試論會計信息化審計

周映群　何永斌

所謂會計信息化審計是指審計人員接受委托或授權(quán)，收集并評估證據(jù)以判斷一個計算機系統(tǒng)（主要會計信息系統(tǒng)）是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整并最有效率地完成組織目標(biāo)的活動過程。它既包括信息系統(tǒng)外部審計的鑒證目標(biāo)——即對被審計單位的信息系統(tǒng)保護資產(chǎn)安全及數(shù)據(jù)完整的鑒證，又包含內(nèi)部審計的管理目標(biāo)——即不僅包括被審計信息系統(tǒng)，保護資產(chǎn)安全及數(shù)據(jù)完整，而且包括信息系統(tǒng)的有效性目標(biāo)。

一、會計信息化審計與電算化審計的區(qū)別

會計信息化審計來源于會計電算化，但它們有著本質(zhì)的區(qū)別，首先，會計電算化審計只是將計算機僅僅當(dāng)作手工作業(yè)審計的工具和奴隸，只意味著審計手段的改變；其次，會計電算化審計對象局限于財政財務(wù)收支，難以擴大到與經(jīng)濟效益有關(guān)的經(jīng)營管理和其他領(lǐng)域；第三，電算化會計技術(shù)由于模擬手工作業(yè)審計的審計過程，不僅未充分考慮計算機信息系統(tǒng)的特點（如：隱形化、程序化、不盡安全等），而且未充分利用現(xiàn)代信息技術(shù)（通訊、網(wǎng)絡(luò)等）的特點和優(yōu)勢，這不能不說是對現(xiàn)有資源的巨大浪費；同樣，如果只把計算機網(wǎng)絡(luò)應(yīng)用于先進的工作程序的自動化，也是沒有認(rèn)識到它的潛能。但會計信息化審計則不同，它是建立在對現(xiàn)代信息技術(shù)（計算機、網(wǎng)絡(luò)和通信等）、對傳統(tǒng)審計模式進行重構(gòu)，并在重構(gòu)的現(xiàn)代化審計模式上通過評價來控制會計信息系統(tǒng)。據(jù)此發(fā)展的會計信息化審計技術(shù)就是在計算機系統(tǒng)中模擬社會的審計工作，對計算機系統(tǒng)的活動進行監(jiān)視和記錄的一種安全技術(shù)。運用會計信息化審計技術(shù)的目的就是讓對計算機系統(tǒng)的各種訪問留下痕跡，使計算機犯罪行為留下證據(jù)，計算機審計技術(shù)的運用形成了會計信息化審計系統(tǒng)。會計信息化審計是適應(yīng)變化后環(huán)境的需要。計算機網(wǎng)絡(luò)帶來的會計系統(tǒng)的開放與系統(tǒng)共享，而開放與共享應(yīng)是以安全為基礎(chǔ)的。企業(yè)一方面通過網(wǎng)絡(luò)開放自己，向全世界推銷自己的形象和產(chǎn)品，實現(xiàn)電子貿(mào)易、電子信息交換，但也需要守住自己的商業(yè)秘密、管理秘密和財務(wù)秘密，而其中實現(xiàn)了電子化即具有貨幣價值的會計秘密、理財秘密是最重要的。會計信息化審計要求我們有必要創(chuàng)造一個安全的環(huán)境，抵抗來自系統(tǒng)內(nèi)外的各種干擾和威脅，做到該開放的開放該共享的共享，該封閉的要讓黑客無奈。因此，無論是從數(shù)據(jù)的完整、真實、及時方面，還是從審計線索清晰度與系統(tǒng)安全方面來看，信息化審計是電算化審計基礎(chǔ)上一個質(zhì)的飛躍。

二、會計信息化審計的主要內(nèi)容及方法

會計信息化審計包含兩層意思：一是對信息化會計系統(tǒng)的審計，二是利用網(wǎng)絡(luò)進行輔助審計。但是，由于現(xiàn)代信息技術(shù)已發(fā)展到第二階段 —— 網(wǎng)絡(luò)信息技術(shù)階段，從而使會計信息化審計與電算化審計及傳統(tǒng)手工審計相比，在審計內(nèi)容和方法上有了很大的不同。其主要內(nèi)容及方法如下：

（一）審計線索的追蹤審查

在手工會計系統(tǒng)中，每一個步驟都會產(chǎn)生相應(yīng)的紙性介質(zhì)的會計資料，審計線索十分清楚；在電算化會計系統(tǒng)中，加工過程的自動化可能導(dǎo)致部分可視性線索消失，但交易伙伴間的信息交換大多還是通過紙面文件的形式來完成，審計人員可以利用“繞過計算機審計方法”獲得所需的審計證據(jù)；在信息化會計系統(tǒng)中，許多業(yè)務(wù)的談判、簽約甚至交易，都是在網(wǎng)上進行，資金的結(jié)算也通過信用卡等在網(wǎng)上交割，經(jīng)濟業(yè)務(wù)信息按一定程序在網(wǎng)上自動生成會計信息并傳送，整個交易過程幾乎呈現(xiàn)無紙化態(tài)勢，審計人員很難獲取所需的審計線索。因此，必須采用如下方法來保留審計線索：①在系統(tǒng)內(nèi)建立日志和追蹤文件，以審查在數(shù)據(jù)處理過程中是否有過渡文件被修改和處理。②在審計機構(gòu)和簽字確認(rèn)的單位同時形成原始數(shù)據(jù)的備份或在不同部門各自形成相關(guān)的數(shù)據(jù)庫，這樣既可以相互監(jiān)督，又可以使審計線索得以保留。③還可采取就地審計和突擊審計的方式，以防程序員對被審系統(tǒng)的應(yīng)用程序加以篡改，防止操作員對被審計系統(tǒng)數(shù)據(jù)文件進行增加、刪除、修改等。

（二）信息化會計系統(tǒng)的安全性審計

在網(wǎng)絡(luò)環(huán)境下，由于網(wǎng)絡(luò)的開放性，一方面提供了會計信息的共享性，另一方面，電子形式的會計信息又會受到諸如網(wǎng)絡(luò)故障、計算機病毒、計算機黑客和非法者入侵等潛在威脅的影響，這些都會嚴(yán)重威脅會計信息和數(shù)據(jù)的安全、完整，嚴(yán)重時可能導(dǎo)致會計信息系統(tǒng)的崩潰。這樣在信息化審計中，保障會計信息的安全性，以控制審計風(fēng)險，就顯得比以往更加突出，并成為信息化審計的最重要問題之一。因此，審計人員應(yīng)從制度化控制和程序化控制兩方面加強系統(tǒng)安全審計：①了解被審企業(yè)對國家及上級主管部門頒發(fā)的計算機法規(guī)條例的遵守情況，檢查被審企業(yè)是否建立、完善并實施系列安全管理制度；②定期進行系統(tǒng)安全測試，以評價系統(tǒng)數(shù)據(jù)加密、身份認(rèn)證、用戶授權(quán)、反病毒、防火墻等安全技術(shù)應(yīng)用的合法性及有效性。

（三）信息化會計系統(tǒng)的內(nèi)部控制審計

在網(wǎng)絡(luò)環(huán)境下，由于系統(tǒng)建立和運行的復(fù)雜性，內(nèi)部控制的范圍也相應(yīng)擴大。因此，對信息化會計系統(tǒng)內(nèi)部控制的審計也應(yīng)有所改進，具體內(nèi)容如下：①通過訪談了解被審單位有沒有制定適當(dāng)?shù)臋?quán)限標(biāo)準(zhǔn)體系，崗位人員是否按照所授予的權(quán)限對系統(tǒng)進行操作。②審查是否將系統(tǒng)內(nèi)不相容職務(wù)劃分清楚，在數(shù)據(jù)輸出時，對不同密級的數(shù)據(jù)授予不同的權(quán)限。③被審單位的系統(tǒng)操作是否遵循一定的標(biāo)準(zhǔn)、操作規(guī)程進行，即是否建立了嚴(yán)格的硬件操作規(guī)程、作業(yè)運行規(guī)程、用機時間記錄規(guī)程以及操作員訪問系統(tǒng)的標(biāo)準(zhǔn)操作規(guī)程。④審查是否建立了數(shù)據(jù)備份與數(shù)據(jù)檔案管理制度。系統(tǒng)（包括數(shù)據(jù)）管理和備份數(shù)據(jù)與軟件管理是否由不同人承擔(dān)，系統(tǒng)進行備份數(shù)據(jù)恢復(fù)時，是否由具體操作員和主管共同批準(zhǔn)。

（四）對信息化會計系統(tǒng)應(yīng)用程序的審計

信息化審計中對會計系統(tǒng)應(yīng)用程序的審計目標(biāo)有兩個：①程序處理過程是否與有關(guān)的標(biāo)準(zhǔn)及法規(guī)相符。②考核程序?qū)﹀e誤的檢驗和控制情況。為達到審計目標(biāo)，可運用包括符合性測試和實質(zhì)性測試在內(nèi)的多種測試方法，對被審計應(yīng)用程序運行過程中產(chǎn)生的數(shù)據(jù)的準(zhǔn)確性、可靠性、合法性進行驗證；也可運用在被審系統(tǒng)中設(shè)立的審計控制點，定時與不定時地、成批或?qū)崟r地收集有關(guān)審計數(shù)據(jù)，以進行審計驗證。另外，還應(yīng)結(jié)合被審系統(tǒng)的特點，采用一些專門的技術(shù)和方法，例如模擬數(shù)據(jù)測試法、人工測試法、計算機輔助法、審計程序測試法等。

（五）充分利用網(wǎng)絡(luò)進行輔助審計

在網(wǎng)絡(luò)環(huán)境下，審計人員應(yīng)充分利用網(wǎng)絡(luò)資源的優(yōu)勢，在審計各個工作階段實施網(wǎng)絡(luò)輔助審計，以提高審計工作效率：①利用網(wǎng)上Microsoft office 軟件強大的計算、分析、制表及文字編輯功能，可編制各類審計工作底稿，并可制成相應(yīng)的文件供隨時調(diào)用和遠程發(fā)送；②通過計算機網(wǎng)絡(luò)自動收集有關(guān)審計綜合信息、審計法規(guī)信息、審計項目信息、審計內(nèi)審信息等，為審計工作提供相關(guān)信息；③利用Internet的超級鏈接功能，在網(wǎng)上檢索被審企業(yè)的基本業(yè)務(wù)信息；在取得被審企業(yè)的網(wǎng)絡(luò)管理權(quán)限后可查詢并復(fù)制重要的財務(wù)信息；④借助嵌入審計程序?qū)W(wǎng)上數(shù)據(jù)處理的一些敏感環(huán)節(jié)進行實時動態(tài)的監(jiān)控，以滿足審計的需要；⑤利用 E-mail 向銀行、稅務(wù)、工商及往來單位發(fā)出電子郵件對被審企業(yè)的支付能力、納稅情況和信用狀況進行調(diào)查與評價，以獲取有用的審計證據(jù)；⑥利用桌面視頻會議系統(tǒng)支持視頻、聲音、文件瀏覽協(xié)同修改等特點隨時召開可視會議，進行調(diào)查、座談和取證，并可就重大審計問題進行網(wǎng)上專家會診。

三、會計信息化審計所面臨的系統(tǒng)安全問題及其對策

會計信息系統(tǒng)所面臨的風(fēng)險主要有：①利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶口令或電子賬號，冒充合法用戶作案，篡改磁性介質(zhì)記錄竊取資產(chǎn)。②利用網(wǎng)絡(luò)遠距離竊取企業(yè)商業(yè)機密以換取錢財，或利用網(wǎng)絡(luò)傳播計算機病毒以破壞企業(yè)信息系統(tǒng)。③建立在計算機網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)趨向“無紙化”，越來越多經(jīng)濟業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過電子貨幣賬單、銀行結(jié)算單及其他賬單，就有可能將公私財產(chǎn)的所有權(quán)進行轉(zhuǎn)移。

針對信息系統(tǒng)所存在的風(fēng)險，在審計過程中首先應(yīng)了解企業(yè)網(wǎng)絡(luò)的基礎(chǔ)情況；其次要達到安全控制的目標(biāo)(主要包括保證系統(tǒng)運轉(zhuǎn)正常，數(shù)據(jù)完整可靠，保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復(fù)能力，對系統(tǒng)資源使用的授權(quán)與限制等)；還要了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計人員應(yīng)充分取得目前企業(yè)對網(wǎng)絡(luò)環(huán)境的安全保密計劃，了解所有有關(guān)的控制目標(biāo)的實現(xiàn)情況，系統(tǒng)還有哪些潛在的漏洞。并利用各種技術(shù)工具產(chǎn)品如網(wǎng)絡(luò)安全測試產(chǎn)品、網(wǎng)絡(luò)監(jiān)視產(chǎn)品、安全審計分析器，對企業(yè)現(xiàn)有的安全控制措施進行測試。

同時，我們在判斷一個系統(tǒng)是否安全，不能單從雙方當(dāng)事人的判斷做出結(jié)論，而必須有第三方的專業(yè)審計人員通過審計做出評價，這時審計人員必須具有獨立性，站在公正、公平和中立的立場、角度做出客觀的評價，這種獨立性主要表現(xiàn)在以下兩個方面：①不管是在操作系統(tǒng)中還是在應(yīng)用軟件中，審計系統(tǒng)都應(yīng)作為一個獨立的系統(tǒng)而存在。②設(shè)立工作獨立、行為自主的計算機系統(tǒng)審計員。

另外，雖然如Netware、Windows、NT、UNIX等網(wǎng)絡(luò)安全操作系統(tǒng)，均提供了審計所需的安全功能，但由于操作系統(tǒng)提供的是面向整個系統(tǒng)的審計功能，不能考慮到各種應(yīng)用軟件的具體情況，不能很好地滿足各種客戶的需要。因此，計算機用戶可以根據(jù)應(yīng)用軟件的特點和自身需要，設(shè)計出有針對性的應(yīng)用軟件審計系統(tǒng)。我們說從會計電算化到會計信息化審計，并不僅僅是一個名詞的改變，它更代表一種改革的觀念、一種新的審計思想、一種普遍的大趨勢。它將在網(wǎng)絡(luò)通信飛速發(fā)展的今天日益得到發(fā)展與完善，構(gòu)筑新的審計理論框架。

（作者單位：云南財貿(mào)學(xué)院會計學(xué)院溫州大學(xué)計算機科學(xué)與工程學(xué)院）