金融企业在处理交易和资金划拨中对计算机信息系统和电子资金转账系统的应用程度愈来愈高。这就是说,审计的对象——金融系统及经济活动所产生的大部分信息已由计算机来处理。金融审计的环境发生变化,即由手工操作的业务审计转向电子计算机操作的业务审计,由手工审计转向计算机辅助审计。
一、计算机信息系统对金融审计的影响
(一)金融企业的会计电算化发展,决定了开展计算机信息系统审计的必要性
自1982年人民银行总行开始着手计算机处理储蓄业务的试点工作以来,计算机在各金融机构得到了广泛应用。我国金融企业计算机网络化建设起步晚,但发展很快,目前各金融机构在实际工作中都运用了较高水平的计算机软件并基本代替了手工记账,计算机广泛运用于会计核算、储蓄事后监督、信贷业务管理、统计报表制作和分析以及金融企业内部管理,与此同时,产生了与手工操作完全不同的电子数据、电子凭证、电子报表等;随着金融业务的不断拓展,计算机信息系统的复杂性和自动化程度也将提高,开展计算机信息系统的审计势在必行。
(二)计算机运用过程中的风险、事故和犯罪的存在,决定了开展计算机信息系统审计的必要
与手工处理数据相比,计算机的数据处理具有更高的风险。因为人工处理数据,一般都有金融机构的各个部门控制着,可经相互牵制,并且都留有痕迹,比较容易跟踪;而计算机处理数据,所有的凭证、账册、报表集中于计算机中,其处理过程不可见,许多数据一次输入,多次使用,任何数据的差错,或处理过程欠完善都会产生整体性的错误,对不懂计算机的审计人员来说,无疑是风险。
造成计算机业务处理事故的原因有多方面,既有人为的原因,也有计算机软件本身设计的不完善、不科学等原因,还有犯罪性的程序和数据的非法修改、病毒感染、泄密等,均可以导致操作过程中的失误和事故。当前,利用计算机犯罪已成为金融业第三次经济犯罪暴发区(第一次是联行和同城、第二次是票汇)。从对利用计算机犯罪案例的剖析可发现计算机犯罪的作案手法有三种:
(1)内部作案:即掌握着计算机软件的内部人员通过各种“合法”手段作案,一般不易被发现;
(2)外部作案:即社会上的不法分子利用暴力或其他手段破坏计算机实体或盗窃信用卡等方式作案;
(3)内外勾结作案:这种方法隐蔽深、难发现、难稽查,且造成的损失巨大,是犯罪分子惯用的手段。
为了有效地防范利用计算机犯罪行为,保证计算机作业安全,必须加强计算机信息系统审计,严格管理,完善制度,采取必要措施做到防患于未然。
二、计算机信息系统审计方式和程序
(一)计算机信息系统的审计方式
1.仿手工审计
仿手工审计是指不使用计算机审计。它的出发点是把计算机视做一种记账工具,而用计算机进行账务处理,只不过是把原始凭证的数据送入计算机,由计算机进行存储、运算、核对等处理后,自动产生各种账册、报表以及一些特殊需要的数据、资料。
审计人员在审计时,只需将输入计算机的原始凭证和数据,以及计算机输出的各种账册、报表及某些特殊数据调出,采用手工审计的方法进行检查即可,审计人员不需要了解计算机如何记账,如何处理,初步使用样本数据对计算机进行必要的测试,是一种“绕过”计算机的审计方法。
这种方法适用于输入输出数据不多,易于与原始凭证核对,且账务种类和处理手续比较简单的系统。
2.计算机处理过程的审计
对于简单的系统用仿手工审计可以解决一定的问题,但是对于复杂的系统,这种方法并不奏效。而且采用这种审计方法,是建立在对计算机系统、业务软件和计算机操作人员的品质、水平充分信任的基础上的,也就是说,当计算机系统没有任何故障、计算机业务软件没有任何差错、操作人员没有故意作假时,仿手工审计的结果才可能是真实、正确的,因为这种审计方法并不能发现由于计算机本身、程序中存在的问题而导致的某些错误的账务处理,也不能发现某些人为的对计算机程序和业务数据的修改。因此,审计人员必须对计算机的处理过程进行检验。
目前一般采用数据测试法对计算机处理过程进行审计。对计算机处理程序是否正确要通过充分了解程序的结构、编码来进行是很难做到的,特别是对于大的系统更是如此。因此为了判断程序是否正确或是否被人为篡改,往往采用先由审计人员设定一定的账务处理程序模拟数据,送入计算机加以运行,而根据其运行结果来推断程序是否正确、合法。一般说来,用于审计的模拟数据应当包括下列各项:各类业务处理的正常数据,不按顺序号排列的数据,遗漏或缺少一部分数据的不完整数据和错误数据。
3.计算机自动审计
仿手工审计是从计算机外部对账务处理所作的审计,计算机过程审计是从计算机内部对账务处理过程所作的审计。但是由于联机实时系统的发展,金融机构业务处理已由批处理转为联机实时处理。为了适应这种情况,审计工作必须利用计算机处理的全过程中,才有可能发现账务处理中可能发生的非法处理。这种审计称为自动审计或计算机自动审计。
计算机自动审计,是根据审计要求,通过运行事先编制好的专用审计程序,来发现业务处理中可能存在的问题。这种用监控程序控制业务程序的审计方法,由于充分利用了计算机准确、高速运算的特点,所以被审计的信息数量和范围可以远远超过其他审计方法的数量和范围,大大扩大审计的覆盖面。它还可以方便地随机调阅有关账册,对其处理进行追溯和审查,甚至可以作为日常账务处理程序的一部分,对日常账务处理情况加以记录,作为审查的依据。目前常用的审计程序有:
(1)样本测试程序。即利用统计随机抽样法,抽出检查项目,确定审计范围进行审计。
(2)异常项目测试程序。即根据事先设计的一种取舍标准,将与标准不一致的项目予以输出,以发现问题。
(3)数据复原测试程序。即将某一特定范围内的数据处理过程全部复原,再加以处理,以发现有无问题。
(4)账册合理性测试程序。即对各种账册记录的连续性、完整性进行检查、核对。计算机自动审计在我国尚属起步,必须抓紧研究和开发,逐步实现计算机自动审计。
(二)计算机信息系统审计的程序
计算机信息系统审计的程序是指进行审计工作的先后次序,包括从接受任务起,到最后完成为止的整个过程。计算机审计工作的程序,也应分为准备阶段、实施阶段、终结报告阶段等方面。
1.准备阶段
在此阶段,计算机审计需要做的工作主要有:
(1)了解被审计单位会计电算化的基本情况。哪些工作由手工完成,哪些工作由计算机执行;数据如何收集和输入,数据如何输出使用以及相应的人员配置,组织结构和管理制度。
(2)了解计算机系统本身的基本情况。了解计算机的硬件及软件系统,了解系统的操作手册、维护手册、系统和程序的框图、编码图及主要控制说明等。
(3)了解被审计单位的实际情况。了解被审计单位计算机系统的复杂程度,取得会计资料的合理途径。
2.实施阶段
在此阶段,审计人员要对被审单位进行检查、取证、分析和评价等,为报告阶段打好基础。
(1)对电算化系统的处理和内部控制的审查。通过实地观察,了解系统的处理过程和处理功能,发现内部控制的问题;对电算化系统关键的处理和控制功能进行测试和审查,以证实其准确性和有效性;对电算化系统的处理功能和内部控制进行评价,评价包括系统中可能出现的问题、错误和非法行为;被查单位应有和现有的预防措施等。
(2)对账表文件的审查。利用被审单位的电算化信息系统本身及通用审计软件,对被审单位的会计记录和会计报表进行审查,以证实其合法性和真实性。
3.报告阶段
在报告阶段的主要工作包括:整理审计工作底稿,根据审计的结果形成审计报告建议要点,并根据这些要点撰写审计报告,最后根据发现的问题和有关规定草拟审计报告。
由于被审单位实现了会计电算化,因此审计人员出具的审计报告还应包括对会计信息系统的处理功能和内部控制制度进行评价,并提出改进的意见。