电算化环境下的内部审计

1 电算化环境下，无纸化数据和无纸化交易减少了数据的重复输入、重复处理，也使 会计 处理程序化。业务发生后只要业务人员执行相应的功能，会计人员不再填制凭证就可以直接记录到相应的账户上，系统的内部控制更多地依赖自身的实时控制。于是，数据的可靠性、原有纸制审计证据的减少、内部控制体系（会计处理及业务处理流程）的变化成为内部审计必须面对的问题。

2. 网络 应用 和 企业 全面信息化的实现改变了电算化初期那种单一的、独立的业务处理模式，企业按照高效原则进行业务重组、业务处理流程重构。业务数据、财务数据、业务处理、财务处理集成在一起，使管理审计和财务审计相互融合，无形中扩大了审计范围，提高了审计的难度和对审计人员专业知识的要求。

系统集成化使很多企业改变了管理模式，如有些企业根据业务需要把工作组作为基本工作单元，每个工作组内的成员共享数据，由于信息系统可以在不留下任何痕迹的情况下用后面的处理结果直接覆盖前面的处理结果，这就为审计评价数据完整什和可靠性增加了难度。系统集成化还使业务数据之间、财务数据之间，业务数据与财务数据之间的直接对应关系变得更加模糊、复杂，再加上数据的覆盖和网络化，从报表、账簿结果追查到原始业务变得非常困难。

3.电算化环境下企业的内部控制发生了很大变化。原有手工处理环境下的一些内部控制措施因失去了作用而被取消，有些内部控制措施被程序化后通过软件程序的执行而发挥作用，同时针对信息系统的特点又增加了一些新的内部控制措施。由于内部控制技术（如密码控制技术、防火墙技术等）不断 发展 ，如何了解，测试、评价信息系统的内部控制情况便成了审计的难题。

4.电算化环境下审计证据大多存储在数据库中，传统的审计技术难以达到目的，必须不断采用新的审计技术和手段，比如采用测试程序嵌入系统完成对重要处理的审计、利用审计软件采集和 分析 要审计的数据、采用软件动态跟踪某些重要数据的变化。如何掌握并运用新的审计技术和手段无疑成为内部审计人员工作中遇到的又一个问题。

二、电算化环境下内部审计需要做好的几项工作

1.对单位的信息系统实施审计、 目前 ，绝大多数单位在内部审计时是绕过信息系统的。由于集成化系统中原始凭证大量减少、数据之间直接对应关系模糊、业务处理和财务处理高度集成，使得系统中存储数据与输出数据可能不—致。比如，有关人员通过在系统中嵌入非法程序块转移了数据，而打印出虚假数据提供给审计人员，这种行为必然加大审计风险。内部审计人员要想了解系统提供的数据的可信赖程度，必须对系统本身进行审计，这是内部审计不可能回避的。

首先，内部审计人员要对本单位汁算机信息系统及其相关情况有所了解，包括：①系统的硬件信息和软件信息。比如信息系统的结构、所使用土机的型号、内存容量、输入及输出设备、通讯设备、辅助存储设备，所使用的操作系统、通信软件、数据库管理系统和应用系统等。②系统进行业务处理的具体情况。比如处理的过程、发生错误的多少等。③本单位肘其他单位信息系统的依赖程度。比如有的企业与其供货商或销售商共同管理存货，某些原料或产品的仓库设在供货尚或销售商处，企业需要时直接从那里取得。这种情况下，如果供货商或销售商采用信息系统进行存货核算与管理，则本企业的存货信息高度依赖供货商或销售商的信息系统。④被审计系统的内部控制。如本年度没备的变更信息、维护信息、应用系统的复杂程度及重要的处理过程等—在了解信息系统的基础上，内部审计人员根据重要性和复杂程度确定审计程序。实施审计时，符合性测试的重点应该是系统内部控制的设置和遵守情况、系统内定义的信息转换规则。对于则务、业务集成化系统而言，单位发生的每—项业务在业务系统中都会根据业务人员、财务人员事先定义的转换规则自动生成会汁记录，进入财务系统。此时审核的重点不应足系统生成的大量重复的凭证，而是定义的信息转换规则是否正确和有效、是否符合相关法规的要求、对这些规则的管理等是否有效。

2.加强对内部控制的审计，做到一般控制审查和 应用 控制审查相结合。在手工处理环境下，单位内部控制的重点就是人及其处理的业务。而电算化环境下，业务处理过程包括了手工处理、 计算 机系统处理、人与计算机进行交互处理这几部分，单位内部控制的重点变成了人及其处理的业务、人机交互处理过程、计算机系统业务处理过程和不同系统之间信息的传递过程，内部控制的重点和环节发生了很大变化。只有对信息系统的内部控制实施审计，才能了解内部控制运行状况并由此确定后续实质性测试的重点和审计程序；

电算化系统中，可以把控制划分为一般控制和应用控制两部分。一般控制是对系统中组织、开发、操作、管理等系统运行环境所进行的控制，通常以制定规章制度、 网络 安全软件和程序控制形式体现；应用控制是对信息系统的某一具体处理过程施加的控制，主要以程序的形式体现。审计时，应该在对系统—般控制做出评价的基础上，通过读原程序、模拟数据上机测试、上机处理实际业务、采用审计软件等方式测试系统的安全性、控制程序的正确性和有效性。

3.充分利用计算机辅助审计技术和上具。电算化系统的安全性、业务处理的正确性、应用控制的有效性、系统的运行效率等只有通过上机测试才能检验。因此内部审计人员可以对手工填制的原始单据、简单业务的处理、非程序控制制度和措施采用原来手工审计的有效 方法 ，对于某些特定业务的处理过程、重要数据、复杂的处理过程及程序化的控制措施则应该充分利用计算机辅助审计技术和工具进行审计。

4.关注业务系统与财务系统的数据转换环节。集成化系统中，业务系统与财务系统之间的数据传递可以实时进行，也可以分批完成，极易出现数据不一致，所

以系统之间的数据转换应该是审计的重点之一。另外，有些 企业 的电算化系统采用厂多家软件厂商的产品，业务系统与财务系统之间的数据传递需要借助外存（如磁盘）或局域网上不同数据文件之间转换等方式来完成，对这样的系统一定要防止并及叫发现转换过程中的错弊。

5.加强动态在线审计 电算化系统中，帐务处理是实时进行的。尤其是网络化系统，在同一时间可能有多个用户执行同一项功能、调用同一个数据文件，而系统只记录下最终的结果。若审计时只对静态系统进行审查，不进行有关运行程序、数据文件的联机实时审计，有时就难以发现存在的 问题 。因此对于重要业务的处理、关键的处理程序、业务人员的上机操作记录等应该加强动态审计。

网络化系统一般本身都提供了一定的审计功能，一旦发现非法的或有超越网络授权的操作行为，就会记录入侵者的登录用户名、IP地址、登录日期、时间等信息，并寻找到非法用户曾经潜入系统内部的痕迹。利用大型数据库管理系统开发的应用软件也能对登录系统的用户及其使用系统的情况进行一定的监控，如哪些用户使用了系统、进行了哪些操作、操作的次数、登录及退出系统时间等。审计人员可以实时检查系统存放这些信息的审计踪迹表和系统日志文件，充分利用这些线索。同时，还可以利用专门软件进行重要数据的动态跟踪，比如利用Ex cel软件就可以实现一些简单的跟踪和 分析 。

6.加强对所有与信息系统有关的部门及人员的监督管理。与信息系统相关的部门包括信息系统管理部门、维护部门和使用部门。相关人员包括网络管理员、系统管理员、数据库管理员、软硬件维护人员、系统操作人员、档案保管人员及机房保安人员等，对这些部门和人员进行安全意识 教育 及监督管理对于降低审计风险是至关重要的。