關鍵詞:資訊系統 數據有效性 內部控制
摘要:本文根據報表審計對會計資訊系統數據的要求,先給出數據有效性的定義分析,然後分析了影響會計資訊系統數據安全有效的幾個方面,初步探討了解決數據有效性威脅的一些方法。
一、數據有效性的定義
在目前的財務報表審計工作中,審計人員在瞭解被審計單位及其之後,實施控制測試程序和實質性測試程序,而在實施實質性測試的時候,會先從被審計單位的會計資訊系統中採集所有與審計相關的數據,假設審計人員能夠採集與被審計單位的會計資訊系統中的數據完全一致。但是由於會計資訊系統本身所固有的風險性,會使得其產生大量的數據不正確,或者不真實可靠,這將使審計的風險大大增加,產生事務所可能無法接受的風險,這時候就不應該繼續審計工作。所以,在審計工作實施之前,應當把分析被審計單位會計資訊系統所產生數據的有效性作爲應當執行的程序。
數據有效性是指體現審計需求的程度。審計中利用會計資訊系統所產生的數據的主要目的是爲了取得審計證據,支援其關於審計事項的判斷或結論。據此,我將會計資訊系統的數據有效性定義爲以下幾個方面:可驗證性、可理解性、可分析性、正確性、完整性和惟一性。
二、數據有效性的影響因素分析
會計資訊系統由硬件及其環境,,系統軟件和應用軟件組成。影響被審計數據的有效性主要是會計資訊系統的風險性。會計資訊系統的風險是指由於各種不確定因素的影響,系統輸出的會計資訊與真實資訊發生背離的可能性。會計資訊系統既給會計工作帶來了高效率,同時也帶來了一些手工條件下所沒有的風險。種種安全隱患在會計資訊系統中突出表現在以下四個方面:
(一)系統環境
系統環境因素主要是指會計資訊系統的硬件和軟件、系統開發以及自然環境等方面的因素。
1.硬件和軟件
在硬件和軟件方面由於硬件失靈、線路錯誤等而造成資訊傳遞或處理中的失真,或由於網絡軟件自身的程序、後門程序、線路不穩定等因素都爲系統的安全帶來諸多隱患,使系統面臨病毒和*客的攻擊。
2.系統開發
在系統開發方面,主要表現爲沒有按科學的方法架構網絡、開發系統和設計程序,系統未經測試和調試等,而致使財務資訊面臨被竊取的安全隱患。
3.自然環境
在自然環境方面,火災、水災、風災、地震等都有可能造成系統的安全問題。
(二)管理制度方面
傳統會計系統非常強調對業務活動的使用授權批准和職責性、正確性與合法性,在會計資訊系統下,原來使用的靠賬簿之間互相覈對實現的差錯糾正控制已經不復存在,光、電、磁介質也不同於紙張介質,它所載資訊能不留痕跡地被修改和刪除,使企業內部會計控制面臨失效的安全隱患。因此,在會計資訊系統下管理制度方面的影響要素主要包括會計資訊系統的建設組織、管理制度、人員配備、內部審計機制等。
1.建設組織
在組織方面,存在職責不分、沒有監督機構等問題。
2.管理制度
在管理制度方面,存在沒有健全的管理制度,或者是有章不循、有規不依等問題。
3.人員配備
在人員配備方面,存在企業沒有對網絡會計系統以足夠的重視,沒有配備足夠的人員,尤其是沒有配備足夠的系統安全人員的問題。
4.內部審計機制
在內部審計機制方面,存在沒有建立有效的內部審計機制,或者建立的內部審計機制沒有堅持執行等問題。
(三)數據處理方面
在會計資訊系統中,需要財務部門集中輸入的記賬憑證可由各部門的多臺計算機同時輸入。這雖然提高了整個賬務處理的工作效率,也遵循了會計數據輸入的及時性原則。但畢竟會計數據的數量是龐大的,數據處理會出現多種錯誤。一是輸入環節錄入錯誤資訊,使用無效代碼,擊錯功能鍵,丟失數據,重複輸入,沒有將數據存盤等。二是處理環節使用了錯誤程序,使用了錯誤的數據檔案以及丟失數據檔案和程序等。這些使會計面臨儲存失效的安全隱患。
(四)人員素質方面
其安全隱患主要包括:
第一,人員配備方面沒有配備足夠的系統安全人員。使用與管理人員培訓不夠,業務素質偏低,容易產生錯誤操作,從而對計算機會計資訊系統安全構成威脅;
第二,責權不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能使安全風險增強;
第三,內部人員風險,主要指企業內部人員對會計資訊的管理不善、非法篡改、破壞和不正當泄密等,造成資料損壞或丟失,爲犯罪造成可乘之機。
三、針對數據有效性的威脅人員應當採取的措施
國際上知名的師事務所都已經意識到會計資訊系統所帶來的,並且讓資訊系統審計師協助審計小組工作。審計小組應該首先了解:會計資訊系統的一般控制和應用控制,被審計單位是否配備了合格的系統安全人員。然後請專家(即資訊系統審計師)根據審計對會計資訊數據的需求,實施一定的資訊系統審計方法來測試會計資訊系統產生數據的有效性,以達到降低審計風險的目的。
(一)應當瞭解的情況
審計人員應該瞭解會計資訊的一般控制和應用控制。
1.一般控制
一般控制作爲會計資訊系統的主要控制手段之一,涉及面很廣,從人員管理到軟硬件及執行的管理等,具體包括以下幾個方面:
(1)組織控制
指爲保證會計資訊系統責任和義務而採取的控制。具體包括:建立管理的組織機構,選擇、監督、培訓人員,職責分工並授權,系統建立的組織,以及會計資訊內控制度計劃、引導、管理。
(2)系統開發與維護控制
具體包括:系統開發計劃控制,編程與軟件測試控制,系統維護及功能改進的控制以及日常執行管理維護,文檔資料的控制。
(3)軟件與硬件的控制
具體包括:硬件系統控制,軟件系統控制,網絡系統控制。
(4)安全控制
主要涉及計算機系統的環境安全、設備保護以及安全保密制度。
(5)操作控制
主要涉及使用計算機系統的一整套管理制度,包括計算機系統操作規程和守則,上機日記,保密制度等。
2.應用控制
應用控制的目的是保證計算機系統數據處理的完整性、一致性、準確性和安全性。一般分爲輸入控制,處理控制和輸出控制。
(1)輸入控制
其目的是保證經審批的業務數據準確輸入計算機系統。輸入控制與組織控制是相輔相成的,業務審批應在電算部門之外。
(2)處理控制
其目的是保證會計資訊系統按程序設計的要求進行數據處理。一般透過計算機程序加以執行。
(3)輸出控制
其目的是保證會計資訊系統處理結果能正確的輸出,任何未經授權的人不能取得計算機系統內的數據。
上述介紹的是在會計資訊系統環境下系統完整的內部控制體系。對一個企業來說,實際情況是,其內控往往並不能包括全部,如一些單位的應用軟件是購買的,對軟件的開發過程的'內控實際上是無法控制的。因此,審計人員在實際測試工作中,還要針對每個企業實際情況制定具體的測試方案,進行符合性測試和實質性測試,並對其會計資訊系統的內控做出評價,然後根據測試結果決定是否依賴或部分依賴會計資訊系統下的內控制度制定,並制定相應的審計策略,同時對內控制度存在的重大缺陷提出管理建議。
(二)資訊系統審計師實施的主要測試方法
審計透過檢查系統狀態是否正常或是否符合包括系統和組織策略在內的安全需求來支援對操作的保障。
1.自動工具
對安全特徵的人工檢查是一項費時的重要工作。自動工具使得對大型計算機系統的各種安全錯誤的檢查成爲可能。它可以用來發現各種威脅和漏洞,如不適當的訪問控制、脆弱口令、缺乏完整性的系統軟件,或沒有及時更新和修補的軟件。有兩種類型的自動工具:一種是主動工具,它是透過*解系統來發現系統缺陷的工具;另一種是被動工具,它是用來檢查系統和透過系統狀態推斷系統所存在問題的工具。
2.內部控制審計
審計可以對己經部署的控制進行檢查以確定它們是否有效。審計者通常會對計算機和非計算機的控制進行分析,其技術包括詢問、觀察、測試(包括控制本身及其數據)。審計還可以發現非法活動、錯誤、反常行爲和法規的執行疏漏。
3.安全檢查表
計算機安全可以透過檢查表的方式對系統進行審計。安全計劃對系統中包括管理、操作和技術在內的主要安全要求進行概括。審計者也可以自己開發出合適形式的檢查表。
4.系統日誌的檢查
定期對系統產生的日誌進行檢查可以發現安全問題,包括超越系統權限的在非正常時間內訪問系統的企圖。
5.報警和阻斷
報警子系統發現和警示非授權的操作或企圖,並報知系統管理員。阻斷響應則是對非授權的操作進行阻止,對非授權的操作所引起的操作結果進行恢復。
四、小結
綜上所述,在會計資訊系統條件下開展報表審計工作,必須要充分認識並考慮會計資訊系統所潛在的風險,並且實施相應的審計程序,以合理保證會計資訊系統產生數據的有效性,達到降低擬信賴該系統所帶來的審計風險。
參考文獻:
[1] 李榮梅,陳良民.企業內部控制與審計[M].經濟科學出版社,2004,(8).
[2] 劉汝焯.計算機審計技術和方法[M].清華大學出版社,2004,(6).
[3] 唐勇軍,時薛原.網絡環境下的會計資訊內部控制研究[J].財會通訊,2003,(10).
[4] 袁樹民.電算化審計[M].上海財經大學出版社,1996,(6).
[5](美)James A Hall著.李丹,劉濟平譯.資訊系統審計與鑑證[M].中信出版社,2003,(11).[2]