内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制及治理过程的效果,帮助组织实现其目标。随着计算机技术、信息网络技术和电子商务的日臻完善与发展,大多数企业的会计工作都由先进的计算机管理信息系统来管理与控制,并逐步迈向网络化、高速化、自动化、集成化、智能化、虚拟化。电算化导致企业内部控制环境发生巨大的变化,审计对象电子化程度日益提高,审计范围日益扩大,审计领域不断拓展,这些变化对企业内审工作提出了新的课题。
一、电算化对内审工作的影响
(一)审计目标的多元化
审计目标是审计行为的出发点,是审计活动要达到的境地,一切与审计有关的环境变化都对其目标产生一定的影响。企业内审的目标是为本企业服务,最终达到促进提高管理水平,促进提高经济效益的目的。在电算环境下,内审不仅应揭露会计资料的错弊,还要揭露并指出其根源与后果,增加了对相关利益进行审计的多元化目标。具体来说,原先的查错防弊目标仍存在,但应增加指出在系统中产生差错的根源以便完善系统和分析对利益相关者产生何种影响等内容。会计信息系统产生差错,有两种可能性:一是由于经济业务本身的处理差错;另一种情况是经济业务本身处理是正确的,且不存在人为过失,而是由于网络财务系统中存在程序错误或安全漏洞使运行中产生错误结果。因此,财务系统设计的完善性及在使用过程中程序指令是否被改变等问题直接影响到最终网络财务报告的正确性。对后一种错误原因,审计人员应指出在哪段程序指令中出错或哪个财务子系统中有问题,指出差错源头,以便完善系统。
(二)审计内容的发展
在电算化条件下,审计的监督职能虽然没有变化,但审计内容却发生了变化。在电算化会计信息系统中,会计事项由计算机按程序自动进行处理,如果系统的应用程序出错或被非法篡改,则计算机只会按给定的程序以同样错误的方法处理所有的有关会计事项,系统就可能被不知不觉地嵌入非法的舞弊程序。系统的处理是否合规、合法、安全可靠,都与计算机系统的处理和控制功能有直接关系。电算化会计信息系统的特点及其固有的风险,决定了审计的内容中要增加对计算机系统处理和控制功能的审查。在会计电算化条件下,审计人员要花费较多的时间和精力来了解和审查计算机系统的功能,以证实其处理的合法性、正确性和完善性,保证系统的安全可靠。
(三)对审计人员素质的影响
对实行会计电算化的单位进行审计,由于审计线索、内部控制、审计内容、审计方法与技术等的改变,这对审计人员的业务素质提出了更高的要求。审计工作要想顺利开展,审计人员必须掌握一定的计算机、网络知识和完备的审计理论等多方面技能。会计实现电算化以后,由于电算化会计信息系统的特点,审计人员除了对原有的审计范围和内容进行审计外,还应审计以下事项:审查和检测系统程序;审查系统本身是否合规、合法;对系统的内部控制制度进行评审;对系统的内部控制制度进行评审;审查是否建立了健全了机房管理制度等。
二、电算化环境下内部审计工作遇到的问题
(一)电算化环境下,无纸化数据和无纸化交易减少了数据的重复输入、重复处理,也使会计处理程序化业务发生后只要业务人员执行相应的功能,会计人员不再填制凭证就可以直接记录到相应的账户上,系统的内部控制更多地依赖自身的实时控制。于是,数据的可靠性、原有纸制审计证据的减少、内部控制体系(会计处理及业务处理流程)的变化成为内部审计必须面对的问题。
(二)网络应用和企业全面信息化的实现改变了电算化初期那种单一的、独立的业务处理模式,企业控照高效原则进行业务重组、业务处理流程重构业务数据、财务数据、业务处理、财务处理集成在一起,使管理审计和财务审计相互融合,无形中扩大了审计范围,提高了审计的难度和对审计人员专业知识的要求。系统集成化使很多企业改变了管理模式,如有些企业根据业务需要把工作组作为基本工作单元,每个工作组内的成员共享数据,由于信息系统可以在不留下任何痕迹的情况下用后面的处理结果直接覆盖前面的处理结果,这就为审计评价数据完整性和可靠性增加了难度。系统集成化还使业务数据之间、财务数据之间、业务数据与财务数据之间的直接对应关系变得更加模糊、复杂,再加上数据的覆盖和网络化,从报表、账簿结果追查到原始业务变得非常困难。
(三)电算化环境下企业的内部控制发生了很大变化原有手工处理环境下的一些内部控制措施因失去了作用而被取消,有些内部控制措施被程序化后通过软件程序的执行而发挥作用,同时针对信息系统的特点又增加了一些新的内部控制措施。由于内部控制技术(如密码控制技术,防火墙技术等)不断发展,如何了解、测试、评价信息系统的内部控制情况便成了审计的难题。
(四)电算化环境下审计证据大多存储在数据库中,传统的审计技术难以达到目的,必须不断采用新的审计技术和手段比如采用测试程序嵌入系统完成对重要处理的审计、利用审计软件采集和分析要审计的数据、采用软件动态跟踪某些重要数据的变化。如何掌握并运用新的审计技术和手段无疑成为内部审计人员工作中遇到的又一个问题。
三、电算化环境下内部审计需要做好的几项工作
(一)建立新的内部控制
1.加强对所有与信息系统有关的部门及人员的监督管理。与信息系统相关的部门包括信息系统管理部门、维护部门和使用部门。相关人员包括网络管理员、系统管理员、数据库管理员、软硬件维护人员、系统操作人员(包括财务制单、财务记账、报表汇总)、稽核人员、档案保管人员及机房保安人员等,对这些部门和人员进行安全意识教育及监督管理对于降低审计风险是至关重要的。重点是要建立系统管理制度,包括每项管理的内容目标、要求、计划(预算)责任人员、岗位责任、时间、检查和奖罚等,每个环节的依据、方法、程序、岗位责任和结果等。
2.操作控制。操作控制是一项重要控制内容,如控制不严,容易造成对系统的破坏或给不法之徒以可乘之机。为了防止利用计算机系统舞弊,审计人员对操作的过程控制主要是通过制定一套完整而严格明确的操作规程来实现。权限控制。首先每个操作人员必须采用各自的密码运行自己所负责的会计业务,防止操作人员未经授权有意或无意进入系统从事本人业务范围以外的工作。其次是经授权后的各用户应定期修改自己的密码,最后是严格控制跨责任中心设置操作权限。严格遵守计算机操作程序。每个操作员要按会计制度和会计电算化的要求,完成各个模块的运行。遵守上机操作记录制度。认真作好操作记录、交接记录及运行日志,以便查找非法进入,明确责任,保证会计数据安全。系统管理员要定期检查机内软件和会计数据是否被他人非法修改、更换及破坏。防止计算机病毒的破坏。规定机器的使用范围,规定软盘、光盘专用,及备份盘的作用,要求定期或不定期对计算机和软件进行病毒检查。
3.系统维护的管理控制。系统维护包括对硬件、软件和数据的维护、审计人员对会计核算软件的管理和控制,主要防止会计核算软件被非法修改和删除。
4.会计电算化所形成的档案资料的管理和控制。单位的会计档案包括存储在磁盘上的会计文件和以书面形式存放的会计凭证、会计账簿和会计报表。存放在磁盘上的会计文件必须按规定及时打印出书面形式,末打印之前不得抹去。
(二)重建内部审计方法
除了建立完善的内部控制制度外,为了保证会计信息的真实性和正确性,防止假账真作、非法篡改程序等舞弊行为产生,还要采用新的审计方法,利用计算机对会计账务处理进行测试和检验。常用的方法有:
1.计算机外部审计法。计算机外部审计法是把计算机视为一种记账工具,审计人员根据原始数据,通过手工操作或借助于计算机运算,将处理结果与计算机数据处理系统的输出对比,检验其是否正确的方法。这种审计方法并不涉及计算机如何记账,如何运行处理,也不使用数据磁盘对计算机进行测试检查。
2.计算机检测审计法。审查计算机数据处理结果是否正确,使用原来的程序与数据在内部审计人员的参与或监督下,重新处理一遍,看其是否与原来的结果一致的方法。其审核重点是审查操作运行情况,如果不一致要进一步查明原因,为分析评价提供依据。
3.计算机连网审计法。连网审计法是利用计算机网络传输进行审计,需要在财务部门和审计部门实行多机连网,在审计部门安装检测机,并采用专用审计程序随时检测,这样审计部门就可适时利用网络来监测财务部门计算机账务处理的全过程,随时检查其正确性、合法性。这种方法具备不受时间限制、效率高的特点,保证了审计的质量。
4.设计一套有针对性的审计检查程序。一是检查被审计单位的权限设置,审查操作日记,发现疑点;二是检查账实是否相符,这里既指传统意义上的账实相符,也指计算机系统下各子系统之间的数据相符;三是检查凭证纪录的真实性、资产及负债的合理性、内部管理控制制度的完备性和会计政策的一贯性。
(三)对单位的信息系统实施审计
目前,绝大多数单位在内部审计时是绕过信息系统的。由于集成化系统中原始凭证大量减少,数据之间直接对应关系模糊,业务处理和财务处理高度集成,使得系统中存储数据与输出数据可能不一致。比如,有关人员通过在系统中嵌入非法程序块转移了数据,而打印出虚假数据提供给审计人员,这种行为必然加大审计风险。内部审计人员要想了解系统提供的数据的可信赖程度,必须对系统本身进行审计,这是内部审计不可能回避的。
首先,内部审计人员要对本单位计算机信息系统及其相关情况有所了解,包括:系统的硬件信息和软件信息。比如信息系统的结构、所使用主机的型号、内存容量、输入及输出设备、通讯设备、辅助存储设备、所使用的操作系统、通信软件、数据库管理系统和应用系统等。系统进行业务处理的具体情况。比如处理的过程、发生错误的多少等。本单位对其他单位信息系统的依赖程度。比如有的企业与其供货商或销售商共同管理存货,某些原料或产品的仓库设在供货商或销售商处,企业需要时直接从那里取得。这种情况下,如果供货商或销售商采用信息系统进行存货核算与管理,则本企业的存货信息高度依赖供货商或销售商的信息系统。被审计系统的内部控制。如本年度设备的变更信息、维护信息、应用系统的复杂程度及重要的处理过程等。在了解信息系统的基础上,内部审计人员根据重要性和复杂程度确定审计程序。实施审计时,符合性测试的重点应该是系统内部控制的设置和遵守情况、系统内定义的信息转换规则。对于财务、业务集成化系统而言,单位发生的每一项业务在业务系统中都会根据业务人员、财务人员事先定义的转换规则自动生成会计记录,进入财务系统。此时审核的重点不应是系统生成的大量重复的凭证,而是定义的信息转换规则是否正确和有效、是否符合相关法规的要求、对这些规则的管理等是否有效。
(四)加强对内部控制的审计,做到一般控制审查和应用控制审查相结合
在手工处理环境下,单位内部控制的重点就是人及其处理的业务。而电算化环境下,业务处理过程包括了手工处理、计算机系统处理、人与计算机进行交互处理这几部分,单位内部控制的重点变成了人及其处理的业务、人机交互处理过程、计算机系统业务处理过程和不同系统之间信息的传递过程,内部控制的重点和环节发生了很大变化。只有对信息系统的内部控制实施审计,才能了解内部控制运行状况并由此确定后续实质性测试的重点和审计程序。电算化系统中,可以把控制划分为一般控制和应用控制两部分。一般控制是对系统中组织、开发、操作、管理等系统运行环境所进行的控制,通常以制定规章制度、网络安全软件和程序控制形式体现;应用控制是对信息系统的某一具体处理过程施加的控制,主要以程序的形式体现。审计时,应该在对系统一般控制做出评价的基础上,通过读原程序、模拟数据上机测试、上机处理实际业务、采用审计软件等方式测试系统的安全性、控制程序的正确性和有效性。
(五)充分利用计算机辅助审计技术和工具
电算化系统的安全性、业务处理的正确性、应用控制的有效性、系统的运行效率等只有通过上机测试才能检验。因此内部审计人员可以对手工填制的原始单据、简单业务的处理、非程序控制制度和措施采用原来手工审计的有效方法,对于某些特定业务的处理过程、重要数据、复杂的处理过程及程序化的控制措施则应该充分利用计算机辅助审计技术和工具进行审计。
(六)关注业务系统与财务系统的数据转换环节
集成化系统中,业务系统与财务系统之间的数据传递可以实时进行,也可以分批完成,极易出现数据不一致,所以系统之间的数据转换应该是审计的重点之一。另外,有些企业的电算化系统采用了多家软件厂商的产品,业务系统与财务系统之间的数据传递需要借助外存(如磁盘)或局域网上不同数据文件之间转换等方式来完成,对这样的系统一定要防止并及时发现转换过程中的错弊。
(七)加强动态在线审计
电算化系统中,业务处理是实时进行的,尤其是网络化系统,在同一时间可能有多个用户执行同一项功能、调用同一个数据文件,而系统只记录下最终的结果。若审计时只对静态系统进行审查,不进行有关运行程序、数据文件的联机实时审计,有时就难以发现存在的问题。因此对于重要业务的处理、关键的处理程序、业务人员的上机操作记录等应该加强动态审计。网络化系统一般本身都提供了一定的审计功能,旦发现非法的或有超越网络授权的操作行为,就会记录入侵者的登录用户名、IP地址、登录日期、时间等信息,并寻找到非法用户曾经潜入系统内部的痕迹。利用大型数据库管理系统开发的应用软件也能对登录系统的用户及其使用系统的情况进行一定的监控,如哪些用户使用了系统、进行了哪些操作、操作的次数、登录及退出系统时间等。审计人员可以实时检查系统存放这些信息的审计踪迹表和系统日志文件,充分利用这些线索。同时,还可以利用专门软件进行重要数据的动态跟踪。比如利用Excel软件就可以实现一些简单的跟踪和分析。