会计信息系统审计的过程
三、会计信息系统审计的过程
与一般财务审计一样,会计信息系统的审计过程也包括审计计划、审计实施和审计完成3个阶段。
(一)制订审计计划
这是审计工作开始的起点。科学合理的计划有助于审计人员调查和取证,并形成正确的审计结论,以顺利地实现审计目标。审计计划阶段包括:
1.了解被审计单位的基本情况。主要了解被审计单位的业务性质、组织结构、信息系统的战略规划、计算机应用的体系结构、现行会计信息系统及相关业务系统、经营管理工作对会计信息系统的需求,以及应用系统所处理交易和事项的类型等。
2.识别重要性。合理地使用审计资源有助于审计目标的顺利实现。在制订审计计划时,应对重要性进行适当评估,越是重要的子系统,越需要获取充分的审计证据。
3.了解被审单位的内部控制情况。在计划阶段,审计人员应首先了解被审单位的内部控制情况,特别是信息系统的控制情况。对内部控制的完善性进行初评,以确定需要测试的项目并制定测试计划。在了解信息系统的控制时,要对信息系统及其应用环境有所了解。其中包括:系统采用何种体系结构(主要有主机中心结构、客户服务器结构和浏览器服务器结构等,不同的结构,信息系统的硬软件配置不同,系统的控制也有所不同);系统硬、软件设备情况(硬件部分包括主机型号、CPU厂家、内存容量、输入输出设备及辅助存储设备;软件部分包括当前系统所使用的操作系统及其他系统软件情况,如通信软件、数据库管理系统软件、应用软件和编程语言等);会计信息系统及相关业务系统情况(主要包括各系统的重要性、复杂程度及各系统间的数据传递关系等,特别要对重要系统和复杂系统及其控制情况引起重视);信息系统的管理控制措施(特别要全面了解是会计信息系统的控制措施)等。
4.进行风险评估。通过风险评估,可以识别出风险相对高的领域,审计时应对该领域引起重视。一般说来,对固有风险和控制风险估计的越高,支持审计人员形成审计意见所需要的审计证据数量就越大。
5.制订审计计划书。审计计划最终要形成书面文件,并在审计工作底稿中加以记录。审计计划书的基本内容应该包括:被审计单位的基本情况、审计的范围和重点、审计的步骤和时间安排、人员分工情况、所使用的审计技术与方法、审计中应注意的事项,以及其他有关内容。
在审计计划阶段,获取审计证据的主要方法有:调查问卷方法,即将与系统安全、数据完整、系统的有效性和效率有关的事项列为调查对象,设计成调查表形式交企业有关人员填写或由审计人员根据调查结果自行填写;面谈的方法,即针对某些问题直接与内部审计人员、信息系统管理人员及其他有关人员进行面对面交流;审阅系统文档的方法,即查阅信息系统的文档资料及有关的管理规定;进行实地观察的方法,即实地查看信息系统工作的场所及其设施。在搜集审计证据的过程中,审计人员要关注可能出现问题的环节和相关的控制措施。
(二)实施审计
这是审计过程的中心环节。在这一阶段要根据审计计划阶段所确定的审计范围、要点、步骤及方法进行调查、取证和评价,以形成审计结论。在这一阶段,通常要进行有关的符合性测试和实质性测试。
1.符合性测试
符合性测试是为了了解被审单位内部控制的可信赖程度,对其内部控制系统的设计和执行是否有效而实施的一种审计程序。它是审计工作基本程序中的主要内容。
符合性测试的总体目标是分析和确定内控制度的设置是否存在,其控制结果是否有效。审计人员通过运用符合性测试,研究和评价被审单位内部控制系统的运行状况,并以此为依据来确定实质性测试的性质、范围和时间。
为了达到上述要求,就要适当选定符合性测试的策略。经过对内控制度的符合性测试,可以为下一步的实质性测试提供审计线索和审计范围。如果内部控制制度的可信赖程度尚高,则执行实质性测试的范围就小;如果内部控制制度的可信赖程度低甚至不可信赖,则执行实质性测试的范围就大。例如,通过对被审单位存货的内控制度的符合性测试,若认定其实行永续记录,控制政策完善,管理手续健全,核算制度规范,那么,对其执行实质性测试就不需要很大的范围。符合性测试的步骤如图7-1所示。
图7-1 符合性测试过程
2.实质性测试
实质性测试目的是通过必要的数据测试,对能否实现特定的目标向管理者提供最终的保证或不保证。实质性测试是形成审计意见和审计结论的依据。它通过对被审单位有关涉及数额或货币值的经济业务事项,及财务会计报告的数额和账户余额进行审查,以确定这些数额是否合法,是否正确。它是审计工作基本程序中不可缺少的重要环节。
实质性测试的总体目标是验证被审单位的数据处理是否正确。通过对交易和事项的详细测试或分析性复核,以获得审计期间交易和事项完整、准确或存在的审计证据。如为评价会计信息系统实体资产的安全性,审计人员要查看防火及防盗等设施的存在性及可靠性;为评价系统处理功能是否正确有效,审计人员可把预先设计好的测试数据,交给系统进行处理,并将处理结果同预期结果加以比较分析;为评价系统的效率,审计人员要审查系统的响应时间,以确定是否在可接受的范围之内。另外,审计人员通过运用实质性测试,可以核对账账、账证、账卡、账表是否相符;可以清点实物,看其账实是否相符;可以取得第一手的审计证据,为发表审计意见提供可靠依据。
在具体进行实质性测试时,可利用审计软件从事务日志中选取样本进行评价。日志文件的记录是对系统运行情况最全面、详尽和真实的反映,它为审计提供了重要的线索。因此应将操作系统、数据库管理系统及应用系统的日志文件作为重点进行审查分析。
需要指出的是,在某些情况下,审计人员可以不进行符合性测试,就直接进行实质性测试。例如,当发现被审计单位的内控制度不存在,或者内控制度虽然存在,但并未有效运行时,就可以直接进行实质性测试。
(三)审计完成阶段
在该阶段,审计人员要利用专业判断综合分析所收集到的各种审计证据,以经过核实的审计证据为依据,形成审计意见,并出具审计报告。在审计报告中,应对审计范围、审计目标、审计期间、所执行审计工作的性质和范围、采用了哪些计算机辅助审计技术,以及有关审计结果进行说明。对因被审单位或客观环境所限,在审计过程中未能获取充分完整的资料的某些重要事项,也应在审计报告中予以说明。
在进行审计报告评价时,审计人员既要考虑所发现错误的重要性,又要考虑由于控制弱点而产生潜在风险或错误的重要性。按照一般可接受的控制惯例,如果没有重要的控制弱点,且控制适当,可实现控制目标,则审计人员可考虑发表控制适当的无保留意见;如果缺乏控制而导致不能为实现控制目标提供合理保证,则视控制弱点为重要,此时应考虑发表保留意见或提出有关建议。根据审计目标,审计人员也可以向管理者报告出不重要的控制弱点,特别是在增强控制所用的成本不高时,更应当考虑向管理当局报告不重要的控制弱点。
另外,由于在外勤工作结束日到审计报告发布日之间通常都还会有一段时间,所以,在正式发布审计报告之前,审计人员还应考虑期后事项。如在此期间被审计单位或被审计系统是否又发生什么重大变化,这些变化是否对审计结论和建议产生影响,同时要将可能产生的影响一并告知审计报告的使用者。