隨着資訊技術的發展和廣泛應用,近年來,我國商業銀行注重依託資訊系統網絡技術優勢,在業務交易和會計覈算電子化方面取得重大進展,有力促進了會計處理的集中化、遠程化和標準化。從建設銀行的實踐看,在經歷了手工作業-網點單機版-分行網絡版-總行數據集中四個階段後,實現了全行的數據集中,以此爲依託,統一了全行業務處理和會計覈算平臺,規範了全行業務的會計覈算,並開發了統一的報表管理系統。會計資訊系統逐步健全,爲進一步提高會計資訊質量和資訊披露能力,推進會計管理體制改革提供了重要的技術支撐。引入了內部控制理念,加強了對重要業務和重要崗位的控制,利用現代化科技手段實現了對重大風險會計業務授權、集中和非現場審計,內部控制得到不斷強化。伴隨着銀行電算化的快速發展,對會計系統的審計也發生了重大的變化。
一、會計電算化環境下新的審計風險
1、固有風險
由於資訊技術在商業銀行中的廣泛運用,固有風險出現了一些新的特徵。電子化會計數據存在被濫用、篡改和丟失的可能。手工系統中,紙面上的資訊易於辨認、追溯,而在電算化系統中,由於存儲介質的改變,一些非法用戶侵入系統,破壞數據,或是由於網絡傳輸、系統本身的故障,會造成實際數據和電子賬面數據不符,增加了固有風險。
2、控制風險
在手工條件下,內部控制一般表現爲對人的控制,強調職責分清、崗位制約,採用的.手段主要是利用紙面資訊,進行手工的核對和檢查,結果比較直觀。而在電算化環境下,內部控制轉變爲對人和機器的控制,而且許多情況下是以機器爲主,內部控制的設計和執行遇到了挑戰,控制風險也相應增加。首先,電子數據存在使得審計線索減少或消失的可能性,在計算機系統中,從原始數據的錄入到報表的自動生成,幾乎不需要人工干預,傳統的審計線索不復存在。其次,原始數據的錄入存在錯錄的可能性。目前商業銀行大量的記賬憑證仍需要手工錄入,如果輸入錯誤,報表還有可能顯示平衡,從而掩蓋了人工錄入的錯誤。
3、檢查風險
首先,商業銀行的系統升級較爲頻繁,會計軟件的更新換代,使得有些歷史檔案難以提取,增加了檢查風險。對帳戶或交易的重大實質性測試,往往離不開銀行的歷史數據。由於軟件版本的更新、平臺的遷移,難以從往年的賬套裏提取一些歷史數據,這不僅降低了審計效率,而且也帶來了更多的檢查風險。其次,在計算機條件下,內部控制一般融於業務處理軟件之中,這就要求審計師具備一定的計算機知識,進行多項內部控制有效性的測試。由於多數審計師不是電腦專家,要在有限的時間裏設計面面俱到的測試數據是不現實的,因而增加了檢查風險。
基於以上的風險分析,爲了提高審計質量,規避審計風險,對商業銀行會計系統的審計,不僅要取得和分析被審計單位的電子數據,而且要了解和評價商業銀行資訊系統是否安全、穩定和有效,從而保證透過資訊系統得出的數據是準確和可靠的。
二、電子會計數據獲取的方法
在採用傳統審計技術的同時,應採用計算機輔助審計技術,用先進的計算機審計軟件或其它審計工具去分析單機、多用戶以及網絡等各種工作平臺上的資訊系統。利用審計軟件進行審計時,如何取得電子數據,應根據不同的網絡環境和工作平臺,採取不同的方式來處理。
1、確定被審計單位的數據庫類型
透過詢問了解被審計單位使用的是單機還是網絡數據庫。
2、瞭解被審計單位電算化會計系統工作平臺
工作平臺一般有三種:(1)window系列(win95 97 98 xp)。(2)unix、 winnt等網絡操作系統。(3)dos環境。
3、數據庫確定
dos或window環境下的單機版,首先找到數據庫檔案,確定數據庫檔案名,將該檔案拷到審計工作區即可。確定數據庫檔案的方法有兩種:
(1)主要透過與會計人員交談,來確定數據庫的位置,也可詢問軟件公司或軟件設計人員。
(2)根據數據庫的後綴可確定數據庫的類型。
4、如何將數據搬入審計工作區
(1)軟件拷貝。要熟練掌握arj winzip rar等各種壓縮軟件的使用。
(2)網絡互聯。將該機設爲網絡終端,以終端身份訪問網絡中的服務器和其他機器。
(3)雙機互聯方式。雙機互聯,前提一般是雙機須有網卡,用網線將兩機連接,雙機域名與工作組名相同,雙機可視。
5、網絡數據的獲取
大型數據庫一般具有輸出成其他處數據庫格式的功能,能將所需的數據錶轉換成其他數據庫格式檔案。
三、資訊系統安全的審計方法
1、一般控制審計。
它是會計處理系統的主要控制手段,內容涉及人員管理、網絡計算機軟件和硬件管理、執行環境等。
(1)組織控制審計。審計目標是瞭解各部門的職責分工是否有力地保證工作效率以及系統的安全性,重點在於業務部門與科技部門的職責分工。
(2)安全控制審計。審計目標是瞭解電子數據處理系統是否達到安全防範的標準,具體包括:身份驗證,存取的控制權限,數據的完整性和機密性,防火牆技術以及安全協議的設計情況;是否建立了定期風險分析制度;計算機房的安全環境,機房的設備保護,安全供電系統的安裝等。
2、系統接觸控制審計
主要審查是否保證系統各項資源的正確使用,只有經過授權批准的人才能接觸到計算機的硬件、軟件、數據檔案以及系統文檔資料,加強對操作員卡、操作員卡和操作密碼的檢查。
3、輸入控制審計
主要審查是否保證未經批准的業務不能進入網絡系統,而經批准的業務無一遺漏;系統程序是否編制了有效性檢驗、順序檢驗、合理性檢驗、平衡性檢驗等控制子程序。
4、處理控制審計
主要審查程序是採取了有效的控制措施,使輸入的數據能夠得到準確無誤的處理,輸入不正確的業務能夠被檢測出來,並拒絕處理。對登記賬、結賬等重大的數據處理環節,是否提供數據處理之前進行備份。
5、輸出審計
主要審查程序是否利用控制總數覈對、勾稽關係檢驗、平衡檢驗等,經計算機處理的數據能夠準確無誤地輸出,是否在安全的地方登記和存儲重要表單,報表或報告的分發是否按照已授權的範圍進行交付。
6、程序編碼審計
主要審查程序中是否含有非法編碼、錯誤編碼以及無效編碼,保證系統的有效執行。
7、應用系統測試
測試是對系統的程序、處理過程、系統本身的測試以及對系統執行結果進行檢測。常用的審計技術有:
(1)測試數據。模擬某些業務數據,並將測試數據輸入系統,透過系統處理來檢查系統對實際業務中同類數據處理的正確性。
(2)基於實例的系統評估。使用已開發的測試數據集作爲對程序全面測試的一部分,用來驗證正確的系統操作。
(3)平行作業。實際的現場數據透過現有程序和新開發的程序同時進行處理,並比較結果,用於在替代現有程序之前驗證程序的可靠性。
(4)整體測試。在數據庫中創建一個虛構的檔案,用測試和實際數據同時處理事務。
(5)平行模擬。透過編制新的計算機程序,模擬應用系統的業務邏輯來處理實際生產數據。
(6)嵌入審計模組。在生產系統執行過程中,把特定的軟件嵌入到主機應用程序中,過濾和篩選審計所需要的輸入事務和生成事務。