试论会计信息化审计
2005-04-29周映群何永斌
周映群 何永斌
所谓会计信息化审计是指审计人员接受委托或授权,收集并评估证据以判断一个计算机系统(主要会计信息系统)是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴证目标——即对被审计单位的信息系统保护资产安全及数据完整的鉴证,又包含内部审计的管理目标——即不仅包括被审计信息系统,保护资产安全及数据完整,而且包括信息系统的有效性目标。
一、会计信息化审计与电算化审计的区别
会计信息化审计来源于会计电算化,但它们有着本质的区别,首先,会计电算化审计只是将计算机仅仅当作手工作业审计的工具和奴隶,只意味着审计手段的改变;其次,会计电算化审计对象局限于财政财务收支,难以扩大到与经济效益有关的经营管理和其他领域;第三,电算化会计技术由于模拟手工作业审计的审计过程,不仅未充分考虑计算机信息系统的特点(如:隐形化、程序化、不尽安全等),而且未充分利用现代信息技术(通讯、网络等)的特点和优势,这不能不说是对现有资源的巨大浪费;同样,如果只把计算机网络应用于先进的工作程序的自动化,也是没有认识到它的潜能。但会计信息化审计则不同,它是建立在对现代信息技术(计算机、网络和通信等)、对传统审计模式进行重构,并在重构的现代化审计模式上通过评价来控制会计信息系统。据此发展的会计信息化审计技术就是在计算机系统中模拟社会的审计工作,对计算机系统的活动进行监视和记录的一种安全技术。运用会计信息化审计技术的目的就是让对计算机系统的各种访问留下痕迹,使计算机犯罪行为留下证据,计算机审计技术的运用形成了会计信息化审计系统。会计信息化审计是适应变化后环境的需要。计算机网络带来的会计系统的开放与系统共享,而开放与共享应是以安全为基础的。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、管理秘密和财务秘密,而其中实现了电子化即具有货币价值的会计秘密、理财秘密是最重要的。会计信息化审计要求我们有必要创造一个安全的环境,抵抗来自系统内外的各种干扰和威胁,做到该开放的开放该共享的共享,该封闭的要让黑客无奈。因此,无论是从数据的完整、真实、及时方面,还是从审计线索清晰度与系统安全方面来看,信息化审计是电算化审计基础上一个质的飞跃。
二、会计信息化审计的主要内容及方法
会计信息化审计包含两层意思:一是对信息化会计系统的审计,二是利用网络进行辅助审计。但是,由于现代信息技术已发展到第二阶段 —— 网络信息技术阶段,从而使会计信息化审计与电算化审计及传统手工审计相比,在审计内容和方法上有了很大的不同。其主要内容及方法如下:
(一)审计线索的追踪审查
在手工会计系统中,每一个步骤都会产生相应的纸性介质的会计资料,审计线索十分清楚;在电算化会计系统中,加工过程的自动化可能导致部分可视性线索消失,但交易伙伴间的信息交换大多还是通过纸面文件的形式来完成,审计人员可以利用“绕过计算机审计方法”获得所需的审计证据;在信息化会计系统中,许多业务的谈判、签约甚至交易,都是在网上进行,资金的结算也通过信用卡等在网上交割,经济业务信息按一定程序在网上自动生成会计信息并传送,整个交易过程几乎呈现无纸化态势,审计人员很难获取所需的审计线索。因此,必须采用如下方法来保留审计线索:①在系统内建立日志和追踪文件,以审查在数据处理过程中是否有过渡文件被修改和处理。②在审计机构和签字确认的单位同时形成原始数据的备份或在不同部门各自形成相关的数据库,这样既可以相互监督,又可以使审计线索得以保留。③还可采取就地审计和突击审计的方式,以防程序员对被审系统的应用程序加以篡改,防止操作员对被审计系统数据文件进行增加、删除、修改等。
(二)信息化会计系统的安全性审计
在网络环境下,由于网络的开放性,一方面提供了会计信息的共享性,另一方面,电子形式的会计信息又会受到诸如网络故障、计算机病毒、计算机黑客和非法者入侵等潜在威胁的影响,这些都会严重威胁会计信息和数据的安全、完整,严重时可能导致会计信息系统的崩溃。这样在信息化审计中,保障会计信息的安全性,以控制审计风险,就显得比以往更加突出,并成为信息化审计的最重要问题之一。因此,审计人员应从制度化控制和程序化控制两方面加强系统安全审计:①了解被审企业对国家及上级主管部门颁发的计算机法规条例的遵守情况,检查被审企业是否建立、完善并实施系列安全管理制度;②定期进行系统安全测试,以评价系统数据加密、身份认证、用户授权、反病毒、防火墙等安全技术应用的合法性及有效性。
(三)信息化会计系统的内部控制审计
在网络环境下,由于系统建立和运行的复杂性,内部控制的范围也相应扩大。因此,对信息化会计系统内部控制的审计也应有所改进,具体内容如下:①通过访谈了解被审单位有没有制定适当的权限标准体系,岗位人员是否按照所授予的权限对系统进行操作。②审查是否将系统内不相容职务划分清楚,在数据输出时,对不同密级的数据授予不同的权限。③被审单位的系统操作是否遵循一定的标准、操作规程进行,即是否建立了严格的硬件操作规程、作业运行规程、用机时间记录规程以及操作员访问系统的标准操作规程。④审查是否建立了数据备份与数据档案管理制度。系统(包括数据)管理和备份数据与软件管理是否由不同人承担,系统进行备份数据恢复时,是否由具体操作员和主管共同批准。
(四)对信息化会计系统应用程序的审计
信息化审计中对会计系统应用程序的审计目标有两个:①程序处理过程是否与有关的标准及法规相符。②考核程序对错误的检验和控制情况。为达到审计目标,可运用包括符合性测试和实质性测试在内的多种测试方法,对被审计应用程序运行过程中产生的数据的准确性、可靠性、合法性进行验证;也可运用在被审系统中设立的审计控制点,定时与不定时地、成批或实时地收集有关审计数据,以进行审计验证。另外,还应结合被审系统的特点,采用一些专门的技术和方法,例如模拟数据测试法、人工测试法、计算机辅助法、审计程序测试法等。
(五)充分利用网络进行辅助审计
在网络环境下,审计人员应充分利用网络资源的优势,在审计各个工作阶段实施网络辅助审计,以提高审计工作效率:①利用网上Microsoft office 软件强大的计算、分析、制表及文字编辑功能,可编制各类审计工作底稿,并可制成相应的文件供随时调用和远程发送;②通过计算机网络自动收集有关审计综合信息、审计法规信息、审计项目信息、审计内审信息等,为审计工作提供相关信息;③利用Internet的超级链接功能,在网上检索被审企业的基本业务信息;在取得被审企业的网络管理权限后可查询并复制重要的财务信息;④借助嵌入审计程序对网上数据处理的一些敏感环节进行实时动态的监控,以满足审计的需要;⑤利用 E-mail 向银行、税务、工商及往来单位发出电子邮件对被审企业的支付能力、纳税情况和信用状况进行调查与评价,以获取有用的审计证据;⑥利用桌面视频会议系统支持视频、声音、文件浏览协同修改等特点随时召开可视会议,进行调查、座谈和取证,并可就重大审计问题进行网上专家会诊。
三、会计信息化审计所面临的系统安全问题及其对策
会计信息系统所面临的风险主要有:①利用网络及安全管理的漏洞窥探用户口令或电子账号,冒充合法用户作案,篡改磁性介质记录窃取资产。②利用网络远距离窃取企业商业机密以换取钱财,或利用网络传播计算机病毒以破坏企业信息系统。③建立在计算机网络基础上的电子商贸趋向“无纸化”,越来越多经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过电子货币账单、银行结算单及其他账单,就有可能将公私财产的所有权进行转移。
针对信息系统所存在的风险,在审计过程中首先应了解企业网络的基础情况;其次要达到安全控制的目标(主要包括保证系统运转正常,数据完整可靠,保障数据的有效备份与系统的恢复能力,对系统资源使用的授权与限制等);还要了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划,了解所有有关的控制目标的实现情况,系统还有哪些潜在的漏洞。并利用各种技术工具产品如网络安全测试产品、网络监视产品、安全审计分析器,对企业现有的安全控制措施进行测试。
同时,我们在判断一个系统是否安全,不能单从双方当事人的判断做出结论,而必须有第三方的专业审计人员通过审计做出评价,这时审计人员必须具有独立性,站在公正、公平和中立的立场、角度做出客观的评价,这种独立性主要表现在以下两个方面:①不管是在操作系统中还是在应用软件中,审计系统都应作为一个独立的系统而存在。②设立工作独立、行为自主的计算机系统审计员。
另外,虽然如Netware、Windows、NT、UNIX等网络安全操作系统,均提供了审计所需的安全功能,但由于操作系统提供的是面向整个系统的审计功能,不能考虑到各种应用软件的具体情况,不能很好地满足各种客户的需要。因此,计算机用户可以根据应用软件的特点和自身需要,设计出有针对性的应用软件审计系统。我们说从会计电算化到会计信息化审计,并不仅仅是一个名词的改变,它更代表一种改革的观念、一种新的审计思想、一种普遍的大趋势。它将在网络通信飞速发展的今天日益得到发展与完善,构筑新的审计理论框架。
(作者单位:云南财贸学院会计学院温州大学计算机科学与工程学院)