随着会计电器化的广泛应用,传统内部审计面临着新的挑战,从而出现了电算化会计系统的内部审计。
一、计算机会计系统内部审计的特点
计算机会计系统内部审计的特点,首先是审计的系统性,要对数据、硬件、软件等各种要素进行系统的分析和检查,才能确定输出结果的正确性,作出可靠的审计结论。第二是审计的复杂性,这是由被审系统数据处理方式、数据贮存方式、系统控制方式、应用系统和电子计算机辅助审计技术的多样性和复杂性所决定的。第三是审计资料的隐蔽性、敏感性和易逝性,这是由于审计线索主要以两种形式存在:一种是肉眼可以看见的审计线索,如输入的原始凭证、记账凭证等原始文件、打印出来的会计账簿、会计报表等;另一种是肉眼看不见的,如存储在软盘或硬盘上的会计数据库资料等。第四是审计的运行性,即在不断运行的系统中进行审计和监督。
二、计算机会计系统内部审计的内容
内部审计可以从硬件和软件的系统控制和实质性审查两个方面来进行审计。
l、内控制度的审计。对内部控制制度的审查与评价,既是审计的基础,又是审计的前提。从实施的角度来看,内部控制有些是通过程序来实施的,有些则是通过制度约束来实现的。通过程序的设计和运行来实施控制的“程序化”控制,和通过建立管理工作制度来完成控制的“制度化”控制,必须通过内部审计来确保其实施,才能使计算机会计系统的安全、可靠和稳定得到双重保险。在电算化条件下,虽然仍要审查传统审计的一些内容,但重点主要在于系统软硬件及数据的内部控制。
内部审计人员应在本单位以上各方面制度的制定过程中,积极发挥参谋作用,并在以上制度的实施过程中,定期审计或突击检查,查找内部控制的弱点,提出改进措施,使制定的内部控制制度得以执行,以保证会计数据的安全性、有效性、完整性和准确性。
2、实质性审计。在手工条件下,审计主要是对书面资料进行审查。在电算化条件下,会计核算由计算机在程序的控制下完成,除了审查输入和输出数据,还要审查电子计算机程序和贮存在机内的数据文件。因此审计工作重点转移至对会计软件合法性、正确性的审查和对机内数据文件的审计方面。
三、计算机会计系统内部审计的方法
针对电算化会计系统审计的特点,结合本系统的工作实际,我们已由以前的“绕过计算机”的审计方法,转向在计算机辅助审计的基础上进行“通过计算机”的审计方法:计算机技术和经济管理的结合,极大地提高了管理工作的现代化水平。其中发展最快、应用效果最显著的,是计算机在会计工作中的应用。
随着会计电器化的广泛应用,传统内部审计面临着新的挑战,从而出现了电算化会计系统的内部审计。
一、计算机会计系统内部审计的特点
计算机会计系统内部审计的特点,首先是审计的系统性,要对数据、硬件、软件等各种要素进行系统的分析和检查,才能确定输出结果的正确性,作出可靠的审计结论。第二是审计的复杂性,这是由被审系统数据处理方式、数据贮存方式、系统控制方式、应用系统和电子计算机辅助审计技术的多样性和复杂性所决定的。第三是审计资料的隐蔽性、敏感性和易逝性,这是由于审计线索主要以两种形式存在:一种是肉眼可以看见的审计线索,如输入的原始凭证、记账凭证等原始文件、打印出来的会计账簿、会计报表等;另一种是肉眼看不见的,如存储在软盘或硬盘上的会计数据库资料等。第四是审计的运行性,即在不断运行的系统中进行审计和监督。
二、计算机会计系统内部审计的内容
内部审计可以从硬件和软件的系统控制和实质性审查两个方面来进行审计。
l、内控制度的审计。对内部控制制度的审查与评价,既是审计的基础,又是审计的前提。从实施的角度来看,内部控制有些是通过程序来实施的,有些则是通过制度约束来实现的。通过程序的设计和运行来实施控制的“程序化”控制,和通过建立管理工作制度来完成控制的“制度化”控制,必须通过内部审计来确保其实施,才能使计算机会计系统的安全、可靠和稳定得到双重保险。在电算化条件下,虽然仍要审查传统审计的一些内容,但重点主要在于系统软硬件及数据的内部控制。
内部审计人员应在本单位以上各方面制度的制定过程中,积极发挥参谋作用,并在以上制度的实施过程中,定期审计或突击检查,查找内部控制的弱点,提出改进措施,使制定的内部控制制度得以执行,以保证会计数据的安全性、有效性、完整性和准确性。
2、实质性审计。在手工条件下,审计主要是对书面资料进行审查。在电算化条件下,会计核算由计算机在程序的控制下完成,除了审查输入和输出数据,还要审查电子计算机程序和贮存在机内的数据文件。因此审计工作重点转移至对会计软件合法性、正确性的审查和对机内数据文件的审计方面。
一、电子商务系统审计的必然性和必要性
在商业活动实现网络化之前,采购是面对面或通过纸质文件进行的,有迹可查,即使是电子交易,其设备结构是专用的,一般只限于已知用户使用,任何外部用户必须是已知的、身份明确的、可追踪的;系统通常是主机结构方式,相对易于监督、控制和审计。与传统商业相比,万维网客户/服务器系统的特点是高度分散,资源共享、服务分散、顾客透明度高等,而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产,财务报告不能充分提供企业的状况和价值方面的信息,特别是网络企业的无形资产,如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法,需要一些新的核查和审计方法,更有效地评价无形资产,如知识、品牌等。因此,电子商务系统审计就成为历史的必然。由于,电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险,都可能会影响其生存和发展。风险因素包括:商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此,进行必要和客观的审计,才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。
二、网络风险和风险管理
网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估,风险评估就是要分析和衡量风险事件发生的概率及后果,引起风险的因素及其关联因素,出现风险的关键点采取什么方法能够减缓风险,风险出现造成后果如何,以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率,计算各种风险的影响后果,根据影响和后果排序,对高风险因素作进一步的分析。
通过风险评估,可以认识到潜在风险(威胁)及其影响,以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本,主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。
三、电子商务系统审计中网站的合法性证明
网络终端用户都会关注网站是否来自一个真实的、可靠的机构,提供的信息是否准确真实,机构背景是否正当合法,个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平,必须用于某一特定、公开的目的,必须取得该个人的同意并受到保护,本人必须有权进入系统进行修改或删除,信息的越域流动和将来的使用、披露必须予以安全保证和限制等。
解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明,以使网络终端用户能对网站提供的电子商务放心。如Verisign,TRUSTe,BBBOnline,WebTrust,SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录,获得确认被访问网站的名称、有效状态、服务器标识等信息。
四、内部审计和电子商务系统审计
美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性,建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计,电子商务的实时性要求审计人员应对其进行连续不断的评估,按特定的审核标准对已发生的交易进行追踪,而系统内设置的自动登录记录可作为相应的审计轨迹,在系统内部实施对事件监督和控制。
尽管当前许多人认为核实查证通常与外部审计人员相关,内部审计人员则在公司内部出具审计报告。然而,国际内部审计师协会对电子商务系统审计的要求则是:审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如,内部审计对网络企业控制水平的独立评价,使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如,企业目标是建立电子商务以降低成本、提高市场占有率,那么电子商务风险是随着网络交易的增加而增加,以至于不能确保交易的安全性或分辨用户的可靠性,因此,所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。
电子商务系统审计的成功与否在于审计人员是否掌握相关的技术知识,了解商业风险及风险管理策略,是否有现成的策略随时应付出现的风险。因此,作为一个成功内部审计人员应了解企业的业务,以服务为宗旨并努力增值,积极提高专业技能,关注系统的效率和效益,建立对电脑领域发展的职业敏感性。
关键词 论文题目审核;论文评选;评选流程
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)14-0023-02
近年来,信息技术公司作为大庆油田的最大的信息技术密集型单位,为了推进中国石油油气生产信息化建设,按照《中国石油“十二五”信息技术总体规划》要求,信息技术公司每年都会承载大量的信息项目的研发任务。在这些项目中,技术人员们付出了他们艰辛的劳动,同时也取得了众多技术革新成果。因此,为了切实贯彻落实信息技术公司科技发展战略,提升公司核心竞争力并稳步推进公司科技进步与技术水平,及时地将这些成果进行汇总、评审,能够更加有效地提高技术人员的劳动热情与科技创新精神。
技术论文评审是提升公司科技创新战略的一项重要工作,由于涉及到的人员、部门较多并且工作量较大,因此传统的人工评审方式已经很难适应现代化的管理要求。随着软件、网络技术的不断进步,设计出一套技术论文评审系统显得尤为必要,既提高了论文评审的工作效率和工作规范性,还保证了评审工作的公平、公正和公开。
1 系统整体设计
1.1 系统需求分析
1.1.1 技术可行性
随着中国石油油气生产信息化程度的不断推进、深入,大庆油田信息技术公司软件开发组近年来圆满完成了多个重大软件信息项目的开发任务并拥有众多优秀的程序研发人员和成熟的技术手段,所以在技术上完全可以胜任。
1.1.2 经济可行性
从项目所需费用和经济效益上看是可行的。论文评审系统无须再次投资相关硬件设备,完全可以依靠公司内部已有硬件环境作为平台支撑;系统所需的软件开发工具简单并且易于
维护。
另外,在以往的论文审核过程中需要提交大量的纸质的论文手稿,一旦在论文中出现一些不必要的失误,如:标点缺失,格式不符、语义不畅的情况,通常会重新修改论文并打印,这样就造成了打印纸的大量浪费,与我们党倡导的“建设节约型社会”相不符,同时也不利于环境保护。
因此对于信息技术公司来说,开发技术论文评审系统是可行的,同时也是必要的。
1.1.3 管理可行性
管理上的可行性是指,随着信息时代的不断发展、进步和人员的计算机素养的极大提高,对于计算机系统的基本操作和相应系统的维护都有了一定的基础,因此从管理角度来讲是可以做到的。
1.1.4 业务流程分析
业务流程图如图1所示。
1.2 系统总体架构
论文评审系统采用基于Web的B/S三层体系结构模式。客户端浏览器发出请求,由服务器端来完成如数据请求、加工、结果返回以及动态网页生成等全部工作。系统应用B/S结构,服务器将承载更多的工作,并且能够简化客户机的工作量。B/S三层体系结构将业务逻辑进行封装,提高软件的复用度和可维护性。
1.3 系统功能设计
根据对相关用户功能的解析,本系统主要划分为以下几个主要功能模块:①员工模块;②员工所在主管科技领导模块;③科技发展部管理人员模块;④评委模块。
1.3.1 系统初始化
1)科技发展部管理人员。
2)各级单位主管科技领导。
3)评委人员。
1.3.2 公共功能
1)用户登录(Web登录)。
2)修改个人信息。
1.3.3 员工模块
1)员工提交论文题目。
2)论文选题结果查看(选题结果是否与其他人冲突,是否选上论文题目)。
3)查询论文的最终评审结果。
1.3.4 各级单位主管科技领导模块
1)在本单位员工提交的论文题目系统审核通过后,在对论文的内容等方面进行初审(主要内容包括:文章是否紧紧围绕信息通信行业及公司发展战略;是否有实用性、针对性、革新性、前瞻性;字体、排版等是否符合要求)。
2)初审论文。
①初审通过,论文向信息技术公司科技发展部推荐提交;同时按照文章的内容对论文进行初次分类;
②初审未通过,提交备注意见,通知本单位员工修改并重新提交审核。
1.3.5 科技发展部模块
1)管理各级注册用户。
2)向各级单位主管科技领导下达公司进行“评审论文”的通知。
3)对各级单位推荐的论文在内容等方面进行二审。
4)二审论文。
①二审通过,论文设置成“进入待评审阶段”;②二审未通过,提交备注意见,通知各级单位主管科技领导修改并重新提交;③当所有论文都进入待评审阶段,通知评委组进行评审
打分。
5)所有评委评分结束后,系统会自动按分数高低将论文进行排列显示,按照名次先后设置不同的奖项,并通知论文作者获奖情况,同时将获奖文章存入数据库备案。
6)通过网站向全公司展示获奖论文,进行技术交流。
1.3.6 评委模块
1)论文按照匿名随机分配给评委组,由评委进行打分,打分后按照“去掉一个最高分,一个最低分,取平均值”的原则由系统即时计算出该论文的分数。
2)当论文有争议时,可以申请全体评委复评。
2 未来展望
大庆油田信息技术公司论文评审系统提高了论文评审的现代化管理水平,真正实现公开公平、简单易行、效能提升的论文评审管理。本次论文系统采用了先进的计算机软件技术与科学严谨的评审管理相结合的方式,实现了精简工作流程、提高工作效率、管理规范化的目标,对科技技术信息化建设等有着重要的意义和深远的影响。同时可向全油田推广这套系统,全面提升油田信息化水平。
参考文献
[1]许淳熙.论文评审的历史考察[J].自然辩证法研究,2004(08).
一、文献分类及统计结果
迄今为止,只有少数几位学者对我国计算机审计研究加以回顾。陈伟等(2007)结合国内外的研究,对计算机辅助审计技术(GAATs)进行了总结性回顾,探讨了GAATs的概念和分类,详细分析了GAATs的两类技术,即面向系统的七种GAATs,和面向数据的五种GAATs,并对GAATs研究发展进行了展望。李青春(2011)对计算机审计进行了文献综述,从计算机审计研究变迁的视角出发,探索了其五个发展阶段,并对计算机审计理论体系、核心动力与制约因素,研究者的敏感度、心态变化与用词倾向进行了回顾,认为目前计算机审计研究正处于一种平台期,需要进行理论和实务的突破。刘国瑶(2011)从国外信息系统审计理论的发展,基础理论研究,基本概念研究,应用研究四个方面进行了梳理和简短评述。现有的文献综述主要问题是研究所选取的文献范围比较狭窄,选取标准“有代表性文献”比较模糊,没有对研究内容进行综述,这些不足为本文的研究提供了契机。
本文基于中国期刊全文数据库(CNKI),对1983年~2011年有关计算机审计研究的文献进行了回顾分析,所选取的时间范围设定为“1980~2011”,期刊设定为“核心期刊”,以“计算机审计”、“电算化审计”、“计算机辅助审计”、“信息系统审计”、“IT审计”对“题名”进行“模糊”搜素,然后对搜索结果进行了分类合并,最终根据182篇文献的内容加以分类统计。把对计算机审计的研究分为基本理论问题研究,计算机审计技术应用研究,计算机审计风险问题,计算机审计发展与其他方面的研究四个方面,然后对每一方面再按不同的主题进行细分,进一步分为计算机审计基础理论研究,制度准则问题,计算机技术应用,内容与方法,案例应用研究,风险问题探讨,发展问题研究,人才培养问题,研究综述,其他等十个方面。接着采用归纳法对取得的文献样本进行分类统计,最终得到的统计结果如图1所示。
二、基本理论问题研究
(一)基础理论 基础理论研究集中在计算机审计基础理论和信息系统审计基础理论两个方面,由于信息系统审计发展较快,重要性也快速提高,所以必须从计算机审计中分离出来单独加以研究,统计显示,近10年来对信息系统审计理论的研究比较丰富。关于计算机审计的基本理论,张金城(1995)认为计算机审计的理论体系应由理论基础(哲学,审计学,系统论、信息论、控制论和行为科学,计算机科学,数学等五大学科理论),基本理论(涵义,内容,意义等),实务理论(电算化信息系统审计实务理论,计算机辅助审计实务理论)组成。唐飞兵(2007)借鉴传统审计理论的基本原理,构建了计算机审计理论结构框架,即以审计环境和审计本质作为研究的逻辑起点,利用审计理论基础知识体系,通过审计的本质和特定的审计环境相互作用和互动形成审计目标,并以审计假设为前提,演绎出审计概念和审计原则。关于信息系统审计理论,周剑(2001)从“审计学”的概念出发,探讨了信息系统审计独特的审计职能、对象、方法、标准和证据等问题,建立了企业信息系统审计的基本理论框架。唐志豪(2007)借鉴蔡春教授提出的审计理论结构,从审计的本质出发构建审计理论结构体系,提出了信息系统审计理论结构六要素模型(本质、假设、目标、规范、信息和控制)。谢岳山(2009)提出了信息系统审计的审计目标及审计内容,在此基础上从审计理论基础、审计标准、实践环境、审计方法以及审计工具等多方面提出了联网环境下信息系统审计模型。根据该模型,着重分析信息系统审计的具体内容,提出了相应信息系统的审计内容框架,将审计内容划分为内控审计和系统本身审计两个方面。并从物理层次的审计以及逻辑层次的审计详细描述了系统本身审计的内容。王振武、张子瑾(2011)探讨了信息系统审计理论的结构框架,认为该框架应由信息系统审计基本理论和应用理论构成,并特别指出,信息系统审计环境和信息系统审计本质应是理论结构的最高层次,理论研究的逻辑起点,并起着统驭整个信息系统审计理论结构的导向作用。
(二)准则、规范研究 理论是实践的基础,而准则为实践提供了基本的指导。对准则的研究也分为计算机审计和信息系统审计两个方面的内容。关于计算机审计准则,张德山等(1991)初步探讨了计算机审计工作的规范问题。张金城(1997)首先探讨了加强计算机辅助审计制度建设的意义,然后提出了计算机辅助审计制度建设应遵循的原则,主要包括合法性,针对性,可行性,监控性和借鉴国外相关制度,并从微观和宏观两个方面系统讨论了计算机辅助审计制度应包括的基本内容。刘中华(1998)根据国际审计准则15《电子数据处理环境下的审计》第3条和第9条详细阐述了电子数据处理环境下内部控制的内容,并对此进行了研究与评价。我国的信息系统审计研究起步较晚,讨论一般也是借鉴ISACA的信息系统审计准则展开讨论。陈婉玲等(2006)对ISACA的信息系统审计准则及发展进行了简要介绍,在此基础上,主要借鉴了ISACA信息系统审计准则的体系,内容和制定方式等,提出了制定出适合我国国情的信息系统审计准则的一些建议。马良渝等(2007)辨析了ISA准则体系中标准、指南和程序三个层次的结构关系及标准与指南之间的交叉关系。李汉文等(2010)借鉴了制度经济学的有关原理,在介绍国内外信息系统审计相关规范的基础上,对我国信息系统审计规范供给的非均衡状态进行了分析,认为我国应整合信息系统审计准则制定资源,以便推进我国信息系统审计规范制定进程。刘杰等(2011)探讨了我国信息系统审计规范制定路径依赖的基础,分析了当前我国信息系统审计规范制定的困境,并提出打破现有路径依赖的途径。
三、计算机审计技术应用研究
(一)计算机审计技术研究 对全部182篇文献进行翻阅,手工收集整理论文所涉及的课题研究,发现共有20个课题,其中与计算机审计技术相关的课题13项(4项是部级),可见国家对计算机审计技术研究的重视,也说明计算机审计技术研究的难度非同一般。对计算机审计技术的研究大致分为计算机技术在审计中的运用和模型构建两个方面,前者对计算机知识的要求相对要高。关于计算机技术在审计中的运用,杨小虎等(2000)探讨了数据仓库技术在计算机审计中的应用。万建国等(2000)分析了计算机审计软件需求分析常用的方法、技术和工具。孙兴国等(2000)讨论了开放数据库互联技术 (Open Database Connectivity)在计算机审计中的应用。张进等(2004)分析了数据清理在电子数据采集中的重要性,在阐述数据清理原理的基础上,研究了解决电子数据采集中常见问题的数据清理方法,并指出了电子数据采集中数据清理的研究方向。文巨峰等(2005)提出了一种基于计算机审计的多Agent系统体系架构,分析了该结构中各子系统的组成及各Agent的功能特点。并介绍了该系统中移动审计Agent和移动Agent服务器设计实现。汪加才等(2006)给出了一个基于移动数据挖掘服务的计算机审计框架模型。何玉洁等(2006)讨论了SQL 查询和OLAP 分析这两种技术在实际审计中的应用成果,展示了它们在计算机审计实践中的特性和前景。米天胜等(2006)分析了计算机审计的一般流程,指出审计数据的采集和采集后数据的清洗、集成、转换是与审计数据质量息息相关的关键环节。在对多种数据质量问题进行了详细分析和分类的基础上,提出了提高审计数据质量的一般处理方法和可实现的技术。黄永平(2006)探讨了孤立点分析方法在计算机审计中的应用。叶焕倬等(2010)为解决计算机审计数据采集中存在的大量字段匹配问题,提出了基于智能匹配的数据采集技术。关于模型构建方面,黄作明等(2000)对审计模式进行了一些归纳和探讨,并提出了几点发展方向。来明敏等(2004)探讨了四种计算机审计模式,即绕过,穿过,利用,在线实时(网络)计算机审计模式。文巨峰等(2004)在综合分析现有计算机审计软件系统基础上,指出网络环境下的计算机审计系统模型应该具有的特点要求,并依此提出了基于移动Agent的分布式审计系统模型。廖志芳等(2006)在深入调研众多被审计单位信息化环境及数据分布特征的基础上,提出了三种符合我国联网审计实际的新型联网审计组网模式,即集中式、分布式和点到点式组网模式,同时利用集中式海关联网审计组网模式对各组网模式的基本组成要素、需解决的关键问题及技术实现进行了较深入阐述。陈大峰等(2009)根据P2P技术下的计算机协同审计的特点,构建了P2P技术下的计算机协同审计模型。唐志豪等(2010)从目标、内容和流程三个维度建立起信息系统审计的业务模型。
(二)计算机审计内容与方法 对于计算机审计内容,学者从不同的角度进行了讨论,杜越强(2004)探讨了计算机审计中的四大内容,即对信息系统输入的审计,对数据库的审计,对网络系统的审计,对信息系统输出的审计。张福蕊(2004)探讨计算机网络环境下会计信息系统审计的内容(硬件,控制事项,处理事项,数据,安全事项)。吴沁红(2008)从信息系统构成要素、信息系统生命周期和信息系统管理三个维度入手,综合分析了信息系统的逻辑结构,构造了信息系统审计内容的基本框架,并对信息系统审计的内容与审计目标进行了阐述。对于计算机审计的方法,李光凤(2001)讨论了对会计电算化系统应用程序的七种审计方法,包括检测数据法,整体检测法,程序编码比较法,受控处理法,平行模拟法,嵌入审计程序法,追踪法。杨莉(2002)探讨了实施信息系统审计的主要方法(加强联网建设,改变审计方式,采用矩阵审计模式等)。罗莉、张亚连(2005)分析了在不同的计算机信息系统建立方法下(应用软件外包法,资源外包法,最终用户开发法),如何进行内部审计和外部审计的分工协作,从而保证信息系统的效率性,安全性,合法性。
(三)案例应用研究 对案例应用研究探讨的多数文献主要是审计署各特派办的人员所发。大量的文献集中在《中国审计》刊物上,这与我国1998年筹划,2002年10月底正式展开的金审工程有关,作为金审工程的主力推动者,审计署特派办人员根据长期的实际工作经验,对相关案例进行整理分析并撰文总结,得出了相应的研究成果。案例应用主要集中在公司和业务两个方面。对具体公司进行计算机审计探讨的有,刘世新等(2002)探讨了商业银行信息化与计算机审计的相关问题。邝作等(2002)对银行业,刘欢(2002)对行政事业单位,蔡峰(2003)对海关等审计中计算机审计案例进行了分析。欧洁等(2004)探讨了证券公司信息系统审计的关键技术。张德勇(2006)利用业务跟踪法对某航空公司进行了信息系统审计,并成功发现了该航空公司使用的收入结算系统中存在非法的销售暗扣处理模块。石勇等(2010)探讨了网络环境下的政府信息系统审计。关于业务方面,张蓉(2002)对金融,郭海鹏(2003)对再贴现业务,李向前等(2003)对税收,全宝(2003)对中央预算执行情况,李娟(2004)对水利建设资金,谭继舜(2004)对商业银行电子系统,史达等(2005)对电子政务,袁章军(2005)对失业保险金发放 ,周廉东等(2011)对城市供水等进行了计算机审计案例分析。张鹏等(2006)论述了信息系统审计在电子政务中应用的必要性和紧迫性,提出了一种电子政务中信息系统审计框架,以控制电子政务信息系统建设和改造项目的建设风险,并为改善和健全对电子政务信息系统的控制提出详细建议。吕成戍等(2007)探讨了电子政务信息系统审计的发起形式、审计责任书的内容与签订、审计工作的实施过程等基本问题。
四、计算机审计风险问题分析
(一)计算机审计的成因、防范与控制 马万民(1999)针对计算机会计信息系统的特点,分析了审计工作中可能会遇到的五种风险(系统风险,错误的连续性风险,人员操作风险,管理风险,环境风险),并对如何有效防范会计信息系统的审计风险进行了探讨。蒋家斌(2001)、曾俊等(2002)、王奇杰(2004)探讨了计算机审计的几种风险(审计软件、人员操作、财务数据、管理、固有风险、控制风险、检查风险)与防范措施(加强人员培训、内部控制审计等)。黄作明(2003)分析了远程计算机审计的风险,并提出了远程计算机审计的风险防范与控制措施。冯淑霞(2006)对计算机审计风险的形成原因做了具体分析,并从审计数据,审计方法与技术,审计方式、被审单位、评述机制等方面提出了控制计算机审计风险的对策。史振生(2008)基于外部监管及信息系统审计视角,探讨了会计信息系统建设中的风险控制与防范措施。
(二)风险量化问题 黄冰等(2007)在科学地分析影响计算机审计风险的主要因素的基础上,建立了计算机审计风险综合评价指标体系,并且将定性指标定量化,进而利用层次分析法确定评价指标的权重。然后,利用模糊数学的方法,建立计算机审计风险的多层次模糊综合评价模型。王万军(2008)提出了一种基于信息系统安全定量评分体系的审计决策模型,这为信息系统审计师在审计时采取何种审计策略提供了参考。丁建平(2009)提出了信息系统审计的CIA风险评估方法和评估模型,并探讨了CIA风险评估商业银行中的应用。
(三)风险理论 胡晓明(2007)探讨了风险导向的信息系统审计,并提出了强化信息系统审计理论,建立完善信息系统审计各项规则,充分利用先进,有效的信息系统审计技术,积极培养信息系统审计领军人才等四点关于风险导向信息系统审计的发展思路。刘国城、王会金(2011)在研究中观审计、信息系统审计、审计风险、风险管理四要素的基础上,对中观信息系统审计风险管理理论进行了梳理,并以信息安全管理为视角,借鉴国外BS7799标准、COBIT模型、通用准则CC、ITIL标准,初步构建了中观信息系统审计风险管理框架,该框架以重大错报风险为切入点,深入探索了中观信息系统审计风险管理的施行思路。
五、计算机审计发展研究
(一)发展问题 张金城(2000)提出了理论研究与实践并重、事前审计与事后审计相结合,由绕过计算机审计发展为以通过计算机审计为主,由查账型软件向分析型和专家系统方向发展,通用审计软件与专用审计软件并存等21世纪中国计算机审计的十大发展方向。于向辉等(2004)分析了我国计算机审计发展落后的法规建设滞后,软件市场不够完善等原因,提出了加快法规建设,发展审计专业软件公司,培养电算化审计人才的发展策略。胡晓明(2005)针对信息系统审计理论研究空白,审计技术落后,制度不完备,审计人才奇缺等现状,探讨了加强信息系统审计理论研究,开发实用高效的信息系统审计软件,改进信息系统审计软件评审机制,完善信息系统审计标准于准则,加大信息系统审计人才的培养力度等五大发展战略。
(二)人才培养探讨 傅元略(1998)探讨了审计人员如何提高计算机审计技能的策略,需要掌握的几种基本技能。李丹(2001)建议了如何利用国际资源建立信息系统审计人才队伍。史振生(2002)介绍了注册信息系统审计师的需求情况,考试内容和应试对策。彭建平(2005)比较深入地分析了如何进行计算机审计人才资源管理的问题。包括计算机审计机构职能定位,计算机审计处人员结构,如何引进IT人才和培养复合型人才,如何为计算机审计人才创建发展平台等。赵辉(2006)探讨了审计部门的计算机人才状况,提出了如何加强管理和培训、提升审计人员能力的若干建议。王海洪(2009)提出了高校应推进实践教学,建设以计算机审计为主要手段的审计实验室,为社会输送高水平的计算机审计人才的建议。
(三)其他方面 高浩玮(2002)针对审计过程各阶段质量质量控制的要点,指出了计算机审计下项目质量控制的难点并提出了解决对策。张倩(2005)论述了信息系统审计在IT治理中的作用、信息系统审计师和审计构架等问题。陈峰(2006)对计算机审计方式下数据分析报告的作用和必要性,基本框架,文档结构,要素内容等进行了详细探讨。
本文基于中国期刊全文数据库,对1983年~2011年发表在核心期刊上的有关计算机审计研究的文献进行回顾分析。我国有关计算机审计研究涉及面比较广泛,包括基础理论与制度问题研究、计算机审计技术与实务应用研究、计算机审计风险问题研究、计算机审计发展问题、人才培养研究等诸多方面,但也存在着对计算机审计基础理论研究不足之缺陷。伴随着计算机审计在我国的逐步应用,关于计算机审计的基础理论必须进一步加强。比如与哲学,行为科学理论、数学等相关的计算机审计基础理论研究还是一片空白,这些基础理论研究的缺失将会掣肘计算机审计理论与实务的研究。理论与实践需要紧密结合,双方形成良性互动才会有力促进学科发展。目前,在案例应用研究的文献尽管比较多,但研究内容不深入,一般都是审计署特派办人员发表的经验总结,而理论工作者又缺少深入实地研究的条件,导致案例应用研究力量非常薄弱,今后在这方面仍需要大力加强。随着信息系统的复杂化,其功能也越来越强大,但其脆弱的一面也越来越明显,计算机审计风险逐步加大,如何防范和规避风险也是以后研究的重点之一。计算机审计人才的培养是审计信息化事业的成败关键,加强这方面的探索将会对计算机审计发展有重大的战略意义。
[关键词]计算机审计渖计理念;审计内容;审计方法;审计程序
[中图分类号]F239.1 [文献标识码]A [文章编号]1008-2670(2010)02―0069―03
审计署前审计长李金华曾说,在网络经济时代,如果不搞计算机审计,将会失去审计资格。不懂得电脑的审计人员因审计数据的异化就无法有效地进行审计,不懂得电算化会计系统的特点和风险就不能识别和审查其内部控制,不懂得使用计算机,就无法对计算机内存储的会计资料进行审查或利用计算机进行审计,这就要求审计人员不仅要具备会计、审计理论和会计实务知识,而且还要掌握电算化会计方面的知识和计算机审计技能。计算机审计系统的创新包括审计理论创新、审计技术的创新等,其核心是审计观念、审计思维方式的创新。
一、审计理念的创新
(一)培养前瞻性的思维观念
审计工作的创新,在于审计人员,审计人员创新的根本在于审计理念的更新。审计人员应与时俱进、开拓创新,以科学发展观的思想,用超前的眼光把握审计工作的发展趋势,从中产生新的思想,发现新规律,寻求新办法,拓宽思维空间,把审计监督寓于管理和服务之中。
(二)强化审计监督理念
经济的信息化、网络化、虚拟化,使得网上交易非常普遍,且经济交易、资本决策可在瞬间完成,这在客观上也要求对这些无形化的网络会计实体进行适时监督。通过网络审计可改变事后审计而成为事前、事中、事后紧密结合一体的审计方式,变静态监督为动态监督,从单一的现场审计转变为现场审计与远程审计相结合,大大增强审计的及时性。审计人员借助强大的网络系统,对被审计单位的电子凭证、电子账簿和电子报表实施远程的在线的审计抽样和审计测试,保证审计监督作业的即时性、连续性和经常性。加强审计监督的力度,以制度来约束企业的管理者和各个岗位。
(三)树立“审出效益,审出水平”的审计新理念
计算机系统下的审计工作,不是仅限于财务,还有销售、采购、存货、人力资源等各子系统,而上述各子系统之间紧密相连。只有树立全面审计的观念,才能真正做好计算机系统下的审计工作。通过对会计电子系统的查漏补缺,从而推动企业经营的其他环节发现和纠正存在的问题;在财务收支方面不固守于“审会计”,而是“审效益”的创新审计理念,充分关注财务部门每一项财务收支及其活动在经济上的节约,投入产出的效率和达到预期目标的效果,通过审计,审出效益,审出水平。
(四)对审计权利的依法设定
审计监督权必须依法设定,审计监督权的边界由法律确定,这是法治的必然要求。不能因为行使审计监督权而侵犯自然人、法人和其他市场主体的合法权利。权力容易导致腐败,必须接受监督,所以,审计署党组决定在审计系统自我检查的基础上引入外部检查是英明之举。
二、审计队伍自身修养的创新
(一)多种途径培养复合型知识结构的审计人才
审计发展的关键是人才的培养和加快审计人员的知识更新以适应审计发展的要求,由于计算机审计涉及到多学科,大多数企业的现有人员仅仅具备的是某一方面的技能,缺乏综合运用的能力。开展计算机审计需要一批既掌握现代审计理论与实务又了解计算机技术的复合型知识结构的专业人才。目前审计署干部培训中心开展的注册信息系统审计师堵养及与之相关的在审计人员中进行的计算机知识的培训工作,正是为了适应这一现实需要。由于计算机系统和会计准则也在处于不断的变化当中,审计部门应该通过内部交流,外部培训,采取引进来和走出去的方式,通过多种途径培养审计人才。
(二)综合运用多学科知识
在手工会计核算情况下,审计人员凭借自己的经验、专业知识,综合运用各种审核检查的方法,就可达到目的。然而在会计计算机信息系统下,由于审计线索、内容和审计技术的改变,对审计人员提出了更高的要求。审计人员不仅要有丰富的审计知识,而且要掌握一定的计算机、网络、通讯、电子商务知识与技能,最重要的是要借助计算机辅助技术来达到审计目的,掌握系统分析设计和系统评审技术,对会计信息核算系统可能出现的错误及舞弊要有敏锐性,只有具有专业素质和多学科背景的人才,才能真正做好审计工作。
三、审计内容的创新
(一)了解计算机审计内容
1993年9月1日签发的中华人民共和国审计署令第9号《审计署关于计算机审计的暂行规定》第二、三条明确指出:凡使用计算机处理财政、财务收支及其有关经济活动的被审计单位,审计机关有权使用计算机技术,依法独立对其计算机财务系统进行审计监督。计算机审计的内容包括:第一,内部控制制度,包括管理制度和软件控制技术;第二,记录在各载体上的数据资料,包括纸性、电磁性的凭证、账簿、报表等;第三,应用软件及其技术档案,包括各种管理财政、财务及其有关经济活动信息的计算机应用软件。
由于审计的目的不同,审计的内容也不相同。网络技术的应用给计算机审计的发展带来了契机与挑战,网络时代审计的创新远远不应局限于审计对象、审计技术、审计业务上,用计算机会计信息系统进行审计,除以上内容外,还包括内部控制系统的审计、系统开发审计、应用程序审计、数据文件审计等。
(二)不断完善审计内容
在计算机审计软件应用下,随着凭证、账簿等纸质载体的消失,以及计算机系统本身强大的核对、检查和内部控制功能,除了在某种特定条件下还需要由人来监盘实物库存、实地观察物资的流动及其记录外,传统意义上的查账已无存在的必要。
对计算机会计信息系统内部控制的审计,一方面是为了加强内部控制,完善内部控制体系,使得计算机系统的组织管理控制、系统开发与维护制度、计算机操作制度、硬软件控制、系统安全控制、系统文档控制、计算机处理与数据文件的控制发生变化;另一方面是通过对内部控制系统的审计来确定对计算会计信息系统结果的信赖程度,即通过对被审计单位资产、负债、损益、现金流情况的分析和主要财务、业务指标的计算分析,看计算机会计信息系中会计记录的正确性和可靠性,如输入、输出的授权控制、业务处理的审核等,和内部控制的有效执行能在多大程度上保护资产的完整性。判断企业内部控制系统能在何种程度上防止或发现会计报表中的错误及经营过程的舞弊;对系统开发的审计是事前审计,在审计过程中,审计人员一方面要检查系统的开发活动是否可行与恰当,系统的开发方法是否科学先进
和合理;另一方面还要检查开发过程中是否产生了必要的审计线索,以及这些审计线索是否规范;对系统应用程序进行审计,一是要对嵌入应用程序中的控制措施进行测试,看其是否按设计要求在系统运行中起作用,即测试应用控制系统的符合性;二是通过检查程序运算和逻辑的正确性达到实质性测试的目的;对系统数据文件进行审计,一方面是对数据文件进行实质性测试,即对各会计账户余额、发生额直接进行检查,同时对会计数据进行分析审核,另一方面是通过对系统数据文件的审计,测试一般控制措施和应用控制措施的符合性。再者,审计人员可利用计算机方便地获取被审计单位计算机会计信息系统中的数据文件,通过必要的数据转换,使其成为审计人员可识别的数据文件形式,再进行各种数据的重新组合和处理,以达到审计目的。
四、审计方法的创新
审计方法的采用主要取决于审计的内容,对不同的审计内容可采用不同的审计方法,由于审计对象的多样化,计算机信息系统各成体系,审计方法也应因地制宜,灵活运用。最常用的审计方法有筛选法:如按某关键字查、按满足逻辑条件查、按设定的金额条件查、按时间条件查等,计算机会很快将符合条件的信息筛选出来;比较法:审计人员可以利用数据之间本身具有的关联性,对被审计单位不同性质的关联数据进行比较;计算法:有些数据之间的关系不能够直接比对,但可以用一定的计算关系式、借助于计算机强大的计算功能来审核其真实、合规性;分析法:审计人员只需要提出思路,编写适当程序,就可以对电子数据进行全方位、多角度的透视分析以及编程判断法等。审计方法从会计电算化角度考虑主要有计算机会计信息系统开发审计和计算机应用程序的审计。
在审计过程中,既有计算机数据,也有纸质的账册、凭证。内审时,由于经营情况比较熟悉,可以采用计算机抽样或者建立数据模型来辅助审计,找到审计的关键点和线索。通过计算机的海量搜寻,可以进一步扩大和延伸审计范围,从而可以抽取足够多的样本。还可以充分运用数学方法、统计方法、会计方法、控制方法等多学科来交叉进行,从而达到发现问题、分析问题和解决问题的目的。
五、审计程序的创新
计算机系统的核心就是会计软件,审计程序设计的质量高低直接决定了计算机系统整体水平的高低,审计程序主要审计会计软件对数据进行处理和控制的及时性、正确性和可靠性,以及软件的纠错能力和容错能力。
(一)计算机条件下的审计程序
计算机条件下的审计程序按照《审计法》的规定,一般审计程序可分为4个阶段,即准备阶段、实施阶段、审计结论和执行阶段、异议和复审阶段。
准备阶段主要是调查被审计单位计算机系统的基本状况并拟定科学合理的审计计划;实施阶段是审计工作的核心,也是计算机审计的核心。主要工作是根据准备阶段确定的范围、要点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见;审计结论和执行阶段,主要是对计算机系统,进行符合性测试和实质性测试后,整理审计工作底稿,编制审计报告时,除对被审单位会计报表的合理性、公允性、一惯生发表意见,做出审计结论外,还要对被审单位的计算机系统的处理功能和内部控制进行评价,并提出改进意见。审计报告完成后,先要征求被审单位的意见,并报送审计机关和有关部门。审计报告一经审定,所作的审计结论和决定需通知并监督被审单位执行;异议和复审阶段,被审单位对审计结论和决定若有异议,可提出复审要求,审计部门可组织复审并作出复审结论和决定。特别是被审单位计算机系统有了新的改进时,还需组织后续审计。
关键词:计算机审计;教材;比较;内容设计
中图分类号:G427 文献标识码:A 文章编号:1009-8631(2010)01-0152-02
随着审计环境、审计对象日益复杂,信息化发展日益加快,以手工审计为代表的传统审计已经越来越不能适应新形势发展的需要,传统审计越来越快地向以计算机审计为代表的新的审计方式转变。为了满足计算机审计课程教学的需要,已有不少学者编写了用于计算机审计课程教学的教材,但其内容体系大相径庭,对计算机审计概念的界定存在较大差异,不利于课程教学的需要。本文选取了五本比较具有代表性的教材,对其内容体系进行了分析,在此基础上对计算机审计课程内容体系的规范做些探讨。
一、计算机审计的含义
(一)部分学者的观点
我国计算机审计是20世纪80年代末发展起来的,最初有学者将其称为“电算化审计”,现在已比较多的称“计算机审计”。而对于“计算机审计”,目前尚无结论性的定义,许多学者都提出了自己的观点,现列举如下:
1.电算化审计人员用手工的或者电算化的审计方法、技术和程序对电算化或手工信息系统所进行的审计。(肖泽忠,1 990)
2.在计算机环境下,由专门的机构和人员,接受财产所有者的授权或委托而对财产经营管理人员承担和履行经济责任的情况,进行审查并提出报告的一种经济监督活动。(张立民,1 994)
3.电算化审计包括了下列两个方面的内容:(1)审计人员对电算化信息系统(会计信息系统或管理信息系统)进行审计,即把电算化信息系统作为审计的对象;(2)审计人员利用计算机辅助审计――利用计算机作为工具,帮助审计人员完成一部分审计工作,即计算机作为审计工具。(袁树民,1996)
4.计算机数据审计是指运用计算机审计技术对与财政收支、财务收支有关的计算机信息系统所处理的电子数据进行的审计。(刘汝焯,2004)
5.计算机审计包括以下三种含义:(1)对计算机会计信息系统中的电子数据进行审计,这种计算机审计实际上是传统财务审计的延伸:(2)利用计算机技术辅助实施审计,其内容包括进行审计项目管理、建立审计数据库、审计测试和审计验证i(3)对计算机信息系统进行审计。(苏运法、袁小勇、王海洪,2005)
6.计算机审计泛指审计人员利用计算机应用程序或软件作为辅助审计工具,对被审计单位的财政、财务、相关业务和计算机信息系统等实施的审计。一般称为计算机辅助审计或电算化审计等。(邱银河、木南,2006)
7.计算机审计是与传统审计相对称的概念,它是随着计算机技术的发展而产生的一种新的审计方式,其内容包括利用计算机进行审计和对计算机系统进行审计。(陈伟、张金城,2008)
(二)计算机审计的概念
以上列举的几种观点,是在不同时期对计算机审计的认识,有的是从计算机辅助审计的角度进行界定,有的则是从计算机信息系统审计和辅助审计两个角度进行界定。纵观计算机审计理论和实务的现状及未来学科体系的发展,应当将计算机审计和计算机辅助审计两个概念加以区分。
计算机审计是指审计机构、审计人员对会计信息系统或ERP系统的工作环境、系统开发、数据处理、系统运行以及内部控制等环节进行的监督,旨在保证信息系统数据真实、安全的审计活动。而计算机辅助审计是指审计机构、审计人员将计算机作为辅助审计工具,借助计算机及专业审计软件,对被审计单位财务收支活动实施的审计。
二、目前计算机审计课程教材的内容及其评析
(一)《计算机信息系统控制与审计》,张金城著。北京大学出版社2002年4月出版
本书全面系统地论述了计算机信息系统控制与审计的基本知识、基本理论、基本方法与技术。全书共十四章,16开本,342页,分四个部分展开论述。第一部分介绍了计算机信息系统控制与审计的基本知识;第二部分论述了计算机信息系统一般控制和应用控制及其审计方法;第三部分系统地论述了系统开发、应用程序、数据文件、联机信息系统、终端机作业、数据库系统、网络信息系统、计算机犯罪的控制与审计方法和技术;第四部分论述了计算机辅助审计信息系统的开发方法。
本教材比较系统地介绍了计算机信息系统控制与审计的原理和审计对象及审计过程,内容比较全面,理论较深,具有较高的教学和科研参考价值。但如果作为教材,则缺乏应用的案例和深入浅出的讲解。
(二)《计算机审计》,主编:苏运法,袁小勇,王海洪;首都经济贸易大学出版社2005年1月出版
本书共十二章,1 6开本,218页。全书主要论述了计算机审计的方法、技术与工具,计算机审计计划、重要性与审计风险,会计信息系统下的内部控制及审计评价、计算机审计证据的获取与收集,审计证据的评价,审计疑点查证,工作底稿与审计报告的形成。还介绍了计算机会计信息系统的审计和中岳审计软件学习指南。
本教材虽然名为“计算机审计”,但是其主要内容是介绍了计算机辅助审计的相关知识,应该叫“计算机辅助审计”更为恰当。
(三)《计算机审计技术和方法》刘汝焯等编著,清华大学出版社2004#-6月出1版
本教材为国家审计署计算机审计中级培训系列教材之一,共十六章,大1 6开本,305页。全书共分两大部分,第一部分主要介绍了计算机数据审计的内容,包括:审前调查,数据采集、清理、转换、验证、分析,审计现场网络构建等内容。第二部分主要介绍了信息系统审计的内容,包括:信息系统的控制,一般控制的审计,应用控制的审计,对应用软件的审计,信息系统生命周期的审计。
本教材两部分内容各占一半的篇幅,第一部分实际就是计算机辅助审计,第二部分才是真正意义上的计算机审计。第一部分通过实例,详细的介绍了计算机辅助审计的方法;第二部分按模块介绍了信息系统审计的内容。
(四)《计算机审计实务操作》,主编:邱银河,木南,人民邮电出版社2006年8月出版
本书共八章,大16开本,347页。全书主要介绍了计算机辅助审计的审前调查、数据采集、整理方法及常见问题的解决方案:以案例为主介绍7Excel在审计中的关键应用和数据库编程在审计中的应用;还介绍了现阶段应用最广泛的审计软件的基本操作,用审计软件完成一个审计项目的完整过程:最后简要介绍了信息系统审计的有关知识。全书还附有光盘。
本书通过很多案例介绍了计算机辅助审计的实用方法,是一本比较全面而且实用的介绍计算机辅助审计方法的教材,但名称叫
“计算机审计实务操作”,有失偏颇。
(五)《计算机辅助审计原理及应用》,陈伟,张金城编著,清华大学出版社2008年6月出版
本书共七章,大16开本,216页。全面反映了面向数据的计算机辅助审计领域国内外最新的研究成果。首先分析了国内外关于计算机辅助审计的研究与应用现状;然后介绍开展计算机辅助审计所需的相关基础知识,分析国内外常见的审计软件:在此基础上,结合案例重点分析面向数据的计算机辅助审计的关键步骤:审计数据采集、审计数据预处理,审计数据分析;最后,介绍了面向数据的联网审计。
本教材定位比较清晰,专门介绍计算机辅助审计的原理及方法,内容丰富,图文并茂,并附有案例讲解,可以作为计算机辅助审计课程的教材。
从以上五种教材分析可以看出,随着时间的推移和计算机审计实践和理论研究的深入,人们对计算机审计的认识趋于统一和明确,计算机审计和计算机辅助审计也有了比较清晰的划分。
三、规范计算机审计课程内容的建议
(一)计算机审计应包括的内容
1.内部控制系统的审计。对计算机会计信息系统审计时,整个审计工作的基础仍然是内部控制系统。内部控制系统的审计主要是审查内部控制制度与措施是否建立、是否完善、是否被一贯地执行。计算机会计信息系统的内部控制按其内容可分为一般控制和应用控制。一般控制是指对计算机会计信息系统中组织、操作、安全、开发等运行环境方面的控制,一般控制以规章制度、采用网络安全软件和程序控制的形式体现。应用控制是指为保证数据的准确与完整,适用于各种具体会计处理的特殊控制,一般将其概括为输入控制、处理控制和输出控制等,主要以程序的形式发挥作用。
2.系统数据文件审计。在计算机会计信息系统中,实质性测试的对象就是数据文件。在会计信息系统中,输入的原始数据、处理的中间结果和最后结果都是以数据文件的形式存贮在磁性介质或打印输出在纸质帐页上。数据文件审计包括对打印输出的数据文件的审计和存贮在磁性介质上的数据文件的审计。前一种数据文件的审计同手工系统的凭证、帐簿、报表等的审计内容与方法相同。对于存贮在磁性介质上的数据文件,则需要运用计算机技术进行审查。数据文件审计的内容包括两个方面,一是审查数据文件的一般控制和应用控制的健全性和有效性,二是审查数据文件内容的真实性与正确性。
3.系统开发过程的审计。系统开发过程审计是指审计人员对系统开发过程中的各项活动及由此产生的系统文档进行的审核与评价。它通过对系统开发的全过程及结果是否符合内部控制、相关法规政策、开发规程以及形成的文件是否符合有关标准等方面的审计,达到保证系统的可靠性、效率性、可维护性,内部控制的适当性,运行结果的正确性、完整性及提高系统的可审性的目的。
4.系统应用程序的审计。会计信息系统的核心就是会计软件,会计软件程序质量的高低,直接决定了会计信息系统整体水平的高低。会计信息系统是否执行国家的政策和制度,处理的经济业务是否真实、正确、合规、合法等,都体现在应用程序中。因此,应用程序的审计是会计信息系统审计的重要内容,也是计算机审计中最困难的任务之一。实践证明,程序是差错与舞弊最容易发生的地方,只有对应用程序进行审计,才能对系统的正确性、可靠性等做出公正的评价。应用程序审计的内窑主要包括:审查程序内部控制的健全性和有效性,程序的合法性,对数据处理和控制的及时性、正确性和可靠性,以及程序的纠错能力和容错能力。
(二)计算机审计教材的内容体系
1.计算机审计概述。主要介绍计算机审计的产生与发展,计算机审计的概念,计算机审计的方法与步骤,计算机会计信息系统对审计的影响。
2.电算化会计信息系统内部控制的审计。包括计算机会计信息系统的内部控制概述,计算机环境下的审计风险,计算机会计信息系统的一般控制,计算机会计信息系统的应用控制,计算机会计信息系统内部控制的审计,内部控制审计实例。
3.会计信息系统开发审计。包括系统开发审计的目标,系统开发审计的内容和方法。
4.会计信息系统应用程序的审计。包括应用程序审计的内容,应用程序审计的方法,应用程序审计实例。
5.会计信息系统数据审计。包括数据审计概述,数据审计的准备工作,数据审计的技术与方法,数据审计案例。
6.计算机信息系统舞弊的控制和审计。包括计算机信息系统舞弊概述,计算机信息系统舞弊的控制,计算机信息系统舞弊的审计。
7.网络审计。包括网络审计概述,网络审计与电子商务,网络系统审计和网站审计。
8.计算机审计的发展趋势。包括未来的审计环境,审计决策支持与审计专家系统。
(三)建议规范计算机审计课程的内容
1.进一步明确计算机审计和计算机辅助审计的概念,由权威的学术机构对计算机审计和计算机辅助审计给出比较明确的界定,以利于大家的进一步研究引用;同时也便于学生在学习过程中对知识的理解和掌握。
2.编著者在进行教材编写时应当对教材内容做出比较明确的定位,面向本科阶段使用的教材叫计算机审计为宜,侧重于审计对象,使学生掌握如何对计算机系统开展审计工作而面向高职和中职阶段使用的教材应叫计算机辅助审计,侧重于审计手段,使学生掌握如何利用计算机这一先进工具来开展审计工作。同时学校在课程开设上也应当明确化,使学生在学习时也能比较清楚。
参考文献:
[1]肖泽忠.计算机审计[H].北京:中国商业出版社,1990.
[2]张立民.电算化系统控制与审计[H].天津:天津科学技术出版社.1994.
[3]张金城.计算机信息系统控制与审计[H].北京:北京大学出版社,2002.
[4]刘汝焯等.计算机审计技术和方法[H].北京:清华大学出版社,2004.
[5]苏运法,袁小勇,王海洪,计算机审计[H].北京:首都经济贸易大学出版社,2005.
[6]邱银河,术南.计算机审计实务操作[H].北京:人民邮电出版社,2006.
[7]陈伟.张金城.计算机辅助审计原理及应用[H].北京:清华大学出版社,2008.
一、电算化会计条件下的审计程序
按照《审计法》的规定,一般审计程序可分为四个阶段,即准备阶段、实施阶段、审计结论和执行阶段、异议和复审阶段。电算化会计审计也可分为这四个阶段,同时结合自身的特殊要求,运用本身特有的方法,对电算化会计系统进行评价。
(一)准备阶段。在此阶段主要是初步调查被审计单位会计电算化系统的基本状况,并拟定科学合理的计划。一般包括以下主要工作。
1.调查了解被审计单位电算化系统的基本情况,如电算化系统的硬件配置,系统软件的选用,应用软件的范围,网络结构,系统的管理结构和职能分工、文档资料等。2.与被审计单位签订审计业务约定书,明确彼此的责任、权利和义务。3.初步评价被审计单位的内部控制制度,以便确定符合性测试的范围和重点。4.确定审计重要性、确定审计范围。5.分析审计风险。6.制定审计计划。在审计计划中除了对时间、人员、工作步骤及任务分配等方面作出安排以外,还要合理确定符合性测试、实质性测试的时间和范围,以及测试时的审计方法和测试数据。
如果要安排利用计算机辅助审计,则还需列出所选用的通用软件或专用软件。对于复杂的电算化系统,也可聘请专家,但必须明确审计人员的责任。
(二)实施阶段。实施阶段是审计工作的核心,也是电算化审计的核心。主要工作是根据准备阶段确定的范围、要点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见。实施阶段的主要工作应包括以下两个方面的内容。
1.符合性测试。进行符合性测试应以系统安全可靠性的检查结果为前提。如果系统安全可靠性非常差,不值得审计人员信赖,则应当根据实际情况决定是否取消内控制度的符合性测试,而直接进行实质性测试并加大实质性测试的样本量。在会计电算化系统的符合性测试项目中,主要内容应该是确认输入资料是否正确完整,计算机处理过程是否符合要求。如果系统安全可靠性比较高,则应对该系统给予较高的信赖,在实质性测试时,就可以相应地减少实质性测试的样本量。由于我国的电算化审计刚起步,还没有相应的法律法规,相应的具体审计准则也没有出台,所以目前情况下,可暂时以财政部颁发的有关会计电算化的工作规范、条例、办法等作为参照,并以此作为符合性测试的主要内容。
2.实质性测试。实质性测试应该是对被审计单位会计电算化系统的程序、数据、文件进行测试,并根据测试结果进行评价和鉴定。进行实质性测试须依赖于符合性测试的结果,如果符合性测试结果得出的审计风险偏高,而且委托人有利用会计电算化系统进行舞弊的动机与可能,并且委托人又不能提供完整的会计文字资料,此时注册会计师应考虑对会计报表发表保留意见或拒绝表示意见的审计报告。进行实质性测试时,可考虑采用通过计算机和利用计算机进行审计的方法,具体包括:a.“测试数据法”,就是将测试数据或模拟数据分别由注册会计师进行手工核算和被审计单位电算化系统进行处理,比较处理结果,作出评价;b.“受控处理法”,就是选择被审计单位一定时期(最好是12月份)实际业务的数据分别由注册会计师和会计电算化系统同时处理,比较结果,作出评价。
3.利用辅助审计软件直接审查会计电算化系统的数据文件。注册会计师可利用通用或专用审计软件直接在会计电算化系统下进行数据转换,数据查询,抽样审计,查账,账务分析等测试,得出结论,作出评价。
(三)审计结论和执行阶段
注册会计师对会计电算化系统,进行符合性测试和实质性测试后,整理审计工作底稿,编制审计报告时,除对被审单位会计报表的合理性、公允性、一贯性发表意见,作出审计结论外,还要对被审单位的会计电算化系统的处理功能和内部控制进行评价,并提出改进意见。
审计报告完成后,先要征求被审单位的意见,并报送审计机关和有关部门。审计报告一经审定,所作的审计结论和决定需通知并监督被审单位执行。
(四)异议和复审阶段
被审单位对审计结论和决定若有异议,可提出复审要求,审计部门可组织复审并作出复审结论和决定。特别是被审单位会计电算化系统有了新的改进时,还需组织后续审计。
二、电算化会计条件下的审计内容
电算化会计系统与手工会计系统不同,它是由会计数据体系,计算机硬件和软件以及系统工作和维护人员组成,所以电算化会计的审计内容与手工会计系统也存在着较大的差别。电算化会计审计的内容主要包括以下内容:
(一)对会计电算化系统的内部控制的审计。一方面是企业的内部控制能在多大程度上确保会计电算化系统中会计记录的正确性和可靠性,如输入、输出的授权控制,业务处理的审核等。另一方面是内部控制的有效执行能在多大程度上保护资产的完整性,通过以上两方面的评价,可以判断企业内部控制系统能在何种程度上防止或发现会计报表中的错误及经营过程的舞弊。
(二)对会计电算化系统的处理和控制功能的审计,也可称为对会计电算化系统程序的审计。会计电算化系统的核心就是会计软件,会计软件程序质量的高低,直接决定了会计电算化系统整体水平的高低,在这部分里主要审计会计软件程序对数据进行处理和控制的及时性、正确性和可靠性,以及程序的纠错能力和容错能力。会计软件程序的审计可采用通过计算机审计的方法及利用计算机辅助审计中的数据转换功能的方法来完成。
论文摘要:信息技术在为人类带来益处的同时,也会带来一定的风险。实施会计信息化审计,加强对会计信息化信息系统运作的有效监督,对防范信息系统的风险将起到一定的作用。目前,多数企业,没有充分认识到会计信息化审计的积极意义和效益,对会计信息化审计的必要性认识不足,从而使会计信息化审计工作没有引起足够的重视。本文从会计信息化审计的“目标、特点、策略、前景”四个方面进行分析探讨。
一、会计信息化审计的目标
1.会计信息系统的安全性
会计信息系统的安全性是指组成会计信息系统的硬件、软件、数据资源是否受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄漏系统中的信息。会计信息系统的资源通常包括硬件、软件、数据文件、系统文档、消耗性材料和其他设施。这些资源经常放在一处或几处,硬件可能被恶意破坏,软件和数据文件的内容可能丢失或毁损,消耗性材料和数据资源可能未经批准而被使用。会计信息系统的安全是通过建立相应的安全控制措施而加以保护的,评价会计信息系统的安全性,主要是审查会计信息系统的安全控制措施是否健全有效,对于不足之处应提出需要进行改进与完善的建议。
2.会计信息系统的可靠性
会计信息系统的可靠性是由其中的硬件系统的可靠性、软件系统的可靠性及数据的可靠性等因素共同决定的。软件系统的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。硬件系统的可靠性是指在一个指定的时间周期内,在给定的控制条件下,硬件系统执行所需功能的成功概率。数据可靠性是指数据的真实、准确和及时,它取决于系统绝对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统的可靠性还体现在它的容错能力上。对会计信息系统可靠性的评价要检查系统的运行是否稳定可靠、是否容易出现偏差和错误,是否能抵御外界干扰而正常工作。评价会计信息系统的可靠性时,审计人员应对决定会计信息系统可靠性的各项因素进行综合审查和评价。
3.会训信息系统的有效性
会计信息系统的有效性是指该系统能否实现既定的目标、系统的各项处理过程是否符合国家法律和有关规章制度的要求。评价会计信息系统的有效性,必须了解用户的需求。会计信息系统有效性的审计一般在系统运行一段时间之后进行,通过事后审计可确定会计信息系统是否能实现既定的目标,根据审计的结果,管理者可做出相应的决策。
二、会计信息化审计的特点
1.审计的所有领域全面运用现代信息技术
目前,审计在每一领域都还做得不够,如:尚未构筑起适应现代技术发展的一种或多种可能的、可用于解释和预测多种审计现象的多维审计理论—,这种理论将使对审计环境、目标、本质、假设、概念、标准、技术、方法、过程等的论述更新颖、更丰富、更具逻辑性和环境适应力;急需加速我国的审计工作从落后的“绕过计算机审计”向先进的“通过计算机审计”和“使用计算机审计”转化。如何利用现代信息技术管理责任与风险巨大的审计(尤其是独立审计)行业是一个值得探讨的问题,新时期,所有的审计人员都应成为完全意义上的电脑审计人员,而这是审计(后续)教育的重要任务。
2.会计信息化审计系统具有极强的适应性
信息化会计信息系统的多元、实时、开放性使会计信息化审计也具有多元、实时、开放性特征,实时审计、会计责任审计、环境审计、境外审计等都将因此而变得更加容易。
3.会计信息化审计将对传统审计进行重整
尽管“两权分离的程度决定了审计主体的种类和被审计单位的形式”,“审计效率和审计风险的矛盾决定了审计程序和方法的历史变迁”,但如果所有的计算机只囿于会计电算化信息系统的水平,提供的信息单一、过时、封闭,国外的会计师事务所的非审计业务(其必须依赖于多元、实时、开放的信息)收入又怎能达到其总收入的70%(我国仅30%左右)?事实上,正是信息量极大丰富的信息化会计信息系统和全新的会计信息化审计理论,支持了卓有成效的“四大”国际会计公司及其或集权或分权的管理模式,支持了审计效率和审计风险矛盾的最有效的解决,从而支持了现在和将有的多种繁杂的具体业务。
三、会计信息化审计的策略
1.建立会计信息化审计组织机构
会计信息化审计组织机构不健全将会阻碍我国会计信息化审计的发展。为适应未来我国会计信息化审计发展的客观要求,我国应尽快建立自己的会计信息化审计组织机构,按照会计信息化审计的要求组织、协调会计信息化审计工作,规划会计信息化审计的发展策略和职业培训计划,研究会计信息化审计理论、方法、技术和规范,指导会计信息化审计工作。在这项工作的起步阶段,政府应加强领导力度,从宏观上搞好规划安排,从资金和技术上扶持会计信息化审计,有效规划、部署和指导我国的会计信息化审计工作。2.加强会计信息化审计理论研究
审计理论来源于审计实践,又反过来指导、促进审计实践,二者不可偏废。没有审计实践,审计理论无法产生,没有审计理论指导的实践会走弯路。因此,要在审计实践中善于及时发现、总结规律性的问题,将其上升到理论的高度。国内学术界、政府研究机构应当加强会计信息化审计的理论研究,积极开展学术交流,密切关注国际会计信息化审计的最新发展动态,不断发展与完善会计信息化审计理论,从而更好地为会计信息化审计实践活动提供指导,促进我国会计信息化审计事业的发展与繁荣。
3.制定会计信息化审计准则
会计信息化审计同传统财务审计相比,在审计对象、审计目标、审计内容等方面均有所不同。为了规范会计信息化审计业务,明确工作要求,保证执业质量,应研究和制定我国的会计信息化审计准则和实务指南。会计信息化审计发展到一定阶段,必须由行业组织出面将实践经验加以总结,并把有关概念、工作流程和技术方法固定和统一起来,形成行业标准和规范。
4.强化企业领导加强管理与控制的观念
树立企业领导的信息化会计信息系统管理意识是开展会计信息化审计工作的关键。因此,企业主管部门在充分领会国务院有关“国民经济信息化”指示精神,认真抓好企业信息化建设的同时,还必须注重对企业领导进行会计信息化系统管理与控制的思想教育,促使企业领导从企业生存与发展的高度来认识会计信息化审计的重要意义,重视会计信息化审计工作,将会计信息化审计作为一项重要工作来抓。
5.大力培养会计信息化审计人才
从内部讲,一是强化培训。各级审计机关要拥有完备的培训基地,从自己的需要加强不同岗位的适应性培训;二是重点选拔。即有重点地选派一些“尖子”人才进高校深造,进行知识更新,或参与国际技术交流和技术合作,在实践中不断增长才干;三是完善机制。要逐步形成能有效鼓励各类人才脱颖而出,能最大限度地挖掘,激发各类人才智力潜能的运行机制,使知识最终能作为最重要的生产要求参与分配。
6.加大会计信息化审计的宣传力度
开展会计信息化审计的主要障碍之一是对会计信息化审计的必要性认识不足,必须加大会计信息化审计的宣传力度,如实宣传网络环境下重构后的会计信息系统所带来的风险,大力宣传会计信息系统控制的重要性,让更多的经营管理者,真正认识到开展会计信息化审计的必要性,增强会计信息化审计的迫切性,促进社会舆论对会计信息化审计的理解与支持,进而推动会计信息化审计工作的开展。
作者单位:河南工程学院
参考文献:
[1]谢诗芬.高级财务会计问题研究[M].四川:西南财经大学出版社,2004.45-52.
[2]胡仁显.自助式会计信息系统[M].上海:立信会计出版社,2003.78-82.
1研究目标和主要内容
1•1研究目标
研究的目标是,研究开发出科学、规范的项目管理领域工程硕士专业学位论文评审模型,并通过与另一应用软件开发课题配合,实现论文评审的电子化操作,努力使研究成果达到国内先进水平,并与国际接轨。
1•2主要研究内容与流程
(1)研究《标准》,建立评审指标体系。通过调查研究,结合《项目管理领域工程硕士专业学位标准》,建立学位论文评审指标体系。(2)借鉴国际先进评审模型,构建学位论文评审模型雏形。借鉴、引进、消化国际先进的项目管理评审模型,结合我国项目管理领域工程硕士专业学位论文考核特点,构建我国项目管理领域工程硕士专业学位论文评审模型雏形。(3)依据科学原理,构建模型。依据系统工程理论以及系统模型的构建原理,运用聚类分析、层次分析、对比分析等方法开发出满足我国项目管理领域工程硕士专业学位论文评阅和答辩考核要求的评审模型。(4)研究量化的评审方法。(5)对指标的权重进行设置,采用加权法等综合评审方法,系统设计定量评审方法。(6)设计科学公正的评审流程。(7)试运行,验证。(8)为实用软件的设计预留对接接口。本研究成果具有开放性和多适应性,也可以运用于解决类似的评估、评审问题。
2课题研究的开展
2•1主要技术路线
(1)明确目标、确定范围。(2)调查研究,收集信息、数据,进行统计分析。(3)找出主要因素,确定主要变量。(4)识别和分析各种关系(内含的科学定律,管理关系、规则等)。(5)形成系统模型雏形。(6)进行“验证、符合试验”,检查模型是否反映所研究的问题。(7)简化和规范模型的表达形式。
2•2研究工作重点
(1)重在调查研究。设计调查问卷,召开座谈会,深入调查研究,广泛和重点调查我国现有在岗的与项目管理领域工程硕士教育相关的专家、教授,已经通过论文答辩的项目管理领域工程硕士研究生,企业界的项目管理客座教授、研究生导师,在读项目管理领域工程硕士研究生;认真听取他们的意见、建议;以尽量掌握足量的、必要的、有代表性的信息。(2)精心构建模型。应注意以下几点:①应用现代项目评估的相关原理和方法;②借助社会上项目管理评估方面专家的智力;③借鉴国际、国内先进的相关评估模型,结合实际,改造创新,构建本模型。
3模型的构建
3•1模型构建的原则
在具体操作时充分考虑以下7个方面:(1)真实性。反映系统的本质。(2)简明性。反映系统的主要特征,简单明了,容易操作、求解。(3)完整性。系统模型全面、完整,应包括目标与约束两个方面。(4)规范化。尽量采用教指委现有的《项目管理领域工程硕士专业学位标准》和《论文评审参考标准》的相关内容,模型与现有标准互动和对应,在创新和与国际接轨的同时,尽量使之适用并有利于下一步的操作软件开发。(5)创新性。通过模型的建立和应用,克服原有标准的某些弊端,在模型体系结构、指标设置、综合评审等方面注意范围明确,尽量量化,以克服参与评审的教师、专家的随意性,专业关注的局限性;引导与规范教师、专家在发挥其专业水平的同时,注重全面、客观、公平、公正地按模型标准范围进行评审。(6)开放性。使模型系统化、模块化,参数可选择,可更改,有利于改进和拓展。(7)可操作性。为开发实用、可操作性的计算机管理软件奠定基础。本课题组和国内的软件开发公司做了沟通和交流,可以开发出简单可操作性的软件。
3•2评审模型结构设计特点
项目管理领域工程硕士专业学位论文评审模型系统结构采用模块式,包括四个子系统模块:(1)评审目标设置。(2)评审指标(标准)与权重体系设计。(3)子准则和评审量表设计。(4)评审程序与制度设计。同时,给出可以选用的空间,以备选择应用。
3•3项目管理领域工程硕士专业学位论文评审模型
本研究所建立的模型是一个完整的系统,分为类、指标、子准则3个层次,如图1所示。指标层用于综合评分的累计,子准则层用于量化计分,采用100分制。通过对子准则评分得到其分数,再乘以相应的权数,然后累计加和(采用加法规则),即可以得出被评审项目的评审分数。图1中的子准则只是通过一个例子进行了示意,评审流程如图2所示,详细的量化评分表如表1所示。
3•4模型特点及用到的方法
从上文可知,这一模型具有如图3所示的特点,并分别用到了以下方法:①充分运用了信息搜集的方法;②运用聚类分析法对评审标准(指标)进行了分类;③用层次分析法进行了指标分层;④充分应用对比分析法筛选量化评审指标;⑤在整体指标的确定上采用逻辑框架法考虑项目全生命周期的逻辑框架关系;⑥在各指标的关系处理时采用了指标综合的方法。
购物车(0)