两种IT审计方式的选择,本文主要内容关键词为:两种论文,方式论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
在实际的审计过程中,将企业财务信息系统分为两类,一种为简单的信息系统,另一种为复杂的信息处理系统。由此也可以将内控的评审方式分为“绕过计算机系统审计”和“通过计算机审计”两种。
1.简单的计算机系统通常指这样一种情况:企业通过独立的财务软件进行账务处理,业务运作的其他部分并没有直接与财务系统整合。电子化的凭证起到索引的作用,通过它们可以简便的查证手工形成的原始单据。
2.复杂的信息处理系统中,手工操作的痕迹已被淡化到最小程度。比如,销售单、出库单、发票等都由系统自动生成。一般制造企业的四个业务循环都被包括在整个计算机系统的运行操作中,同时原始凭证也大部分实现电子化。在一些大型的跨国公司、银行系统中,会计核算业务通常通过这一复杂的计算机系统实现。
下面根据这两种计算机系统的特征分别介绍适用于它们的审计方法。
绕过计算机系统审计
这种方法在目前的审计实务中应用最为广泛,并且在中小型计算机系统中它已经完全能够协助注册会计师了解内部控制情况,证实有关内控的设计和执行的效果。
常用的方法是:注册会计师在客户的系统中,直接分析财务数据形成的公式,通过公式设计的正确性判断企业账务处理的合理性。例如,很多企业通过常规设计的Excel程序计提个人所得税。注册会计师可以直接分析核算公式,以达到发现潜在重要错报、漏报的目的。
当然,这一方法简便却不完善。在审计过程中还必须考虑以下因素:
1.错误操作和错误输入的风险
即使计算机程序本身设计非常完好,仍然不能保证财务信息系统输出的结果不发生错误。导致输出错误的很大一部分原因在于手工数据录入的失误,又由于会计轨迹的不可见,发现这种错误显得更加困难。
2.系统应用的连续性
在一个会计年度内,计算机系统的计算过程是一致的,在连续的会计期间内,核算程序也应当保持一致。企业必须对信息系统程序做出的修改做出合理的解释,并发现未授权的程序更改。
由于以上问题的存在,很多时候还必须采用以下的方法:
注册会计师从客户系统中拷贝出电子文本,使用存储在个人电脑里的通用检测程序,重新计算并复核一些重要的数据。当客户系统的计算结果与注册会计师取得的结果一致时,内控执行较好;若结果存在较大的差异,注册会计师必须考虑产生这一差异的原因,分析其中是否存在可能影响重要错报风险的因素。如在符合性测试中,根据导出的企业固定资产台账重新测算折旧。
在符合性测试程序中,注册会计师还可以通过自己编写的简单程序检查被审计单位的业务活动和内部控制的运行情况,尤其是对关键控制点的审计中。以制造业企业为例,在四大业务循环中寻找相应的关键控制点,对评价企业控制风险,及时发现内控的薄弱领域起着至关重要的作用。首先对关键控制点进行全面的识别;再针对控制点编写简单的测试程序,以查看内控程序的适应性和有效性如何。通过这些简单的程序,审计人员可以很容易地发现某些可能导致潜在重要错报漏报的因素。比如,用Excel的编程功能根据公式测算现金坐支的情况等。
通过信息系统审计
这种审计方法通常适用于公司内部比较复杂的计算机处理程序。目前实务中最常用的方法有:测试数据法、平行模拟法和嵌入审计模型法。
1.测试数据法
注册会计师在评价组织内部控制时,通常使用这种方法。选取一组具有代表性的数据,输入计算机系统,测试软件整体的合规性。比如,某企业在内控标准中确定高于5万元以上的赊销必须经过高层的授权审批,此时可以分别输入小于5万元、5万元、大于5万元的数据进行测试,考虑系统出现错报的风险。
2.平行模拟法
平行模拟法是指审计人员自己或请计算机专业人员编写的具有和被审程序相同处理和控制功能的模拟程序,用这种程序处理当期的实际数据,把处理的结果与被审程序的处理结果进行比较,是评价被审程序的处理和控制功能是否可靠的一种方法。这种方法开发的模拟系统难度较大且成本较高。
3.嵌入审计法
注册会计师可以在被审的应用程序中嵌入为执行特定审计功能而审计的程序段。当实际业务数据输入被审系统,由被审程序对其进行处理时,审计程序也对数据进行检查。这种方法要求在系统设计和开发阶段就编写好程序段,对系统安全性也要求很高。