计算机审计

计算机审计

解析8号令 指导开展计算机审计

  时间:2013-09-03
    今年1月1日起,新修订的国家审计准则(审计署8号令)正式施行,刚刚结束的全国审计会议上,刘家义审计长、董大胜副审计长专门强调了今年贯彻执行新准则的重要性。二百条条新准则的出台,将原来的28条规定有机统一起来,方便了审计人员对准则内容的学习贯彻。这其中,对于计算机审计,新准则中共4章17条直接或间接涉及到计算机及信息系统审计,涵盖了审计资源、审计计划、审计实施、审计报告等各个环节,对于开展计算机数据审计以及信息系统审计具有非常现实的指导意义。
  一、审计计划阶段
  (一)审计胜任能力
  实施计算机审计,探索数字式审计和信息系统审计是刘家义审计长多次提出的要求,在实施真实性、合法性、效益性审计总体目标框架下,有的放矢,确立审计目标和审计范围,是和审计机关具有的专业审计资源及胜任能力息息相关的。通过聘请、培训、借用人才等手段,强化资源配备,是可以在一定程度上提高审计胜任力的。在这方面,新准则有4条提出了要求。第23条要求“审计机关应当合理配备审计人员,组成审计组,确保其在整体上具备与审计项目相适应的职业胜任能力。被审计单位的信息技术对实现审计目标有重大影响的,审计组的整体胜任能力应当包括信息技术方面的胜任能力。”明确了实施计算机审计要有相应的专业胜任能力的要求,但并不仅限于信息技术;第20条提出“审计机关可以聘请外部人员参加审计业务或者提供技术支持、专业咨询、专业鉴定。”提供了审计机关借助外力来实施计算机专业审计的能力支持,在实际审计实务中,这具有现实和简便易行的可操作性,可大大解决地方审计机关引进培养专业人员的周期长、花费高等困难和无能力实施计算机审计的难题。
  (二)审计资源和计划确立
  具体到对初选审计项目进行可行性研究,确定审计目标、审计范围、审计重点和其他重要事项时,准则第29条第四小条要求调查研究“相关的信息系统及其电子数据情况”并结合其他方面的资料,以此来确立信息系统审计项目立项的可行性;在确立项目计划和审计内容,并有了审计人员能力支持的基础上,审计实施前仍然要考虑审计资源的配备,新准则第42条“审计机关应当对确定的审计项目配置必要的审计人力资源、审计时间、审计技术装备、审计经费等审计资源。”对此提出了明确要求。
  二、审计实施过程
  审计实施是对审计目标和审计重点、事项进行检查判断的过程,在实施计算机数据审计和信息系统审计的过程中,涉及到信息技术的各个方面。根据审计实务和新准则的规定,有10条直接或间接涉及到计算机审计或信息系统审计,大致分为获取信息及取证、审查内容和方法、职业判断等三个方面。
  (一)获取信息及取证
  考虑到前期获取有关信息和取证的关联性,解决计算机审计中获取信息的有效性和审计证据的可用性问题。第60条“审计人员可以从下列方面调查了解被审计单位及其相关情况:…(七)相关信息系统及其电子数据情况”和第61条“审计人员可以从下列方面调查了解被审计单位相关内部控制及其执行情况:…(三)控制活动,即根据风险评估结果采取的控制措施,包括不相容职务分离控制、授权审批控制、资产保护控制、预算控制、业绩分析和绩效考评控制等;”以及第63条“审计人员可以采取下列方法调查了解被审计单位及其相关情况:…(二)检查有关文件、报告、内部管理手册、信息系统的技术文档和操作手册;”这三条指出了进行计算机审计需要获取或掌握的被审计对象的哪些信息,总体来说就是信息系统及数据情况、技术文档和手册、可在信息系统中体现的控制活动(比如不相容职务分离、授权审批控制等)三部分。
  考虑到计算机审计中电子数据的重要性,新准则专门强调了数据与审计证据的可靠性关联:第86条指出“ …(四)从被审计单位财务会计资料中直接采集的审计证据比经被审计单位加工处理后提交的审计证据更可靠;”这一点很重要,在审计实践中,曾发现过财务软件前台导出的数据或打印的报表与后台数据不一致的现象,一般情况下,应尽可能从后台数据库取得基础数据。第87条则提示“审计人员获取的电子审计证据包括与信息系统控制相关的配置参数、反映交易记录的电子数据等。采集被审计单位电子数据作为审计证据的,审计人员应当记录电子数据的采集和处理过程。”这一点是在实践的基础上总结出来的,因为信息系统及处理存储的数据是和重要的控制配置参数息息相关的,财务数据往往来源于反映交易记录的业务数据。审计人员要降低审计风险,需要在获取基础数据时记录采集和处理过程,并一同获取相关系统配置参数和最原始的交易数据、操作日志记录等,最大限度保障数据与实际业务的真实关联,保障数据的可重现性、避免数据成为“无源之水”。
  (二)审查内容和方法
  新准则强调了信息系统审计的内容,明确了一些实用的计算机审计方法。比如第92条“审计人员可以采取下列方法向有关单位和个人获取审计证据:…(五)重新计算,是指以手工方式或者使用信息技术对有关数据计算的正确性进行核对;(六)重新操作,是指对有关业务程序或者控制活动独立进行重新操作验证;(七)分析,是指研究财务数据之间、财务数据与非财务数据之间可能存在的合理关系,对相关信息作出评价,并关注异常波动和差异。”提出常用的针对数据的重新计算(验算)、分析两种方法,对信息系统控制或者具体模块、流程进行重新操作,以验证数据是否重现、是否正确体现控制意图等模拟审计方法。这三种方法都是审计实践中最常用也最有效的。
  信息系统审计方面,新准则关注较多,和建立国家免疫系统的目标是一致的。在信息系统控制审计方面,第62条“审计人员可以从下列方面调查了解被审计单位信息系统控制情况:(一)一般控制,即保障信息系统正常运行的稳定性、有效性、安全性等方面的控制;(二)应用控制,即保障信息系统产生的数据的真实性、完整性、可靠性等方面的控制。”借鉴了国际上常见的信息系统控制审计内容,首次明确了一般控制和应用控制的概念。两大控制的具体内容已在审计署计算机中级水平考试有关课程中得到体现,并和审计署征集的信息系统审计案例的具体要求相一致,为将来一段时期内进行信息系统控制审计定下了基调。在强调信息系统可控性基础上,新准则第73条“…(二)评估对信息系统的依赖程度,确定是否及如何检查相关信息系统的有效性、安全性”及第76条“审计人员认为存在下列情形之一的,应当检查相关信息系统的有效性、安全性:(一)仅审计电子数据不足以为发现重要问题提供适当、充分的审计证据;(二)电子数据中频繁出现某类差异。”对是否应进行信息系统审计、何种情况下应关注信息系统的有效性和安全性提出了依据。尤其是第76条,明确了数据式审计和信息系统审计的关联性,为计算机审计拓展内容、提升层次提供了有力的支持。
  (三)职业判断
  职业判断是计算机审计实务中的重点内容,缺少判断依据和标准是困扰广大计算机审计人员的难点问题。新准则在这方面做出了突破,明确增加了可用于计算机审计职业判断的依据来源,比如第65条“审计人员在调查了解被审计单位及其相关情况的过程中,可以选择下列标准作为职业判断的依据:(一)法律、法规、规章和其他规范性文件;…(四)国家和行业的技术标准;…(七)被审计单位的历史数据和历史业绩;…(九)专业机构或者专家的意见”。一共十条内容中,很多都和计算机及信息系统或其反映的业务有关联,可以作为判断依据,尤其第(四)、(七)、(九)三条,大大拓展了计算机审计的职业判断依据范围,提高了可操作性,保留了足够的灵活性。新准则第69条“审计人员判断重要性时,可以关注下列因素:…(六)是否属于信息系统设计缺陷”明确了信息系统涉及缺陷属于审计应该关注的重要问题,为提高信息系统审计关注度和建立审计免疫系统提供了有力支持。
  三、审计成果利用
  在这一部分,新准则主要有两条涉及到信息系统审计成果的利用。第135条“审计发现被审计单位信息系统存在重大漏洞或者不符合国家规定的,应当责成被审计单位在规定期限内整改。”比如财务软件不具备《财经信息技术 会计核算软件数据接口 第1部分:企业》(GB/T 24589.1-2010)或者《财经信息技术 会计核算软件数据接口 第2部分:行政事业单位》(GB/T 24589.2-2010)两个国家标准接口之一的,按照国务院办公厅《关于利用计算机信息系统开展审计工作有关问题的通知》(国办发〔2001〕88号)中要求:“被审计单位的计算机信息系统应当具备符合国家标准或者行业标准的数据接口”;“审计机关发现被审计单位的计算机信息系统不符合法律、法规和政府有关主管部门的规定、标准的,可以责令限期改正或者更换。”我们可以要求或建议被审计单位更换财务软件。
  新准则第151条“审计机关在审计中发现的下列事项,可以采用专题报告、审计信息等方式向本级政府、上一级审计机关报告:…(四)关系国家信息安全的重大问题;”明确将“关系国家信息安全的重大问题”列入专题报告和审计信息,可以向本级政府或上级审计机关报告,这项举措大大提升了信息系统审计项目的成果利用价值,提高了信息系统审计的地位。
  综上所述,新准则的出台执行,确实为广大审计机关和审计人员从事计算机审计和信息系统审计指出了方向、明确了要求、提供了依据和平台,为降低审计风险和发挥计算机审计及信息系统审计的免疫系统作用打下了坚实基础。

版权所有 © 临汾市审计局    地址:尧都区向阳西路

运营维护:临汾市审计局信息中心    电话:0357-2688379

设计制作:临汾市辰和科技有限公司(电话400-0357-001)