周映群 何永斌
所謂會(huì)計(jì)信息化審計(jì)是指審計(jì)人員接受委托或授權(quán),收集并評(píng)估證據(jù)以判斷一個(gè)計(jì)算機(jī)系統(tǒng)(主要會(huì)計(jì)信息系統(tǒng))是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整并最有效率地完成組織目標(biāo)的活動(dòng)過程。它既包括信息系統(tǒng)外部審計(jì)的鑒證目標(biāo)——即對(duì)被審計(jì)單位的信息系統(tǒng)保護(hù)資產(chǎn)安全及數(shù)據(jù)完整的鑒證,又包含內(nèi)部審計(jì)的管理目標(biāo)——即不僅包括被審計(jì)信息系統(tǒng),保護(hù)資產(chǎn)安全及數(shù)據(jù)完整,而且包括信息系統(tǒng)的有效性目標(biāo)。
一、會(huì)計(jì)信息化審計(jì)與電算化審計(jì)的區(qū)別
會(huì)計(jì)信息化審計(jì)來(lái)源于會(huì)計(jì)電算化,但它們有著本質(zhì)的區(qū)別,首先,會(huì)計(jì)電算化審計(jì)只是將計(jì)算機(jī)僅僅當(dāng)作手工作業(yè)審計(jì)的工具和奴隸,只意味著審計(jì)手段的改變;其次,會(huì)計(jì)電算化審計(jì)對(duì)象局限于財(cái)政財(cái)務(wù)收支,難以擴(kuò)大到與經(jīng)濟(jì)效益有關(guān)的經(jīng)營(yíng)管理和其他領(lǐng)域;第三,電算化會(huì)計(jì)技術(shù)由于模擬手工作業(yè)審計(jì)的審計(jì)過程,不僅未充分考慮計(jì)算機(jī)信息系統(tǒng)的特點(diǎn)(如:隱形化、程序化、不盡安全等),而且未充分利用現(xiàn)代信息技術(shù)(通訊、網(wǎng)絡(luò)等)的特點(diǎn)和優(yōu)勢(shì),這不能不說(shuō)是對(duì)現(xiàn)有資源的巨大浪費(fèi);同樣,如果只把計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用于先進(jìn)的工作程序的自動(dòng)化,也是沒有認(rèn)識(shí)到它的潛能。但會(huì)計(jì)信息化審計(jì)則不同,它是建立在對(duì)現(xiàn)代信息技術(shù)(計(jì)算機(jī)、網(wǎng)絡(luò)和通信等)、對(duì)傳統(tǒng)審計(jì)模式進(jìn)行重構(gòu),并在重構(gòu)的現(xiàn)代化審計(jì)模式上通過評(píng)價(jià)來(lái)控制會(huì)計(jì)信息系統(tǒng)。據(jù)此發(fā)展的會(huì)計(jì)信息化審計(jì)技術(shù)就是在計(jì)算機(jī)系統(tǒng)中模擬社會(huì)的審計(jì)工作,對(duì)計(jì)算機(jī)系統(tǒng)的活動(dòng)進(jìn)行監(jiān)視和記錄的一種安全技術(shù)。運(yùn)用會(huì)計(jì)信息化審計(jì)技術(shù)的目的就是讓對(duì)計(jì)算機(jī)系統(tǒng)的各種訪問留下痕跡,使計(jì)算機(jī)犯罪行為留下證據(jù),計(jì)算機(jī)審計(jì)技術(shù)的運(yùn)用形成了會(huì)計(jì)信息化審計(jì)系統(tǒng)。會(huì)計(jì)信息化審計(jì)是適應(yīng)變化后環(huán)境的需要。計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)的會(huì)計(jì)系統(tǒng)的開放與系統(tǒng)共享,而開放與共享應(yīng)是以安全為基礎(chǔ)的。企業(yè)一方面通過網(wǎng)絡(luò)開放自己,向全世界推銷自己的形象和產(chǎn)品,實(shí)現(xiàn)電子貿(mào)易、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財(cái)務(wù)秘密,而其中實(shí)現(xiàn)了電子化即具有貨幣價(jià)值的會(huì)計(jì)秘密、理財(cái)秘密是最重要的。會(huì)計(jì)信息化審計(jì)要求我們有必要?jiǎng)?chuàng)造一個(gè)安全的環(huán)境,抵抗來(lái)自系統(tǒng)內(nèi)外的各種干擾和威脅,做到該開放的開放該共享的共享,該封閉的要讓黑客無(wú)奈。因此,無(wú)論是從數(shù)據(jù)的完整、真實(shí)、及時(shí)方面,還是從審計(jì)線索清晰度與系統(tǒng)安全方面來(lái)看,信息化審計(jì)是電算化審計(jì)基礎(chǔ)上一個(gè)質(zhì)的飛躍。
二、會(huì)計(jì)信息化審計(jì)的主要內(nèi)容及方法
會(huì)計(jì)信息化審計(jì)包含兩層意思:一是對(duì)信息化會(huì)計(jì)系統(tǒng)的審計(jì),二是利用網(wǎng)絡(luò)進(jìn)行輔助審計(jì)。但是,由于現(xiàn)代信息技術(shù)已發(fā)展到第二階段 —— 網(wǎng)絡(luò)信息技術(shù)階段,從而使會(huì)計(jì)信息化審計(jì)與電算化審計(jì)及傳統(tǒng)手工審計(jì)相比,在審計(jì)內(nèi)容和方法上有了很大的不同。其主要內(nèi)容及方法如下:
(一)審計(jì)線索的追蹤審查
在手工會(huì)計(jì)系統(tǒng)中,每一個(gè)步驟都會(huì)產(chǎn)生相應(yīng)的紙性介質(zhì)的會(huì)計(jì)資料,審計(jì)線索十分清楚;在電算化會(huì)計(jì)系統(tǒng)中,加工過程的自動(dòng)化可能導(dǎo)致部分可視性線索消失,但交易伙伴間的信息交換大多還是通過紙面文件的形式來(lái)完成,審計(jì)人員可以利用“繞過計(jì)算機(jī)審計(jì)方法”獲得所需的審計(jì)證據(jù);在信息化會(huì)計(jì)系統(tǒng)中,許多業(yè)務(wù)的談判、簽約甚至交易,都是在網(wǎng)上進(jìn)行,資金的結(jié)算也通過信用卡等在網(wǎng)上交割,經(jīng)濟(jì)業(yè)務(wù)信息按一定程序在網(wǎng)上自動(dòng)生成會(huì)計(jì)信息并傳送,整個(gè)交易過程幾乎呈現(xiàn)無(wú)紙化態(tài)勢(shì),審計(jì)人員很難獲取所需的審計(jì)線索。因此,必須采用如下方法來(lái)保留審計(jì)線索:①在系統(tǒng)內(nèi)建立日志和追蹤文件,以審查在數(shù)據(jù)處理過程中是否有過渡文件被修改和處理。②在審計(jì)機(jī)構(gòu)和簽字確認(rèn)的單位同時(shí)形成原始數(shù)據(jù)的備份或在不同部門各自形成相關(guān)的數(shù)據(jù)庫(kù),這樣既可以相互監(jiān)督,又可以使審計(jì)線索得以保留。③還可采取就地審計(jì)和突擊審計(jì)的方式,以防程序員對(duì)被審系統(tǒng)的應(yīng)用程序加以篡改,防止操作員對(duì)被審計(jì)系統(tǒng)數(shù)據(jù)文件進(jìn)行增加、刪除、修改等。
(二)信息化會(huì)計(jì)系統(tǒng)的安全性審計(jì)
在網(wǎng)絡(luò)環(huán)境下,由于網(wǎng)絡(luò)的開放性,一方面提供了會(huì)計(jì)信息的共享性,另一方面,電子形式的會(huì)計(jì)信息又會(huì)受到諸如網(wǎng)絡(luò)故障、計(jì)算機(jī)病毒、計(jì)算機(jī)黑客和非法者入侵等潛在威脅的影響,這些都會(huì)嚴(yán)重威脅會(huì)計(jì)信息和數(shù)據(jù)的安全、完整,嚴(yán)重時(shí)可能導(dǎo)致會(huì)計(jì)信息系統(tǒng)的崩潰。這樣在信息化審計(jì)中,保障會(huì)計(jì)信息的安全性,以控制審計(jì)風(fēng)險(xiǎn),就顯得比以往更加突出,并成為信息化審計(jì)的最重要問題之一。因此,審計(jì)人員應(yīng)從制度化控制和程序化控制兩方面加強(qiáng)系統(tǒng)安全審計(jì):①了解被審企業(yè)對(duì)國(guó)家及上級(jí)主管部門頒發(fā)的計(jì)算機(jī)法規(guī)條例的遵守情況,檢查被審企業(yè)是否建立、完善并實(shí)施系列安全管理制度;②定期進(jìn)行系統(tǒng)安全測(cè)試,以評(píng)價(jià)系統(tǒng)數(shù)據(jù)加密、身份認(rèn)證、用戶授權(quán)、反病毒、防火墻等安全技術(shù)應(yīng)用的合法性及有效性。
(三)信息化會(huì)計(jì)系統(tǒng)的內(nèi)部控制審計(jì)
在網(wǎng)絡(luò)環(huán)境下,由于系統(tǒng)建立和運(yùn)行的復(fù)雜性,內(nèi)部控制的范圍也相應(yīng)擴(kuò)大。因此,對(duì)信息化會(huì)計(jì)系統(tǒng)內(nèi)部控制的審計(jì)也應(yīng)有所改進(jìn),具體內(nèi)容如下:①通過訪談了解被審單位有沒有制定適當(dāng)?shù)臋?quán)限標(biāo)準(zhǔn)體系,崗位人員是否按照所授予的權(quán)限對(duì)系統(tǒng)進(jìn)行操作。②審查是否將系統(tǒng)內(nèi)不相容職務(wù)劃分清楚,在數(shù)據(jù)輸出時(shí),對(duì)不同密級(jí)的數(shù)據(jù)授予不同的權(quán)限。③被審單位的系統(tǒng)操作是否遵循一定的標(biāo)準(zhǔn)、操作規(guī)程進(jìn)行,即是否建立了嚴(yán)格的硬件操作規(guī)程、作業(yè)運(yùn)行規(guī)程、用機(jī)時(shí)間記錄規(guī)程以及操作員訪問系統(tǒng)的標(biāo)準(zhǔn)操作規(guī)程。④審查是否建立了數(shù)據(jù)備份與數(shù)據(jù)檔案管理制度。系統(tǒng)(包括數(shù)據(jù))管理和備份數(shù)據(jù)與軟件管理是否由不同人承擔(dān),系統(tǒng)進(jìn)行備份數(shù)據(jù)恢復(fù)時(shí),是否由具體操作員和主管共同批準(zhǔn)。
(四)對(duì)信息化會(huì)計(jì)系統(tǒng)應(yīng)用程序的審計(jì)
信息化審計(jì)中對(duì)會(huì)計(jì)系統(tǒng)應(yīng)用程序的審計(jì)目標(biāo)有兩個(gè):①程序處理過程是否與有關(guān)的標(biāo)準(zhǔn)及法規(guī)相符。②考核程序?qū)﹀e(cuò)誤的檢驗(yàn)和控制情況。為達(dá)到審計(jì)目標(biāo),可運(yùn)用包括符合性測(cè)試和實(shí)質(zhì)性測(cè)試在內(nèi)的多種測(cè)試方法,對(duì)被審計(jì)應(yīng)用程序運(yùn)行過程中產(chǎn)生的數(shù)據(jù)的準(zhǔn)確性、可靠性、合法性進(jìn)行驗(yàn)證;也可運(yùn)用在被審系統(tǒng)中設(shè)立的審計(jì)控制點(diǎn),定時(shí)與不定時(shí)地、成批或?qū)崟r(shí)地收集有關(guān)審計(jì)數(shù)據(jù),以進(jìn)行審計(jì)驗(yàn)證。另外,還應(yīng)結(jié)合被審系統(tǒng)的特點(diǎn),采用一些專門的技術(shù)和方法,例如模擬數(shù)據(jù)測(cè)試法、人工測(cè)試法、計(jì)算機(jī)輔助法、審計(jì)程序測(cè)試法等。
(五)充分利用網(wǎng)絡(luò)進(jìn)行輔助審計(jì)
在網(wǎng)絡(luò)環(huán)境下,審計(jì)人員應(yīng)充分利用網(wǎng)絡(luò)資源的優(yōu)勢(shì),在審計(jì)各個(gè)工作階段實(shí)施網(wǎng)絡(luò)輔助審計(jì),以提高審計(jì)工作效率:①利用網(wǎng)上Microsoft office 軟件強(qiáng)大的計(jì)算、分析、制表及文字編輯功能,可編制各類審計(jì)工作底稿,并可制成相應(yīng)的文件供隨時(shí)調(diào)用和遠(yuǎn)程發(fā)送;②通過計(jì)算機(jī)網(wǎng)絡(luò)自動(dòng)收集有關(guān)審計(jì)綜合信息、審計(jì)法規(guī)信息、審計(jì)項(xiàng)目信息、審計(jì)內(nèi)審信息等,為審計(jì)工作提供相關(guān)信息;③利用Internet的超級(jí)鏈接功能,在網(wǎng)上檢索被審企業(yè)的基本業(yè)務(wù)信息;在取得被審企業(yè)的網(wǎng)絡(luò)管理權(quán)限后可查詢并復(fù)制重要的財(cái)務(wù)信息;④借助嵌入審計(jì)程序?qū)W(wǎng)上數(shù)據(jù)處理的一些敏感環(huán)節(jié)進(jìn)行實(shí)時(shí)動(dòng)態(tài)的監(jiān)控,以滿足審計(jì)的需要;⑤利用 E-mail 向銀行、稅務(wù)、工商及往來(lái)單位發(fā)出電子郵件對(duì)被審企業(yè)的支付能力、納稅情況和信用狀況進(jìn)行調(diào)查與評(píng)價(jià),以獲取有用的審計(jì)證據(jù);⑥利用桌面視頻會(huì)議系統(tǒng)支持視頻、聲音、文件瀏覽協(xié)同修改等特點(diǎn)隨時(shí)召開可視會(huì)議,進(jìn)行調(diào)查、座談和取證,并可就重大審計(jì)問題進(jìn)行網(wǎng)上專家會(huì)診。
三、會(huì)計(jì)信息化審計(jì)所面臨的系統(tǒng)安全問題及其對(duì)策
會(huì)計(jì)信息系統(tǒng)所面臨的風(fēng)險(xiǎn)主要有:①利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶口令或電子賬號(hào),冒充合法用戶作案,篡改磁性介質(zhì)記錄竊取資產(chǎn)。②利用網(wǎng)絡(luò)遠(yuǎn)距離竊取企業(yè)商業(yè)機(jī)密以換取錢財(cái),或利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒以破壞企業(yè)信息系統(tǒng)。③建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)趨向“無(wú)紙化”,越來(lái)越多經(jīng)濟(jì)業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過電子貨幣賬單、銀行結(jié)算單及其他賬單,就有可能將公私財(cái)產(chǎn)的所有權(quán)進(jìn)行轉(zhuǎn)移。
針對(duì)信息系統(tǒng)所存在的風(fēng)險(xiǎn),在審計(jì)過程中首先應(yīng)了解企業(yè)網(wǎng)絡(luò)的基礎(chǔ)情況;其次要達(dá)到安全控制的目標(biāo)(主要包括保證系統(tǒng)運(yùn)轉(zhuǎn)正常,數(shù)據(jù)完整可靠,保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復(fù)能力,對(duì)系統(tǒng)資源使用的授權(quán)與限制等);還要了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計(jì)人員應(yīng)充分取得目前企業(yè)對(duì)網(wǎng)絡(luò)環(huán)境的安全保密計(jì)劃,了解所有有關(guān)的控制目標(biāo)的實(shí)現(xiàn)情況,系統(tǒng)還有哪些潛在的漏洞。并利用各種技術(shù)工具產(chǎn)品如網(wǎng)絡(luò)安全測(cè)試產(chǎn)品、網(wǎng)絡(luò)監(jiān)視產(chǎn)品、安全審計(jì)分析器,對(duì)企業(yè)現(xiàn)有的安全控制措施進(jìn)行測(cè)試。
同時(shí),我們?cè)谂袛嘁粋€(gè)系統(tǒng)是否安全,不能單從雙方當(dāng)事人的判斷做出結(jié)論,而必須有第三方的專業(yè)審計(jì)人員通過審計(jì)做出評(píng)價(jià),這時(shí)審計(jì)人員必須具有獨(dú)立性,站在公正、公平和中立的立場(chǎng)、角度做出客觀的評(píng)價(jià),這種獨(dú)立性主要表現(xiàn)在以下兩個(gè)方面:①不管是在操作系統(tǒng)中還是在應(yīng)用軟件中,審計(jì)系統(tǒng)都應(yīng)作為一個(gè)獨(dú)立的系統(tǒng)而存在。②設(shè)立工作獨(dú)立、行為自主的計(jì)算機(jī)系統(tǒng)審計(jì)員。
另外,雖然如Netware、Windows、NT、UNIX等網(wǎng)絡(luò)安全操作系統(tǒng),均提供了審計(jì)所需的安全功能,但由于操作系統(tǒng)提供的是面向整個(gè)系統(tǒng)的審計(jì)功能,不能考慮到各種應(yīng)用軟件的具體情況,不能很好地滿足各種客戶的需要。因此,計(jì)算機(jī)用戶可以根據(jù)應(yīng)用軟件的特點(diǎn)和自身需要,設(shè)計(jì)出有針對(duì)性的應(yīng)用軟件審計(jì)系統(tǒng)。我們說(shuō)從會(huì)計(jì)電算化到會(huì)計(jì)信息化審計(jì),并不僅僅是一個(gè)名詞的改變,它更代表一種改革的觀念、一種新的審計(jì)思想、一種普遍的大趨勢(shì)。它將在網(wǎng)絡(luò)通信飛速發(fā)展的今天日益得到發(fā)展與完善,構(gòu)筑新的審計(jì)理論框架。
(作者單位:云南財(cái)貿(mào)學(xué)院會(huì)計(jì)學(xué)院溫州大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院)