会计电算化环境下内部审计的新发展

　　内部审计是在现代企业下自我监督、自我约束机制的重要组成部分，是现代企业建立和完善法人治理结构的内在需要。随着现代企业制度的建立、健全和完善，内部审计的理论框架需要重构，内部会计审计的业务范围需要拓广，因而，对于内部审计的研究，又重新成为一个比较热门的领域。

　　而其中一个最重要的方面，也是其他业务部门也正在遇到的问题，就是：企业日益发展的电算化环境下，无纸化数据和无纸化交易减少了数据的重复输入、重复处理，也使会计处理程序化。同时，.网络应用和企业全面信息化的实现改变了电算化初期那种单一的、独立的业务处理模式，企业按照高效原则进行业务重组、业务处理流程重构。业务数据、财务数据、业务处理、财务处理集成在一起，使管理审计和财务审计相互融合，无形中扩大了审计范围，提高了审计的难度和对审计人员专业知识的要求。

　　从另一方面来说，.电算化环境下企业的内部控制发生了很大变化。原有手工处理环境下的一些内部控制措施因失去了作用而被取消，有些内部控制措施被程序化后通过软件程序的执行而发挥作用，同时针对信息系统的特点又增加了一些新的内部控制措施。由于内部控制技术(如密码控制技术、防火墙技术等)不断发展，如何了解，测试、评价信息系统的内部控制情况便成了审计的难题。

　　因此企业电算化所带来的无论是职能方面，或者是工作环境方面的各种变革，都要求我们内部审计人员在工作上做出相应的变革以期同环境一同变化，一同成长，更加全面地、系统地、快速而准确地完成内审工作。

　　而在电算化环境下内部审计需要做好的几项工作粗浅总结一下。我认为需要以下几点：

　　其一：对单位的信息系统实施审计。

　　目前，绝大多数单位在内部审计时是绕过信息系统的。由于集成化系统中原始凭证大量减少、数据之间直接对应关系模糊、业务处理和财务处理高度集成，使得系统中存储数据与输出数据可能不—致。内部审计人员要想了解系统提供的数据的可信赖程度，必须对系统本身进行审计，这是内部审计不可能回避的。

　　要做到对财务系统本身进行审计，首先，内部审计人员要对本单位汁算机信息系统及其相关情况有所了解，包括：

　　1、系统的硬件信息和软件信息。比如信息系统的结构、所使用主机的型号、内存容量、输入及输出设备、通讯设备、辅助存储设备，所使用的操作系统、通信软件、数据库管理系统和应用系统等。

　　2、系统进行业务处理的具体情况。比如处理的过程、发生错误的多少等。

　　3、被审计系统的内部控制。如本年度设备的变更信息、维护信息、应用系统的复杂程度及重要的处理过程等—在了解信息系统的基础上，内部审计人员根据重要性和复杂程度确定审计程序。实施审计时，符合性测试的重点应该是系统内部控制的设置和遵守情况、系统内定义的信息转换规则。对于则务、业务集成化系统而言，单位发生的每项业务在业务系统中都会根据业务人员、财务人员事先定义的转换规则自动生成会计记录，进入财务系统。此时审核的重点不应是系统生成的大量重复的凭证，而是定义的信息转换规则是否正确和有效、是否符合相关法规的要求、对这些规则的管理等是否有效。

　　其二：加强对内部控制的审计，做到一般控制审查和应用控制审查相结合。

　　在手工处理环境下，单位内部控制的重点就是人及其处理的业务。而电算化环境下，业务处理过程包括了手工处理、计算机系统处理、人与计算机进行交互处理这几部分，单位内部控制的重点变成了人及其处理的业务、人机交互处理过程、计算机系统业务处理过程和不同系统之间信息的传递过程，内部控制的重点和环节发生了很大变化。只有对信息系统的内部控制实施审计，才能了解内部控制运行状况并由此确定后续实质性测试的重点和审计程序;

　　电算化系统中，可以把控制划分为一般控制和应用控制两部分。一般控制是对系统中组织、开发、操作、管理等系统运行环境所进行的控制，通常以制定规章制度、网络安全软件和程序控制形式体现;应用控制是对信息系统的某一具体处理过程施加的控制，主要以程序的形式体现。审计时，应该在对系统—般控制做出评价的基础上，通过读原程序、模拟数据上机测试、上机处理实际业务、采用审计软件等方式测试系统的安全性、控制程序的正确性和有效性。

　　其三：充分利用计算机辅助审计技术和上具。

　　电算化系统的安全性、业务处理的正确性、应用控制的有效性、系统的运行效率等只有通过上机测试才能检验。因此内部审计人员可以对手工填制的原始单据、简单业务的处理、非程序控制制度和措施采用原来手工审计的有效方法，对于某些特定业务的处理过程、重要数据、复杂的处理过程及程序化的控制措施则应该充分利用计算机辅助审计技术和工具进行审计。

　　其四：关注业务系统与财务系统的数据转换环节。

　　集成化系统中，业务系统与财务系统之间的数据传递可以实时进行，也可以分批完成，极易出现数据不一致，所以系统之间的数据转换应该是审计的重点之一。另外，有些企业的电算化系统采用厂多家软件厂商的产品，业务系统与财务系统之间的数据传递需要借助外存(如磁盘)或局域网上不同数据文件之间转换等方式来完成，对这样的系统一定要防止并及时发现转换过程中的错误及弊端。

　　其五：.加强动态在线审计

　　电算化系统中，帐务处理是实时进行的。尤其是网络化系统，在同一时间可能有多个用户执行同一项功能、调用同一个数据文件，而系统只记录下最终的结果。若审计时只对静态系统进行审查，不进行有关运行程序、数据文件的联机实时审计，有时就难以发现存在的问题。因此对于重要业务的处理、关键的处理程序、业务人员的上机操作记录等应该加强动态审计。

　　网络化系统一般本身都提供了一定的审计功能，一旦发现非法的或有超越网络授权的操作行为，就会记录入侵者的登录用户名、IP地址、登录日期、时间等信息，并寻找到非法用户曾经潜入系统内部的痕迹。利用大型数据库管理系统开发的应用软件也能对登录系统的用户及其使用系统的情况进行一定的监控，如哪些用户使用了系统、进行了哪些操作、操作的次数、登录及退出系统时间等。

　　其六：加强对所有与信息系统有关的部门及人员的监督管理。与信息系统相关的部门包括信息系统管理部门、维护部门和使用部门。相关人员包括网络管理员、系统管理员、数据库管理员、软硬件维护人员、系统操作人员、档案保管人员及机房保安人员等，对这些部门和人员进行安全意识教育及监督管理对于降低审计风险是至关重要的。

　　综上所述，笔者认为，现代企业电算化环境下，内部审计需要不断增强专业电算化人员配备，甚至是专业电脑技术人员的配备，也就是说，内部审计人员的素质至关重要，从前，只要对会计工作了如指掌就可以做一个称职的审计人员，而随着环境的不断发展，内部审计人员被要求具备更多、更广泛的知识种类，更深层次的学习、与自我提高。只有同时代一起进步的人才不会被时代所抛弃，才能更好地完成自己的工作，不负所托。

　　作者：李传华 来源：信息周刊 2014年49期