二、电算化系统内部控制的评审电算化系统内部控制的评审与手工系统内部控制评审有许多共同之处,其基本目的都是确定系统是否设置了合理保证数据处理可靠性的控制手段,这些控制手段是否实际发挥了预期作用,并进而确定审计人员下一步实质性测试的范围和重点。除此之外,内控评审也可以成为被审计单位提出有关内部控制建设方面的建议的依据。但由于电算化系统的控制内容、方法和具体措施有别于手工系统,因此评审方法也应适应其特殊性而有所改变。
一般说来,对电算化系统内部控制的了解和描述可采用手工系统中常用的方法,如调查表、流程图、查询等方法仍是非常有效的。但在对内部控制的执行情况进行符合性测试时,由于电算化系统的控制有很多是程序化控制,因此单纯依靠传统的方法是无法胜任的,需采用一些计算机辅助审计技术或通过计算机审计技术才能得出确切的结论。对于电算化系统中的手工控制手段,如组织控制、系统安全控制、系统开发控制等内容,广泛运用于手工系统的各种符合性测试方法仍然是有效的。
(第四节)电算化系统审计的基本方法电算化系统审计测试包括符合性测试与实质性测试两种。在这里我们从两种测试的共性出发探讨审计的方法。依据是否对计算机系统内部的文件、程序和控制功能进行直接审查,可将审计的基本方法分为“绕过计算机”审计和“通过计算机”审计两种方法。依据审计过程中是否利用计算机进行审计工作,可以分为手工审计和计算机辅助审计两种方法。
一、绕过计算机审计法(AuditAroundtheComPuter)
绕过计算机审计方法又称为“黑盒法”,它是将电算化系统中的计算机系统作为一个不可知的黑盒子看待,无需对计算机的处理过程和程序化控制加以直接、详细的了解,只需对计算机的输入和输出资料加以检查,将一定时期内的输入、输出资料全部打印出来,从已由计算机处理过的业务中选择部分业务,由审计人员对其进行手工重复处理,然后将预期结果与计算机处理结果相比较。根据比较的一致程度来评价系统处理及控制的功能。
绕过计算机审计方法是依据下列假定:若系统的输入、输出是正确的,则可以认为数据处理的过程也是正确的。因此,审计人员可以绕过计算机,在不知道计算机数据处理具体的内容和方法的前提下,通过检查肉眼可见的输入输出数据形成判断和结论。如果输入正确而输出有错,则可以肯定计算机处理过程存在问题。采用绕过计算机方法进行审计测试,工作的重点在于检查核对,以验证输出结果的正确性。
绕过计算机审计方法一般适用于如下环境:
(1)审计线索完整、可见。所有的业务均保留原始凭证,并在有关的输出账簿中留有详细的记录。
(2)处理过程简单、明了。某些情况下,计算机输入与输出的关系较为简单直接,检查核对比较容易,如应收账款等账项的账务处理;在另外的情况下,输入与输出的关系则相当复杂,如工资、产品成本计算等,相应的检查核对工作量很大,甚至相当困难。
(3)审计人员可以得到完整的系统文档资料。如系统分析说明书、系统设计说明书。否则的话,审计人员对系统的处理逻辑与控制功能一无所知,审计证据缺乏证明力,审计风险较大。
(4)系统使用的软件被广泛使用并经过严格测试。在这种情况下,系统的功能一般较为齐全可靠,审计人员不直接对计算机系统内部进行检查一般也不会遗漏重大的控制弱点。
(5)该方法一般用于对批处理系统的审查。对于实时系统,在不影响正常业务处理的前提下是很难应用的。
绕过计算机进行审计,审计人员即使不懂得计算机的运行与操作知识,不了解被审计电算化系统的具体情况,同样可以进行审计测试。这与我国目前审计人员一般的素质状况是相适应的,因此是目前实践中使用较为普遍的一种方法。
但是,该方法存在着如下的严重缺陷:(1)用手工方式验证输出结果耗费时间较多。(2)输出结果中如果发现错误,往往无法判定产生的原因,因为导致计算机数据处理出错的因素很多,既可能是操作人员的失误,也可能是计算机硬件或软件中出现问题。由于审计人员对处理过程和程序化控制情况只能从系统文档中作一般性的了解,而无从判断实际处理和控制与文档说明的相符程度,这将进一步影响审计结论和建议质量。(3)该方法适用范围有限,只是在电算化水平较低、把计算机作为一个大计算器使用时,计算机输入与输出的关系才保持手工系统的形态,即手工系统下的肉眼可见审计线索仍然保留。但随着计算机技术的发展和应用及开发水平的不断提高,由计算机完成的处理内容将日趋丰富、复杂,中间结果一般不再打印出来,最终输出也只有很少的部分形成书面文件。此种情况下仍绕过计算机进行审计,其质量与效率都会受影响。实践中经常出现这样的情况,审计人员发现输出有错或与输入不符时,只能接受被审计单位有关人员的解释而无法辨识其真伪。
二、通过计算机审计法(AuditThroughtheComPuter)
通过计算机审计法又为“白盒法”,是指将计算机的处理过程本身作为审计测试的直接对象的一种审计方法。通过计算机审计的名称与黑箱理论有关。计算机处理过程技术上的复杂性,使某些审计人员对之产生了畏惧心理,认为这一过程是不可知的,并提出了很多理由,人们称之为“黑箱理论”。在电算化系统审计中直接检查计算机处理过程,其意义在于破除了不可知论,穿透、打开了计算机处理的黑箱,故称为通过计算机审计法。
如果说电算化的早期,绕过计算机审计尚具备其应用的条件,并可满足履行审计职能的需要的话,那么随着电算化水平的提高,绕过计算机审计方法的应用则日益受到限制。其原因在于:
(1)联机输入越来越普遍。在有些系统中,可由工作人员在收到顾客订货电话后,直接通过终端输入有关数据,而不必编制原始凭证。
(2)打印输出减少甚至消失。在国外的有些企业,输出形式越来越多地采用屏幕显示的方式,通过联机查询直接获取有关资料,系统只打印输出一些例外报告。
(3)实时系统的大量采用。在实时系统中,业务发生后立即更新有关文件,审计人员单纯依靠打印资料无法了解系统数据和文件的现实情况。
此外,如果操作人员做了手脚的话,可能导致打印资料与机内存储的数据、文件不一致,从而使得输入、输出的核对失去意义。所有这些,都要求审计人员直接对计算机系统的运行过程、对系统的处理与控制功能进行检查、测试,即通过计算机进行审计。需要指出的是,通过计算机审计一般需借助计算机来完成,但并不排除手工操作的可能性与必要性。如检查程序控制功能时,可直接经肉眼检查程序逻辑及编码的正确性,即是用手工方式进行的通过计算机的审计。
通过计算机审计的最大优点,是大大提高了电算化系统审计的深度,扩大了审计范围。由于电算化系统审计线索变化带来的问题基本上被克服,对输出中发现的问题可以进行深入的分析,为审计结论的形成提供了充分、有力的审计证据。此外,通过计算机审计还可动态地评价系统适应变化的能力,并可节省详细的验证输出的人力、物力和时间的耗费,为建立在内控评审基础上的抽样审计应用于电算化系统提供了科学的依据。由于它适应了会计及管理信息系统发展的特点要求,因此应成为电算化系统审计方法的主体。
通过计算机审计对审计人员素质提出了更高要求。审计人员必须懂得计算机及数据处理方面的知识,以全面和深入细致地了解被审计单位电算化系统硬件、软件、数据结构等方面的情况。审计机构要配置一定的计算机设备。有些情况下还要求开发便于使用的审计软件。审计计划和实施过程中需充分考虑被审计系统的特殊条件。通过计算机审计是国外电算化系统审计的主流,各种具体的应用技术,如测度数据法、小型公司法、并行模拟法等已得到广泛的应用。在我国,由于种种原因和条件的限制,其应用不很普遍,今后各方面应创造条件推进该方法的应用与发展。
三、计算机辅助审计
计算机辅助审计,也称为利用计算机审计,是指审计人员在审计过程和审计管理活动中,以计算机为工具,来执行和完成某些审计程序和任务的一种新兴审计技术。它并非电算化系统审计特有的一种方法,对手工系统的审计也可应用这些技术。但由于计算机辅助审计与电算化系统审计之间的密切联系,我们在这里对这方面的情况作一综合的介绍。
利用计算机进行审计不仅仅是审计手段的改变,它必将带来审计领域里新的革命,从目前来看,利用计算机进行审计工作仍然处于探索阶段,但它已展示出光明的未来。在审计的各个领域和各个阶段,计算机都可以发挥巨大的作用。
1.信息统计与检索
充分利用计算机存储容量大、计算速度快并具有远程联网能力的优点进行有关审计资料的搜集、整理、分析与传递,会大大改善信息的质量和利用程度,更好地满足审计工作的要求。通过建立各地区、各行业及各单位审计情况的档案,以及审计常用的各种法律、制度、规定、准则等审计依据数据库,不仅便于及时获得有关的宏观信息,也便于审计人员检索使用。我国目前已开发了多个审计法规检索系统。
2.文书处理
由于近年来计算机在文字与图形处理技术方面的飞跃发展,利用字处理或表处理软件可以明显地提高工作效率。例如,利用计算机撰写审计报告,可将初稿存于磁盘中,修改时可随时调出,段落结构重新安排,文字删改都可以方便迅速地完成。打印报告时,可以根据需要将重要的文字段用黑体字打印,其效果是手工文书无法比拟的。审计通知书、审计计划、审计工作底稿等审计文书均可采用计算机完成。
3.实施审计检查
利用计算机直接检查、核对有关的数据,以确定数据的正确性。一般是通过审计软件的应用来实施的。审计软件是根据审计的需要而设计开发的,能够对数据进行一定的处理和分析的一组计算机程序。依据软件适用的范围,有通用审计软件和专用审计软件之分。在国外,通用审计软件种类繁多,可以从市场上买到。我国目前也已开发出多种适用于不同行业、不同审计项目的软件。通用审计软件一般具有访问文件、数据查询、抽样、文件合并与比较以及分析预测等功能。利用审计软件实施审计检查,能够使审计人员在电算化系统审计中直接访问以机读形式存储的数据,且能访问到远较其他方法为多的数据。如果被审计单位电算化程度较高,利用审计软件检查数据常可以节约审计时间,降低审计费用。同时,使用审计软件一般不要求审计人员具有较高的计算机知识。审计软件的出现不仅为电算化系统审计提供一条新的途径,而且以其操作方便、功能多样等优点大大减轻了审计人员的工作负荷,它代表着审计工作的未来。
此外,近年来,国外还将计算机用于审计决策领域,将审计工作中的经验进行归纳总结并编入计算机程序,由计算机自动完成审核检查,弄清事实,选择对照标准形成审计意见的全过程。这就是所谓的审计专家系统。当然,这方面的实际应用还有一定的困难,但这种探索无疑是非常有效的。
【本章小结】
应用计算机进行数据处理的过程为“电子数据处理”,人机共同构成的系统为“电子数据处理系统”,也即为电算化系统。电算化系统由计算机硬件、软件和人等要素构成,其运行过程可分为输入、处理和输出三个基本阶段。电算化系统较之手工系统,在系统配置、系统处理、系统结构及系统内部控制等方面具有鲜明的特点。
对电子数据处理系统所进行的审计,为电算化系统的审计。会计电算化以后,对审计产生了重要影响,使审计线索、审计内容、审计立法与技术、审计人员等方面发生了深刻的变化。
电算化系统的内部控制有一般控制和应用控制。对电算化系统内部控制进行评审,了解与描述内部控制制度时可采用手工系统中常用的方法,但进行符合性测试时应采用计算机辅助审计技术或通过计算机审计技术。
电算化系统审计的基本方法有绕过计算机审计方法、通过计算机审计方法和计算机辅助审计等。
本章应强调的主要术语是电算化系统、手工系统、电算化系统审计、计算机辅助审计、管理信息系统审计、电算化审计、通过计算机审计、绕过计算机审计、计算机审计、硬件、软件、输入、处理、输出、处理自动化、信息载体、审计线索、审计内容、一般控制、应用控制等。
【思考与练习】
1.电算化系统较之手工系统有什么特点?
2.简述电算化系统基本要素及其运行过程。
3.电算化系统审计有何特征?
4.何谓一般控制?何谓应用控制?两者有什么关系?各包括哪些内容?
5.如何评审电算化系统的内部控制?
6.什么是绕过计算机审计法?其适用哪些主要的环境?
7.什么是通过计算机审计法?通过计算机审计法有何优点?对审计人员有何要求?
8.什么是计算机辅助审计?计算机在审计工作中可以应用于哪些方面?
