会计电算化条件下的内部审计工作
一、 针对会计电算化特点开展各项审计工作
结合内部审计工作的特点开展常规审计。审计人员根据追查审计线索,审查输人数据和打印输出资料及其管理制度。采用手工审计方法对会计原始凭证进行审计,对每张原始凭证进行认真细致地阅读和审查,审核原始发票是否真实有效,是否合理合法,有无经手人和部门领导签字,是否手续齐全,记账凭证是否与其内容一致。对大宗物资的采购有无采购合同,对基建工程的工程结算是否附有预决算书,科研项目是否附有技术服务合同,业务处理程序是否符合财务制度的规定,有无违反了国家的方针、政策和法规等。通过人工审核,全面掌握财务资金流向和用途,对一些不合理支出及存在的问题,编制审计底稿,为审计报告提供初始依据。
根据会计电算化的特点开展电算化审计。绕过计算机审计只能依靠被审计单位打印出来的书面资料进行审计,但这些资料是否真实,审计人员并没有把握。审计人员如果过分依赖被审计单位提供的书面资料进行审计,则有可能发生错误的判断。因此,必须通过计算机审计,计算机处理数据既快速又准确,利用计算机审计可以加快审计的速度,提高审计的效率,减轻审计人员的工作,扩大审计覆盖面。审计人员首先了解本单位内部财务软件处理的流程,根据流程对被审计单位的会计电算化系统重新进行系统移植,建立新的财务软件工作环境,将其每月记账前的记账凭证备份盘按顺序逐月恢复到会计电算化系统中,并与经过审核无误的书面记账凭证进行核对,检查其结果是否与被审计单位打印的书面账簿相符。这种方法简单,但意义重大,一方面是对书面账簿的检验,对会计备份数据的检验,核对其是否备份完全,能有效地发现财务中的漏洞。另一方面通过利用计算机辅助审计方法,直接对被审计单位的各个运行部分进行审查,而不完全依靠系统的运行结果进行审查,因而较少依赖被审计单位提供的书面资料,审计的独立性较强。其次,利用会计核算软件将财务数据库的信息导入审计软件,进行账务处理,核对计算结果是否有财务数据未列人财务决算的情况,防止有的单位节流收人,隐瞒支出,既可以审核被审计单位所使用的会计核算软件是否完备健全,又可以审计各类会计报表填制是否真实准确。
利用购置的会计电算化系统所具备的功能为审计工作提供信息。由于通用会计软件高度集成了凭证处理、账簿查询、报表处理、工资核算、固定资产管理、财务分析等功能模块,在软件的集成度、会计管理功能、安全性、通用性、操作的方便性、用户界面、与其他软件的接口方面均有较完备的功能,因此,审计人员在对被审计单位进行审计时,可充分利用这些功能完成部分审计任务。审计人员通过对被审计单位会计系统的查询、分析等模块进行实质性审查,如审计人员可根据某一科目总账直接查到它所辖的明细分类账,并从明细分类账查到记账凭证,并按指定的条件查找数据文件中的数据,经审计人员汇总,完成审计信息统计工作,为审计提供第一手资料。
二、 开展对会计软件的安全评估和会计电算化系统的审计
内部审计人员对本单位、本系统的财务情况比较了解,对财务流程比较清楚,为开展会计电算化审计提供了有利条件。对会计电算化系统内部控制的审计主要可分为组织控制审计、系统开发与维护控制审计、系统安全控制审计、硬件及系统软件控制和操作控制审计。
组织审计主要是审计机构设置是否合理,各项管理制度是否健全,人员配置是否合理,各会计岗位人员职责是否明确、分工是否合理,如凭证录人人员与凭证审核或稽核人员要相互制约,不得由同一人员负责,程序设计、计算机操作人员、数据保管人员也要相互分离。对单位的系统管理人员与其他业务操作人员要有明确的管理和操作权限,并应通过设置密码等形式确保各自操作的安全性。
内部审计人员应参与系统开发与维护控制。一方面可以对系统开发过程进行监督和审查,另一方面通过参与工作可以对计算机信息系统内部控制的各个方面有所了解,在可能的情况下,审计人员还可以就内部控制的设置提出实用性的建议。通过对系统开发与维护控制的审查,可使审计人员对信息系统的风险和薄弱环节进行评估,使下一步的审计更有针对性。
审计人员对系统的安全控制如环境安全控制、安全保密控制、病毒防治、保险等控制措施进行审查。如,审计人员要实地检查机房或终端是否上锁,未经批准的人是否有可能接触系统;操作人员能否接触系统设计和程序设计的有关资料。审查人员还应调查是否只有经批准的人才可能得到密码,对用错误密码企图进人系统的情况,系统是否有记录并有专人进行调查。另外,审计人员还应实地检查系统的后备硬件、软件和数据文件,并检查其保管是否符合安全的要求,并应了解一旦系统发生意外,出现数据文件的毁坏时,操作人员是否懂得如何利用后备文件进行恢复;如果系统全部毁坏,电算部门能否利用后备的硬件、软件和数据文件把系统恢复起来。
对操作控制进行审计。审计人员首先应检查有无操作管理制度,是否对操作人员的口令、使用权限等实行严格的控制管理,检查已经记账的会计凭证修改权限的设定是否合理,防止被相关人员恶意修改;是否存在有输人数据不记账情况下的打印凭证功能,这些漏洞往往被财务人员与其他人员相互勾结利用,重复报账;其次应实地察看操作人员的操作情况,检查操作人员的分工以及错误的处理和更正程序是否符合内部控制的原则,财务数据库是否采取加密方式存储,数据是否每天对使用系统的人员有详细的日志记录,以备日后检查;最后应检查当系统出现异常情况时,有无及时恢复系统操作的步骤和方法。
通过以上方法的审计,审计人员应根据其经验和必要的计算机手段对财务系统进行评估,确定其安全性和合理性,并写出评估报告和确定安全等级,对发现的漏洞提出合理化建议,采取措施及时处理。通过评估,为获取真实可靠的内部审计数据提供必要的保证。
三、 针对内部审计的特点,建立完整的审计软件体系
内部审计部门主要是针对本单位的需要建立的内部职能部门具有相对独立性。审计人员在工作中经常和财务部门接触,对本单位的财务软件运行的情况比较了解,因此,审计人员应开发一套适合内部审计工作需要的审计软件,增加统计功能和分析功能,特别是数据检验功能,这样有利于监督财务软件核算的正确性及审计结果的准确性,如有可能,最好在会计软件中建立标准数据接口,使得不同格式的数据能够转换成同一格式,为审计软件提供原始数据,从而节省审计人员的时间和精力,提高审计效率,为以后的审计奠定良好的审计基础。
在我国,会计电算化技术的运用越来越普及,但是相应的计算机审计的研究还比较薄弱,许多内部审计人员在对运用了会计电算化系统的企业进行审计时,还在沿袭对手工核算系统审计时的传统方法;另一方面,原有的财务软件的设计也并未充分考虑审计人员的特殊要求,会计电算化与审计工作处于一种“脱节”的状态,这将严重影响我国会计电算化与审计工作的发展。对内部审计而言,内部审计的事前监督作用如何通过会计电算化的完善而发挥积极作用,是值得研究的问题,特别是内部审计人员自主开发适合本单位需要的审计软件是当务之急。