信息系统环境下会计数据完整一致性审计探讨Word文件下载.doc
《信息系统环境下会计数据完整一致性审计探讨Word文件下载.doc》由会员分享,可在线阅读,更多相关《信息系统环境下会计数据完整一致性审计探讨Word文件下载.doc(5页珍藏版)》请在冰点文库上搜索。
计算机程序替代会计人员完成会计数据处理工作,并且能由程序自动控制数据处理中的错误,以保证数据的完整一致性。
也就是说,如果信息系统本身是安全的,会计软件处理是正确的,会计数据库没有被破坏或篡改,人工操作的环节对会计数据完整一致性影响较大。
以下主要从人员操作和接触系统两个方面进行分析。
1.不同的会计信息系统结构对会计数据完整一致性的影响 计算机应用于会计领域,会计信息系统经历了从仿真手工系统结构到集成的信息系统结构两个阶段。
不同的会计信息系统结构,会计数据的处理和控制流程、人工操作的环节是有区别的,对会计数据的完整一致性影响也有所不同,审计也要分别对待。
仿真手工系统是面向会计部门建立的独立的会计信息系统,会计软件依据手工会计数据处理流程进行会计核算,会计信息系统实现了会计部门内的会计数据集中共享,以及从记账凭证到会计账簿和会计报表的自动处理。
目前我国企业的会计信息系统大都处于这个阶段。
随着经济全球化和企业信息化进程的加快,部门独立的信息系统所形成的“信息孤岛”越来越凸现其在信息处理和应用上的弊端,不利于企业的经营管理和决策。
不少企业开始将部门独立的信息系统进行集成,即重组(或改进)业务流程,将业务处理与会计处理融为一体,重建(或改建)信息系统。
由于ERP系统是集成的信息系统的代表,因此ERP也就成了集成的信息系统的代名词。
目前,不少大型集团企业应用了ERP系统.这种系统实现了企业内的业务数据集中共享,会计信息系统只是ERP系统的一个有机组成部分,当经济交易事项发生时系统自动触发会计软件进行处理,实现从业务单据到记账凭证到会计账簿、会计报表的自动处理。
[!
--empirenews.page--] 会计信息系统的数据采集与输入是影响会计数据完整一致性的最主要环节。
从主观上来看,如果有意做假账,则影响会计数据源的因素主要是人,与信息系统环境无关。
从客观上来看,这个环节影响会计数据完整性的因素有两类:
一类是数据采集过程中发生的错误,如原始凭单填写错误、传递失误等;
另一类是会计数据输入错误,如记账凭证科目码输入错、金额输入错等。
通过对仿真手工系统和集成的信息系统两种会计数据处理环境的分析可以看出:
前者是由会计人员汇总、审核原始凭证,在计算机上填制记账凭证,会计数据的采集和输入仅仅是计算机键盘和屏幕代替了笔和纸,因此,影响因素与手工系统类似;
后者是将业务单据(即原始凭证)输入系统,系统根据预先设置的规则自动生成记账凭证,如果自动生成记账凭证的程序没有被破坏,则影响因素转移到记账凭证生成规则数据的输入和维护,以及业务单据输入。
可以看出,集成的信息系统环境,对会计数据的采集与输入和手工系统有很大的不同,计算机程序控制的力度加大。
会计信息系统的数据处理、输出和传递的正确与否也是影响会计数据完整一致性的主要因素。
由于会计数据处理、输出和传递程序基本上替代了会计人员分类汇总、计算、编表等工作,自动化程度很高,人为干预很少,如果程序是正确的并且没有被篡改和破坏,对会计数据完整一致性影响是很小的。
然而,采用什么会计方法或会计政策进行会计数据处理(如折旧方法、存货计价等),以及会计报表的编制规则是需要会计人员通过系统初始设置模块输入的,如果这些规则设置有误或被篡改,则会影响会计数据的完整一致性。
对于仿真手工的系统,仅仅对会计核算和编表的规则进行设置,比较容易掌握;
而集成的信息系统,业务与会计的规则设置、财务会计与管理会计的规则设置融为一体,较难掌握。
因此,系统初始设置操作正确与否是影响会计数据处理、输出和传递的重要因素之一,在集成的信息系统环境下更显突出。
2.会计信息系统运行环境对会计数据完整一致性的影响 会计信息系统运行环境指支持会计软件运行的平台,包括计算机硬件和系统软件、网络与计算机机房的基础实施、以及维护信息系统运行平台的规章制度等。
这些设施设备的安全可靠运行是保证会计软件运行的基础,直接关系到系统处理信息的正确性和业务处理的持续性,从而影响会计数据的完整一致性。
这些因素的影响主要体现在以下几个方面。
(1)信息系统的设施设备(计算机硬件、网络通信、电源等)是否满足整个系统运行的要求,以及是否具备应对意外事故的能力。
如果这些基础设施设备的条件不具备,一旦系统受到外部不可抗拒因素(如火灾、停电等)的影响,整个数据就有丢失的危险。
(2)计算机系统是否具有防止计算机黑客、病毒感染、具有特权职员的各种破坏行为等外来攻击的能力。
如果没有采取防病毒、防外来恶意攻击的措施,一旦受到攻击系统将无法正常运行,甚至造成无法弥补的数据损失和经济损失。
(3)对系统维护人员的管理和约束机制以及信息系统的内部控制体系是保障信息系统正常运行的基础。
系统维护人员是能直接接触会计数据库、会计软件和掌握了信息系统技术的关键人员,他们的有意作案或无意的误操作所造成的影响是很难估量的。
尤其对于自行开发会计软件的单位,信息系统的内部控制制度的健全以及执行更显重要。
因此,系统维护人员对会计数据完整一致性的影响是很大的。
--empirenews.page--] (4)信息系统各个子系统之间的数据传递是否完整一致对会计数据完整一致性有影响。
对于仿真手工的会计信息系统,与业务子系统之间的数据传递可以采用导入/导出接口(即电子数据传递),或由会计人员二次输入的方式。
目前大部分企业对于一些业务独立的子系统输出的原始凭单,采用由会计人员重新输入记账凭证的方法。
这样,给操纵会计数据留下了空间。
例如,电信企业的业务处理信息系统(收费系统)与会计信息系统是相互独立的,收费信息系统打印输出的汇总表是会计信息系统的原始凭单,再通过会计人员填制记账凭证输入。
由于每个月的收费数据量巨大,会计记录是否与业务系统的记录保持完整一致是可以由人来控制的,并且不易审查核对。
这种人工操纵能对整个公司的收入、利润产生影响。
因此,对于仿真手工的会计信息系统环境,[1][2]下一页要关注子系统之间的数据传递的完整一致性。
对于业务与会计集成的信息系统,子系统之间的数据传递由人工操纵的较少,影响会计数据完整一致性相对较小。
B 信息系统审计中会计数据完整一致性审计的重点与方法 通过以上从会计信息系统的输入、处理、输出过程以及会计信息系统自身的安全可靠两个方面对会计数据完整性影响的分析,目的是要了解信息系统环境下企业内部控制的关键环节及其必须采取的控制措施,因为防止人员在操作和接触系统过程中进行舞弊和破坏主要靠严格的管理制度和良好的企业文化,而这些正是审计人员进行符合性测试的重点,同时也是信息系统审计师要审计的内容。
1.对被审计单位内部控制系统审计的重点与方法 内部控制体系是一个单位为保护其资产的安全完整、会计数据的正确可靠、保证国家的法律法规和单位的规章制度能被贯彻执行所构筑的一道防线。
对被审计单位内部控制系统进行审查与评价是审计人员实施审计的第一步。
信息系统环境下,除了采用内部控制调查问卷和现场访问调查,以及符合性测试的方法对被审计单位的管理制度的建设和执行情况进行审查外,重点要对信息系统的内部控制制度的建立与执行情况进行审查。
可以从以下几个方面进行:
(1)信息系统环境下交易授权的特点及执行情况的审查 交易授权是一项重要的内部控制措施,手工环境下是通过规章制度或授权文件记录的,权限的执行过程有可视的审计线索。
信息系统环境下,交易授权是在系统初始设置阶段(自行开发的软件可以在设计阶段置入程序中)完成的,即通过系统管理员(或系统维护员)对谁可以上机操作、可以操作哪些功能模块、可以审批哪些业务、审批的权限有多大,以及审批的路径(或审批的终端)等进行设置(输入相关的数据);
系统运行后,程序自动控制授权的执行。
显然,这种授权环境下,系统管理员(或维护员)有最高的权限,必须有严格的制度对他们进行约束;
同时,每个上机操作的人员必须管理好自己的口令密码,这是防止系统管理员或其他人员盗用权限的措施。
由此,审计人员要审查被审计单位交易授权及其执行的情况,必须到审计现场对信息系统的交易授权控制机制进行测试(如运行某些核心功能模块,审查能否防止未授权的人操作),才能作出合适的评价.[!
--empirenews.page--]
(2)信息系统环境下职责分离的重点及执行情况的审查 信息系统环境下,能够用计算机进行处理的业务流程中的职责不必分离,例如,登总账和明细账;
不能用计算机处理的业务流程仍然要采用职责分离的措施,而以下三个方面的职责分离控制是信息系统审计的重点。
一是经济业务的批准与执行,应与信息系统的业务记录输入相分离,数据输入员必须是通过系统授权的。
对这种职责分离制度的执行情况的审查,要根据被审计单位的会计信息系统结构的不同分别进行测试。
对于仿真手工的系统,只需要根据内部会计制度对系统进行测试;
而对于集成的信息系统,则要根据企业的内部控制制度按业务循环对系统进行测试。
例如,某集团企业实施的ERP系统中,销售与收款业务循环中的订单审批与执行是销售人员,而订单录入是会计人员,会计对业务的控制转移到业务源头数据的输入,这也是审计人员进行符合性测试的重点.二是系统的管理和维护,应与系统的业务操作相分离,即系统管理和维护人员不能操作业务功能模块,业务人员不能操作系统管理模块,尤其对系统开发、程序和数据库的维护、升级等应有完善的互相牵制的措施。
审计人员可以通过对系统开发文档(自行开发的软件)或系统初始设置(也称二次开发)、系统运行维护的记录,以及业务流程图等文档的审查了解这类职责分离制度的执行情况,同时可以调出(或打印)信息系统的操作日志与系统维护记录进行核对,还可以到现场模拟测试信息系统的职责分离控制功能。
三是资产的记录必须与资产实物的保管相分离,并定期盘点核对,这一点与手工操作环境的审计方法一致。
(3)对信息系统接触控制的审查 为了保证信息系统安全可靠运行,企业会主动从技术上采取安全防范措施,如安装防火墙、防病毒软件等。
另外,为了防止信息系统的设施设备以及数据库受到恶意的破坏和舞弊,企业还要建立对信息系统资产接触的内部控制制度,接触控制的资产主要是企业的数据库、计算机程序和计算机设备,防范的对象包括系统维护人员和其他人员。
接触控制的内部控制措施包括职责分离、相互监督(如银行数据库的维护必须有两个维护员在场)等。
审计人员可以通过现场调查、观察等方法进行审查。
2.对被审计单位会计软件系统和会计数据库进行审计的技术与方法 会计软件系统是会计信息的自动加工部件,会计数据库是保存会计数据资源的核心部件,这两个部件的安全、可靠、有效运行是保证会计数据完整一致性的前提。
对这两个部件的审计必须运用计算机技术,尤其对于会计软件系统运行是否有效,必须采用实时的并行审计技术(即在被审计单位会计信息系统运行的同时进行审查)才能作出公正的评价。
显然,要求审计人员都掌握信息系统审计技术是不现实的。
但是,我们可以通过了解各类审计技术的特点,找到较易掌握的适合的方法,以便对可能存在问题的会计软件系统进行审查和评价。
(1)对会计软件系统进行审计的技术及方法 对会计软件系统的审计包括两个部分:
一是对会计软件的开发过程和开发文档的审计(主要是自行开发的软件);
另一个是对会计软件系统运行的安全可靠和有效性进行审计.后者往往是在会计信息系统运行过程中进行审计取证。
审计人员一方面要及时完成审计任务,另一方面又不能妨碍和干扰被审计单位信息系统的正常工作,这给审计证据的采集带来了一定难度。
目前测试会计软件系统的并行审计技术有:
分析会计运行程序的快照技术、映射技术、追踪与标识技术;
测试会计运行程序控制功能的测试数据技术、综合测试技术、并行模拟技术;
监控数据处理业务的嵌入式审计技术、连续在线审计技术等。
这些审计技术的应用必须与被审计单位配合,不少技术需要熟悉会计软件的结构,也要求审计人员有较深的计算机知识。
--empirenews.page--] 审计人员在审计实务中,可以采用一些不必了解程序结构的并行审计技术对会计软件运行的有效性进行审查,如测试数据法。
该方法是按照交易处理的步骤,使用有限的数据(部分正确、部分错误),确定每一个控制是否都按照制度规定有效地执行。
它通过模拟某些业务数据,输入被审计单位信息系统中,来检查实际业务处理过程当中对会计数据处理的有效性。
另外,审计人员还可以通过虚构一个单位或部门、以及该虚构单位的业务数据,将这些数据和实际数据一同输入被审计单位的信息系统进行处理,得出的结果与手工处理的结果进行比对,来判断控制措施的有效性。
升级会员 