会计信息化环境下的审计研究
会计 信息化是将会计信息作为 企业 信息资源,运用先进的 计算 机技术、 网络 与通讯技术与会计 方法 为企业的管理与经营决策提供准确、及时、完整的会计信息。在会计信息化的环境下,企业的经营理念、组织结构、管理模式、交易支付等发生很大变化,企业的 经济 结构、运作方式、内部控制方法也随之改变,这使得审计工作的环境、审计工作的对象、审计范围、审计技术、审计线索等审计要素发生了较大的变化。
对象及 内容
会计信息化环境下的审计主要包括以下几方面:
1、对会计信息系统硬件平台的审计。信息系统硬件平台的审计包括:系统平台结构的合理与规范,有多层防范黑客或病毒侵扰的措施,在数据的接收与发送上有措施防止非法窃取、篡改,有密码、密锁、签名认证技术确保数据安全,有备用系统保证原系统在硬件物理损坏的情况下正常运行,有备用能源保证在主动力系统异常状态下系统正常运行。
2、对会计信息化系统软件的审计。对会计信息化系统软件的审计主要包括:系统软件的审计与 应用 软件(会计信息软件)的审计,后者的审计包括程序与数据两部分。
系统软件的审计包括OS平台及会计信息化软件的支撑平台(如DBMS),常用的OS均存在“漏洞”与“后门”,这将直接 影响 运行在其平台上的会计信息系统的数据安全,系统软件平台的安全审计在一定程度上确保会计信息系统中数据的正确性和可靠性。
对会计信息系统程序的审计包括业务系统及接口程序的审计。审计会计业务系统主要是对会计信息处理的准确性、及时性、完整性和可靠性的确认,查看其是否具有容错能力、纠错能力及控制能力,处理过程及方法是否符合财务制度、会计准则与法规。接口程序的审计是基于在信息化环境,会计数据大部分将直接来源于其他信息系统,接口程序的正确与否将直接影响接受与传递到其他系统的数据的正确性。
3.对会计信息系统应用控制的审计。对会计信息系统应用控制的审计是从管理的角度,检查系统使用过程中相关措施、制度的完善及落实情况,对会计信息系统应用控制的审计包括:系统组织管理审计、系统操作管理审计、系统数据管理审计、系统岗位责任审计。
4.对信息化系统开发工程质量的审计。工程质量的审计是系统在开发的各个阶段是否规范。是否存在质量隐患,每一环节的 问题 都将影响下一环节,如系统设计中的漏洞,将延续到系统运行阶段,采用“补丁”方式修改该错误将可能导致新的不稳定因素或系统的完整性,因此,在系统开发过程中的各阶段进行严格的审计,保证系统工程的质量。
技术与程序
在会计信息化环境下,无论是采用的技术、审计的工具、参与的人员,还是审计的程序,较之传统的审计工作都有其独到之处。
1.信息化环境下的审计技术
——充分发挥信息技术在审计中的作用
在会计信息的环境下,财务数据均是 电子 数据,运用信息处理技术,将审计底稿、审计证据、审计档案也全部电子化,审计工作将从定期的现场审计转向实时的“在线网络审计”;通过网络实时并连续地抽取证据,根据需要编写出各种测试审查程序,用于解释和预测多种审计现象,由计算机辅助审计转为信息系统审计与决策。运用 现代 信息技术与审计高度融合,提高审计的工作质量和效率,降低审计风险。
——可逆法重点审计数据的真实
在会计信息化条件下,企业所提供的主要是会计各种明细数据,审计工作重点在于验证其真实可靠性,以及进入网络内部明细数据的安全性。企业报表的数据真实性是可追溯的,根据可逆规则编写出程序自动追溯数据真实性。如原始凭证与记账凭证不一致,表明记账凭证有被修改的风险,记账凭证与账表不一致时,账表有被修改的痕迹。
——多位专家共同参与的审计
在会计信息化环境下,审计工作所面临的会计信息系统非常复杂,要求审计人员必须掌握计算机、网络通讯、信息管理等多方面的专业技术,这对一个审计专家是非常困难的事。我们要充分利用各类专家的专业能力参与审计工作,以充分利用专家的工作结果进行审计判断。
——多种审计方式综合运用
通常的审计方法有系统日志审计法、审计软件审计法、随机抽检法。
系统操作日志审计法是指跟踪会计信息系统软件中的操作日志记录。日志真实记录了操作者代号、姓名、操作的日期、时间、使用模块、运行状态、处理数据动作等,是系统进行维护、审计工作的重要线索,对会计信息化软件中反复核、反登账、反结账的手段进行账户调整是十分有效的。
通过审计软件审计法是与 会计 信息化相适应的审计 方法 ,审计软件审计常用的方法有数据模拟检测法、整体检测法、程序编码控制受控再处理法、平行模拟中嵌入审计程序法、程序追踪法等。
随机抽检审计法是不定期地从 网络 中下载数据进行审计,克服定期检查及数据更改,确保数据的真实性。
2.会计信息化条件下的审计程序 风险与防范管理
会计信息化的环境下审计风险是指审计人员利用 计算 机、网络通讯技术对会计信息系统进行审计后发表不恰当的意见的可能性,主要包括以下几个方面:
1.不留痕迹的篡改数据。在网络环境中,对舞弊者或非恶意攻击者进行数据非法修改和删除,均可不留篡改痕迹,此时无法保证数据的完整性和真实性,给审计监督带来了风险。
2.不确定性的信息损坏。有多种情况会造成信息丢失或损坏,其中包括运行期间的掉电、机器故障或磁介质物理损坏、病毒攻击破坏、黑客侵入和数据失窃、有目的的人为毁损、备份丢失等。
3.不明确的职责分工。在会计信息环境下,利用网络的漏洞作有目的的数据修改、舞弊或窃取秘密信息,从中捞取利益。
4.似有若无的防范措施。防火墙不能有效阻止病毒与黑客的入侵,系统的登录与访问密码失窃。
在会计信息化的环境下,为了有效地降低网络审计风险,必须采取相应的防范和控制措施,其主要对策有:
I.建立互动审计信息库。审计人员通过网络建立被审计单位的信息库,供审计时查阅和运用,这样可减少工作时间,提高工作效率,有效降低审计的风险。
2.利用原始数据再现处理结果.并与收集结果作对比分析。对有差异的数据进行详细审查,确定差异的数据产生的原因,通过网络进行预警提示,以降低审计风险。
3.加强对被审计单位网络系统的安全性和保密性的审计。可对网络进行模拟攻击与模拟访问,以检测网络系统保护措施的有效性与安全级别,系统的可靠性和保密性始终是审计风险防范和控制的重点。
4.遵循不相容原则进行职责分离。完成对系统数据输入、输出、系统维护及程序修改的管理等方面的审查,确认防范黑客侵入的能力及数据异常损坏后的修复能力,以评价软件系统安全性的等级,从而有效地控制审计风险。
5.建立新的审计 法律 环境。由于法律在规范 经济 的运作、控制 社会 的不确定性上具有无可替代的功能优势,因此,需要构建一套符合自身 发展 规律 的审计法规与审计准则。