随着网络技术的发展和普及,计算机已广泛应用于企业经营管理、劳资财会、生产建设等各个领域,从而使得企业信息化程度不断提高,企业的生产经营运作、工程建设流程、会计账务处理等均具有了网络化的新特点,所有这些都对审计工作提出了挑战。由鉴于此,创造计算机审计条件刻不容缓。
一、企业开展计算机审计的必要性
1.开展计算机审计是企业审计工作发展的需要。
伴随着市场经济体制的建立和科学技术的进步,审计工作的内容、对象和标准都在不断发展、变化,审计工作的难度和工作量也在不断扩大。现有的审计工作现状不能满足审计监督的需要,主要表现为:
(1)审计内容与审计监督职能不适应。我国的审计条例规定,审计机关要对凡有国有资产的单位的财政、财务收支的真实、合法和效益进行审计监督。这就明确了审计的内容是被审单位经济活动的真实性、合法性和效益性。但事实上,企业虽然进行了一部分经营审计,但是现在的审计工作仍主要是财政、财务收支的合法合规性审计。也就是说,被审单位的管理和效益仍不能完全置于审计的监督之下,审计的监督和控制作用不能得到充分发挥。
(2)审计系统的信息反馈能力与审计监督职能不适应。企业的审计是高层次的监督,不仅要实行微观的监督,而且要参与宏观的调控。企业的领导要根据审计的反馈信息了解企业整体运作状况,从而制定下一步的发展战略。但现在的反馈能力远远跟不上需要。
2.开展计算机审计是企业会计电算化发展的需要。
财务软件的推广应用标志着企业电算化会计信息系统的规范化,它表明企业会计电算化已经上了一个新的台阶。利用计算机审查电算化会计信息内容,可以大大加快审计的速度,提高审计效率。
3.开展计算机审计是更好地应用企业信息网,促进企业发展的需要。
企业信息网,包括电子商务系统的推广应用,将给企业带来巨大的收益。做好计算机审计将保证网上新的业务合法合规、健康发展,尽管这将给审计人员提出更高的要求。由于企业信息网、电子商务等系统采用多种计算机和通信技术,拥有多重设备资源,开展多种业务,系统较为复杂,因此,数据资源共享和数据安全成为一个非常重要的新问题,在这种情况下,审计工作表现出了很多网络环境下的新特点。
(1)责任的分散。在非网络情况下,包括数据文件整理、数据组织、数据存取、数据编辑与验证,以及数据库的建立与维护在内的控制责任,通常集中在小部分拥有权限的具体操作人员身上。而在网络环境下,数据的使用面向整个网络用户,即这种控制责任除原具体操作人员外,将向众多部门及人员转移,甚至涉及到网络的所有用户。
(2)重点的转移。在非网络环境下,审计人员关注的重点在于内部控制的符合性测试和实质性测试方面,整个电算系统运转的核心也是系统程序对内部控制的落实上。而在网络情况下,数据高度集中在网络系统中,数据可能被非法拷贝、非法篡改,从而引发新型的网络审计风险。因此,审计的重点也应放在网络系统上。
二、计算机审计的目的和任务
1.目的。
计算机审计和手工审计一样,按其目的可划分为三个领域,财务审计、财经法规审计和经济效益审计。财务审计的主要目的有两项,一是保护资产,二是保证财务信息的质量。财经法规审计的基本目的是揭发违法乱纪行为。经济效益审计的根本目的是通过对被审单位,比如企业经济活动的效率、效果和效益等方面进行检查和分析以及提出建议,促使其经济效益提高。
2.任务。
为了达到上述目的,审计人员需进行多方面审计活动,包括:内部控制审计、系统开发审计、应用程序审计、数据文件审计等。
企业如何开展计算机审计:
1.对电算化信息系统的审计。
会计电算化以后,审计内容有了很大改变,其中一个重要的变化是需要对电算化信息系统本身进行审计。包括程序的正确性、准确性、完全性和可靠性等。
(1)内部控制审计。分为一般控制(如组织操作控制、硬件控制)和应用控制(如输入控制、输出控制)审计。
(2)系统开发审计。这主要是针对企业自己开发软件而言,如企业信息网和电子商务系统开发审计,是一种事前审计。主要指审计人员参与电算会计或审计软件开发,从而使系统具有较强的可审性。对企业而言,有审计人员参加,还可以增强行业特性,使系统具有更强的使用性。
(3)应用程序审计。检查现在使用的系统是否运行正常、可靠、准确,减少由系统弊端带来的损失。它主要是为了测试应用控制系统的符合性。应进行以下审计:
①针对相对简单的应用程序,可将原始程序备份上来进行审计,对运行的程序与备份的程序进行比较以确定运行程序的可靠性。
②检查某一重要部分源程序代码,判定是否有错误或逻辑炸弹,以确定所运行程序的正确性。
③检查被审程序的流程图,判定是否有逻辑错误,是否有冗余,也可自行绘制被审程序的流程图,以确定被审程序的正确性和效率性。
④针对较为复杂的应用程序,可编写一部分虚拟业务,让被审程序与备份程序同时运行,将结果进行比较,以判定被审程序的正确性。
(4)数据文件审计。数据文件审计主要针对凭证库、账簿库的资料信息,测试其正确性。
这是一种实质性测试。审计的方法:一种是可以将需要审计的有关资料打印出来进行审计,这要求审计人员了解文件结构和程序中的输出功能。另一种方法是可以对实际的数据文件进行测试,这要求审计人员了解数据文件的组织方式、存取方式等。
2.利用计算机进行辅助审计。
利用计算机进行辅助审计是指利用计算机作为工具,把审计人员从繁琐枯燥的重复工作中解脱出来,提高工作效率。也可以应用比较系统的专用审计软件,以便提高效率、准确性和审计的规范性。
3.对网络系统的安全性进行审计。
主要对网络安全机制和安全技术进行审计,包括接入管理、安全监视和安全恢复三个方面。接入管理主要处理好身份管理和接入控制,以控制信息资源的使用;安全监视主要功能有安全报警设置以及检查跟踪;安全恢复主要是及时恢复因网络故障而丢失的信息。
三、如何确保计算机审计的顺利进行
1.提高审计人员素质。
现代科学技术飞速发展,审计人员单纯拥有审计专业知识和简单的计算机知识已经远远不够,必须提高审计人员的计算机技术水平和业务能力。
2.技术支持。
企业计算机审计系统是构建于计算机技术、数据库技术、INTERNET/INTRANET技术等当代先进信息技术基础上的,以企业信息网为平台,应用专用的审计软件进行审计。因此,审计工作需要得到技术部门的全力支持。
3.审计软件。
由于计算机在企业内部的广泛应用,尤其是企业财务软件的应用,企业开展计算机审计已不能仅仅局限于简单的计算,而是应该形成一个系统的审计规范且将其融入一套软件程序,以适应审计工作需要。由于企业信息化水平不同,人员素质不同,计算机审计工作的开展可从易到难,具备基本功能的审计软件可以外购。但对于已推广应用财务软件的企业,可考虑组织力量自行开发审计软件。因为会计数据接口已确定,针对确定的接口开发审计软件可以更加符合企业要求,并且可以利用企业信息网的优势,开发出符合企业环境的网络化系统审计软件。
(1)应用审计软件。它是对相关网络进行实时跟踪,对数据库内文件进行审计的一种软件。要实现它的功能自然要应用网络技术,在网络上建立审计信息库、有效背景资料、最新动态和必要的审计档案信息。
(2)专业审计软件。专业审计软件可以分为两大部分:单体审计软件部分和合并审计软件部分。这两部分是相互联系的,数据传递与修改可以瞬时完成。
(作者单位:江西省审计厅)