信息技术在内部审计工作中的应用
信息技术在内部审计工作中的应用
我国内部审计发展的初期是国家要求企业建立审计制度,企业处于&lsqธuo;要我建’的被动状态;随着内部审计的作用逐渐被认识,企业从‘要我建’的被动状态转变为‘我要建’的主动状态。但是,我国目前内部审计人员往往将大部分精力投入到财务数据的真实性、合法性的查证及生产经营的监督上,审计的主要职能就是查错防弊而不是对企业管理作出分析、评价和提出管理建议,审计的对象主要是会计报表、账本、凭证及相关资料,其主要工作都集中在财务领域而未深入到管理和经营领域。
▲ 一、会计电算化系✫统内部控制的主 要内容1、组织与管理控制。⑴适当的职责分离。这就是设置网络管理中心,由网管中心全盘规划合理布局,采取措施确保各工作站、终端和人员之间适当的职责分离。⑵优化配置人力资源。良好的人力资源管理政策对于企业内部控制的顺利实施起着关键性的作用。因此要制定措施确保人力资源的合理利用。⑶发挥内部审计的作用。内部审计的本质是一种特殊的组织控制。通过内部审计部门对会计电算化系统信息的质量和完整性进行独立和公正地监督与评价,有利于系统内部自我约束、自我激励机制的建立与键全。
2、系统开发控制。系统开发控制是为保证会计电算化系统开发过程中各项活动的合法性和有效性而设计的控制措施,它应贯穿于系统规划、系统分析、系统设计、系统实施和系统运行测试与维护的各个阶段。共主要内容包括如下:⑴明确开发目标,制定项目管理计划,进行项目的可行性研究与分析;控制开发进度监督开发质量,检查各功能模块设置的合理性及程序设计的可靠性,提高系统的可审性。⑵利用计算机测试的功能,检验整个系统的完整性,并应对非法数据的容错能力、系统抗干扰能力和发生突发事件的应变能力以及系统遭遇破坏后的恢复能力进行重点测试;做好人员和设备等资源的整合配置以及初始数据的安全导入,保证新旧系统的转换有序进行。⑶一旦发现会计电算化系统各类软件可能存在安全漏洞,应立即进行修补与升级,并将所有与软件修改有ถ关的记录报告及时存储归档。3、日常操作系统管理控制。⑴制定上机操作规程。主要包括软、硬件操作规程、作业运行规程和用机时间记录规程等。⑵加强系统人员的操作管理。人作为系统主体是会计电算化发展的基本动力和信息安全的最终防线。人员操作管理的重点是权限控制。系统管理员被赋予超级用户管理权限,主要负责系统硬、软件的管理维护和系统资源分配,操作人员应按照被授予的权限严格作业,不得越权接触系统,系统程序员不得进行业务操作,以避免人为因素或操作不当给操作系统带来不必要的损失和风险。⑶建立计算机资源访问授权和身份认证制度。即明确每个用户的安全级别和身份标识,并分别定义具体的访问对象;⑷建立安全稽核机制。对系统操作的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监控和记录,进行必要的权限设置,以便能够对各种不同的权限进行用户识别和远程请求识别。⑸设置安全检测预警系统。即实时寻找具有网络攻击特征和违反网络安全策略的数据流,实时响应和报警,阻断非法的网络链接,对事件涉及的主机实施进一步跟踪,创造一种漏洞检测与实时监控相结合的可持续改进的安全模式。
4、会计电算化系统安全控制。⑴硬件设备安全控制。硬件设备安全主要涉及计算机机房环境和没备的技术安全要求。应制定计算机机房和设备的管理制度、岗位职责和操作规程,严格禁止无关人员接触系统,专机专用;计算机机房应充分满足防火、防潮防尘、防磁和防辐射及恒温等技术要求,关键性的硬件设备可采用双系统备份。⑵系统软件安全控制。严格控制系统软件的安装与修改,对系统软件进行定期的预防性检查,系统被破坏时要求系统软件具备紧急响应、强制备份、快速重构和快速恢复的功能。⑶会计信息安全控制。会计信息安全的基础是密码学。按加密和解密算法所用的密钥是否相同,将密码分为对称密钥密码体制和非对称密钥密码体制。后者在信息安全管理方面得到了广泛的应用。如通信线路上的数据流加密,数据库中的数据文件加密,访问者的身份认证,数字签名等。除密码学之外,模式识别的方法也在网络信息安全方面得到应用。如指纹识别、面容识别在身份认证中具有很好的作用。⑷系统入侵防范控制。为了防止非法用户对会计电算化系统的入侵,应采取设置防火墙,身份认证和授权管理等安全技术,用以限制外界对主机操作系统的访问;用以隔离应用系统与外界访问区域之间的联系,限制外界穿过访问区域对网络应用系统服务器尤其是对会计数据库系统的非法访问;加强原有的基于帐户和口令的控制,提供授权访问控制和用户身份识别。⑸交易安全控制。为了保证交易者的交易信息不被他人窃取或破译,主要应采取数字加密、数字认证等核心技术。5、应用控制。应用控制是指在会计电算化系统的数据输入、通讯、处理和输出环节所采用的控制程序和措施。⑴输入控制。输入控制的重点在于建立适当的授权和审批机制,并对输入数据的准确性进行校验,如总数控制校验、平衡校验、科目代码校验和逻辑关系测试等。⑵通讯控制。通讯控制的重点在于批量控制,业务时序控制、数据编码控制与发放和接收的标识控制等。⑶处理控制。处理控制的重点在于处理ข过程的现场控制、数据有效性检测、预留审计线索控制和错误纠正控制等。⑷数据输出控制。输出控制的重点在于数据稽核控制,授权输出控制和打印程序控制等。
二、信息技术对内部审计的影响随着信息技术的发展,利用计算机从事经营管理越来越多地被企业接受,会计电算化给财务管理带来了便利同时,也给内部审计工作增添了新的审计内容,具体来讲包括以下几个方面:
1、会计电算化系统内部控制制度的审计会计电算化系统内部控制制度是制约会计电算化核算的行为规范,是保证会计电算化系统可靠性和准确性的关键。对会计电算化系统内部控制制度的审计主要包括两个方面:一是审查电算化的内部控制制度是否完善健全;二是测试已建立的内部控制制度的执行过程和执行结果。
2、会计电算化硬件的审计会计电算化硬件指计算机随机配备的为防止硬件运行失灵的一些控制功能。如为防止计算机数据丢失或损坏,服务器配备双硬盘,实时对计算机的数据映射到备份硬盘中;为防止硬件运算出错,很多计算机配备了重复处理校验功能,常见的有冗余校验等。
3、会计电算化软件审计主要是了解软件系统所需要达到的目标和实现的功能,了解计算机输出的内容和格式。包括审查财务软件是否通过财政部门或其他有关部门的鉴定、评审;审查财会软件的设计是否符合现行财政法规和会计核算制度;审查会计科目设置的科学性、合理性;审查会计电算化系统输出的格式和内容是否满足管理部门和其他部门的要求;审查软件是否具有应变能力,能否适应外界环境的变化;审查电算化软件是否操作方便、简单易学。
4、系统安全性、保密性的审计主要是对保证计算机系统运转的连续性和导致系统资源损失的种种干扰因素所采取的各种控制手段的审计。包括:⑴接触控制。只有经过批准的财会人员才能接触电脑系统的软件、硬件和数据文件,如采用机房、加锁、口令控制等多种方法。⑵后备控制。对重要的系统硬件、软件配置后备设备,对数据文件进行备份,在系统资科毁损的情况下能及时恢复处理功能。⑶环境安全控制。如计算机房应配有防火、防尘、不间断电源、稳压设备等。⑷保密性控制。会计信息作为单位十分重要的商业秘密,必须有保密控制,包括会计人员上机操作权限的分配、联网后有关财会信息的安全等。
三、对开展会计电算化系统审计的一些建议1、会计电算化审计,除了要求审计人员懂得会计、审计知识,还应懂得计算机硬件、软件知识,两者结和起来,并对被审计单位的会计信息系统达到全面的了解,这样才能完成审计任务。审计机构必须加大培训力度,提高审计人员的计算机知识和技术水平。
2、审计机构的领导要从思想重视会计电算化审计工作,从自身开始扫除计算机盲。应积极添置计算机设备,从硬件和软件两方面满足审计工作的需要。3、审计师和软件工程师应加强合作,尽快研制开发出适合本单位内部审计工作要求的审计软件,并在审计实践中逐步完善。
4、要加强会计电算化审计的理论研究,制定会计电算化审计的标堆和发展规范。