会计电算化审计方法

一、评审被审计单位的电算化系统

随着信息技术的发展，越来越多的经济组织使用计算机进行业务管理和财务处理。信息技术在财务会计领域的广泛使用，使得财务信息的载体、会计数据生成的途径和方式、审计的轨迹、管理和控制的方法等都发生了新的变化。《中华人民共和国国家审计基本准则》第二十六条规定：“在计算机审计信息系统环境下进行审计，不应改变审计方案确定的审计目标和范围。”要遵守审计准则的这一要求，保证审计的质量，审计人员必须做好两个方面的工作。一是正确评审被审计单位的电算化系统，二是要考虑使用适合电算化条件的审计技术方法。

1.电算化系统的风险分析及对审计方案的影响。在对实行电算化的单位实施审计时，首先要考虑电算化对被审计单位财务会计资料真实性可能产生的影响。也就是说要对电算化系统的风险进行分析，以便审计人员确立正确的风险意识，并能在审计中使用有针对性的审计方法。由于电算化系统具有其独特的属性，如果被审计单位控制不当，就可能从以下几个方面影响会计信息的正确性：允许匿名处理经济和会计业务，减少会计责任；移去或者模糊审计线索；允许未经授权的会计数据修改，或者不留相应痕迹的会计记录修改；易受到远程的和未经授权的访问和攻击；隐藏或者进行一些不可见的处理；通过分布式系统广泛地分散数据等。正是由于实行电算化后存在上述风险，审计人员在编制审计方案前需要对这些风险进行分析，并在编制审计方案时，确定适当的审计方法，对相关控制的有效性和所产生数据的正确性进行审查评价。在制定审计方案时，应当就以下几个方面进行分析，并做出相应的决策：是否需要聘请IT,审计专家参加审计；IT系统对被审计单位以及每一会计领域风险评估的影响；是否使用计算机辅助审计技术以支持审计，访问和分析业务数据使用何种软件工具最合适；对被审计单位的计算机控制系统的信赖程度等。审计人员必须把这些事予以考虑，并写入审计方案。

2.对电算化系统进行评审的主要内容。对电算化系统的评审主要由以下三部分组成：

（1）对被审计单位电算化系

统背景信息的评审。对背景信息评审的目的是为了弄清和收集被审计单位电算化系统硬件和软件的基本情况，包括计算机系统的大小、类型以及技术复杂性等，使得审计人员能够决定是否需要专业的IT,审计支持，并考虑审计是否在未来介入被审计单位财务电算化系统的技术和开发。

（2）电算化

控制环境的评审。由于电算化系统控制环境中的弱点能够削弱每个财务应用程序中控制的有效性，审计人员需要对其控制环境开展专门的评审。对控制环境评审的目的，是为了确定电算化系统总体控制环境中控制强度、弱点和风险。在电算化系统总体控制环境中确定的风险可能削弱植于应用程序中的控制的有效性，因而是被审计单位的固有风险。对电算化系统控制环境评审的内容，主要是对计算机部门、系统软件和IT,硬件中的控制措施进行评审。包括：有关职责的分离；物理访问控制；逻辑访问控制；操作控制；变更管理程序；灾祸恢复方案；外部IT,服务提供商的使用；用户自行开发和运行的应用程序的控制。评审的方法通常是从询问被审计单位IT,策略方面的战略性问题开始，以便审计人员能够检查客户的IT,策略、系统管理、内部控制以及安全策略的充分性。审计人员要确定电算化财务信息系统总体IT,审计风险的程度和属性，以便在审计方案中提出相应的检查措施。

（3）电算化系统应用程序的评审

对应用程序进行评审是为了检查存在于各具体财务应用程序中的控制措施、内部控制系统及审计风险。通过评审了解应用程序的控制措施，确定每个应用程序的审计风险水平，决定对应的审计方法。对应用程序控制的评审不应孤立地考虑，应当将电算化系统的总体控制环境与各个具体的应用程序控制以及支持电算化的手工控制联系起来进行审查评价。对具体应用程序评审的内容主要有：应用程序的可审计性、文档管理情况、应用程序的安全状况、输入控制、数据传输控制、处理控制、输出控制、常规数据控制等。

3.评审结果的总结和利用。上述评审完成后，审计人员应当对评审结果进行总结。总结的内容应当包括：对被审计单位财务系统复杂性的评估；电算化环境下被审计单位风险的总体评估；各应用程序和会计领域的风险评估；针对各个会计领域，提出审计中是否依赖其已有的控制以及对应的审计方法。审计人员应当写出一个简短的总结报告，概括反映电算化系统控制弱点的属性和程度，并将这一评审报告列入审计工作底稿。对这一报告可从以下三个方面加以利用：一是审计人员应当将其确定的控制弱点同它们可能对财务报告的影响联系起来，然后确定实质性审计检查的措施；二是要将被审计单位电算化系统的控制弱点纳入审计意见书，以便其改进工作；三是为确定具体使用计算机辅助审计技术提供依据。

二、制定合理的电算化会计审计程序

1.准备阶段。（1）了解企业基本情况。在这一阶段，主要先了解被审计单位的基本情况。一方面，调阅上一期的审计底稿资料；另一方面，与企业的有关人员初步面谈并查阅被审计单位的会计电算化系统的基本资料，归纳出被审计系统的特点和重点。（2）组织审计人员和准备所需的审计软件。通过了解被审计单位的基本情况，可明确被审计单位会计电算化系统的构成特点、复杂程序以及审计任务的轻重，选择安排有计算机审计经验的注册会计师担任项目负责人，组成审计小组。审计小组根据被审计企业的特点准备审计软件，包括通用的审计软件和审计现场需要直接编制的小软件。如果对某审计项目需要特殊的而且比较复杂的审计软件，还必须组成一个专门开发软件的小组，预先开发好所需的特殊软件，以保障审计工作顺利开展。

2.内部控制的初步审查。计算机审计的第二步是对计算机内部控制的初步审查。初步审查的目标是使审计人员了解计算机信息系统在会计工作中的应用程度，初步熟悉电算化会计系统的业务流程和内部控制的基本结构，包括从原始凭证的编制到各种会计报表的输出的整个过程。一般采用如下的检查和会谈：（1）审阅上期的审计报告和管理建议书，初步了解上期系统的弱点；（2）检查会计电算化系统的文档和系统使用手册，了解系统模块结构、名称、数据库以及相应的功能；（3）检查输入数据的基本依据，初步了解企业会计原始数据产生的内部控制制度的基本情况；（4）对一些基本情况和上述检查发现的问题，与会计人员、系统开发和维护人员、程序员面谈，以便得到与问题相关的背景资料；（5）初步审查数据处理流程图，了解原始数据的起点、文件名称和系统内的代码、数据经过的单位或部门、数据的终点和保管的措施，以及产生和使用数据的单位内部控制，并制作必要的简明数据流程图。同时，审计人员还要对下列资料进行了解：系统安装日期、计算机硬件系统的型号、机房的基本管理设施、系统管理制度、系统的负荷量；系统的组织结构、各级管理的职责，以及计算机系统的负责人和系统的管理人员；系统中各应用子系统的控制类型和主要的经济业务。

3.初步审查结果的评价。初步审查后，审计人员必须从整个会计信息系统内部控制的角度出发，评价初步审查的结果，确定内部控制的可靠性程度，并得出结论。其结论包括以下三种：（1）退出审计。由于计算机审计人员缺乏实施审计的技术或内部控制不可信赖，存在许多问题，审计人员可提出一些管理建议并退出审计。（2）进一步进行详细审查。这一方式是在初步审查取得的信息表明内部控制是有一定的可信赖性的情况下采取的，实质性的测试可作一些简化。（3）决定不信赖其内部控制。做出这一决定有两种可能的原因：一是直接实行实质性测试更容易达到预定的审计目标；二是审计人员认为可信赖用户的补偿控制，因为计算机内部控制系统可能不完善，各应用系统的用户往往需要自己增加一些必要的补充控制，因此，计算机审计师决定对补偿控制进行测试，这样更易于达到审计的目的。

4.内部控制的深入审查。深入审查是为了使审计人员对计算机系统所用的内部控制制度有更深入的了解。与初步审查一样，审计人员要判断是否退出审计，或信赖系统的内部控制而进入下一阶段———控制的符合性测试，或是直接进行实质性测试。对于某些应用子系统，审计人员决定信赖其内部控制，而对其他的子系统则采用其他更适宜的审计程序。在此阶段，一般控制和应用控制都是审查的重点，但一般可先审查一般控制，如果发现系统的一般控制存在一些普遍的弱点，审计人员就要继续详细审查应用控制，否则可简化对应用控制的审查。详细审查阶段收集证据的方法与初步审查所用的方法相同。在深入审查阶段，审计人员必须鉴别出引起系统损失的原因和提出对现有控制制度改进的建议性方案，而且必须表明实施的计算机控制制度哪些是可信赖的，哪些是有待于进一步测试确定的。

5.符合性测试阶段。符合性测试阶段的目标是寻找证据确定计算机系统的内部控制制度是否在发挥作用，以及实际存在的控制制度是否可以信赖。除了在前面审查中所用的手工收集证据的方法仍可用外，在这一步骤审计人员基本上是用计算机辅助收集证据。例如，会计软件开发和维护控制的测试，数据输入的有效性测试和数据处理的准确性测试等符合性测试都是要利用计算机来完成的。

6.用户补偿控制的审查和测试。在某些情况下，审计人员可能决定不信赖企业计算机系统的内部控制，因为应用子系统的用户采用了一些补偿控制来补充原内控制度的弱点。例如，在子系统之间原始数据的传递存在弱点，用户可以此核对由计算机程序产生的数据和控制的总额，在评价补偿控制时，对于那些重复的控制，不必重新审查和测试。补偿控制审查和测试如同前面所提及的方法一样。

7.实质性测试。实质性测试阶段的目标是取得充分的证据，使审计人员对计算机系统在各重大方面是否偏离公允性或存在哪些弱点做出最后判断。外部审计师表达这种判断以便在审计报告中指出系统是否在各重大方面存在表述不公允；而内部审计师所关注的问题更为广泛，包括：现有控制系统是否存在着某些弱点，系统已造成哪些损失或将带来什么损失，现有计算机系统是否高效率和高效益等。

8.全面评价和编制审计报告。通过上述审计步骤，审计证据和对各项目的初步评价结果已经形成，但这些证据和初步评价的结果是比较分散的，全面评价的目的是将审计小组各成员所收集的审计证据和初步评价结果进行综合，筛选出重要的证据和主要问题，将这些问题和证据作为重点进行综合评价。评价的范围包括会计数据的公允性、内部控制的健全性和有效性，以及会计电算化系统的效率性和效益性。在评价结果的基础上，根据审计委托人的要求编制客观公正的审计报告和管理建议书。在报告提供给委托人之前，还应当征求被审计企业的意见，必要时对重大问题追加审计，以保证审计报告和管理建议书的可信度。编制审计报告建议书的基本过程和方法都与传统审计一样。但应当注意的是，应用计算机进行审计，其审计结果汇总评价的许多方面可由计算机自动完成，甚至最终的审计报告也可由计算机辅助完成。