加强内部审计 促进会计信息化

【摘要】 会计 信息系统的应用给单位带来了与手工环境不同来源、不同性质的风险，且随着应用的逐渐深入，潜在的风险也在不断变化。这在客观上要求加强内部审计，确保会计信息系统安全有效地运行，以为单位“会计信息化”打下坚实的基础。

以 计算 机及 网络 技术为核心的信息技术（Information Technology，IT）的 发展 给会计学和会计实务带来了一次革命性的变革，会计领域正在进行着一场“会计信息化”的伟大变革。会计信息化的基础就是要利用 现代 信息技术建立安全可靠的、开放的会计信息系统。

会计信息系统（Accounting Information Systems，AIS），是一个通过人或计算机对物流、资金流、信息流实施管理的信息系统，其目标是将会计数据转换为会计信息，从而为会计信息使用者提供可靠真实的会计信息，以协助其进行决策。本文所阐述的是基于电算化的会计信息系统审计。会计信息系统审计是通过一定的技术手段采集审计证据，对被审计单位会计信息系统的安全性，可靠性、有效性和效率进行综合审查与评价的活动。各单位不仅要建立适应现代 经济 管理需要的会计信息系统，而且必须对会计信息系统的建立与运行实施控制，以确保会计信息系统安全有效运行，而会计信息系统运行是否正常，控制是否有效，则需要通过会计信息系统审计进行监督和评价。

一、会计信息系统审计的必要性

会计信息系统是由计算机、网络、操作系统、数据库管理系统、会计软件、数据文件、会计和系统管理人员等组成的人机交互系统。它的建立与运行存在着各种风险，主要有：计算机硬件故障，计算机软件故障，人员安排不当，终端存取控制不力，病毒攻击，数据丢失，用户使用错误，程序的改变以及通信问题等。特别是通信技术和计算机软件的发展，加大了会计信息系统的风险，通过网络可以将不同地点的计算机信息系统连接在一起，这样就有可能导致未经许可的数据存取。发生错误的可能性不仅仅局限于单台计算机，在网络的每个节点上都有可能发生。同时，计算机软件的发展也增加了会计信息系统误用和滥用的机会。使用新一代编程语言，用户不需要专门的软件技术人员也可以自己编写程序，用户自己编写的程序可能无意地产生一些错误，也可能出于非法目的进行计算机舞弊。要预防和减小会计信息系统风险，除了加强会计信息系统的管理与控制外，还必须进行会计信息系统审计，通过审计发现会计信息系统本身及其控制环节的不足之处，以便及时加以改进，使会计信息系统有效发挥作用。

二、会计信息系统审计的内容

会计信息系统审计的对象是被审计单位的会计信息系统，审计的内容主要包括：会计信息系统开发审计，会计信息系统控制审计和会计信息系统功能审计3个方面。

（一）会计信息系统开发审计

会计信息系统开发审计是审查和评价系统开发过程是否符合有关的开发规程，会计信息系统能否以完整、准确、可靠的方式处理会计信息；会计信息系统中是否设计了适当的控制，会计信息系统的各项功能是否符合有关 法律 法规和制度的要求；会计信息系统是否达到既定的目标。

（二）会计信息系统控制审计

会计信息系统控制审计是对会计信息系统各项控制措施的健全性和有效性进行审查与评价。只有采取了健全有效的内部控制，才能确保会计信息系统安全可靠地运行。审查和评价会计信息系统的控制是会计信息系统审计的核心内容。

（三）会计信息系统功能审计

会计信息系统功能审计主要是审查系统对各项经济业务处理的合法性、合规性和正确性；系统能否按照国家统一的会计制度及有关财经法规的要求处理各项经济业务，以及嵌入到应用程序中的控制功能是否适当和有效。尽管在系统开发审计中，对会计信息系统的功能已进行了审计，但是在系统运行过程中，由于需求的变化或为适应业务发展需要，会计信息系统可能进行了相应调整，特别是应用程序具有被修改而不留痕迹的特点，因此，在会计信息系统运行过程中仍然要对会计信息系统功能进行审计。

三、会计信息系统审计程序

从审计实务来看，会计信息系统审计的基本程序与普通审计并无明显差异，整个过程包括审计准备、审计实施、审计终结三个阶段。每个阶段又包括若干具体工作内容。

（一）会计信息系统审计准备阶段

此阶段是整个审计过程的起点，其工作主要是初步调查被审计单位会计信息系统的基本状况，初步评价内部控制制度，分析审计风险，编制审计工作计划。

1.明确会计信息系统审计目标

确定审计目标，明确审计任务，便于对完成情况进行检查和考核。

2.成立会计信息系统审计小组

会计信息系统审计的专业性和技术性较强，组成审计小组要考虑成员的专业特长，进行合理配置。

3.审前调查，了解被审计单位会计信息系统的基本情况

在审计小组成立以后，需要指派专人对被审计单位会计信息系统的基本情况作初步了解，如了解会计信息系统的硬件配置、会计软件使用版本、系统的管理结构和职能分工及安全保障措施等。

4.制订审计计划

根据审前调查了解的情况， 总结 被审计单位会计信息系统的特点，初步评价被审计单位的内部控制制度，分析审计风险，确定审计范围和审计重点，制订审计计划。

5.向被审计单位发送审计通知书

（二）会计信息系统审计实施阶段

在完成了所有准备阶段工作之后，就进入具体的审计实施阶段。

1.对被审计单位会计信息系统整体安全性、可靠性进行检查和测试

包括了解机房管理的安全措施，管理人员的基本情况，会计信息系统应用程度，会计信息系统文档资料，具体业务流程和数据处理过程等。

2.对被审计单位的会计信息系统内部控制制度进行健全性调查和符合性测试

健全性调查主要包括：与相关人员面谈和交流，实地检查内控制度的执行情况；发放内部控制情况调查表进行书面调查；深入审查一般控制和应用控制在实际工作中的作用；发现控制的弱点确定需要进行符合性测试的一般控制点和应用控制点。

符合性测试是在对被审计单位会计信息系统的内部控制制度初步了解和评价后对内部控制的健全性和有效性进行的测试、主要内容包括：会计软件维护控制测试，数据输入的有效性测试，数据输出的准确性测试等。

3.对账、表、单、证或数据文件进行实质性审查和测试 4.利用计算机辅助审计对数据和程序文件进行审计

（三）会计信息系统终结阶段

在完成了审计实施阶段的工作之后，就进入会计信息系统审计的终结阶段。主要工作有：

1.整理归纳审计证据

在对会计信息系统实施审计后，对收集到的分散的个别证据进行整理归纳，形成完整的审计资料。

2.复核审计工作底稿

审计工作底稿是审计人员在审计工作中汇总综合分析审计资料所形成的书面文件。审计工作底稿对形成正确的审计结论有着重要的意义，对审计工作底稿反映的有关问题必须进行复核。

3.撰写审计报告

审计报告是审计工作的最终成果。它是在经过上述审计程序之后，审计小组根据获取的审计证据和审计工作底稿进行综合分析后编制的。

4.提出审计结论和建议

根据审计报告内容提出审计结论和意见。

5.建立审计档案

及时进行审计资料的归档，建立审计档案，不仅是档案建设的需要，而且也为今后的审计工作提供一份可以借鉴或 参考 的资料。

四、 会计 信息系统审计技术

审计技术是审计过程中所采用的专门技术。审计对象在信息化方面的迅速 发展 变化，客观上要求审计工作采用一些适合于 计算 机系统的审计技术，提高审计效率，提高审计质量。会计信息系统审计技术主要有内部控制风险评价技术、数据库和数据文件审计技术。

（一）内部控制风险评价技术

内部控制的审查和评价主要是要找出影响内部控制的风险因素，也就是要剖析内部控制的薄弱环节，防范可能存在的风险，以便采取适当的补救措施。这就要求审计人员在考虑各项因素的基础上，分析发生差错或毁损可能性的大小及评估带来的损失大小，其基本步骤如下。

1.风险评价证据的收集

审计工作是重证据的，风险评估也必须以证据为基础。因而在进行内部控制的风险评估工作时，审计人员的首要任务就是收集各种评价证据，并以工作底稿的形式形成相关审计文档，如资产安全性风险评价底稿、会计信息系统软件可靠性风险评价底稿等。

2.风险证据的量化

在收集审计证据，制作工作底稿的基础上，审计人员还需要根据会计信息系统的特点和实际工作情况，使用计算机辅助审计程序，对每类底稿的各项明细指标进行计量处理，并按对风险影响的程度大小进行排序，以便为明确审计重点指明方向。

3.编制系统整体风险分析表

在对工作底稿中的相关风险指标进行量化排序之后，审计人员已经基本明确了要重点进行审计的明细项目，并对高风险的明细项目进行详细审计。然而，这种排序和评估基本上还局限于各个孤立的工作底稿，为了从总体上把握系统的整体风险，还需要审计人员运用加权计算技术，汇总编制融合了各个工作底稿大小项目风险的整体风险分析表，并在表中明确风险程度和所需要花费的时间，以此作为内部控制依赖程度的证据。

（二）数据库或数据文件审计技术

在电算化会计信息系统中，手工会计的账、证、表、单以数据库或数据文件的形式存放在磁性介质中，鉴于磁性介质的特殊属性，如何确保 电子 会计数据的完整性和准确性显得非常重要。对于审计人员来说，在进行会计信息系统审计时就有必要采取一些不同于手工审计的技术，以便获取所需的审计证据，进而评价这些证据，以判断数据的真实、可靠、完整、合法、合规等属性。

1.审计软件取数分析技术

随着审计软件的不断推陈出新，软件的功能和水平都在不断提高。审计人员可以充分利用审计软件中所提供的功能模块，根据实际需要选择抽取数据的条件和参数，以获取所要抽取的相关业务数据。特别是对抽取有疑义的业务进行审计，及时提出内部控制建议，以保障数据的完整性。

2.嵌入审计程序采集数据技术

在计算机技术不断发展、审计人员计算机应用水平不断提高的基础上，可以设计一些计算机辅助审计程序，嵌入被审计单位的会计软件系统中，帮助采集审计人员所需要的审计数据，如获取非法调用数据文件处理的记录、越权操作使用相关功能模块、擅自调阅或修改审计线索数据项或审计证据文件等。审计人员通过定期调阅这些证据文件，可以据以判断应当怎样进行系统审计，并提出相应的审计建议。当然，这种方法的采用，一方面要保证嵌入程序的安全合法，另一方面还需获得被审单位的信任和许可。

3.扩展记录技术

当前大多数单位所使用的会计信息系统软件都没有考虑审计线索，即使考虑了审计线索，也不够全面或不能满足审计人员的工作需要。在审计人员对被审计单位的会计信息系统软件的数据文件结构较为熟悉的情况下，可以采用扩展记录技术。所谓扩展记录，是指在数据文件记录结构中适当添加必需的字段来记录审计所需的数据，以便在审计时直接调用这些审计线索。