对证据进行检验和审核的方法必须进行相应的改变。再如:传统的手工记账一般可从字迹上辩认出登记人,从而明确责任,但是计算机只能按统一模式输出资料,无法从记录上辩认记录人,它可以使在电算化的记录中建立、更新、消除一切资料而不留痕迹。这就需要审计人员对其内部管理制度、职责的划分情况进行审查和评价。
(4)对审计作业手段的影响。在会计电算化信息系统下,审计人员如果再用传统的手工操作方式进行审计,将很难达到其审计目标。审计人员的审计手段也应由手工操作向电子计算机转变,掌握计算机及网络知识和应用技术,把计算机当作一种提高审计质量和效率的有力工具。
二、信息系统的特有风险决定了必须实行计算机审计
计算机信息系统一方面为企业的经营管理带来便利,一方面也带来了风险。在计算机环境下,除了有意篡改或伪造会计记录等人为的因素之外,又加入了计算机技术因素,因此出现了新的特有风险:
(1)信息系统的安全性不能得到很好的保证。对人员接触系统缺乏控制,数据的毁损和失窃,对外来入侵者和病毒入侵缺乏严密的防御。
(2)信息系统的数据处理不合逻辑。由于系统开发人员并非专业的业务人员,对业务很难全面、准确地理解,由此可能导致无法准确地反映业务的实际发生状况,进而导致管理和决策的失误。
(3)可靠性得不到保证。虽然计算机具有速度快、准确性高等特点,但它毕竟是一种机械工具,在进行业务处理的过程中,不可避免地会发生这样那样的问题。例如,计算机硬件的故障,软件的设计因素,用户非有意的操作错误等都有可能导致差错发生。
(4)不能消除人为的舞弊行为。随着计算机在会计领域应用的日益扩展,利用计算机进行贪污盗窃的犯罪案件随之出现,并且在数量上有逐渐增长的趋势。计算机犯罪舞弊行为主要发生在不易引起人们注意的地方,舞弊的手段具有极大的隐蔽性,造成的损失更加惊人。因此,在会计电算化以后,对其监督更有必要,计算机审计工作也就变得非常迫切了。
三、发展计算机审计,实现审计信息化
综上所述,会计电算化已向审计提出了新的挑战,解决这个问题的唯一途径就是研究会计电算化信息系统的各种审计问题,探讨适合我国特点的计算机审计的方法和内容,使它具有向审计人员提供可靠资料的功能,并逐步培养一批合格的计算机审计人才,大力推动计算机审计的发展。
1.加强审计人员的业务知识技能培训
为了能够对会计电算化系统进行有效的审计监督,审计人员不仅要具有丰富的会计、审计理论和实务方面的知识,还要掌握一定的计算机、网络、电子商务、信息系统方面的知识和技能,熟悉业务软件和审计软件的操作,通晓计算机辅助审计技术。为此,应加强对审计人员的培训,要对普通应用人才与高层次人才的培养、在职人员培训和未来人才培养进行统筹规划。对普通在职人员培训的重点,除一般的字处理、制表软件的操作外,应着重于计算机辅助审计技术的应用,包括利用被审单位的计算机信息系统、EXCEL和审计软件辅助审计的技术方法,并逐步适时地加入计算机信息系统与网络的安全问题、有关控制及其审计等内容。较高层次的人才培养,重点可放在信息系统的开发审计、系统的功能或应用程序审计、网络安全审计和审计软件的开发等方面。对未来审计人员的培养,应在高校会计专业教学计划中增加信息技术和电子商务等内容,并把计算机审计列为必修课。
2.进一步完善有关计算机审计的法规和准则
为规范我国审计人员开展计算机审计工作,我国已初步建立了相应的准则和规范。审计署1996年12月了《审计机关计算机辅助审计办法》,中国注册会计师协会1999年2月颁布了《独立审计具体准则第20号——计算机信息系统环境下的审计》,国务院办公厅2001年11月16日了《关于利用计算机信息系统开展审计工作有关问题的通知》等计算机审计的一般性操作规范。但计算机审计实施过程还没有规范化,应就其共性的内容和环节加以规范。主要的实施程序应包括:①会计系统的检查;②原始数据采集;③确立计算机审计目标;④选用通用审计软件,通用审计软件操作的步骤;⑤选用计算机程序语言,代码编制构想;⑥原始数据加工处理;⑦分析作出结论等。上述内容应分别在计算机审计方案、工作底稿、审计报告中加以描述存档。
3.大力开发和推广应用计算机审计软件
发展计算机审计,一项重要的工作是要提高我国审计软件的质量和实用性,做好软件的开发和优化工作。软件开发人员必须深入审计工作第一线,审计软件的分析设计要有有经验的审计人员参加。我国现有的审计软件还属在使用和改进过程中的原型,只有加强使用者与开发者之间的沟通与联系,才能使用户把使用中发现的问题及改进的建议及时反映给开发者,开发者广泛地收集用户的反馈意见,更好地总结出审计的算法模型,使审计软件不断优化提高,真正成为有效的审计工具。要统筹安排,立足于从较高的层次上组织开发和建立审计实施系统,避免资源浪费和低水平开发。要务必在“用”上下功夫,审计机构要认真总结以往经验,结合各自的业务,完善和运用好已统一开发的现场审计实施系统等软件,根据情况因地制宜地使用计算机开展审计,不断提高审计效果。
4.促进信息集合,形成资源共享
目前审计工作中的许多问题都根源于占有并且能够共享的有效信息不足。一方面是信息不完整,不能对审计决策、审计实施形成有力的信息支撑;另一方面是共享性差,有限的信息也未得到充分利用。要从根本上解决这个问题,必须依靠信息网络技术,对分散的信息实行统一管理和使用。可以参考和借鉴国外的做法,将重要单位的EDP系统互相联结成大型的计算机网络,审计机关或大型的审计事务所可以把自己的计算机终端也联到这些大型的计算机网络上。一方面要做好信息收集、整理的协调工作,建立健全分层次的审计数据库,包括宏观经济、法律法规、审计对象以及审计机关人力资源、审计工作中形成的审计结果和审计专家经验等信息。另一方面要依靠有效的网络,分层次地形成信息共享,在此平台基础上,计划管理、质量控制、人力资源的整合和审计成果的运用等才能方便有效地展开,大大提高审计效率。
计算机信息系统内部控制审计评价的一般性指标,指为保证信息系统安全运行所制定的内部控制制度应遵循的原则和达到的目标,包括:信息系统内部控制的完整性、合理性及有效性。
1、计算机信息系统内部控制的完整性计算机信息系统内部控制的完整性包含两个方面:一是指信息系统的使用部门根据系统安全运行的需要,应建立的有关内部控制制度的健全和完善;二是指对信息系统所涉及的中央银行业务活动的全过程进行自始至终的控制。
根据以上两个方面的内容,在对计算机信息系统内部控制的完整性进行审计评价时,首先对建立与系统相关的内部控制制度的健全和完善进行评价,即是否能够充分保证系统的安全运行,是否能够对系统功能上的不足之处进行有效的弥补,以保证系统涉及的业务活动的安全性;其次是建立的有关内部控制制度是否能够贯穿于信息系统所涉及的业务活动的全过程。
2、计算机信息系统内部控制的合理性计算机信息系统内部控制的合理性是指为保证系统安全运行而建立的有关内部控制制度的可操作性和适用性。
在对计算机信息系统内部控制的合理性进行审计评价时,要在其完整性的基础上,充分考虑其适用性。从各项内控制度适用性的角度出发,评价其对使用部门的操作人员、运行环境等方面的要求是否具有可操作性和适用性。
3、计算机信息系统内部控制的有效性内部控制的有效性是指其在系统运行时所涉及的中央银行业务活动中,能否得到贯彻执行并发挥作用,实现其为保证中央银行资金安全,为社会提供高效的金融服务的目标。
在对计算机信息系统内部控制的有效性进行评价时,主要是对内部控制在系统运行过程中能否有效地防止各类案件和错误的发生进行评价。
以上三个指标属于审计评价计算机信息系统内部控制的一般性指标,完整性是合理性和有效性的基础,合理性是对内部控制更深一层次的要求,有效性是内部控制的精髓,如果一种内部控制不能实现“有效控制”,则实质上就不存在什么内部控制了。
(二)计算机信息系统内部控制审计评价的具体指标
计算机信息系统内部控制审计评价的具体指标是指对信息系统内部控制相关内容方面的审计评价指标,是对信息系统内部控制相关内容的具体评价,包括以下几个方面:
1、对组织与管理控制的评价:包括两层涵义:一方面是对与信息系统相关的内部管理制度、组织机构的健全和完善及其适用性做出审计评价,即是否制定了较完善的工作制度、岗位职责,是否建立并落实岗位责任制和风险防范责任制,是否建立了内部监督机制和考核机制等;另一方面是对系统操作人员控制的审计评价:一是对管理人员控制的评价。一般情况下,信息系统中高级别操作员在系统的使用部门具有一定的职位,如《中央银行会计核算系统》(以下简称《核算系统》)中四级别操作员即会计主管通常情况下由会计营业部门负责人担任。因此,在对信息系统管理人员的控制进行审计评价时,关键要评价其在系统的内部控制中,是否存在对管理人员的控制随其地位的升高而减弱的现象;二是对一般人员风险防范控制的审计评价,即系统的岗位设置和人员分工是否科学合理,岗位设置是否齐全,不相容岗位是否做到了完全分离,是否能够达到相互牵制、互相制约、防止风险发生的目的。
2、对系统用户及操作员权限控制的评价:即对按照系统的规定设置的各个用户及口令、操作员代码及口令的管理情况做出审计评价。即是否按规定设置系统用户及口令,是否按操作员所管辖的业务范围设置操作员级别等。如《核算系统》中,是否按规定设置开机口令和“KJZW”用户口令,是否按照岗位职责和处理权限设置操作员级别,各级别操作员是否按规定设置代码及口令,口令管理是否符合规定等。
3、对系统维护控制的评价:即对科技人员是否按规定对系统的软、硬件进行的安装、补丁、升级和备份、系统的应急处理方案是否详细可行等方面做出审计评价。
4、对系统运行环境控制的评价:一是对系统的供电系统是否符合要求、系统运行场所的防火报警系统、防雷电系统、防电磁干扰系统是否有效做出评价;二是对系统的软、硬件环境是否符合系统的要求做出评价;三是对系统的病毒防范措施是否具体有效做出评价;四是对系统网络的数据保密、访问控制、身份识别、数据传输等安全性指标设置是否合理做出评价。
5、对系统输入控制的评价:即对输入系统的数据在输入系统前是否进行了认真的审核,数据的传递方式、采取的审核措施是否有效,是否能够保证数据的准确无误,数据的输入是否实时输入、换人复核等做出评价。
6、对系统输出控制的评价:即对是否按系统的要求及时完成系统结果的输出,对系统输出结果的准确性、可靠性是否采取了有效的措施,系统数据输出的操作权限、输出日志及输出份数是否符合规定等做出评价。
中图分类号:G623 文献标识码: A
1、前言
随着Internet的发展,开发分布式,跨平台,易扩展的软件系统成为大型企业级应用的趋势。J2EE(Java 2企业版)作为一种成熟的分布式企业级开发平台,由一整套服务(Services)、应用程序接口(APIs)和协议构成,它对开发基于Web的多层、分布式应用提供了功能支持。受到越来越多人的关注,成为开发火型企业级应用的首选。中国农业银行计算机辅助审计系统(以F简称CAS系统)就是基于J2EE平台开发的大型系统。本文以下内容将对J2EE技术在中国农业银行计算机审计系统中的应用进行研究和探讨,以供参考。
2、J2EE概述
在Java发展的过程中,它首先取得了Applet的胜利,使得以Web为中心的开发广泛地采用了Java语言。开发人员使用Applet技术,把开发的Applet很容易添加到到HTML页面。但是随着Web技术的发展,传统的静态页面已经不能满足开展、世务的需要,出现了服务器页面技术,这时Applet不能雅任此需求。SUN看到Web应用的潜力,推出了Java Servlet技术,满足服务器编释的需求。Servlet广泛应用于企业级应用程序的开发中。后来其他厂商为了简化Servlet的开发,逐渐共同推出了JSP技术,JSP更容易开发表示层,最后SUN也把JSP作为J2EE标准的一部分。又由于Servlet处理业务逻辑的局限,SUN后来推出了EJB技术。
J2EE平台规范是一个由SUN公司定义的用于简化分布式企业级应用开发与部署的基于组件的模式。它提供了一个多层次的分布式应用模型利一系列开发技术规范。多层次分布式应用模型是根据功能把应用逻辑分成多个层次,每个层次支持相应的服务器和组件,组件在分布式服务器的组件容器中运行(如Servlet组件在Servlet容器上运行,EJB组件在EJB容器上运行),容器间通过相关的协议进行通讯, 实现组件间的相互调用。
J2EE使用多层的分布式应用模型,应用逻辑按功能划分为组件,各个应用组件根据他们所在的层分布在不同的机器上。事实上,sun设计J2EE的初衷正是为了解决两层模式(client/server)的弊端,在传统模式中, 客户端担当了过多的角色而显得臃肿,在这种模式中,第一次部署的时候比较容易,但难丁升级或改进,可伸展性也不理想, 而且经常基丁某种专有的协议一一通常是某种数据库协议。它使得重用业务逻辑和界面逻辑非常困难。现在J2EE的多层企业级应用模型将两层化模型中的不同层面切分成许多层。
3、系统总体设计
3.1,系统架构
CAS系统使川J2EE技术架构,采用B/S(Browse/Server)结构,系统为三层结构:数据库服务器、应削服务器、客户端。
3.2,CAS系统的数据库
CAS系统的数据库分为4部分:原始数据库,从新一代业务系统、信贷管理系统、国际业务系统迁移过米的原始业务数据及外部数据;基础数据库,日志、机构、人员、设备、字典、文件存储索引等;档案数据序,审计、作记录、审计工作底稿、审计依据等;临时数据库,审计查证过程中产生的数据。
JDBC中最重要的对象是Conection,Connection对象代表与数据库的连接。连接过程包括所执行的SQL语句和在该连接上所返回的结果。一个应用程序可与单个数据库有一个或多个连接,或者可与许多数据库有连接。获得连接之后才能向数据库发送SQL指令。
3.3,系统模块划分
系统管理主要是实现对系统运行的控制信息的管理,内容主要包括系统参数的定义、字典信息的维护和日志管理。
注册管理主要是实现对审计机构、审计人员和审计设备的管理。
环境定义主要是维护原始数据的使用环境,内容主要包括原始数据表信息的维护和业务机构在不同系统中的对照信息的维护。
项目管理主要是实现对整个审计流程及其过程和环节的控制和全面管理。其功能主要包括:项目立项、万案制定、项口授权、审计开工和收工。
审计查证提供一个功能丰富的查帐平台,审计人员可以利用多种查询、统计、计算工具和图形化分析工具,方便准确地实现审计思想向计算机能够执行并可记录的运算过程的转换,从而使计算机模仿手工查帐的步骤进行自动查帐,以达到帮助审计人员准确、高效地完成审计任务的目的。
审计方法管理主要是实现对审计过程中产生的方法进行管理,内容包括审计方法的优化、审计方法的变更和审计方法的查询。
审计文档生成主要是实现审计工作记录、审计工作底稿、存在问题清单、审计工作报告、审计意见书、处罚决定书、牿改报告、后续审计情况、后续审计报告等审计文档的生成功能,并提供文档归档功能将审计文档归入审计档案。
档案管理是指对审计过程生成的审计文档进行统一规范档案化管理。审计档案管理的目的是建立审计档案库,从而实现审计文档的积累和信息共享,以及根据审计档案对审计进行多角度分析的功能。
依据管理是指对审计上作中需要经常使用的相关依据的管理,其目的主要是实现审计依据(如法律法规)信息的统一电子化管理,为审计人员提供最及时、最准确的审计依据,从而有效的提高审计的权威性,保证审计成果的可靠性。
4、结尾
本文以上内容对J2EE技术进行了介绍,并随后分析了其总体设计,对其在中国农业银行计算机审计系统中的应用进行了初步的探讨,表达了观点和见解,但由于此技术是一个系统,仍需要对其详细设计进行进一步的研究,才能真正的将技术与审计系统相结合,这是本人将要研究的方向。
【参考文献】
1.会计凭证的存储与处理。原始凭证或记账凭证一经输入计算机,便以文件的形式存人机内的数据文件。并且原始凭证一旦转换到机器可识别的输入介质上,就不再在数据处理过程中使用;在某些系统中传统的原始凭证可能由于采用直接采集数据的设备而不复存在(如在联机实时处理系统中即如此)。
2.账簿的存储与处理。总分类账为文件所代替,而在主文件中可能看不出计算汇总数据所依据的明细数据。明细分类账采用满页打印方式,因而导致两类数据之间的日常核对只能在机内进行。账簿登录时,通过计算机登账程序自动执行,使用的是哪一种记账程序难以判断。
3.报表的编制采用按事先定义的公式到账簿文件,其他报表文件中取数计算、数据来源、公式定义、编制结果、打印格式等均采用机内文件的形式。由于磁性介质修改不留痕迹的特点,使审计人员很难相信打印输出的会计报表,正是根据单位提供的公式定义文件加以编制的。假如有人在歪曲公式定义文件之后编制失真的财务报表,然后对公式定义文件复原,在这种情况下,审计人员便不能根据机内的公式定义文件作出判断报表的编制是否正确。
以上情况表明,由于计算机采用磁性材料作为存储介质,处理过程都在机内文件之间进行,因而使审计人员难以像在手工操作环境下那样对经济业务进行追踪审查。因此,电算化会计信息系统设计时要注意留下充分的审计线索,使审计人员在电算化条件下也能跟踪审计线索,顺利地完成审计任务。在现阶段,尽管财政部在有关会计电算化制度中,规定所有凭证、账簿、报表仍然应当打印输出,使审计人员在审计工作中增加了审计的线索,但应当看到的是,这些书面的记录是否与会计软件的正确处理结果同出一辙,尚有待于进一步的验证。
二、对审计的影响
在会计电算化的条件下,审计的经济监督职能并没有改变。但由于会计电算化信息系统的特点及其固有的风险决定了审计的内容要发生相应的变化,包括对计算机处理和控制功能的审查。这是在传统的手工审计中所没有的。因此,电算化会计信息系统的审计内容就应当包括系统的开发与设计、会计软件的程序、数据文件以及内部控制的审计等。
在电算化会计信息系统申,由于会计事项由计算机按程序自动进行处理,诸如手工会计中因疏忽大意而引起的计算或过账错误的机会大大减少了。但如果系统的程序出错或被人非法篡改,则计算机只会按给定的程序以同样错误的处理所有有关的会计事项。错误的结果将是不堪设想的。系统也可能被神不知、鬼不觉地嵌人非法的舞弊程序,不法分子可以利用这些舞弊程序大量侵吞企业的财物。系统的处理是否合规、合法,是否安全可靠,都与计算机系统的处理和控制功能有直接关系。在会计电算化条件下,审计人员要花费较多的时间和精力来了解和审查计算机系统的功能,以证实其处理的合法性、正确性和完整性,证实系统的安全可靠性。对计算机系统本身的审查,要求审计人员具有计算机及电算化会计的知识和技能。当一个系统已经完成并投人使用后,要对它进行改进,这比在系统设计、开发阶段进行困难得多,代价也要昂贵得多。因此,除了要对投人使用后的电算化会计信息系统进行事后审计外,应提倡在电算化系统的设计、开发阶段,审计人员要对系统进行事前和事中审计。电算化会计信息系统的设计应有审计人员参加。他们在系统设计开发的各个阶段注意审查和考核下列:(1)系统的功能是否恰当、完备,能否满足用户核算和管理的要求;(2)系统的数据流程、处理方法是否符合会计制度、法规、法令和财经纪律;(3)系统是否建立了恰当的程序控制,以防止或及时发现无意的差错或有意的舞弊;(4)系统是否保留了充分的审计线索,能否为日后顺利开展审计提供必要的条件;(5)系统的安全保密措施和管理制度是否健全,能否为系统日后安全可靠地运行提供保证;(6)在整个设计和开发过程中是否遵守执行了系统的开发控制。审计人员还应参加系统的调试、检测和验收,尽可能及时地发现系统存在的问题并提出改进意见。由于我国审计机关的人员有限,且审计任务繁重,要求每一个电算化系统的开发都有审计机关的审计人员参加是不实际的。审计机关只能对大型的或将要广泛使用的电算化会计系统进行事前和事中审计。一般各单位的电算化会计系统可由其内审人员参加设计、检测和验收,完成事前或事中对系统处理和控制功能的审查。
一、对审计线索的
审计线索对审计来说是极为重要的。在手工中,审计线索包括会计凭证、会计账簿、会计报表等会计资料。这些资料都反映在书面上,审计人员利用这些资料就能够从原始凭证开始,通过记账凭证、会计账簿追踪到会计报表,或者对报表之间、报表与账簿之间的会计数据的勾稽关系进行审查,通过这些可见的审计线索检查证、账、表数据所反映的业务的合法性,通过每个会计人员手写笔迹的不同,确定每一责任人完成业务的正确性。总之,在手工会计中,会计人员对经济业务的详细记录都跃然纸上,审计人员所需的审计线索,都可以通过这些书面记录加以审计。审计人员进行审计,完全可以根据需要进行顺查、调查或抽查。但是,在电算化会计中,机的使用改变了会计记录的存储与处理,表现在如下几方面:
1.会计凭证的存储与处理。原始凭证或记账凭证一经输入计算机,便以文件的形式存人机内的数据文件。并且原始凭证一旦转换到机器可识别的输入介质上,就不再在数据处理过程中使用;在某些系统中传统的原始凭证可能由于采用直接采集数据的设备而不复存在(如在联机实时处理系统中即如此)。
2.账簿的存储与处理。总分类账为文件所代替,而在主文件中可能看不出计算汇总数据所依据的明细数据。明细分类账采用满页打印方式,因而导致两类数据之间的日常核对只能在机内进行。账簿登录时,通过计算机登账程序自动执行,使用的是哪一种记账程序难以判断。
3.报表的编制采用按事先定义的公式到账簿文件,其他报表文件中取数计算、数据来源、公式定义、编制结果、打印格式等均采用机内文件的形式。由于磁性介质修改不留痕迹的特点,使审计人员很难相信打印输出的会计报表,正是根据单位提供的公式定义文件加以编制的。假如有人在歪曲公式定义文件之后编制失真的财务报表,然后对公式定义文件复原,在这种情况下,审计人员便不能根据机内的公式定义文件作出判断报表的编制是否正确。
以上情况表明,由于计算机采用磁性材料作为存储介质,处理过程都在机内文件之间进行,因而使审计人员难以像在手工操作环境下那样对经济业务进行追踪审查。因此,电算化会计信息系统设计时要注意留下充分的审计线索,使审计人员在电算化条件下也能跟踪审计线索,顺利地完成审计任务。在现阶段,尽管财政部在有关会计电算化制度中,规定所有凭证、账簿、报表仍然应当打印输出,使审计人员在审计工作中增加了审计的线索,但应当看到的是,这些书面的记录是否与会计软件的正确处理结果同出一辙,尚有待于进一步的验证。
二、对审计的影响
在会计电算化的条件下,审计的经济监督职能并没有改变。但由于会计电算化信息系统的特点及其固有的风险决定了审计的内容要发生相应的变化,包括对计算机处理和控制功能的审查。这是在传统的手工审计中所没有的。因此,电算化会计信息系统的审计内容就应当包括系统的开发与设计、会计软件的程序、数据文件以及内部控制的审计等。
在电算化会计信息系统申,由于会计事项由计算机按程序自动进行处理,诸如手工会计中因疏忽大意而引起的计算或过账错误的机会大大减少了。但如果系统的程序出错或被人非法篡改,则计算机只会按给定的程序以同样错误的处理所有有关的会计事项。错误的结果将是不堪设想的。系统也可能被神不知、鬼不觉地嵌人非法的舞弊程序,不法分子可以利用这些舞弊程序大量侵吞企业的财物。系统的处理是否合规、合法,是否安全可靠,都与计算机系统的处理和控制功能有直接关系。在会计电算化条件下,审计人员要花费较多的时间和精力来了解和审查计算机系统的功能,以证实其处理的合法性、正确性和完整性,证实系统的安全可靠性。对计算机系统本身的审查,要求审计人员具有计算机及电算化会计的知识和技能。当一个系统已经完成并投人使用后,要对它进行改进,这比在系统设计、开发阶段进行困难得多,代价也要昂贵得多。因此,除了要对投人使用后的电算化会计信息系统进行事后审计外,应提倡在电算化系统的设计、开发阶段,审计人员要对系统进行事前和事中审计。电算化会计信息系统的设计应有审计人员参加。他们在系统设计开发的各个阶段注意审查和考核下列:(1)系统的功能是否恰当、完备,能否满足用户核算和管理的要求;(2)系统的数据流程、处理方法是否符合会计制度、法规、法令和财经纪律;(3)系统是否建立了恰当的程序控制,以防止或及时发现无意的差错或有意的舞弊;(4)系统是否保留了充分的审计线索,能否为日后顺利开展审计提供必要的条件;(5)系统的安全保密措施和管理制度是否健全,能否为系统日后安全可靠地运行提供保证;(6)在整个设计和开发过程中是否遵守执行了系统的开发控制。审计人员还应参加系统的调试、检测和验收,尽可能及时地发现系统存在的问题并提出改进意见。由于我国审计机关的人员有限,且审计任务繁重,要求每一个电算化系统的开发都有审计机关的审计人员参加是不实际的。审计机关只能对大型的或将要广泛使用的电算化会计系统进行事前和事中审计。一般各单位的电算化会计系统可由其内审人员参加设计、检测和验收,完成事前或事中对系统处理和控制功能的审查。
三、对审计技术的影响
在手工会计的条件下,审计可根据具体情况进行顺查、逆查或抽查。审查一般采用审阅、核对、、比较、调查和证实等方法。所有这些审查工作都是由人工执行的。这就是传统的手工审计的方法。在会计电算化条件下,审计的对象发生了变化,如果仍然采用常规的手工系统的那一套审计技术,就不可能达到审计的目的。由于审计的内容扩大到电算化系统程序、系统的设计与开发、数据文件与内部控制等方面,迫使审计人员在采用传统的各种审计技术的同时,采用计算机辅助审计技术,用日益先进的计算机审计软件去对付单机、、多用户等各种工作平台下的会计软件。
另一个计算机辅助审计技术的应用是,在电算化会计信息系统的设计开发过程中,可事先在被审的计算机系统中嵌人审计程序。这些程序可以执行审计监督,建立审计跟踪文件,记录符合指定条件的会计事项及其操作处理的有关信息,以便日后审计人员跟踪追查。这些程序也可以执行一些特殊的审计功能。
四、对审计标准和准则的影响