周映群　何永斌

所謂會(huì)計(jì)信息化審計(jì)是指審計(jì)人員接受委托或授權(quán)，收集并評(píng)估證據(jù)以判斷一個(gè)計(jì)算機(jī)系統(tǒng)（主要會(huì)計(jì)信息系統(tǒng)）是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整并最有效率地完成組織目標(biāo)的活動(dòng)過程。它既包括信息系統(tǒng)外部審計(jì)的鑒證目標(biāo)——即對(duì)被審計(jì)單位的信息系統(tǒng)保護(hù)資產(chǎn)安全及數(shù)據(jù)完整的鑒證，又包含內(nèi)部審計(jì)的管理目標(biāo)——即不僅包括被審計(jì)信息系統(tǒng)，保護(hù)資產(chǎn)安全及數(shù)據(jù)完整，而且包括信息系統(tǒng)的有效性目標(biāo)。

一、會(huì)計(jì)信息化審計(jì)與電算化審計(jì)的區(qū)別

會(huì)計(jì)信息化審計(jì)來(lái)源于會(huì)計(jì)電算化，但它們有著本質(zhì)的區(qū)別，首先，會(huì)計(jì)電算化審計(jì)只是將計(jì)算機(jī)僅僅當(dāng)作手工作業(yè)審計(jì)的工具和奴隸，只意味著審計(jì)手段的改變；其次，會(huì)計(jì)電算化審計(jì)對(duì)象局限于財(cái)政財(cái)務(wù)收支，難以擴(kuò)大到與經(jīng)濟(jì)效益有關(guān)的經(jīng)營(yíng)管理和其他領(lǐng)域；第三，電算化會(huì)計(jì)技術(shù)由于模擬手工作業(yè)審計(jì)的審計(jì)過程，不僅未充分考慮計(jì)算機(jī)信息系統(tǒng)的特點(diǎn)（如：隱形化、程序化、不盡安全等），而且未充分利用現(xiàn)代信息技術(shù)（通訊、網(wǎng)絡(luò)等）的特點(diǎn)和優(yōu)勢(shì)，這不能不說(shuō)是對(duì)現(xiàn)有資源的巨大浪費(fèi)；同樣，如果只把計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用于先進(jìn)的工作程序的自動(dòng)化，也是沒有認(rèn)識(shí)到它的潛能。但會(huì)計(jì)信息化審計(jì)則不同，它是建立在對(duì)現(xiàn)代信息技術(shù)（計(jì)算機(jī)、網(wǎng)絡(luò)和通信等）、對(duì)傳統(tǒng)審計(jì)模式進(jìn)行重構(gòu)，并在重構(gòu)的現(xiàn)代化審計(jì)模式上通過評(píng)價(jià)來(lái)控制會(huì)計(jì)信息系統(tǒng)。據(jù)此發(fā)展的會(huì)計(jì)信息化審計(jì)技術(shù)就是在計(jì)算機(jī)系統(tǒng)中模擬社會(huì)的審計(jì)工作，對(duì)計(jì)算機(jī)系統(tǒng)的活動(dòng)進(jìn)行監(jiān)視和記錄的一種安全技術(shù)。運(yùn)用會(huì)計(jì)信息化審計(jì)技術(shù)的目的就是讓對(duì)計(jì)算機(jī)系統(tǒng)的各種訪問留下痕跡，使計(jì)算機(jī)犯罪行為留下證據(jù)，計(jì)算機(jī)審計(jì)技術(shù)的運(yùn)用形成了會(huì)計(jì)信息化審計(jì)系統(tǒng)。會(huì)計(jì)信息化審計(jì)是適應(yīng)變化后環(huán)境的需要。計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)的會(huì)計(jì)系統(tǒng)的開放與系統(tǒng)共享，而開放與共享應(yīng)是以安全為基礎(chǔ)的。企業(yè)一方面通過網(wǎng)絡(luò)開放自己，向全世界推銷自己的形象和產(chǎn)品，實(shí)現(xiàn)電子貿(mào)易、電子信息交換，但也需要守住自己的商業(yè)秘密、管理秘密和財(cái)務(wù)秘密，而其中實(shí)現(xiàn)了電子化即具有貨幣價(jià)值的會(huì)計(jì)秘密、理財(cái)秘密是最重要的。會(huì)計(jì)信息化審計(jì)要求我們有必要?jiǎng)?chuàng)造一個(gè)安全的環(huán)境，抵抗來(lái)自系統(tǒng)內(nèi)外的各種干擾和威脅，做到該開放的開放該共享的共享，該封閉的要讓黑客無(wú)奈。因此，無(wú)論是從數(shù)據(jù)的完整、真實(shí)、及時(shí)方面，還是從審計(jì)線索清晰度與系統(tǒng)安全方面來(lái)看，信息化審計(jì)是電算化審計(jì)基礎(chǔ)上一個(gè)質(zhì)的飛躍。

二、會(huì)計(jì)信息化審計(jì)的主要內(nèi)容及方法

會(huì)計(jì)信息化審計(jì)包含兩層意思：一是對(duì)信息化會(huì)計(jì)系統(tǒng)的審計(jì)，二是利用網(wǎng)絡(luò)進(jìn)行輔助審計(jì)。但是，由于現(xiàn)代信息技術(shù)已發(fā)展到第二階段 —— 網(wǎng)絡(luò)信息技術(shù)階段，從而使會(huì)計(jì)信息化審計(jì)與電算化審計(jì)及傳統(tǒng)手工審計(jì)相比，在審計(jì)內(nèi)容和方法上有了很大的不同。其主要內(nèi)容及方法如下：

（一）審計(jì)線索的追蹤審查

在手工會(huì)計(jì)系統(tǒng)中，每一個(gè)步驟都會(huì)產(chǎn)生相應(yīng)的紙性介質(zhì)的會(huì)計(jì)資料，審計(jì)線索十分清楚；在電算化會(huì)計(jì)系統(tǒng)中，加工過程的自動(dòng)化可能導(dǎo)致部分可視性線索消失，但交易伙伴間的信息交換大多還是通過紙面文件的形式來(lái)完成，審計(jì)人員可以利用“繞過計(jì)算機(jī)審計(jì)方法”獲得所需的審計(jì)證據(jù)；在信息化會(huì)計(jì)系統(tǒng)中，許多業(yè)務(wù)的談判、簽約甚至交易，都是在網(wǎng)上進(jìn)行，資金的結(jié)算也通過信用卡等在網(wǎng)上交割，經(jīng)濟(jì)業(yè)務(wù)信息按一定程序在網(wǎng)上自動(dòng)生成會(huì)計(jì)信息并傳送，整個(gè)交易過程幾乎呈現(xiàn)無(wú)紙化態(tài)勢(shì)，審計(jì)人員很難獲取所需的審計(jì)線索。因此，必須采用如下方法來(lái)保留審計(jì)線索：①在系統(tǒng)內(nèi)建立日志和追蹤文件，以審查在數(shù)據(jù)處理過程中是否有過渡文件被修改和處理。②在審計(jì)機(jī)構(gòu)和簽字確認(rèn)的單位同時(shí)形成原始數(shù)據(jù)的備份或在不同部門各自形成相關(guān)的數(shù)據(jù)庫(kù)，這樣既可以相互監(jiān)督，又可以使審計(jì)線索得以保留。③還可采取就地審計(jì)和突擊審計(jì)的方式，以防程序員對(duì)被審系統(tǒng)的應(yīng)用程序加以篡改，防止操作員對(duì)被審計(jì)系統(tǒng)數(shù)據(jù)文件進(jìn)行增加、刪除、修改等。

（二）信息化會(huì)計(jì)系統(tǒng)的安全性審計(jì)

在網(wǎng)絡(luò)環(huán)境下，由于網(wǎng)絡(luò)的開放性，一方面提供了會(huì)計(jì)信息的共享性，另一方面，電子形式的會(huì)計(jì)信息又會(huì)受到諸如網(wǎng)絡(luò)故障、計(jì)算機(jī)病毒、計(jì)算機(jī)黑客和非法者入侵等潛在威脅的影響，這些都會(huì)嚴(yán)重威脅會(huì)計(jì)信息和數(shù)據(jù)的安全、完整，嚴(yán)重時(shí)可能導(dǎo)致會(huì)計(jì)信息系統(tǒng)的崩潰。這樣在信息化審計(jì)中，保障會(huì)計(jì)信息的安全性，以控制審計(jì)風(fēng)險(xiǎn)，就顯得比以往更加突出，并成為信息化審計(jì)的最重要問題之一。因此，審計(jì)人員應(yīng)從制度化控制和程序化控制兩方面加強(qiáng)系統(tǒng)安全審計(jì)：①了解被審企業(yè)對(duì)國(guó)家及上級(jí)主管部門頒發(fā)的計(jì)算機(jī)法規(guī)條例的遵守情況，檢查被審企業(yè)是否建立、完善并實(shí)施系列安全管理制度；②定期進(jìn)行系統(tǒng)安全測(cè)試，以評(píng)價(jià)系統(tǒng)數(shù)據(jù)加密、身份認(rèn)證、用戶授權(quán)、反病毒、防火墻等安全技術(shù)應(yīng)用的合法性及有效性。

（三）信息化會(huì)計(jì)系統(tǒng)的內(nèi)部控制審計(jì)

在網(wǎng)絡(luò)環(huán)境下，由于系統(tǒng)建立和運(yùn)行的復(fù)雜性，內(nèi)部控制的范圍也相應(yīng)擴(kuò)大。因此，對(duì)信息化會(huì)計(jì)系統(tǒng)內(nèi)部控制的審計(jì)也應(yīng)有所改進(jìn)，具體內(nèi)容如下：①通過訪談了解被審單位有沒有制定適當(dāng)?shù)臋?quán)限標(biāo)準(zhǔn)體系，崗位人員是否按照所授予的權(quán)限對(duì)系統(tǒng)進(jìn)行操作。②審查是否將系統(tǒng)內(nèi)不相容職務(wù)劃分清楚，在數(shù)據(jù)輸出時(shí)，對(duì)不同密級(jí)的數(shù)據(jù)授予不同的權(quán)限。③被審單位的系統(tǒng)操作是否遵循一定的標(biāo)準(zhǔn)、操作規(guī)程進(jìn)行，即是否建立了嚴(yán)格的硬件操作規(guī)程、作業(yè)運(yùn)行規(guī)程、用機(jī)時(shí)間記錄規(guī)程以及操作員訪問系統(tǒng)的標(biāo)準(zhǔn)操作規(guī)程。④審查是否建立了數(shù)據(jù)備份與數(shù)據(jù)檔案管理制度。系統(tǒng)（包括數(shù)據(jù)）管理和備份數(shù)據(jù)與軟件管理是否由不同人承擔(dān)，系統(tǒng)進(jìn)行備份數(shù)據(jù)恢復(fù)時(shí)，是否由具體操作員和主管共同批準(zhǔn)。

（四）對(duì)信息化會(huì)計(jì)系統(tǒng)應(yīng)用程序的審計(jì)

信息化審計(jì)中對(duì)會(huì)計(jì)系統(tǒng)應(yīng)用程序的審計(jì)目標(biāo)有兩個(gè)：①程序處理過程是否與有關(guān)的標(biāo)準(zhǔn)及法規(guī)相符。②考核程序?qū)﹀e(cuò)誤的檢驗(yàn)和控制情況。為達(dá)到審計(jì)目標(biāo)，可運(yùn)用包括符合性測(cè)試和實(shí)質(zhì)性測(cè)試在內(nèi)的多種測(cè)試方法，對(duì)被審計(jì)應(yīng)用程序運(yùn)行過程中產(chǎn)生的數(shù)據(jù)的準(zhǔn)確性、可靠性、合法性進(jìn)行驗(yàn)證；也可運(yùn)用在被審系統(tǒng)中設(shè)立的審計(jì)控制點(diǎn)，定時(shí)與不定時(shí)地、成批或?qū)崟r(shí)地收集有關(guān)審計(jì)數(shù)據(jù)，以進(jìn)行審計(jì)驗(yàn)證。另外，還應(yīng)結(jié)合被審系統(tǒng)的特點(diǎn)，采用一些專門的技術(shù)和方法，例如模擬數(shù)據(jù)測(cè)試法、人工測(cè)試法、計(jì)算機(jī)輔助法、審計(jì)程序測(cè)試法等。

（五）充分利用網(wǎng)絡(luò)進(jìn)行輔助審計(jì)

在網(wǎng)絡(luò)環(huán)境下，審計(jì)人員應(yīng)充分利用網(wǎng)絡(luò)資源的優(yōu)勢(shì)，在審計(jì)各個(gè)工作階段實(shí)施網(wǎng)絡(luò)輔助審計(jì)，以提高審計(jì)工作效率：①利用網(wǎng)上Microsoft office 軟件強(qiáng)大的計(jì)算、分析、制表及文字編輯功能，可編制各類審計(jì)工作底稿，并可制成相應(yīng)的文件供隨時(shí)調(diào)用和遠(yuǎn)程發(fā)送；②通過計(jì)算機(jī)網(wǎng)絡(luò)自動(dòng)收集有關(guān)審計(jì)綜合信息、審計(jì)法規(guī)信息、審計(jì)項(xiàng)目信息、審計(jì)內(nèi)審信息等，為審計(jì)工作提供相關(guān)信息；③利用Internet的超級(jí)鏈接功能，在網(wǎng)上檢索被審企業(yè)的基本業(yè)務(wù)信息；在取得被審企業(yè)的網(wǎng)絡(luò)管理權(quán)限后可查詢并復(fù)制重要的財(cái)務(wù)信息；④借助嵌入審計(jì)程序?qū)W(wǎng)上數(shù)據(jù)處理的一些敏感環(huán)節(jié)進(jìn)行實(shí)時(shí)動(dòng)態(tài)的監(jiān)控，以滿足審計(jì)的需要；⑤利用 E-mail 向銀行、稅務(wù)、工商及往來(lái)單位發(fā)出電子郵件對(duì)被審企業(yè)的支付能力、納稅情況和信用狀況進(jìn)行調(diào)查與評(píng)價(jià)，以獲取有用的審計(jì)證據(jù)；⑥利用桌面視頻會(huì)議系統(tǒng)支持視頻、聲音、文件瀏覽協(xié)同修改等特點(diǎn)隨時(shí)召開可視會(huì)議，進(jìn)行調(diào)查、座談和取證，并可就重大審計(jì)問題進(jìn)行網(wǎng)上專家會(huì)診。

三、會(huì)計(jì)信息化審計(jì)所面臨的系統(tǒng)安全問題及其對(duì)策

會(huì)計(jì)信息系統(tǒng)所面臨的風(fēng)險(xiǎn)主要有：①利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶口令或電子賬號(hào)，冒充合法用戶作案，篡改磁性介質(zhì)記錄竊取資產(chǎn)。②利用網(wǎng)絡(luò)遠(yuǎn)距離竊取企業(yè)商業(yè)機(jī)密以換取錢財(cái)，或利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒以破壞企業(yè)信息系統(tǒng)。③建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)趨向“無(wú)紙化”，越來(lái)越多經(jīng)濟(jì)業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過電子貨幣賬單、銀行結(jié)算單及其他賬單，就有可能將公私財(cái)產(chǎn)的所有權(quán)進(jìn)行轉(zhuǎn)移。

針對(duì)信息系統(tǒng)所存在的風(fēng)險(xiǎn)，在審計(jì)過程中首先應(yīng)了解企業(yè)網(wǎng)絡(luò)的基礎(chǔ)情況；其次要達(dá)到安全控制的目標(biāo)(主要包括保證系統(tǒng)運(yùn)轉(zhuǎn)正常，數(shù)據(jù)完整可靠，保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復(fù)能力，對(duì)系統(tǒng)資源使用的授權(quán)與限制等)；還要了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計(jì)人員應(yīng)充分取得目前企業(yè)對(duì)網(wǎng)絡(luò)環(huán)境的安全保密計(jì)劃，了解所有有關(guān)的控制目標(biāo)的實(shí)現(xiàn)情況，系統(tǒng)還有哪些潛在的漏洞。并利用各種技術(shù)工具產(chǎn)品如網(wǎng)絡(luò)安全測(cè)試產(chǎn)品、網(wǎng)絡(luò)監(jiān)視產(chǎn)品、安全審計(jì)分析器，對(duì)企業(yè)現(xiàn)有的安全控制措施進(jìn)行測(cè)試。

同時(shí)，我們?cè)谂袛嘁粋€(gè)系統(tǒng)是否安全，不能單從雙方當(dāng)事人的判斷做出結(jié)論，而必須有第三方的專業(yè)審計(jì)人員通過審計(jì)做出評(píng)價(jià)，這時(shí)審計(jì)人員必須具有獨(dú)立性，站在公正、公平和中立的立場(chǎng)、角度做出客觀的評(píng)價(jià)，這種獨(dú)立性主要表現(xiàn)在以下兩個(gè)方面：①不管是在操作系統(tǒng)中還是在應(yīng)用軟件中，審計(jì)系統(tǒng)都應(yīng)作為一個(gè)獨(dú)立的系統(tǒng)而存在。②設(shè)立工作獨(dú)立、行為自主的計(jì)算機(jī)系統(tǒng)審計(jì)員。

另外，雖然如Netware、Windows、NT、UNIX等網(wǎng)絡(luò)安全操作系統(tǒng)，均提供了審計(jì)所需的安全功能，但由于操作系統(tǒng)提供的是面向整個(gè)系統(tǒng)的審計(jì)功能，不能考慮到各種應(yīng)用軟件的具體情況，不能很好地滿足各種客戶的需要。因此，計(jì)算機(jī)用戶可以根據(jù)應(yīng)用軟件的特點(diǎn)和自身需要，設(shè)計(jì)出有針對(duì)性的應(yīng)用軟件審計(jì)系統(tǒng)。我們說(shuō)從會(huì)計(jì)電算化到會(huì)計(jì)信息化審計(jì)，并不僅僅是一個(gè)名詞的改變，它更代表一種改革的觀念、一種新的審計(jì)思想、一種普遍的大趨勢(shì)。它將在網(wǎng)絡(luò)通信飛速發(fā)展的今天日益得到發(fā)展與完善，構(gòu)筑新的審計(jì)理論框架。

（作者單位：云南財(cái)貿(mào)學(xué)院會(huì)計(jì)學(xué)院溫州大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院）