计算机审计探讨
2016-03-16廖文正
□文/廖文正
(桂林市审计局 广西·桂林)
一、计算机审计概述
计算机审计,有人认为是以处理电子数据的系统为对象范围进行的审计,还有人认为是指运用计算机技术对计算机系统处理的电子业务数据进行的审计。笔者认为,计算机审计的概念,应把上述两种观点综合起来,即是指以计算机技术为手段,对被审计单位电子业务数据或处理电子数据的信息系统进行的审计。审计的对象包含两个方面的内容:一是电子信息数据,二是处理电子信息数据的信息系统。由于对信息系统的审计需要具备较高的计算机技术以及相应的审计方法、质量控制等,在国家审计机关,计算机技术高端人才比较缺乏,也尚未形成对信息系统审计的质量控制、审计程序等相关规范,因此目前阶段,信息系统审计尚处于探索当中,在某些地区,还尚未开展对信息系统的审计,在计算机审计方面,主要还是集中在对电子信息数据进行审计。计算机审计与手工审计相比,审计的目标是相同的,审计的目的和职能也没有改变,计算机审计同样是履行对被审计单位执行经济监督的职能,主要是审计技术、审计的方式和方法发生了根本性的改变。传统的手工审计是相关信息在手工操作的环境下对其信息资料所进行的审计,如果相对目前计算机审计而言,手工审计可以理解为在审计过程中,未采用计算机相关技术而开展的审计工作。计算机审计则是随着计算机技术日益发展,计算机技术在各个行业、各个领域都得到了广泛地运用,被审计单位具有海量的经济业务数据,传统的手工审计已经越来越不适应经济社会的发展,因此也迫切需要大力发展计算机审计。
二、当前计算机审计存在的问题
(一)各地区计算机审计信息化发展不均衡。由于受到多种因素的影响,当前不同地区的审计信息化发展出现严重不均衡现象。对于一些经济发展水平较高地区,由于信息化程度较高,经济规模、业务数据较大,为开展计算机审计奠定了良好的平台基础,并且在审计信息化工作建设领域取得了较大的进展。但是对于经济发展水平相对落后地区,部分审计人员的思想观念也还停留在传统的手工审计,审计信息化建设工作比较滞后,不容乐观,运用信息化技术的硬件环境不完善,网络平台建设不健全,并且由于较多的被审单位数据量较小,采用传统的手工审计方法,就能完全实现审计目标,这些导致了所在地区的审计信息化建设难以开展。
(二)审计业务与计算机审计信息化发展不一致。目前,有些审计机关特别是县级审计机关面临审计业务水平与审计信息化水平不一致的问题,与审计信息化的要求和发展极不适应。有的审计干部由于年龄偏大,知识结构单一,对应用计算机不感兴趣,有的审计干部在审计过程中,未按要求开展计算机审计,而仅仅用于日常的办公。
(三)专业人才匮乏,部分审计干部的计算机水平还远远不能适应信息时代审计工作发展需要。在当前审计信息化建设大环境下,各级审计部门都比较重视专业人才队伍的建设,积极开展计算机辅助审计及网络知识培训教育,使得审计工作队伍的整体水平得到了一定提升,但是就当前审计工作信息专业人员的业务水平来看,真正具备较高计算机审计以及网络应用能力的人才还比较少,既具备较强计算机业务水平又具备丰富的审计业务实践经验的复合型人才更是屈指可数,与审计信息化发展的需求还有较大差距。另外,由于计算机信息技术发展迅速,审计人员知识结构更新跟不上,许多审计人员的计算机应用水平及相关技能无法得到同步提高,这也成为制约审计信息化发展的瓶颈因素。
(四)传统审计的思维模式、工作方法已经根深蒂固,使得计算机审计工作难以推进。在审计过程中,很多审计人员一直习惯于运用传统的审计工作方法开展审计工作,随着信息技术的发展,越来越难以适应审计工作的要求。其问题主要表现在:一是审计人员自身的能力和素质达不到要求,未能熟练掌握相关计算机技术,无法开展计算机审计;二是对计算机审计缺乏信心,没有真正意识到开展计算机审计是审计发展的趋势;三是不愿意花时间在学习计算机技术上,认为一直使用传统的手工审计也能很好地完成审计工作任务,没必要去学习一门新的技术。
三、计算机审计方法及步骤
(一)审计组应具有计算机技术方面的相关人员。在安排审计项目时,经过审计调查,确定是否开展计算机审计。在组成审计组人员时,应对审计资源进行合理调配,审计人员除了需要具有会计、审计等专业知识外,还应安排具有计算机技术方面的相关人员,特别是具有数据库技术方面知识的人员,在对电子数据进行分析、筛选过程中,应用较为广泛的主要是数据库方面的技术。
(二)对被审计单位电子信息数据开展审计调查。在审计过程中,审计人员应首先调查了解被审计单位的相关信息系统及其电子数据情况,并对信息系统及相关内控制度进行审计风险评估,确定关键控制点。在调查时获得的信息主要包括:被审计单位计算机系统应用的软件及硬件情况;相关重要应用系统的数据处理流程、处理的业务内容和对各类数据进行处理的逻辑关系、系统数据备份功能、数据结构,比如财务软件的运行模式、版本、核算管理方式及数据备份的方式等内容;各应用系统数据间如何进行衔接;单位制定的信息系统内部控制制度等。在了解了计算机系统概况的基础上,根据审计的目的和信息系统的重要性,可以对系统的相关子系统,进行更全面、详细的了解。
(三)采集数据。通过对被审计单位信息系统的调查了解,由被审计单位的技术人员按审计需求提供相关电子数据,数据需求的内容主要是审计需要的数据格式、内容、数据备份的方式等,要求被审单位系统管理员自行采集电子数据,或由被审计单位与软件开发公司进行配合,共同完成数据采集工作。数据采集可以采取直接拷贝、软件导出、后台备份等方式。
(四)对数据进行整理、转换和验证。由于被审计单位各种数据来源不一样,可能来自不同的信息系统,因此数据格式不统一,数据在进行采集和整理过程中可能会出现丢失,被审计单位可能对数据的真实情况进行刻意隐瞒等情况,所以审计人员对采集到的数据需要进行验证、整理和转换,使得数据能够符合审计需求的数据格式、数据结构。计算机审计以电子信息数据为基础,因此能否获得真实、准确、完整的被审计单位电子信息数据决定了能否成功开展计算机审计工作。验证主要是检查被审计单位提供的数据的真实性、完整性和正确性,可以把采集到的数据经过整理、转换后,与被审计单位的报表、会计科目总账等资料进行核对。整理是在对数据进行检查过程中,对有丢失的、不正确的问题数据进行处理,对不符合审计要求的数据结构进行整理。转换包括对获得数据的格式、数据内容等进行的转换。验证、整理和转换工作是交替进行的,需要审计人员具备一定的计算机技术,可能要经过多次验证、整理及转换,才能获得真实、完整的数据。
(五)建立审计中间表。审计中间表是将采集到的电子信息数据,在经过整理、转换和验证后,为实现审计目的,对电子数据进一步整合而形成的数据集合,比如对数据进行连接、投影等操作,生成满足审计分析的中间表。
(六)建立相关的审计分析模型。对清理转换后的数据,按照“总体分析、系统研究、发现疑点、分散核实”的思路,对电子数据进行分析,并建立相应的审计分析模型,避免审计的片面性、盲目性。
(七)确定审计疑点,对问题进行取证。通过建立的审计分析模型对数据进行分析,确定审计疑点,通过进一步核查或延伸调查的方式,对疑点进行核实,对问题进行取证。■