一、電算化環境下內部審計工作遇到的問題
1 電算化環境下,無紙化數據和無紙化交易減少了數據的重複輸入、重複處理,也使會計處理程序化。業務發生後只要業務人員執行相應的功能,會計人員不再填制憑證就可以直接記錄到相應的賬户上,系統的內部控制更多地依賴自身的實時控制。於是,數據的可靠性、原有紙製審計證據的減少、內部控制體系(會計處理及業務處理流程)的變化成為內部審計必須面對的問題。
2.網絡應用和企業全面信息化的實現改變了電算化初期那種單一的、獨立的業務處理模式,企業按照高效原則進行業務重組、業務處理流程重構。業務數據、財務數據、業務處理、財務處理集成在一起,使管理審計和財務審計相互融合,無形中擴大了審計範圍,提高了審計的難度和對審計人員專業知識的要求。
系統集成化使很多企業改變了管理模式,如有些企業根據業務需要把工作組作為基本工作單元,每個工作組內的成員共享數據,由於信息系統可以在不留下任何痕跡的情況下用後面的處理結果直接覆蓋前面的處理結果,這就為審計評價數據完整什和可靠性增加了難度。系統集成化還使業務數據之間、財務數據之間,業務數據與財務數據之間的直接對應關係變得更加模糊、複雜,再加上數據的覆蓋和網絡化,從報表、賬簿結果追查到原始業務變得非常困難。
3.電算化環境下企業的內部控制發生了很大變化。原有手工處理環境下的一些內部控制措施因失去了作用而被取消,有些內部控制措施被程序化後通過軟件程序的執行而發揮作用,同時針對信息系統的特點又增加了一些新的內部控制措施。由於內部控制技術(如密碼控制技術、防火牆技術等)不斷髮展,如何瞭解,測試、評價信息系統的內部控制情況便成了審計的難題。
4.電算化環境下審計證據大多存儲在數據庫中,傳統的審計技術難以達到目的,必須不斷採用新的審計技術和手段,比如採用測試程序嵌入系統完成對重要處理的審計、利用審計軟件採集和分析要審計的數據、採用軟件動態跟蹤某些重要數據的變化。如何掌握並運用新的審計技術和手段無疑成為內部審計人員工作中遇到的又一個問題。
二、電算化環境下內部審計需要做好的幾項工作
1.對單位的信息系統實施審計、目前,絕大多數單位在內部審計時是繞過信息系統的。由於集成化系統中原始憑證大量減少、數據之間直接對應關係模糊、業務處理和財務處理高度集成,使得系統中存儲數據與輸出數據可能不—致。比如,有關人員通過在系統中嵌入非法程序塊轉移了數據,而打印出虛假數據提供給審計人員,這種行為必然加大審計風險。內部審計人員要想了解系統提供的數據的可信賴程度,必須對系統本身進行審計,這是內部審計不可能迴避的。
首先,內部審計人員要對本單位汁算機信息系統及其相關情況有所瞭解,包括:①系統的硬件信息和軟件信息。比如信息系統的結構、所使用土機的型號、內存容量、輸入及輸出設備、通訊設備、輔助存儲設備,所使用的操作系統、通信軟件、數據庫管理系統和應用系統等。②系統進行業務處理的具體情況。比如處理的過程、發生錯誤的多少等。③本單位肘其他單位信息系統的依賴程度。比如有的企業與其供貨商或銷售商共同管理存貨,某些原料或產品的倉庫設在供貨尚或銷售商處,企業需要時直接從那裏取得。這種情況下,如果供貨商或銷售商採用信息系統進行存貨核算與管理,則本企業的存貨信息高度依賴供貨商或銷售商的信息系統。④被審計系統的內部控制。如本年度沒備的變更信息、維護信息、應用系統的複雜程度及重要的處理過程等—在瞭解信息系統的基礎上,內部審計人員根據重要性和複雜程度確定審計程序。實施審計時,符合性測試的重點應該是系統內部控制的設置和遵守情況、系統內定義的信息轉換規則。對於則務、業務集成化系統而言,單位發生的每—項業務在業務系統中都會根據業務人員、財務人員事先定義的轉換規則自動生成會汁記錄,進入財務系統。此時審核的重點不應足系統生成的大量重複的憑證,而是定義的信息轉換規則是否正確和有效、是否符合相關法規的要求、對這些規則的管理等是否有效。
2.加強對內部控制的審計,做到一般控制審查和應用控制審查相結合。在手工處理環境下,單位內部控制的重點就是人及其處理的業務。而電算化環境下,業務處理過程包括了手工處理、計算機系統處理、人與計算機進行交互處理這幾部分,單位內部控制的重點變成了人及其處理的業務、人機交互處理過程、計算機系統業務處理過程和不同系統之間信息的傳遞過程,內部控制的重點和環節發生了很大變化。只有對信息系統的內部控制實施審計,才能瞭解內部控制運行狀況並由此確定後續實質性測試的重點和審計程序;
電算化系統中,可以把控制劃分為一般控制和應用控制兩部分。一般控制是對系統中組織、開發、操作、管理等系統運行環境所進行的.控制,通常以制定規章制度、網絡安全軟件和程序控制形式體現;應用控制是對信息系統的某一具體處理過程施加的控制,主要以程序的形式體現。審計時,應該在對系統—般控制做出評價的基礎上,通過讀原程序、模擬數據上機測試、上機處理實際業務、採用審計軟件等方式測試系統的安全性、控制程序的正確性和有效性。
3.充分利用計算機輔助審計技術和上具。電算化系統的安全性、業務處理的正確性、應用控制的有效性、系統的運行效率等只有通過上機測試才能檢驗。因此內部審計人員可以對手工填制的原始單據、簡單業務的處理、非程序控制制度和措施採用原來手工審計的有效方法,對於某些特定業務的處理過程、重要數據、複雜的處理過程及程序化的控制措施則應該充分利用計算機輔助審計技術和工具進行審計。
4.關注業務系統與財務系統的數據轉換環節。集成化系統中,業務系統與財務系統之間的數據傳遞可以實時進行,也可以分批完成,極易出現數據不一致,所
以系統之間的數據轉換應該是審計的重點之一。另外,有些企業的電算化系統採用廠多家軟件廠商的產品,業務系統與財務系統之間的數據傳遞需要藉助外存(如磁盤)或局域網上不同數據文件之間轉換等方式來完成,對這樣的系統一定要防止並及叫發現轉換過程中的錯弊。
5.加強動態在線審計 電算化系統中,帳務處理是實時進行的。尤其是網絡化系統,在同一時間可能有多個用户執行同一項功能、調用同一個數據文件,而系統只記錄下最終的結果。若審計時只對靜態系統進行審查,不進行有關運行程序、數據文件的聯機實時審計,有時就難以發現存在的問題。因此對於重要業務的處理、關鍵的處理程序、業務人員的上機操作記錄等應該加強動態審計。
網絡化系統一般本身都提供了一定的審計功能,一旦發現非法的或有超越網絡授權的操作行為,就會記錄入侵者的登錄用户名、IP地址、登錄日期、時間等信息,並尋找到非法用户曾經潛入系統內部的痕跡。利用大型數據庫管理系統開發的應用軟件也能對登錄系統的用户及其使用系統的情況進行一定的監控,如哪些用户使用了系統、進行了哪些操作、操作的次數、登錄及退出系統時間等。審計人員可以實時檢查系統存放這些信息的審計蹤跡表和系統日誌文件,充分利用這些線索。同時,還可以利用專門軟件進行重要數據的動態跟蹤,比如利用Ex cel軟件就可以實現一些簡單的跟蹤和分析。
6.加強對所有與信息系統有關的部門及人員的監督管理。與信息系統相關的部門包括信息系統管理部門、維護部門和使用部門。相關人員包括網絡管理員、系統管理員、數據庫管理員、軟硬件維護人員、系統操作人員、檔案保管人員及機房保安人員等,對這些部門和人員進行安全意識教育及監督管理對於降低審計風險是至關重要的。