计算机审计如何进行

计算机审计如何进行计算机审计如何进行 与传统手工审计一样，计算机审计过程可分成接受业务、编制审计 计划、实施审计和报告审计结果等四个阶段。 其中重点是计算机审计 实施阶段， 包括计算机信息系统的内部控制评价和对计算机系统所产 生的会计数据（信息）进行测试评价。计算机审计过程具体可细分为 以下主要步骤： 1.准备阶段。①了解企业基本情况，与企业的有关人员初步面谈并 查阅其会计电算化系统的基本资料， 归纳出被审计系统的特点和重点。 ②组织审计人员和准备所需要的审计软件。 根据被审计企业会计电算 化系统的构成特点， 复杂程度可选择安排有计算机审计经验的注册会 计师担任项目负责人，组成审计小组，准备审计软件。如果对某审计 项目需要特殊的审计软件， 还必须组成一个专门小组预先开发好所需 要的软件，以保障审计工作顺利开展。 2.内部控制的初步审查。初步审查的目标是使审计人员了解计算机 信息系统在会计工作中的应用程度， 初步熟悉电算化会计系统的业务 流程和内部控制的基本结构， 包括从原始凭证的编制到各种会计报表 输出的整个过程。一般采用如下的检查和会谈： ①审阅上期的审计报 告和管理建议书，初步了解上期系统的弱点。②检查会计电算化系统 的文档和系统使用手册，了解系统模块结构、名称、数据库以及相应 的功能。 ③检查输入数据的基本依据 （电子数据和有关的原始凭证） ， 初步了解企业会计原始数据产生的内部控制制度的基本情况。 ④针对 一些基本情况和上述检查发现的问题， 与会计人员、系统开发和维护 人员、程序员面谈，以便得到与司题相关的背景资料。⑤初步审查数 据处理流程图，了解原始数据的起点、文件名称和系统内的代码、数 据经过的单位或部门、数据的终点和保管的措施，以及对产生和使用 数据的单位的内部控制，并制作必要的简明数据流程图。 同时，审计人员还要对下列资料进行了解：①系统安装日期、计算 机硬件系统的型号、机房的基本管理设施、系统管理制度、系统的负 荷量（数据处理量） 。②系统的组织结构、各级管理的职责，以及计 算机系统的负责人和系统管理人员。 ③系统内务应用子系统的控制类 型和主要经济业务。 3.初步审查结果的评价。初步审查后，审计人员必须从整个会计信 息系统内部控制的角度出发， 评价初步审查的结果，确定内部控制的 可行性程度，并作出结论。 其结论可按以下三种方式之一作出：①退 出审计。由于缺乏实施审计的技术或内部控制不可依赖等许多问题， 审计人员可针对这些问题提出一些管理建议并退出审计。 ②对一般控 制和应用控制进行进一步详细的审查。 这一方式是在初步审查表明内 部控制有可依赖性的情况下采取的， 实质性测试可作一些简化。③决 定不依赖于内部控制。作出这一决定可能有两种原因： 一是直接进行 实质性测试更容易达到预定的审计目标； 二是因为计算机内部控制系 统可能不完善，各应用系统的用户自己增加了一些必要的补充控制， 对补偿控制进行测试更易于达到审计的目的。 初步审查是通过应用面谈、实地检查观察、阅读内控制度和有关系 统分析设计的文档、填制内控制度调查表等方法取得初步审查结果， 并对这些结果作出评价，为下一步应当怎样审计提供必要信息。 4.内部控制的深入审查。与初步审查一样，审计人员要判断是否退 出审计，或是依赖系统的内部控制进入下一阶段符合性测试， 或是直 接进入实质性测试过程。对于某些应用子系统，审计人员可决定依赖 于其内部控制，也可采用其他更适宜的审计过程。 5.符合性测试阶段。符合性测试阶段的目标是寻找证据确定计算机 系统的内部控制制度是否在发挥作用， 以及实际存在的控制制度是否 可信赖。除了在前面审查中所用手工收集证据方法仍可用外， 在这一 步骤， 审计人员基本上是用计算机辅助收集证据和验证审计计划中已 提出的各项控制制度是否可依赖。 6.用户补偿控制的审查和测试。在某些情况下，审计人员可能决定 不依赖计算机系统的内部控制， 因为应用于系统的用户采用了一些补 充控制来补充原控制制度的弱点。 7.实质性测试。实质性测试阶段的目标是取得充分的证据，使审计 人员能作出计算机系统在各重大方面是否偏离公允性或存在哪些弱 点的最后判断。实质性测试可分为六类：①出错处理的测试；②数据 质量的测试；③数据一致性的测试；④实物盘点与计算机系统中的数 据比较测试；⑤利用外部数据资源对系统内的数据进行的测试； ⑥分 析性检查测试。 8.全面评价和编制审计报告。通过上述的审计步骤，审计证据和对 各项目的初步评价结果已经形成， 但这些证据和初步评价的结果是比 较分散的。 全面评价的目的是将收集到的审计证据和初步评价结果进 行综合，筛选出重要的证据和主要的问题， 将这些问题和证据作为重 点进行综合评价。评价的范围包括对会计数据的公允性、 内控制度的 健全性和有效性，以及会计电算化系统的效率性和效益性。 在评价结 果的基础上编制客观公正的审计报告和管理建议书。 在报告提供给委 托人之前，还应当征求被审计企业的意见， 必要时对重大的问题进行 追加审计，以保证审计报告和管理建议书有更高的可信度。 编制审计 报告和建议书的基本过程和方法都与传统审计一样。 但应当注意的是， 应用计算机进行审计， 其审计结果汇总评价的许多方面可由计算机自 动完成，甚至最终的审计报告也可由计算机辅助完成。 开展计算机审计是更好地应用企业信息网，促进企业发展的需要， 企业信息网，包括电子商务系统的推广应用， 将给企业带来巨大的收 益。做好计算机审计将保证网上新的业务合法合规、健康发展，尽管 这将给审计人员提出更高的要求。 由于企业信息网、电子商务等系统 采用多种计算机和通信技术，拥有多重设备资源，开展多种业务，系 统较为复杂，因此，数据资源共享和数据安全成为一个非常重要的新 问题，在这种情况下，审计工作表现出了很多网络环境下的新特点。 一是责任的分散。在非网络情况下，包括数据文件整理、数据组织、 数据存取、数据编辑与验证，以及数据库的建立与维护在内的控制责 任，通常集中在小部分拥有权限的具体操作人员身上。 而在网络环境 下，数据的使用面向整个网络用户， 即这种控制责任除原具体操作人 员外，将向众多部门及人员转移，甚至涉及到网络的所有用户；二是 重点的转移。在非网络环境下，审计人员关注的重点在于内部控制的 符合性测试和实质性测试方面， 整个电算系统运转的核心也是系统程 序对内部控制的落实上。而在网络情况下，数据高度集中在网络系统 中， 数据可能被非法拷贝、 非法篡改， 从而引发新型的网络审计风险。 因此，审计的重点也应放在网络系统上。 目前我们要加强审计人员的素质，现代科学技术飞速发展，审计人 员单纯拥有审计专业知识和简单的计算机知识已经远远不够， 必须提 高审计人员的计算机技术水平和业务能力。 由于计算机在企业内部的 广泛应用，尤其是企业财务软件的应用， 企业开展计算机审计已不能 仅仅局限于简单的计算， 而是应该形成一个系统的审计规范且将其融 入一套软件程序，以适应审计工作需要。由于企业信息化水平不同， 人员素质不同，计算机审计工作的开展可从易到难， 具备基本功能的 审计软件可以外购。但对于已推广应用财务软件的企业， 可考虑组织 力量自行开发审计软件。因为会