我国审计机关计算机审计的一些最新发展,本文主要内容关键词为:机关论文,我国论文,计算机论文,最新论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、李金华审计长有关计算机审计的重要讲话
1999年,李金华审计长指出:“要从系统论、信息论的高度来研究计算机审计。把审计对象作为一个系统,让被审计单位的信息都在审计监督范围之内。审计人员到一个单位去,一进去就把整个资料都掌握住,通过系统分析、对照、比较,选择其中最薄弱的部分作为重点,找出核心问题在哪里,从总体上把握。不是像过去那样瞎碰,逮着什么算什么。用计算机模拟出审计方案,安排审计计划时就通过数据模型来分析,就很清楚审计抓什么。从整个系统论、信息论的高度开发利用计算机,这是我们的最终目的。”
李金华审计长在中国航空集团审计现场就计算机审计的谈话:
“现在,计算机审计的水平是三个层次。第一个层次是仅仅用计算机建立资料库、法规库,搞一些办公自动化。这也是必要的,但这只是初始阶段,不要把水平停留在这个层次上。第二个层次就是用计算机进行辅助审计,对数据进行转换,用一些小模块进行分析。一部分单位做到了这一步,但还不是太多,做到这一步已经不错了。你们是第三个层次,做到了用系统论指导信息化环境下的计算机审计,是真正的计算机审计。”
“一定要用系统论的思维去认识计算机审计。计算机审计不只是审计技术方法的变化。如果不用系统论的思维去认识计算机审计,就不可能实现创新。计算机审计是思维方式的转变。绝对不只是技术与方法的问题。系统论讲的是事物之间的联系,是规律。系统论要求思维是立体的,不是平面的。我们的计算机审计也是这样,不怕被审计单位不配合,不怕被审计单位做假、提供假数据,关键看你的技术掌握得怎么样。”
“计算机审计的核心在于系统论。做到了这一点,审计质量和水平就会有很大的提高。过去我们审计一个小的单位可以不用计算机,就几本账,一目了然。可是现在单位数据量是很大的,也是很多的,不是人多人少的问题,如果不搞系统论,不摘审计方式创新,就是派500个审计人员也不行。如果500个审计人员都用手工操作的话,每个人只能看自己那一部分,就做不到总体把握。唯一的办法,就是要有一两个人或两三个人运用崭新的思维方式和审计方式,把所有的资料都掌握在自己手中,这就叫总揽全局。总揽全局就靠指挥者对所有资料的掌握、分析,被审计单位的薄弱环节就一目了然,然后去延伸、取证就容易了,对被审计单位的总体评价也就出来了。这里面就有违法违规问题、财务管理问题,也有效益问题。我相信你们最后的成果一定是效益上的成果,包括管理问题、绩效问题。比如这个单位一段时间投入很大,产出很小,就可以分析为什么是这个结果。”
“你们讲要有复合型的人才,讲得很对。没有复合型的人才绝对不行。既要懂计算机,又要熟悉审计业务,同时还要有好的思维方式。我相信熟悉掌握计算机审计的人是审计署最聪明的人。数字化特派办的建设是一个复杂的问题,不是靠一两个人就能解决的,要培养一大批人才。”
目前,我国审计机关计算机审计在多方面有了新的发展,下面介绍其中主要的几个方面。
二、逐步规范了利用计算机审计的流程
刚开始开展计算机审计时,我国审计人员都没有经验,各人凭自己的理解去做,审计流程很不规范。经过了多年的实践,按照审计长指明的方向,我国审计机关目前已逐步规范了利用计算机审计的七步主要流程,流程的规范可使利用计算机审计更有效地进行。
(一)审前调查,获取必要和充分的信息
审前调查以审计目的为依据进行。在进行调查时,首先应对被审计单位组织结构和计算机信息系统总体设置情况进行了解,在此基础上对计算机信息系统的硬件、操作系统、应用软件、数据库管理系统和数据的组织与存储等进行深入的调查,根据审计目的确定要审查和访问的数据。
(二)采集数据
审计处理不能直接在被审计单位的数据库进行。在审前调查提出的数据需求基础上,审计人员要按照审计目标,采用适当的工具和方法,对被审计单位信息系统中的数据文件进行采集,以备审计处理用。采集应有明确的目的性。数据采集是计算机数据审计的基础。
(三)数据转换、清理和验证
因为计算机审计要面对不同的信息系统,数据转换技术必须解决对被审计单位不同类型数据库格式的识别问题,将具有各种不同形式的数据转换成审计软件处理所需的形式相对统一的数据。另外,数据转换还要解决对采集到的原始数据的含义进行识别的问题,明确地标识出每张表、每个字段的经济含义及其相互之间的关系。数据转换还包括:数据类型转换、日期时间格式转换、代码转换和必要的表表合并等。
由于被审计单位数据来源众多、种类繁杂,往往会存在不少数据质量问题,这些问题将直接影响后续审计工作所得出的审计结论的准确性。因此,数据采集后,审计人员必须对从被审计单位获得的原始电子数据进行清理,解决数据的不完整、不一致和出现异常值等问题。数据清理可以在数据转换之前进行,也可在数据转换之后进行。
数据验证是要确认被审计单位提供的源数据、审计人员采集的电子数据的真实性、正确性和完整性,验证电子数据对被审计单位实际经济业务活动的真实反映程度,排除被审计单位有意识隐瞒、修改部分数据的可能性。还要检查数据在采集过程中是否发生遗漏,确认数据的正确性、完整性。数据验证的具体技术和方法主要包括:核对记录数据、核对总金额、检查借贷平衡等。
(四)建立审计中间表
为方便对被审计单位数据库中的数据进行审计分析,必须对清理、转换、验证后的源数据按审计目的进行“再加工”,构成能适用于审计分析的数据表——审计中间表,就是运用系统论的观点,把相关的信息按审计的目的有机组织在一起。
建立审计数据中间表是个逐步进行的过程。在对数据进行清理、转换和验证后,就应建立初步的中间表,主要是为审计人员提供后续审计所需的数据资源,如:把内部信息和外部相关信息关联起来,建立表与表的连接等。这一阶段创立的“中间表”是一个数据资源平台。在建立审计分析模型进行具体的数据分析时,还要进行分析性“中间表”的建立,即按照建立的审计分析模型,对源数据再进行记录选择、字段选择、连接等处理,以便分析处理,得出分析结果。
(五)多维分析、把握总体,锁定重点,写出数据分析报告
多维分析是充分利用电子数据的特点和规律,对海量数据进行切片、切块、旋转、钻取、挖掘等多角度立体分析处理,以发现数据的趋势和异常的一种技术。运用多维分析技术有利于对审计对象进行总体把握。分析后要撰写数据分析报告。数据分析报告要对被审计单位的经营状况和财务核算作出科学的评价,揭示出问题的主要线索,指导下一步的延伸取证。
(六)建立个体模型,内外关联,筛选分析数据
把握总体情况、锁定审计重点之后,进一步利用对相关法律法规的把握、对数据间勾稽关系的认识、对被审计单位业务处理逻辑的认知、对外部数据与内部数据间关联关系的分析以及审计实践中不断积累的审计经验,建立起不同的个体分析模型,对锁定的审计重点进行进一步的深入分析,以达到核查问题或筛选线索的目的,从而为延伸取证提供明确具体的目标。在这一步要完成数据分析报告。
(七)延伸落实,审计取证
通过建立审计分析模型进行数据分析,有可能直接发现、落实问题,也有可能只发现问题的线索。针对不同的情况,审计人员在延伸时可以采取直接或进一步核查的方式取证,验证问题、落实问题。
三、对计算机信息系统审计进行了初步探索
对计算机信息系统审计包括信息系统的开发审计和已投入使用的信息系统的处理和控制功能审计,或者说是对系统的生命周期和应用程序的审计。由于对计算机信息系统审计要求审计人员要有高深的计算机信息系统及其开发的知识和技能,对信息系统审计是我国计算机审计中的最薄弱环节。
从2000年以来,我国审计机关陆续尝试开展了对多家银行的部分信息系统(如存款计息子系统、个人消费贷款系统、资金管理系统、信用卡系统等)和对海关H883系统的审计,取得了喜人的成果,初步总结出符合我国目前实际情况的信息系统审计目标、步骤和方法。
结合我国国情,信息系统审计的主要目标定位于对信息系统处理和控制功能进行测试和评估上,以揭示执行经济业务处理和会计信息处理的信息系统在设计、运行、管理和维护中的合法性、正确性、有效性和安全性,分析存在问题对系统的处理和提供的信息可能的影响,确定对被审系统可信赖的程度。通过审计促进被审计单位加强管理,完善风险控制,并为后续审计的方向和重点提供参考。
信息系统审计的步骤是:(1)审计准备:进行审前调查,收集系统的文档资料和相关业务的法规,了解系统应有的处理和控制功能。(2)系统评估:通过上述调查,评估系统的风险和控制的健全性,发现系统易出问题的环节和可能存在的缺陷。(3)审查测试:采用手工与计算机相结合的方式,运用恰当的方法,测试系统功能的合规性、正确性、有效性和安全性。(4)总评与报告:根据测试结果对信息系统进行总体评价,编写审计报告。
我国审计机关对信息系统的测试方法主要是数据测试法和并行模拟法。数据测试法包括用测试数据对系统进行测试和对系统实际处理的数据进行审查,通过检查被审系统对数据处理的结果,评估系统功能的恰当性。并行模拟法是用审计人员自己编写的、具有被审程序应有功能的模拟程序,对被审计单位的真实数据进行重新处理,把模拟程序处理结果与被审计系统的处理结果比较,进而评估系统功能的恰当性。对信息系统审计的测试重点是系统处理的算法和主要的控制规则。
四、摸索出在审计中有效利用外部关联数据的方法
外部关联数据是指存于被审计单位信息系统以外的,能帮助审计人员核对被审计单位数据的电子数据。随着信息化的发展,建立信息系统的单位越来越多,利用外部关联数据进行审计分析,可有效解决审计中信息不对称问题,提高审计质量。近几年来,我国审计机关在利用计算机审计中,多次成功地利用外部关联数据进行审计,解决了以前难以突破的困难。例如,在审查xx省x县农村合作医疗参加率,核实参加人数真实性的审计调查中,审计人员对合作医疗系统中的内部数据(合作医疗登记表)与外部数据(农村人口户籍表)按乡村对姓名比较,结果发现了近三万五千名“参合”者不在户籍表中,很快就把虚假“参合”者找出来,再按乡村汇总,这部分虚假的“参合”率很快可算出。又如,在某海关审计中,把海关系统的内部数据(进口报送单)与外部数据(码头实际进口货物放行数据表)按报关单号和提单号核对,很快发现了该海关存在严重的实际已放行进口,但没有履行报送手续的情况。经过追查,原来是海关某些人利用职务之便,编写了可生成放行信息的舞弊程序加挂在海关的通关管理系统上,待货物实际放行后,再删除舞弊程序产生的虚假报关资料,通过技术手段实施闯关走私进口。在海关审计中对出口资料的审查也采取了类似的外部数据核对方法。
由于外部数据由被审计单位以外的信息系统处理和保存,被审计单位难以按自己的目的进行篡改,它可为审计提供有效的参照。在实践中,我国审计人员摸索出了有效利用外部关联数据进行审计的方法。在进行数据审查前,审计人员不仅要分析被审计单位的财务数据之间、业务之间、财务与业务数据之间的关系,对这些应有的关系进行检查核对,而且要分析被审计单位的内部数据与哪些单位的哪些外部数据应该存在着逻辑关系,用系统论的观点考虑为达到审计目标,可把哪些外部数据与被审计单位的内部数据进行核对检查。有效利用外部关联数据,提高审计的效率和质量。
五、初步构建了计算机审计的质量控制模型
在我国,审计机关开展计算机审计已经多年了,但仍没有计算机审计准则和指南。随着审计人员计算机技术水平的不断提高,计算机审计的操作过程和使用的技术方法出现多样性。多样性带来了计算机审计的繁荣,同时也带来了计算机审计风险和质量控制的新问题。为促进计算机审计的健康和持续发展,制定我国的计算机审计准则、规范计算机审计程序、评价计算机审计质量,是我国目前迫切需要研究的重要课题。但这些研究总的来说现在还处在探索的起步阶段。
在规范计算机审计程序、控制计算机审计质量方面,审计署驻京津冀特派员办事处首先提出了我国计算机审计的质量控制模型,做出了突出贡献。模型主要以利用计算机进行数据审计的流程为主线,根据计算机审计的质量指标:真实性、合法性、有效惟、选择性等,规范了从审前调查、制定审计方案、数据采集、转换、清理,一直到数据审查、分析的各个步骤的控制目标、控制标准和实现方法。除利用计算机进行数据审计外,质量控制模型还探讨了对信息系统及其内部控制审计的质量控制,主要包括一般控制审计、应用控制的审计、信息系统生命周期和应用软件等审计的控制目标、控制标准和实现方法。该质量控制模型将在我国的计算机审计实践中不断完善。
标签:审计软件论文; 审计计划论文; 审计质量论文; 会计与审计论文; 审计准则论文; 审计目标论文; 审计流程论文; 审计方法论文; 数据转换论文; 电脑论文;