计算机信息系统审计准则比较研究
摘要: 本文通过对国际审计实务委员会及我国关于 计算 机信息系统审计准则 研究 的相关 内容 的比较, 分析 两者之间存在的主要差距:观念障碍导致对准则的需求和供给明显不足;准则制定缺乏系统性和结构性;未考虑对计算机审计人员的素质要求和合适的审计人员以及准则对计算机审计技术标准关注不足。并从管理体制,审计人员的技能准则以及审计的技术标准等方面提出了改进建议。认为要统一计算机审计工作的管理体制,由国家制定计算机审计人员的技能准则和计算机审计的技术标准。
关键词:信息系统 审计准则 比较分析 改进建议
计算机技术在各行各业广泛运用,信息传输数字化,信息交流全球化,信息技术 应用 普及化,使得以审查 会计 帐册和相关 经济 活动资料的主要审计方式的审计职业遇到了前所未有的挑战,审计人员不掌握计算机技术,将会失去审计的资格。我国审计署制定了《 2004 —— 2007 年审计信息化 发展 规划》勾画了今后四年审计信息化建设的蓝图。因此,积极探索信息化环境下新的审计方式将成为我国今后几年审计工作需做好的基础工作之一。 目前 国内关于信息系统审计的研究主要还是集中在对概念,特点, 影响 等方面的总体性分析以及对于信息化环境下内部控制、审计风险及具体的技术解决方式上的探讨,而关于信息系统审计准则的研究相对较少, 而准则的重要性又是显而易见的,它是信息系统审计长足发展的准绳和依据,有利于规范审计工作,提高审计质量。因此对于信息系统审计准则的研究有其必要性和迫切性,应当被提到议事日程上来。本文想通过对国内外现有的计算机信息系统审计准则的综述,谈一些自己的粗浅看法,以启发相关准则的制订。
IAPC 关于计算机信息系统审计准则的分析
国际审计实务委员会( IAPC )对计算机信息系统环境下的审计的研究较早,先后发布了一系列的相关准则。到目前为止颁布了六个有关计算机信息系统环境下审计内容的国际审计准则。它们分别就单机、联机和数据库系统下的 电子 数据处理环境对会计制度和有关内部控制的研究和评价产生的影响作出补充规定。下面就其内容做一汇总介绍:
(一)《计算机环境下的审计》。该准则明确了在计算机信息系统环境下审计的目的与范围,技术与能力的要求,审计计划的考虑,内部控制研究、评价及风险评估的影响,制定与实施审计程序应关注的方面等。该准则只是为在计算机信息系统环境下的审计制定一般原则和指导,其他五个准则或实务公告均为该准则的补充或扩展。
计算机信息系统环境下的审计,审计人员应当对约定计划中的计算机硬件、软件和处理系统有充分的了解,并且要了解计算机信息系统对内部控制的研究与评价以及对审计程序的影响,包括计算机辅助审计技术。审计人员还应当对执行审计程序的计算机信息系统处理有足够的知识,这将视所采用的具体的审计 方法 而定
(二)其他五个准则或实务公告。
1 、《风险评估和内部控制 —— 计算机信息系统环境特征和考虑因素》。该实务公告是第一项准则的补充。该公告明确了计算机信息系统环境的特征,计算机信息系统环境下内部控制的内容及评价方法。审计人员ฎ应当收集与审计计划有关的计算机信息系统环境的资料,包括计算机信息系统的功能情况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置情况等。审计人员在编制全面计划时,应当考虑下列事项:在对内部控制的全面评价中确定对计算机信息系统控制的可信赖程度;制定关于怎样、何处与何时检查计算机信息系统功能的计划;制定关于利用计算机辅助审计技术进行的审计程序计划。
2 、《计算机信息系统环境 —— 独立微型计算机》。该实务公告为第一项准则的补充,其明确了微型计算机系统及其特征、在微型计ห算机环境下的内部控制、微型计算机环境对审计程序的影响等。该准则指出微机对会计制度的影响和有关的风险一般将由下列情况而定:微机使用于会计应用处理的范围;被处理的财务业务的类型和重要性;应用中运用的文件和程序性质。微机环境下的内部控制应当包括:管理部门对操作微型计算机的规定和控制;程序和数据安全;软件和数据的完整性控制;硬件、软件和数据备份控制。
3 、《计算机信息系统环境 —— 联机计算机系统》。该实务公告为第一项准则的补充,其明确了联机计算机系统及其特征、在联机计算机环境下的内部控制、联机计算机环境对审计程序的影响等。并强调某些一般控制程序对联机处理特别重要,包括存取控制、控制方面的口令、系统开发和维护控制、程序编制以及业务记录控制。同时,对联机处理特别重要的应用控制包括:处理前的适当授权,终端设备编辑。合理性和其他确认测试、截止测试、文件控制、余额控制。联机环境对会计制度的影响及其相关联的风险,一般是联机系统用于会计应用处理的范围、财务业务类型和重要性、使用应用文件和程序性质。
4 、《计算机信息系统环境 —— 数据库系统》。该实务公告为第一项准则的补充。其明确了数据库系统及其特征,在数据库系统下的内部控制,数据库环境对审计程序的影响等。具体分两部分,一部分是控制标准,另一部分则是实现控制标准的具体审计程序。明确了只有内部的员工可以接触数据库,数据库使用人员有权进行 修改,删除,索引,插入, 参考 ,选择和更新的操作,为了不影响基础表格中的数据 ,删除、插入和更新的操作应受到限制。 不同的使用者只能执行跟他们工作职能相关的某些操作, 基础表格不应被改动, 数据库操作须密码控制。 数据库中特殊帐户的存取应该受到限制, 数据库系统表格的操作许可指令不应被修改, 应用表格不应该在系统表格空间创建 等。
5 、《计算机辅助审计技术》。该准则为第一项准则的扩展,其明确了审计软件和测试数据两种辅助审计技术、利用计算机辅助审计技术的范围及需要考虑的因素、注册会计师在计算机辅助审计技术应用中的主要工作和控制手段等。如在运用制度遵守性和数据真实性程序中缺少输入文件和缺乏可见的审计踪迹时;通过利用计算机辅助审计技术可以改进审计程序的效果和效率。计算机辅助审计技术有多种,国际审计准则说明其中的两种:用于审计目的的审计软件和数据测试技术,审计软件可以作为审计程序的一部分,以处理来源于单位会计制度的重要审计数据。数据测试技术是用在执行审计程序时将数据进入单位的计算机系统,并将获得的结果同预定的结果相比较。在编制审计计划时,审计人员应当考虑手工和计算机辅助审计技术适当结合,在确定是否利用计算机辅助审计技术时,需要考虑:审计人员的计算机知识、专门技术和经验;计算机辅助审计技术的可用性和合适的计算机设备;无法实行手工测试;效果与效率;时间因素等。
我国关于计算机信息系统审计准则相关内容分析
(三)国务院办公厅于 2001 年 11 月 16 日颁布的《关于利用计算机信息系统开展审计工作有关 问题 的通知》( 88 号文),明确审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的信息系统;并规定 被审计单位的计算机信息系统应当具备符合国家标准或者行业标准的数据接口,已投入使用的计算机信息系统没有设置符合标准的数据接口的 ,被审计单位应将审计机关要求的数据转换成能够读取的格式输出;被审计单位应当视同纸质会计凭证、会计账簿、会计报表和其他会计资料以及有关 经济 活动资料保存期限的规定,保存计算机信息系统处理的 电子 数据,在规定期限内不得覆盖、删除或者销毁;审计机关对被审计单位电子数据真实性产生疑问时,可以对计算机信息系统进行测试,测试计算机信息系统时,审计人员应当提出测试方案,监督被审计单位操作人员按照方案的要求进行测试;审计机关应积极稳妥地探索 网络 远程审计;审计人员应当严格执行审计准则,在审计过程中,不得对被审计单位计算机信息系统造成损害,并对知悉的国家秘密和商业秘密负有保密的义务。
三、 我国计算机信息系统审计准则的差距
(一)观念障碍导致对准则的需求和供给的明显不足。就 目前 我国的情况来看,计算机审计呈现出“上热下冷中间无力”的无奈局面。在民众中存在着思想误区。一是无所谓的思想,他们对计算机审计的意义和作用认识不足,认为是一些没有实际意义的形象工程。二是畏难情绪,认为计算机审计深不可测,高不可攀,一下子难以到位,而且被审计单位信息化程度参差不齐,认为手工的传统审计还是占主导地位。三是认为计算机“万能”,认为被审计单位的电 ت子数据只要转换到审计软件中来,就能发现问题,从而导致急功近利,贪大求全。
(二)准则制定缺乏系统性和结构性。我国的计算机信息系统审计准则既有审计署和国务院办公厅发布的,又有中国注册会计师协会颁布的。而且只有一般性原则和指导,缺乏具体的实务公告和实施指南。仅有的《计算机辅助审计办法》只是涵盖了审计工作的极小一部分,针对我国目前审计实务界的现状,广泛采用的仍旧是依靠系统打印出来的数据进行手工审计,即绕过计算机审计,如何对其进行规范,如何进行审计则还没有相应的准则。而国际审计实务委员会颁布的有关计算机信息系统环境下的审计准则,既有一般性的原则和指导,又有具体的准则和实务公告。从独立微机,到联机系统,再到数据库系统的审计,还有计算机辅助审计技术。 内容 比较全面系统,结构性较强。
(三)准则未考虑对计算机审计人员的素质要求以及合适的审计人员: IAPC 规定了审计人员应当对约定计划中的计算机硬件、软件和处理系统有充分的了解,并且要了解计算机信息系统对内部控制的研究与评价以及对审计程序有怎样的影响,包括计算机辅助审计技术。审计人员还应当对执行审计程序的计算机信息系统处理有足够的知识。同时在《计算机辅助审计技术》中明确了注册会计师应做的工作及控制手段等。国外的注册会计师队伍 发展 相当成熟,人员素质相对较高,无论是独立性,还是 科学 性和客观性都是计算机信息系统审计的不二人选。而我国的计算机审计工作具体是由注册会计师来承担,还是由政府审计部门承担尚无统一的说法。翻阅近十年的注册会计师 考试 试卷,均没有涉及计算机审计的相关内容,足见还没有将计算机水平提高到评价注册会计师执业能力的高度。而且对于信息系统环境下审计师虚具备哪些基本素质以及如何提高完善都还没有以准则的形式加以明确。
(四)准则对计算机审计技术标准关注不足。在 IAPC 颁布的相关准则中,不论是独立微机,还是联机系统,或者是数据库系统,还是计算机辅助审计技术,都对技术解决问题做出了具体规定。如存取控制、口令密码,数据备份,数据测试技术和审计软件等。而我国在有关准则中并没有考虑有关的技术标准,只是在《计算机辅助审计办法》中浅层次地提到了对商业审计软件的测评及明确 应用 范围。同时也稍微强调了一些数据接口及数据转换问题。远远无法满足审计实务界的需求。
构建我国计算机审计准则的建议
(一)统一计算机审计工作的管理体制。中国注册会计师经过近 20 年的发展,从总体上看,在审计理念和实践方面都有了长足的进步,但由于注册会计师在其发展过程中,因资格取得方式、参加后续 教育 、审计实践的多少以及部分注册会计师的观念仍受计划经济模式的影响等方面的原因,形成了注册会计师水平参差不齐。而审计署作为国家直属机关,是国务院的组成部分,在国务院总理的领导下,主管全国的审计工作。在政策、资金、人员上都显示了明显的优势。因此建议考虑由国家审计署来根据国情制定一系列的计算机审计准则,并在具体执行计算机审计工作中不断完善准则。
(二)制定计算机审计人员的技能准则。这里包括计算机审计人员应有的资格和能力、技能以及他们的后续教育等等,均可以在该准则中明确。一个胜任的计算机审计人员不仅要具备传统的审计技能,还要具备丰富的计算机软、硬件知识,还要能制定相应的审计程序,运用计算机进行审计。对于计算机审计人员的后续教育问题,可以通过以下途径加以解决:①加大培训力度,将普及性培训与专业应用培训和专家培训相结合。②可以在注册会计师考试中增加《计算机与网络审计》这一门课程,将计算机水平作为评价注册会计师执业能力之一。③可以考虑在高校的审计专业中开设有关计算机审计的课程或另开计算机审计专业,直接培养信息系统审计相关人才。对于该问题可另设专题研究,本文就不再详细展开。
(三)应包含计算机审计的技术标准。如就软件层次,建议在准则中明确以下内容: ①计算机处理中要留下审计底稿的轨迹。由于审计人员在操作中希望计算机产生的结果与他们手工编制的底稿相差不大,能与手工审计底稿共存,这样便于审计人员 分析 。同时也便于审计内部复核和外部检查人员的认可。②计算机操作模式。要具有多面性,根据实际条件,在审计作业现场,计算机操作模式应做到既单机操作,又能进行网络操作。③软件要具有兼容性,虽然计算机辅助审计软件本身自成系统,但是应考虑与办公自动化兼容,吸收办公软件中简易、灵活、ก方便、排版性强等特点,加大软件适用范围。④软件电子数据导入接口。由于目前我国计算机辅助审计有两种操作 方法 ,一种是单机审计式操作,数据为手工输入法;一种是网络审计式操作,即电子数据直接导入,ง在开发中应考虑同时满足两种需要。⑤软件处理内容的通用性,软件在设计过程中,应尽量考虑处理审计工作底稿的共性部分,不宜面面俱到,避免产生负面影响。参照 IAPC 做法,我们可以颁布类似于《计算机信息系统环境——数据库系统》,《计算机辅助审计技术》等的系列准则,以丰富和完善我国的计算机审计准则体系。从而解决审计实务与审计准则的矛盾差距,使得准则能真正起到指导实践的作用。
参考 文献 :
[2] 柳岸青、管亚梅 《试析中外计算机信息系统环境下审计准则差异》《商业会计》 2003/4
[4] 王景东 《财政审计的深化:信息系统审计》 《中国审计》 2003/5
[5] 杨传君 《谈辅助审计软件的通用性和实用性》 《中国内部审计》 2001/4
[6] 陈婉玲、韦沛文 《网络经营与网络财会条件下的审计初探》《会计研究》 2003