计算机审计范文
时间:2023-03-23 21:36:45
导语:如何才能写好一篇计算机审计,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
电子签章的审计技术
传统的各种商业文件都需要当事人签章(手写签名、盖图章等),注册会计师容易辨认和审计确认这种签章。在计算机网络化的电子商务环境下,各种商业文件都以电子文件的形式存储、传递、处理,传统的当事人签章形式已经失效,适应电子商务的电子签章出现,电子签章的鉴证也成为审计的基本内容之一,同时审计人员也应用电子签章技术进行审计。数字化(电子)签章可以用于任何一种信息上,其中包括保密与非保密信息。但在网上进行电子支付和交易电子发票的舞弊仍然是电子商务的商家最为头疼的事,要避免这些舞弊发生常常要建立一套健全的内部控制制度,同时还需要外部审计(鉴证)的监督。下面主要探索外部审计人员对电子签章应怎样认证。
电子签章其实质内容不是传统纸张上的签名和盖章,而是一种特殊加密的数据。电子签章的基础是加密技术,在电子商务中最常用的电子签章加密技术有:
a)公开密钥的电子签字:将交易的数据文件的关键部分按特定的公开密钥加密。公开密钥是交易双方约定的公共密钥用于加密,且交易的双方都有一个解密密钥用于还原出原文。
B)摘要式的电子签字:与特定的电子文件捆绑在一起,对几个关键字段进行加密。
C)电子邮戳:对交易的时间和关键数据采用安全加密措施。
D)电子身份卡;证实一个用户的身份,交易双方都可不必为对方身份真伪担心,同时也作为对网络访问的权限。电子身份卡是由电子身份认证中心签发的符号文件,里面含一些不可修改的加密信息。
上述的a)和b)在现有的网络电子签章使用比较多,而另外两种也常用于审计。实际上,上述几种电子签章技术也都表现为电子数据,凡是电子数据就容易县制,为了保证电子交易关键数据和电子签章的真实性和可靠性,可采用如下几种审计技术:
1.摘要式实时鉴证技术。审计机构必须装备有先进的计算机网络设备系统,类似我国目前的房产交易不仅通过房产交易中心交易而且还需要公正机构认证,在网络上实时对客户电子签章的关键业务和关键数据进行采集,并存放在审计机构的计算机服务器上,同时根据这些采集的关键数据与电子商务系统相核对及其实施有关审计步骤,而后可实时或定期(按月份)签发电子鉴证证书。鉴证中心(如会计师事务所)是一个权威的公正的第三方(中介)机构也保存有交易的关键数据和有关的双方电子签章,类似于传统的会计师事务所的服务性企业机构。
2.实时备份数据技术。审计机构配备有高级的服务器,与电子商务网站联结,实时同步地记载电子商务交易的全部数据。需要鉴证电子签章时就可谓用审计机构记录的原始数据与之比较,综合其他的审计步骤的结果,即可形成审计意见。
3.关于电子身份卡的签证可直接利用签发此卡的认证中心的认证结果。
4.实时审计程序嵌入技术和插入控制字段技术。可参见下面的网络数据库审计技术。
审计鉴证机构不是做发放电子身份卡和电子支付鉴证的工作,而是对电子商务中的交易进行鉴证。然而,注册会计师可以利用电子签章技术(如用摘要式电子签字和电子邮戳的方法来加密鉴证的数据)来鉴定电子签章。电子商务交易业务的电子鉴证技术是实时的,也是一种由计算机网络技术应用导出的新审计业务,注册会计师必须应用计算机网络技术和专门计算机审计技术来完成这项工作。这些专门的计算机审计技术是不同于传统的,其方法是多种多样的,对它们的研究仍处于起步阶段,还未形成完整的体系。这里的介绍主要把电子签章看作一种特殊的网络数据来进行审计和鉴证,因此下面将要阐述的网络数据库计算机审计技术也可以适用于电子签章的鉴证。
电子商务交易网络数据库的审计技术
对电子商务的网络数据库或数据文件的审计技术主要是为确保数据的真实性和完整性的目的而创立的。计算机注册会计师可利用这些技术获取所需的审计证据,并对这些证据进行评价,从而判断数据是否真实、可靠、完备和合法合规。除了前面介绍的电子签意鉴证技术也可用干网络数据库的审计,下面简要介绍另外四种审计技术。
1.计算机抽样取证、计算比较、综合分析
这项技术是作为审计软件中的一个功能程序块,它可被设计成灵活的通用程序,注册会计师在使用时,可根据需要选择抽取数据的条件和参数,就可立即获得所要抽取的业务数据。这种技术可用于平时的监督(如内部注册会计师或外部注册会计师作为系统的一个终端用户),也可用于外部审计的年度审计。传统审计,注册会计师一般是在一批业务发生后,才来审查这批业务是否合规和真实。在计算机审计技术普遍应用的今天,利用这一技术,注册会计师可实时调取有怀疑的电子商务业务或需要关注的重大经济业务,以便及时提出内部控制的建议来保障数据的完整性。
计算机抽样取证,一般要先设计好条件或参数。譬如,对电子购销业务的审查,要审查的业务是赊销额大于5万元或售价低于正常售价的15%的销售业务;或要审查购入的原材料比标准价高出5%的业务等。这些业务的条件是根据需要而定,有时条件是相当复杂的。
计算机抽取业务记录后可直接由计算机程序自动计算金额数据项的合计额,并与标准或正常业务进行比较,反映出差异等必要的信息。这样注册会计师可做出判断,就可给被审计的电子商务系统提出及时的建议。
2.利用嵌入实时审计软件
电子商务系统需要经常性和实时监督,注册会计师一般可设计一个程序块嵌入被审查的系统中,这个程序块可以采集审计所关心的关键数据。如对计算机非正常运行时间处理各项业务的记录,或对非法调用数据文件处理的记录。另一方面,嵌入的审计程序本身具有隐蔽性、安全性和稳定性。非审计人员是不能看到这些审计程序和自动形成的审计数据。所以,审计人员应用这些审计程序就能自动记载所要收集的审计证据,同时还可随时调阅这些证据文件,并利用这些审计证据适时判断系统运行情况和提出审计建议。
用嵌入的程序采集的审计证据文件,一般分如下几种:不合法而进入使用有口令的程序(如数据修改程序);未经批准而调用某数据文件;超权限使用系统;擅自调阅或修改审计线索数据项或审计证据文件。这项技术对于符合性测试是非常有效的,同时,在某些特殊的情况下也可用于实质测试。由于这种技术的应用,要求在系统设计时,就要把这一该嵌入审计程序块结合进去。这需要在电子商务软件设计标准中对这类审计线索生成的程序进行必要强制规范。
另外,嵌入实时审计程序技术也可用干电子签章的鉴证,其原理和用法是相同的。
3.网络数据实时备份技术
网络实时备份如同手工开具销售发票复写几份一样在不同计算机硬盘上同时记录业务发生的数据备份。而且这些备份数据中至少有一份是由审计鉴证机构保存以便保持其数据的真实性和可靠性,这种方法也是保留审计线索的一种重要手段之一。
许多企业的电子商务系统设计时考虑审计线索的备份技术利用都是不完全的。引起这种不完全的原因是多种的:一是系统设计时审计鉴证人员没有参与,而且没有考虑审计鉴证上的需要;二是要保存审计线索可能要花费更多的开发和运行费用。一般说来前者是主要的原因。这样审计技术的实施对这类业务处理很难提供一个切当而完整的审计线索。要保留这样的审计线索,强调企业电子商务系统开发设计阶段就应当把应保留的审计线索的实时备份技术充分融合到设计过程中。
4.专设审计控制字段
插入审计控制率段是指利用特殊的控制字段与被查的电子商务数据文件的记录或业务建立一种关系或将发生的业务的关键数据加密并加以存储,审计时根据这一特征就能容易收集到所需的审计证据。
篇2
一、文献分类及统计结果
迄今为止,只有少数几位学者对我国计算机审计研究加以回顾。陈伟等(2007)结合国内外的研究,对计算机辅助审计技术(GAATs)进行了总结性回顾,探讨了GAATs的概念和分类,详细分析了GAATs的两类技术,即面向系统的七种GAATs,和面向数据的五种GAATs,并对GAATs研究发展进行了展望。李青春(2011)对计算机审计进行了文献综述,从计算机审计研究变迁的视角出发,探索了其五个发展阶段,并对计算机审计理论体系、核心动力与制约因素,研究者的敏感度、心态变化与用词倾向进行了回顾,认为目前计算机审计研究正处于一种平台期,需要进行理论和实务的突破。刘国瑶(2011)从国外信息系统审计理论的发展,基础理论研究,基本概念研究,应用研究四个方面进行了梳理和简短评述。现有的文献综述主要问题是研究所选取的文献范围比较狭窄,选取标准“有代表性文献”比较模糊,没有对研究内容进行综述,这些不足为本文的研究提供了契机。
本文基于中国期刊全文数据库(CNKI),对1983年~2011年有关计算机审计研究的文献进行了回顾分析,所选取的时间范围设定为“1980~2011”,期刊设定为“核心期刊”,以“计算机审计”、“电算化审计”、“计算机辅助审计”、“信息系统审计”、“IT审计”对“题名”进行“模糊”搜素,然后对搜索结果进行了分类合并,最终根据182篇文献的内容加以分类统计。把对计算机审计的研究分为基本理论问题研究,计算机审计技术应用研究,计算机审计风险问题,计算机审计发展与其他方面的研究四个方面,然后对每一方面再按不同的主题进行细分,进一步分为计算机审计基础理论研究,制度准则问题,计算机技术应用,内容与方法,案例应用研究,风险问题探讨,发展问题研究,人才培养问题,研究综述,其他等十个方面。接着采用归纳法对取得的文献样本进行分类统计,最终得到的统计结果如图1所示。
二、基本理论问题研究
(一)基础理论 基础理论研究集中在计算机审计基础理论和信息系统审计基础理论两个方面,由于信息系统审计发展较快,重要性也快速提高,所以必须从计算机审计中分离出来单独加以研究,统计显示,近10年来对信息系统审计理论的研究比较丰富。关于计算机审计的基本理论,张金城(1995)认为计算机审计的理论体系应由理论基础(哲学,审计学,系统论、信息论、控制论和行为科学,计算机科学,数学等五大学科理论),基本理论(涵义,内容,意义等),实务理论(电算化信息系统审计实务理论,计算机辅助审计实务理论)组成。唐飞兵(2007)借鉴传统审计理论的基本原理,构建了计算机审计理论结构框架,即以审计环境和审计本质作为研究的逻辑起点,利用审计理论基础知识体系,通过审计的本质和特定的审计环境相互作用和互动形成审计目标,并以审计假设为前提,演绎出审计概念和审计原则。关于信息系统审计理论,周剑(2001)从“审计学”的概念出发,探讨了信息系统审计独特的审计职能、对象、方法、标准和证据等问题,建立了企业信息系统审计的基本理论框架。唐志豪(2007)借鉴蔡春教授提出的审计理论结构,从审计的本质出发构建审计理论结构体系,提出了信息系统审计理论结构六要素模型(本质、假设、目标、规范、信息和控制)。谢岳山(2009)提出了信息系统审计的审计目标及审计内容,在此基础上从审计理论基础、审计标准、实践环境、审计方法以及审计工具等多方面提出了联网环境下信息系统审计模型。根据该模型,着重分析信息系统审计的具体内容,提出了相应信息系统的审计内容框架,将审计内容划分为内控审计和系统本身审计两个方面。并从物理层次的审计以及逻辑层次的审计详细描述了系统本身审计的内容。王振武、张子瑾(2011)探讨了信息系统审计理论的结构框架,认为该框架应由信息系统审计基本理论和应用理论构成,并特别指出,信息系统审计环境和信息系统审计本质应是理论结构的最高层次,理论研究的逻辑起点,并起着统驭整个信息系统审计理论结构的导向作用。
(二)准则、规范研究 理论是实践的基础,而准则为实践提供了基本的指导。对准则的研究也分为计算机审计和信息系统审计两个方面的内容。关于计算机审计准则,张德山等(1991)初步探讨了计算机审计工作的规范问题。张金城(1997)首先探讨了加强计算机辅助审计制度建设的意义,然后提出了计算机辅助审计制度建设应遵循的原则,主要包括合法性,针对性,可行性,监控性和借鉴国外相关制度,并从微观和宏观两个方面系统讨论了计算机辅助审计制度应包括的基本内容。刘中华(1998)根据国际审计准则15《电子数据处理环境下的审计》第3条和第9条详细阐述了电子数据处理环境下内部控制的内容,并对此进行了研究与评价。我国的信息系统审计研究起步较晚,讨论一般也是借鉴ISACA的信息系统审计准则展开讨论。陈婉玲等(2006)对ISACA的信息系统审计准则及发展进行了简要介绍,在此基础上,主要借鉴了ISACA信息系统审计准则的体系,内容和制定方式等,提出了制定出适合我国国情的信息系统审计准则的一些建议。马良渝等(2007)辨析了ISA准则体系中标准、指南和程序三个层次的结构关系及标准与指南之间的交叉关系。李汉文等(2010)借鉴了制度经济学的有关原理,在介绍国内外信息系统审计相关规范的基础上,对我国信息系统审计规范供给的非均衡状态进行了分析,认为我国应整合信息系统审计准则制定资源,以便推进我国信息系统审计规范制定进程。刘杰等(2011)探讨了我国信息系统审计规范制定路径依赖的基础,分析了当前我国信息系统审计规范制定的困境,并提出打破现有路径依赖的途径。
三、计算机审计技术应用研究
(一)计算机审计技术研究 对全部182篇文献进行翻阅,手工收集整理论文所涉及的课题研究,发现共有20个课题,其中与计算机审计技术相关的课题13项(4项是国家级),可见国家对计算机审计技术研究的重视,也说明计算机审计技术研究的难度非同一般。对计算机审计技术的研究大致分为计算机技术在审计中的运用和模型构建两个方面,前者对计算机知识的要求相对要高。关于计算机技术在审计中的运用,杨小虎等(2000)探讨了数据仓库技术在计算机审计中的应用。万建国等(2000)分析了计算机审计软件需求分析常用的方法、技术和工具。孙兴国等(2000)讨论了开放数据库互联技术 (Open Database Connectivity)在计算机审计中的应用。张进等(2004)分析了数据清理在电子数据采集中的重要性,在阐述数据清理原理的基础上,研究了解决电子数据采集中常见问题的数据清理方法,并指出了电子数据采集中数据清理的研究方向。文巨峰等(2005)提出了一种基于计算机审计的多Agent系统体系架构,分析了该结构中各子系统的组成及各Agent的功能特点。并介绍了该系统中移动审计Agent和移动Agent服务器设计实现。汪加才等(2006)给出了一个基于移动数据挖掘服务的计算机审计框架模型。何玉洁等(2006)讨论了SQL 查询和OLAP 分析这两种技术在实际审计中的应用成果,展示了它们在计算机审计实践中的特性和前景。米天胜等(2006)分析了计算机审计的一般流程,指出审计数据的采集和采集后数据的清洗、集成、转换是与审计数据质量息息相关的关键环节。在对多种数据质量问题进行了详细分析和分类的基础上,提出了提高审计数据质量的一般处理方法和可实现的技术。黄永平(2006)探讨了孤立点分析方法在计算机审计中的应用。叶焕倬等(2010)为解决计算机审计数据采集中存在的大量字段匹配问题,提出了基于智能匹配的数据采集技术。关于模型构建方面,黄作明等(2000)对审计模式进行了一些归纳和探讨,并提出了几点发展方向。来明敏等(2004)探讨了四种计算机审计模式,即绕过,穿过,利用,在线实时(网络)计算机审计模式。文巨峰等(2004)在综合分析现有计算机审计软件系统基础上,指出网络环境下的计算机审计系统模型应该具有的特点要求,并依此提出了基于移动Agent的分布式审计系统模型。廖志芳等(2006)在深入调研众多被审计单位信息化环境及数据分布特征的基础上,提出了三种符合我国联网审计实际的新型联网审计组网模式,即集中式、分布式和点到点式组网模式,同时利用集中式海关联网审计组网模式对各组网模式的基本组成要素、需解决的关键问题及技术实现进行了较深入阐述。陈大峰等(2009)根据P2P技术下的计算机协同审计的特点,构建了P2P技术下的计算机协同审计模型。唐志豪等(2010)从目标、内容和流程三个维度建立起信息系统审计的业务模型。
(二)计算机审计内容与方法 对于计算机审计内容,学者从不同的角度进行了讨论,杜越强(2004)探讨了计算机审计中的四大内容,即对信息系统输入的审计,对数据库的审计,对网络系统的审计,对信息系统输出的审计。张福蕊(2004)探讨计算机网络环境下会计信息系统审计的内容(硬件,控制事项,处理事项,数据,安全事项)。吴沁红(2008)从信息系统构成要素、信息系统生命周期和信息系统管理三个维度入手,综合分析了信息系统的逻辑结构,构造了信息系统审计内容的基本框架,并对信息系统审计的内容与审计目标进行了阐述。对于计算机审计的方法,李光凤(2001)讨论了对会计电算化系统应用程序的七种审计方法,包括检测数据法,整体检测法,程序编码比较法,受控处理法,平行模拟法,嵌入审计程序法,追踪法。杨莉(2002)探讨了实施信息系统审计的主要方法(加强联网建设,改变审计方式,采用矩阵审计模式等)。罗莉、张亚连(2005)分析了在不同的计算机信息系统建立方法下(应用软件外包法,资源外包法,最终用户开发法),如何进行内部审计和外部审计的分工协作,从而保证信息系统的效率性,安全性,合法性。
(三)案例应用研究 对案例应用研究探讨的多数文献主要是审计署各特派办的人员所发。大量的文献集中在《中国审计》刊物上,这与我国1998年筹划,2002年10月底正式展开的金审工程有关,作为金审工程的主力推动者,审计署特派办人员根据长期的实际工作经验,对相关案例进行整理分析并撰文总结,得出了相应的研究成果。案例应用主要集中在公司和业务两个方面。对具体公司进行计算机审计探讨的有,刘世新等(2002)探讨了商业银行信息化与计算机审计的相关问题。邝作等(2002)对银行业,刘欢(2002)对行政事业单位,蔡峰(2003)对海关等审计中计算机审计案例进行了分析。欧洁等(2004)探讨了证券公司信息系统审计的关键技术。张德勇(2006)利用业务跟踪法对某航空公司进行了信息系统审计,并成功发现了该航空公司使用的收入结算系统中存在非法的销售暗扣处理模块。石勇等(2010)探讨了网络环境下的政府信息系统审计。关于业务方面,张蓉(2002)对金融,郭海鹏(2003)对再贴现业务,李向前等(2003)对税收,全宝(2003)对中央预算执行情况,李娟(2004)对水利建设资金,谭继舜(2004)对商业银行电子系统,史达等(2005)对电子政务,袁章军(2005)对失业保险金发放 ,周廉东等(2011)对城市供水等进行了计算机审计案例分析。张鹏等(2006)论述了信息系统审计在电子政务中应用的必要性和紧迫性,提出了一种电子政务中信息系统审计框架,以控制电子政务信息系统建设和改造项目的建设风险,并为改善和健全对电子政务信息系统的控制提出详细建议。吕成戍等(2007)探讨了电子政务信息系统审计的发起形式、审计责任书的内容与签订、审计工作的实施过程等基本问题。
四、计算机审计风险问题分析
(一)计算机审计的成因、防范与控制 马万民(1999)针对计算机会计信息系统的特点,分析了审计工作中可能会遇到的五种风险(系统风险,错误的连续性风险,人员操作风险,管理风险,环境风险),并对如何有效防范会计信息系统的审计风险进行了探讨。蒋家斌(2001)、曾俊等(2002)、王奇杰(2004)探讨了计算机审计的几种风险(审计软件、人员操作、财务数据、管理、固有风险、控制风险、检查风险)与防范措施(加强人员培训、内部控制审计等)。黄作明(2003)分析了远程计算机审计的风险,并提出了远程计算机审计的风险防范与控制措施。冯淑霞(2006)对计算机审计风险的形成原因做了具体分析,并从审计数据,审计方法与技术,审计方式、被审单位、评述机制等方面提出了控制计算机审计风险的对策。史振生(2008)基于外部监管及信息系统审计视角,探讨了会计信息系统建设中的风险控制与防范措施。
(二)风险量化问题 黄冰等(2007)在科学地分析影响计算机审计风险的主要因素的基础上,建立了计算机审计风险综合评价指标体系,并且将定性指标定量化,进而利用层次分析法确定评价指标的权重。然后,利用模糊数学的方法,建立计算机审计风险的多层次模糊综合评价模型。王万军(2008)提出了一种基于信息系统安全定量评分体系的审计决策模型,这为信息系统审计师在审计时采取何种审计策略提供了参考。丁建平(2009)提出了信息系统审计的CIA风险评估方法和评估模型,并探讨了CIA风险评估商业银行中的应用。
(三)风险理论 胡晓明(2007)探讨了风险导向的信息系统审计,并提出了强化信息系统审计理论,建立完善信息系统审计各项规则,充分利用先进,有效的信息系统审计技术,积极培养信息系统审计领军人才等四点关于风险导向信息系统审计的发展思路。刘国城、王会金(2011)在研究中观审计、信息系统审计、审计风险、风险管理四要素的基础上,对中观信息系统审计风险管理理论进行了梳理,并以信息安全管理为视角,借鉴国外BS7799标准、COBIT模型、通用准则CC、ITIL标准,初步构建了中观信息系统审计风险管理框架,该框架以重大错报风险为切入点,深入探索了中观信息系统审计风险管理的施行思路。
五、计算机审计发展研究
(一)发展问题 张金城(2000)提出了理论研究与实践并重、事前审计与事后审计相结合,由绕过计算机审计发展为以通过计算机审计为主,由查账型软件向分析型和专家系统方向发展,通用审计软件与专用审计软件并存等21世纪中国计算机审计的十大发展方向。于向辉等(2004)分析了我国计算机审计发展落后的法规建设滞后,软件市场不够完善等原因,提出了加快法规建设,发展审计专业软件公司,培养电算化审计人才的发展策略。胡晓明(2005)针对信息系统审计理论研究空白,审计技术落后,制度不完备,审计人才奇缺等现状,探讨了加强信息系统审计理论研究,开发实用高效的信息系统审计软件,改进信息系统审计软件评审机制,完善信息系统审计标准于准则,加大信息系统审计人才的培养力度等五大发展战略。
(二)人才培养探讨 傅元略(1998)探讨了审计人员如何提高计算机审计技能的策略,需要掌握的几种基本技能。李丹(2001)建议了如何利用国际资源建立信息系统审计人才队伍。史振生(2002)介绍了注册信息系统审计师的需求情况,考试内容和应试对策。彭建平(2005)比较深入地分析了如何进行计算机审计人才资源管理的问题。包括计算机审计机构职能定位,计算机审计处人员结构,如何引进IT人才和培养复合型人才,如何为计算机审计人才创建发展平台等。赵辉(2006)探讨了审计部门的计算机人才状况,提出了如何加强管理和培训、提升审计人员能力的若干建议。王海洪(2009)提出了高校应推进实践教学,建设以计算机审计为主要手段的审计实验室,为社会输送高水平的计算机审计人才的建议。
(三)其他方面 高浩玮(2002)针对审计过程各阶段质量质量控制的要点,指出了计算机审计下项目质量控制的难点并提出了解决对策。张倩(2005)论述了信息系统审计在IT治理中的作用、信息系统审计师和审计构架等问题。陈峰(2006)对计算机审计方式下数据分析报告的作用和必要性,基本框架,文档结构,要素内容等进行了详细探讨。
本文基于中国期刊全文数据库,对1983年~2011年发表在核心期刊上的有关计算机审计研究的文献进行回顾分析。我国有关计算机审计研究涉及面比较广泛,包括基础理论与制度问题研究、计算机审计技术与实务应用研究、计算机审计风险问题研究、计算机审计发展问题、人才培养研究等诸多方面,但也存在着对计算机审计基础理论研究不足之缺陷。伴随着计算机审计在我国的逐步应用,关于计算机审计的基础理论必须进一步加强。比如与哲学,行为科学理论、数学等相关的计算机审计基础理论研究还是一片空白,这些基础理论研究的缺失将会掣肘计算机审计理论与实务的研究。理论与实践需要紧密结合,双方形成良性互动才会有力促进学科发展。目前,在案例应用研究的文献尽管比较多,但研究内容不深入,一般都是审计署特派办人员发表的经验总结,而理论工作者又缺少深入实地研究的条件,导致案例应用研究力量非常薄弱,今后在这方面仍需要大力加强。随着信息系统的复杂化,其功能也越来越强大,但其脆弱的一面也越来越明显,计算机审计风险逐步加大,如何防范和规避风险也是以后研究的重点之一。计算机审计人才的培养是审计信息化事业的成败关键,加强这方面的探索将会对计算机审计发展有重大的战略意义。
篇3
关键词:计算机审计 审计事业 信息化
一、引言
简单来说,计算机审计就是指一种以计算机为先进的审计工具来执行经济监督、鉴定和评价职能的审计方式,与传统手工审计一样,计算机审计过程也可分为四个阶段:接受业务、编制审计计划、实施审计和报告审计结果;其中重点是计算机审计实施阶段,包括计算机信息系统的内部控制评价和对计算机系统所产生的会计数据(信息)进行测评。一方面,实施计算机审计是适应会计电算化发展要求的具体举措,利用计算机审计技术能够在一定程度有效地降低会计电算化给审计环境带来的风险,降低审计过程复杂度,防止违规操作行为的发生。另一方面,随着网络和电子商务的不断发展,传统的审计手段和审计线索早已不能满足现实需要,几乎所有的单据和凭证都是以电磁形式存在于虚拟的网络上,使得审计人员必须要通过相应的计算机审计技术和手段才能更好地完成审计工作。
二、计算机审计存在的主要问题
1、相应的理论和审计标准尚不完善
由于我国开展计算机审计制度的时间尚短,在计算机审计的理论和实施方法上面,当前我国还没有一个成形的理论体系和操作流程,许多地方都还有待完善。一方面,由于缺乏具体的操作流程和工作标准的指导,并且以往的很多审计标准已经不能适用,使得审计人员在实际工作的规范性大大降低,很多情况下只能根据自己以往的经验来处理各种问题,这就造成了在工作上存在一定的随意性和主观性;另一方面,计算机审计领域的相关法律法规目前不够完善,立法工作大多尚处在摸索考察阶段,在与国际接轨方面也存在很多问题,使得在计算机审计在面临各种问题和纠纷时往往缺乏相应的法律依据,工作上有时候显得无计可施,难以满足审计工作客观、公正的基本要求。
2、计算机审计软件发展还不成熟
计算机审计软件是审计人员完成审计的必要工具,对于审计工作和审计结果的质量都具有十分重要的影响。目前计算机审计软件主要存在以下两个方面的问题:首先,在审计软件的数据采集方面存在接口和标准不统一的问题。在审计过程中首先需要将被审计单位的相关电子资料转化成审计软件所能的支持的格式,但是目前由于企业和单位的财务软件基本上都是独立开发的,标准不一,相互之间也不存在一定的兼容性,而且为了保护数据安全,对软件数据接口也采取了很多保护措施,这些都给审计工作造成了很大的困难;其次,在审计软件的功能方面还有很多需要完善的地方,目前国内大多数审计软件在研发时都还是主要着眼于传统的手工审计流程,只注重审计程序的完备性,而忽视了软件本身对审计过程中各种可能出现的问题的适应性。另外,在功能上大多没有强大的数据分析功能,在一定程度上限制了计算机审计优势的发挥。
3、计算机审计人才不足
当前我国在计算机审计人才培养方面是严重滞后的,这在很大程度已经严重影响了计算机审计工作的正常开展和长远发展。首先是高校在这方面人才的培养上针对性不强,虽然有些高校开设了计算机审计课程,但是大多停留在理论教学层面,缺乏对学生实践动手操作能力的培养,使得学生对实际的审计流程没有一个清晰的认识;其次在国家审计系统中我国已经形成了一批计算机审计骨干队伍,但是在注册会计师审计方面在存在比较严重的资金投入缺乏、人才培养淡薄的问题,其中各种软硬件设施建设不到位、资金投入跟不上是主要原因,这些因素都在一定程度上限制了计算机审计在注册会计师审计领域的发展和应用。
三、做好计算机审计工作提出了几点对策和建议
1、完善审计标准和工作流程
计算机审计工作的标准化对于提高审计质量具有十分重要的作用和意义。在标准的制定上,可以充分借鉴国外的先进技术和经验,以便加快标准制定的步伐;同时要考虑到当前我国计算机审计发展的实际情况和计算机审计人才队伍的整体水平,重点要切实消除传统审计工作流程中的一些已经不能适用的审计标准和准则。另外,在制定标准时要注重对计算机系统内部控制的评价、对计算机审计过程和相关审计技术以及证据收集等方面做出规范。
2、大力研发计算机审计软件
在计算机审计软件的研发过程中,要求软件开发人员要深入到计算机审计工作一线,加强与软件使用者的沟通和交流,保证软件的实用性和有效性。重点是要制定出统一的财务数据接口,提高数据采集和转换的效率,为此应该加强对财会软件市场的监管力度,要求市场上的财会软件在开发过程中必须满足相应的数据接口标准和规范,以便更好地作用于审计软件的推广和应用工作。
3、加强计算机审计人才的培养
培养和造就一大批高素质的人才队伍是加强计算机审计工作的关键。为此,各大高校要在人才培养发挥出应用的重要作用,一方面要提高计算机审计专业师资力量的储备深度,积极组织该专业的老师参加实际的计算机审计工作,积累足够的实际操作经验,为人才培养打下良好的专业基础;同时在计算机审计专业学生培养方面,要采取理念教学和实践操作并重的教学理念,并且在课程设置上要增加一些计算机基础、网络和数据库等方面的课程,使学生全面掌握计算机审计的相关知识,为将来的实际工作和技术创新积蓄力量。
四、结论
需要说明的是,计算机审计不仅仅是一种技术手段和工作方式上的创新,更重要的是一种审计观念上的革新。计算机审计工作从业人员必须首先从思想上转变认识,切实消除那些传统的落后的审计理念,提高对计算机审计工作流程和标准规范的认识和理解,以便更好地完成好本职工作。另外,计算机审计在我国尚处在一个发展上升时期,要注意在实际工作中积累经验,发现问题,解决问题,使我国的计算机审计事业在发展中不断得到完善和提高。
参考文献:
[1]陈淑芳.审计机关开展计算机审计存在的问题及对策[J].财会月刊,2007,(27).
篇4
关键词:计算机审计;县级审计机关;困难;对策
中图分类号:F239 文献标识码:A
收录日期:2014年11月18日
从广义上来看,计算机审计是在信息技术环境下发展的审计技术方法的总称;从狭义上来看,计算机审计可以包括对计算机产生的电子数据的审计以及对信息系统本身的审计。简单的来说,就是审计人员在审计实施过程和审计管理中,利用计算机技术、手段辅助完成审计工作。随着信息技术和经济形势的发展,计算机审计在审计工作中越来越具有重要意义。
一、计算机审计的重要意义
(一)计算机审计是审计事业发展的必然要求。随着信息化技术的发展,大部分被审计单位已采用财务软件做账,基本全面实行会计电算化。审计单纯采取传统的手工审计方法已不能适应时代的发展要求。被审计单位已经从手工做账变革到了采用诸多的财务软件做账,大部分的数据资料都存储在在磁盘、光盘中,只有通过计算机才能读取,肉眼无法识别,审计也就应当从传统的手工审计方法演变为计算机审计。
(二)计算机审计是提高审计效率的有效途径。随着经济社会迅速发展,被审计单位经济业务的增多,审计项目的逐年增加,县级审计机关的工作任务也成倍增长,然而大部分县级机关人员不足,人少事多的矛盾越来越加深。审计任务不能少,审计监督不能缺,要想做到兼顾全局,就只有利用计算机审计,提高工作效率。
(三)计算机审计是审计作业规范化的有力保障。目前,在国家审计系统中广泛运用审计署开发的一种名叫“现场审计实施系统”,也被称为审计师办公室,英文名称Auditor Office(简称“AO”)的审计软件。这个软件是金审工程建设的重大成果,是国家审计信息系统的重要组成部分,是审计人员开展计算机审计、强化审计项目管理、实现审计信息共享的重要系统。审计人员可以在这个系统中完成整个审计工作,包括建立审计项目、数据导入、数据分析、审计疑点、审计底稿、审计报告等。在“AO”中,审计步骤都有严格的流程、审计内容都有统一的模板,为审计工作提供了方便的同时也规范了整个审计作业。
二、县级审计机关计算机审计面临的困难及原因
(一)审计人员观念更新慢,对计算机审计认识不足。特别是对于县级审计人员来说,难以适应从传统的审计方法改变到计算机审计的变革,会有一定的抵触情绪,觉得计算机审计太难、太复杂,写计算机语句所花精力比人工审计的还要多。
(二)县级审计人员计算机审计水平整体有限。主要是体现在三个方面:一是县级审计人员与计算机审计 “五能”(能获得被审计单位电子数据、能将数据导入到审计人员的计算机中、能使用审计软件进行查询分析、能在审计现场组建网络、能排除软硬件常见故障)差距太大;二是与传统审计相比,计算机审计需要发掘审计疑点、收集审计证据的审计新方法和新技术才能实现审计目标。县级审计人员还依然用手工审计的传统方式进行计算机审计,所谓计算机审计也只是简单的进行数据筛选和汇总;三是县级审计机关计算机专业技术人才难以引进。由于工作环境、待遇各方面的原因,县级审计机关无法吸引计算机专业人才。要引进既懂财务审计专业知识又具备计算机专业技术,特备是精通数据库的复合型人才,更是难上加难。
(三)计算机审计线索更为隐蔽。传统的手工审计是通过顺查或者逆差等方式对纸质资料如会计报表、会计账本、会计凭证等进行审计,查找线索。但是,现在的电子数据处理系统中,大量的资料肉眼是看不见的。会计及相关人员可以毫不留痕迹的消除、修改、损毁各种电子数据和程序,令审计人员无法察觉。这样就必然加大了审计工作难度和审计风险。
三、推进县级审计机关计算机审计的对策
(一)大力宣传,转变观念,积极主动地加强计算机审计学习。立足于审计事业的长远发展,宣传教育县级审计人员,计算机审计势在必行,是每个审计人员必须掌握的技能。从思想上接受,克服各种不良情绪,主动的去学习,去运用。
(二)采取多种学习方式,提高审计人员素质。县级审计机关作为审计的前排兵,任务重,人员少,很难有时间和机会能系统的去学习计算机知识。只有采取定期或不定期培训、自学、开交流会等多种方式,组织安排学习,最大限度地投入学习,突出培训的实用性,让审计人员尽快的学以致用。例如,审计署每年都在组织AO实例和审计方法评比活动,并将优秀实例和方法在审计系统传阅学习,让审计人员充分认识到计算机审计的好处。尽量争取和积极参加上级审计机关组织的计算机审计培训,基层审计机关领导要安排相关的审计人员参与培训。
(三)加强计算机审计法制化建设。我国最早的有关计算机审计的法规是1993年9月的《审计署关于计算机审计的暂行规定》;1996年12月颁布了《审计机关计算机辅助审计办法》;2000年国务院办公厅的《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》,这些都是审计部门利用计算机信息系统开展审计工作的重要依据,为在高新技术条件下加强审计监督提供了重要的保证。但是这些法规内容重叠、层次性差,未形成一个完整的计算机审计规范体系,显得比较杂乱。可进一步规范计算机审计,出台各种办法、审计准则,细化计算机审计的标准、程序、方法等。在制定标准时,可侧重于对计算机系统内控评价、电算化审计过程和相关审计技术以及审计取证等方面做出明确的规范。这样能让审计人员有法可依、有章可循。
(四)制定标准,规范会计信息系统。目前,市面上有用友、金蝶、新中大、管家婆、浪潮等多种会计软件。这些会计软件在内控方面都不严密,审计线索隐蔽,增加了审计难度和风险。可从以下两方面规范会计信息系统:一方面制定会计软件系统内控功能的标准,体现出软件功能的先进、可靠、安全和完整性。可借鉴国外的先进经验,例如美国通用型会计软件的总菜单下共设总账、采购、库存、成本、工资、固定资产、应付款、应收款和销售、九个模块,每个模块都按照设定、处理和输出三项来建立的比较完善的内控功能;另一方面会计软件系统使用必须有统一的标准和规定,严格规范软件使用人员的会计行为。
主要参考文献:
[1]曾希国,王小平.县级审计计算机运用的三难与四策[J].审计与理财,2012.8.
篇5
一、做好审前调查工作,是搞好计算机审计的前提
该医院收入来源复杂、业务往来频繁,年资金收入上亿,因此在审前调查中做好数据分析整理工作,对于提高工作效率、降低审计风险尤为重要。做好审前调查,重点在完成以下几个方面的工作:
(一)做好调查了解工作。一是了解其信息化组织情况及实现程度、财务系统软件和业务系统软件的主要功能和特点、数据流向关系。二是掌握当年适用的法律、法规,尤其要收集掌握好现行的有关医疗收费标准和药品加价标准。
(二)完成业务数据的采集转换工作:经过调查了解该医院业务信息系统为SQL server数据库系统,数据结构较复杂、数据容量较大、字段含义明显。涉及收费、药品、卫生材料等多个方面,且同一类数据分成多个表存放,为便于审计,需采集审计需要的主要数据表和主要字段,主要数据表是:药品销售情况表、药品库存及发出情况表、医疗服务收费情况表、卫生材料销售情况表、卫生材料库存及发放表,数据可以存在多张表中,表之间必须有关联代码。选定需要的数据表和主要字段后可将这些数据转换成为SQL SEVER备份数据库。在SQL server中还原所备份数据库后,根据取得的数据字典,汉化数据表数据结构,为下一步的数据分析作好准备。
(三)完成财务数据的采集转换工作。该医院使用的财务软件在现场实施系统中没有转换模版。需在后台数据库中找出科目表、科目余额表、凭证表等三张主要表,利用AO中采集财务软件数据库功能将其会计信息导入AO系统中。
(四)完成数据验证工作。为避免数据采集过程中发生遗漏,排除被审计单位有意识隐瞒部分数据的可能性,保证电子数据的真实性、正确性和完整性,在完成原始数据导入后,必须利用财务数据系统和业务数据系统的关联关系,对所导入数据的真实性完整性进行测试。主要涉及核对记录数和核对总金额两个方面。
(五)完成系统流程测试工作。在对数据及数据结构进行初步分析的基础上根据系统流程,判断数据流程中控制点的设置及执行情况,分析可能存在的问题和漏洞。
二、审计实施阶段中灵活使用不同的计算机辅助审计方法,达到事半功倍的效果
目前,在医院审计中运用的较广泛的计算机辅助审计方法,主要有现场审计实施系统、SQL server查询、Excel计算等,都取得了较好的效果:
(一)利用SQL SEVER数据库查询功能做好收费系统的审计。医院收费主要涉及医疗服务收费、药品收费、卫生材料收费等三个方面。以医疗收费项目审计为例:
第一步:利用“Select *”语句,一是将医疗门诊及住院收费情况表与物价局批准的收费标准对比,查找是否存在超标准收费、无依据收费情况,筛选出超标准或无标准收费记录;二是查找是否存在单个患者接受重复检查项目;三是通过查找单个患者平均每天接受单项医疗服务时间,确定是否存在超出正常时间范围的收费项目。
第二步:浏览查找结果,分析所筛选数据的合理性和正确性。
第三步:针对上述筛选数据,查阅纸质资料,逐项落实。
第四步:制作纸质审计证明材料汇总清单,以被审计单位确认签证。
利用SQL SEVER数据库查询功能,从几百万条医院收费记录中,发现了该医院无标准、超标准收取医疗服务费、超标准收取卫生材料费、超标准药品加价和超范围收取公费医疗费用等问题。
(二)利用AO,做好会计信息系统审计。
第一步:浏览电子账簿,从“科目余额表”中检索各会计科目的科目余额,了解收入、支出、往来及资产负债状况,并与会计报表核对。
第二步:使用“科目明细账审查”、“会计科目审查”、“日记账审查”、“凭证审查”功能开展账表分析,重点关注二级、三级科目中“其他收入”、“其他支出”、“其他往来”。
第三步:根据需要检索相关记录,进行疑点管理,查阅原始凭证,逐项落实。
利用现场审计实施系统审计组发现该医院违规与其他经济组织合作项目分成、违规提取大额劳务费等问题。
(三)利用Excel计算功能计算个人所得税。
由于医院是公益性事业单位,所涉及的国家税收主要是个人所得税,审计组利用Excel计算功能非常便捷地计算出该院全年应交个人所得税。
篇6
甫瀚咨询连续多年持续对内部审计能力与需求开展调查。根据近几年的调查结果显示,无论企业规模的大小,计算机辅助审计技术(CAAT)及数据分析的重要性都得到持续的关注,成为内部审计职能亟待提升的五个主要领域之一。内部审计师有意加强其在计算机辅助审计工具以及持续审计和监控技术方面的知识水平。同时,内部审计职能部门也打算充分利用一些更高级的数据分析工具来支持风险管理及企业整体业务目标的实现(见图4)。
二、如何实现内部审计信息化
与传统内部审计相比,内部审计信息化的目标是逐步实现以下几方面的转变:一是逐步实现审计管理工作从手工转变为系统化;二是逐步实现从手工查账的审计转变为运用计算机对电子信息数据的审计;三是逐步实现从财务数据的审计到对包括财务和业务数据同步审计,以及信息系统的审计;四是逐步实现从事后审计转变为以在线监控为主,事前、事中和事后相结合的审计。内部审计信息化建设将重点关注内部审计信息化的两个热点:内部审计信息系统建设和计算机辅助审计工具的使用。
(一)内部审计信息系统建设
1.系统选型和设计原则。内部审计信息系统的建设,是为了更好地履行内部审计职能,提高内部审计工作效率和管理水平,实现内审工作从手工化向信息化、自动化、智能化过渡,更好地服务于企业业务运营、风险管理与防范反舞弊等方面的工作。因此,在进行系统选型和设计时,应充分考虑企业的信息系统建设现状、内部审计工作的需要并结合国内外成熟的IT技术及项目经验。建议考虑的两个基本原则如下:一是业务系统尚不完善时暂不考虑通过系统支持审计持续化。对于信息化程度相对不成熟的企业,如果业务系统的建设尚处于初级阶段,对业务流程和运营的支持力度有较多的提升空间,或者对信息系统的建设将发生较多和较大的变化,建议在审计信息系统选型和设计时优先考虑实施审计流程管理系统,而暂缓考虑系统对审计持续化的支持。否则,一方面业务系统可能无法提供审计工作持续化所需要的信息和数据,另一方面,业务系统未来不断地变化和发展将导致审计信息系统需要不断变化并与之适应,带来巨大的成本。二是业务系统完善并且审计职能有需要时可考虑通过系统实施审计持续化。如现有业务系统环境允许,可根据实际情况考虑实施成熟的GRC系统或开发设计完整的内审系统。一些ERP厂商提供了风险管理、内控和内审相关的产品,例如SAPGRC,它能够与SAPERP系统整合在一起,方便地实现对业务流程控制的及时监控和风险防范。对于已经实施和使用SAPERP系统的企业来说,实施SAPGRC可以实现与ERP系统的无缝集成,并极大地减少系统开发和定制的工作量。而对于其他一些企业,如果使用的业务系统种类繁多,可能会需要开发和设计与自身业务系统接口的内审系统以支持持续性审计。2.审计流程管理系统。在建设审计流程管理系统时,应与现有内部审计业务工作进行无缝对接,满足内部审计工作各环节需求。根据审计业务工作流程,通常审计信息系统至少具备以下基本功能(见图5)。3.与业务系统集成的持续审计系统。在设计与业务系统集成的持续审计系统时,应充分考虑前瞻性、战略性、可拓展性、具有商业智能,使其向满足实际工作需求、便捷高效、具有强大分析及决策支持功能的、覆盖内审工作各环节的内部审计信息系统。对于其功能可考虑如下方面:一是实现与现有各业务信息系统数据自动抽取和实时交互,利用先进数据仓库、数据挖掘技术,实现内部审计数据来源自动化、实时化、可视化;二是建立拓展性强、部署灵活、配置便捷的内部审计信息系统,更好地适应企业内审实践的逐步优化、变更和完善,打造面向未来的、具有前瞻性、创新性的内部审计信息化解决方案;三是采用先进的信息技术和商业智能工具,打造具有高度智能的、多维度分析与报表展示及决策支持功能的内部审计信息系统(见图6)。
(二)计算机辅助审计技术
(CAAT)的运用在建设与业务系统集成的内审信息系统尚不成熟的情况下,内审部门也可借助CAAT的运用,对业务系统中的数据进行统计分析,提高内审工作的效率。使用CAAT的好处包括:一是在审计的样本测试时可选择全部样本而非抽样进行测试,使审计范围覆盖面更完整,测试结果可靠性更高且提升效率;二是可以用来进行趋势分析、异常分析和对比分析,有助于发现舞弊的危险信号;三是可以从不同角度为管理层提供更有价值的改进建议。常用的CAAT工具有ACL、IDEA、MicrosoftAccess和MicrosoftExcel等。
三、内部审计信息化建设的难点与解决方案
篇7
一、通过现场连接,建立审计基础数据库
审计人员在对地税征管平台有一个基本了解的前提下,现场登录“山东地税综合信息管理系统”,从而获取了“基本信息库”、“征收库”、“申报库”、“登记库”及“票证库”等基础数据库,然后存储到审计人员的移动硬盘,利用SQLserver或Access软件将数据库表导入Access数据库中,初步建立起计算机辅助审计的工作环境。随后,审计人员对获取电子数据的真实性、完整性、准确性进行检查和测试,将拷贝的地税数据与地税会计统报表、金库报表分别验证一致后,依托计算机数据处理技术实现数据共享和数据处理成果共享,再根据审计分工对相应的数据进行分析、甄别,确定审计重点,从而加快了审计数据的分析处理和传递速度,实现了与地税征收、管理、申报、登记等主体业务的全流程贯通和融合。
二、围绕审计重点,搞好数据整理分析
一是对纳税人已缴入库税款的详细数据库,采用数据筛选、分类汇总、数据关联查询、分析、对比等辅助审计方法,对所有纳税人的已入库税款分税种汇总、排序,取得全部纳税人缴纳各项税款的详细资料。二是通过对欠税原始数据库进行欠税时期筛选、数据透视分税种汇总、数据关联查询等数据处理,分清欠税期限,摸清欠税规模,全面掌握地税部门陈欠、新欠税收的增减变化趋势。三是通过取得的纳税人纳税详细资料,对税源大户进行重点抽样检查,与纳税信息进行对比,找出税收增减变动的原因,针对税款整数入库现象及对流转税和城建税的对比分析,发现异常比率,确定疑点纳税户,再手工查阅征管资料,掌握其应缴各项税额,对照已入库税额,发现少征漏征税款问题,进而审查地税部门是否征收预交税、重复税和人情税、过头税等问题。四是针对近几年各地相继出台“引税”政策、相互挖挤税源、侵占其他区域税收的问题,通过入库税票数据库,对特殊单位代码进行分析和筛选,查出未在征收税务机关登记而在其区域纳税的情况,掌握挖挤侵占其他区域税收的审计线索,维护税法的严肃性。五是通过对入库日期超过限缴日期的纳税记录的分析处理,掌握延压企业税收的规模、各税种情况,查出地税部门延期积压当期税款和人为调节税收的问题。
三、抓住审计重点,开展辅助审计
(一)对少征税收的辅助审计
通过获取的入库税票数据,确定下载数据中税款的所属期,要求与纳税单位征管资料反映的税款所属期时间相一致,再通过对入库税票数据进行分单位分税种的汇总处理,取得“重点税源户征管情况表”,并在此基础上进行抽样分析,确定少征税收审计疑点,形成“审计疑点情况表”,作为审查地税部门是否存在少征漏征税收的重要依据。具体操作步骤是:一是对数据在6万条以下的入库数据的处理。首先用Excel的“数据透视”功能,按纳税人识别码(以下简称“单位代码”)分类汇总,单位代码作为电脑识别的唯一分类标识,用以汇总纳税人缴纳各项税款的数据最为精确。而且在户管清册表中,一个单位代码也只对应一个单位名称,利用Access数据库软件,将上述已经按单位代码分类汇总的电子表格与户管清册表格,通过连接查询功能,将与单位代码一一对应的单位名称显示出来,按顺序排列在分单位分税种表格中,使审计人员能一目了然地掌握所有纳税人缴纳各项税款的情况资料,并从中发现疑点,找出问题。二是对数据量在6万条以上的入库数据处理。因为数据容量无法在一张Excel电子表格中完成,为此下载数据时应采用选择税种分段下载保存的方法完成。对用税种分段方式下载的数据量巨大的入库数据,在操作过程中要分别对分段下载的入库数据进行数据透视和连接查询,产生若干“分单位分税种汇总表”,然后在Access查询中将各个分段税种表进行连接查询,显示各表中所有税种字段,将分开的税种合并到一张“分单位分税种汇总表”中,完成“重点税源户征管情况表”的数据处理。
(二)对欠税的辅助审计
对欠税数据库,即开票未入库数据,采用划分欠税所属日期、数据透视分类汇总等计算机辅助审计方法,摸清欠税规模,分析欠税成因,真实反映欠税总体概况。下载的欠税数据库应为系统中原有的开票未入库税票数据,即从审计开始年度以前存在、至下载之日止的开票未入库税票数据。具体操作方法和步骤是:打开欠税数据表,找出审计期间内欠税期限比较长,从系统开始运行到下载日为止的开票未入库数据,用Excel的自动筛选功能,分清欠税时段,将新增欠税和以前的陈欠分开,掌握陈欠和新欠的规模,了解地税部门压欠管理水平,反映欠税突出、压欠力度不够的问题。
(三)对挖挤侵占其他区域税款的辅助审计
通过对入库税票数据库殊单位代码进行分析、筛选等进行计算机辅助审计,查出纳税人未在征收税务机关登记而在该税务机关纳税的其他区域缴纳税款的情况,取得挖挤侵占其他区域税款的审计线索。地税系统纳税人单位代码是按区(县)局、分局等要素有规律制定的,对纳税人而言是唯一的,计算机开票的前提是必须有纳税代码。但地税部门有时对临时发生的纳税行为以“**”开头作为特别号。对此通过入库税票数据,对单位代码中的临时编码或异常编码进行筛选,分析在“空号”中征税的原因,剔除正常情况下列入“空号”入库的纳税人,即临时建筑安装队和开具完税证集中入库的个体纳税人等因素,筛选出未在征收税务机关登记,而在该税务机关纳税的其他区域税源户,取得挖挤侵占其他区域税款的审计线索。
(四)对延期积压税收的辅助审计
延期积压税收辅助审计是对入库税票数据,利用Excel的数据筛选功能,将入库日期超过限缴日期的纳税记录进行分析处理,掌握延压企业税收的规模及税种,查出地税部门延期积压当期税款,人为调节税收的问题。基本方法是(以2003、2004年度数据为例):如打开一张2004年入库税票电子表格,关注“税款所属期”和“入库日期”两个字段,正常情况下,税款所属期为2003年1-11月份税款,限缴日期(入库日期)应该为2003年1-12月。在入库税票数据中,若发现税款所属日期为2003年1-11月的税款,入库日期显示为2004年,即可断定其入库日期超过了限缴日期。具体操作步骤:
1、筛选限缴期以内的税票记录。用电子表格打开入库税票数据库,点击“数据”选项下“筛选-自动筛选”功能,每个字段右边会出现一个带箭头的复选框,在“税款所属期”字段点击复选框,选择“自定义筛选”,设置查询条件为“不包含”2003年12月“与”“不包含”2004年,点“确定”显示筛选结果。
2、筛选入库日期超过限缴日期的税票记录。在“入库日期”字段点击复选框,选择“自定义筛选”,设置查询条件为“大于”2003年12月25日,(该日期为2003年的限缴日期),点“确定”显示筛选结果。
3、剔除查补税款情况。由于查补税收入库日期滞后,在次年入库属正常现象,因此暂时应在超过限缴入库期税票记录中予以剔除。在“申报类型”字段点击复选框,选择“自定义筛选”,设置查询条件为“正常一般”与“正常代扣”,点“确定”显示筛选结果。
4、保存为另一张工作表。将上述筛选结果复制,粘贴到另一张工作表中,取名为“延压入库税票记录”。
5、处理整理“延压入库税票记录”,分析对比延压税款情况。对“延压入库税票记录”进行分单位分税种汇总,取得延压入库税款的详细情况,并与上年同期进行对比,分析延压企业及税种等情况,掌握人为调节税收进度的原因。
(五)对未按属地征管的辅助审计
运用Excel在全系统的入库税票总表中,将“市直”和“所属税务机关”两个字段的编码进行对照分析,“市直”字段由2位数的编码组成,代表纳税人的地理区域即经营地点所在区域,“所属税务机关”字段由2位数的编码组成,筛选出地理区域和征收税务机关区域不相符的纳税人,即为未按属地征管的纳税人。
(六)对漏征漏管的辅助审计
漏征漏管辅助审计的基本方法,就是通过运用Access查询,将一个年度入库数据资料和其中的正常户管资料进行对照分析(即对两表中的“纳税人识别号”进行对照),在征管清册资料中剔除“已纳税户”、“零申报户”、“注销户”、“非正常户”,筛选出既未申报又未纳税的经营户,这些既未申报,又未纳税的经营户反映出地税局对漏征漏管户的控管环节存在漏洞,具体步骤是:
1、导入数据并调整数据类型。打开Access数据库,点击“文件”选项下“获取外部数据”,导入“入库数据表”和“正常户管清册数据表”,在Access表的“设计”状态下,将两表的“纳税人代码”的数据类型调整一致,均调整为“文本”型,建立两表之间的连接查询。
2、筛选“未入库的正常户管资料”。在Access查询中,点击“查找不匹配项查询”,按照向导提示操作,先双击“户管清册数据表”,再双击“入库数据表”,下一步选择两表的匹配字段中的“纳税人代码”,点击“<=>”符号,“在查询结果中所需字段”框中选择所有字段,指定查询名称为“未入库的正常户管资料”,完成查询,并生成“未入库的正常户管情况表”,此表中已经剔除了“注销户”、“非正常户”和“已纳税户”。
3、剔除“未入库的正常户管情况表”表中“零申报户”。将已经拷贝的“零申报情况表”导入到Access表中,将“纳税人识别号”数据类型改为“文本”型,在“查找不匹配查询向导”中双击“未入库的正常户管情况表”和“零申报情况表”,选择两表的匹配字段中的“纳税人代码”,点击“<=>”符号,生成查询结果为“未申报未纳税正常户管”的资料,点击“运行”显示查询结果。
4、生成表查询。点击“查询”选项下的“生成表查询”,对上述查询结果进行查询,重新取名为“未申报未纳税正常户管情况表”,然后再运行一遍查询结果,将新表保存在Access表中。
5、初步分析。在上述表中,发现“税管员”字段名下有“非正常”户,同时还发现有“社保”户和新登记户(未确定税管员,显示为“征收所”),剔除这些非正常因素,才能初步确定漏征漏管户。
6、剔除非正常因素。新建查询,添加“未申报未纳税正常户管情况表”,双击该表中“*”,再双击“税管员”,取消显示栏中“√”标识,条件栏内输入“<>非正常”、或“<>征收所”,运行查询结果,显示相应的记录数据。
7、再做生成表查询。点击“查询”选项下的“生成表查询”,对上述查询结果进行查询,重新取名为“漏征漏管线索情况表”,然后再运行一遍查询结果,将新表保存在Access表中。
篇8
1.1系统风险
系统风险的范围十分广,也是计算机审计最致命的风险。系统风险分为软件环境风险和硬件环境风险。计算机系统是非常复杂的,在文件的记录或操作中由于规范、标准等不统一,进而产生了风险。计算机网络系统是一个开放的系统,其通过互联网及数据库管理系统进行管理,这样就有可能受到外部网络影响,如病毒、黑客的入侵,这些都严重威胁着计算机审计系统的安全。
1.2系统控制风险
系统控制风险是因为审计系统控制不严密造成的。我们知道,传统的审计工作是人与人之间的监督与控制,而在实施电算化以后这种情况就发生了变化,主要表现为人和机器的双重控制,且以对机器的控制为主。审计对象的变化使审计风险发生了转移,审计人员需要对软件开发商在设计软件时嵌入到程序中的内部控制软件方面的内容进行测试,而这些对审计人员而言是一件难度极大的任务。
1.3数据风险
数据风险主要指数据为人为破坏的风险。传统的审计资料是纸质的,人为修改后会留下痕迹,所以篡改的可能性不大。而在运用电算化系统以后,人为篡改数据就不会留下痕迹。特别是系统内的计算公式,被篡改后将导致财务报表的严重失真。由于财务人员并不了解系统如何计算的,所以即便是产生了很大误差也难以发现。对此,审计人员只能靠自己的判断力和经验了。
1.4审计软件风险
审计软件风险是指软件自身的缺陷引起的风险。审计软件没有经过权威部门评审或没有定期升级更新,都会造成软件的不稳定,进而内部的审计核算方法与会计核算不一致的情况。在软件开发中,审计人员不懂软件开发,所以无法将使用需求表达清楚;开发人员不懂审计业务,开发起来同样面临着巨大困难,这两点因素会造成软件在开发之初就存在缺陷,进而影响审计计算、分析。
2、审计风险的规避策略
2.1审前调查,获取充分、准确的信息
在开展审计工作前,应对被审计单位的组织结构进行一系列的详细的调查,对计算机审计系统的软件及硬件有一个大致的了解。针对系统做出详细的评估,如软硬件、技术文档、开况、数据等。据此提出可行的、能满足审计需要的数据采集对象及采集方法。采集的数据必须保证是审计期间的财务数据且都是“结账”后的数据。对纸质凭证等数据进行核对,电子数据应制定责任承诺书,确保提供的电子数据是真实的,数据失真将受到相关责任制度的处罚。
2.2开发和使用计算机审计软件
开发专业的审计软件,通过审计软件来直接房问被审计单位数据,进而完成数据的复核,减少数据索取的繁琐环节,提高工作效率。为给计算机审计打开通道,就必须根据实际需求开发审计软件。尤其是数据采集上,审计软件要有非常的兼容功能,能够访问不同介质、不同编码、不同类型的数据库,进而消除“瓶颈”。在审计软件的应用,要建立完善的应用责任机制,提高审计的威慑力,进而降低审计风险。
2.3加大审计培训力度
大多计算机审计人员是由传统审计转换过来的,审计专业知识较扎实,计算机能力欠缺,所以在计算机审计风险防范上不足。随着计算机技术的广泛应用,审计线索、审计内容、审计技术等都发生了改变,这就对审计人员提出更高的要求。一名高素质的审计人员,不仅要具有扎实的理论知识基础,还要计算机及计算机网络有一定了解,能够熟练操作计算机。因此,加强审计人员应用计算机能力的培训,是当前亟待解决的控制计算机检查风险的首要任务。
2.4加强审计网络的建设工作
网络是计算机审计的前提条件,所以应该有健全的计算机网络。由于我国计算机网络及软件开发较晚,计算机审计的开展存在一定的限制。计算机审计必然要以审计软件为工具,所以必须加快审计软件的研究与开发。有自主研发和委托开发两种模式,其开发中要注重审计软件与会计软件的结合,这样就可以把两个网络联系起来,以便更迅速地获取审计数据,节省工作时间,提高工作效率。
2.5创新审计技术
篇9
计算中心几位主任一直想就特派办的计算机审计工作召开一次会,可是金审工程二期的事情一直没有一个大致的定论,拖了许久没有开起来。特派办的计算机审计工作也有很多要研究的内容,至少听听大家的反映、集中地讨论一些问题还是必要的,将来如果有机会、有条件,希望署机关和特派办还是要多交流交流。很多特派办做得非常好,比如刘汝焯特派员老给外单位讲,今后也可以给自己人讲一讲,我们应该给他、给搞得好的特派办提供一个讲台。所以今天这个座谈会尽管晚了一些,但还是非常必要。
近十年来,特派办的信息化建设和计算机审计工作成绩相当突出,取得的成果相当丰厚。李审计长讲之所以这两年审计在社会上反响很大,或者说引起了不小的震动,很大程度上应当归功于信息化建设。客观地分析一下,尽管很多工作是由署机关业务司组织,但工作是特派办具体做的,是他们运用先进的方法,在金融、社保、投资、农业等审计领域,发现了许多重大问题,所以才有社会各界的专家、群众、老百姓,每每见到我们伸大拇指,说审计这两年搞得不错。当然也听到个别人说,你们审计这两年出了风头了,说得不好听,那肯定是触及到了他自己的利益,但是我们维护了人民的利益、国家的利益。这些成果的取得,与特派办运用信息化手段是分不开的。
特派办计算机审计经验的概括和总结,近几年也出了不少成果,宏观方面有审计方式的探讨,技术上有多维分析、信息化条件下的舞弊特征发现,很多特派办出了案例集。最近我们正在总结审前调查、数据分析报告、数据审计、信息系统审计方面的经验,草拟指南或者准则,这些经验大多数来自于特派办实践。这些宝贵的经验和探索,为我们规划金审工程二期,建立准则体系和标准体系提供了很好的素材和经验。
特派办计算机审计工作的成绩不在这里详细总结了,先说一下我看到的不足。
第一个不足就是各个特派办计算机审计工作发展不均衡。从各个特派办给审计署报送的相关资料看,无论是形成经验的频率,取得成果的频率,还是报送材料的频率,不均衡,甚至可以说差距很大,而且这个差距还有逐步拉大的趋势。做得好的特派办是突飞猛进,做得差的可能是原地踏步,有的还退步了。实际上审计署对大家的要求是一样的,本来不应当差得太多。通过我们做一些工作,有的单位有一些起色,可是还有一些特派办比较被动,向前追赶的时候不是很得法。
第二个不足是与自己的条件和环境相比,有的特派办计算机审计工作水平不高。跟地方审计机关相比,按照特派办现在的技术、人员素质、设备,基本上都能满足工作需要,但是成果与条件环境不成正比。过去李审计长表扬过湖北省老河口市审计局不买汽车买电脑,作为特派办还不会出现这种情况。但是有的特派办在计算机审计方面比较被动,有条件、有环境却看不到成果,这就不对了。我想即使冲着抓大案要案、考核拿分,计算机审计工作也应该冲上去,因为很多大案要案是用计算机手段查出来的,不用计算机查不出来了。
第三个不足是计算机审计工作的规范化程度偏低。就是说在运用计算机手段、信息化手段的时候随意性比较大,遇到事情觉得计算机可能好使,试一试,还真出成果了!这种情况不少。但是从报上来的成果看,零敲碎打的多,成体系的少。当然,这种情况不仅仅存在于特派办。
第四个不足是安全保护意识有待加强。在安全问题上尽管这几年特派办没有出大问题,但是丢电脑、丢硬盘的事情有,事后大家都讲里面没有国家秘密,但风险不言而喻。安全隐患也不容忽视,比如拿着装满数据的硬盘坐着火车、飞机到处跑,有的特派员就质问我们,说这不会出事吗?现在审计署与特派办、省厅之间的保密宽带网通了,我们也曾经提出过要用信息化手段来传输,但是确实做得不到位。最近英国税务及海关总署应英国审计署的要求提供数据,相关人员没有按规定将包裹挂号注册就随意寄出两张数据光盘,结果给弄丢了,2500万人的敏感信息面临风险,英国税务及海关总署署长引咎辞职。这种事情别发生在我们中间啊!
着眼于未来,特派办的计算机审计工作正面临着新的形势和任务,要更上一层楼。总的讲是两个大的方面,一是参与金审工程的建设,二是应用金审工程的建设成果。针对这两个方面,我给大家提以下建议。
第一,根据统一规划,参与金审工程的建设。
金审工程二期做什么,特派办要承担什么任务,讲清楚这两件事是本次会议的主要议题,周主任给大家都讲了。千万别把金审工程的建设当作审计署信息办、计算中心一家的事,他们不过是这项工作的牵头单位,工作要靠大家共同做。特派办是金审工程建设的一支主力军,要按照统一规划,积极参与金审工程应用系统的开发工作。我们要统一领导,周密计划,协调配合,平衡发展,大家一起走,要和谐、可持续。
这里请各位分管特派员和计算机处处长特别注意的是金审工程二期中的一项关键任务:数据中心建设。李审计长多次强调,审计以前一定要充分地进行分析,从纵向的、横向的,历史的、现在的方面进行分析,把握住大趋势,关注大的波动,锁定重要的线索。这么做如果没有历史的数据,很难做到。就像分析股市一样,要投资某一个上市公司的股票,不看它的历史数据,一定要吃亏的。审计应当是一样的,没有历史数据不行。可是,我们过去审计中获得的数据现在放在哪?审计完了留了多少、扔了多少?如果以后的审计需要这些数据,上哪去找?能否找得到?各位心里明白,不容乐观。特派办是数据中心的使用者,从数据的规划到数据的收集,从数据的存储到数据的使用,特派办是主体。现在经贸审计已经把53家中管企业相对固定给了18个办,责任相应就落在每一个特派办了,你必须关注你负责的那些企业的数据,将来数据中心建成了,53家中管企业数据都应当在审计署的数据中心,数据肯定是你们来提供来使用,所以从一开始,特派办就是数据中心重要的建设者、参与者。
建设金审工程二期,最重要的目标是数据共享,工作思路不能还停止在手工阶段,必须得超前。现在各行各业数据集中的趋势很明显,这为数据的使用提供了极大的便利。每一个企业的数据并不是只有负责审计它的特派办在用,很有可能其他特派办、其他审计项目也要用。如果余效明副审计长要用,不能再让她18个办跑一遍,她要通过审计署数据中心看53家中管企业的数据。数据中心将来也是各特派办的审计现场。跟其他行业一样,数据集中管理是大方向、大趋势,这是信息共享的要求。我们设想,不管是业务司统一组织的项目,还是特派办自己选定的项目,要打大规模的正规战,必须是这个样子,没有别的路子。
在金审工程二期建设中,各个特派办还要继续当好“实验田”,协助审计署开展实验试点工作。所不同的是,“实验田”别只在两三个特派办,18个特派办都有各自的实验试点项目才好。当然,我们要给特派员提供实验的环境、条件,大家也要更加积极。第一批审计业务流程无纸化试点示范单位只有6个特派办,我们还是觉得有一些意外,当时估算至少有三分之二的特派办应该参与。
第二,带头推行、创新应用金审工程的建设成果。
经过这几年的努力,在地方推广应用金审工程建设成果的工作,有起色了。很多地方采取了“拿来主义”:审计署开发的我就用。非常信任我们。作为审计署的特派办,更要义不容辞,我们自己开发的东西我们自己一定要率先、强力推行。比如AO,不是说一年有多少项目要使用AO,应该是全部项目都使用,因为AO不仅具有审计能力(有审计能力的、甚至审计功能比AO强的软件有的是),它还是管理在现场的延伸。我们要控制整个管理过程,它能和我们的审计管理系统对接上。将来我们每一个动作完成一次就行了,别重复操作。审计项目的资料,无论是在OA里还是在AO里,只做一遍,归档的时候就自动地归集到一起了,别再归档的时候现扫描。使用AO是管理在现场的一个延伸,大家一定要注重这个功能。有人说我这次审计的单位没有信息化环境,用AO干啥?那就错了,被审计单位的资料即使全都是纸质的,你也照样用,你是管理你自己的审计,这是其他软件都替代不了的。
当然AO有很多毛病,我看有毛病没关系,大家只要提出来并且经过研究是需要改进的,都要通过升级、完善加以解决,所以才有了AO2005和AO20*。但是,我们也发现一个规律,总体上持否定态度、说不好用、不能用的人,基本上是不用AO或者是没有用过AO的人;用过AO的人都说它还可以用,甚至有的还说很好用。我去过一些基层的区县级审计机关,他们也有在AO实例评选中得优秀奖的。我把得奖的同志叫来,我说你说实话,这东西能不能用?因为我自己不会用,也不能只听负责AO开发的人说好,就直接问基层的审计人员。他说能用。人家很谦虚,说用起来觉得还很轻松,所以拿了优秀奖。大家一定要用AO,这是我们的一个成果,而且是金审二期规划要重点发展、完善的内容。
需要强调应用的还有网络设施。2006年审计署与18个特派办、部分省厅宽带联通之后,除了传输公文之外,基本上没走业务类的信息。我们曾经要求金融审计利用这个网试一试大数据量传输,但是在上报数据、切割数据之后还是坐着飞机、火车跑,已有的设施没有利用好。我们的建设成果一定要用起来,不能浪费。还有审计业务流程无纸化的事情,没有列入试点示范单位的特派办,要尝试着做起来,如果心里没有底,可以到第一批试点示范单位去看一看。审计署也要择机作一个总结,请有关单位介绍经验。审计业务流程无纸化也是节能减排的具体体现。
大家在讨论特派办考核办法的时候,有的同志提出应用创新的分值应该加大,这个意见我同意。我们一定要鼓励创造性运用、创新性运用。我们在征集AO应用实例和计算机审计专家经验时就很有感触,审计人员在实践中有很多创新,他们的创新运用甚至是负责AO开发的人所没有想到的。我们还鼓励将其他软件应用在审计工作中。比如投资领域,我们自己目前还没有开发出能够适应投资审计需要的软件,那人家就可以用“广联达”,甚至我们开发出投资审计软件了,人家还用“广联达”,也不是不可以。其他审计领域可以类推。我们不排斥其他软件。也许会有一些误解,说AO普及了,其他的软件是不是就不让用了。今天明确,没有这个说法,也不应该有这个说法。科学就是科学,按照科学的规律去办事。但是,无论使用什么软件,最后必须要能被我们的审计管理系统利用,不能让审计人员重复操作。无论是什么软件,审计的信息或者软件所使用的信息不能被别人共享,只存在自己的手里,那是“孤岛”、“烟囱”,金审工程绝对不能再这样做了。信息一定要共享,将来还要跟其他部门共享,跟整个国家电子政务共享,无论有多大困难,要一步一步奔着这个目标去做。金审工程给后人留下的东西一定是可以继续升级换代的,而不是让人一看就要淘汰的,不能再走重复开发的路子了。我们也这样要求地方,花了几千万,自己搞了一个东西,他舍不得扔,我们理解,可以继续用。所以大家应该明确:第一,我们系统之外的软件是可以用的,但要有利于审计,有利于管理;第二,不论你用什么,最后管理信息要共享。这两个原则不能动。
第三,发挥优势,加快建立计算机审计准则体系的步伐。
审计署正在有序进行审计准则的制订工作。计算机审计要在审计准则下面制订具体准则,还要有指南、有实务公告,争取在不长的时间里,把计算机审计准则体系框架逐步建立起来。这是一个渐进的过程,不断形成、不断完善的过程。特别是指南、实务公告这些操作层面的规范就不是十个、八个,要一直做下去,成熟一个做一个。我们现在是以实务公告的方式来,迄今为止发到第7号,马上要发的第8号是审前调查指南。我们之所以采取成熟一个一个的方式基于两点考虑,一是考虑不要离现实太远,将来发展了还可以修订。审前调查指南的起草就是这个思路。本来这个指南署里委托京津冀特派办起草,他们拿出来一个很好的东西,但是到我们这里没有通过,因为他搞的太高深了,一般审计人员学习、应用比较困难,现阶段先弄一个比较浅一点的,大家能接受的,一看一目了然能理解的。于是在京津冀特派办草稿的基础上,计算中心又修改出来一稿,这一稿相对简单易行一些。二是考虑内容不必求全,如果计算机审计所有的操作规则都在一个指南里,这指南就太大了,内容太庞大了,只能一个知识点、一个知识点地做,先做起来再说,聊胜于无,想得过于全面就迈不出步了。
计算机审计准则的制订是一个长期的过程,要一直做下去。因为信息化没边没沿地一直在发展。认准这个趋势,并不妨碍我们抓住当前,尽快开展工作;也不妨碍我们现在做东西要有一定的稳定性和可行性。比如审前调查指南按现在排是第8号,过个三五年,大家的工作进步了,规范化程度提高了,觉得这个指南应该修订了,到时候我们发表第48号取代第8号就行了,很简单。
建立计算机审计准则体系框架、制订指南和实务公告的工作,各个特派办也是非得出力不行的,因为你们是参与审计的,知道审前调查应该去调查什么,应该如何地去规范。参与这项工作,可能会占用一些资源,希望特派员从大局出发,从整个审计机关,从整个国家审计的角度出发,大力地支持。
制订指南和实务公告的主要目的,除了规范操作以外,还是为了总结我们在实践中形成的宝贵经验。刘汝焯特派员写过一本书,叫我作个序,我在序里没谈技术问题,谈的是知识问题。现在的计算机审计知识是停留在一种潜在的状态,也就是说停留在审计人员的脑子里,这人一走就完了,这个方法、这项技术就没了,就随着这人的退休或调离或者是自然死亡就没了。这些宝贵的知识如果处于隐性的状态,它非常脆弱,一瞬间就会消失,我们有责任把它显性化。比如抓紧写成书,隐性的知识变成了显性的知识,就可以普及,就可以推广,可以留给后人。与写书相比,指南和实务公告更抽象一些,理论上升得更高一些,指导作用更大一些,并且四级审计机关都要用。要抓紧了,信息化建设和计算机审计已经有很多成熟的成果,就应该把它定型,把它上升为显性的知识,留下去,让人家去用。
第四,对计算机审计方法进行系统的总结、开发。
近年来,各个特派办都在积极地探索计算机审计的方法、计算机审计管理的方法,探索信息化建设的经验。每次听大家汇报、与大家在一起讨论,都能从中或多或少地吸取一些营养。过去,这些好的东西是零散的,不成体系的,在金审工程二期中,我们要在科学化的前提下系统地进行研究、总结,开发计算机审计方法。这是交给各位一个非常难的课题。
开发计算机审计方法的任务,不能完全依赖计算中心,依赖某几个人,那是绝对不行的。现在9个业务司管辖了那么多行业,都运用信息化手段,都得开发相应的计算机审计方法,这个方法不是坐在办公室里能想出来的,必须是一线的审计干部在实践中去摸索。在开展计算机审计的初期,是零敲碎打,碰上一个什么问题觉得重要,就开发一个方法、一个模型。现在到了系统地开发的时候了,我觉得有的特派办具备这个能力。比如,社保资金审计,资金的收集,你用什么方法查它?资金的发放,你用什么方法查它?资金的投向,你用什么方法查它?资金的管理,你用什么方法查它?再如企业审计,与其弄一个小模块算固定资产折旧,再弄一个小模块算财务费用,你何苦不从现金一直到固定资产把它系统地整出来?分分工,有的负责现金、银行存款,有的负责往来账目、应收账款,有的负责固定资产或者再建工程,有的负责财务报表,全部审计方法都搞出来,不能想起一出是一出,东一下、西一下。从头到尾的去捋细了,这东西就成了体系了,然后我们把它挂到AO上面,形成AO的行业版,AO的社保版,AO的企业版等等。这是我们给后人留下的财富。
我们有一些特派办条件非常好,人员比较整齐,素质也比较高,可以把年青的审计干部组织一下做这个事。有些审计人员,思想基本固定了,一到单位先要账,拿来哗哗一翻,看看有没有什么拖欠,或者先把单位的会议纪要拿来,看看有没有可疑事项、重大线索,这是惯性思维。新人没有这些陈旧的思想束缚,就要鼓励他们开辟新的事业领地。现在审计署正在进行的是中央部门预算执行审计方法体系的研究,社保审计的方法体系是在请地方研究,其他的还没有确定由谁来做,请各特派办的领导要高度重视,积极参与计算机审计方法的开发。
第五,与时俱进,着力提高审计队伍的素质。
所谓与时俱进,就是队伍的素质要适应不断发展的信息化环境。总的看,特派办人员队伍的素质还是不错的,通过计算机审计中级培训的人员占到50%左右。各特派办重视培养计算机审计队伍,这是正确的,如果有了设备,有了软件,结果没人会干活,问题肯定出在队伍的培养上、人才的培训上。
提高队伍素质最关键的还在于特派员,当然包括我们分管的副特派员,取决于这些领导的素质、修养和意识,信息化建设的意识,计算机审计的意识。有的特派员就把信息化手段当作一个抓手,他通过这个抓手带动了很多方面的工作,我觉得这是一个捷径。一个特派办的队伍怎么带啊?我们当特派员的,尤其是分管信息化的,一定得把加强信息化建设、推行计算机审计当成一个事儿来干。就像安排工会活动一样,安排一下学习,安排一下培训,安排一下攻关,安排一下开发。即使是一个月安排一次那也不得了,这一年要做好多事。一年办成一件事就不得了。京津冀特派办前两年抓多维分析,去年抓信息化条件下的舞弊特征发现,今年抓非数值型数据的分析,一年就抓一个事,抓出成果了不得,就是突破,就是创新。说:正确路线确定之后,干部就是决定因素。特派员、分管副特派员对一个特派办干部队伍素质的提高有着举足轻重的作用,如果不抓这个,就会耽误一个办的年青人。在抓队伍建设方面,特派办比地方审计机关条件要优越得多,有的地方审计机关最年轻的都在40岁以上,提高信息化素质所遇到的困难比我们不知要大多少倍,他想提高队伍的信息化素养是非常困难的。
特派员、分管副特派员要抓好信息化建设,自己也要提高,要学习。天津市审计局这两年信息化水平提高很快,除了三番五次地请京津冀特派办的人去给他们讲课,到特派办学习取经之外,领导带头学是一条重要经验!咱们发的那本厚厚的指导书,人家分管领导就是一页一页看的。他告诉我:自己不看,怎么领导?确实得学习,得熟悉这个工作,领会上面的要求。从现在的状况看,我们的特派员、副特派员,包括助理,像刘汝焯这样的不多,绝大部分人在信息化方面确实是外行,还需要学习,哪怕是科普呢,扫盲呢,也得学。
第六,积极探索信息系统审计,争取迈开步子,创出路子。
信息系统审计列入金审工程二期试点的范围,试点也要有人先做起来、动起来。在这方面令我们非常感动的是令狐副审计长。令狐副审计长不是搞审计专业的,从来没接触过什么财务,大部分时间是部门领导、地方领导。这两年他在各地搞调研,感觉信息系统审计十分重要,发展势头很快,超过了我们预见的速度,指示我们要强化这方面的培训。这样一位不具有审计专业背景的领导都有这种感觉,可想而知它的重要性和紧迫性。
刚才有位特派员说,在审计中他们发现被审计单位造价软件里头设置的参数就不对,所以这几年的计算都是错误的,这时候审计就得针对它的软件来说话了。其他地方的审计工作中可能也遇见过类似的情况,也有体会。我们鼓励大家积极探索,开展信息系统审计,因为系统的可信、可靠,是数据审计得以进行的前提和最终实现的基本条件,系统产生的数据必须是真实完整的我们才能用,否则就跟假账真审是一样的。我觉得有条件的特派办可以把信息系统审计作为一种常态,审计的常态,换句话说,作为正常审计程序的一环。每个重大项目的审计,只要背景是信息化的,我们都可以先看看它的信息系统,看看它的系统内的控制。每个特派办先要有意识地培养这么一两个人,专家型的,相对固定,不要每次审计都派不同的人去摸索,你这儿还没摸索完呢,人家审计出点了。
关于信息系统审计人才的培养工作已经列入议事日程,着手准备了。令狐副审计长是审计署干部培训工作领导小组组长,他对信息系统审计提出了硬性要求,20*年必须开班,每个特派办应该至少出一人,一个省厅还轮不上一个人,培训的地点在南京审计学院。目前遇到的主要问题是课程的安排和师资,前不久拿出的一个方案,我们觉得还不够科学,不够严谨,还要再深入研究。
信息系统审计比较复杂,我们还不能十分自主地把握它、运用它,现在的案例,基本上都是“拔出萝卜带出泥”,而不是先看看“泥”怎么样,然后预计“萝卜”长得怎么样。要迈开步子,积极探索,逐步走出一条路子来。
第七,充分利用已经建成的设施,发挥投资效益。
我们一定要充分利用金审工程一期建设的各种设施。网络设备要是充分利用了,很多事情可以在网上办。我在京津冀特派办参加过网上的业务审定会议,在天津市审计局看过网上考试。网上考试还有一个小插曲,廊坊市审计局反映答得全对也是86分,这个事儿天津反映过,是考试软件的问题,而且已经改了。再一查是技术人员部署了老的版本,计算中心王主任跟公司一嚷嚷,当事人被扣了奖金罚了款。你想想,一个廊坊市局都上网考试了,我们特派办还能在网下坐着吗?
还有优秀审计项目的评选,今后应该在网上进行,如果不在网上进行,可以说包装、作假就会永远沿袭下去。这个事儿我肯定地讲在座的各位都做过,哪个审计项目参加评选不得重新“整理”一下?如果要求项目必须是用AO做的,按照AO归集的电子档案为样本进行评选,想“整理”一下都不行,因为AO控制的日记底稿是不能改动的。这事儿审计人员有意见,计算中心的技术人员感觉这还是有一点儿小问题,怕约定的过死推广的时候大家都不愿意用,但是行有行规,得按照6号令来,这是法制司的要求,谁想改也不可能。在这个基础上评选的优秀项目含金量会更高。天津市审计局网上培训的考试是18个区县同时在网上开考,自动判分,个别县局局长为了成绩的事找市局王局长说情,王局长说,已经早判完了,不是我们人判的,机器都弄完了,改不了啦。
审计内网网站的建设还要进一步搞好。现在定了一个办法,每年搞评比,还是非常有成效的,至少审计署大多数司局的网页已经改造了一遍,就剩下为数不多的几个单位,新任的领导表态,马上更新。有的司动作很快,人事教育司席司长一到任,先动的就是他的网页。各个特派办的网页,总体上还是不错的,虽说水平高低不一样,但基本上还能符合要求。网页上的内容,红旗飘飘是一块,业务方面的内容要上去,经验交流要增加,只要不,能挂上去的都挂上去,因为别人需要看,特别是地方审计机关,特别愿意看看审计署、特派办的审计方案是怎么做的,审计报告是怎么写的。我们提倡业务司和特派办的网页要对地方审计机关有指导、学习、交流的作用。
再一个就是利用建成的设施存放电子档案。有不少特派办把过去的纸质档案电子化了,那是没有办法的办法,真正的信息化的做法,是从建立项目开始,用AO去归集,除了领导的手写批示和原始证据,审计生成的文档不能再搞扫描。而且在审计过程中,该归档的都已经输进去了,项目完成就等于档案齐全了。现在审计署以往任何一年统一组织的任何一个审计项目,档案没有齐全的,因为纸质的东西不可能报到审计署,审计署也没有地方存,调阅全国性的统一组织项目档案几乎是不可能的,没有完整的档案,这是我们一代审计人的遗憾。不能再继续下去了。
篇10
一、对计算机会计内部控制的再认识
西方对计算机会计内部控制的研究大概始于70年代,美国执业会计师协会(AICPA)和EDP审计人员协会从1974年开始先后发表了一系列研究报告或相关的审计准则,国际会计师联合会(IFAC)也在80年代制订了几个有关计算机审计的准则。这些文告或准则一方面肯定了计算机处理对内部控制的影响,强调加强内部控制及其审计的必要性;另一方面则比较一致地将内部控制分为一般控制和控制两大类,并据此制定了一套EDP控制标准。
我国财政部1994年的《会计核算软件基本功能规范》,集中在输入、处理、输出和安全四个方面对会计软件提出规范性要求,实质上涉及的都是内部控制的问题,即会计软件系统所应该实现的控制。而首次涉及计算机会计系统内部控制的审计法规则是1999年7月1日生效的《独立审计具体准则第20号-计算机信息系统环境下的审计》。
显然世界各国审计机关对计算机处理环境的内部控制问题都有相当的重视,进行了非常深入的研究。既肯定了计算机处理环境对内部控制的影响,又研究了加强控制的措施,还探讨了审计内部控制的方法。但是,事物总是的,随着计算机技术的日新月异,尤其是商务和财务的出现,前述的这些研究已经显得苍白。我们认为,当前对内部控制的研究存在三个问题:一是对广域网络环境下会计系统的内部控制缺乏研究,二是对内部控制的分类欠,三是不少控制措施以及对内部控制的符合性测试方法脱离实际。下面将就这些问题展开讨论。
二、网络会计给内部控制提出了新课题
网络财务战略一经提出就获得的普遍认同,成为业界关注的焦点,引发人们对网络环境下财务与管理的思考。网络财务的最闪光之处是通过Internet实现多种远程处理和支持电子商务,而这恰恰给会计内部控制出了难题。
我们知道,电子商务和远程处理必然要求会计系统的进一步开放与数据共享,而开放与共享将增加安全控制的难度,信息安全、资金安全都将成为内部控制的焦点。安全威胁既来自企业内部工作漫不经心的员工,也来自心怀不满的职员、外部黑客以及竞争对手。因为网上交易公开化程度较高,操作人员和信息使用者干预系统的机会增大,再加上使用的是公用通讯线路,系统面临的安全隐患也必然增多,从而增大企业经营的风险。例如,不法之徒可能利用网络及安全管理的漏洞窥探用户口令或电子账号,冒充合法用户作案,篡改数据库内容以窃取资产;利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏会计信息系统,甚至摧毁网络节点;此外,由于电子商务处理业务的原始记录以电子凭证的方式存在和传递,不法之徒通过改变电子货币账单、银行结算单等,就有可能转移财产的所有权。
有鉴于此,网络财务必须实现以下控制目标:
1、对远程操作的控制,即实现对远程记账、报账、查账、制表、审计以及网上报税等操作的安全控制。
2、对网上支付的控制,即保证支付信息的机密、支付过程的完整、交易双方的合法身份以及互操作性,实现安全支付。
3、对电子凭证的控制,即控制电子凭证的正确收发、真伪确认、安全传递和格式转换等问题。
以上控制既涉及技术层面,也涉及政府立法和企业内部的制度建设。在技术上要采用公开密匙加密、电子数字签名、电子信封、电子证书等技术,加强对网上输入、输出和传输信息的合法性、正确性控制,在企业内部网与外部公共网之间建立防火墙,对外部访问实行多层认证。在上建立电子商务法律法规,规范网上交易、支付、核算行为,并制定网络财务准则和相应的内部控制制度。没有网络安全,就没有网络财务。
三、关于内部控制的分类
美国执业会计师协会第3号《审计准则公告》、《国际审计准则》第20号以及我国《独立审计具体准则第20号》,都把计算机会计内部控制分为一般控制(General controls)和应用控制(Application controls)两大类,并将前者定义为:(1)电子数据处理的组织和操作的计划;(2)对系统或程序的设计、开发和变动的记录、审核、测试和批准;(3)由制造商在设备内部所设置的控制;(4)对接触设备和数据文件的控制;(5)对系统的运行有影响的其他数据和指令程序的控制。公告把应用控制定义为输入控制、数据处理控制和输出控制。
但是,我们认为这种分类方法从其名称和内涵来看,都有值得商榷的地方。
1、定义缺乏逻辑性
分类是一种手段,目的是便于人们对事物的理解或认识,但这种分类方法并未达到这个目的。首先从其名称来看,分类标准不明确,甚至可以说用的不是同一个标准。因为人们往往习惯于将“一般”来区别“特殊”,而将“应用”与“基础”、“”或“系统”等概念相对应。所以将问题分为“一般”和“应用”在逻辑上是不清晰的,实际上不少问题既是“一般”问题,又属“应用”范畴。
2、两类控制的内涵不明
分类标准的模糊性带来控制内涵不明,到底哪些方面的控制属于一般控制,哪些属于应用控制,人们只能根据强加于人的“定义”来理解。两类控制常常交叉,例如数据输入既因涉及输入而属于应用控制,又因涉及组织和操作而属于一般控制的范畴。又如,对输出资料的保管、操作权限的识别这样一些控制措施,到底属于一般控制还是属于应用控制,人们从字面上就很难区别。此外有些还把对经济业务的完整性、有效性、合理性的审查和控制,作为数据处理控制的内容,使控制措施的归属变得更为含混不清。
3、企业控制的任务不明确
这种分类方法混淆了执行控制的主体,即两类控制中人们难以明确哪些是企业应该做的,哪些是软件开发商的责任。我们知道在手工会计中内部控制都是通过人来执行的,但在计算机会计中除了人这个执行控制的主体之外,许多内部控制方法却要通过计算机系统尤其是会计软件才能实现。例如,应用控制中的输入控制,既包括了用规章制度约束操作人员以保证输入数据的正确,又要靠系统自身的容错功能来识别和纠正输入数据的错误,前者是制度问题而后者则是计算机程序问题。在输出控制中也存在类似的问题,对输出的权限和完整控制应该是软件系统的责任,而输出资料的确认和保管则是会计人员的责任。
我们认为内部控制的分类既要概念清晰,又要区分控制的主体,以便明确责任,为此,建议将内部控制分为管理制度控制和程序系统控制两大类。其中程序系统指机软硬件系统,主要是系统和软件。程序系统控制主要是靠软件本身功能来实现的内部控制机制,以实现系统的自我保护,主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。程序系统控制的责任者是软件开发部门,用户不应负有责任。而管理制度控制一般是以管理制度的形式实行的,主要包括组织、操作、维护和资料保管等方面。我们也可以进一步将管理制度控制分为环境控制(或基础控制)和操作控制(或控制)两类,组织、维护和资料保管都属于环境控制的范畴。显然制度的制订和执行与计算机程序系统无关,而是会计软件使用单位的责任。这种分类法的优点是分类标准明确,容易理解,而且实现控制的措施和控制的主体是一致的,责任分明,方面容易清楚自己应该怎么办。
四、关于内部控制措施及审计
我们接触到的几乎所有教科书或,不仅将内部控制分为一般控制和应用控制,而且演绎和解释具体控制措施以及内部控制的审计时往往脱离实际,形式繁琐,又不突出控制重点,主要存在以下:
1、无法实现或不合理的控制措施
在对内部控制措施的罗列中,有许多是无法实现或者是不合理的要求。例如,要求在会计软件中“安装一个联机审机控制器,用来收集审计人员感兴趣的资料”,要求在程序中设置断点以控制“主文件金额数、记录计数、前一程序指令序号”,“每一个操作运行结束后应有一份打印输出”,通过使用“双重运算、逆运算法”检查错误等等,都是不合理的甚至根本就无法实现的措施。又如对会计软件系统的开发控制和审计是否合理,也是值得商榷的。
2、无需过问的控制措施
有许多控制措施是计算机系统的最基本的功能,并非为会计所设置,审计人员是无需过问的。例如,硬件的冗余检验、奇偶校验、回声检验,操作系统的错误处置、程序保护、文件保护,这些控制都是计算机系统所必备的功能,不应该将它们纳入会计内部控制的范畴,也不应该成为审计的。其实对许多系统保护措施审计人员也无从了解,更谈不上审计。
3、对内部控制的审计内容繁琐
许多文献对内部控制审计方法的介绍不仅内容空洞繁琐,而且空谈许多无法实现的审计方法,严重脱离实际,使审计人员不得要领,抓不住审计的重点。例如,对系统软件的测试是完全没有必要的,因为系统软件一般都比较可靠,而且不会对会计软件系统的安全造成威胁。此外,对会计软件的测试方法中许多方法从技术上看是不可行的,从成本效益原则上看也是不合算的。例如,程序流程图检验法、程序代码检查法都要求审计人员去阅读程序代码以确定会计软件的控制措施是否满足,这确实是一种天方夜谭的设想。又如所谓图示法要求“利用监督程序来测定被测试程序中哪些指令执行过,哪些指令未曾动用”,也是很不现实的方法。
鉴于以上原因,我们认为当前应该全面检讨内部控制的措施一方面通过制订《会计软件基本功能规范》进一步明确会计软件公司的责任,规范会计软件产品的程序系统在数据输入、处理、输出、传输和安全保护的控制功能;另一方面则应通过制订会计基础工作规范,明确推行会计电算化的单位的控制责任,规范必要和切实可行的控制措施。
