信息系统环境下会计数据完整一致性审计探讨
发布时间:2007-06-01 点击数:2183 正文:【
放大 】【
缩小 】
简介: 随着企业全面实施ERP系统(企业资源规划或集成的信息系统),传统的会计核算职能正 在淡化;ERP系统能够实时采集企业任一地域位置的生产、经营活动的业务数据并自动 转换成会计数据;企业的经营管理、会计报表数据的真实可靠越来越依赖于信息系统。 信息系统审计以及信息系 ...
随着企业全面实施ERP系统(企业资源规划或集成的信息系统),传统的会计核算职能正 在淡化;ERP系统能够实时采集企业任一地域位置的生产、经营活动的业务数据并自动 转换成会计数据;企业的经营管理、会计报表数据的真实可靠越来越依赖于信息系统。 信息系统审计以及信息系统审计师正逐步受到业界的极大关注。
信息系统环境下的会计数据完整一致性审计,是指对企业发生的经济交易数据的记录 是否真实、完整,会计数据是否被安全、可靠、完整地保存,会计报表数据是否公正、 全面、正确地反映了企业的财务状况和经营成果,进行审查和评价。与传统的审计相比 ,传统的会计数据完整性审计主要是对发生的经济业务是否都已记入会计账户和报表, 有无漏记的经济业务进行审查;而在信息系统环境下,会计数据完整一致性审计涉及到 输入、处理、输出以及应用控制的整个过程,要求是“穿透计算机”的审计,即除了要 对被审计单位提交的会计报表进行审计,还要对其生成会计报表的会计数据库、会计处 理软件的正确性进行审查和评价,属于信息系统审计的范畴,这对审计人员来说是极大 的挑战。本文试图从信息系统审计的视角,从影响会计数据完整一致性的成因分析着手 ,对会计数据完整一致性审计的特点和方法进行探讨,以便给审计人员一些启示。
A 信息系统环境下影响会计数据完整一致性因素分析
信息系统环境与手工系统环境最大的区别是:计算机程序替代会计人员完成会计数据 处理工作,并且能由程序自动控制数据处理中的错误,以保证数据的完整一致性。也就 是说,如果信息系统本身是安全的,会计软件处理是正确的,会计数据库没有被破坏或 篡改,人工操作的环节对会计数据完整一致性影响较大。以下主要从人员操作和接触系 统两个方面进行分析。
1.不同的会计信息系统结构对会计数据完整一致性的影响
计算机应用于会计领域,会计信息系统经历了从仿真手工系统结构到集成的信息系统 结构两个阶段。不同的会计信息系统结构,会计数据的处理和控制流程、人工操作的环 节是有区别的,对会计数据的完整一致性影响也有所不同,审计也要分别对待。
仿真手工系统是面向会计部门建立的独立的会计信息系统,会计软件依据手工会计数 据处理流程进行会计核算,会计信息系统实现了会计部门内的会计数据集中共享,以及 从记账凭证到会计账簿和会计报表的自动处理。目前我国企业的会计信息系统大都处于 这个阶段。随着经济全球化和企业信息化进程的加快,部门独立的信息系统所形成的“ 信息孤岛”越来越凸现其在信息处理和应用上的弊端,不利于企业的经营管理和决策。 不少企业开始将部门独立的信息系统进行集成,即重组(或改进)业务流程,将业务处理 与会计处理融为一体,重建(或改建)信息系统。由于ERP系统是集成的信息系统的代表 ,因此ERP也就成了集成的信息系统的代名词。目前,不少大型集团企业应用了ERP系统 。这种系统实现了企业内的业务数据集中共享,会计信息系统只是ERP系统的一个有机 组成部分,当经济交易事项发生时系统自动触发会计软件进行处理,实现从业务单据到 记账凭证到会计账簿、会计报表的自动处理。
会计信息系统的数据采集与输入是影响会计数据完整一致性的最主要环节。从主观上 来看,如果有意做假账,则影响会计数据源的因素主要是人,与信息系统环境无关。从 客观上来看,这个环节影响会计数据完整性的因素有两类:一类是数据采集过程中发生 的错误,如原始凭单填写错误、传递失误等;另一类是会计数据输入错误,如记账凭证 科目码输入错、金额输入错等。通过对仿真手工系统和集成的信息系统两种会计数据处 理环境的分析可以看出:前者是由会计人员汇总、审核原始凭证,在计算机上填制记账 凭证,会计数据的采集和输入仅仅是计算机键盘和屏幕代替了笔和纸,因此,影响因素 与手工系统类似;后者是将业务单据(即原始凭证)输入系统,系统根据预先设置的规则 自动生成记账凭证,如果自动生成记账凭证的程序没有被破坏,则影响因素转移到记账 凭证生成规则数据的输入和维护,以及业务单据输入。可以看出,集成的信息系统环境 ,对会计数据的采集与输入和手工系统有很大的不同,计算机程序控制的力度加大。
会计信息系统的数据处理、输出和传递的正确与否也是影响会计数据完整一致性的主 要因素。由于会计数据处理、输出和传递程序基本上替代了会计人员分类汇总、计算、 编表等工作,自动化程度很高,人为干预很少,如果程序是正确的并且没有被篡改和破 坏,对会计数据完整一致性影响是很小的。然而,采用什么会计方法或会计政策进行会 计数据处理(如折旧方法、存货计价等),以及会计报表的编制规则是需要会计人员通过 系统初始设置模块输入的,如果这些规则设置有误或被篡改,则会影响会计数据的完整 一致性。对于仿真手工的系统,仅仅对会计核算和编表的规则进行设置,比较容易掌握 ;而集成的信息系统,业务与会计的规则设置、财务会计与管理会计的规则设置融为一 体,较难掌握。因此,系统初始设置操作正确与否是影响会计数据处理、输出和传递的 重要因素之一,在集成的信息系统环境下更显突出。
2.会计信息系统运行环境对会计数据完整一致性的影响
会计信息系统运行环境指支持会计软件运行的平台,包括计算机硬件和系统软件、网 络与计算机机房的基础实施、以及维护信息系统运行平台的规章制度等。这些设施设备 的安全可靠运行是保证会计软件运行的基础,直接关系到系统处理信息的正确性和业务 处理的持续性,从而影响会计数据的完整一致性。这些因素的影响主要体现在以下几个 方面。
(1)信息系统的设施设备(计算机硬件、网络通信、电源等)是否满足整个系统运行的要 求,以及是否具备应对意外事故的能力。如果这些基础设施设备的条件不具备,一旦系 统受到外部不可抗拒因素(如火灾、停电等)的影响,整个数据就有丢失的危险。
(2)计算机系统是否具有防止计算机黑客、病毒感染、具有特权职员的各种破坏行为等 外来攻击的能力。如果没有采取防病毒、防外来恶意攻击的措施,一旦受到攻击系统将 无法正常运行,甚至造成无法弥补的数据损失和经济损失。
(3)对系统维护人员的管理和约束机制以及信息系统的内部控制体系是保障信息系统正 常运行的基础。系统维护人员是能直接接触会计数据库、会计软件和掌握了信息系统技 术的关键人员,他们的有意作案或无意的误操作所造成的影响是很难估量的。尤其对于 自行开发会计软件的单位,信息系统的内部控制制度的健全以及执行更显重要。因此, 系统维护人员对会计数据完整一致性的影响是很大的。
(4)信息系统各个子系统之间的数据传递是否完整一致对会计数据完整一致性有影响。 对于仿真手工的会计信息系统,与业务子系统之间的数据传递可以采用导入/导出接口( 即电子数据传递),或由会计人员二次输入的方式。目前大部分企业对于一些业务独立 的子系统输出的原始凭单,采用由会计人员重新输入记账凭证的方法。这样,给操纵会 计数据留下了空间。例如,电信企业的业务处理信息系统(收费系统)与会计信息系统是 相互独立的,收费信息系统打印输出的汇总表是会计信息系统的原始凭单,再通过会计 人员填制记账凭证输入。由于每个月的收费数据量巨大,会计记录是否与业务系统的记 录保持完整一致是可以由人来控制的,并且不易审查核对。这种人工操纵能对整个公司 的收入、利润产生影响。因此,对于仿真手工的会计信息系统环境,要关注子系统之间 的数据传递的完整一致性。对于业务与会计集成的信息系统,子系统之间的数据传递由 人工操纵的较少,影响会计数据完整一致性相对较小。
B 信息系统审计中会计数据完整一致性审计的重点与方法
通过以上从会计信息系统的输入、处理、输出过程以及会计信息系统自身的安全可靠 两个方面对会计数据完整性影响的分析,目的是要了解信息系统环境下企业内部控制的 关键环节及其必须采取的控制措施,因为防止人员在操作和接触系统过程中进行舞弊和 破坏主要靠严格的管理制度和良好的企业文化,而这些正是审计人员进行符合性测试的 重点,同时也是信息系统审计师要审计的内容。
1.对被审计单位内部控制系统审计的重点与方法
内部控制体系是一个单位为保护其资产的安全完整、会计数据的正确可靠、保证国家 的法律法规和单位的规章制度能被贯彻执行所构筑的一道防线。对被审计单位内部控制 系统进行审查与评价是审计人员实施审计的第一步。信息系统环境下,除了采用内部控 制调查问卷和现场访问调查,以及符合性测试的方法对被审计单位的管理制度的建设和 执行情况进行审查外,重点要对信息系统的内部控制制度的建立与执行情况进行审查。 可以从以下几个方面进行:
(1)信息系统环境下交易授权的特点及执行情况的审查
交易授权是一项重要的内部控制措施,手工环境下是通过规章制度或授权文件记录的 ,权限的执行过程有可视的审计线索。信息系统环境下,交易授权是在系统初始设置阶 段(自行开发的软件可以在设计阶段置入程序中)完成的,即通过系统管理员(或系统维 护员)对谁可以上机操作、可以操作哪些功能模块、可以审批哪些业务、审批的权限有 多大,以及审批的路径(或审批的终端)等进行设置(输入相关的数据);系统运行后,程 序自动控制授权的执行。显然,这种授权环境下,系统管理员(或维护员)有最高的权限 ,必须有严格的制度对他们进行约束;同时,每个上机操作的人员必须管理好自己的口 令密码,这是防止系统管理员或其他人员盗用权限的措施。由此,审计人员要审查被审 计单位交易授权及其执行的情况,必须到审计现场对信息系统的交易授权控制机制进行 测试(如运行某些核心功能模块,审查能否防止未授权的人操作),才能作出合适的评价 。
(2)信息系统环境下职责分离的重点及执行情况的审查
信息系统环境下,能够用计算机进行处理的业务流程中的职责不必分离,例如,登总 账和明细账;不能用计算机处理的业务流程仍然要采用职责分离的措施,而以下三个方 面的职责分离控制是信息系统审计的重点。一是经济业务的批准与执行,应与信息系统 的业务记录输入相分离,数据输入员必须是通过系统授权的。对这种职责分离制度的执 行情况的审查,要根据被审计单位的会计信息系统结构的不同分别进行测试。对于仿真 手工的系统,只需要根据内部会计制度对系统进行测试;而对于集成的信息系统,则要 根据企业的内部控制制度按业务循环对系统进行测试。例如,某集团企业实施的ERP系 统中,销售与收款业务循环中的订单审批与执行是销售人员,而订单录入是会计人员, 会计对业务的控制转移到业务源头数据的输入,这也是审计人员进行符合性测试的重点 。二是系统的管理和维护,应与系统的业务操作相分离,即系统管理和维护人员不能操 作业务功能模块,业务人员不能操作系统管理模块,尤其对系统开发、程序和数据库的 维护、升级等应有完善的互相牵制的措施。审计人员可以通过对系统开发文档(自行开 发的软件)或系统初始设置(也称二次开发)、系统运行维护的记录,以及业务流程图等 文档的审查了解这类职责分离制度的执行情况,同时可以调出(或打印)信息系统的操作 日志与系统维护记录进行核对,还可以到现场模拟测试信息系统的职责分离控制功能。 三是资产的记录必须与资产实物的保管相分离,并定期盘点核对,这一点与手工操作环 境的审计方法一致。
(3)对信息系统接触控制的审查
为了保证信息系统安全可靠运行,企业会主动从技术上采取安全防范措施,如安装防 火墙、防病毒软件等。另外,为了防止信息系统的设施设备以及数据库受到恶意的破坏 和舞弊,企业还要建立对信息系统资产接触的内部控制制度,接触控制的资产主要是企 业的数据库、计算机程序和计算机设备,防范的对象包括系统维护人员和其他人员。接 触控制的内部控制措施包括职责分离、相互监督(如银行数据库的维护必须有两个维护 员在场)等。审计人员可以通过现场调查、观察等方法进行审查。
2.对被审计单位会计软件系统和会计数据库进行审计的技术与方法
会计软件系统是会计信息的自动加工部件,会计数据库是保存会计数据资源的核心部 件,这两个部件的安全、可靠、有效运行是保证会计数据完整一致性的前提。对这两个 部件的审计必须运用计算机技术,尤其对于会计软件系统运行是否有效,必须采用实时 的并行审计技术(即在被审计单位会计信息系统运行的同时进行审查)才能作出公正的评 价。显然,要求审计人员都掌握信息系统审计技术是不现实的。但是,我们可以通过了 解各类审计技术的特点,找到较易掌握的适合的方法,以便对可能存在问题的会计软件 系统进行审查和评价。
(1)对会计软件系统进行审计的技术及方法
对会计软件系统的审计包括两个部分:一是对会计软件的开发过程和开发文档的审计( 主要是自行开发的软件);另一个是对会计软件系统运行的安全可靠和有效性进行审计 。后者往往是在会计信息系统运行过程中进行审计取证。审计人员一方面要及时完成审 计任务,另一方面又不能妨碍和干扰被审计单位信息系统的正常工作,这给审计证据的 采集带来了一定难度。目前测试会计软件系统的并行审计技术有:分析会计运行程序的 快照技术、映射技术、追踪与标识技术;测试会计运行程序控制功能的测试数据技术、 综合测试技术、并行模拟技术;监控数据处理业务的嵌入式审计技术、连续在线审计技 术等。这些审计技术的应用必须与被审计单位配合,不少技术需要熟悉会计软件的结构 ,也要求审计人员有较深的计算机知识。
审计人员在审计实务中,可以采用一些不必了解程序结构的并行审计技术对会计软件 运行的有效性进行审查,如测试数据法。该方法是按照交易处理的步骤,使用有限的数 据(部分正确、部分错误),确定每一个控制是否都按照制度规定有效地执行。它通过模 拟某些业务数据,输入被审计单位信息系统中,来检查实际业务处理过程当中对会计数 据处理的有效性。另外,审计人员还可以通过虚构一个单位或部门、以及该虚构单位的 业务数据,将这些数据和实际数据一同输入被审计单位的信息系统进行处理,得出的结 果与手工处理的结果进行比对,来判断控制措施的有效性。
(2)对会计数据库进行审计的技术及方法
对会计数据库进行审计即通常所说的审查电子账。包括对会计数据库的安全可靠、有 效运行的审查;会计数据完整一致性审查;会计数据库的防灾能力审查(即会计数据库 的备份与恢复);会计数据档案(包括电子档案)保管的审查。对被审计单位的会计数据 库进行以上审查,除了现场调查和观测外,重点是对在线的电子账和备份的电子账(保 存的会计账)进行分析、复核、验算等,以便对会计数据的完整一致性作出评价。对会 计数据库进行审计的技术包括审计接口技术、数据采集技术、数据转换技术、数据分类 复核技术、数据查询技术、数据分析技术、抽样技术等。
由于对被审计单位电子账的审查也属于财务审计的范畴,在符合性测试和实质性测试 两个阶段经常要用到这些审计技术,因此,国家审计署以及软件公司开发了各类通用或 专用的审计软件,使审计人员通过审计软件来运用这些审计技术,减少了审计人员了解 信息技术的难度。审计软件是审计人员对会计数据库进行审计的常用工具和方法。通过 审计软件的数据导入/导出接口,可以将被审计单位会计数据库中的数据导入审计软件 系统的数据库中,再利用审计软件中的功能模块对数据进行复核计算、分析、抽样等处理。
信息系统环境下的会计数据完整一致性审计是信息系统审计的一个组成部分,要根据 被审计单位的会计信息系统结构选取适当的方法,同时还要考虑成本和效益原则。
责任编辑: