计算机信息系统内部控制审计

黄小洋+李露+卢亚贤

摘 要：计算机技术成为时下各个领域不可或缺的一部分，在会计信息化日益普及的今天，企业单位日常的经营核算管理，无不贯穿着计算机信息系统的运用，当然，会计信息系统带来企业管理核算效率的提高的同时，也迫使内部控制制度的变革，内部控制制度的审计面临着不可小觑的挑战。

关键词：信息系统；内部控制；审计

一、计算机信息化环境下内部控制给审计带来的挑战

在计算机技术不断进步广泛普及的科技时代，会计信息化成为企业管理的必然趋势。相对于传统手工会计，计算机在会计信息的处理中，具有明显的优势，数据处理速度与精度使信息化会计制度能够很快的适用于公司的经营与管理。然而，先进的计算机手段为支撑带动着审计手段的提高，但是使用计算机诈骗，欺诈和审计风险的可能性显著增加。管理人员在面临传统经营风险和财务风险的同时，还必须面对信息风险对企业生存和发展带来的挑战

在很长的时间里，因为计算机会计信息系统没有被人们广泛认识接纳，内部控制的措施模糊不清，审计方法不恰当，使得审计人员只能沿用对传统手工会计的审计方法，对内部控制的审计效果不明显，无法确保会计信息系统的安全。因此，提高对内部控制的认识程度，加强对其内涵和技术的学习，重视对内部控制的审计，依然是当前会计信息化和审计领域的一个重要课题。

会计实行计算机信息系统下的电算化后，会计工作的职能划分、权责关系、稽核关系及会计文档的管理形式等会计业务关系发生了显著的变化，因此过去的一套内部控制制度将无法适应新格局下的会计核算管理，迫切需要建立一套与时俱进、高效严谨的内部控制体系。同时，会计信息化给内部控制审计带来了新的挑战。

二、关于计算机信息系统下的内部控制

（一）什么是计算机信息系统下的内部控制

传统的内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。

我国财政部1994年发布的《会计核算软件基本功能规范》，在输入、处理、输出和安全四个方面对会计软件提出了规范化要求，涉及到的实际上都是内部控制的问题，即会计信息化软件应实现的具体控制。而1999年7月1日正式生效的《独立审计具体准则第2号-计算机信息系统环境下的审计》是第一次涉及计算机信息化系统内部控制的审计法规则。计算机信息化系统下的内部控制就是被审单位的组织与管理控制，应用系统开发和维护控制、计算机操作控制、系统软件控制，以及数据与程序控制等一系列控制的总称。

（二）计算机信息系统内部控制的分类

美国执业会计师协会第3号《审计准则公告》、《国际审计准则》第2号以及我国《独立审计具体准则第2号》，都把计算机会计内部控制分为一般控制（Generalcontrols）和应用控制（Applicationcontrols）两大类，并将前者定义为：1、电子数据处理的组织和操作的计划；2、对系统或程序的设计、开发和变动的记录、审核、测试和批准；3、制造商在设备内部设置的控制；4、对数据文件和接触设备的控制；5、对系统的运行有影响的其他数据和指令程序的控制。公告把应用控制定义为输入控制、数据处理控制和输出控制。

对于以上分类方法，我们认为从各方面来看，都有值得商讨的地方。内部控制的分类首先要概念清晰，同时也要区分控制主体，以便职责的明确划分。为此，我们认为应将其分成两大类：管理制度控制和程序系统控制。其中包含系统和软件的计算机软硬件就是我们所说的程序系统。程序系统控制是通过软件本身功能来实现的内部控制机制，从而达到系统的自我保护的目的，主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。软件开发部门为程序系统控制的责任者，用户不对其负责任。而管理制度控制一般则是以管理制度的形式实行的，涉及的方面主要包括组织、操作、维护和资料保管等。当然，可以将管理制度控制进一步分为环境控制（或基础控制）和操作控制（或控制）两类，组织、维护和资料保管都属于环境控制的范畴。显然控制制度的制订和实施与计算机程序系统无关，而应归责到会计软件使用单位。这种分类方法主要的有点是分类比较的清晰明朗，方便理解，而且实现控制的措施和控制的主体一致，责任分明，使得各方面明确自己应该干什么。

三、计算机信息系统内部控制的审计步骤

（一）内部控制的初步了解和描述

初步了解主要是了解企业单位网络中的安全控制的具体进行流程，使用了那些方法或者工具，最后的控制结果成效是什么样的，除此之外，也应了解有关企业的信息系统管理制度是否制定、如何制定，制定了其实施情况是怎么样的。通常审计人员采用询问，实地观察，查阅系统资料的方法了解，同时对一些基本业务处理过程进行跟踪，最后用文字描述、流程图和调查表等方式详细记载其了解的所有情况。

（二）对企业内部具体情况进行符合性测试

符合性测试是在对被审单位内部控制进行初评的基础上，为证实该控制是否在实际工作中行以贯彻执行，以及其效果是否符合设立该控制的初衷而进行的测试活动。进行符合性测试的目的是获取对准备予以信赖的内部控制是否有效执行的证据，从而确定会计报表审计的范围和程序。

1、一般控制的测试

一般控制的测试就是要初步了解企业内部对信息系统控制的情况，是否符合有关规章准则，是否健全有效，以避免应用系统中不能察觉错误的风险的发生。

（1）对被审单位组织与管理控制的测试。在该对组织与管理的审查时，审计人员应该把审查重点放在分工与职责分工上。可以通过询问，实地检查的方法对单位各部门，特别是了解数据处理和数据使用有关部门的分工情况，而部门领导以及部门职员之间是否做到职责分工，以及各部门是否建立并有效实施了合适的计算机信息化内部控制制度。

（2）对被审单位系统开发和维护控制的测试。在此审查中，审计人员应当关注开发过程中领导的参与度，是否了解开发的整个过程并且对此过程进行了职责之内的有效控制；为了满足后续需求，开发和维护中是否留存关键文件；是否为了防范风险进行了安全控制，是否做了风险应对计划和措施。

（3）对被审单位计算机操作控制的测试。审查操作控制时，审计人员应当了解数据处理部门有没有设置控制小组，各小组或小组成员是否职责分明，准确完整地进行控制操作，并记录下了操作记录，以及单位是否设有内部监督检查机构会人员对以上人员及其操作的控制。

（4）对被审单位系统软件控制的测试。审计人员应该检查系统软件处理错误的控制、系统使用权限的控制、防止病毒入侵的控制等功能有没有发挥其保障应用程序安全的效果，其效果是否高效明显。

（5）对数据和程序控制时，审计人员应该重点审查在整个数据和程序体系中，有无建立监督控制体制，接触数据和应用程序的人员是否经过授权，且其是否接受相关检查监督。

2、应用控制的测试

应用控制是对一般控制的深化和具体化，可以通过对应用控制的测试进一步取得控制评价的依据。

（1）输入控制的测试。在输入控制的审查中，应当了解是否有适当的控制举措来监督业务执行和输入的授权情况，控制业务的准确及时的输入，同时有无充分的控制措施来监督错误数据的更改与重新输入。

（2）计算机处理与数据文件控制的测试。在测试过程中应关注数据文件完整性和准确性控制效果，有无保留审计线索以备查。

（3）输出控制的测试。对输出控制的测试与输入控制关注的点基本一样，包括输出数据的完整度、正确性的控制，输出结果的接收人是否经过授权审批的控制。

（三）对内部控制进行评价

结束符合性测试之后，应该对被审单位的内部控制的有效性进行评价。首先是评价初步了解和审查过程中，被审单位计算机信息系统内部控制中的运行有效的控制措施；其次是评价符合性测试过程中，各项控制措施是否符合最初制定的控制目标，如果达到目标，具体程度如何，如果没达到，是否存在重大缺陷；最后评价被审单位信息系统有关上述各项控制是否仍然可以依赖，整体可靠性怎么样。

参考文献：

[1] 刘涛.ERP下AIS内部控制分类方法的探讨.[期刊论文]《中国管理信息化》，2005年

[2] 牛慧.审计学原理期末复习指导.[期刊论文]《当代电大》，2002年

[3] 罗东升.会计电算化对企业内部控制审计的影响及对策.[学位论文]，2005年 四川大学

[4] 黄正瑞.论计算机会计的内部控制及其审计.[期刊论文]《财务与会计》，2001年