计算机审计(含光盘一张)(txt+pdf+epub+mobi电子书下载)


发布时间:2020-07-01 21:14:09

点击下载

作者:田芬

出版社:复旦大学出版社

格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT

计算机审计(含光盘一张)

计算机审计(含光盘一张)试读:

序言

计算机和通信技术的飞速发展,使整个社会的信息化成为大势所趋。因此,作为今天的一名审计工作者,只有熟练掌握计算机审计的理论和方法才能适应形势发展的需要。

为适应我国审计形势发展的需要,作者编写了这本《计算机审计》。在本书的编写过程中,主要吸收了国内外最新研究成果,并结合我国计算机应用和计算机审计发展的实际情况,在内容上力求兼顾先进性和实用性,尽量做到理论、方法与应用有机结合,有较强的可操作性。

本书共分为十章。第一章是对计算机审计的一个概括性介绍,以期读者能对计算机审计有一个基本的了解;第二章论述了计算机会计信息系统内部控制的审计方法;第三章、第四章、第五章系统地论述了对会计信息系统的开发、应用程序、数据文件等方面的审计;第六章以用友公司的《用友审计作业系统——审易A460》审计软件为例,介绍了前述章节介绍的理论和方法的具体应用;考虑到Excel在我国的广泛应用,第七章专门介绍了Excel在审计工作中的使用方法;第八章是对计算机舞弊控制与审计方法和技术的讨论;第九章介绍了网络审计;信息技术的进一步发展和知识经济时代的到来,使审计工作面临新的机遇和挑战,最后一章对计算机审计的未来发展作了一些展望。

本书对广大审计工作者进行计算机信息系统审计,对计算机信息系统管理人员探讨加强计算机信息系统的控制,对计算机工作人员研究计算机在实际工作中的应用和控制,对审计、会计、管理、计算机等专业师生的教学与研究,必将有很高的参考价值。

本书由田芬主编并负责全书的总体设计,编写其中的第一章、第四章和第五章;郑瞳编写第二章和第八章;赵爱丽编写第三章和第七章;王爱霞编写第九章和第十章;用友审计教育培训部赵天希编写第六章,并为本书提供了教学软件,在此表示感谢。

当然,由于信息技术的迅猛发展,经济社会的不断进步,计算机审计的范围和深度必将不断拓展,也必定会出现一些我们还未意识到的新问题,本书所介绍的理论和方法也需要进一步完善,与时俱进。鉴于作者水平所限,书中难免有错误和不当之处,恳请广大读者批评指正,不吝赐教,是为序。作者2007年元月

总序

自20世纪80年代末期,我国便拉开了会计改革的序幕,从1992年颁布的《企业会计准则》、《企业财务通则》到据其制定并陆续出台的具体会计准则,从相继制定实施的分行业会计制度到1998年发布的《股份有限公司会计制度》,从1985年《会计法》的出台到后来的两次修订,从早期的《会计基础工作规范》到后来的一系列会计工作规范措施,都体现了不断改革的进程;进入21世纪以后,我国又颁布实施了《企业会计制度》、《金融企业会计制度》和《小型企业会计制度》。

自1996年起,我国连续颁布实施了《独立审计基本准则》与一系列《独立审计具体准则》和《独立审计实务公告》。

在上述这些改革成果的基础上,我国又对企业会计准则和独立审计准则进行了脱胎换骨式的改造,使之形成了完整的体系。它们包括39项企业会计准则和48项注册会计师执业准则。这些准则于2007年1月1日首先在上市公司中推行,随后会逐步推广到所有公司。财政部对《企业财务通则》也进行了修订,并于2007年1月1日起施行。

我国原有的会计准则由1个基本准则和16个具体准则组成,大部分于1996年至2001年期间发布。准则与国际趋同的目标要求将国际财务报告准则整合到国内准则中,因此在修订所有现行准则的同时,22个新的具体准则又接踵而至。新准则体系虽然是中文的表述,但依据的是国际会计准则的精神,在框架结构上也是一样的。我国政府推进会计国际趋同的态度是积极而现实的。新准则考虑到了中国经济目前的特点,针对特殊类别交易(如同一控制下企业合并等)和特定类型行业(如石油和天然气采掘业等)的会计核算提供了具体的规定,并保留了一些不同于国际会计准则的规定,包括不允许转回已计提的资产减值准备、针对某些政府补助的特殊会计处理和不具有投资关系的国有企业之间的交易不作为关联方交易披露等。

注册会计师执业准则体系包括鉴证业务准则、相关服务准则和质量控制准则三大部分。质量控制准则是注册会计师执业各类业务均应当执行的,而鉴证业务准则和相关服务准则则是按照注册会计师所从事业务是否具有鉴证职能、是否需要提出鉴证结论加以区分的。其中,鉴证业务准则又分为审计准则、审阅准则和其他鉴证业务准则三类。审计准则用来规范注册会计师执行历史财务信息审计业务,要求注册会计师综合使用审计方法,对财务报表获取合理程度的保证;审阅业务准则用来规范注册会计师执行历史财务信息审阅业务,要求注册会计师主要使用询问和分析程序,对财务报表获取有限程度的保证;其他鉴证业务准则用来规范注册会计师执行除历史财务信息审计和审阅以外的非历史财务信息的鉴证业务。在准则框架体系中,审计准则无疑是其核心内容和重点所在。因此,按照审计过程、业务性质和规范的内容,又将审计准则划分为一般原则与责任、风险评估与风险应对、审计证据、利用其他主体的工作、审计结论与报告,以及特殊目的、特殊业务、特殊领域等小类。可见,准则框架体系层次分明,内容全面,既规范了审计等具有鉴证职能的业务,又规范了代编财务信息、对财务信息执行商定程序等不具有鉴证职能的业务,涵盖了注册会计师业务领域的各个主要环节和主要方面,能够满足注册会计师业务多元化的需求,满足社会公众和相关监管部门的基本需求。另外,注册会计师执业准则全面渗透了风险审计理念,充分体现了国际趋同要求,切实考虑了中国国情。注册会计师执业准则将对注册会计师实务工作产生全面、深刻的影响。

新《企业财务通则》明确了资金筹集、资产营运、成本控制、收益分配、信息管理、财务监督等六大财务管理要素,并结合不同财务管理要素,对财务管理方法和政策要求做出了规范。这标志着我国原有的企业财务制度体系将逐步被更新,我国将在企业财务管理体制上实现创新,从政府宏观财务、投资者财务、经营者财务三个层次,构建资本权属清晰、财务关系明确、符合企业法人治理结构要求的企业财务管理体制。

在此背景下,《会计与审计准则解读丛书》出版了。我们赋予它如下职能和特征:一是指导性。我国的企业会计又处在一个新旧交替与衔接的重要时期,所有会计工作者及关注会计工作的人士都必须回答和解决这样一个问题:如何快速更新会计知识,尽快掌握会计新技能?这套丛书有助于很好地回答和解决这一问题。因为它既适用于会计人员的继续教育、财经院校师生的教学参考,也可满足社会各界人士了解企业会计制度和会计知识、掌握企业会计工作技能的需要。二是操作性。它立足于实践,着眼于操作,以基本会计理论为基础,以《企业会计制度》为指导,特别注重新旧会计制度的对比与衔接,力求把会计实务操作程序和方法用科学理论加以阐明和演示,并辅以大量案例,极具可操作性。三是简明性。它力求言简意赅、深入浅出、通俗易懂,以便于各类读者学习参考。四是前瞻性。它在立足实践、着眼制度的基础上,尽量结合和运用当前会计研究的最新成果,总结和归纳我国会计改革与发展过程中的新情况、新问题,并进行规律性探索,具有一定的前瞻性。

本丛书由赵保卿教授主持编写。我国企业会计制度仍处在重建之中,企业会计准则与有关会计规范尚需完善,会计理论和业务领域正不断拓展,在这样的环境和条件下,加之受我们学识和水平的限制,我们赋予它的职能和特征也许不尽完全,疏漏乃至错误也在所难免。我们恳请广大读者多提宝贵意见。丛书作者2007年3月

第一章 计算机审计概论

计算机和通讯技术的发展把人类社会带入信息时代,深刻地改变着人类社会传统的工作方式、管理方式、生产方式、消费结构,甚至整个社会经济结构。随着生产的自动化、贸易中的电子商务的普及、网络财务软件的广泛使用,以及支付手段的多样化,审计信息化将是21世纪必然趋势。1954年,美国首次将工资的计算用电子计算机来处理,标志着电子计算机进入了会计和管理领域。我国从20世纪80年代初开始,会计信息系统也得到了很大发展。计算机技术应用于管理和会计系统,使传统的手工数据处理系统转变为电算化数据处理系统,审计的对象也发生了重大变化。

审计是一个古老的职业,是独立检查会计账目,监督财政财务收支真实、合法、效益的行为,其工作对象都是与记载财政财务收支及其相关经济活动的载体——账目有关系的。审计对象的信息化,客观上要求审计机关的作业方式必须及时做出相应的调整,要运用现代技术,全面检查被审计单位经济活动,发挥审计监督的应有作用。为维护国家经济建设秩序和适应信息化的要求,形成了一门将会计、审计、计算机技术、通讯和网络技术相融合的学科——计算机审计。随着计算机、通讯和互联网技术的进一步发展,计算机审计水平也得到了极大提高,单项的计算机审计应用和桌面审计系统将进一步发展为网络计算机审计系统,即网络审计。

本章将在回顾计算机审计产生和发展的基础上,对计算机审计的概念、方法、步骤等进行讨论。

第一节 计算机审计的产生与发展

传统的会计、统计和计划等管理数据的处理都是以手工操作为主,因此,传统审计也是以手工的会计资料处理系统为特征的。计算机审计是伴随着科学技术的不断进步、审计对象的信息化以及审计事业的不断发展而成长起来的,它是审计科学、计算机技术与数据处理电算化发展的必然结果。

一、计算机审计的产生

信息处理的电算化是计算机审计产生的一个直接原因。管理信息由手工操作转变为计算机处理后,在很多方面(如组织结构、信息处理流程、信息存储、结账和存取方式、内部控制等方面)都发生了很大变化。手工会计信息系统也转变为计算机会计信息系统。这些变化对审计产生了很大影响,如审计线索、审计技术和方法、审计手段、审计标准和审计准则以及审计人员的知识结构和技能都受到了影响。同时,计算机还可以帮助审计人员减轻繁重的审计文书负担。从审计工作自身的角度来讲,有如下两个方面的原因促使计算机审计的产生。(一)审计业务范围不断扩大

随着社会经济的不断发展,审计由原来单纯的以差错防弊为主的财政财务收支审计,发展到经营管理审计、经济责任审计和经济效益审计。审计作为一项具有独立性的监督、评价或鉴证的活动,它产生于受托经济责任关系,因此,它总是与查明、考核和评价经济责任有关。随着外部审计向内部审计的发展,以及事后审计发展到事前审计、事中审计,利用传统的方法进行审计已经越来越不能满足经济发展的需求了,所以有必要使用先进的计算机和通讯技术来及时完成审计任务,于是,计算机审计就应运而生了。(二)对电子数据处理认识的不断深入

在电子数据处理的初期,由于人们对计算机知识还缺乏足够的认识,对数据处理的过程和结果不甚了解,很少对电子数据处理系统本身进行审计,即使进行审计也不采用计算机审计的方法,而是把经过计算机处理的数据打印出来,采用传统的手工方法进行审计。会计实现信息化之后,对计算机信息处理系统的安全性、可靠性及效率进行检查、监督与评价就越发必要。计算机舞弊和犯罪案件的不断出现,给审计职业带来了压力,从而使审计人员认识到,要对被审计单位的经济活动做出客观、公正的评价,必须使用计算机辅助审计技术对电子数据处理系统精心审计。面对如此广泛的审计对象,利用传统的手工方法进行审计越来越难以完成审计任务,达到审计目的,因此,如何对那些已经在不同程度上实现了会计电算化的单位进行审计的研究,以及对如何用计算机辅助审计手工会计系统,如何发展和创新审计方法等问题的研究,导致了计算机审计的产生。

二、计算机审计的发展

目前,大多数发达国家已普遍实行了计算机审计,许多重要部门的电子数据处理系统相互联结成大型的计算机网络,审计部门或大型的会计师事务所可以把自己的计算机终端联到这些网络上,审计人员只要在自己的终端上就可以调取被审计单位的有关资料,进行网上实时、在线审计。不少国际性的会计公司都成立了专门机构,负责研究计算机审计技术及审计实务。近年来,国际软件市场出现了许多通用或专用的审计软件,使计算机审计水平不断提高。

中国的计算机审计始于20世纪80年代中期,计算机审计从无到有、从简单到复杂、从局部探索到逐步走向普及,已取得一定成绩。其发展过程大致可分为如下三个阶段。

第一阶段:报表检查阶段。计算机在我国各个行业大规模普及应用的历史较短,但发展极为迅速。在20世纪80年代以前,计算机主要应用于人民银行全国联行对账和专业统计工作中,主要任务是用来对账、汇总统计报表,并及时地将统计数字传到上级机关。计算机在报表统计工作中的应用主要是数据的录入,平衡项目的检查,数据汇总及报表打印输出,数据传送等工作。到目前为止,统计业务仍然是计算机在各个行业应用的一个重要方面。在这种应用过程中,由于统计输出报表具有直观易查的特点,一般由专业部门承担数据正确性、及时性方面的检查,科技部门承担程序维护、设备安全等方面的监督检查任务。因此,这个阶段的稽查基本上是由计算机应用的业务部门和科技部门负责,主要对象是数据正确性、报表平衡关系、是否及时上报、设备安全、程序安全等方面的监督检查工作,它是计算机应用的一项基本内容。

第二阶段:程序功能审计阶段。20世纪80年代后期,计算机开始应用于各个行业业务的各个领域,例如银行的贷款、投资、决策业务、联行业务、资金、融资、管理通存通兑业务、事后监督业务、人事管理业务、养老保险、医疗保险、住房公积金等诸多领域,而这些应用领域都是各个行业业务工作的重要领域,直接关系着各个行业资金的营运。期间也出现了一些地方利用计算机犯罪的案例,如银行里面盗用联行资金,盗用对公存款,利用办理资金、融资、管理业务之便盗用储户资金、融资、管理存款,证券公司的股票交易等等,在这种情况下,计算机审计也就应运而生,有些行业在审计部门开始设置计算机审计机构,更多的行业单位则是培训审计人员或专业人员学习计算机知识,承担计算机监督检查的任务。

第三阶段:全面网络审计阶段。进入21世纪,计算机审计工作在各行业已经得到了普遍的重视。计算机的应用给审计工作提出了新的课题,各个行业审计工作作为各个行业内部的一项监督检查工作在长期的实践过程中积累了丰富的经验,范围也涉及各个行业工作的各个领域。随着计算机应用领域的逐渐扩大,应用范围的逐渐深入,审计工作越来越跟不上各个行业信息化事业发展的需要。在这种情况下,许多行业单位的审计部门开始配备计算机审计人员,或从计算机专业人员中聘请兼职审计员,或选派审计人员学习计算机技术知识,开始了积极的计算机审计工作。现在,电子计算机审计已经成为各个行业审计的重要组成部分。

2002年7月,国家发展和改革委员会(时称国家计划委员会)批复了审计署申请的金审工程(China's Golden Auditing Project)一期项目。2002年8月,《中共中央办公厅、国务院办公厅关于转发<国家信息化领导小组关于我国电子政务建设指导意见>的通知》确定,金审工程列为国家电子政务重点启动的12个重要业务系统之一。2002年10月底,金审工程建设项目正式开工。金审工程建设的总体目标是:用若干年的时间,建成对依法接受审计监督的财政收支或者财务收支的真实、合法、效益,实施有效监督的国家审计信息系统。金审工程实施“预算跟踪+联网核查”审计模式。逐步实现审计监督的“三个转变”,即从单一的事后审计转变为事后审计与事中审计相结合,从单一的静态审计转变为静态审计与动态审计相结合,从单一的现场审计转变为现场审计与远程审计相结合。增强审计机关在信息网络环境下查错纠弊、规范管理、揭露腐败、打击犯罪的能力,维护经济秩序,促进廉洁高效政府的建设,更好地履行审计法定监督职责。根据金审工程总体目标和总体框架要求,确定六个方面的建设内容:应用系统、信息资源、网络系统、安全系统、运行服务体系、人员培训等。

第二节 计算机审计的概念

一、计算机审计的含义

对于“计算机审计”的确切含义,目前尚未形成统一认识。有观点认为,它是以电子数据处理系统(Electronic Data Processing System, EDP)为对象进行的审计,又称其为EDP审计;也有人认为,它是以会计信息系统为对象进行的审计,并称其为会计信息系统审计;还有人认为,计算机审计是以电子计算机为技术手段所进行的审计。前两种看法强调计算机审计的对象是电算化信息系统,而不管计算机审计的技术、方法和手段是电算化还是人工的,第三种看法正好相反,它强调计算机审计的技术、方法和手段是电算化的,而不管计算机审计的对象是电算化信息系统还是手工信息系统。

计算机审计是与传统手工审计相对的概念。传统手工审计是指在手工操作下对手工信息系统所进行的审计;计算机审计则是随着电子计算机产生及其在审计中的应用,以及数据处理电算化的发展,随着电算化信息系统的产生和发展而出现的。计算机审计与传统手工审计没有本质的区别,基本的审计目标和审计范围是相同的,同样也是执行经济监督职能,但是审计的方法和技术发生了改变,主要是审计机关和被审计单位双方都利用计算机作为作业的工具,即一方用计算机记录财务会计核算和经营管理数据,一方用计算机进行审计。

审计机关对计算机管理数据的审计,一般不直接使用被审计单位的计算机信息系统进行查询、检查,而是将被审计单位的有关数据引入到审计人员的计算机上,利用审计软件进行查询、分析,主要是为了避免影响被审计单位计算机系统正常运行,规避审计风险。审计人员使用计算机进行审计,给查错纠弊带来了极大的方便。审计人员很容易实现对某一类数据的查询和筛选,使手工审计条件下无法做到的详细审查成为可能。同时,审计人员不仅能引入财务数据,而且还能引入相关的管理数据,将两者结合起来审计,便于发现管理上的漏洞和舞弊行为。

计算机系统不仅仅是被审计单位的一种重要资源,而且是信息化条件下会计核算、运行管理、内部控制的关键所在,保证计算机信息系统的安全、稳定、可靠是十分重要的。所以对被审计单位用于管理财务数据的计算机系统检查,是信息化条件下审计工作的重要内容。通过检查发现并揭示计算机信息系统设计、运行、管理和维护中存在的问题与风险,明确信用程度,促使其安全有效运行,正确处理业务,提供可靠的财务会计信息。因此,在会计电算化环境下,审计人员必须了解和审查被审计单位的计算机系统的功能,以证实其处理的合法性、正确性、完整性和安全性。另外,除了要对投入使用后的电算化会计信息系统审计外,在电算化系统的设计和开发阶段,审计人员要对系统进行事前和事中审计。当一个会计电算化系统已经完成并投入使用后,再对它进行改进所花的精力和费用将是很大的。审计部门应参与会计电算化软件的鉴定,对会计电算化软件也应采用预置或嵌入审计程序的技术以满足审计发展的需要。

计算机审计包括如下两方面的内容:(1)对会计信息系统的设计进行审计、对会计信息系统的数据处理过程和处理结果进行审计。(2)审计人员利用计算机辅助审计。把计算机作为工具,将计算机及网络技术等各种手段引入审计工作,建立审计信息系统,帮助审计人员完成部分审计工作,实现审计工作的办公自动化。

为了做好计算机审计工作,必须有对各个被审计单位计算机应用情况进行评价的衡量标准,这就是计算机审计依据,它是计算机审计人员进行审计判断,做出审计结论的准绳,可以来自于国家方针、政策、规定,也可以是依据上级文件所做出的规定、计划、制度。

审计署于1993年签发的中华人民共和国审计署令第9号《审计署关于计算机审计的暂行规定》中的第二、三条明确规定:“第二条 凡使用计算机管理财政、财务收支及其有关经济活动的被审计单位,审计机关有权采用计算机技术,依法独立对其计算机财务系统进行审计监督。

第三条 计算机审计的内容包括:(一)内部控制制度,包括管理制度和软件控制技术;(二)记录在各载体上的数据资料,包括纸性、电磁性、光电性的凭证、账簿、报表等;(三)应用软件及其技术档案,包括各种管理财政、财务及其有关经济活动信息的计算机应用软件。”

概括地讲,计算机审计依据按其内容可分为以下六类:①国家的行政性法规,国家的法律,党和国家的方针、政策。②部委、局、省、市等行政事业单位代表国家发布和下达的有关各个行业经济核算和经营管理的规定,各单位、各专业依据单位、专业特点所做出的内部经济核算、经营管理的有关规定。③业务和行政一级主管单位、二级主管单位等下达的有关各个单位应用计算机所必须遵守的若干规定,以及各专业部门以本专业性质为对象所制定的有关计算机应用所必须遵守的若干规定。④年度计划,目标责任书,经济合同,业务标准也是进行计算机审计的依据。⑤本单位有关计算机应用及其发展的一些决议、决定,也是进行计算机审计的依据。⑥国际互联网法律和国际电子商务法律等。

二、计算机审计的特点

由于计算机审计包括对桌面与网络化的财会及经济信息系统的审计,以及利用计算机及其网络进行辅助审计,因此,计算机审计存在以下主要特点。(一)电算化信息系统审计的特点

1.审计范围的广泛性

在电算化信息系统中,原始数据一经输入,即由计算机按程序自动进行处理,中间一般不再经过人工干预。这样,系统的合法性、效益性,系统输出结果的真实性,不仅取决于输入数据、操作系统的工作人员,还取决于计算机的硬件和软件等。因此,要确定系统的合法性、效益性,系统输出结果的真实性,不仅要对输入数据、操作系统的工作人员及其输出的资料进行审查,而且还要对计算机的硬件、系统软件、应用程序和机内的数据文件进行审查,而这些内容在传统的手工审计中是没有的。另外,由于电算化信息系统投入使用后,对它进行修改非常困难,代价也非常昂贵。因此,除了要对投入使用后的电算化信息系统进行事后审计外,审计人员还要对系统进行事前和事中审计。由此可见,电算化信息系统的审计范围比传统的手工审计范围更为广泛。

2.审计线索的隐蔽性、易逝性

在电算化信息系统中,审计需要跟踪的审计线索大部分存储在磁性介质上,这些线索是肉眼不可见的,容易被篡改、隐匿,也容易被转移、销毁或伪造。在实时系统中,有些数据只存在很短的时间就被新的数据所覆盖。在审计中,如果操作不当,很可能破坏系统的数据和程序,从而毁坏了重要的审计线索,甚至干扰被审系统的正常工作。

3.审计取证的实时性和动态性

在大中型企事业单位中,电算化信息系统是一个企业不可缺少的神经系统,该系统如果停止工作,有时会直接影响单位的生产经营活动。

例如:有些企业的电算化会计信息系统每天都要结算成本和利润,进行生产动态分析,以供领导进行决策和指挥时参考。在这些企业中,如果该系统停止运行,会给企业带来巨大的损失。因此,对电算化信息系统的审计,往往是在系统运行过程中进行审计取证,审计人员一方面要及时完成审计任务,另一方面又要不干扰被审系统的正常工作,这就给审计工作带来了一定难度。

4.审计技术的复杂性

首先,由于不同被审单位的计算机设备各式各样,有大中型机、微型机,有国产机、进口机等,各种计算机的功能各异,所配备的系统软件也各不相同。由于审计人员在审计过程中,必然要和计算机硬件和系统软件打交道,这些不同势必会增加审计技术的复杂性。其次,由于不同单位的业务规模和性质不同,所采用的数据处理和存储方式也不同。因此,审计时所采用的方法和技术也不同。此外,不同被审单位其应用软件的开发方式、开发工具也不尽相同,对其进行审计的方法和技术也就不一样。(二)计算机辅助审计的特点

利用计算机对手工信息系统或电算化信息系统进行审计,有以下四个明显特点。

1.审计过程自动控制

在审计工作中常常有大量重复性计算,以往审计人员都是借助算盘和计算器进行计算,这样虽然也能提高运算速度,但是,它必须在手工直接操作下才能完成,其中每一步运算都要输入数据和决定进行什么样的操作,这种操作把人严重地束缚在繁重的运算过程中,往往容易使人在疲劳中产生差错。使用计算机则可以对不连续或离散的信息单元进行运算,使其完全按照人们事先编好的程序自动运行。由于计算机运算速度快、精度高,审计过程中大量的分析、计算可方便地由计算机完成。另外,计算机具有的逻辑判断功能,能够对审计所进行的每一步做出正确的判断和选择,保持了审计过程的连续性和一贯性。

2.审计信息自动存储

在审计过程中,审计人员经常需要对审计信息频繁地寄存和提取。在手工审计中,审计人员使用笔和纸来进行记录,既费时又容易出错,而计算机的存储器有足够的容量保存各种审计信息,当计算机运行时,审计信息被加载到存储器中并被存储起来,在需要时,这些信息可被迅速、准确地取出。自动控制和存储技术的结合使计算机辅助审计成为可能。

3.改变了审计作业小组成分

由于目前还缺乏具有各种复合型知识结构的审计人员,所以,在开展计算机辅助审计时,审计小组不可避免地需要计算机技术人员。在审计过程中,要坚持审计人员与计算机技术人员相互结合、取长补短,只有充分发挥他们各自的作用,才能圆满完成审计任务。

4.转移了审计技术的主体

在手工审计中,一些审计人员的技术和经验往往支撑着审计的全过程,利用计算机辅助审计使得审计处理的主体由人变为计算机。相应地,部分审计人员在审计小组中的主导地位也或多或少地发生变化,这种变化集中表现在他们赖以主导审计过程的技术和技巧已被计算机所代替。因此,他们可以把精力放在对一些审计项目内容的规范上或去创新一些新的审计方法。

三、计算机审计的目的

对具体的审计项目,其主要目的各不相同。财务审计的目的是保护资产安全,保证财务信息的质量;财经法纪审计是揭发违法乱纪行为,维护社会利益和国家利益;经济效益审计是通过对被审计单位经济活动的效率、效果和效益等方面进行检查和分析,提出建议,促使其经济效益提高。一般而言,计算机审计的目的包括以下五项内容。(一)保护系统资源的安全和完整

资产和资源包括计算机硬件、软件设备,电子数据处理系统有关的各种文件、程序和数据。计算机审计应能通过对内部控制的研讨、评价,通过符合性测试和实质性测试发现内部控制的弱点、数据处理中的问题,为被审计单位财产物资的安全问题提出建议;通过数据与资产实物核对、查证,证实各项资产的安全性;通过审计,杜绝或防止损坏和盗窃资产及其他资源的现象,为资产的安全提供合理的保证。(二)保证信息的可靠性

计算机审计要通过各种有效的方法、程序,审查和证实系统所提供的信息是否正确,是否恰当、公正和全面地反映了被审计单位的财务状况和经营成果。(三)维护法纪,保护社会和国家利益

审计人员通过对电算化信息系统的审计,对揭露并防止利用计算机进行犯罪、舞弊行为起着重要作用。随着计算机应用的普及及应用水平的提高,计算机犯罪越来越多,其手段和方法也越发高明,给国家和社会带来的损失也越来越大,审计人员努力达到这一目的,具有重大的法律和社会意义。(四)促进计算机应用效率、效果和效益的提高

计算机在管理信息处理方面的运用,技术性强、环境复杂、代价昂贵,被审计单位的计算机应用效率、效益和效果如何,是审计人员应当注意的一个重要方面。计算机处理速度快、计算精度高、存储量大,不表明计算机信息系统的效率高,效率高要求计算机应用系统运行速度快,各项资源得到充分利用,系统提供的报告能便利地被信息使用者和决策者使用;效果好要求系统能提供令各方面用户(包括审计人员)满意的信息服务;效益佳要求系统的成本与系统给被审计单位带来的利益之比是最佳的,一个高效益的计算机系统是耗用最少资源取得所需要的信息输出的系统。通过审计,应能对这些方面进行评价并提出改进建议。(五)促进内部控制系统的完善

同手工审计一样,计算机审计也是以研究和评价系统的内部控制系统为基础的,电算化信息系统比手工操作的信息系统更为复杂。没有完善的内部控制,它所产生的信息就难以保证其可靠性,就难免发生舞弊、犯罪行为;反之,则可以减少或杜绝舞弊和犯罪的机会和可能性。计算机审计人员研究和评价电算化信息系统的内部控制,一方面为进一步确定审计性质、范围和时间提供依据,另一方面通过了解内部控制的强弱,为改善内部控制提供意见,促使被审计单位强化电算化信息系统的内部控制。

四、计算机审计的内容

为达到以上目的,审计人员需进行多方面的审计活动。从审计对象的含义来看,计算机审计包括审计项目管理系统的计算机辅助审计、手工会计系统的计算机辅助审计和会计信息系统审计三方面的内容。(一)审计项目管理系统的计算机辅助审计

审计项目管理系统包含的内容有:审计项目计划、审计工作底稿、审计报告、审计意见、审计决定、审计档案、审计案例等,都可以由计算机统一管理。计算机可以将上述内容以机器可读的形式存储在磁性介质上,将各种信息重新组织、重新分类,进行各种所需格式的数据处理,供审计人员需要时随时调用和打印输出,以提高审计工作的效率。(二)手工会计系统的计算机辅助审计

从原理上来说,手工审计要做的审阅、复核、核对、比较、分析、计算等工作都可以利用计算机辅助执行,但是,在手工会计条件下,要利用计算机辅助审计,必须把有关资料输入计算机,才能由计算机进行有关的处理。因此,只有在计算机处理资料所省下的时间大于输入有关资料所耗费的时间,利用计算机审计的效益大于其成本的条件下,计算机辅助审计才是可取的。一般在逐一浏览有关资料中可以完成的审查工作,不需要计算机来完成,而需要做比较繁多的计算,但需要输入的数据不太多,或者数据输入一次,可由计算机分别做多项审计处理的审查工作,可以考虑利用计算机辅助审计。例如,利用计算机来审查被审单位材料成本差异的处理情况;利用计算机辅助审计抽样,利用计算机进行经济效益指标计算等。(三)会计信息系统审计

由于审计的具体目的不同,审计的内容也有所不同,但总的来说,会计信息系统审计包括内部控制系统审计、系统开发审计、应用程序审计、数据审计等内容。

1.内部控制系统的审计

对电算化信息系统的内部控制系统进行审计,是为了在对内部控制系统进行审计的基础上,对电算化信息系统的处理结果进行审计,从而加强内部控制,完善内部控制系统。

在了解了电算化信息系统的内部控制系统后才能对其评审。电算化信息系统的内部控制系统由两个子系统构成:一般控制和应用控制。一般控制是对系统运行环境方面控制,为应用程序的正常运行提供外围保障,包括组织控制、硬件和系统软件控制、系统安全控制、系统开发与维护控制等方面;应用控制是针对具体的应用系统的程序而设置的各种控制措施。由于各应用系统有不同的目的、任务和运行规律,因此,需要根据特定的应用系统设置相应的控制措施。尽管各应用系统所需的控制措施不同,但每个应用系统均由输入、处理和输出三个部分构成,所以可以把应用控制分为输入控制、处理控制和输出控制。

2.系统开发审计

系统开发审计是指对电算化信息系统开发过程进行的审计,是一种事前审计,它具有积极的意义。内部审计人员最适宜进行这种审计,因为,他们在地理、人事关系、本单位的地位等方面有很多有利条件。

系统开发审计实际上是审计人员参与系统的分析、设计和调试。审计人员可以借此熟悉系统的结构、功能和控制措施,了解系统控制的强弱。设计人员可以参考审计人员的建议,使系统更可靠,更具有可审性。审计人员可以在设计过程中嵌入审计程序段,便于今后开展审计。

系统开发审计一方面要检查开发活动是否受到恰当的控制,以及系统开发的方法、程序是否科学、先进和合理;另一方面,还要检查系统开发过程中是否产生了必要的系统文档资料,以及这些文档资料是否符合规范。

3.应用程序审计

计算机是人与机器联系的纽带,对计算机应用程序进行审计,一是要测试应用控制系统的符合性,即对嵌入应用程序中的控制措施进行测试,看它们是否按设计要求在运行中起作用;二是通过检查程序运算和逻辑的正确性达到实质性测试的目的。

应用程序决定了会计数据处理的合规性、正确性。对应用程序的审计,可以对程序直接进行审查,也可以通过数据在程序上的运行进行间接测试。对程序进行直接审查,可借助流程图作为工具;在对程序进行间接测试时,往往需要设计测试数据,测试数据可以是真实的,也可以是模拟的数据。

4.数据审计

财务软件的发展和普及使原来由账簿记录的财务数据,现在已经越来越多地改用计算机来处理。对用计算机管理的财务和经营管理数据进行审计就涉及对由各类信息系统管理的电子数据的审核。

首先是如何获取会计电子数据。要对被审计单位输出的会计信息的真实性、合法性进行评价,必须对数据文件进行审计。被审计单位使用的财务软件不同,数据文件的格式也不同,审计人员首先应了解确定被审计单位的数据库类型,常用管理软件是在SQL Server、Access或Oracle等数据库环境下开发的,审计人员就能够方便地从数据库中将所需数据提取到审计软件中。

然后对取得的数据进行分析整理。现代审计要求审计人员对企业的会计资料进行较多的分析,计算机的优势在于能对数据进行高速、正确地运算处理,有助于提高审计工作的效率,降低审计成本。既提高了审计的正确性与准确性,也使审计人员从冗长乏味的计算工作中解放出来,使审计人员可以集中精力于那些需要专业判断的部分。

审计人员在进行审计时,要对电算化系统提出全面的审计意见,往往需要同时涉及上述各个方面。在对各方面进行审计评价后,得出审计结论。

第三节 计算机审计的方法与步骤

计算机硬件、软件的发展及管理信息系统的电算化,引起了计算机审计的发展和变化,这可以从计算机审计方法上反映出来。对电算化信息系统审计的基本方法可归纳为三种:绕过计算机(Auditing Aroundthe Computer)审计、通过计算机(Auditing Throughthe Computer)审计、利用计算机(Auditing Withthe Com-puter)审计。

一、计算机审计的基本方法

(一)绕过计算机审计阶段

在20世纪50年代中期至60年代中期,电算化管理信息系统还处于起步阶段,系统结构和应用环境简单,计算机没有得到广泛深入的应用,审计人员还未更新知识,未掌握计算机技术,因此,他们通常绕过计算机进行审计。

绕过计算机审计是指审计人员不审查机内程序和文件,只审查输入数据和打印输出资料及其管理制度的方法。这种审计方法的理论基础是“黑箱原理”,审计时,审计人员追查审计线索直到输入计算机,然后核对计算机的输入与输出,如果输入与输出不匹配,则可以肯定计算机的处理过程是错误的。

绕过计算机审计有如下优点:(1)审计技术简单。绕过计算机审计与电算化以前的审计方法没有多大区别,即便审计人员没有计算机知识也可以进行审计,它是计算机审计的初级阶段,在审计人员对计算机知识了解不多的情况下广泛采用这种方法。(2)较少干扰被审系统的工作。由于采用的是绕过计算机的审计方法,审计人员既不需要使用被审系统的计算机,也不需要查看被审系统的程序、计算机硬件,因此,也就不会干扰被审系统的工作,从而使审计工作易于得到被审单位的理解和支持。

但是这种方法的缺点也是很明显的。(1)只有打印文件充分时才适用。绕过计算机审计的方法首先要求系统的打印文件必须充分,也就是说,审计所需要的线索和证据都必须打印齐全。但我们知道,计算机具有强大的数据存储能力,而打印出来的信息只是为数有限的一部分,主要是必须上报的报表和内部管理所需的报告,很可能审计中需要检查的一些数据文件没有打印出来。因此,在某些电算化系统中,绕过计算机所能取得的肉眼直接可见的审计线索和根据是不充分的。(2)要求输入与输出联系比较密切。输入数据进入计算机经过简单的处理以后,即可打印输出。例如,将记账凭证输入计算机,经过简单的分类汇总,编成日记账后打印输出。这样,输入的记账凭证和输出的日记账并未经过很多的数据处理,审计人员很容易将输入的记账凭证和输出的日记账进行核对,如果存在问题,也容易发现。但是,如果输入数据经过多次计算和处理,反复进行分类、汇总、分配、归集等处理以后,就不可能从直观上看出输入与输出之间的联系。例如,在成本核算系统中,只看输入的费用数和其他输入数据,再和输出的产品成本计算表进行比较,就很难确定成本报表的正确性。因此,在有的电算化系统中,单纯采用绕过计算机审计的方法,是不能取得足够的审计证据的。(3)审计结果不太可靠。绕过计算机的审计方法,只能依靠被审单位打印出来的书面资料进行审计,但这些资料是否真实,审计人员并没有把握。因此,审计人员如果过分依赖被审单位提供的书面资料进行审计,就有可能发生错误的判断。(二)通过计算机审计阶段

电算化管理信息系统以及计算机技术的复杂化,使得向计算机输入的数据与从计算机输出的数据越来越缺少一一对应的关系。而且,在某些系统中,采用了联机数据输入技术,输入数据时并没有产生和留下原始凭证;在另一些系统中,由于采用实时文件更新技术,各原始数据在输入计算机后,立即就加以处理,数据文件随时都在更新,其打印结果一般具有滞后性;此外,存储于计算机的数据,只有在例外情况下才打印输出,即便有原始凭证,也没有与之对应的输出信息。所有这些情况,都使审计人员不得不“进入”计算机系统,以确定数据处理、内部控制、文件内容的正确性和可靠性。

通过计算机审计是指除了审查输入和输出数据外,还要对计算机内的程序和文件进行审查。这种方法是以计算机系统为基础的审计,计算机系统成了审计的对象。通过对系统的处理和控制功能的审查,确定凭证和账务文件审查的范围和数量。

通过计算机审计具有如下优点:(1)审计结果较为可靠。由于这种方法要求审查计算机内的程序和文件,这样就可以把系统进行数据处理的方法和原则审查清楚,从而得到对系统进行评价的可靠证据。(2)审计独立性较强。通过计算机的审计方法直接对被审单位的各个运行部分进行审查,而不完全依靠系统的运行结果进行审查,因而较少依赖被审单位提供的书面资料,审计的独立性较强。

这种方法的缺点是:(1)审计技术较复杂。通过计算机的审计方法,要求审计人员具有较多的计算机知识,要了解被审电算化系统所使用的操作系统、程序设计语言、数据的结构、系统的主要功能等,要使用一定的计算机辅助审计技术进行审查,这样对不懂计算机的审计人员有一定的难度。(2)审计成本较高。通过计算机审计,要使用计算机辅助审计技术,往往要购置或开发计算机辅助审计软件,要占用被审系统的工作时间,有时还要聘请计算机专家参加审计,这无疑会增加审计成本。(三)利用计算机审计阶段

当审计人员掌握了一定的计算机知识及其应用技术之后,他们发现许多审计工作可以由计算机来完成,而且可以提高审计效率,从而使计算机成为他们的一种有力的审计工具。

利用计算机审计是指利用计算机的设备和软件进行审计。计算机是一种先进的电子设备,被审单位可以利用计算机处理经济业务,审计人员也可以利用计算机进行审计。因此,计算机对审计的影响并不只是增加了审计的难度,在审计人员掌握了计算机技术后,还可以大大地提高审计效率。

审计中所使用的计算机程序包括审计软件和一些实用程序等。审计软件有专用审计软件和通用审计软件。专用审计软件是为了对某个特定的系统或某个审计项目进行审计而研制的;通用审计软件可适用于多种审计工作,利用这些审计软件,可以帮助审计人员对存储在计算机内的程序和文件进行审查。除了审计软件外,审计人员还可以利用一些实用程序、数据库管理系统、被审单位的子模块(如查询、财务分析等)进行审计、进行审计抽样、打印函证、审计数据中例外情况的数据、进行实质性测试中的趋势分析、进行预算数与实际数的比较、本期与上期实际数据的比较等工作。利用计算机审计的优缺点与通过计算机审计的优缺点基本相同。

上述三种基本方法各有一定的适用范围。一般来说,绕过计算机审计的方法适用于比较简单的系统,而通过和利用计算机审计,则适用于复杂的系统。通过和利用计算机审计是密切相关的,因为通过计算机审计往往也利用计算机的硬件和软件,因此,第三种方法也可以看作是第二种方法的延伸。在计算机应用比较普及、应用水平较高的国家和地区,审计人员多数采用通过计算机审计技术和利用计算机审计技术,而在计算机应用较为落后的国家和地区,则仍然主要是利用绕过计算机审计的技术。

二、计算机审计的基本步骤

与传统手工审计一样,计算机审计过程可分成接受业务、编制审计计划、实施审计和报告审计结果等四个阶段。其中重点是计算机审计实施阶段,包括计算机信息系统的内部控制评价和对计算机系统所产生的会计数据(信息)进行测试评价。计算机审计过程具体可细分为以下主要步骤。(一)准备阶段(1)了解企业基本情况,与企业的有关人员初步面谈,查阅其计算机会计系统的基本资料,归纳出被审计系统的特点和重点。(2)组织审计人员和准备所需要的审计软件。根据被审计单位计算机会计系统的构成特点和复杂程度,可选择安排有计算机审计经验的注册会计师担任项目负责人,组成审计小组,准备审计软件。如果对某审计项目需要特殊的审计软件,还必须组成一个专门小组预先开发好所需要的软件,以保障审计工作顺利开展。(二)内部控制的初步审查

初步审查的目标是使审计人员了解计算机信息系统在会计工作中的应用程度,初步熟悉计算机会计系统的业务流程和内部控制的基本结构,包括从原始凭证的编制到各种会计报表的输出的整个过程。

初步审查一般采用如下的检查和会谈:(1)审阅上期的审计报告和管理建议书,初步了解上期系统的弱点。(2)检查计算机会计系统的文档和系统使用手册,了解系统模块结构、名称、数据库以及相应的功能。(3)检查输入数据的基本依据(电子数据和有关的原始凭证),初步了解被审单位会计原始数据产生的内部控制制度的基本情况。(4)针对一些基本情况和上述检查发现的问题,与会计人员、系统开发和维护人员、程序员面谈,以便得到与问题相关的背景资料。(5)初步审查数据处理流程图,了解原始数据的起点、文件名称和系统内的代码、数据经过的单位或部门、数据的终点和保管的措施,以及对产生和使用数据的单位的内部控制,并制作必要的简明数据流程图。

同时,审计人员还要对下列资料进行了解:(1)系统安装日期、计算机硬件系统的型号、机房的基本管理设施、系统管理制度、系统的负荷量(数据处理量)。(2)系统的组织结构、各级管理的职责,以及计算机系统的负责人和系统管理人员。(3)系统内各应用子系统的控制类型和主要经济业务等。(三)初步审查结果的评价

初步审查后,审计人员必须从整个会计信息系统内部控制的角度出发,评价初步审查的结果,确定内部控制的可行性程度,并做出结论。其结论可按以下三种方式之一做出:(1)退出审计。由于缺乏实施审计的技术或内部控制不可依赖等许多问题,审计人员可针对这些问题提出一些管理建议并退出审计。(2)对一般控制和应用控制进一步详细地审查。这一方式是在初步审查表明内部控制有可依赖性的情况下采取的,实质性测试可做一些简化。(3)决定不依赖于内部控制。做出这一决定可能有两种原因:一是直接进行实质性测试更容易达到预定的审计目标;二是因为计算机内部控制系统可能不完善,各应用系统的用户自己增加了一些必要的补充控制,对补偿控制进行测试更易于达到审计的目的。

初步审查是通过应用面谈、实地检查观察、阅读内控制度和有关系统分析设计的文档、填制内控制度调查表等方法取得初步审查结果,并对这些结果作出评价,为下一步应当怎样审计提供必要信息。(四)内部控制的深入审查

与初步审查一样,审计人员要判断是否退出审计,或是依赖系统的内部控制进入下一阶段符合性测试,或是直接进入实质性测试过程。对于某些应用子系统,审计人员可决定依赖于其内部控制,也可采用其他更适宜的审计过程。(五)符合性测试阶段

符合性测试阶段的目标是寻找证据,确定计算机系统的内部控制制度是否在发挥作用,以及实际存在的控制制度是否可信赖。除了在前面审查中所用手工收集证据方法仍可用外,在这一步骤,审计人员基本上是用计算机辅助收集证据和验证审计计划中已提出的各项控制制度是否可依赖。(六)用户补偿控制的审查和测试

在某些情况下,审计人员可能决定不依赖计算机系统的内部控制,因为应用于系统的用户采用了一些补充控制来补充原控制制度的弱点。(七)实质性测试

实质性测试阶段的目标是取得充分的证据,使审计人员能做出计算机系统在各重大方面是否偏离公允性或存在哪些弱点的最后判断,实质性测试可分为六类:(1)出错处理的测试;(2)数据质量的测试;(3)数据一致性的测试;(4)实物盘点与计算机系统中的数据比较测试;(5)利用外部数据资源对系统内的数据进行的测试;⑥分析性检查测试。(八)全面评价和编制审计报告

通过上述的审计步骤,审计证据和对各项目的初步评价结果已经形成,但这些证据和初步评价的结果是比较分散的。全面评价的目的是将收集到的审计证据和初步评价结果进行综合,筛选出重要的证据和主要的问题,将这些问题和证据作为重点进行综合评价。评价的范围包括对会计数据的公允性、内控制度的健全性和有效性,以及计算机会计系统的效率性和效益性。在评价结果的基础上编制客观公正的审计报告和管理建议书。在报告提供给委托人之前,还应当征求被审计单位的意见,必要时对重大的问题进行追加审计,以保证审计报告和管理建议书有更高的可信度。编制审计报告和建议书的基本过程和方法都与传统审计一样。但应当注意的是,应用计算机进行审计,其审计结果汇总评价的许多方面可由计算机自动完成,甚至最终的审计报告也可由计算机辅助完成。

审计任务完成后,为了便于今后查考和复审的需要,应按照“谁审谁主卷”的原则,除必须将审计工作的所有纸性资料归类存档外,还必须把计算机内此次审计的资料分别保存到磁性介质上,并按磁性文件保管要求进行保管。

第四节 计算机会计信息系统对审计的影响

电子数据处理并不改变审计的总体目标和范围。但是,计算机的使用改变了财务资料的处理和存储,人们再也无法直接看到会计常见的凭证、账册、报表等,而且系统的处理程序、组织方式、审计线索等都发生了重大变化,如:肉眼可见的审计线索减少、会计核算过程不直观、控制弊端的方法不严密及计算机本身所带来的问题。总之,手工会计信息系统转变为计算机会计信息系统后,使传统的手工审计受到了很大影响,归纳起来,对审计的主要影响有以下几个方面。

一、对审计线索的影响

审计线索对审计来说是极其重要的。传统的手工会计系统,审计线索包括凭证、日记账、分类账和报表。审计人员通过顺查或逆查的方法来审查每一笔记录,检查和确定其是否正确地反映了被审计单位的经济业务,检查企业的财务活动是否合法。而在电算化条件下,客观上存在着审计可视线索自然消失的趋势。电算化信息系统通过改变与审计线索有关部门的某些因素(如数据存储介质、存取方式、处理程序等),会对审计线索产生以下影响:(1)从经济业务数据进入计算机到会计报表的输出都由计算机按程序指令自动完成,各项处理没有直接的责任人。(2)纸性的凭证、账簿和报表由磁性介质上的代码代替。(3)保存在磁性介质上的数据可能被篡改而不留痕迹,除非依靠计算机和应用程序,否则无法阅读。(4)计算机记录的顺序和数据处理工作很难直接观察等。

这些影响的结果是审计人员难以像以前那样对经济业务进行跟踪。为了继续跟踪审计线索,顺利完成审计任务,在电算化会计系统的开发和设计阶段,开发者已注意使系统在处理问题时留下可跟踪的审计线索,另外,审计人员还要学会从磁性文件中找审计线索。

二、对审计技术手段的影响

过去审计人员进行审计都是手工操作的,但随着计算机会计信息系统广泛的应用,审计人员若仍以手工操作方式进行审计,显然难以达到目的。因此,审计的技术手段也应由手工操作向电子计算机操作转变。当然这并不是说在审计中能用电子计算机完全替代手工操作,而是审计人员应该掌握电子计算机科学及其应用技术,把电子计算机当作一种有力的审计工具来使用。

三、对会计系统内部控制的影响

现代审计是审计人员对会计系统的内部控制进行审查和评价,以此作为制定审计方案和决定抽查范围的依据。由于会计系统实现了电算化,系统出现了新的特点,因而也带来了新的风险。手工会计系统原有的内部控制已不能适应电子数据处理的新特点,不能有效地降低会计电算化系统特有的风险。例如:在会计电算化系统中,会计信息的处理和存储高度集中于计算机,使手工系统中的某些职责分离、互相牵制的控制失效,计算机的数据和程序的修改在没有控制的情况下,完全可以不留任何痕迹地进行,计算机容易受到“黑客”和“病毒”的侵袭,导致内部控制的失效。为了系统的安全可靠,为了系统处理和存储会计信息的准确完整,必须考虑会计电算化系统的特点,针对其固有的风险,建立新的内部控制。这些内部控制除了有关电子数据处理的制度、规定和人工执行的一些审核、检查外,还包括了不少建立在系统应用程序之中,由计算机运行时的程序进行的控制。在会计电算化条件下,审计人员必须研究电算系统的内部控制,掌握其审计方法。对于程序控制,审计人员要利用计算机辅助审计技术进行审计。

四、对审计技术方法的影响

与传统手工会计系统相比,计算机会计信息系统在许多方面发生了变化,审计人员必须采用新的技术方法才能适应这种变化。例如:传统的记账方法是每登记一笔账,便可以在账上看到一笔记录,而电子计算机却不能,一般是定期打印,供人们使用。平时这些记录只能在计算机上阅读,若要几笔业务对照来看,则很难做到。这种情况下审计取证的方法、对证据进行检验和审核的方法必须进行相应的改变。又如:传统的手工记账一般可从字迹上辨认登记人以明确责任,而计算机只能提供统一模式的输入资料,无法从记录上辨认登记人,这样,计算机中的记录可轻易被改变而不留痕迹。这就要求审计人员对已经实现了会计电算化的单位的内部管理、控制制度、职责的划分情况进行审查和评价。

五、对审计标准和准则的影响

各国的审计界在已往的审计工作中已经建立了一系列的审计标准和准则,如审计人员标准、现场审计标准、审计报告标准、职业道德规范、审计效果衡量标准、财务审计标准、经济效益审计准则等。但是,由于审计的对象有了重大变化,审计线索、审计方法及审计手段也受到影响而发生变化,过去审计标准和准则中的某些已不再适用,而又缺乏与新情况相适应的新的审计标准与准则,如电算化审计人员培训考核标准、电算化管理信息系统开发审计准则及其内部控制审计准则、审计应用软件标准等都有待建立。

六、对审计人员的影响

审计人员的结构和素质对计算机审计质量起着决定性的作用。由于电算化管理信息系统的环境比手工处理的管理信息系统更为复杂,审计线索、内部控制、审计内容和审计技术都发生了变化,如果审计人员只依靠过去的知识和技能是根本不能胜任工作的。因此,审计人员要成为具有全面知识结构的复合型人才,他们不仅要有丰富的会计、审计、经济、法律、管理等方面的知识和技能,熟悉审计的政策、法令法规及其他审计依据;而且还要熟练掌握计算机硬件与软件的应用技术、熟悉计算机会计信息系统的结构和运行原理、有能力对计算机会计信息系统的内部控制做出适当的评价、掌握利用计算机进行分析性审计的技能和审计软件的开发技能。

七、对审计内容的影响

在会计电算化条件下,审计的监督职能并没有发生变化,但由于电算化的特点,审计内容却发生了相应的变化。在电算化会计系统中,各会计事项都是由计算机按程序进行自动处理,它可以使因疏忽大意等原因造成的错误不致发生,但若系统应用程序有错误或被人篡改,计算机则只能以错误的方法处理所有的会计事项,后果不堪设想;若应用程序中被非法嵌入舞弊程序,则可帮助犯罪分子贪污国家或集体的财产,或在某种情况下使系统处于瘫痪。电算化会计系统的特点及其固有的风险,决定了电算化条件下审计的内容包括对电算化会计系统的处理和控制功能进行审查,这是手工系统下审计所没有也不能审查的内容,这就要求审计人员具有计算机会计和计算机的知识和技能来进行审查。对电算化会计系统的审查着重审查系统的应用程序,审查其处理功能是否符合会计制度及其有关规定,是否能合法正确地处理各项业务,应用程序中的控制程序是否恰当有效,是否能达到控制目的。审计人员如果不懂计算机知识就无法进行审计工作。

第二章 电算化会计信息系统内部控制的审计

计算机会计信息系统内部控制的特点是手工内部控制和计算机内部控制相结合。在计算机会计信息系统中,内部控制的基本目标和传统手工会计环境下的内部控制大致一样,但是控制的内容、重点、形势、范围和技术都发生了显著的变化。传统手工环境下,会计信息系统内部控制着眼于责任分工和书面凭证的相互验证;在计算机会计信息系统中,内部控制除了必要遵循的规章制度外,绝大部分控制手段都是以计算机程序的形式存贮在电算化系统中自动实现的。所以,内部控制是否恰当有效,直接影响到系统输出信息的真实性、正确性。另外,由于计算机会计信息系统运行的高效性、处理的重复性和连续性,如果程序控制不当,将会产生比手工环境下更为严重的后果,成为滋生计算机信息系统舞弊和犯罪的温床。因此,建立一整套适合会计电算化系统的内部控制制度,就显得尤为重要。

第一节 计算机会计信息系统的内部控制概述

随着计算机会计信息系统的广泛应用和功能的日益完善,社会经济活动对计算机会计信息系统的依赖程度日益增加,而会计信息系统的工作任务,以及计算机系统和通讯设施的内在本质特征使得会计信息系统面临着各种风险。风险的存在威胁着计算机会计信息系统的运行过程,影响着计算机会计信息系统的输出结果,因而要求企业加强对计算机会计信息系统的控制。了解计算机会计信息系统的内部控制,应当从电算化进程对会计信息系统的影响入手,首先考察计算机会计信息系统内控的必要性、特点、目标和分类,明确内控的实际意义,之后才能针对系统可能的风险因素,建立有效的框架性控制体系。

一、计算机会计信息系统对传统内部控制制度的影响

会计信息系统实现电算化后,会计内部控制的总体目标和原则虽然不变,但手工会计在长期实践中总结出来的一整套内控制度和方法,随着会计信息系统电算化进程的推进已经逐渐落伍。会计电算化带来的数据处理方式、信息存贮模式和会计工作组织的改变使企业会计工作的面貌发生了重大变革,急需重新建立一套新的适应电算化会计环境的内部控制制度。会计电算化对内部控制制度的影响是全方位的,从控制的形式、内容、重点到范围乃至具体的控制技术,无不呈现出和传统内控完全不同的特点。(一)内部控制内容的变化

计算机会计系统比手工会计系统更加复杂,技术性更高。在手工会计系统中会计人员分掌职权,之间的相互牵制和监督通过分工来实现,不仅局外人很难插手,而且相互之间也不能越权处理。但是在计算机会计系统中,操作人员都是通过计算机来完成数据的输入、处理和输出,这就存在一个如何识别合法操作员以及他所具有的操作权限的问题,而且识别和控制都由计算机负责,不能仅靠分工来实现。由于机内数据极易被不留痕迹地大量删除、破坏和篡改,这使计算机内文件的安全保护、备份、禁止非法操作变得极为重要。同时,防止计算机舞弊和防止病毒破坏也成为会计内部控制的一个重要内容。(二)内部控制重点的变化

在计算机会计系统中会计核算工作由计算机集中完成凭证数据录入后会计软件能迅速、毫无差错地分别记入各种账簿,并据此编制会计报表。只要输入的会计数据是正确的,其输出的会计信息也必然是正确的。这使手工会计方式下各种账簿之间和账簿与报表之间的相互核对变得毫无意义。企业内部数据控制的重点转移到凭证的填制、录入和审核环节,只有严把会计数据输入的质量关,才能保证输出会计信息的有用性和可靠性。(三)内部控制形式的变化

计算机会计系统内部控制的形式主要是人机控制,改变了手工会计条件下单纯由人工控制的局面。人机控制是由人和计算机共同完成的,其效果比单纯的人工控制更严密、更准确,可以避免一些人为的舞弊和差错。计算机的应用使会计内部控制的许多具体方法和措施可以编制成计算机程序进行控制,如凭证序号的控制、凭证类型的控制、口令及操作权限控制、时间控制等等,计算机控制克服了人工控制的随意性,保证了控制的严格可靠。(四)内部控制技术的变化

计算机在会计中的应用不仅大大提高了会计核算的质量和效率,而且还为内部控制提供了先进的控制技术,使会计内部控制的许多具体方法和措施可以编制成计算机程序进行控制,如软件保密控制、数据的正确性校验、操作权限控制等。但是任何事物有其利必有其弊,计算机亦是如此,它既可以提供先进的控制技术强化内部控制,又会给舞弊者留下可乘之机。(五)内部控制范围的变化

手工会计的内部控制主要是对会计人员及其工作信息处理方法和程序进行控制,而在计算机会计系统环境下,由于系统建立和运行的复杂程度提高了,因此内部控制的范围也相应地扩大,包含了手工会计系统中所没有的控制,如对计算机硬件、软件以及相关设备的控制、网络系统安全的控制、系统权限的控制、修改程序的控制等。同时,网络技术和电子商务在财务软件中的广泛应用,对计算机会计系统的组成结构和运行模式产生了深远的影响,要实现远程报账、远程支付、远程报表、远程审计等一系列功能,其相应环节的内部控制变得十分必要,内部控制的范围已经延伸到财务软件开发过程、系统转换过程、远程网络系统等方面。

二、计算机会计信息系统内部控制的特点

会计信息系统实现电算化,将手工条件下的大部分会计核算工作,如记账、算账、过账、对账、计算产品成本、编制报表等,均集中在计算机信息系统中由特定会计软件来完成。原来手工条件下的会计部门工作基本上演变为只负责对原始数据的收集、生成、审批、编码和信息处理结果的分析和保管方面。所以在电算化条件下,会计处理工作的全部流程可以概括为图2-1所示。图2-1 计算机会计信息系统的会计处理流程

计算机造成了会计核算工具和手段的变革,不可避免地使大部分传统内部控制制度在内容上和形式上都发生了变化,在客观上要求采用新的内部控制理念、控制手段和技术,转移内部控制的重点,改变内部控制方法和措施。与传统手工系统内部控制相比,计算机会计信息系统内部控制的特点主要表现在:(一)内部控制的重点由业务部门向信息系统部门转移,由单纯手工控制向计算机控制为主的人机控制转移

传统手工内部控制制度主要进行两个方面的控制。一方面是业务操作控制,即避免不相容职务的兼任,将其分离以互相牵制,基本目的是防止舞弊,其控制方式是手工控制方式;另一方面是数据处理控制,即将数据量适当分散,以换得适当的处理进度,同时划分数据处理方法。通过对相同源信息的不同处理方法处理结果的比对,对会计数据加以评价,进而筛选出能如实表达会计信息的正确数据,控制方式是手工方式。

以上内部控制的基本思想具体表现为按照职能划分出不同的会计岗位,这些岗位的职责除了完成业务操作以外,还要对操作结果形成的会计数据进行后续处理。这时的控制重点在组织结构上是各会计职能岗位,在控制方式上是手工方式。

但是在计算机会计信息系统中:首先,数据处理工作全部由计算机完成,如果环境方面无异常情况,数据处理的进度和正确性是能够得到保障的,无须考虑数据处理量和人为划分处理途径。传统的数据处理职能将合并,传统的单纯的核算岗位将被取消,但是传统的业务部门及相互牵制体制应当予以保留。由于数据处理的集中化,需要增加计算机操作、数据录入、软硬件维护、系统管理等等新的岗位以充实信息系统部门,内部控制的重点自然要从业务部门向信息系统部门转移。

其次,会计信息系统实现电算化后,特别是电子商务和网络经营出现后,传统的业务部门已基本实现电子化操作,原有的数据采集逐步向自动化发展。诸如电子条码扫描、电子票据结算等等电子商务处理工具层出不穷。为了避免在这些环节出现差错和舞弊,必须加强相关内部控制,仅仅强化原有的手工控制是远远不够的。内部控制的重点已经由手工控制方式向以计算机控制为主的人机相互监控转移。(二)内部控制的关键点在数据输入环节

传统的手工会计信息系统将会计信息输入系统和系统内加工处理会计数据均由人工进行,如果输入的数据有误,在输入和处理两个环节上都有可能被发现并加以纠正,保证输出会计信息的正确性。

计算机会计信息系统实现电算化后,全部会计数据处理由计算机集中完成,凭证数据一次录入后在特定程序下快速准确地生成各种账簿和报表,人工已经无法再进行干预。如果凭证数据和会计软件是正确的,输出的会计信息必然正确;如果凭证有误,而且未能在输入时发现,也没有在审核凭证时检查出来,那么,此时尽管程序的处理过程依然正确,输出的还是错误的信息。数据处理的人工不可干预性,使得可以发现凭证错误的环节减少了,降低了发现凭证错误的概率,数据的正确性控制完全转移到系统输入数据的真实可靠性和正确完整性的控制之上,数据输入成为保证系统输出正确的关键环节。(三)内部控制在技术上面临更多的挑战

计算机在会计中的应用不仅大大提高了会计核算的质量和效率,而且还为内部控制提供了先进的控制技术,使会计内部控制的许多具体方法和措施可以编制成计算机程序进行,例如软件保密控制、数据的正确性校验、操作权限控制等,强化内部控制的技术手段。但是任何事物有其利必有其弊,计算机程序在强化内部控制手段的同时,也给计算机犯罪和舞弊者留下可乘之机,使他们可以通过设定一定的计算机程序来破坏内部控制。另外,在计算机会计信息系统中,会计数据的主要存储形式是保存在磁盘上的磁性文件,它们极易被大量删除、篡改和破坏,而且不会留下任何痕迹和审计线索,这就对磁性文件的安全保护、备份和恢复、禁止非法操作等工作提出了新的要求。因此,计算机会计信息系统的内部控制在技术上面临更多的挑战。(四)内部控制范围大大扩展,已经不仅仅是对会计信息处理流程的监控

在手工会计下,内部控制主要是对会计人员及其工作,信息处理方法和程序进行控制。而在计算机会计信息系统下,由于系统建立和运行的复杂性,内部控制的范围相应扩大,包含了手工会计系统中所没有的控制,如对计算机硬件、软件以及相关设备的控制,网络系统安全的控制,系统权限的控制,修改程序的控制等。同时由于网络技术和Internet在财务软件中的广泛应用,对计算机会计系统的影响将是深远的,要实现远程报账、远程支付、远程报表、远程审计等一系列功能,其相应环节的内部控制变得十分必要,内部控制的范围延伸到财务软件开发过程、系统转换过程、远程网络系统等方面。(五)内部控制模式转向管理、技术一体化的综合控制模式

手工方式的内部控制以手工控制为主,以制度拟定、执行、评价的软性管理为主。电算化实现后,可以利用先进的计算机技术,将内部控制的许多方法和措施编成计算机程序进行严格控制,如数据正确性校验、口令以及操作权限控制、操作过程自动记录等等。这种控制比人工控制更为严格可靠,其保障是先进的计算机技术,通过管理制度加以实施,两者逐渐融合,使内部控制由单纯的管理模式转向管理、技术一体化的综合控制模式。

三、计算机会计信息系统内部控制的分类

计算机会计信息系统内部控制的类别按不同的标准可以划分成以下几种类型。(一)按实施的范围和对象分类

按控制实施的范围和对象分,信息系统的内部控制可分为一般控制(General Control)和应用控制(Application Control)。国际上常见的教科书在讨论信息系统的控制时多按这种分类,本书在下两节也将按这种分类来讨论信息系统的控制措施。

一般控制是指对计算机信息系统的构成要素(包括人、计算机、通信线路、系统软件、应用程序、数据文件等)和系统环境(包括组织结构、系统开发与维护、环境安全等)实施的控制。具体包括组织控制、系统开发和维护控制、安全控制、硬件以及系统软件控制以及操作系统控制。一般控制适用于整个计算机信息系统,它为信息系统提供良好的工作条件和必要的安全保证,是应用控制的基础。

应用控制是指针对信息系统的各功能子系统(或称功能模块)的输入、处理和输出过程中的敏感环节和控制要求所实施的控制。应用控制包括输入控制、处理控制和输出控制。不同的子系统(如账务处理、工资核算、固定资产管理等等)其敏感环节和控制要求不同,因此应用控制也不尽相同。应用控制用以确保特定的子系统的输入、处理和输出的安全、正确。应用控制必须在有效的一般控制基础上才能发挥作用。(二)按控制的目标分类

按控制实施的目标进行分类,计算机信息系统的内部控制又可以分为预防性控制(Preventive Control)、探测性控制(Detective Control)以及纠正性控制(Cor-rective Control)。

预防性控制是指为预防和阻止信息系统可能出现的各种差错或舞弊行为的发生而采用的各种控制措施。其控制目标是防止错弊的发生。例如,在计算中心设置门卫和大门上锁,终端加锁,系统用户要经注册,并设置密码权限控制,系统程序员、操作员、数据库管理员、文档保管员要职责分离等等都是预防性控制的一些典型例子。

探测性控制是指为及时发现系统内正在或已经发生的各种差错和舞弊行为,以便能及时制止和纠正之而采取的各种控制措施。其控制目标不是预防而是及时探测并发现错弊的情况。例如装设电子探测器;对处理结果进行平衡检验、合理性检验;系统设置操作日志,并有安全员经常检查日志等,这些都是探测性控制措施的例子。

纠正性控制是指为了对各种已经发生于系统内的差错和舞弊行为,在检测出来后能及时予以纠正而采取的控制措施。其控制目标主要是及时发现并纠正系统中已发生的差错。例如使用UPS电源、自动灭火系统、系统状态检测与数据自动恢复等都是纠正性控制措施中的例子。(三)按控制实现的方法分类

按控制实现的方法来分,计算机信息系统的内部控制可分为程序控制(Pro-gram Control)和人工控制(Manual Control)。

程序控制又称程序化控制,是指编写在系统程序中,由计算机运行时自动执行的控制。内部控制程序化是计算机信息系统的一个重要特点。例如,密码权限的检验、在输入、处理和输出各环节由计算机执行的记录数点计、控制总数核对、平衡检验、合理性检验、顺序检验、完整性检验等都是程序控制的例子。

人工控制是指由有关的人员按制度的规定执行的、无需通过计算机系统执行的控制。要特别说明的是,即使在电子商务与网络经营的条件下,信息系统的内部控制也并非全部为程序控制,还有一些重要的控制是不通过计算机系统执行的制度控制,例如组织控制、系统的开发与维护控制、系统的档案管理控制等都属人工控制。

人工控制往往是通过一系列的控制制度来规范和约束,所以有时又叫制度控制。各单位可根据内部控制的目标和构成,根据自己的具体情况制定各种控制制度。一般来说,会计电算化的内部管理制度应包括岗位责任制、系统操作管理制度、计算机硬软件和数据管理制度和电算化会计档案管理制度等。

第二节 计算机环境下的审计风险

由于信息技术在会计信息系统中的运用,审计人员面临的审计环境和审计工具都发生了重要变化,主要原因是计算机信息系统的复杂性和综合性产生了与手工环境下不同的风险因素。这些电算化系统下特有的风险因素直接改变了审计风险,使得审计人员不可能依照既有的风险控制思路开展审计工作,必须重新了解和评估计算机环境的审计风险,采取针对性手段控制并降低审计风险,这样才能保证电算化信息系统的正常运行,提高计算机审计的质量。

一、电算化环境下会计信息系统的风险分析

计算机会计信息系统的风险是指计算机会计信息系统所提供的会计服务与有关使用者的目标相脱离的可能性和相应的损失。其实一般的电算化会计信息系统在设计时就已经强调了计算机的内部控制,其目的在于使计算机会计信息系统的风险减至最低。但是,由于计算机会计信息系统的业务处理流程、信息存储方式、人员岗位职责等都与手工会计信息系统有着明显的不同,所以仍然存在一些无法通过系统初始设计进行控制的风险因素。这些风险因素在计算机会计信息系统中有着自身的内在特征和组成结构,这就决定了计算机环境下信息系统的内部控制必然有着与手工环境下不同的措施。表2-1是手工条件下和计算机条件下会计信息系统的风险因素对照以及相应的控制措施。

二、计算机环境下的审计风险描述和分析

(一)审计风险模型和计算机环境下审计风险描述

由于计算机会计信息系统的控制环境和手工系统的控制环境相比内容更为复杂,风险因素层次更为多样,导致被审计单位的整体风险水平大大增加。在信息系统审计的过程中,审计人员必须通过收集证据来判断系统本身是否达到保护资源安全、数据完整、系统有效和系统高效的目标。有时会出现审计人员发现不了系统内部已存在的或潜在的缺陷或错误的情况,这说明对信息系统的审计可能出现判断错误的情况。这种出现判断出错的可能性就是计算机会计信息系统的审计风险。而随着信息系统内部控制的复杂化,审计风险也增大了。如何针对电算化信息系统的新环境,将审计风险控制在可以接受的水平之内已经成为审计人员面临的最直接挑战。在解决这个操作性问题之前,必须对计算机会计信息系统下的审计风险进行细致描述,仔细分析评估风险水平,而后才能开展有效的控制活动。

根据国际审计和鉴证准则委员会(IAASB)于2003年发布的新审计风险准则,审计风险模型重新描述为

审计风险=重大错报风险×检查风险

这是风险导向审计理念在审计风险描述和计量方面的最新应用,我国2006年新修订的《注册会计师独立审计准则》也采用了这个风险定义。该模型在传统模型的基础上进行了改进,形式上有所简化,但审计风险的内涵和外延却扩大了。其中重大错报风险(Riskof Material Misstatement)包括两个层次:会计报表整体层次(Overall Financial Statement Level)和认定层次(Assertion Level)。

其中,认定层次风险指交易类别、账户余额、披露和其他相关具体认定层次的风险,包括传统的固有风险和控制风险。认定层次的错报主要指经济交易的事项本身的性质和复杂程度发生的错报,企业管理当局由于本身的认识和技术水平造成的错报,以及企业管理当局局部和个别人员舞弊和造假造成的错报。

会计报表整体层次风险主要指战略经营风险。这种风险源自于企业客观的经营风险或企业高层通同舞弊、虚构交易。该风险度量解决的是企业经营过程中管理层通同舞弊、虚构交易或事项而导致会计报表存在错报怎样进行审计的问题,将环境变量引入到审计风险中。

在电算化计算机会计信息系统下,信息技术的应用,使被审计单位在提高会计系统的运行效率和效果的同时又产生新的系统风险。就计算机审计而言,无论是以计算机会计信息系统为审计对象,还是利用计算机进行审计,注册会计师都要评价和测试被审单位计算机会计信息系统,同时还应着重考虑计算机会计信息系统下新增加的风险,利用审计风险模型,全面评估审计风险。在对计算机会计信息系统的审计中,审计风险也可以按照风险度量模型的定义,分成两个部分描述。

1.重大错报风险

这是注册会计师可以评估、认定,但是无法人为改变的风险水平。在计算机环境下,注册会计师评估重大错报风险时,应注意两个方面的因素。

一是计算机条件下,不考虑信息系统内部控制可靠性的情况下,因系统中存在的难以消除的各种因素而导致的资源损失或记录出错的可能性,在描述上可以称作固有风险。例如:(1)信息系统管理人员和会计人员存在利用会计信息系统进行舞弊的可能性。这是信息环境下的人员风险。尤其是随着电子商务的开展,被审计单位的信息系统管理人员熟悉系统的设计和运行,一旦他们作弊将会给企业造成重大损失。(2)信息系统中的电子数据存在被盗窃,滥用、篡改和丢失的可能性。手工系统中,纸质介质上的信息易于辨认、追溯。而在计算机系统中,由于存储介质的改变,一旦用户非法通过计算机系统的访问控制措施,如口令、防火墙等,就极易窃取、破坏和修改电子数据,且不留蛛丝马迹;计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也会造成实际数据与电子账面数据不相符,增加了重大错报风险的可能性。(3)电子数据存在的审计线索易于减少或消失的可能性。手工系统中,会计处理的每一步都有文字记录和经手人签名,审计线索清晰;但在计算机系统中,从原始数据的录入到报表的自动生成,几乎不需人工干预,传统的审计线索不复存在,为审计人员追查审计线索带来了极大的困难。(4)原始数据的录入存在错漏的可能性。在应用计算机系统的条件下,大量的记录凭证仍靠人工录入,表面上机制账、证、表的相互平衡,可能掩盖了人工录入的错漏。

二是因为内部控制不能预防、检测和纠正所出现的资源损失或记录出错的可能性,描述上称为控制风险,也就是被审单位计算机会计信息系统控制无效的风险。电算化系统下,内部控制转变为对人和机两方面的控制,而且以对机器控制为主,内部控制由一般控制和应用控制构成。其中,应用控制有特殊性,不同的应用系统有不同的控制要求,但应用系统一般都包括会计数据的输入控制、处理控制、输出控制、通讯控制和数据库管理控制五个方面。一般控制的弱点产生的危害极大,并且会影响应用控制的有效性,这是由一般控制的地位所决定的。例如:(1)组织控制中,设置权限密码实现职责分工的约束机制有失效的可能性。手工系统下,通过岗位责任中心达到内部控制的目的。在计算机系统下,一是通过划分操作员的责任范围,设置权限和密码实现人员分工;二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于权限设置的重叠和跨责任中心越权设置,使这一控制措施有可能形同虚设。(2)网络传输和数据存储故障或软件的不完善,有使电子数据出现异常错误的可能性。手工系统下,这种可能性几乎不存在;而在计算机系统下,这种可能性难以通过有效的内部控制制度消除,必须靠先进的硬、软件平台以及软件本身的自我保护,减少出现异常错误的概率。(3)系统开发和维护存在隐患的可能性。在系统开发过程中,设计者将不符合会计准则的会计处理方法编入了应用程序,这为舞弊者留下了可乘之机。在系统日常维护时,系统维护人员可能通过维护程序来修改或者直接通过终端来修改文件中的数据。

另外,新的计算机信息系统技术的应用,如微机——主机连接系统、分散的数据库系统、终端处理系统及直接提供信息给可见系统的企业管理系统等,增加了计算机信息系统整体复杂性和它们所影响的具体应用的复杂性,结果也增加了相应的重大错报风险水平。

2.检查风险

在计算机审计条件下,注册会计师面临检查风险增大的挑战。

首先,会计软件的更新换代,使得历史数据文件难以提取。对重要账户或交易的实质性测试往往离不开被审计单位的历史数据,由于软件版本的更换、平台的迁移,难以从往年账套里提取这些历史数据,迫使注册会计师从大量的文档中收集整理历史数据。这不仅降低了审计效率,而且会带来更多的检查风险。而且,随着新的编程工具的出现以及会计软件的进一步成熟和深化,会计软件在不断升级,而审计软件不能跟上形势,采取的相应升级措施相对滞后,这也影响了审计效率和审计质量。

其次,内部控制的程序化,增加了实质性测试的难度。由于内部控制融于软件之中,这就要求注册会计师设计一些正常有效的业务数据和一些例外数据(不完整的、无效的、不合理的、不合逻辑的)来检查测试软件的控制功能。由于多数注册会计师不是电脑专家,要在有限的审计时间里设计面面俱到的测试数据是不现实的,因而增加了检查风险。

再次,利用计算机辅助审计技术对注册会计师的电子数据处理技能要求较高,比如,在计算机审计抽样技术的应用中,要考虑审计抽样的有关参数输入、抽样方法的选择以及选择审计总体数据文件的转换等。由于审计软件的运用,抽样风险能得到有效控制,但是,面对电算化系统,运用不切合审计目标的程序或错误解释样本结果的可能性增大,非抽样风险加大,从而最终影响检查风险的可接受水平。(二)计算机环境下审计风险的分析

审计人员在评估被审单位电算化会计信息系统的风险时,一般采取三个步骤。首先要识别被审单位信息系统的风险,判断其重要性。识别风险应当依据表2-1列示的业务流程,估计每一个业务环节的错弊发生概率。其次要鉴别每一个环节中风险因素的具体控制措施,分析该措施是否能防止和发现错弊,能否在错弊发生时进行有效的补救,使系统从事故中恢复。最后测试这些风险控制措施实施的规程和有效性,检查这些措施的运行程序和效果。从事前控制的角度说,审计人员应当格外关注被审单位信息系统的开发过程,调查开发过程是否考虑了系统运行的风险并采取了相应前馈控制的措施。

审计人员对被审单位电算化会计信息系统进行的风险分析一般包括资产安全、数据安全、运行安全、软件安全四大主要风险要素的分析。审计人员可以在对被审单位每一风险因素的控制情况,设计风险指标,然后给出该风险因素中每一个风险指标的量化值和权重,加权后得到该风险因素的整体风险水平,以确定采取何种风险控制手段。风险要素的指标分析和量化分别如表2-2、表2-3所示。

资料来源:金光华主编,《计算机审计》,中国时代经济出版社,以下同,部分有改动。

三、计算机会计信息系统的审计风险控制措施

通常,计算机环境下,审计人员通常可以采取以下措施控制审计风险。(一)对被审单位的情况进行深入了解

在计算机条件下,应当更加注重对被审单位情况的了解,只有如此,才能大致确定被审单位的风险因素和总体风险水平。审计人员可以通过查阅以前年度的工作底稿、行业资料、业务情况,或者询问内审人员、管理当局和企业员工进行调查了解。必须要进行的调查工作至少包括以下三项:(1)了解被审单位使用的会计软件,弄清版本、业务处理流程,从而发现可能存在错弊和风险的环节。(2)应当对被审单位财务人员尤其是系统管理人员、操作人员、维护人员的职业操守和品行素质进行详细调查,因为他们能对信息系统施加重要影响。(3)事务所建立审计信息库,将被审单位的有关信息通过网络建立一个完善的大量信息库。这些信息包括被审单位的背景资料,最新动态和一些以前审计的档案资料。这样可以大大减少工作时间,提高工作效率,同时也有效降低了审计风险。(二)对被审单位信息系统的内部控制进行重点审计

正是由于信息系统内部控制的复杂性加大了审计工作的风险。因为内部控制直接增加了被审单位重大错报风险,导致了审计人员因被审单位信息系统内部控制的过失而受到牵连的可能性。加强被审单位信息系统内部控制的审计应主要注意内部控制的以下特征:(1)缺乏交易轨迹;(2)同类交易处理的一致性;(3)缺乏职责分工;(4)在特定方面发生错误和舞弊行为的可能性较大;(5)交易授权、执行与手工处理存在差异;(6)其他内部控制依赖于计算机处理。

计算机条件下的内部控制包括一般控制和应用控制,对于这两种控制方式的具体审计将在第五节介绍。(三)对审计人员的计算机审计业务素质进行培训和提高

随着计算机在会计信息处理中应用的不断深化,审计人员的计算机素质成为必备的职业应用能力。只有全面理解企业的信息处理技术,才能胜任计算机审计工作。由于电算化系统设计之初,许多有关内部控制措施的模块已经嵌套在系统程序中,所以在某种意义上,信息系统的审计更加侧重于系统是否和开发的规格说明具有一致性。因此,审计人员的计算机系统知识是必不可少的。同时,由于电算化财务软件和审计软件的推陈出新,审计人员对于软件的了解也应该达到一定水平。当前信息系统审计对审计人员的素质要求还包括:掌握计算机系统的基本知识;熟悉电算化系统会计系统的数据处理技术和数据结构设计;熟悉使用通用审计软件;具有审查系统文档和电算化系统内部控制制度的能力;具有充分的电算化系统审计知识和系统维护的基本方法。为了进一步降低计算机审计的风险,必要时事务所可以为审计人员聘请专门的计算机专家参与审计项目。(四)对事务所的人员组成结构进行改善

随着信息技术的发展和行业竞争的加剧,会计师事务所为了保持审计的独立性,以及和客户的计算机人员进行交流以取得客户的一些内部信息,提高审计的效率和效果,增加了对计算机审计专业人员的需求。计算机审计专业人员除了掌握财务审计人员所要求的计算机知识以外,还要具备如下技能:(1)熟练掌握对会计电算化系统的运行、数据处理和数据库管理系统的相关知识;(2)必须掌握计算机高级语言和开发审计软件的技能;(3)熟悉计算机网络技术、无纸贸易系统和其他先进的信息技术等。

第三节 计算机会计信息系统的一般控制

电算化信息系统的一般控制(General Control)是指为了保证信息系统的安全,对整个信息系统以及内外部各种环境要素实施的、对系统所有的应用或功能模块具有普遍影响的控制措施,从会计处理角度看它是对整个数据处理活动的总体控制。一般控制主要包括有关会计数据计算机处理过程中所制定的规章、政策和制度,对计算机会计信息系统具有普遍的意义。一般控制可以具体划分为组织管理控制、系统开发与维护方面的控制、系统安全控制、硬件及系统软件控制以及操作控制等等。本节将对这些一般控制的具体措施进行介绍。

一、组织控制

组织控制(Organizational Control)是一般控制的重要内容。对于一个完整的计算机会计信息系统,尤其是电算化信息系统而言,要保证系统安全有效运行,建立有效的内部控制体系,首先要有与组织相适应的组织结构和组织功能。组织管理控制的最基本原则就是从制度上保证任何一项经济业务的处理,不能从头到尾只由单个部门或者一个人员完成,而必须经过两个或者两个以上的部门或人员来处理,以达到相互牵制、相互制约的目的,防止或者减少错弊的发生。在信息系统中,组织管理控制与手工方式下信息系统的控制原理基本相同,具体包括以下几项具体措施。(一)信息系统部门与业务部门的职责分离

这是组织控制的首要环节。信息系统部门是负责记录业务,维护管理信息系统正常运行的职能部门。业务部门是批准执行业务的职能部门。这两个部门属于不相容职务,其职责必须分离。信息系统部门无论是隶属于某一部门的一个小组还是与其他部门平行的独立部门,其主要职责是对数据进行处理和控制以及信息系统的管理。从理论上说,要达到恰当的职责分离,信息系统部门与业务部门应当完全独立,这样才能形成有效的内部牵制机制。在信息化程度不高、信息部门没有作为一个部门独立于各业务部门之外的情况下,内部控制的有效性会受到一定影响。但是当信息部门介入企业的管理之后,应当注意的职责分离原则是一项业务的授权、执行、记录、审核以及资产保管等四项基本职能一定要严格分离。图2-2 信息系统的组织控制框架

由于在电算化信息系统下,信息系统部门直接负责计算机会计信息系统的运行和维护,因此将信息系统部门的职责和其他业务部门职责区分开来是十分重要的。一般来说,应当区分以下活动:(1)所有业务均应当由业务部门发起或者授权。这样可以保证业务数据的产生、变更都和具体的业务紧密相关,并且由业务部门负责业务数据的经济相关性。(2)所有业务记录与主文件记录的改变均需业务部门的授权,信息系统部门无权私自篡改业务记录和有关文件。(3)所有资产的保管责任必须和信息系统部门分离,也即信息系统部门不应当参与资产的报关工作。但是,计算机信息系统设备和相关资产的保管和维护应当由信息系统部门负责。(4)所有业务过程中产生的中间数据均应当由业务部门负责或者授权校正,信息系统部门只允许改正数据在输入、处理和输出过程中由于操作疏忽而引起的错误,并且所有数据的更改都要有相应的日志文件进行记录,日志文件应当另外备份一份由专门人员保管。(5)所有现有系统的改进、新系统的启用以及控制措施的制定都应当由受益部门发起并经过高级管理人员的授权,包括现有应用策划能够持续的改进,未经有关部门的批准,信息系统部门无权擅自修改程序。(二)信息系统部门内部的职责分离

会计电算化信息处理的特点常常是把某个单位的会计信息资料集中起来统一由信息系统部门处理,这使本来应该分离的某些不相容职责集中化了。因此,在信息系统部门内部,还应当进行更细致的职责分工,使有关人员在数据处理中难以进行越权活动,以此来避免舞弊、犯罪行为的发生和防止差错的出现,保证系统的可靠运行。一般来说,电算化部门内部应当做到五种职责的分离,即系统分析、程序设计、系统操作、资料保管和系统管理岗位的相互分离。(1)系统分析员的职责是设计和分析系统。他们的主要工作是根据整个企业的组织结构,确定会计电算化系统的目标和选择实现目标的途径。在这一框架下,具体工作包括通过分析和研究现有的信息系统,在充分考虑组织的情况、要处理的数据以及今后发展的要求后,确定新系统的目标;选择一种途径来实现目标;用系统流程图描述新系统的概貌以及业务通过系统的流程;在系统说明书中提出具体要求;指导程序员编写系统应用程序;编写系统分析与设计资料等等。(2)程序设计员的职责是根据系统分析员画出的系统流程图及其编写的说明书设计程序流程图,并用选定的计算机语言编写系统应用程序,负责程序的调试和检测。程序员要为新系统的应用程序编写详细的微系统文档资料,包括指导操作员操作系统的操作手册(用户手册)、便于今后维护系统的维护手册、源程序表及其说明、各种数据文件结构、编码表等。在系统经过批准投入使用时后,程序设计员的责任则是根据授权对系统应用程序进行维护和改进。(3)系统操作员的职责是根据程序设计员编制的操作手册操作系统,处理各种业务。如输入经过批准的主文件以及业务文件数据,更新有关的文件记录,按要求输出各种报告或者报表。较完善的电算化信息系统能自动设立操作日志,由计算机自动记录各操作员的操作情况,比如什么人、什么时间、更新过什么文件等等,以便审计系统的操作。若操作系统没有自动记录操作日志的功能,那么操作日志必须由操作员手工记录并且由系统管理员审核。(4)资料保管员的职责是负责保管有关系统的一切文档资料。如系统设计说明书、程序流程图、源程序表及其说明、编码表、存储应用程序或数据文件的磁带、光盘等。只有经过授权批准的人才能通过保管员取得有关资料,任何资料的借取都要有记录。(5)系统管理员的职责是对电算化信息系统的操作和处理实行控制。例如,抽查输入、审阅操作日志、审查系统输出的各种错误报告、分析错误原因,让有关部门改正并监督改正后的资料重新提交系统处理,监督系统输出报告或报表的分派、审查资料借用记录等等。(三)业务的授权

所有由信息系统处理的业务都必须来自业务部门,并有相应的原始凭证支持。因此,所有处理业务都应经过授权。要实现这一目的,就需要制定相关的控制制度,在业务的发生、执行和计算机处理之间明确地划分责任。

不同的业务类型对于业务授权所采取的控制手段也是不一样的。对于企业具体业务而言,以制度规范的形式和业务部门结合在一起,一般由业务部门负责业务数据的处理。这个过程中包含了授权的内容,其他部门包括信息系统部门的人员不能直接干预具体业务的处理。另一类是对信息系统内部操作的授权。例如,对某项业务处理程序的修改,就需要得到该业务负责人的授权书,并按照一定的程序和要求由信息系统部门内部不同的人员按照各自的职责分工来完成并形成完整的软件更改记录和报告。

每一个有权向计算机系统提交业务的人员都应列入一张任务表,该表用于核查各人员授权批准的业务类型和业务数量。为了保证只有通过审核的数据才能进行处理,输入数据的原始单据必须保留审核人的签章,该签章还需要经过专门的签章控制人的认可。一些在程序中实现的控制,也可认为是审核的另一种形式。比如,不同的人员在信息系统中的权限限制,可以将具体业务进行分离。

对未授权业务的检测,需要由一个不直接介入计算机处理事务的人员,通过对业务活动日志或异常情况报告的查阅来完成,如内部审计人员等。另外,程序化控制也可用来检测业务的有效性。在许多情况下,将输出信息与经过适当授权的输入信息进行对比,也是一种非常有效的控制方法。

二、系统开发与维护控制

系统开发控制(System Development&Maintenance Control)是指系统开发从授权、执行到系统测试和验收等开发的全过程各方面的控制。而若要对系统进行修改、完善,也需要进行严格控制,才能防止系统被有意或者无意地篡改。应用软件从计划、开发到投入运行以及日后的维护,涉及大量的计算机专门技术,需要专业的人员进行开发,这些专业人员可以来自组织内部,也可以来自合作开发单位。系统的开发和维护控制是以后企业信息系统能够充分发挥功能的基本保证。一般来说,企业应着重从以下几个方面实施系统开发与维护控制。(一)开发计划控制

在开发计算机会计信息系统的过程中,最主要的风险是系统开发能否成功。一个计算机信息系统开发成功的标志,不单是能否将系统完成,还包括系统能否反映用户需求并达到预定的质量标准,是否能按时完成并投入使用,开发成本是否超出预算,能否适应单位未来的发展等等。因此,系统开发计划应经过严格审查、仔细研究和反复调查后方可实施。

在整个项目开发过程中,系统需求分析是非常重要的。在开发系统过程中,应当有用户的代表全程参与,从用户的实际需求角度提出对系统的需求说明,然后由开发机构进行全面的需求分析。需求分析不仅要求调查当前系统数据处理的各个方面,进行技术上、经济上的可行性分析,还要确定新系统的功能界面,并建立恰当的计算机数据处理模型。(二)开发过程的内审控制

在信息系统开发过程中,内审人员的参与是一项十分重要的控制工作。

内部审计人员应全程参与信息系统的开发。一方面,可以对系统开发过程进行监督和审查;另一方面,通过参与开发工作,还可以对信息系统内部控制的各个方面有所了解。在可能的情况下,审计人员还可以就内部控制的设置提出实用性的意见。特别是在用户缺乏系统开发相关知识水平的情况下,内审人员可以充当用户和专业人员的中介,把用户的需求转变成为专业设计的相关规定。必要时,信息系统应当设计专门的审计程序模块,这些审计程序模块由内部审计人员掌握,外部审计人员可以在内部审计人员的帮助下来使用这些程序。(三)系统设计控制

系统设计是根据系统分析阶段提出的系统说明书,找出最恰当的实现系统功能的算法与数据结构,并使它们规范化、具体化。系统设计工作的好坏,将最终决定系统的质量。因此,在系统设计阶段,必须实行严格的控制,其控制的主要内容有以下三项。

1.合规合法性控制

合规合法性控制是指采取适当的控制措施,保证设计出的系统符合有关法规、制度。例如,在计算机会计信息系统的设计中,首先必须遵循复式记账等基本会计原理,因为它是保证设计正确可靠的计算机会计信息系统的前提,同时,也是进行系统内部控制设计的理论依据;其次要符合现行的会计制度及有关的财经法规,例如会计科目编码的设计必须符合现行会计制度中有关会计科目编码方案的规定。

2.安全可靠性控制

由于计算机信息系统的数据和程序高度集中于电子数据处理部门,大量的信息都存储在磁盘、光盘等存储介质上,存储在这些介质上的信息是肉眼看不见的。因此,计算机信息系统比手工信息系统具有更大的风险,系统更加强调安全可靠性。在系统设计中,要设计适当的控制制度,使得只有经过授权批准的人才能接触系统。

3.可维护性控制

可维护性控制是指设计出的系统便于理解、便于修改和扩充。社会经济的发展和企业管理水平的不断提高,反映到计算机信息系统中,就要求对系统不断完善和优化,软件运行过程中出现的各种问题,也要求对系统进行维护,以使系统处于最新的正确状态。为了便于系统维护,在系统设计的各个环节,要认真编写各种技术文件,采用模块化、结构化设计技术,增加模块内部的功能,减少模块与模块之间接口的复杂性,系统要留有接口,以便今后系统的扩充。(四)编程和测试控制

编号的系统程序应当针对其应有的功能假设一些业务进行测试,这样做主要是为了避免程序出错。控制编程风险的主要方法是测试,程序测试技术通常分静态和动态两种。静态测试是一种人工方法,通过对程序的反复阅读或对流程图的检查来发现错误。这种测试一般由其他编程人员来做。动态测试有“白盒”测试和“黑盒”测试两种。“白盒”测试又称逻辑覆盖法,即根据一定的标准,选取测试数据,用以分析程序的内部结构。“黑盒”测试则与此不同,它完全不考虑程序的内在结构,只关心其输入和导出的相应的输出值。

对于新系统而言,试运行是测试的另一种形式,也可以说是测试的继续。在试运行阶段,系统分析员和程序员一般不应再接触并操作系统,除非系统运行发现问题需要及时解决。试运行过程处理的不单是测试性数据,还包括部分或全部的真实业务数据;同时,原有系统仍在平行地工作。(五)开发过程系统文档控制

信息系统开发的每一个阶段都应有相应规范的文档资料,包括技术设计文档。编写与审批有关的文档是对系统开发的一种控制。系统的文档资料可以为日后系统的维护改进以及审计人员对系统的认识和审查提供必要的资料,也可为系统使用人员的培训提高必要的资料。在系统通过验收前,一定要检查系统文档资料的完整规范性,文档资料不全,系统就不能通过验收。

系统的文档资料对系统的处理和控制作了详细的描述,因此,它是极其重要极其机密的,一定要有专人妥善保管,只有经过授权的人且工作需要时才能够接触这些文档。操作人员只能接触操作手册或者用户手册,不接触此外的系统设计文档,这样可防止操作员利用工作之便篡改程序或者数据。当系统维护后编制了新的文档,旧的文档应当妥善保存或者销毁,不应随意丢弃。(六)系统维护控制

系统维护有两层含义:一是指系统的日常维护,二是指系统功能的改进和扩充。系统日常维护的目的主要在于保障系统正常运行,尽量减少影响系统工作的突发性因素,防止发生意外。一旦发生意外,要能立即采取紧急措施,使各种意外对系统造成的损害减到最小。这方面的控制主要是一些安全方面的控制。

系统在正式投入运行后对系统功能所作的任何改进或扩充,都必须首先经过批准。任何系统,都有发展的要求。因此,在系统开发的初期就应该考虑到未来的发展,在制定计划时要统筹安排,全面考虑,并在软件设计和硬件配置上采用尽可能灵活的结构,以便为未来功能的扩充提供适当的接口。无论是对系统功能的改进还是扩充,都应该按新系统开发的规程来要求,并实施相应的控制。

三、安全控制

对计算机信息系统的安全控制(Security Control)主要包括接触控制、环境安全控制、安全保密控制、病毒防治、保险等。这些控制措施可以保证系统有一个良好的运行环境。(一)系统接触控制

接触控制是指只有经过授权批准的人才能接触计算机信息系统的硬件、软件、数据文件以及系统文档资料的控制。接触控制能够保证计算机信息系统各项资源的正确、安全使用,因为任何一种错误或故意破坏必须登陆计算机信息系统或和信息系统相关设备发生接触后才能实现。接触控制的主要措施包括:硬件接触控制、程序资料接触控制、数据文件及应用程序接触控制、联机系统接触控制,这四项控制措施一般实行专人负责制,无关人员不得接触信息系统相关设备。另外,对于一些远程终端,如安装在组织的安全管理范围之外的公共场所或外部地区的,还要求进一步的控制措施,例如,终端所在地要受到监护、有密码、声音识别器或指纹分析器一类的安全措施;终端和主机的联系只允许在一天中规定的时间内进行;在正常的业务情况下没有发生超时或延时业务的,要限制登陆的次数;进入终端的操作在失败了一定的次数后,系统将自动报警,并进行锁定。(二)环境安全控制

环境安全控制是一种预防性控制,包括计算机房的物理环境安全、信息系统设备安全保护、安全供电系统的安装等。

机房物理环境安全的环境要求有:信息系统中心所在的房屋建筑物要符合场地技术指标,机房要保持规定的温度、湿度和洁净度,能防静电、电磁干扰,具有良好的采光照明以及噪声控制设计等。对环境安全的控制可以尽量减少因外界因素所引起的计算机故障发生率,保证机器正常运行。计算机房还应具有防火、防水、防物理化学及生物灾害的措施,以及对硬件的防盗设施;设置火灾报警和灭火设备,进行良好的防火管理;避免水浸泡电线、电缆,防止机器受潮而导致器质性损坏;采取有效的措施避免空气化学污染、电磁辐射损害等;对机房中的门窗等设备,还必须有一个良好的供电保护系统,以及重要设备配备高性能不间断电源,保证电力突然中断的保护措施有效发挥,减少对设备的损害。(三)安全保密控制

安全保密控制主要针对信息系统的软件部分而言。对于计算机硬件,由于它们都是可见的物体,转移和搬动不是很容易,因此硬件设施的物理保护比较容易,但软件却缺少这种显而易见的优点。软件本身的特点具有可拷贝且不留任何痕迹,如果它们可以任意拷贝,或从终端上任意调用,就很难保证计算机信息系统的处理控制和机密数据不被泄漏、非法篡改,甚至遭受恶意破坏。软件的安全保密措施一般有软件加密的方法、硬件加密的方法和软硬结合方法三种。

在计算机信息系统中,经常使用的方法有数据和程序的加密。它是把数据和程序转换成密码的形式存放在各类介质上,运行时再执行解密,使系统能够正常运转。密码的转换依据某种算法来进行,加密和解密都由系统中特定的程序来完成。由于对密码算法的解析有相当的难度,经过加密的数据和程序一般不容易被破译。因此,计算机信息系统中一些重要的程序和敏感的数据应尽量采用加密方式。(四)防病毒控制

随着计算机应用的日益广泛,病毒对计算机信息系统的侵害已越来越引起人们的重视。为保证计算机信息系统的安全,必须加强计算机病毒的防治。计算机病毒是一些人蓄意编制的一种寄生性的计算机程序,它能在计算机系统中生存,通过自我复制来传播,在一定条件下被激活,从而给计算机系统造成一定的损害,甚至严重破坏。

控制计算机病毒的基本策略有两种:一是采用技术手段控制,二是通过管理手段进行预防。技术控制可用现成的杀毒软件、系统漏洞检测程序和防黑客程序等,对病毒、木马程序进行检测并清除;还可以在系统中安装一些实时监控程序和防火墙,系统开启后,它们一直处于工作状态,对进入系统的每一个文件进行检测,监督其运行过程,发现病毒立即报警,并对外界的非法入侵进行拦截。通过管理手段对病毒的预防也是很重要的,可以减少绝大多数病毒的入侵。其措施主要有:慎用公用软件、外来软件和共享软件;所使用的软件一定要有授权并经过杀毒操作;定期检查系统,保持运行环境无毒;坚持经常性地对重要文件进行备份并且异地存放;定期升级所使用的防病毒软件,保证能够查杀最新的病毒。

四、硬件及系统软件控制

硬件和系统软件能提供一定的控制功能,这是计算机信息系统内部控制的一个显著特色。但是,有许多因素影响着硬件和系统软件的控制功能,从而产生不正确的系统处理结果,所以必须对其采取有效的控制措施,保证硬件和系统软件能够在信息系统中正常发挥作用。(一)硬件控制

硬件控制是指计算机厂商提供的已建立在硬件或软件系统中的、为了保证计算机硬件操作正确可靠的控制,其主要控制措施包括:奇偶校验、冗余校验、重复处理校验、回声校验和设备检验。

1.奇偶校验

计算机是采用二进制进行处理的。为了检查数据在传送或某些操作中是否出现错误,可在这些数据上外加一位作为奇偶校验位,由其值来表示数据中的个数的奇偶性。如根据美国标准信息交换码(ASC Ⅱ),数字3是00110101,共有4个1,即1的个数为偶数,奇偶校验位置1;字母C是01000011,共有3个1,即1的个数为奇数,奇偶校验位置0。实际上,奇偶校验位的值可通过逻辑电路自动得到,不必人工计算。数据传送后,计算机通过相同的逻辑关系重新计算数据的奇偶位的值。如果传送正确,原奇偶位的值应等于传送后奇偶位的值。如果两值不等,则说明操作或传送中发生了错误。目前有些设备采用可靠性更高的二维奇偶校验,基本可以避免数据处理的谬误。

2.冗余校验

这种技术是在一个数据字符、字或一组数据后附加上一两个或者一组二进制位,用以检测它们是否有错误。冗余是为了检查或校正信息中的错误而外加的信息位,这些附加在数据后的二进制位就是冗余位,它是从与它们相联系的数据计算出来的,因此与这些数据存在逻辑关系,但这种联系只是一种控制联系,并不会改变原数据。检验数据是否错误的过程是:计算机按照相同的逻辑重新计算校验位,在没有电子错误或传送错误的情况下,数据经过传输之后,其新校验位应与原校验位一致,如果不一致则表明数据在操作过程中发生丢失或改变。冗余校验是一种有用的控制方法,它可用来检测电子或传送所引起的错误。但它不是万能的,它不能用来检测其他原因所引起的错误。

3.重复处理校验

重复处理校验技术利用重复或互补操作原理来验证和更正错误。使用这种控制方法,要求一种操作执行两次,两次操作的结果不一致就表明硬件出现故障。这一方法可用于输入数据的校验,对输入的数据,输入设备自动执行两次读操作,并对两次读操作的结果进行比较,看是否相同,如不相同,计算机将停止运行或运行另外的程序。它还可用于中央处理机中的逻辑运算单元,即对某项运算操作执行两次并比较结果。

4.回声校验

这是一种检验数据输送或传送是否正确的控制方法。它可用于计算机和外围设备之间的联系。计算机发出命令之后,要求接受命令的外围设备,如读卡机、打印机以及其他设备返回一个信号以证实命令以收到并被执行。回声校验也可用于数据传输和通讯,接受数据的设备将收到的数据再返回到发送设备,以便与原发信息进行比较。

5.设备检验

设备检验是内置于计算机线路中的控制方法,用于检查线路和设备,以确保它们在正常运行,并且在需要的地方自动进行错误更正。这两种功能称作自动诊断错误和自动再次尝试。

许多硬件部件拥有自动诊断错误的功能,如中央处理器和数据通信设施。中央处理器有诊断中央处理器和内存中奇偶错误的线路,中央处理器还有自我诊断出失效线路和存储单元的能力,它还能在执行读写操作时检查读写头以保证电流流过读写头。数据通讯设施也有线路和设备的自我诊断功能。

自动再次尝试功能也能在多种情况下应用,在中央处理器中尤其有用。中央处理器易发生瞬时错误,例如奇偶错误,这类错误是由于一些临时性状况所引起的,如在开关电源时出现静电情况,由于这种状况很快就自动消失,因此,只要重复或重发一下就能纠正错误。磁带机和磁盘驱动器也具有这一功能,以便能成功地进行读写操作,数据通讯中的信息重发也是这一功能的体现。(二)系统软件控制

系统软件包括操作系统、公用程序、编译和汇编程序、数据库管理系统等,它具有管理功能、应用程序支持功能和控制功能,其中控制功能是由操作系统和某些公用程序执行的。控制功能主要包括:错误处置、程序保护、文件保护、安全保护等功能。

1.错误处置

操作系统能侦测和纠正因硬件和软件问题引起的一些错误。典型的操作系统具有下列错误处置能力:(1)读/写错误处理,例如当磁盘驱动器进行的读操作失败时,操作系统就试图让它再一次记录(即前面讨论过的自动再次尝试功能)。(2)记录长度检查,其目的是保证从磁盘或磁带上读入计算机的数据具有正确的长度,但应用程序试图使用一种失灵的存储装置时,操作系统就将发出一个出错的信号。

2.程序保护

程序保护的目的是防止在处理过程中应用程序相互纠缠,保证在从程序库中调用子程序时不发生错误,保证没有未经批准而对应用程序进行改动的现象发生。程序的保护通过以下的控制措施来实现:(1)边界保护,操作系统将内存储器进行分区分段,每一程序被安排在一个特定的存储区里,这样,即使在几个程序同时运行的时候,它们也不会互相串位。(2)外部调用的控制,当某程序要调用一个子程序时,操作系统就从程序库中调出该子程序以备调用程序使用。(3)库程序软件,操作系统通常具有一些基本的程序库管理功能,如建立和维护程序库、建立和维护确定程序位置的库指针、控制外部调用程序。库程序软件则提供其他一些使用和改动程序方面的控制。例如,限制程序存取,防止未经批准而对程序加以更改,这是通过设置口令来实现的,也可以利用加密方法。此外,库程序软件还生成控制报告,记录控制信息,控制报告和信息反映程序员改动了什么以及程序是如何改动的。(4)控制系统修改程序,某些公用程序可用来修改应用程序代码,这些公用程序必须严格控制。其方法包括:标明具有修改能力的公用程序,将它们放于限用库中,为限用库设置口令,操作系统或管理员记录限用程序的使用情况,对操作员加强监督,审查公用程序的输出等。

3.文件保护

文件保护的目的是防止未经批准使用或修改数据。这里的数据既包括在内存中的又包括存放在外围设备中的。文件控制措施包括:(1)内部文件标签检查。操作系统可通过检查内部文件标签来防止误用文件,保证所有数据都被处理。内部文件标签包括头标和尾标,头标反映文件编号、名称、建立日期、所有者、口令、最早消除日期、消除人等内容,尾标则表明文件数据记录的结束。(2)存储保护,操作系统通过指定存储位置和边界保护来防止在数据存入内存时发生溢出或修改。(3)内存清理,操作系统能自动在数据处理过后清除内存中的数据。(4)地址比较,操作系统将外围设备(如磁盘驱动器)所指明的内存地址与数据的存放地址相比较,如果两者不同,就出现了错误情况。

4.安全保护

信息系统可能被人在未经许可的情况下使用,这时,系统软件可以在一定程度上防止这种情况发生。其方法是:(1)操作系统自动记录系统使用情况;(2)利用系统使用记录和系统活动记录分析公用程序,发现未经允许使用数据和现象;(3)口令限制,即设置口令来控制对系统的接触;(4)权限控制,不同的操作者拥有不同的权限,只能在权限许可范围内进行操作。

5.自我保护

系统软件是一种有力的控制工具,但它也可以被用来破坏系统的内部控制,因此,需对系统软件本身加以保护。其措施包括:(1)对系统软件的组装和改动进行控制,内部审计应参与系统软件的购置、开发和修改;系统软件在实施前应进行测试;主管人员应在每一开发阶段完工后进行审核和批准。(2)职能分割,限制对系统软件修改的人员并将系统软件维护与其他职能分开是一条重要措施。(3)记录系统软件运行情况。(4)运用公用程序监视操作系统以防未经允许对它进行修改。(5)对修改系统的公用程序严加管理。(6)硬化系统软件,即将系统软件的逻辑固化在硬件中。硬化后的系统软件逻辑就不能通过程序进行修改,要做修改只能更换或拆除硬化代码。

五、操作系统控制

计算机会计信息系统的使用操作应当有一套完整的管理制度,包括上机守则与操作规程、上机日志记录、保密制度和操作工作计划。(一)上机守则与操作规程

操作人员应该严格遵守上机守则和操作规程,这既是一种纪律性的要求,又是一种责任心的约束。作为信息系统管理人员,不仅要制定上机守则和操作规程,还应经常性地进行检查。

上机守则主要是关于机房工作的一般性规定,如对进出机房的人员和物品的限定、操作人员进出机房需要的手续及进出时间的限定、操作人员的日常工作性质的范围、交接班制度、出现紧急状态时的应急措施,以及保持机房的环境等。

操作人员在实际的操作工作中,要有一份具体的操作规程作为指导。操作规程一般包括在操作手册中,侧重于对计算机业务处理过程的具体步骤的叙述。手册包括操作命令及其使用、各类设备的用途和使用方法、控制台各项记录的生成和保管、一般故障的现象说明及处理、数据文件的定期备份和故障后的恢复及重建等。

良好的上机守则和操作规程,不仅能有效地指导操作人员的工作,还能作为衡量工作质量的重要标准。因此,管理人员在制定这些守则和规程的同时,应从计算机信息系统的全局观念出发,在对各项控制进行分解时,要注意彼此之间的配合、互补和监督关系,保证这些守则和规程的可行、有效和完整,并在情况有新的变化时及时进行调整。在执行守则及规程的检查时,一要注意坚持经常性的检查,二要严格认真,避免流于形式而使守则和规程形同虚设。(二)日志记录

日志记录是对系统日常工作情况最基本、最全面和详尽的反映,是计算机审计取证的主要对象,是计算机信息系统管理人员或内部审计人员进行检查的重点,是实施有效控制的关键。日志可以由操作员来记录,也可以由系统自动生成。

手工日志是由操作员根据每天的运行情况逐日登记形成的。这些被记录的情况主要有:系统的开始、关闭及整个运行过程是否正常,是否出现过什么不正常的现象,对异常现象的处理过程如何;有哪些人员使用过系统,使用的时间和曾进行的工作;系统环境方面的情况,如温度、湿度、电压;各类资料的使用情况;数据文件是否备份,备份号和存放地点的登记等。

系统生成日志的目的主要有两个:一是提供检查线索,二是准备故障后的数据恢复。与手工日志相比,这种日志要详细得多。它不仅包括各个用户终端标识的辨认、应用程序的调用、存取盘操作和使用时间等方面的情况,还详细记载了数据文件的更改过程、每一次的修改动作以及修改前后的数据情况等。管理人员常常通过审查日志来了解故障原因,并发现系统潜在的问题。一旦系统因发生故障需要恢复,就可以利用日志提供的操作记录,撤销不正确或不可靠的操作,使数据恢复到故障前的正确状态。这样就能保证系统正常、高效、可靠地运行。

一般而言,自动日志存在于网络或联机实时系统中,单机情况下不常见,系统有了先进的自动日志,并不等于说可以丢掉手工日志。实际上,两者是相辅相成的。这两种日志记录的内容不完全相同,因此两者彼此是不可替代的。(三)工作计划

电算化会计信息处理部门需要有一个本部门年度工作计划和相应的日程安排。这些计划应该与企业的总体计划协调一致。工作计划涉及系统发展、成本预算、人员培训和用户安排等多个方面。这样,在面临系统升级和规模扩大时,便可以很好地处理既不断发展又不影响正常工作这样一个棘手的问题。同样,在人员培训方面,也可以做到按需分配,既不影响工作,又可达到提高业务水平的目的。组织其他部门作为计算机信息系统的新用户,需要事先申请,以便信息系统部门做出妥善的安排,给新用户配置口令、终端标识、存取权限和必要的硬件设施。对一些不再存在的用户,还应做一些相应的撤销工作。所有这一切,都必须实行成本预算控制。信息系统部门的成本预算应包括在组织整体的成本预算中。

计算机的具体操作也强调工作计划的制定,如每隔一定时期对整个系统进行全面或局部的检测、数据文件定期备份、输出资料定期存盘等,以使整个工作能有条不紊地进行。这样,一方面可以使工作人员保证他们的工作热情,不会因单调重复的工作而麻痹大意,及时发现故障隐患;另一方面,也有助于工作中的互相监督、相互促进。所有这些,都是保障系统正常运作的前提。

第四节 计算机会计信息系统的应用控制

应用控制(Application Control)是针对某个具体应用系统(如工资系统、采购系统、销售系统等)的敏感环节和控制要求,为加强具体应用系统的输入、处理、输出、通讯和数据库资源的正确可靠性而建立的控制。应用控制依系统或应用项目和具体数据处理方式的不同而不同。但是,任何应用系统,不管其应用领域,数据处理的方式是多么不同,其应用控制按照特性都可划分为输入控制、处理控制、输出控制、通信控制和数据库管理控制五个部分。应用控制措施虽然也有手工控制和程序控制,但与一般控制相比,其程序控制的方式更多。

一、输入控制

输入控制的目的是要防止未经审核的、无效的数据输入计算机系统内,并保证经审核的数据能完整、准确地输入并转换为机器可读的形式。常见的输入控制措施主要有以下几种。(一)凭证的审核与输入准备

使用事先顺序编号的凭证,不用时锁好,只有经授权的人才能接触、使用凭证,定期审核已用、未用、作废的凭证数,如不符应及时报告、追查。一切业务凭证输入前必须经必要的审核,经审核的业务要按操作手册的规定准备就绪。经过审核和准备,可以有效地保证输入信息系统内的原始数据的有效性、正确性,尽可能地把差错消除在输入之前。(二)输入操作及核对控制

此控制要求只有经批准的人才能进行输入操作并要作操作记录,输入数据要经复核才能处理。常用的核对方法有两次输入核对(即把要输入的资料由两个人分别输入,由计算机对两次输入的资料进行核对)、把已输入资料打印输出与应输入资料核对、由另一操作员在屏幕显示的已输入资料与应输入资料核对等。(三)计算机校验

由计算机对输入的数据进行检查,以发现数据输入的错误,这是重要的程序控制。常见的计算机校验技术有:业务数点计、控制总数核对、代码的有效性检验、借贷平衡检验、编号顺序检验、数据合理性检验、数据类型与完整性检验等等。下面逐一简要介绍这些控制方法。

1.业务数点计

此检验技术主要用于批输入的系统,在数据准备时,每批要输入的业务凭单先由人工点计,并填在批首表上。数据输入后,由计算机再次点计输入的业务数或凭单数,并与批首表上的业务数核对,若发现差异,计算机将给出错误信息。这种控制能防止凭证在输入过程中的遗漏、丢失或重复等错误。

2.控制总数核对

此控制主要用于批输入的系统。在数据准备时,每批要输入的凭单先由人工计算批控制总数(一般用金额总数,也可用非金额的重要字段如凭证号、支票号、客户编号等的总数),并填在批首表上。数据输入后,由计算机再次汇总输入凭单的控制总数,并与批首表上的控制总数核对,若发现差异,计算机将给出错误信息。这种控制能防止数据在输入过程中的遗漏、丢失、重复或作为控制总数的数据项输错。

3.代码的有效性检验

此控制是在数据输入时,由计算机对重要的代码字段的值进行检查,查找代码对照表是否存在此代码或代码是否在预定的范围内,如果不是,计算机将给出错误信息。这种控制能防止代码输入的常见错误。但如果输错的是在预定的范围内的、代码对照表中存在的其他代码,错误可能不能发现。这些错误的控制最好是加校验位加以控制,如代码的各位分别乘以某权重,相加再除以11取其余数作为校验位置于原代码的末尾一起输入,输入后计算机再用相同的算法计算校验位,核对两校验位,如不相符,则输入有错误。但校验位检验太麻烦,只对特别重要的输入信息才使用。

4.平衡检验

此控制是指在数据输入时,由计算机检查输入的数据是否满足应有的平衡关系。如借贷记账应有平衡关系:有借必有贷,借贷必相等。如果检查输入的记账凭证借贷不平,计算机将给出错误信息。此技术可以每输入一笔业务马上检验一次,也可以一批业务全部输入后,再对整批业务进行检验。这种控制能防止有关数据输入的错误,如“借或贷”及金额等数据输入的错误或一借多贷、一贷多借分录某些记录的漏输或重输。

5.业务编码校验

在经济业务中,有不少单据是顺序编号、顺序使用的,例如:销售发票、支票、记账凭证等。“编号顺序检验”是指在数据输入后,由计算机检查输入单据的有关编号是否满足应有的顺序关系,如果发现重号或缺号,计算机将给出错误信息。这种控制能防止单据在输入过程中的遗漏、丢失、重输或编号输入错误。

6.数据合理性检验

此控制是指在系统中预先设定了各重要或敏感量的上下限,数据输入时,由计算机检查有关量的输入值是否超出规定的极限。如果超出,说明有不合理的情况,计算机将给出错误信息。这种控制能一定程度防止重要或敏感数据输入的错误或可能的作弊,即使出现错弊,也把错弊限制在一定范围之内。

7.数据类型与完整性检验

计算机输入的数据有几种基本类型,如数字型、字符型、日期型、逻辑型等。有的数据只能是数字型,如单价、销售量等;而有的则只能是字符型,如厂名、品名等。因此在程序设计时就应考虑此类控制,使得当输入数据类型发生错误时,计算机能够给出错误信息。另外,各种业务和单据中,都有一些是不可缺少的数据项,如记账凭证中的凭证号、日期、科目、金额等等,输入时计算机检查并控制这些数据项不能直接跳过留空,保证输入数据的完整性。(四)错误的检查、改正与重提

凡在计算机检查中被计算机发现的错误,应由操作员检查错误的原因,交由出错者改正后重新向系统提交。

二、处理控制

信息系统的处理控制是指对系统数据处理的准确性、完整性和可靠性等方面进行的控制。其目标是要保证信息系统对已输入的数据能按既定的要求准确、完整地处理。常用的处理控制手段主要有以下几个方面的内容。(一)处理的操作控制和处理记录控制

这种控制手段要求只有批准的人才能对输入的数据进行加工处理。例如在财务信息中,每天的账务输入完毕后只有授权的工作人员才能对账务数据进行轧账处理,产生流水账、日报表等等。系统应设立操作日志,自动记录所执行过的操作。操作日志的内容应包括操作者的姓名、操作时间、所调用的功能模块等。具体内容可以参考一般控制的“日志记录”部分。(二)处理条件的检查与控制

大多数的信息系统并不是无条件执行对数据的处理工作的,通常,信息系统处理某些数据之前,需要检查处理的条件是否符合,只有在满足条件的情况下处理才会被执行。例如,对输入的凭证,未经审核签字的才能修改,只有经审核才能记账,每月只有在全部凭证已审核记账后才能结账,结账必须在一定时间后才能进行,结账之前账务数据必须经过检查满足借贷平衡条件等等。系统对不满足这些条件的操作提示出错信息,并终止进一步的处理。这些处理条件就是防范错弊的重要控制。执行这些处理时,系统必须首先检查处理的条件是否满足,确保只有在条件满足的情况下才能进行处理。(三)系统要有防止或及时发现在处理过程中数据丢失、重复或出错的措施

常用的措施有:记录数点计、控制总数核对、平衡检验、合理性检验、溢出检验、常数检验、断点技术等。(1)记录数点计是指在重要的处理后,由计算机对处理的记录数进行点计,并与输入的记录数核对,以保证每一个经输入的记录均已被处理。此控制一般用于批处理情况。(2)控制总数核对是指在重要的处理后,由计算机累计已处理的记录的控制总数,并与输入记录的控制总数核对,以保证每一个经输入的记录均已被处理。此控制也一般用于批处理情况。(3)平衡检验是指在重要的处理后,检验处理后应有的平衡关系是否满足。例如,登账后检查借方余额是否等于贷方余额,以防处理出错。(4)合理性检验是指在重要的处理后,检验某些重要量处理后的结果是否有超出合理的范围。例如,检查处理得到的实发工资数有无超出正常范围,以防处理出错或有舞弊行为发生。(5)溢出检验是指在处理时如果发生溢出情况,系统要给出错误信息,以防处理结果出错。(6)常数检验是指某些数据处理的结果应与某个常数相一致。利用此特点,可以对数据处理进行控制。例如,固定资产的净值和累计折旧之和应当与其原值相等,计提折旧处理后可检查此关系是否满足,以防处理的错误。(7)断点技术。断点是由一条指令或其他条件所规定的程序中的一个点。断点技术是指在这个点上,程序运行能被外部干预或为监督程序中断,程序运行中断以后,可以直观检查、打印输出或作其他分析。在断点可以通过计算控制数据(主文件金额数、记录计数、前一程序指令的序号等),发现错误可能出在程序运行的哪一个环节,从而及时更正错误,并从断点开始继续处理数据。(四)账务处理系统中几种特殊处理技术

在计算机账务处理系统中除可用到上述各种处理技术,还可以采用以下控制方法:(1)余额合理性检查。在“账结”法下,实账户期末有余额,而虚账户期末一般应无余额,而且在借贷记账法下,资产类账户余额一般在借方,负债及所有者权益类账户余额一般在贷方。可以将余额合理性标准编入程序,在程序运行时对账户余额进行合理性检查。(2)试算平衡检查。根据试算平衡原理编制程序,对全部账户的期末余额和本期发生额进行平衡性检查,一旦发现不平衡,即说明处理有误,应进行查找和更正。(3)总账和明细账核对检查。将总账和其所属的明细账合计数进行校对相符性检查。(4)明细账和辅助账核对检查。将辅助账合计数和明细账进行核对检查。

这四种方法是综合运用了处理控制和输入控制原理后,结合会计学理论,由程序实现的计算机自动校验技术,在通用财务软件中运用比较广泛。(五)文件检查

保证用于处理的文件确是所要处理的文件,不要张冠李戴用错文件。文件检查包括操作人员对文件外部标签的检查和计算机对文件内部标签的检查。特别是在处理磁带文件的情况,可能会拿错磁带。为了避免此类错误。磁带文件除有明显的外部文件标签外,还应在其开头存有内部文件名。处理程序在处理前先检查其内部文件名,确认正确后才进行处理。由于有时可能会拿错文件版本,如数据恢复时,故处理时不仅要检查文件名,也要进行版本检查、创建时间检查等。

三、输出控制

信息系统的输出如果出错或者输出资料被未经授权的人窃取或接触,都可能使企业遭受损失。例如打印出的支票丢失、有错或送错地方,可能造成应付款项未付或错付,会使企业信用和折扣等受损;机密(如交易机密、机密配方、市场调研成果等)外泄不仅可能使企业经济利益受损,甚至会严重影响企业目标的实现,所以输出必须要有严格的控制。计算机会计信息系统输出控制的目的是要保证系统能准确、完整地输出经处理的信息。输出的信息要能满足管理部门的需要,并保证输出的资料能及时送到规定的用户,禁止未经批准的人接触系统的输出资料。常用的输出控制措施主要有:(1)控制只有经批准的人才能执行输出操作,并要登记操作记录。尤其是对电子商务这样的开放系统,一定要把信息严格分类,可对外公开的信息与内部使用信息严格分开,对信息的输出进行严密的权限与密码管理,防止不具有权限的人通过网络输出系统的信息。(2)在会计报表打印输出前由计算机检查报表间应有的钩稽关系是否满足,若不满足,给出错误信息。(3)对打印输出的资料要进行登记,并经有关人员检查后签章才送出使用或按会计档案的要求保管,未经批准的人不得接触系统的输出资料。(4)对敏感的重要输出资料应有人监督整个操作过程,输出后立即送到使用者手上,或者输出后立即放到其本人专有的保险箱;或者其本人直接到输出点签收;或者输送到专门的保密室打印输出。有些机密文件的打印可用双层纸打印。其上层是全黑的,看不清内容。送到合法阅读人手上后撕去上层才能阅读。(5)打错作废的机密资料应即时销毁或用碎纸机切成碎片后才放进废纸箱。(6)在网络上多个用户共用一台打印机的情况下,多个用户的打印资料往往变成打印队列文件,先存在硬盘上再按序打印。要防止有人窜改队列文件内的数据,如金额、客户名等。(7)输出资料的使用者发现资料上有错误、可疑之处应报告系统管理员,以便查清错误是由于程序开发、维护或数据输入、输出过程中产生的,追究责任。

四、通信控制

随着电子商务和网络经济的兴起,企业的信息系统已经不仅仅是一个封闭的单机系统或者小规模的局域网结构,而是和外部网络连接的半开放式信息平台。在这样广阔的信息平台中,数据通信就成为信息交换的重要途径。数据通信解决了信息传递的问题,通过数据通信,信息系统内部各终端之间可以实现数据的远程共享和远程处理,提高了信息系统的处理和沟通能力。但是,由于信息传递的途径越来越多元化,技术手段层出不穷,数据通信的安全性又面临着前所未有的挑战。例如,数据在经过计算机处理的过程中,数据可以随同计算机产生的电磁辐射向外发射,而目前国内外都已经有能够接受计算机电磁辐射信息的装置,这种装置(类似于稍加改装的电视机天线)能在几十米甚至几百米以外清楚地再现计算机显示器上的数据信息。这种窃取信息的做法,对保密级别很高的会计信息是极大的威胁。又如,在通信线路上传输的信息数据可能被人非法修改,数据传输过程中因为线路原因产生丢失和错误等等,这些隐患和窃取信息一起,构成了企业信息传递安全的干扰因素。

目前,信息学界公认的数据传输安全性包括以下三个具体目标:(1)数据保密性:防止用户的标识或数据被读取;(2)数据正确性:又叫身份验证,指确保数据发自特定的一方;(3)数据完整性:防止数据被非法更改,或者发生数据丢失。

随着网络技术应用的深入发展,数据通讯控制的重要性和迫切性也日益引起企业的重视。企业必须降低影响信息传递安全性的风险因素,采取技术的手段保护日常信息系统通信的保密性、正确性和完整性,这样才能真正提高信息系统运行的效率,保证其他控制措施的顺利落实。常用的通信保证技术有以下四种。(一)数据加密

数据加密是把可理解的数据内容变成表面上看来是无规则和无意义的内容的过程。其中原来可以理解的数据内容称为明文,经过加密以后得到的无规则、无意义的内容称为密文。数据加密的原理如图2-3所示。使用加密算法和加密密钥把原始的明文变成密文,这一过程是为加密;密文生成之后可以用于传输。在密文接收方,通过使用解密算法和解密密钥,该密文能够被转换还原成最初的明文,这一过程称为解密。加密技术将防止数据被查看或修改,并在原本不安全的信道上提供安全的通信信道,它为信息数据的保密性提供了最直接的保证。图2-3 数据加密传输原理

加密技术可以根据加密密钥和解密密钥是否相同分为对称密钥加密技术和非对称秘钥加密技术。前者指的是加密密钥和解密密钥完全相同的加密技术;后者则是指加密密钥和解密密钥不同的加密技术。在非对称加密技术中,加密密钥可以公开,所以又称为公开密钥,简称为公钥,非对称加密技术也因此被称为公钥加密技术;而解密密钥是必须保密的,所以又被称为秘密密钥,简称私钥。非对称加密技术有两个重要特征:第一,用公钥加密的信息数据也只有用私钥才能解密;其次,用私钥签名的信息数据只能用公钥验证。公钥可以被任何人使用;该密钥用于加密要发送到私钥持有者的信息数据。两个密钥对于通信会话都是唯一的。当前国际通行的数据加密标准(Data Encryption Standard, DES)算法是典型的对称密钥加密技术,RSA公钥密码算法(以该方法的三个发明者R.Rivest、A.Shamir和L.Adleman的英文姓氏首字母命名)则是非对称密钥加密技术的例子。

现代加密技术在电子商务和网络经济时代的信息管理中发挥了不可替代的作用,对于强调保密性和完整性的会计财务信息数据有着更为实际的意义。不管是企业局域网还是外部广域网的信息传递,通常都离不开加密和解密的过程验证。(二)数字签名

数字签名又称为电子签名,就是采用一定的数据交换协议,使发送方和接收方满足两个条件:第一是接收方可以通过数字签名验证所接收的数据的确来自于发送方,而不是其他冒充发送的第三方,从而明确数据的来源;其次发送方在发送数据之后也不能否认他曾经发送过数据这一事实,从而防止发送方对数据的抵赖。数字签名保证了信息传递的正确性,使点对点数据通信的可靠性大大增强。

通常的做法是使用非对称加密技术来实现数字签名。前文提到的非对称密钥技术的第二个特征即用私钥签名的信息数据只能用公钥验证,是实现数字签名的基础。数字签名包括签名和验证两个过程,签名的过程和加密很相似,签名者利用私钥对签名的数据进行加密,结果就是已签名的数据;签名的验证和解密相似,验证方利用签名者公开的密钥也就是公钥对已经签名的数据做解密运算,在获得明文的同时验证数据是否来自签名者本人。由于私钥只有签名者知道,所以其他人不能冒充他进行签名,同时签名者也不能否认自己的签名行为,这就达到了充分验证的结果。

数字签名技术在企业和银行资金结算过程中发挥了非常重要的作用。例如在银企直连的结算方式下,企业结算网通过专线直接接入银行网络,银行对企业实行点对点直接服务。银企之间各自掌握公钥和私钥。企业向供应商支付款项时,付款申请以数字签名的方式发送给银行,银行解密验证后支付货款。这其中银行对企业的付款申请验证就是利用了数字签名的非对称加密性质。图2-4显示了银企直连结算中利用数字签名进行的委托付款流程。图2-4 银企直连结算方式下采用数字签名的付款流程(三)信息摘要

信息摘要,又称为信息的“指纹”,是通过一种特殊的函数(称为单向散列函数)为信息数据和文件产生位移的标识,主要用于数据的鉴别。摘要必须随同发送方要传递的信息数据或文件一起打包发送,一起送达至信息接收者。信息摘要的特点是:(1)对于任何大小的数据,单向散列函数产生定长的信息摘要。大小不同,摘要就不同。(2)对任何不同的信息,通过单向散列函数产生的指纹也不相同。信息内容不同,摘要就不同。(3)已知信息摘要,不能通过推理或者计算得到相应的信息数据。也就是如果摘要泄露,不影响信息的保密性。

信息摘要从本质上也是利用了信息加密技术,目的是保护信息数据的完整性。目前常用的单向散列函数算法是MD5(Message Digest5),它能产生128位的信息摘要。信息摘要的工作原理如图2-5所示。图2-5 信息摘要和数据完整性验证

在图2-5中,信息发送使用特定函数计算出要发送数据的信息摘要,然后用密钥加密以后和数据一起发送给接收方;接受方接收到数据和加密的信息和信息摘要之后,对接收的数据计算信息摘要,并把加密的信息摘要进行解密,然后将两者进行比较,如果两个信息摘要相等,说明数据在传输的过程中没有被修改,接收的数据和发送的数据是一致的,否则说明数据在传输过程中被非法篡改了。从信息摘要的运用方式来看,信息摘要对于数据完整性的控制是非常巧妙而有效的。这对于企业内部的信息共享、外部的信息沟通起到了很好的保障作用。当前大型企业集团在和异地的分部进行财务、业务等数据传递时,或者和外部供销商沟通合同细节时,经常附带着信息摘要,以确保通信的完整性不受破坏。(四)确认/重传

在通信线路中传输的数据可能因为线路质量问题发生丢失的情况,尤其是在无线网络中传递时数据丢失的情况更为频繁。数据丢失其实就是发送方发送的数据,接收方没有收到。为了防止信息在传输的过程中丢失,可以采取确认/重传机制。确认/重传机制的原理如图2-6所示。它的原理是接收方收到发送方发送的每一个数据以后,向发送方发送一个确认,表明已收到所发送的数据,如果发送方在设定的时间范围内没有收到确认,则认为该数据在传递数据过程中可能丢失,于是重新发送数据。

五、数据库管理控制

数据库是企业信息系统中最重要的组成部分,信息系统中大多数和信息有关的操作都与数据库有关。例如会计信息系统中某些子系统的输入数据可能来自于数据库,信息系统可以对数据库中的数据进行进一步的处理,然后把处理结果提供给用户或者把输出结果保存在数据库中供以后使用,操作人员也可以直接查询数据库中的数据,然后根据查询的结果进行管理和决策等。数据库对于信息系统的正常运行,实现信息系统目标是至关重要的,如果数据库中的数据受到损坏,信息系统的运行效率会严重下降,甚至会引起信息系统的瘫痪。数据库管理控制的目标是保证数据库的安全性和完整性。常用的数据库管理控制措施有以下五种。图2-6 确认/重传机制

于数据库,信息系统可以对数据库中的数据进行进一步的处理,然后把处理结果提供给用户或者把输出结果保存在数据库中供以后使用,操作人员也可以直接查询数据库中的数据,然后根据查询的结果进行管理和决策等。数据库对于信息系统的正常运行,实现信息系统目标是至关重要的,如果数据库中的数据受到损坏,信息系统的运行效率会严重下降,甚至会引起信息系统的瘫痪。数据库管理控制的目标是保证数据库的安全性和完整性。常用的数据库管理控制措施有以下五种。(一)用户身份认证

用户的身份认证是数据库最外围的安全保护措施,其方法是每次用户操作数据时,由数据库系统对用户身份进行检查,只有认证通过的用户才能操作数据库。这个控制要求只有批准的人才能对数据库中的数据进行处理,这里的处理包括直接操纵数据库或者执行和数据库有关的应用程序。常用的用户认证方法有基于记忆信息的认证(如口令),基于拥有物的认证(如卡片)和基于生物特征的认证(如指纹认证、声音认证、面部认证、虹膜认证等等)。企业最常用的认证方法是口令认证。(二)数据库存取控制

数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限,同时令所有未被授权的人员无法访问和操作数据,这主要通过数据库的存取控制机制来实现。存取控制机制包括两个部分:(1)定义用户权限,并将用户权限登记到数据库系统中。用户权限指不同用户对于不同数据所拥有的操作权限。存放在数据库系统中的这些用户权限定义被称为安全规则。(2)合法权限检查。每当用户发出操作权限请求以后,数据库管理系统根据保存在数据库系统中的安全规则进行合法权限检查,如果用户的操作请求超出了定义的权限,系统将拒绝执行此操作。(三)数据库完整性控制

数据库的完整性是指数据的正确性和合理性,例如职工的员工编号必须唯一;性别只能是男或女;应该存放工资数据的子库字段类型不能是字符;应该存放日期型数据的属性不能存入小数;存入数据库的数值不能超过属性允许的最大范围等。数据库管理系统通过完整性约束条件来保证数据库中数据的完整性。数据库的完整性约束包括三个过程:(1)定义完整性约束条件;(2)检查用户发出的操作是否违背了完整性约束条件;(3)如果发现用户的操作违背了完整性约束条件,则采取一定的行动来保证数据的完整性。(四)数据库的保密控制

对于数据库中高度敏感的数据,例如财务数据、项目情况、投资决策等重要的商业机密,需要加密进行保存,以防止泄密。密码必须和权限相结合。(五)数据库恢复控制

数据库的数据是宝贵的资源,这一控制保证数据库中的数据被破坏后可以被恢复到损坏之前的正常状态。数据库的恢复方法有两种:(1)利用备份恢复。将数据库中的数据定期复制到磁盘上或者磁带上作为备份,当数据库遭到破坏以后,利用这一备份对数据库进行恢复。(2)利用日志文件恢复。对数据库的每一次更新操作都要记录下来,保存在日志文件当中,当数据库被损坏以后,可以利用日志文件把数据库恢复到损坏前的状态。

第五节 计算机会计信息系统内部控制的审计

信息系统内部控制的审计是指审计人员对系统有关的内部控制措施进行审查、测试和评价,发表审计意见。其目的是确定系统的内部控制设置是否完善适当,已有的控制是否恰当发挥了作用,达到了原来的设计目的,针对系统控制的缺陷和薄弱环节提出改进的建议,并以此为依据调整下一步实质性测试阶段的范围、内容和深度。由于电算化会计信息系统的复杂性和智能性,因此对企业内部控制系统进行评审具有更丰富的内容。

一、计算机会计信息系统内部控制审计的步骤

(一)对内部控制的初步审查

初步审查的目标是使审计人员了解计算机信息系统在会计工作中的应用程度,初步熟悉电算化会计系统的业务流程和内部控制的基本结构,包括从原始凭证的编制到各种会计报表的输出的整个过程。审计人员一般可以通过与被审单位有关人员座谈、实地观察、查阅系统的文档资料、跟踪一些业务的处理等方法,了解被审单位信息系统的内部控制的措施有哪些,其控制目标是什么,并在工作底稿中描述这些控制。手工会计系统审计工作中的描述方法如流程图法、内控调查表法、书面说明法等,同样适用于计算机化和网络化的会计信息系统。

在审查的过程中,审计人员应重点了解的内容有以下几项:(1)审阅上期的审计报告和管理建议书,初步了解上期系统的弱点;(2)检查计算机会计系统的文档和系统使用手册,了解系统模块结构、名称、数据库以及相应的功能;(3)检查输入数据的基本依据(电子数据和有关的原始凭证),初步了解企业会计原始数据产生的内部控制制度的基本情况;(4)针对一些基本情况和上述检查发现的问题,与会计人员、系统开发人员和维护人员面谈,以便得到与问题有关的背景资料;(5)初步审查数据处理流程图,了解原始数据的起点、文件名称和系统内的代码、数据经过的部门、数据的重点和保管的措施,以及对产生和使用数据的部门的内部控制,并制作必要的简明数据流程图。

同时,审计人员还要了解以下资料:(1)系统安装日期、计算机硬件系统的型号、机房的基本管理设施、系统管理制度、系统负荷量(数据处理量);(2)系统的组织结构、各级管理的职责;(3)系统内部各级应用子系统的控制类型和主要经济业务。(二)内部控制初步审查结果评价

初步审查后,审计人员必须从整个会计信息系统内部控制的角度出发,评价初步审查的结果,确定内部控制的可靠性程度,并做出结论。其结论一般为以下三种之一。(1)退出审计。由于计算机审计人员缺乏审计的技术或者内部控制不可依赖,存在许多问题,使得整体审计风险水平超出了承受范围,审计人员可以针对这些情况提出管理意见并退出审计。(2)对一般控制和应用控制进一步进行详细的审查。这一结论是在初步审查取得的信息表明内部控制具有一定可依赖性的情况下采取的。这种情况下实质性测试可以适当简化。(3)决定不依赖于内部控制。做出这一决定主要是基于直接实行实质性测试更容易达到预定的审计目标。在这种情况下,由于重大错报风险较高,检查风险必须控制在非常低的水平,所以应当加大实质性测试的工作量。(三)对内部控制的深入审查

深入审查是为了使审计人员对计算机信息系统所用的内部控制制度有深刻的了解。与初步审查一样,审计人员要判断是否退出审计,或是依赖系统的内部控制进入下一阶段的符合性测试,或是直接进入实质性测试过程。对于某些应用子系统,审计人员决定依赖于其内部控制,而对其他的子系统则采用其他更适合的审计过程。

在此阶段,一般控制和应用控制都是审查的重点,但是一般可以先审查一般控制,如果发现系统的一般控制存在普遍的弱点,审计人员就要继续详细审查应用控制,否则可以简化对应用控制的审查。详细审查阶段收集证据的方法和初步审查所用的方法相同。一般控制和应用控制的审查分别参见本节后面的两部分内容。

审计人员在深入审查中必须鉴别出引起系统损失的原因和提出对现有控制制度改进的建议方案,而且必须标明实施的计算机控制制度有哪些是可以依靠的,有哪些是有待于进一步测试确定的。(四)对内部控制的执行情况进行符合性测试

一个电算化会计信息系统,即使具有健全的内部控制,在实际业务处理过程中也不一定被认真执行,因此对其实际执行情况还要进行符合性测试。符合性测试就是对内部控制制度实际执行情况进行检查,即检查这些必要的控制制度是否在执行、是否按规定执行、由谁执行及如何执行等,以便对内部控制的强弱、可靠性及可信赖程度做出最后的评价。审计人员只需对实际存在的控制程序执行测试。执行符合性测试时,应当将实际程序和补偿性控制与规定的程序进行比较。为了确定各项控制是否适当,并且一贯应用,审计人员应当审查有关文档,并且和有关人员面谈。

计算机会计信息系统符合性测试的一般步骤是:(1)确定测试的顺序及方向,通常先测试系统一般控制,再测试应用控制,在某些情况下,两者同时进行测试更利于提高测试的效率和效果。对应用软件的测试顺序有自顶向下、自底向上和两者结合三种方法,内部控制的测试亦是如此。(2)确定测试对象。确定测试对象,即研究对哪些内部控制措施进行符合性测试。通常我们将内部控制系统中的缺陷确定为审计测试对象,同时对那些关键的控制措施,即对那些预防、检测和纠正主要危害和错误的控制措施进行测试。选择测试对象还要综合考虑下列三方面的因素:测试难度和费用;是否有相应的测试工具和技术来实现;可能获得满意结果的程度。(3)确定是否有互补测试。互补测试是指测试某个控制措施时,实际上也相当于测试了其他领域的一项控制措施。有互补测试联系时,可只选择其中之一进行测试。(4)选择测试工具和技术。审计人员应根据具体情况选择最有利于完成测试目的的技术和工具。(5)设计测试方法和数据。(6)进行测试并分析评价测试结果。既要对每项控制措施的测试结果加以分析和评价,又要对整个内部控制系统加以评价。

以上步骤不仅适用于电算化环境,对于手工条件一样适用。但是两种环境的测试方法存在差别。由于会计电算化系统的控制方式是手工控制与计算机控制的结合,因此对手工控制一般可采用手工测试的方法,测试可采用观察法、检查证据法、实验法等,对计算机控制需要采用计算机辅助测试方法,测试可采用检测数据法、程序比较法、平行模拟法。

对系统一般控制的符合性测试方法以手工为主,计算机辅助测试为辅。例如,以通过实际观察来测试职责分工控制;通过审阅书面资料来确定系统开发控制以及软件维护是否经过批准;设备的使用接触控制可以用人工方式测试,而测试口令识别控制则只能用计算机测试方法;但对系统软件和硬件控制则主要采取计算机辅助测试的方法来进行。

由于大部分应用控制措施采用程序实现,因而它应当以计算机测试为主,手工测试为辅。例如,数据录入的正确性控制和数据处理过程控制措施,主要以电算化审计方法为主;而数据采集控制和输出质量控制则以手工测试方法为主。(五)对内部控制进行总评

对会计电算化系统内部控制的总评是在初步评价的基础上,根据符合性测试的结果,评价被审系统内部控制的可靠性。总评主要考虑以下三个问题:(1)经过初步评价,被审计系统内部控制中有哪些满意或比较满意的控制措施?(2)经过符合性测试,上述各项控制是否确实按照规定发挥作用,其符合程度如何?(3)上述各项控制是否仍然可以依赖?其可靠性如何?

总评工作完成后,可编制内部控制总评表。(六)内部控制评审结果报告

对于内部控制评价和测试的情况,审计人员必须做好审计记录,并撰写内部控制审计报告来表达审计意见,并针对存在的问题以及可能导致的错弊,提出改进的建议。

二、计算机会计信息系统一般控制的审计

对一般控制的审计就是要取得审计证据,正是被审期间有关的制度和规程是否健全,计算机信息系统是否按照规定的制度和规程工作,控制的作用是否达到了预期的效果。(一)组织控制的审查

为了审查组织控制是否健全,首先应当了解被审计单位的组织结构、人员分工情况。审计人员可以通过与被审单位的管理层和员工交谈,像信息系统部门以及各业务部门的人员询问调查,了解业务部门与信息系统部门的职责是否分离;信息系统部门内是否有恰当的职务分离。此外,审计人员应当实地观察业务的处理和会计信息系统的操作情况,实际检查在业务处理过程中是否确实保持有恰当的职责分离。对于规模较小的单位,电算化会计信息系统的规模也可能较小,信息系统部门的人员少,往往职责分离很差。在这种情况下应当由别的控制给予补偿,例如,由业务部门或者有关负责人对系统的输入输出进行复查。审计人员也应当审查相关的补偿控制是否有效。(二)系统开发与维护控制的审查

对一个系统的首次审计,应当对系统开发和调试进行追溯审查。审计人员应向有关人员了解系统的开发有无用户代表和内审人员参加,他们参与了哪些工作,现有的信息系统能否符合用户的要求。如果内审人员留有审查系统开发的工作底稿,审计人员可以查阅这些重要的底稿,了解系统开发的控制。审计人员还应了解系统的测试,查阅测试的数据和结果,检查系统在试运行阶段的情况,查实系统在正式投入使用前是否经过了最后的批准。另外,审计人员应检查信息系统是否编有完整的文档资料,查阅这些资料,并把它们复印下来作为工作底稿以备查。

再次审计同一系统时,审计人员不需再重复审查系统的开发和调试,只需检查自上次审计以来信息系统所作的维护改进。审计人员要了解和查实所作的修改是否经过批准,修改后有无经过测试即投入使用,有无对修改作详细的文档记录等。有关维护修改的记录,审计人员应复印下来作为工作底稿以备查。对系统开发与维护控制的审查,可以帮助审计人员对信息系统的风险和薄弱环节进行评估,使下一步的审查更有针对性。(三)系统安全控制的审查

接触控制是系统安全控制的重要环节。接触控制的审查可以通过审计人员对被审单位有关人员的盘问实现,但是更为重要的是通过实地观察,以证实是否只有经过批准的人员才可以接触系统的硬件、软件、数据文件和文档材料。例如,审计人员要实地检查机房或者终端是否上锁;未经批准的人员是否有可能接触系统;程序员有无可能接触计算机设备和系统的会计数据文件;要检查系统资料保管制度的执行情况;操作员能否接触系统设计和程序设计的有关资料等。接触控制的另一重要措施是密码的使用。审计人员还应调查是否只有经过批准的人才可以得到密码,对用错密码企图进入系统的情况,系统是否有记录并且有专人进行调查。

系统的硬件、软件、数据文件的后备以及灾难的补救计划是系统安全控制的重要措施。审计人员应当实地检查系统的后备硬件、软件和数据文件备份,并检查其保管是否符合安全要求。审计人员还应向有关人员了解,一旦系统发生意外,出现数据文件的毁坏时,操作员是否懂得利用后备文件进行恢复;如果系统全部毁坏,信息部门能否利用后备硬件、软件和数据文件进行恢复。(四)硬件和系统软件控制的审查

硬件和系统软件是由计算机厂商提供的,一般而言,其功能和控制是较为可靠的。它们的审查一般与整个计算机信息系统的处理和控制功能审查一起执行,较少单独审查。当系统软件有多种选择的功能和控制时,审计人员应当注意被审单位选择了哪些功能,是否充分利用了其控制。硬件、系统软件功能和控制的审查要利用到计算机辅助审计技术。(五)操作控制的审查

对操作控制进行审查,审计人员应当首先检查有无操作管理制度,是否对操作员的人数、口令、使用权限等实行严格的控制管理,是否按照操作手册中规定的操作步骤进行操作;其次应实地察看操作人员的操作情况,检查操作人员的分工以及错误的处理和更正程序是否符合内部控制的原则,是否有详细的日志记录;最后应当检查当系统出现异常情况时,有无及时恢复系统操作的步骤和方法。

试读结束[说明:试读内容隐藏了图片]

下载完整电子书


相关推荐

最新文章


© 2020 txtepub下载