所谓审计线索,是指一项经济业务的发生及有关数据的处理所留下的各类文档资料(如原始凭证、记账凭证、账册等)之间的一系列联系。手工系统中,各种书面文档信息所构成的审计线索为企业管理、内部控制和审计工作提供了极大的方便。在电算化系统中,为利用计算机的高效能及适应电算化处理的要求,原始数据和其他数据文件的生成方式、传递路径和传递方向发生了变化,审计线索依电算化程序和系统的不同而或多或少地有所改变。例如在手工系统中,需根据原始凭证编制记账凭证,然后登记明细账和总账,电算化以后,某些转账业务可以由计算机自动生成记账凭证,某些自制原始凭证可以留有适当空间,直接由会计人员在原始凭证上进行会计科目处理,从而取代了记账凭证。另外,在手工系统中,常根据记账凭证登记明细账,根据汇总记账凭证或科目汇总表登记总账,这些明细账是审计线索中重要的一环,对于防错防弊起着至关重要的作用。
而在电算化系统中,总账、明细账和日记账都由计算机一次性根据记账凭证文件登记完成,已失去控制与核对关系,其根据都直接来源于记账凭证,因此实际上从凭证到报表的审计线索缩短了。更为重要的是,电算化系统中的大量审计线索以肉眼不可见的机读形式存储于磁盘中,这样势必造成可见审计线索的中断。
当然,在审计过程中,可以要求被审计单位将要审查的凭证、账簿、报表等审计线索全部打印出来,但如果系统在开发和设计时没有考虑审计的要求,没有设置详细的账簿体系并保留必要的审计线索,则会严重降低系统的可审性。在有些高级电算化系统中,某些传统的原始凭证可能由于采用了联机输入设备而流失。
例如,销售员可以通过便携式微机终端输入客户的订货,而无订单输出。有些系统中没有设置完整的业务备查,如一定要求保留这一线索,则需耗费一定的人力和物力资源。存储于磁性载体中的各类数据文件,只有采用计算机并利用计算机程序才能阅读。
二、审计内容特征
手工系统环境下,审计的内容限于手工处理的各种凭证、账表、资料及其所反映的经济活动,而在电算化系统中,数据处理的准确性、完整性不仅取决于输入数据的真实性和手工操作步骤的正确性,更主要地取决于计算机程序的正确性及其运行的可靠性。加之电算化系统的内部控制中很大一部分采用了程序化的控制方式,因此审计中仅仅依靠审阅、核对等方法来检查经济活动及其资料是远远不够的,还应花费很大一部分时间和人力检查计算机程序的控制及处理功能,这样才能对系统数据信息的性质作出科学的结论。此外,由于电算化系统的初始设置成本较高,并且运行后系统维护及改进费用也较高,因此无论是内部审计还是外部审计,对电算化系统的开发过程进行审查,考察系统分析、设计和运行的组织情况及系统开发过程是否规范化,评价开发出的系统是否符合国家有关电算化方面法规的要求并能满足企业管理的需要,将成为重要的工作内容。
三、审计方法与技术特征
如前所述,电算化系统中信息存储方式及审计线索发生了变化,内部控制也部分地程序化了,而手工系统中常用的一些方法如审阅、核对、调查、盘点等等,尽管仍部分地适用,但单纯采用传统的这些手工审计方法已远远不能满足审计的需要,审计人员需要开发出新的方法,运用新的手段,来对系统内部控制的充分性、有效性及数据账表的可靠性进行了解和测试。例如,对于复杂的实时系统的凭证、账簿、报表的检查,有时它们之间的关系很难用核对、审阅、打印输出资料的方式来确定其正确与否,审计时往往需要借助计算机辅助审计技术,运用审计软件直接检查以磁性方式存储于被审计算机系统中的数据文件。对计算机程序的检查,也往往需要运用计算机来进行。需要指出的是,审计作业过程本身的计算机化,只是电算化系统审计方法的一个方面,还存在很多手工审计方法,如判定表法、决策树法等等,特别适用于电算化系统审计的某些方面。总的说来,电算化系统审计方法较之手工系统审计要丰富得多、复杂得多,既包括大量的手工方式进行的方法,同时也有很多方法需借助计算机来进行。
四、审计人员特征
计算机环境下审计对象及与其相适应的审计方法本身的变化,要求审计人员的知识结构适应这种变化的需要。计算机系统数据处理集中化,要求电算化单位采用特别控制手段,保证数据处理过程中的职责分离和资产的安全、完整;电算化系统的高度复杂性,要求数据输入、处理和输出各环节的操作必须标准化,并设有充分的应用控制以保证数据处理准确、可靠。内部控制方式与内部的巨大变化,要求审计人员对电算化系统的控制原理有足够的知识,借以评价内部控制的充分性和有效性,并相应地确定实质性测试的范围、时间和重点。电算化系统审计方法和技术的改变,要求审计人员对有关程序设计、系统分析与设计、计算机操作等有关知识具有相当的了解。
由此可见,电算化系统审计对审计人员素质提出了更高的要求。它要求审计人员具有复合型的知识结构,除应具备手工系统审计所必备的会计、审计、法律、企业管理等方面的知识外,还要具备一定程度的计算机结构与操作、系统开发设计、电算化会计以及电算化系统控制与审计的有关知识。在国外电算化系统审计开展的早期,大部分审计人员对计算机知识了解甚少,审计过程中或只能采用与手工系统审计中同样的方法进行审查,或是依赖审计小组中的计算机专家对系统的和谐做出的评价。但由于计算机专家又往往只了解系统的技术方面,对于审计和控制的要求知之不多,结果导致审计与计算机两方面知识的脱节,使审计结论出现偏颇,出现了许多审计责任问题。为此,一些国家的政府机构和职业组织开始对审计人员的知识结构和电算化系统审计提出了规范化的要求。如美国注册公共会计师协会(AICPA)在其发布的《审计准则说明书》第3号及第48号中,要求审计人员必须了解电子数据处理系统,并且在整个审计过程中,充分考虑计算机的影响,以采用适当的方法进行符合性测试和实质性测试。
(第三节)电算化系统的内部控制及其评审
电算化系统的内部控制评审是电算化系统审计的一项重要的,也是技术性很强的工作。如前所述,计算机引入数据处理系统后,电算化系统呈现出许多不同于传统的手工系统的特征,这些特征表明,相对于手工系统而言,电算化系统的控制风险大大增加,电算化系统需要设置多种新的控制措施以保证系统的有效运行和数据、信息的完整性、正确性。了解电算化系统内部控制结构并采用合适的方法加以评审,是现代审计在变化的审计环境中生存、发展的前提。
一、电算化系统内部控制的主要内容
在电算化系统内部,依据控制对象的范围,应将控制区分为一般控制和应用控制两类。一般控制是指对系统构成要素(人、机器、数据文件)及环境的控制,通常适用于系统进行的大部分数据处理,其主要的内容包括组织控制、系统开发控制、硬件及系统软件控制、系统安全控制等。应用控制是对特定应用项目的数据处理过程本身的控制,其具体内容往往因应用项目而异,包括输入控制、处理控制和输出控制。一般控制是应用控制的基础,为数据处理提供良好的处理环境;应用控制则可看作是一般控制的深化,它在一般控制的基础上,进一步深入具体的业务处理过程,为数据处理的准确性提供直接的保证。
(一)一般控制
1.组织控制
组织控制是指通过人员管理和职权与责任的分配以保证有效果、高效率地实现组织的目标。其主要措施有:(1)数据处理与使用部门职责分离。数据处理部门负责记录业务并进行相应的数据处理,数据使用部门负责批准和执行业务,两者属不相容职责,必须分离。(2)数据处理部门内部职责分离。要求系统开发与数据日常处理职能分离,系统开发人员不得参与日常处理操作,同时,日常数据处理也应安排多人共同完成。如可设操作员、文档管理员、复核员等岗位。
2.系统开发控制
系统开发控制是指对新系统开发使用及原有系统的任何改进活动进行的控制。电算化系统不仅初始设置成本高,而且如果投入运行后才发现系统的不适用之处而进行改动,则需耗费很多的人力、物力和财力。因此,有必要采取控制措施保证及时发现和修正错误,以使投入运行后系统能满足用户的需要。主要措施包括:(1)系统开发前,进行必要的可行性研究;(2)开发小组应有使用部门人员参加并参与设计和测试;(3)系统投入使用前先与原系统并行运行一段时间,以进一步验证新系统的可靠性和适用性;(4)可能的情况下,系统开发应有审计人员(尤其是内审人员)参与,以保证系统保留必须的控制措施和审计线索;(5)系统投入使用后,任何程序的改变或系统配置的变化必须经过批准、调试并保留文字记录后才能投入运行,系统维持应视同系统开发加以控制。
3.硬件及系统软件控制
这是指与计算机随机配备的为防止硬件运行失灵和系统软件中具有的保证计算机运行可靠性的一些控制功能。如为防止硬件运算出错,很多计算机配备了重复处理校验功能,由两个运算器对同一批数据执行同一运算,通过比较运算结果是否一致来判定运算是否准确。常见的硬件控制有冗余校验、重复处理校验、回波校验、设备校验、有效性校验等;系统软件控制主要有错误处理、程序保护、文件保护等功能。
4.系统安全控制
这是指为保证计算机系统资源的实物安全,免受影响系统连续性和导致系统实物资源损失的种种因素干扰而采取的各种控制手段。主要措施包括:
(1)接触控制,只有经过批准的人员才能接触电脑系统的硬件、软件和数据文件,可采用机房、机器加锁,口令控制等多种方法;(2)后备控制,对重要的系统硬件、软件配置后备设备,对数据文件进行备份,在系统资料损毁的情况下能够恢复处理功能;(3)环境安全控制,如计算机房应配有防火、防尘、不间断电源、稳压等设备。
(二)应用控制
应用控制针对具体的应用项目而设置,因此涉及的业务种类繁多,各种业务应用与处理流程中要求差别极大。根据设置的控制所涉及的数据处理环节。可将其分为以下三类。
1.输入控制
由于计算机处理结果对输入的正确与否具有极高的敏感性,并且很多计算机舞弊还是通过在输入环节作弊而实现的,因此输入控制在电算化系统控制中占有极为重要的地位。常见的输入控制措施有:(1)复核控制。由不同的操作人员或同一操作人员两次键入需输入的数据,如果结果不一致,则需纠正后才能进行下一步的处理。(2)分批控制。输入计算机前,由人工汇集凭证并编制批号,计算控制总数(如输入金额合计)输入计算机后,由程序计算后再次给出结果以与人工计算的总数相核对。(3)计算机编辑校验,即计算机按照程序指令通过计算机逻辑比较,检查数据的正确性与完整性,如对数据编码有效性、数值符号、数据类型、字段长度、数值限度等均可利用计算机程序进行校验。(4)平衡校验。利用数据间应有的平衡关系(会计账务处理中,如本期借方发生额—本期贷方发生额等等)在数据输入环节,利用事先编制的检验程序进行校验,如平衡关系被打破,则说明输入过程有误。其他的输入控制措施还有数码校验等。
2.处理控制
处理控制的目的在于合理保证计算机按照既定的指令处理正确的文件,处理结果正确。处理控制都采用程序化方式进行。常见的有:(1)文件标签校验。
为防止处理的文件不是预定的文件,在处理文件前,操作员应认真检查文件的外部标签,确定该文件确实是所要处理的文件;内部标签的校验则需靠程序执行,如发现不相符,则给出错误信息。(2)控制总数校验。计算机处理后,自动计算出总数并与输入的控制总数核对,以保证处理的正确性。另外还有限值校验、平衡校验等等控制手段。
3.输出控制
输出控制的目的,一是要验证输出结果的正确性,二是要保证输出信息能够及时发送到指定的人员手中。主要手段有:(1)对输出结果进行检查,如检查各项数字的合理性,将输入过程中手工计算的控制总数与输出的控制总数核对等等;(2)设置专门人员负责输出文件的发送并设置相应的记录。