王双/勃利县审计局

关于对会计信息系统审计计划的分析

王双/勃利县审计局

会计信息系统审计是指通过一定的技术手段收集并客观评估证据的过程，以判断一个会计信息系统是否做到安全、可靠、合规和有效等，确保其符合企业经营目标的同时，又能最经济的使用资源。它突破了传统的审计理论框架对审计理论和实践提出新的问题和挑战。

会计信息系统；审计计划；分析

进入21世纪，伴随着新型技术的高速发展，人类对信息的捕捉、获取、处理、存储、传递等方式也发生了重大的变化。现代信息处理技术在会计领域的应用及发展，使得会计信息系统成为进行收集、加工、处理和存储会计数据的重要手段，给会计学科带来深远而广泛的影响。尽管实现会计电算化后，极大地改善了会计业务的处理，但同时也对会计审计工作提出了新的挑战。审计人员不仅要对会计信息系统产生的数据是否真实、正确、合法进行审计，而且还要对会计信息系统的硬件和软件，以及整个会计信息系统的安全性、可靠性、内部控制的健全性与有效性等方面进行审计。这些远远超出了传统审计理论框架，给审计理论和实践都提出了许多新的问题。尤其是随着审计工作范围的扩大，审计中的各个要素及审计的标准和准则也随之发生变化，审计的风险也越来越大，因而注册会计师必须密切关注会计信息系统审计的风险及控制方法。

一、认识系统及其独创环境

在一般计划阶段，注册会计师获取关于客户会计信息系统的情况，并将其作为对控制环境的内容进行考虑。通常，注册会计师应获得以下事项的信息：（1）系统设置种类及其结构，系统数据处理模式，一般需要系统结构图和系统流程图。（2）系统软件类型。（3）系统人员的组织结低包括EDP部门在组织中的位置、人员的数目及内部组织计划。（4）系统应用范围及复杂性，以及所需的计算机审计专家协助的比重。

二、了解审计信息系统的使用

注册会计师必须了解业务经过会计系统中手工部分和电算化部分的路径，考虑预期的与计算机相关的控制风险估计水平，确定在最高水平以下的控制，以及凭证和测试控制对控制风险评估的影响。会计制度的有效的测试方法是从结尾处开始，注册会计师应确定将要进行审计的财务报表中的重大金额。对影响这些金额的交易从财务报表到其来源进行追查。然后，由审计师对这一流程的每一个处理环节进行确认。在业务中这些处理是指开始、记录、计算、汇总、报告。通常，每个处理环节都有可能发生错误，因而对这些处理环节设置控制程序也是非常必要的。注册会计师还可以确定应在每个重要会计领域中的使用程序。

三、了解控制活动

若在会计工作中依赖于会计信息系统，则注册会计师必须对一般控制加以了解。为了更好地服务于客户，许多注册会计师即使没有计划将控制风险水平评估在最高水平之下，也对一般控制进行审核。通常，这一审核是由计算机审计专家来完成的，也可以由注册会计师在会计信息系统中进行附加测试来完成。该检查可通过以下方法来完成：询问或调查EDP部门的职员、检查现存的文件，如用户手册、以前年度的工作底稿、其他在计算机中的信息和应用程序等。注册会计师的目标就是确定上述事项的存在是否具有合理保证：（1）EDP部门内部及EDP与使用者之间的职责是否充分分离。（2）开发的、买入的或变更的程序在执行前是否经过批推和测试；（3）对数据文件的接触是否只限于经过批准的使用者。

确认上述事项的合理性是很复杂的，绝对保证是不可能的，而且大部分系统都有一些缺陷。例如，在联机系统中对使用者接触终端和数据文件都有严格的限制，但系统程序员还是有可能绕过这些控制而接触系统软件。注册会计师必须对审计环境中存在的缺陷的严重性进行评估。在了解一般控制之后，注册会计师应对一般控制是否有效进行判断。把这些控制作为降低控制风险的估计水平的一部分究竞是否必需，取决于注册会计师对应用控制的认识。若降低控制风险的估计水平依赖于一般控制，则必须对控制程序进行测试。控制程序测试必须取得计算机审计专家的协助。同样，计算机审计专家可设计各种“敲击系统”测试方法来测试评估控制软件。

四、交易及余额详细测试的计划

交易及余额详细测试的计划包括根据具体控制目标和审计目标制定的交易类别测试和余额详细测试计划。在下列情形中，注册会计师在交易及余额详细测试的计划中，不会使用EDP控制作为降低控制风险估计水平的依据：（1）客户未在重要会计领域使用电算化系统；（2）交易类别的具体控制目标不依赖于计算机处理的结果；（3）一般控制中存在重大缺陷，且没有补偿性的控制。若在重大会计领域应用了会计信息系统，而且交易类别的具体控制目标的实现要依赖于计算机处理的结果，则必须在控制风险的评估中考虑EDP控制的作用。与这一目标相关的EDP控制是应用控制和一般控制。

为测试EDP应用控制，注册会计师可在几种测试方法中进行选择。应用软件包括计算和累加数据的程序化会计程序和程序化控制程序。通常，在程序化会计程序中，凭证、清单、文件及报告的轨迹都以计算机打印形式存在；相反，在程序化控制程序中，除非在检查时发现交易被拒绝或异常，否则，不会留下文件轨迹。

无论注册会计师在测试EDP应用控制中采用的是手工测试还是计算机辅助测试须对一般控制的有效性进行考虑。当注册会计师在年末进行余额的直接测试时。通常不必依赖于计算机。若既定余额直接测试的范围依赖于与计算机相关的控制程序或在应用期中进行余额的直接测试。则必须对一般控制的有效性进行考虑。当余额的直接测试应用了计算机生成的信息时，注册会计师应对测试方法进行选择，可考虑如下替代方法：（1）在年末直接测试计算机生成的信息。这一测试方法在控制风险的评估中不必依赖应用控制和一般控制，但可能不是最有效的测试方法。（2）在期中测试计算机生成的信息和一般控制，而在年末修订对控制的评估。在许多情况下，可通过询问和观察来完成修订工作。（3）在期中测试计算机生成的信息并采用系统软件自动生成的报告来确定从期中到期末应用程序是否没有变更。当一般控制存在缺陷而可依赖系统软件时，这一测试方法很有用。若注册会计师决定在对以计算机可读形式存在的系统文件实施余额的直接测试中使用计算机辅助测试，必须制订附加的计划。

［1］孟秀转.IS审计：信息时代审计业务的发展［J］.北京联合大学学报.2002（04）.

［2］来明敏，颜淑姬.计算机信息系统审计准则比较研究［J］.财会通讯（学术版）. 2005（06）.

［3］欧先锦.谈信息系统审计［J］.重庆职业技术学院学报，2004（02）.