时间:2022-06-03 06:46:14
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇计算机审计系统范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
相关问题的研究
(一)计算机审计系统(CAS)。随着信息技术在企业管理中的广泛使用,尤其是ERP系统的实施,企业的经营、管理及核算越来越依赖于复杂而庞大的管理信息系统。审计的对象也发生了根本变化,由纸质财务账簿转变为数据库中的电子数据(或称电子账);同时,资本市场对审计报告真实性和及时性的要求也越来越高。无论是以加强内部控制和企业管理增值为目的的内部审计、以财务真实性和公允性鉴证为目的的社会审计,还是以真实性、合法性和效益性审查为目的的国家审计,都不可避免地会受到企业信息化的冲击与挑战。审计师必须运用IT技术手段,掌握数字化审计证据收集方法,才能胜任信息化环境下的审计工作,降低审计风险,提高审计效率。定义1计算机审计:计算机审计也称计算机辅助审计,是审计人员运用信息技术和审计知识,在被审计单位现场或者通过远程网络,对被审计单位与财政财务收支和管理财政财务收支相关的电子账目或财务数据库数据进行审计。现代审计的范围正逐步延伸,跨越了财务模块,计算机审计对象已经发展为面向整个供应链的信息系统审计,是对整个企业应用的业务数据审计。定义2计算机审计系统(CAS):计算机审计系统是在审计过程中所采用的能够完成特定审计功能的各种应用系统的总称。计算机审计系统作为审计辅助工具,可以完成审计数据采集、整理、计算、统计、查询和报表生成等工作,为审计人员实施各种审计检查和收集审计证据提供帮助。
(二)面向服务构架(SOA)。面向服务构架(简称SOA)是一种软件架构思想,这一思想认为软件即服务,是将企业内部与外部的每一个业务功能单元封装成服务。SOA将这些服务从复杂的环境中独立出来,进行组件化封装,不同的服务之间通过标准接口相互调用。作为企业应用解决方案的基本元素,服务可以被描述、、发现及绑定,其平台是独立的、自治的,并且可以用XML编程的大型分布式互操作应用系统。图1说明了Web服务能够执行面向服务架构的模型。图1描述了Web服务的基本组成。该架构由三个参与者和三个基本操作构成。三个参与者即服务提供者(Serviceprovider)、服务请求者(Servicerequester)和服务(Servicebroker);三个基本操作即服务(Publish)、服务查找(Find)和服务绑定(Bind)。
(三)研究动机。计算机审计系统解决了数据采集、数据预处理、数据分析、疑点管理、审计底稿撰写、审计报告生成等难题,提高了审计效率和效果,在实际工作中发挥着重要的作用。许多学者致力于将新的信息技术应用到计算机审计中,并开始探索新的计算机审计模式。廖志芳等提出了联网审计实际的三种审计组网模式,即集中式、分布式以及点到点式组网模式[2]。李世新在对XBRL和Web服务进行介绍的基础上,提出了一种基于XBRL和Web服务的网络化审计取证模式[3]。李湘蓉在研究了网络环境中计算机审计系统应具有特点的基础上,提出了一个基于本体的计算机审计系统[4]。还有学者论述了计算机审计模式及风险防范[512]。一些学者对Internet环境下的审计系统进行了研究,Chen和Sun通过对面向服务架构环境进行研究,提出了一个内部控制持续审计模型,称为协同持续性审计模型,通过对企业资源计划数据库中的数据转换组件进行封装,软件提供商可以为企业提供模式匹配服务来实时转换业务交易数据[13]。Ye和He运用Web服务的一系列组件,提出了基于Web服务的持续审计业务流程模型,用于提供有关特定业务的鉴证[14]。Internet环境下的动态信息系统具有共享资源的多样性,无统一控制的“真”分布性,基础平台的开放性和动态性,人、设备和软件的多重异构性,节点的高度自治性,链接方式的动态开放性,网络连接的多样性,使用方式的灵活性和个性化,实体行为的不可预测性。我们认为在新的动态企业信息环境下,迫切需要与之相适应的审计模式和计算机审计系统。
面向Web服务的计算机审计系统(WSCAS)体系结构
(一)系统体系结构。面向Web服务的计算机审计系统(WSCAS)是一个开放的系统,复杂的审计任务由大量解决问题的Agent承担,每一个智能Agent只能解决特指的某一类问题,关注特定任务的完成。用Webservices封装的Agent,一个服务可能涉及一个或多个Agent,这些不同功能的Agent协力合作并提供特定的服务。系统是一个开放的环境,不同的Agent不必在同一地点或属于同一公司。通过对其他Agent知识和能力的理解,这些Agent能够突破固有的智能范围,协同工作实现目标。图2是面向Web服务的计算机审计系统(WSCAS)体系结构。由于系统具有开放性,可以不断地向系统中加入新的Agent,从而使得系统的处理能力不断增强,适应性不断提高。也就是说,除了WSCAS提供的服务,其他个人和公司也可以提供审计项目管理服务、审计数据采集整理服务、审计数据分析服务、审计抽样服务、审计文档管理服务以及其他相关的计算机审计服务。通过标准的通讯协议,每一个Webservices封装的Agent可以自由选择访问其他服务。
(二)智能Agent交互。如下页图3所示,WSCAS交互系统由外部实体和审计组件两部分组成。外部实体向系统提供被审计单位的数据和模型。根据《审计法》规定,被审计单位接到审计通知书后,要向审计小组提供审计范围内以及特定时间段审计所需要的完整数据。被审计单位的数据不但包括财务数据、业务数据,还包括被审计单位的基本情况、上一次审计的结论等相关数据。被审计单位模型包括审计所需的被审计单位业务流程、相关的法律法规等系统模型,这些模型是开展审计工作的基础和判断审计疑点的依据。审计组件包括数据采集模块、审计数据分析模块、审计抽样模块和审计文档管理模块。
数据采集是审计人员从被审计单位的信息系统中提取指定范围、指定内容的业务数据并收集到审计系统中。用IT技术对电子账进行审计有两个需解决的关键问题:一是审计人员采集电子账中的电子数据,包括电子账套中的数据和信息系统数据库中的数据;二是分析审查采集到的电子数据。数据采集是对电子账数据进行实质性审查工作的第一步。数据采集是否全面、准确、客观将直接影响计算机审计的结果。若采集的数据不能客观全面地反映企业的经济业务状况,那么审计人员即使有很强的职业判断能力,也无法得出正确的审计结论,从而增加审计风险。因此数据采集在整个计算机审计过程中至关重要。数据采集的信息可以分为三类:被审计单位信息采集、财务数据采集、业务数据采集。
一是被审计单位信息采集Agent。审计业务的开展与被审计单位的企业规模、业务流程、组织结构以及相关的行业法规制度等密切相关,在审计准备阶段和审计实施阶段的初期,审计人员必须首先获得被审计单位相关信息,然后才能开展审计工作,被审计单位信息采集Agent负责此类信息点采集。二是财务数据采集Agent。财务数据采集主要采集以下两种数据:财务备份账套数据和财务数据库数据。财务账套数据是会计信息系统中经过加密后的备份电子数据,其格式不是标准的数据库格式,而是会计信息系统以其独特的方式备份数据。不同的会计信息系统财务账套数据文件的格式不同,所以WSCAS提供不同的财务账套数据采集Agent作为智能数据采集接口,完成财务备份账套数据的采集工作。财务数据库数据是保存在标准数据库中的会计数据,数据文件以标准的数据库文件格式保存,系统为各种数据库提供了相应的数据采集Agent,财务数据库中有许多表,其中和审计相关的主要数据库表为会计期间定义表、会计科目表、会计科目的设置表、凭证表等。通过数据采集Agent接口采集数据,审计人员要清楚数据库,数据库表,字段的结构、属性和含义,这样才能对数据进行采集整理,保证数据的完整性。三是业务数据采集Agent。由于审计范围的不断扩大,审计对象不再局限于财务数据,还包括许多业务数据的审计,如社会保障审计、高速公路收费审计、经济效益审计等,这些数据保存在业务数据库中,由业务数据采集Agent作为智能的采集接口,采集业务数据。
数据采集的目的是为审计分析做准备。审计数据分析是通过运用审计分析方法和分析工具,对被审计单位审计数据进行分析,发现审计线索,获取审计证据,进而形成审计结论。利用计算机的数据分析方法有:账表分析;数据查询;数据挖掘;联机处理;审计分析工具;审计疑点管理等。接下来进行具体分析。一是账表分析Agent。审计人员将采集到的财务备份数据还原成电子账,通过对被审计单位会计基础资料的检查和分析,找出审计线索,得出审计结论。账表分析Agent的主要功能包括总账审查、科目明细账审查、辅助账审查、会计科目审查、凭证审查、未记账凭证审查、日记账审查、报表审查等。二是数据查询分析Agent。审计人员根据审计经验,按照一定的审计分析模型,对从数据库中采集到的数据进行查询分析,发现审计线索,达到审计目的。数据查询分析Agent主要的查询分析方法有数值统计、重号分析、断号分析、分类分析、数据分层分析、时间分层分析等。三是数据挖掘Agent。随着信息技术的高速发展,尤其是被审计单位信息系统数据库中各种格式的业务数据急剧增长,只靠审计人员的人工阅读或简单的审计数据检索无法及时发现不同层次的审计线索。数据挖掘Agent能够从被审计单位海量的数据中挖掘出隐含的、先前未知的、对审计结论有价值的审计线索,以及能被审计人员所理解“知识”的数据处理过程。四是联机处理Agent。联机分析处理是与数据仓库密切相关的一种决策支持工具,联机处理Agent能够使审计人员从多角度对审计数据进行处理,获得对审计数据更深层次的了解,发现审计线索,实现对审计决策的支持和多维分析。五是审计分析工具Agent。除了上述一般审计分析方法外,WSCAS还提供了一个开放的、专用的审计分析工具平台,审计人员不但可以利用系统提供的审计分析工具,还可以不断充实新的审计分析服务。审计分析工具Agent可以进行单科目金额分析、对方科目分析、坏账准备计算、营业税计算、固定资产折旧计算、个人所得税计算、图表数据分析等,帮助审计人员发现审计疑点。六是审计疑点管理Agent。审计疑点管理Agent可以存储、管理并逐项落实审计分析中发现的审计疑点。
审计抽样是审计人员在实施审计的过程中,从审计对象总体中选取一定数量的样本进行测试,并根据样本测试结果推断总体特征的一种方法。审计抽样是一种能够大幅度提高工作效率、量化控制审计风险、规范审计行为、提高审计工作质量的审计技术方法。特别是在被审计单位内部控制制度健全、审计对象数量庞大且经验判断难以奏效的情况下,采用审计抽样技术审计效果显著。具体应用如下:一是抽样管理Agent。抽样管理Agent可以管理审计抽样全过程的信息,包括总体表中的数据管理、抽样方法的选择、样本表中的数据管理等。二是抽样审核Agent。抽样审核Agent对审计抽样的样本信息在审计现场进行审计核对,并将审核的结果输入系统中,输出生成抽样审核结果表供审计人员使用。三是抽样评价Agent。抽样评价Agent根据样本数据的审核结果,推断总体审计数据的情况。
审计文档管理是计算机审计过程中的一项重要内容,审计过程中的文档主要有审计底稿、审计日记、审计证据、审计报告、审计台账等。具体应用如下:一是审计底稿Agent。审计底稿Agent记录审计过程中所发现的被审计单位违纪违规问题,对审计日记、审计证据所反映的问题进行描述,汇总审计报告、审计台账等审计资料。二是审计日记Agent。审计日记Agent记录审计人员当天的审计过程,内容涉及审计分工、审计事项、审计实施步骤和方法、审计查阅的资料和数量、审计人员的专业判断和查证结果以及其他一些需要记录的情况等。三是审计证据Agent。审计证据Agent负责建立、管理和汇总审计证据。四是审计报告Agent。审计报告Agent以审计底稿为素材,生成报告提纲并形成审计小组的审计报告初稿。五是审计台账Agent。对照审计报告、审计决定等审计文书的结论,对每篇审计底稿的问题和金额进行确认,系统根据确认后的结果,由审计台账Agent自动汇总问题和处理处罚数据,生成审计台账,最终生成的审计台账参与审计报表的汇总。
面向Web服务的计算机审计系统(WSCAS)的原型开发
本文将移动Agent技术和Webservices技术结合,集成两者优势,克服各自局限性,构建面向Web服务的计算机审计系统,如图4开放Internet环境下的计算机审计服务的集成架构。为了实现系统中审计服务的统一调用,我们将各种业务逻辑封装为服务,提供标准、统一的服务接口,从而实现技术对外界透明。本文使用了Java技术开发系统功能模型,描述模型的架构和元素。
系统评价
为了验证本文所论述方法的有效性,阐明基于Web服务是如何集成工作并实现计算机审计的目标,我们用一个案例来描述服务的协同操作过程(具体见下页图5)。审计人员对企业进行财务审计,首先要明确审计任务,组成计算机审计小组,在了解被审计单位基本情况的基础上,制定计算机审计方案,确定计算机审计范围、审计重点、审计实施步骤、审计安排、审计方式、人员分工以及需要运用的计算机审计方法和审计实施注意事项等,利用WSCAS开展基于Web服务的计算机审计工作。
(1)审计项目管理Service发出审计通知书。审计小组通过系统的审计项目管理服务,向被审计单位发出审计项目通知书。
(2)被审计单位信息Service以服务的形式向系统被审计单位的基本情况信息,提供给审计小组。
(3)审计数据采集Service采集被审计单位审计数据。被审计单位信息Service按照审计小组的审计要求,将审计通知书中说明的指定时间段、指定范围的审计数据进行服务封装、注册和,提供给审计数据采集Service。审计数据采集Service首先对采集到的审计数据进行数据验证,确认采集数据的真实性、正确性和完整性,然后对数据进行预处理,这是由于被审计单位的数据来源繁杂,采集来的审计数据可能存在质量问题,不能直接进行审计数据分析,需要进行预处理。预处理包括数据转换和数据清理。数据转换是将采集来的原始数据转换成审计人员容易识别的数据格式和名称,主要包括将被审计单位的数据有效装载到WSCAS系统中,明确数据字典,标识出每张表、每个字段的含义及其关系;数据清理是整理不符合质量要求的数据,清除存在明显错误的数据,如缺失的数据、不完整的数据、不准确的数据、不一致的数据以及重复的记录等。
(4)审计数据分析Service。以审计数据采集Service输出的中间表作为审计分析的基础进行审计分析。在审计分析中,审计人员根据相关的业务处理逻辑、业务数据的勾稽关系、法律法规的规定或审计经验等,建立审计分析模型,用账表核对、指标分析、账表勾稽关系模型、业务逻辑分析模型、法律法规分析模型以及审计经验模型等方法进行总体审计数据分析,然后审计数据分析Service对审计数据进行复算、检查、核对和判断,发现审计线索,收集审计证据。
(5)审计数据抽样Service。在明确审计目标和审计对象的基础上,根据被审计单位的内部控制评价水平确定审计抽样的样本量。审计数据抽样Service选取样本并审查,评价抽样结果,并返回到审计数据分析Service。
(6)在审计数据分析和审计数据抽样过程中,审计人员记录当天审计过程、实施审计的步骤和方法、审计查阅的资料和数量、审计人员的专业判断和查证结果等,将这些情况提交到审计文档管理Service,形成审计日记。
(7)在审计数据分析过程中,审计数据分析Service将审计发现的问题作为审计疑点,发送到审计文档管理Service,审计文档管理Service负责落实审计疑点,若证实确是问题,则将该疑点作为审计证据。
(8)审计文档管理Service编制审计报告初稿,和被审计单位沟通,生成审计报告正式稿,形成审计意见。
一、我国当前小微企业的现状
小微企业是小型企业、微型企业及家庭作坊式企业和个体工商户的统称。小微企业无法与国有垄断行业的企业或是大中型外企比肩。但是小微企业在国民经济中发挥着巨大的作用。据统计,已登记注册的小微企业有一千多万户,占我国企业总数的99%,提供了85%的就业岗位,贡献了我国60%的GDP和54.3%的税收。可见,小微企业是国民经济和社会发展的重要力量。
二、计算机审计的内容
计算机审计主要是指对企业电算化系统进行审计,以判断电算化系统的处理过程是否合规、合法、可靠。这可以称为计算机系统审计。
会计电算化系统是计算机审计的重点,一般包括三个层次:计算机系统、会计处理系统、电算化管理系统。其中,计算机系统包括计算机的硬件、系统软件和数据库软件。会计处理系统是指专门的会计信息处理软件。而电算化管理系统主要指一种管理制度和内部控制流程。而对会计电算化系统的审计,就是对这三个层次的审计。其中,对前两个层次的审计,主要是针对软硬件系统层级的审计,是属于技术层次的审计。而对第三层次的审计是有关于电算化控制制度的审计,是属于制度层面的审计。
在计算机审计的方法上,分为数据级审计、系统级审计、制度级审计。数据级审计就是对数据的合法、可靠性进行检查。系统级审计就是对电算化系统中的硬件、系统软件、数据库软件和会计处理系统等软硬件系统的内部控制在多个层面上进行检查。制度级审计就是对企业电算化系统的各种无形的管理的制度的内部控制有效性进行检查。审计理论中,审计的测试包括实质性测试和符合性测试。实质性测试就是验证数据的可靠性和完整性。数据级审计就属于实质性测试的范畴。而符合性测试指审计人员在对被审计单位内部控制进行初评的基础上,为证实该控制是否在实际工作中得以贯彻执行而进行的测试活动。系统级审计和制度级审计就属于符合性测试的内容。数据级审计和系统级审计的方法主要涉及到计算机方面的尤其是软件工程中软件测试的相关技术知识。
软件测试一般分为静态和动态两种。静态测试不涉及程序的实际执行,如阅读程序代码等。动态测试分为白盒测试和黑盒测试。白盒测试就是这一方法是把测试对象看作一个打开的盒子,测试人员依据程序内部逻辑结构相关信息,设计或选择测试用例,对程序所有逻辑路径进行测试。黑盒测试黑盒测试也称功能测试,它把程序看作一个不能打开的黑盒子,在完全不考虑程序内部结构的情况下,在程序接口进行测试。
三、计算机审计在小微企业中的运用
(一)技术层面的应用。
在小微企业的计算机审计工作中,由于小微企业通常规模小、人数少、技术实力不强等因素的制约,使得静态测试几乎无法无法做到,而动态测试也只能做到一部分黑盒测试的内容。
静态测试需要审计人员获得所审计软件程序的源代码或者流程图。而这两样由于软件厂商保密性的要求,一般不会提供给审计人员。而如果审计人员采用反汇编等措施来获取程序源代码,一来由于技术条件要求苛刻,二来在转换过程中会出现与原始代码的差异,所以原始程序始终无法得到。且由于各种电算化系统软件是以各个功能模块的形式展现在企业面前的,所以整个电算化系统对于使用企业和审计人员来讲就是一个黑箱,无法知道其内部运行构造。而嵌入监控程序这一措施也因为技术上和成本上难以实现而在实际操作中无法得到应用,所以只能做到黑盒测试。而黑盒测试也只能大致做到数据测试法的层级。对于小微企业中的电算化系统,审计人员在审计时,数据测试可以很好地完成。而由于电算化系统各部分功能模块众多、结构复杂,通常只能测试到几个系统的主要模块,很难达到遍历的程度。且因为小微企业的审计收费偏低,为了考虑审计成本的影响审计人员也无法做到对所有的功能模块全部进行模拟测试。而这还是实力比较强的小型企业的状况。对于实力不济的微型企业,只是按照常规的审计流程做些数据测试级别的审计。除非相关系统经常出现严重错误,否则其他的计算机审计程序基本不做。这一部分是由于审计成本的原因导致,另一部分是由于审计人员的技术能力达不到造成的。
在实际审计工作中,小微企业的审计项目收费低,所以考虑到成本因素,审计人员在审计过程中只是完成了基本的审计程序,而对小微企业电算化系统的计算机审计涉及甚少。而这也成为小微企业的计算机审计无法有效开展的致命伤。
(二)制度层面的应用。
对于电算化制度层面的审计,小微企业也有自己的特色。小微企业在组织结构类型中通常采用创业型组织结构。这种结构下,企业的所有者或管理者作为中心人员,完成所有企业的重大决策,并对下属直接控制。也就是说,在这种组织结构中实行的就是中心人员一言堂,只有基本的管理制度,电算化制度几乎不存在。对规模较大的小微企业,通常采用职能型组织结构。这种组织结构下,不同的部门有不同的业务职能,形式上各部门相互独立,但在实际业务中各个部门都在相互影响。即使在职能型组织结构中,针对电算化的内部管理控制制度也很不健全。通常是在审计过程中被审企业按要求整改,审计过后企业又恢复原样。
四、相关对策
而如何解决这些问题呢?对于计算机系统审计存在的问题,可以要求市场上的电算化系统必须经过国家相关机构的质检后可上市出售。这样审计人员在进行计算机审计时只要相关系统是经过国家机构认可的,就可省去大量测试环节。不仅降低了审计风险,也降低了审计成本,提高了审计效率。此外,可安排事务所的一部分审计人员专门进行计算机审计方面的培训,如果有相关的审计程序要做,可由这些具备必要知识技能的人员来完成。对于电算化制度方面的审计,要完善审计公告制度。对于屡审不改的企业要及时公示,敦促其建立适当的管理控制制度。
五、结论
随着电算化系统在各个企业的普及,计算机审计的相关问题越来越的到社会的重视。尤其是企业中的重要群体——大量小微企业,其计算机审计的效率和效果与审计成本、审计人员的计算机水平及企业组织结构之间的矛盾非常突出。这就需要作为社会服务管理的提供者——政府出面,制定规定来对电算化系统的可靠程度进行保证,以降低审计风险,减少审计成本。也需要会计师事务所针对小微企业计算机审计的特殊性来采取措施。而在电算化制度层面的问题,一方面要加强审计的公告监督,一方面也要认识到小微企业由于自身发展状态的限制,很多制度的不完善是不可避免的。不能制定的相关制度限制的太死而阻碍小微企业的发展。制定相应规范时要考虑到小微企业的实际情况。
参考文献:
[1]李雪.审计理论研究[M].青岛:中国海洋大学出版社,2005.
[2]文森特,等.蒙哥马利审计学[M].北京:中信出版社,2007.
[3]中国注册会计师协会.审计[M].北京:经济科学出版社,2011.
[4]中国注册会计师协会.公司战略与风险管理[M].北京:经济科学出版社,2011.
[5]普雷斯曼,等.软件工程[M].北京:机械工业出版社,2011.
[6]刘文乐,等.软件测试技术[M].北京:机械工业出版社,2012
[7]姜玉泉.会计电算化与计算机审计[J].审计研究,2001,4:60-62.
在计算机信息系统下,微机可以在以下方面帮助注册会计师审计:
l描绘客户系统的流程图,有专门的流程图软件可以使用。
2.估计审计风险。
3准备审计程序。
4分析性复核。
5准备审计工作底稿。
软件有两种:
1.一般的商业软件。用的比较多是woRD和ExcEL。
2专门编写的软件。大的会计师事务所,如五大,会聘请专门的编程人员编写一些软件,比如:如审计程序的数据库,在需要时可以考备进审计方案专门用来估计审计风险和确定审计测试水平的软件。
二、注册会计师在审计中应用计算机软件,如果使用不当的软件、注册会计师会很容易受到讼诉。
三、会计电算化对审计的挑战
注册会计师应认识到客户的会计资料电算化对审计的审计具体目标、符合性测试和实质性测试的影响。这些影响主要表现在
1.控制集中在计算机部门会计核算程序的统一和使用计算机资源的需要使控制集中在计算机部门,这样会出现资料被故意和恶意破坏而其它部门不知情。大多数客户通过分散责任来使非计算机部门能确认资料的准确性,但是注册会计师在制定审计计划时应充分关注这种控制是否充分,尤其是在这种控制过于集中在计算机部门的时候。
2.缺乏原始记录
在一些系统下,传统的日记帐不存在,而在其它系统下原始文件可能就没有。比如在热线系统下,操作员在电话中收到一个订单,他可能通过一个终端立即把相关的资料输入电脑。在这种情况下注册会计师可能无法追综到原始的资料。
3.缺乏审计轨迹
现在系统在设计时就尽量减少打印出来的资料,企业的控制是通过“例外报告”来实施,这样完整的打印出来的资料注册会计师无法得到,也就无法从会计报表追综到原始资料,反之亦然。
4.审计所需要的资料被覆盖
软盘或硬盘里的资料不断被新的资料所覆盖。所以注册会计师不得不定期访问客户以获得不同时点的企业的资料。
5.程序控制的不断改变
注册会计师在信赖客户的程序前应检测该控制。而客户的计算机程序控制是不断改变,旧的程序不断被覆盖,所以年终的程序未必能代表本年的程序控制情况。所以注册会计师应定期检验和测试客户的程序控制情况。
6.依赖专家的工作
计算机的广泛使用要求注册会计师应能够审计电算化的会计资料。有一些大的公司在聘请内部审计工作已开始聘用计算机人员而不是会计师.而事务所培训本所的审计人员以精通地掌握计算机是不大现实的,这就注定事务所将在越来越大的程度依赖专家的工作。
四.计算机技术在审计中的应用
有两种计算机技术在审计中可以应用,一是审计软件。二是测试数据。
(一)审计软件
软件分为三种一般市场上可以购买到的软件;事务所聘请软件公司或本所自己开发的软件;客户的测试软件
注册会计师在符合性测试和实质性测试中可以大量利用这些软件,尤其是在实质性测试利用这些软件来快速地浏览客户的交易并提取出需要注册会计师手工测试的部分。具体包括以下这些工作:
1.计算复核。
2.出违反系统规则交易。
例如:用审计软件发现违反应付帐款超过规定的信用限额的交易。
3.发现异常的项目。例如用审计软件发现某笔交易给了客户50%的折扣。
4.计算。
5.选择需要测试的项目。例如用审计软件用统计的方法去确定需要发询证函的项目。
6.完整性的测试
例如检查发票的连续性以检查是不是所有的交易都已反映。
但是在使用审计软件过程中,注册会计师会遇到以下这些难点:
1.成本昂贵、2.客户系统不断改变、3.有些软件不适用于微机、4.有些审计软件过于复杂、5.需检查测试中的文件的版本同审计软件是否兼容。
注册会计师如果直接在客户微机上使用审计软件应非常小心,必需在使用之前测试审计软件。如果使用客户的拷备文件,注册会计师应肯定拷备文件与原本完成一致。
(二)数据测试
审计数据测试是指注册会计师把数据输入客户的计算机系统里以检测客户的手工控制和程序控制。数据测试一般是用来作为应用测试的符合性测数据测试包括以下三种:
应实施的控制
l文件备份。
文件备份的工作应该定期举行,至少每天一次。审计完成后,审计资料的软盘应备份到至少两到三份,而且应作好软盘的保存工作。
2文件的安全。
应制定一定的制度,规定只有经过授权的人才可以接触到审计资料并尽量使用密码。
3保存必要的书面资料。
客户在使用计算机时未必会书面保存计算机里的资料。注册会计师在审计中应要求客户打印出审计所需要的文件并保存。
4软件的测试。
在使用审计软件前,事务所应测试审计
1.“活数据”测试
注册会计师使用已经处理过的数据来作测试.
注册会计师在作测试前已知道把数据输入客户的计算机系统会有什么结果。然后注册会计师对比预测的结果和实际结果并调查差异。这种方法并不是太可行,因为用于测试的数据必须是正常、异常的或是荒谬的。而来自日常运作的数据通常不具有这些特点。
2.在正常运作中使用“死数据”
注册会计师按已知条件构建一系列的交易。这些交易同正常的数据一起运作,实际的结果同预期结果进行比较。这种方法能够产生模拟的测试环境,
因为客户的实际软件和数据都同注册会计师构建的交易一起运作。然而这种方法很危险,输入的资料必须删除这将非常费时并需要修改程序。如果输人的资料破坏了客户的会计资料,那么将会是有讽刺意义。
3.在特殊运作中使用“死数据”
在这种运作中的数据是同以上第二种模式的数据是相同的,只是数据是运作在客户的资料库的考备文件。这样,第二种方式中的短处可以消除,但是注册会计师却需要肯定考备文件同原始文件是一致的。
但是使用数据测试有以下几点难处
1.成本
这包括构建模拟交易的成本、预期测试结果的成本和确定控制的成本。
2局限性
数据测试的目的只用于测试内部控制。因此比审计软件的用处要小些。
3.记录
使用数据测试未必会留下所作审计工作的记录,所以注册会计师应记下所测试的控制、测试的过程、所用的交易和资料、预期的结果、实际和预期比较的情况。
其它困难在介绍以上三种方法已介绍过。这里不再重复。
(三)其它计算机审计技巧
l.植入的审计软件
事务所在征得客户的同意后,把审计软件短期或长期植人客户的计算机系统里。这种软件可以使客户的数据在运行中被审计软件检测,这是真正的同步审计这种审计在审计轨迹不充分或客户的资料不断被更新的情况尤其适用。它可以用于以下三个目标:1.把注册会计师日后需要审计的文件进行存盘。2.检查正在处理的文件的正确性。3.将注册会计师预先设定的条件需关注的和保存的文件。
2.系统软件数据分析
绝大多数的系统软件都提供把同计算机相关的信息保存的功能。例如把进入者无效的密码,未授权者试图进入系统的情况,电脑操作者干扰电脑情况记录下来。注册会计师在进行一般控制的时候,可以通过资料的分析来取得证据。
3.应用程序的检测
这涉及到注册会计师详细检测客户的程序指令。这可以通过手工测试或专门的软件来进行。注册会计师想测试程序是否以它应该运作的方法在运作。比如:注册会计师检测某一用来计算复杂的折扣计算的程序是否运作正常。
4.平行运作
事务所也设计一套程序同客户的程序功能一致所以相同的资料应该得到同样的结果,否则一般就是客户的程序有问题。
5追综
追综就是从头至尾追综一笔交易看程序指令运作的情况。
计算机对注册会计师审计的影响是深远的,这一点在未来的几年、甚至是现在已越来越深刻地表现出来。计算机在审计中的应用会提高审计效率减少审计的工时,降低审计的风险。因此建议有条件的事务所可以从以下几方面入手:
l.聘用计算机人员
2.尝试市场已有的审计软件软件,如果使用不当的软件、注册会计师会很容易受到讼诉。
一、计算机会计系统内部审计的特点
计算机会计系统内部审计的特点,首先是审计的系统性,要对数据、硬件、软件等各种要素进行系统的分析和检查,才能确定输出结果的正确性,作出可靠的审计结论。第二是审计的复杂性,这是由被审系统数据处理方式、数据贮存方式、系统控制方式、应用系统和电子计算机辅助审计技术的多样性和复杂性所决定的。第三是审计资料的隐蔽性、敏感性和易逝性,这是由于审计线索主要以两种形式存在:一种是肉眼可以看见的审计线索,如输入的原始凭证、记账凭证等原始文件、打印出来的会计账簿、会计报表等;另一种是肉眼看不见的,如存储在软盘或硬盘上的会计数据库资料等。第四是审计的运行性,即在不断运行的系统中进行审计和监督。
二、计算机会计系统内部审计的内容
内部审计可以从硬件和软件的系统控制和实质性审查两个方面来进行审计。
l、内控制度的审计。对内部控制制度的审查与评价,既是审计的基础,又是审计的前提。从实施的角度来看,内部控制有些是通过程序来实施的,有些则是通过制度约束来实现的。通过程序的设计和运行来实施控制的“程序化”控制,和通过建立管理工作制度来完成控制的“制度化”控制,必须通过内部审计来确保其实施,才能使计算机会计系统的安全、可靠和稳定得到双重保险。在电算化条件下,虽然仍要审查传统审计的一些内容,但重点主要在于系统软硬件及数据的内部控制。
内部审计人员应在本单位以上各方面制度的制定过程中,积极发挥参谋作用,并在以上制度的实施过程中,定期审计或突击检查,查找内部控制的弱点,提出改进措施,使制定的内部控制制度得以执行,以保证会计数据的安全性、有效性、完整性和准确性。
2、实质性审计。在手工条件下,审计主要是对书面资料进行审查。在电算化条件下,会计核算由计算机在程序的控制下完成,除了审查输入和输出数据,还要审查电子计算机程序和贮存在机内的数据文件。因此审计工作重点转移至对会计软件合法性、正确性的审查和对机内数据文件的审计方面。
三、计算机会计系统内部审计的方法
针对电算化会计系统审计的特点,结合本系统的工作实际,我们已由以前的“绕过计算机”的审计方法,转向在计算机辅助审计的基础上进行“通过计算机”的审计方法:
1、调查法。内部审计人员虽对本单位电算化会计系统的应用情况、使用效果以及存在的问题有所了解,但还应查阅有关的档案资料,对有疑点的问题重点进行调查了解,编制《电算化会计系统审计调查问卷》,请有关人员回答。调查问卷表的主要内容应根据审计要求确定,一般包括:电算化会计系统所采用的机型、操作系统情况、财务软件来源及使用情况,替代手工记账情况,系统的管理、维护、运行和操作等方面的内容。
2、控制法。计算机会计系统的内部控制制度是保证数据处理质量的基础,也是内部审计的基础。根据财务特点,描绘出某项会计业务处理过程的控制流程图,找出这一会计业务处理过程的全部控制环节,检验系统软硬件及数据的安全保密措施。等级口令密码等是否齐备,故障恢复措施是否有效;系统开发文档是否完整规范;数据输入正确性控制措施是否有效;会计软件操作管理制度、会计档案保管制度等是否健全并认真执行。
3、分析法。对会计软件的审查要上溯到系统开发。审批及维护情况的分析检查。审计人员对系统开发的审计,有助于阻止非法或错误的需求进入系统。在系统分析阶段,审计人员通过对系统分析阶段的工作及控制的审查,确认系统需求的合法性、合规性和合理性,其中包括满足内部控制和审计线索的要求。在系统设计和开发过程中必须提出审计要求,系统的各种数据文件都应保留充分的审计线索,将会计数据文件以可审计的形式进行存储保留。审计人员可利用计算机方便地获取本单位会计数据文件,以达到审计的目的。
在很长的时间里,因为计算机会计信息系统没有被人们广泛认识接纳,内部控制的措施模糊不清,审计方法不恰当,使得审计人员只能沿用对传统手工会计的审计方法,对内部控制的审计效果不明显,无法确保会计信息系统的安全。因此,提高对内部控制的认识程度,加强对其内涵和技术的学习,重视对内部控制的审计,依然是当前会计信息化和审计领域的一个重要课题。
会计实行计算机信息系统下的电算化后,会计工作的职能划分、权责关系、稽核关系及会计文档的管理形式等会计业务关系发生了显著的变化,因此过去的一套内部控制制度将无法适应新格局下的会计核算管理,迫切需要建立一套与时俱进、高效严谨的内部控制体系。同时,会计信息化给内部控制审计带来了新的挑战。
二、关于计算机信息系统下的内部控制
(一)什么是计算机信息系统下的内部控制
传统的内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。
我国财政部1994年的《会计核算软件基本功能规范》,在输入、处理、输出和安全四个方面对会计软件提出了规范化要求,涉及到的实际上都是内部控制的问题,即会计信息化软件应实现的具体控制。而1999年7月1日正式生效的《独立审计具体准则第2号-计算机信息系统环境下的审计》是第一次涉及计算机信息化系统内部控制的审计法规则。计算机信息化系统下的内部控制就是被审单位的组织与管理控制,应用系统开发和维护控制、计算机操作控制、系统软件控制,以及数据与程序控制等一系列控制的总称。
(二)计算机信息系统内部控制的分类
美国执业会计师协会第3号《审计准则公告》、《国际审计准则》第2号以及我国《独立审计具体准则第2号》,都把计算机会计内部控制分为一般控制(Generalcontrols)和应用控制(Applicationcontrols)两大类,并将前者定义为:1、电子数据处理的组织和操作的计划;2、对系统或程序的设计、开发和变动的记录、审核、测试和批准;3、制造商在设备内部设置的控制;4、对数据文件和接触设备的控制;5、对系统的运行有影响的其他数据和指令程序的控制。公告把应用控制定义为输入控制、数据处理控制和输出控制。
对于以上分类方法,我们认为从各方面来看,都有值得商讨的地方。内部控制的分类首先要概念清晰,同时也要区分控制主体,以便职责的明确划分。为此,我们认为应将其分成两大类:管理制度控制和程序系统控制。其中包含系统和软件的计算机软硬件就是我们所说的程序系统。程序系统控制是通过软件本身功能来实现的内部控制机制,从而达到系统的自我保护的目的,主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。软件开发部门为程序系统控制的责任者,用户不对其负责任。而管理制度控制一般则是以管理制度的形式实行的,涉及的方面主要包括组织、操作、维护和资料保管等。当然,可以将管理制度控制进一步分为环境控制(或基础控制)和操作控制(或控制)两类,组织、维护和资料保管都属于环境控制的范畴。显然控制制度的制订和实施与计算机程序系统无关,而应归责到会计软件使用单位。这种分类方法主要的有点是分类比较的清晰明朗,方便理解,而且实现控制的措施和控制的主体一致,责任分明,使得各方面明确自己应该干什么。
三、计算机信息系统内部控制的审计步骤
(一)内部控制的初步了解和描述
初步了解主要是了解企业单位网络中的安全控制的具体进行流程,使用了那些方法或者工具,最后的控制结果成效是什么样的,除此之外,也应了解有关企业的信息系统管理制度是否制定、如何制定,制定了其实施情况是怎么样的。通常审计人员采用询问,实地观察,查阅系统资料的方法了解,同时对一些基本业务处理过程进行跟踪,最后用文字描述、流程图和调查表等方式详细记载其了解的所有情况。
(二)对企业内部具体情况进行符合性测试
符合性测试是在对被审单位内部控制进行初评的基础上,为证实该控制是否在实际工作中行以贯彻执行,以及其效果是否符合设立该控制的初衷而进行的测试活动。进行符合性测试的目的是获取对准备予以信赖的内部控制是否有效执行的证据,从而确定会计报表审计的范围和程序。
1、一般控制的测试
一般控制的测试就是要初步了解企业内部对信息系统控制的情况,是否符合有关规章准则,是否健全有效,以避免应用系统中不能察觉错误的风险的发生。
(1)对被审单位组织与管理控制的测试。在该对组织与管理的审查时,审计人员应该把审点放在分工与职责分工上。可以通过询问,实地检查的方法对单位各部门,特别是了解数据处理和数据使用有关部门的分工情况,而部门领导以及部门职员之间是否做到职责分工,以及各部门是否建立并有效实施了合适的计算机信息化内部控制制度。
(2)对被审单位系统开发和维护控制的测试。在此审查中,审计人员应当关注开发过程中领导的参与度,是否了解开发的整个过程并且对此过程进行了职责之内的有效控制;为了满足后续需求,开发和维护中是否留存关键文件;是否为了防范风险进行了安全控制,是否做了风险应对计划和措施。
(3)对被审单位计算机操作控制的测试。审查操作控制时,审计人员应当了解数据处理部门有没有设置控制小组,各小组或小组成员是否职责分明,准确完整地进行控制操作,并记录下了操作记录,以及单位是否设有内部监督检查机构会人员对以上人员及其操作的控制。
(4)对被审单位系统软件控制的测试。审计人员应该检查系统软件处理错误的控制、系统使用权限的控制、防止病毒入侵的控制等功能有没有发挥其保障应用程序安全的效果,其效果是否高效明显。
(5)对数据和程序控制时,审计人员应该重点审查在整个数据和程序体系中,有无建立监督控制体制,接触数据和应用程序的人员是否经过授权,且其是否接受相关检查监督。
2、应用控制的测试
应用控制是对一般控制的深化和具体化,可以通过对应用控制的测试进一步取得控制评价的依据。
(1)输入控制的测试。在输入控制的审查中,应当了解是否有适当的控制举措来监督业务执行和输入的授权情况,控制业务的准确及时的输入,同时有无充分的控制措施来监督错误数据的更改与重新输入。
(2)计算机处理与数据文件控制的测试。在测试过程中应关注数据文件完整性和准确性控制效果,有无保留审计线索以备查。
一、移动Agent的定义
Agent是指模拟人类行为与关系、具有一定智能并能够自主运行和提供相应服务的程序,是面向对象技术向软件智能化发展的产物,它的出现将计算机软件设计提高到一个更高的抽象层次。人们可以把它看作一个自治的实体,它能够感知环境,并且对外界的信息作出一定的判断与推理,来控制自己的决策与行为,以便完成一定的任务。
移动Agent(Mobile Agent,简称MA)是具有移动性的Agent。移动Agent的概念是20世纪90年代初由General Magic公司在推出商业系统Telescript时提出的。简单地说,移动Agent是一个能在异构网络中自主地从一台主机迁移到另一台主机,并与其他Agent或资源交互的程序。移动的目的是使程序的执行尽可能靠近数据源,降低网络的通信开销,平衡负载,提高完成任务的时效。移动Agent实质上是一个封装代码、运行状态和数据的计算实体,是可以在执行过程中有目的地、自主地在网络中移动,利用与分布资源的局部交互而完成分布任务的软件实体。传统客户机与服务器间的交互需要连续的通信支持;而移动Agent可以迁移到服务器上,与之进行高速的本地通信,这种通信不再占用网络资源。
移动Agent是一种新的网络计算技术,它能有效地降低分布式计算中的网络负载,提高通信效率,动态适应变化了的网络环境,并具有很好的安全性和容错能力,为有效地进行数据库访问提供了一种新思路和新方法。
二、移动Agent系统的组成
不同移动Agent系统的体系结构各不相同,但几乎所有的移动Agent系统都包含移动Agent(MA)和移动Agent服务设施(Mobile Agent Equipment,简称MAE)两个部分,如图1所示。
MAE负责为MA建立安全、正确的运行环境,为MA提供最基本的服务(包括创建、传输、执行),实施针对具体MA的约束机制、容错策略、安全控制和通信机制等。MA的移动性和问题求解能力很大程度上取决于MAE所提供的服务。
通常情况下,一个MAE只位于网络中的一台主机(Host)上,但如果主机间是以高速网络进行互联的话,一个MAE也可以跨越多台主机而不影响整个系统的运行效率。MAE利用Agent传输协议(Agent Transfer Protocol,ATP)实现MA在主机间的移动,并为其分配执行环境和服务接口。MA在MAE中执行,通过Agent通信语言(Agent Communication Language,简称ACL)相互通信并访问MAE提供的各种服务。
在移动Agent系统的体系结构中,MA可以细分为用户Agent(User Agent,简称UA)和服务Agent(Server Agent,简称SA)。UA可以从一个MAE移动到另一个MAE,它在MAE中执行,并通过ACL与其它MA通信或访问MAE提供的服务。UA的主要作用是完成用户委托的任务,它需要实现移动语义、安全控制、与外界的通信等功能。SA不具有移动能力,其主要功能是向本地的MA或来访的MA提供服务,一个MAE上通常驻有多个SA,分别提供不同的服务。由于SA是能不移动的,并且只能由它所在MAE的管理员启动和管理,这就保证了SA不会是“恶意的”。UA不能直接访问系统资源,只能通过SA提供的接口访问受控的资源,从而避免恶意Agent对主机的攻击,这是移动Agent系统经常采用的安全策略。
三、移动Agent在审计中的应用
(一)网络环境下的计算机审计系统模型特点
目前的计算机审计普遍采用“数据集中和专家找问题”方式,即要求将一些分布存储在被审计单位各种业务、财务系统中的数据收集到一个集中的地方,然后由审计专家在这些集中的数据里查找问题。随着被审计单位的交易日益频繁,这种模式无法做到实时审计和在线审计,而且这种审计模式要求企业有高速的数据通信网络。然而,虽然目前网络带宽在增加,但还是比不上企业数据增长的速度,结果导致通过有限的网络带宽来移动分布存储的大容量的数据。审计流程中强调专家的个人能力,即要求审计小组由审计组长牵头制订审计流程和确定集中采集哪些数据。但是,这种依赖于个人能力和经验的操作方式往往需要多次反复集中收集数据,这在要求实时审计和在线审计条件下是“不可思议”的。同时,这种方式也破坏了数据的私有性和安全性。在这种审计方式下,被审计单位的业务数据、资金往来数据“暴露无遗”,无疑给被审计单位的经济情报等方面的保护工作带来巨大的威胁。在某些情况下,系统安全意味着用户使用一些不能离开本站点的敏感数据,这也让目前的审计方式无法做到。因此,被审计数据的分布式存储、数据的私有性与安全性、实时审计和在线审计等方面的要求迫切需要我们深入分布式环境下的计算机审计技术。
分布式审计能适应经济的新发展,提高稽核监督的工作效率,保证企业实时动态地被审计监控,保障企业的业务及资金流动的合理有序,提高企业资金的风险灵敏度,更有效地把信用风险、市场风险和操作风险降到最低。分布式审计系统是一个复杂的分布式大系统,同时,随着审计项目日益繁杂,网络环境下的分布式审计系统模型应该具有以下特点:(1)模块化设计,保证系统中不同模块可以根据需要进行灵活的增减和配置,以及分布式审计系统的持续可用。(2)灵活审计,满足分布式审计系统的多层次用户的需要。(3)分布式移动审计,支持审计算法的移动性。(4)知识共享,采用通用的知识表示方式(或标准)实现各个业务系统上分布式审计,以及审计系统与其他系统的信息交互。(5)平台无关,保证各个系统上的审计算法,全局审计算法,以及系统功能模块能够完成不同平台上的数据处理和通讯任务。(6)安全保证,满足被审计单位数据安全的需要。
(二)使用移动Agent技术的分布式审计系统
针对网络环境下计算机审计系统模型特点,本文提出了一种使用移动Agent技术的分布式审计模型。如图2所示,整个模型由三部分组成:人机界面、审计子系统和被审计单位子系统。
1.人机界面
人机界面是用户与计算机审计系统互操作的渠道,完成用户的审计输入和审计结果的显示。例如,用户可以选择审计模型(审计算法)、数据源、审计初始流程,可以完成系统中Agent的知识和规则的更新,弥补系统知识的不足,也可以输入一些基本信息,如,在不同时期,针对不同性质的被审计单位,可以设定进行资金流审计的最低额度,等等;用户还可以选择最终的结果的可视化形式。同时,人机界面显示审计子系统中“智能用户Agent”提交的审计结果信息。
2.审计子系统
上面介绍了分布式审计模型中的三个主要部分的内部结构功能等,本部分着重分析该模型的核心部分――审计子系统中各组成Agent的功能及它们之间的协作关系。如图2所示,审计子系统由协调Agent、审计Agent、智能用户Agent、审计算法Agent、分析Agent和数据站点管理Agent组成。这些Agent协调一致地工作,它们的功能和它们之间的协作关系分析如下:
(1)智能用户Agent
该Agent代表用户向审计子系统提出审计请求。只需要用户提出相应的要求或者做一系列的选择,智能用户Agent就可以将用户要求转化为协调Agent能够识别的命令并提交给协调Agent进行任务的计划分配;智能用户Agent还负责处理通过人机接口输入的系统更新信息等,如审计特定算法参数,Agent知识和规则等。该Agent除了处理用户输入的信息外,还需要能够保存审计子系统的审计结果等输出信息,或直接提交这些信息给用户拥有的人机接口。
(2)协调Agent
它主要完成三项任务:①任务规划优化,主要完成审计任务的规划,并选择最优的规划方案。它与审计算法Agent、分析Agent、审计Agent管理器和数据站点管理Agent交互,得到审计算法效率功能特点、异常数据模型、系统中审计Agent的功能状态、数据站点数据集大小和数据变化趋势等信息来确定相应的审计方案以尽可能满足用户需要。该Agent具有实时规划能力以满足因某个移动Agent的失效而进行任务的重新规划。②依据规划结果,协调Agent创建并命名多个并行协同工作的装载有审计算法或审计模型的移动审计Agent,并将这些移动Agent的基本信息注册到审计Agent管理器中。③审计整个过程的协作协调,主要协调审计过程的各个Agent和维护系统当前的运行状态信息等。它得到一个有关系统状态信息的参考点。它可以看作是分布式审计任务的一个描述各Agent的操作基点的动态目录。同时,协调Agent也是系统中Agent信息交换中心,负责维护Agent之间信息的交互传递等。
(3)审计Agent
该Agent是移动Agent,由协调Agent创建,并移动到协调器指定的数据站点进行数据分析,并将自身的位置信息和状态信息传递给审计Agent管理器,将审计分析反馈给协调器以进行数据结果的融合。审计Agent运用自身携带的审计模型、审计算法或请求协调Agent得到的审计模型等完成具体的审计子任务,并为分析Agent提供异常数据。
(4)审计Agent管理器
负责管理所有审计Agent的相关信息,这样各种Agent通过与管理Agent交互便可以动态获取其他Agent的属性信息(位置、功能等),从而与其他Agent进行交互,以获取所需要的信息。它是实现系统分布式透明性的关键,主要用于收集、管理、统计、查询各种Agent信息资源,按其功能分类或建立Agent联盟。同时,它也担当可信任的安全认证中心,保证各Agent之间的安全通信机制。
(5)审计算法Agent
审计算法Agent主要负责维护审计分析算法。用户可以注册审计分析算法。当算法注册到系统中,算法Agent登记算法的元知识信息及其特点(比如,名字、版本、输入参数、操作环境描述和输出格式等)。同时,算法Agent将这些信息反馈给协调Agent。
(6)数据站点管理Agent
数据站点管理Agent主要负责被审计单位Agent服务器的基本信息,如Agent服务器的启动、停止状态信息、位置信息和数据源信息等。Agent服务器及时将其启动、停止信息注册到数据站点管理器以便协调器合理规划审计任务,但在进行实时在线审计中,Agent服务器不能关闭。为了维护Agent服务器和防止Agent服务器出现故障,往往在被审计单位提供同步工作的Agent服务器。
(7)分析Agent
分析Agent采用数据挖掘算法,根据审计Agent提供的异常数据自动生成、更新审计模型及运行参数,是体现审计子系统自适应的核心部件。它主要包括异常信息传递模块和自适应模式产生机构。
审计子系统由7类功能各异协同工作的Agent组成,当接受到用户提交的具体审计任务后,系统自动有条不紊地对被审计单位的财务数据进行审计,及时发现问题并以多种形式向审计单位监控中心提交审计结果,达到规范经营活动和金融风险预警等目的,其中,审计Agent是审计任务执行的关键。
3.被审计单位子系统
被审计单位子系统包括Agent服务器、业务部子系统和数据站点三部分。其中,Agent服务器保存有本地数据站点的有关信息,如本地数据的形式、数据库管理系统、业务数据库表结构、数据范围等。每个Agent服务器向数据站点管理Agent注册,并及时更新数据站点管理Agent中的有关内容以便协调Agent有效地规划审计任务。同时,Agent服务器为审计Agent提供服务设施和提供移动管理器、运行管理器、通信管理器和安全管理器等。这里,Agent服务器和业务部子系统运行在指定被审计单位的专用服务器上。
4.审计Agent的结构
审计Agent是一种移动Agent,每个审计Agent都是一个相对独立的审计单元,利用其自带的审计算法和知识库信息等执行审计任务;还可以不断地从分析Agent中获取最新的知识用于审计。审计Agent封装了描述其状态的属性,以便当Agent移动到另一主机上重新开始工作和向审计Agent管理器返回信息。图3给出了一个审计Agent的内部结构,该结构包含下列模块:
(1)接口模块
主要将审计Agent的内部机制与外界隔离,所有信息交流都通过该接口。该模块包含与协调Agent和Agent服务器进行交互接口和消息的传递接口以及与数据源的联接接口。该Agent交流的信息包括控制信息、异常信息、算法更新模式信息、审计数据等。
(2)安全控制模块
对移动Agent自身提供保护;防止外部环境对审计Agent的非法访问,以保证数据的正确性和合法性;完成对数据的加/解密、数字签名等任务。
(3)审计模块
首先对业务、财务审计数据进行规范化,然后依据审计算法和审计模型来对已经规范化的数据进行分析,确定这些数据中是否包含不符合操作规程的行为数据或异常情况。最后,将分析得到异常数据上传给协调Agent,以便作进一步综合分析。
(4)知识库
由协调Agent进行初始化,主要存放审计算法、审计模型和其它一些分析审计需要的知识。
参考文献:
[1]张云勇等.移动agent及其应用[M].清华大学出版社,2005.
中图分类号:F239.22
1 计算机审计系统发展历史及平台功能
计算机审计系统由计算机辅助审计系统发展而来,先后经历三次重大更新,目前最新版本升级为计算机审计系统(三期),分为计算机审计监控分析和计算机审计在线作业两大子系统,能够完整地实现四大平台功能。一是审计管理平台,完善审计管理系统功能,将现场审计、非现场审计、合规检查、内控评价、问题整改、整改管理、成果利用、处理处罚、后续管理、整改督办、汇总分析、风险提示和审计项目的制定等功能整合到一起;使之成为全行审计部门、内控部门和各级经营机构实施审计监督、合规检查和问题整改的工作平台。二是审计查证平台,进一步升级、强化系统的查证功能。完善现有系统的自定义指标公式功能,扩充系统函数、完善系统变量定制功能,提供手工输入SQL语句的界面,充分挖掘数据库的性能,提高查证效率,满足风险导向审计技术运用的要求。加强用户界面的人性化改造,增加报表、图形展示功能,使操作更加便捷,显示更加直观。增强系统的容错性和稳定性,改善用户体验。三是远程监控平台,在计算机审计系统内增加远程监控模块,能够定制风险监测指标体系,利用自定义审计方法和固化方法模块等方式,对被审计单位和客户的财务资料,以及业务信息进行全程的实时监控和跟踪。四是数据基础平台,根据审计工作定位和职能的转变,建立起覆盖主要业务领域和业务品种,形成相对完整的数据帐表库;研究电子数据完整性检查方法,探索保证数据迁移质量的运行保障机制。
在物理架构上,计算机审计系统采用总行集中的物理部署模式,将计算机审计监控分析和计算机审计在线作业系统都部署在总行,供全行审计局用户和内控合规部用户使用。前端应用主要采用在WAS集群上部署WAS应用;部署两个ASE数据库,分别作为审计和内控合规部的AMS/CAS基础信息数据库,部署一组Sybase IQ Server,作为总行审计局和内控合规部的查证分析数据库,能有效提升海量数据的并发处理能力,提高审计查证的响应速度;同时部署了后台调度和批量运行服务器,以及NAS存储等大容量存储设备。
在技术架构上,计算机审计系统包含了审计查证应用、审计管理应用、数据加工应用和作业调度监控应用。审计查证、审计管理和数据加工前台管理界面均采用B/S架构设计实现,数据加工的分布式运行引擎采用C/S架构设计实现。
在总体逻辑架构上,计算机审计系统(三期)的逻辑架构分为数据层和应用层。其中数据层可分为三层,分别是源数据层、数据采集层和系统数据层,是审计应用的基础,组成审计系统的数据基础平台。应用层由审计查证和审计管理两个板块组成。审计查证平台包括数据授权、快速审计、向导审计、自定义审计、方法管理、指标管理、监测分析、图表分析等功能模块,该平台通过SQL解析引擎支持业务人员审计查证过程中在前台用中文的审计方法和思路查询业务账表。审计管理平台包括计划管理、项目管理、常规审计、后续审计、整改管理、审计质量管理、档案管理、线索台账、报表分析等功能。系统利用应用集成技术提供统一的应用登陆入口,对用户屏蔽具体的部署方式。
2 计算机审计系统的优势
一是数据库集群采用了Sybase IQ 15集群技术,对查询语句有着极快的运行速度。二是提供一种新的表形式――基础表,通过业务人员编写方法运行出来,授权给项目中使用,相当于对数据进行了预处理,同时可以对基础表进行数据追加操作,减少方法重复执行。同时,也保留和业务系统相同的原始账表数据,供用户灵活使用。查证时可直接利用基础表,简化审计方法编写,同时提高查证效率,减少了不必要的数据移动,节省系统资源,提高数据库空间利用率,有效利用数据库集群并发处理能力。三是对典型的应用场景进行分类,根据不同类别的场景采用不同的处理方式。如:快速审计基本上是一种单表查询,查询的效率较高,可以采用联机响应的方式;向导审计查询较复杂,对响应时间的要求也不是很高,可以采用异步的方式,在资源相对空闲的情况下执行。四是对于采用异步方式执行的语句,控制同时执行的语句总数。并发语句数的控制采用自主开发的队列管理组件进行控制。队列管理组件将并发语句数按照一定的优先级策略进行排队,根据数据库的实际压力情况向IQ集群发送任务,防止压力太大影响联机查询的正常开展。五是对于查询语句结构太复杂、耗时过长或明显编写逻辑有误的语句,不予执行。查询语句分析可以避免执行一些不合理的查询对系统带来的负面影响。六是审计查证工具提供审计业务人员使用中文定义查询语句,系统将用户输入的自定义的查询语句(中文)翻译成标准的数据库查询语句。
以上先进技术的推广使用,有效增强了计算机审计系统的数据处理能力和功能,为实现以下目标打下夯实基础。一是提升数据分析层次,为董事会决策提供参考;二是突出审计重点,揭示重大风险;三是增强审计时效性,实现远程实时审计;四是提高审计效率,节约审计成本;五是完善系统建设,促进审计管理规范化和科学化;六是加强系统推广,实现审计转型。
3 计算机审计系统的薄弱环节和发展方向
薄弱环节。一是并发处理数据能力有待加强,如在2012-2013全国风险审计中,全行千名审计人员,同时最大上线人数超200人,审计系统查询和表关联动作出现性能明显下降,IQ集群数据库吞吐能力尚不能强力支撑生产环境。
二是现有基础数据,目前通过数据交换平台将十余个业务系统的业务数据导入基础数据库,目前存在少量数据不完整,缺失现象。根本原因由于审计系统设计的缺陷(缺开放性),使得农业银行经营、管理过程中产生的数据未能全部导入审计系统,如小额支付系统。还有随着ABIS、CMS、FMIS、BOEING等系统的升级带来数据结构的变化,都带来审计系统数据迁移的滞后。
发展方向:随着农行信息化建设的不断发展,近几年陆续完成了全国数据大集中并适时开展了新一代核心银行系统建设工程,标志着物理集中和部分程度逻辑集中的实现,并开始向全面的逻辑集中迈进。审计信息化平台的发展也将顺应这一趋势,抓住逻辑集中的契机,加快平台内部众多辅助平台的逻辑融合步伐。一是打破信息系统间的数据隔断,通过系统集成的预处理提高多个系统数据间的关联性和一致性程度,保证审计线索不会因系统隔断而丧失。二是通过对审计流程再造工程,进一步理清审计查证步骤,简化审计步骤,创新审计方法,提高审计信息化平台的易用性,降低平台核心系统的使用难度,进一步提高审计信息化水平。三是发挥农行信息系统逻辑集中的优势,提高审计信息化平台对新业务、新渠道、新技术的适应能力,建立开放式平台架构,为审计事业发展提供足够的扩展性。四是由于我国金融企业在经济发展的大环境下,市场潜力大,各项业务发展迅猛,风险防控压力加剧,这对审计监管提出了新的要求,这种审计需求的动态变化也使得审计信息化平台的建设成为一个长期的动态过程。只有准确把握审计业务发展路径和信息化建设趋势,把审计业务的变化融入到审计信息化平台的不断完善之中,通过科学的规划,开放的平台架构,渐进式的实施,卓有成效的建好企业审计信息化平台,以应对未来更多的挑战。
4 结束语
由于我国金融企业在经济发展的大环境下,市场潜力大,各项业务发展迅猛,风险防控压力加剧,这对审计监管提出了新的要求,这种审计需求的动态变化也使得计算机审计系统信息化平台的建设成为一个长期的动态过程。只有准确把握审计业务发展路径和信息化建设趋势,把审计业务的变化融入到计算机审计系统的不断完善之中,通过科学的规划,开放的平台架构,渐进式的实施,卓有成效的搞好企计算机审计系统对审计信息化建设的巨大推力,才能胜任未来更多的挑战。
参考文献:
[1]中国农业银行信息化建设2012-2015年发展规划.
[2]中国农业银行开放平台基础架构专题规划(2012-2014).
一、项目背景及审计思路
近年来,环保监管部门积极实施污染源在线监控的信息系统能力建设,用以实现对废水排污企业进行实时监控,并将其数据作为环保部门排污申报核定、排污许可证发放、总量控制、环境统计、排污费征收和现场环境执法等环境监督管理的依据。废水在线监控系统结构主要由三部分组成:(1)数据采集系统,包括废水污染源各监控站房内数据采集设备、与数据采集设备接口的其他相关设备,如门禁系统、摄像系统、温度计等。数采仪的操作系统为Windows CE。(2)数据传输通讯系统,包括利用GRPS实现监控平台与废水污染源各监控站房内数据采集设备进行无线通讯与数据传输。(3)基于废水污染源监控数据的综合信息管理系统,包括监测信息的、管理、利用、比对、审核和共享。操作系统采用Windows 2003 Server,数据库为SQL Server 2005/2008,开发平台为。审计试图从废水在线监控系统的功能性、安全性;数据库数据的准确性、完整性;各排污企业的终端监测设备安全性和运行稳定性等方面进行检查,诊断系统未充分发挥效用的病症所在,并提出切实可行的改进建议。
二、实施过程和测试方法
根据审计内容和要求,主要运用SQL Server软件还原系统备份数据,对上千万条信息记录进行数据分析,查找产生问题的原因。同时结合查阅工作记录等相关资料、实地查看现场以及问询等手段,查找系统运行和管理中存在的问题。现对主要内容的审计方法介绍如下:
(一) 测试废水在线监控系统数据的准确性
从数据传输过程、数据统计过程和数据比对校验三个方面对系统数据的准确性开展测试和审查。一是利用数据库分析对现场监测仪器的显示数据与数采仪的数据进行逐一比对,统计分析数据传输的误差情况,分析误差是否在制度规范的可接受范围内,检查数采仪统计均值计算的准确性,以此判断监测仪表模拟信号转换到数字信号的准确率。二是将被审计单位提供的单位排污口信息导入数据库,与废水在线监控系统中对应字段信息进行比对分析,发现“排放口名称”字段标识存在错误。进一步通过审查相关资料发现,被审计单位未建立信息维护机制,也未对字段信息进行审核。此外,将污水处理厂废水设计排放量与系统对应字段进行比对分析发现,废水在线监控系统数据库中部分污水处理厂废水排放量数据异常,且未对异常情况进行监测与处理。三是通过查看比对监测资料和比对校验工作记录发现,被审计单位未对废水在线监控系统现场端废水流量设备进行比对监测,影响废水在线监控系统废水流量数据的准确性,从而导致废水在线监控系统中由污染物浓度与废水流量相乘得出的污染物排放量的准确性无法判断。
(二)测试废水在线监控系统数据的完整性
在对上述异常情况进行分析的基础上,修正和剔除错误信息后对废水主要污染物因子-化学需氧量的采集次数进行测试,评价系统数据的完整性。根据国家和地方的技术规范,对废水连续排放和间隙排放等不同排放方式的累计排放小时数等参数进行测算,以获取每天理论采集次数。进而运用数据库分析工具对海量数据进行计算得出,三年实际系统获取次数仅占应采集次数75%左右,未进行监测的废水量达10亿万吨左右,未监测的废水量比例为34%。采集数据的缺失是表象,查找数据缺失的原因是关键。因此,在数据分析的基础上通过对采集次数缺失情况进行逐一排查发现,被审计单位对主要污染物因子化学需氧量的系统采样频率设置不合理,且未对数据缺失情况建立相应的监控制度和实施数据补缺措施,是导致数据缺失较大的症结所在。
(三)测试废水在线监控系统的安全性
1.检查数据处理系统中的一般控制,以确定:(a)设计的控制是否符合管理方针和法律要求;(b)控制能否有效地发挥作用,保证数据处理的可靠性和安全性;
2.检查数据处理系统中的应用控制,并据此评价应用控制在保证数据处理的及时性、准确性和完整性方面的可靠程度;
除检查一般控制和应用控制外,审计人员还应参与新数据处理系统或应用项目的设计与开发以及其后所进行的重大修改工作。
可能的情况是,开发出来的数据处理系统缺乏控制措施,因此管理人员和审计人员就不能依赖其完整性。所以,如果管理部门指望正在开发的系统在可审性和适当控制方面得到合理的保证,那么审计人员在系统设计与开发过程中的检查就是至关重要的。要达到这一目标并不总是可行的,因为审计机构可能没有检查系统设计与开发所需的资源或人力。但是,这项检查应当作为一个审计目标。
一、电算化系统一般控制的检查
数据处理方式由机械处理向自动化处理的转变,需要改进传统的审计方法“自动化数据处理系统的复杂性和范围的广泛性,要求审计人员给予处理数据的系统和数据本身更多的关注。如果系统在安全性方面得到合理的保证并具有足够的控制,审计人员就可以信赖被处理的报告的数据。审计人员应该区别一般控制和应用控制。”一般控制通常适用于系统进行的大部分数据处理,而应用控制则可能因应用项目而异,而要分别加以检查。在检查个别应用控制时,审计人员应考虑被查系统一般控制的效果;
1.组织控制。职权和责任的分配必须以能够保证有效果、高效率地实现组织目标的方式进行。审计人员应该检查被审单位的组织结构、职权和责任的分配与分工情况、其目的在于确定职责分工是否能够提供有力的内部控制,例如,程序与系统开发、计算机操作、输入数据的控制、以及保持应用控制的控制小组等职责,在可行的情况下应予以分离。同时,审计人员应从“整个系统”的角度加以考虑。
在检查职责分工情况时,审计人员应该评价控制的强度并报告由于职责分工不够而暴露的弱点。职工定期轮换工作岗位及强制性休假等制度有利于管理部门维持足够的职责分工。审计人员应对这些制度的执行情况加以检查。
2.设施、人员和安全控制,拥有足够的实物设施和其他资源(如训练有素的人员等)是一个单位实现其数据处理目标所必需的。审计人员应该确定被审单位是否拥有满足数据处理需要的足够资源。
人事管理,包括监督、激励和员工的职业发展,是成功的数据处理的组成部分。审计人员应该评价有关的管理方针和惯例,以确定是否制订了必要的方针及方针的执行情况。例如,由于整个计算机领域迅速发展,一个组织的人事管理部门需要制订包括数据处理人员在内的教育和培训计划。该计划应该能够保证职工跟上最新发展,以使他们能够以最佳效果和最高效率履行职责,并能够在工作中采用已经证明为具有成本效益的新方法。数据处理人员培训和发展计划不当可能会阻碍组织目标的实现。
审计人员应该确定被审单位是否制订了有关计算机硬件、计算机程序、数据文件、数据传送、输入和输出资料以及人员的安全规定。该项检查应该不仅涉及中央处理站的计算机设备,还应包括其他地点的小型机、计算机终端、通讯设施及其他外围设备。
在检查计算机硬件的实物安全性时,审计人员应该考虑为在正常数据处理中断以后继续处理关键应用项目而制订的应急计划是否充分。该计划应包括应急电源和后备硬件的规定以及关于使用后备设备和将人员、程序、表格和数据文件转移到另外的处理地点的详细计划。审计人员还应该考虑该计划经过测试的程度以确定在实际紧急情况下能够继续进行数据处理的可能性。
审计人员还应该检查数据文件的实物安全性;该项检查应保证,在可行的情况下,数据和文件档案资料由不能接触计算机和存取计算机程序的人员保管;文件档案资料安全;计算机操作员和其他人员不能随意接触文档资料;制订有文件备份的规定(包括另外存放备份文件的规定)。在文件联机存储的情况下,审计人员应该考虑是否采取了充分的存取授权控制措施以及备份文件是否有规律地进行拷贝。此外,审计人员还应检查数据备份文件是否做了适当的标志和标签、席计人员还需检查文件的内容以保证文件的完整性和准确性。对子程序备份文件也应建立同样严格的控制。
3.操作系统控制。计算机系统通常由操作系统(也常称为系统软件)控制。由于这些操作系统通常具有数据管理、多道程序管理能力和文件标签检验,以及其他许多授权控制功能,因此,它们是计算机处理一般控制的组成部分。审计人员应该了解操作系统能够执行的控制,并确定这些控制的利用程度以及未被利用的情况。审计人员应该知道哪些人维护操作系统,或有能力修改操作系统。这些人可能有意或无意地破坏操作系统的控制,使其失效。
4.硬件控制。计算机硬件经常能够检查出硬件功能失常而引起的错误。审计人员应该了解:(1)系统设施是如何依赖这些硬件控制的;(2)操作系统如何利用这些硬件控制;(3)系统如何报告检查出的错误,以及纠正错误的程序。
二、电算化系统应用控制的检查
在对所有应用项目的数据处理的可靠性或完整性进行估计之前,必须对具体的应用控制和一般控制措施进行全面的评价。
依据这一准则进行审计工作有两个目的,兹分述如下:
(1)存货盘点观察小组应由熟悉客户营运情况的有经验干部领导。风险愈大,要求的经验愈高。对于较欠经验的助理人员,应给予适当的督导,并鼓励他们将疑点问题告知现场合伙人员或其他领导。(2)如合伙人或领导无法亲临盘点现场,应预留电话,以便助理人员遇到重大问题时联络。审核前预先召开会议,提示重点,可以帮助较欠经验的助理人员注意到写作论文潜在的问题。(3)执行盘点审核时:①抽查的重点应为高价值的项目。②如果不是每一个地点均列入审核范围,不要事先或太早告知客户前往的地点;如果采用循环盘点的方式,不要轻易让客户熟悉选样的模式。③对于重大或不寻常的盘点差异、客户人员记录核查人员抽查项目、客户人员对查核程序过度关心等现象,审计人员均应提高专业警觉性。④对于好像很久未用的存货项目,或存放的地点或方式不寻常的项目,应保持警惕,弄清是否有受损、过时及过量的存货。⑤盘点时公司及工厂间的存货调拨收发活动,应尽量避免或减少;如不可避免,应做好适当控制。
加大执法力度,杜绝企业短期行为为彻底杜绝企业的短期行为,保证会计信息的真实合法,除了对企业加大审计力度外,还应以法律对企业进行约束。1.重新修订《会计法》、《公司法》等有关法律法规。通过立法程序明确规定如下内容:首先,企业经营者应承担的短期行为方面的法律责任。凡是由企业经营者个人行为因素造成的,无论其对短期行为的界限是否清楚,也无论是否经过会计人员之手,均应追究企业经营者的责任;凡是直接由会计人员个人行为因素造成的,应追究会计行为主体和企业经营者的相应责任;其次,因企业对外提供虚假会计信息而给投资者、债权人等广大会计信息使用者导致决策失误等而造成损失的,应承担民事赔偿责任;最后,民事赔偿的主体应是会计信息失真的责任者即企业经营者,而不是企业法人实体,更不是会计行世界经济的快速发展,计算机技术的广泛应用,使会计电算化已成为现实并广泛应用。会计电算化是审计变革的催化剂,它将大大加快利用现代信息技术,按照审计环境要求进行审计变革的进程。
会计电算化信息系统的定义及特点(一)电算化信息系统的定义会计电算化信息系统(CAIS---ComputerizedAccountingInformationSystem)指的是以计算机为主要信息处理手段的会计信息系统,该系统是由人员、计算机硬件、计算机软件、相关的信息资料文件和会计规范等基本要素组成,是一个人机结合的系统。(二)会计电算化信息系统的特点1.会计电算化系统的基本特点(1)数据存储的磁性化、无纸化。(2)内部控制的程序化。在手工会计方式下,管理人员可以通过职能分割、人员的分工形成内部控制体系。(3)数据处理的集中化、自动化。(4)会计人员业务知识的多面化。2.会计电算化系统与手工会计系统的区别(1)数据准确性明显提高。计算机具有高精度、高准确性和逻辑判断的特点,使得数据的准确性有了明显的提高。(2)数据处理速度明显提高。计算机具有高速处理数据的能力,计算机会计信息系统利用计算机自动处理会计数据,极大的提高了数据处理的效率,增强了系统的及时性。(3)提供信息的系统性、全面性、共享性大大增强,能够为管理者、投资人、债权人、财政税务部门提供更多更好的信息。
会计电算化信息系统对审计的影响(一)对审计线索的影响在电算化会计中,计算机的使用改变了会计记录的存储与处理,表现在如下几个方面:(1)会计凭证的存储与处理。原始凭证或记账凭证一经输入机内,便以文件的形式存入机内的数据文件。(2)帐薄的存储与处理。总分类帐为文件所代替,明细分类帐采用满页打印式,因而导致两类数据之间的日常核对只能在机内进行。帐薄登录时,通过计算机登帐程序自动执行,使用的是哪一种程序难以判断。(3)报表的编制采用按事先的公式到帐薄文件、其他报表文件中取数计算,数据来源、公式定义、编制结果、打印格式等均采用机内文件的形式。由于磁性介质修改不留痕迹的特点,使审计人员很难相信打印输出的会计报表,正是根据企业单位提供的公式定义文件加以编制的。(二)会计系统内部控制的改变由于会计系统实现了电算化,手工会计系统原有的内部控制已不能适应电子数据处理的新特点,不能有效的降低电算化会计系统特有的风险。为了系统的安全可靠和系统处理与存储的会计信息准确完整,必须考虑电算化系统的特点,针对其固有的风险,建立新的内部控制。这些内部控制除了有关电子数据处理的制度、规定和人工执行的程序控制外,内部控制的程序化是电算化会计信息系统的一个重要特点。对程序控制,审计员要利用计算机辅助审计技术进行审计。对于电算化信息系统内部控制的弱点,审计人员要能评估其影响,并向被审单位提出改进的建议。(三)对审计内容的影响在会计电算化的条件下,审计的经济监督职能并没有改变。但由于会计电算化信息系统的特点及固有的风险决定了审计的内容要发生相应的变化,包括对计算机处理和控制功能的审查。这是在传统的手工审计中所没有的。因此,电算化会计信息系统的审计内容就应当包括系统的开发与设计、会计软件的程序、数据文件以及内部控制的审计等。(四)审计技术的改变在手工会计处理的条件下,审计可根据具体情况进行顺查、逆查或抽查。审查一般采用审阅、核对、分析、比较、调查和证实等方法。所有审查工作都是由人工完成的。在会计电算化条件下,会计的特点决定了审计的内容和技术的改变。虽然人工的各种审查技术仍是很重要的,但计算机辅助审计是必不可少的审计技术。(五)对审计人员的要求更高在会计电算化条件下,由于审计线索内部控制、内容和审计技术的改变,决定了对审计人员的要求更高了,即审计人员不仅要有会计、审计理论和实务知识,而且要掌握计算机和电算化会计方面的知识和技能。(六)审计标准和准则的变化人们在过去的审计工作中已建立起一整套审计标准,如审计人员标准、审计报告标准等。但由于审计线索、审计内容、审计技术等的变化,过去的审计标准的某些部分已不再适用,而与电算化系统有关的准则和标准尚未建立,所以,在这种形势下,要完成审计工作,必须修改和完善相应的审计准则和标准。由上述可见,会计电算化给审计提出了许多新问题、新要求。传统的手工审计已不能适应电算化的要求。学习、研究和开展计算机审计是审计部门和审计人员的新课题和新任务。
三、对会计电算化系统进行审计的对策(一)努力抓好会计电算化系统的审计工作电算化会计系统开发审计是审计人员对电算化会计系统开发过程中的可行性研究、设计、试行等所进行的审查和鉴证。系统开发前,审计人员通过参与开发过程实施事前审计,根据系统开发过程中的控制点,随时审查系统的开况。审计人员在电算化会计系统开发完成后,对系统开发质量进行的审计为事后审计。事后审计的重点是会计电算化各项控制措施的有效性,其目的是弄清系统是否在可控制下运行,能否保证数据处理和输出结果的正确性和可靠性。审计人员一般可采用符合性测试方法审查已开发的电算化会计系统。(二)积极培养复合型知识结构的审计人员(1)加强广大审计人员计算机知识及应用能力的培训,逐步扩展和更新现有的计算机知识,提高操作水平,以达到能够对数据库等电算化会计处理系统进行操作来获取审计证据的目的;(2)合理配置审计小组人员,充分考虑审计专家和计算机专家的紧密配合,合理分工,相互沟通;(3)在高校财经类专业的教学中重视计算机正规知识的教育,除开设计算机基础、程序设计、会计电算化等课程之外,还要开设计算机辅助设计等相关课程,使高校成为培养计算机审计后备人才的摇篮。(三)加强对会计信息系统内部控制制度审计对会计电算化系统内部控制制度的审核与评价应从程序控制和制度控制两方面的测试与评价进行。程序控制的责任者是软件开发部门。对本单位自行设计开发的电算化系统,应结合开发过程中形成的各种文档资料,审计系统的开发计划是否经过严密的审证,仔细研究调查后方可实施。制度控制的责任者是会计软件的使用单位。审查系统工作环境的控制是否完善,是否建立和健全机器设备使用控制制度,是否制定和执行科学的操作规程以保证会计信息的准确性和可靠性。(四)大力开展计算机辅助审计计算机辅助审计技术有两种,即审计软件和测试数据。审计软件由审计人员使用的计算程序所组成,处理来源于被审计单位会计制度的重要审计数据。测试数据技术是用于执行审计程序时将数据输入被审计单位的计算机系统,并将获得的结果同预定的结果相比较。计算机辅助审计不但要对输入的原始数据和打印输出的会计数据进行审查,还必须对计算机信息处理系统的程序、相关的内部控制系统、数据文件以及对计算机硬件本身的可靠程序进行审计。这样才能保证计算机信息系统处理系统数据的可靠性、安全性和准确性。四、对未来审计方式的展望20世纪80年代后期西方出现的计算机审计整合法,它将传统审计(财务审计)和计算机(电子数据处理)审计结合为一体。在这个阶段,所有的高级审计人员都受到计算机审计和财务审计的训练,无须交叉咨询。一般审计人员也接受过计算机审计和财务审计的基本训练。计算机审计技术小组主要是开发设计审计软件。整个系统的审计报告不再分计算机系统和会计系统两种形式,而是一份综合审计报告。应用这一方式,审计的效率将大大提高。这一计算机审计的方法,体现了审计的发展趋势。
【参考文献】
1、谭浩强主编、INTERNET基础﹝M﹞、北京:清华大学出版社,2000:212-216
2、李国良、互联网对财务会计的影响、
3、金光华、李刚等著、网络审计﹝M﹞、上海:立信会计出版社,2000:138-139
【关键词】
教育系统;内部审计;信息化建设
近年来,党和政府高度重视教育事业,教育经费投入连年增长,比如我市2013年教育经费总支出为15.52亿元,占财政总支出的30.62%,2014年教育经费总支出为15.84亿元,占财政总支出的36.83%,教育经费的使用和管理日益成为社会关注的热点。要如何管好、用好教育经费,提高教育经费的使用效益,是教育行政部门和中小学校财务管理的第一要务。教育工作涉及面广,教育经费支出复杂、量大,特别是近年来在教育系统内部出现了一些违规和腐败现象,对整个教育系统的声誉产生了严重的影响。如何规范教育经费的使用,发挥其最大使用效益是教育内部审计工作需要解决的问题之一。
一、内部审计信息化的缘起——信息技术的挑战
近几年来,随着计算机的普及、网络的发展,信息系统的广泛使用,大量的经济业务活动通过网络实现了无纸化。如我们教育系统的会计核算已实行了电算化,这使得审计线索和内容发生了变化。在会计核算手工系统中,由原始凭证到记账凭证,由过账到财务报表的编制,每一步都有文字记录,都有经手人签字,审计线索十分清楚。但在会计电算化系统中,传统的账薄没有了,绝大部分的文字记录消失了,取而代之的是存有会计资料的磁盘。此外,从原始数据进入计算机,到财务报表的输出,这中间的全部会计处理集中由计算机按程序指令自动生成,传统的审计线索在这里中断了、隐藏了、消失了。会计电算化系统的特点及其固有的风险,决定了审计的内容要增加对计算机系统处理和控制功能的审查,这必然要求我们也要建立审计电算化系统,通过程序指令自动审计。
二、内部审计信息化建设的重要意义
国家审计署原审计长李金华曾在不同场合多次强调:“审计信息化建设是审计系统一场深刻的革命,是未来审计的主要手段,是现代审计的发展方向。不加强审计信息化建设,我们将失去审计资格”。精辟地阐述了审计信息化对于审计工作的深远影响,为审计工作的发展指明了方向。那么我们实现审计信息化有哪些重要意义呢?笔者认为主要体现在以下几点:1.内部审计信息化是解决当前审计信息种类多样化、数量规模化、信息内容复杂化的有效手段。2.内部审计信息化是改善内审工作环境,提高工作效率的重要途径。3.内部审计信息化是实现审计事前发现风险疑点,事前防范风险的重要方式。4.内部审计信息化是规范内部审计行为,提高审计质量,控制审计水平的可靠工具。
三、内部审计信息化建设的三个阶段
目前我市教育系统内部审计,均采用传统的手工审计,根据实际情况,笔者认为审计信息化建设应该遵循“先易后难、分步实施、逐步完善”的原则,分三个层次来逐步推进。首先是实现计算机辅助审计;第二是构建审计信息化系统;第三是实现信息系统的审计。
(一)实现计算机辅助审计。
计算机辅助审计是指审计人员利用计算机设备和软件来辅助审计工作。从这几年内审工作的经验来看,笔者觉得计算机辅助审计可以使审计人员从冗长乏味的计算工作中解放出来,将更多的时间精力集中于那些需要专业判断的部分,进而提高审计工作效率;还可以辅助审计人员完成以下工作:1.数据采集与转换。利用计算机技术可以识别不同会计核算软件的数据格式并将其转化为通用的数据格式。2.数据分析与计算。将计算机技术用于分析性审计程序,可以非常快捷、方便、准确地得到分析结果。3.审计抽样。在手工条件下需要人工计算的总体容量、抽样容量及标准估计值等工作,现均由计算机审计软件自动完成,因而方法更科学,结果更客观。4.项目管理。计算机软件可以辅助审计人员完成编制审计计划、记录审计日志、生成审计底稿、撰写审计报告、管理审计档案等工作。
(二)构建审计信息化系统。
审计信息系统(AIS)是在计算机辅助审计得到广泛应用的基础上,将多种审计模块集成到单位管理信息系统(MIS)中构成的一个子系统。它具有多种功能:既可以对单位的投资决策、生产经营和财务管理等进行全过程动态审计,也可用于进行经济责任审计,还可以充当单位经营管理、辅助决策的工具。随着网络经济的出现,人们对处理和传递信息的计算机系统的安全、可靠和有效性更加关注。这就要求我们审计内容不能仅仅局限于对会计信息的审计,而要延伸到系统本身,即对审计信息系统进行审计。
四、内部审计信息化建设的应对措施
(一)建立健全审计信息化制度体系。
加强信息安全和保密工作,建立健全规章制度。比如,我们现在大多数财务软件在设计时没有考虑到审计的需求,导致审计软件与财务软件难以对接,这对审计的效率和质量造成很大影响。因此,需要进一步制定并完善财务软件设计的相关制度规范。还有我们要建立和完善服务质量检查、考评机制,要形成完备的工程运行维护、系统监管与应急响应、专业人员知识和技能更新等机制,确保系统的正常运行,为审计信息化提供制度保障。
(二)加大基础设施建设,提升软硬件系统配置。
“工欲善其事,必先利其器”,在审计信息化建设上加大投入。既要把钱用在刀刃上,保障审计业务人员人手一台笔记本电脑和一个移动硬盘。硬件设施的不断完善,为审计信息化建设提供了基础平台。又要杜绝浪费,搞信息化建设要贴近审计工作实际,既要适度超前,又不能盲目追求高标准,要以合理的信息化投入换取审计能力和效率的提升。还有我们要充分考虑审计机关信息化人才培养状况,如果不培养一批高素质的人才去运用,那么我们的设备再先进,也只能束之高阁。
(三)树立“人才强审”战略。
人才是开展审计信息化的重要条件。审计机构应积极引进既有丰富会计、审计知识又具备较高计算机技能的复合型人才,同时积极开展有关计算机辅助审计方面的后续教育。使审计人员不断地认识审计信息化系统环境下的审计特点,掌握审计软件的使用、维护等技能,从而有效地完成审计任务。在审计人员的培养方面,我们应该积极培养具有复合性知识结构的审计人员。比如,可以对会计人员或计算机软件开发人员进行学习培养,使得他们也能加入到审计队伍当中,成为审计信息化的专职或兼职人员。
(四)大力推广计算机审计。
首先进一步完善并推广审计信息系统和现场审计实施系统,积极探索联网审计和信息化审计。这需要我们建成审计信息化数据库,制定数据库规划,完善充实审计数据库,提升数据资源建设的规范化,为审计业务提供有效支持。其次实现审计方法的信息化,积极研究探索审计抽样、内控测评、风险评估等审计方法的信息化实现方式。将计算机技术运用于审计实践,增加审计的技术含量,提高审计的质量和效率。审计信息化建设应注重实际应用,可以根据审计的实际需要开发一些具有行业和地方特色的小软件、小模块,比如我们可以开发教育行业专业的审计软件等。
五、如何防控内部审计信息化风险
计算机审计风险是指审计人员在对被审计单位会计电算化系统进行审计后得出的审计结论与被审计事项实际情况相背离的可能性。也可以理解为审计人员不能正确合理地运用计算机审计技术从而导致审计结果与事实不相符,发表不恰当的审计意见。影响计算机审计风险的因素主要有如下几方面:
(一)审计数据是否完整、准确。
为保证审计数据的完整和准确,审计人员在审计时必须认真检查被审计单位所提供的数据是否真实,是否属于审计时间范围内的财务数据,是否属于结账后的数据,财务数据是否有纸质账册、报表相配套。同时,审计人员获得的财务数据,应该是被审计单位财务人员对财务数据作现场备份所得的。
(二)审计方法与技术选择是否恰当。
审计人员可以根据被审计单位不同的系统而采取不同的审计方法和技术,从而有效地降低审计风险。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时,则可采用绕过计算机的审计方法,用核对、复核、分析性程序等审计技术;当被审计单位采用实时处理,纸质的审计线索较少且输入输出不能直接核对时,则可采用计算机审计的方法,当被审计单位采用每时每刻都在运行,审计过程中不能终止工作时,则可采用制度基础法。这样,既可以降低审计风险,又可以减少对被审计系统正常工作的影响。
(三)审计方式的选择是否合理。
由于要审计的内容大都存储在磁性介质中,而磁性介质很容易被篡改、删除而不留下任何痕迹。因此对于会计信息系统财务审计一般应采用就地审计或突击审计的方式。在进行审计时,可以采用事先不通知操作员或程序员的情况下,把系统中正在运行的数据拷贝出来进行审查,以防程序员对系统的应用程序进行篡改或更换程序版本,防止操作员把数据篡改、删除等,只有这样,才能保证被审计程序和数据的正确、完整性,也才能有效地降低审计风险。
(四)是否积极取得被审计单位的支持和配合。
在进行计算机审计时,如果被审计单位的财务人员、操作人员不予配合,把存在磁性介质当中以及会计信息系统中财务数据进行加密、修改、删除、隐匿等,则审计人员很难进行审查,因此,审计时应积极取得被审计单位的支持和配合,以此来降低审计风险。
六、结束语
国家审计署原审计长李金华指出:“审计信息化不光是个技术方法的问题,它对审计工作的方式、程序、质量和管理,乃至审计人员的思维方式和自身素质都会带来深刻的影响”。也就是说,创新审计技术与创新审计模式是互为前提、互相推动的一体两面。加快内部审计信息化建设既是实现内部审计转型的一项重要任务,更是开展以风险控制为导向管理审计的重要技术支撑。必须要把推进内部审计信息化建设作为利用信息技术改造提升传统审计方式的重要内容,纳入到推进内部审计实现全面转型与发展的总体部局之中,统一规划,整体推进。
