随着信息技术的发展和广泛应用,近年来,我国商业银行注重依托信息系统网络技术优势,在业务交易和会计核算电子化方面取得重大进展,有力促进了会计处理的集中化、远程化和标准化。从建设银行的实践看,在经历了手工作业-网点单机版-分行网络版-总行数据集中四个阶段后,实现了全行的数据集中,以此为依托,统一了全行业务处理和会计核算平台,规范了全行业务的会计核算,并开发了统一的报表管理系统。会计信息系统逐步健全,为进一步提高会计信息质量和信息披露能力,推进会计管理体制改革提供了重要的技术支撑。引入了内部控制理念,加强了对重要业务和重要岗位的控制,利用现代化科技手段实现了对重大风险会计业务授权、集中和非现场审计,内部控制得到不断强化。伴随着银行电算化的快速发展,对会计系统的审计也发生了重大的变化。
一、会计电算化环境下新的审计风险
1、固有风险
由于信息技术在商业银行中的广泛运用,固有风险出现了一些新的特征。电子化会计数据存在被滥用、篡改和丢失的可能。手工系统中,纸面上的信息易于辨认、追溯,而在电算化系统中,由于存储介质的改变,一些非法用户侵入系统,破坏数据,或是由于网络传输、系统本身的故障,会造成实际数据和电子账面数据不符,增加了固有风险。
2、控制风险
在手工条件下,内部控制一般表现为对人的控制,强调职责分清、岗位制约,采用的手段主要是利用纸面信息,进行手工的核对和检查,结果比较直观。而在电算化环境下,内部控制转变为对人和机器的控制,而且许多情况下是以机器为主,内部控制的设计和执行遇到了挑战,控制风险也相应增加。首先,电子数据存在使得审计线索减少或消失的可能性,在计算机系统中,从原始数据的录入到报表的自动生成,几乎不需要人工干预,传统的审计线索不复存在。其次,原始数据的录入存在错录的可能性。目前商业银行大量的记账凭证仍需要手工录入,如果输入错误,报表还有可能显示平衡,从而掩盖了人工录入的错误。
3、检查风险
首先,商业银行的系统升级较为频繁,会计软件的更新换代,使得有些历史文件难以提取,增加了检查风险。对账户或交易的重大实质性测试,往往离不开银行的历史数据。由于软件版本的更新、平台的迁移,难以从往年的账套里提取一些历史数据,这不仅降低了审计效率,而且也带来了更多的检查风险。其次,在计算机条件下,内部控制一般融于业务处理软件之中,这就要求审计师具备一定的计算机知识,进行多项内部控制有效性的测试。由于多数审计师不是电脑专家,要在有限的时间里设计面面俱到的测试数据是不现实的,因而增加了检查风险。
基于以上的风险分析,为了提高审计质量,规避审计风险,对商业银行会计系统的审计,不仅要取得和分析被审计单位的电子数据,而且要了解和评价商业银行信息系统是否安全、稳定和有效,从而保证通过信息系统得出的数据是准确和可靠的。
二、电子会计数据获取的方法
在采用传统审计技术的同时,应采用计算机辅助审计技术,用先进的计算机审计软件或其它审计工具去分析单机、多用户以及网络等各种工作平台上的信息系统。利用审计软件进行审计时,如何取得电子数据,应根据不同的网络环境和工作平台,采取不同的方式来处理。
1、确定被审计单位的数据库类型
通过询问了解被审计单位使用的是单机还是网络数据库。
2、了解被审计单位电算化会计系统工作平台
工作平台一般有三种:(1)window系列(win95 97 98 xp)。(2)unix、 winnt等网络操作系统。(3)dos环境。
3、数据库确定
dos或window环境下的单机版,首先找到数据库文件,确定数据库文件名,将该文件拷到审计工作区即可。确定数据库文件的方法有两种:
(1)主要通过与会计人员交谈,来确定数据库的位置,也可询问软件公司或软件设计人员。
(2)根据数据库的后缀可确定数据库的类型。
4、如何将数据搬入审计工作区
(1)软件拷贝。要熟练掌握arj winzip rar等各种压缩软件的使用。
(2)网络互联。将该机设为网络终端,以终端身份访问网络中的服务器和其他机器。
(3)双机互联方式。双机互联,前提一般是双机须有网卡,用网线将两机连接,双机域名与工作组名相同,双机可视。
5、网络数据的获取
大型数据库一般具有输出成其他处数据库格式的功能,能将所需的数据表转换成其他数据库格式文件。
三、信息系统安全的审计方法
1、一般控制审计。
它是会计处理系统的主要控制手段,内容涉及人员管理、网络计算机软件和硬件管理、运行环境等。
(1)组织控制审计。审计目标是了解各部门的职责分工是否有力地保证工作效率以及系统的安全性,重点在于业务部门与科技部门的职责分工。
(2)安全控制审计。审计目标是了解电子数据处理系统是否达到安全防范的标准,具体包括:身份验证,存取的控制权限,数据的完整性和机密性,防火墙技术以及安全协议的设计情况;是否建立了定期风险分析制度;计算机房的安全环境,机房的设备保护,安全供电系统的安装等。
2、系统接触控制审计
主要审查是否保证系统各项资源的正确使用,只有经过授权批准的人才能接触到计算机的硬件、软件、数据文件以及系统文档资料,加强对操作员卡、操作员卡和操作密码的检查。
3、输入控制审计
主要审查是否保证未经批准的业务不能进入网络系统,而经批准的业务无一遗漏;系统程序是否编制了有效性检验、顺序检验、合理性检验、平衡性检验等控制子程序。
4、处理控制审计
主要审查程序是采取了有效的控制措施,使输入的数据能够得到准确无误的处理,输入不正确的业务能够被检测出来,并拒绝处理。对登记账、结账等重大的数据处理环节,是否提供数据处理之前进行备份。
5、输出审计
主要审查程序是否利用控制总数核对、勾稽关系检验、平衡检验等,经计算机处理的数据能够准确无误地输出,是否在安全的地方登记和存储重要表单,报表或报告的分发是否按照已授权的范围进行交付。
6、程序编码审计
主要审查程序中是否含有非法编码、错误编码以及无效编码,保证系统的有效运行。
7、应用系统测试
测试是对系统的程序、处理过程、系统本身的测试以及对系统运行结果进行检测。常用的审计技术有:
(1)测试数据。模拟某些业务数据,并将测试数据输入系统,通过系统处理来检查系统对实际业务中同类数据处理的正确性。
(2)基于实例的系统评估。使用已开发的测试数据集作为对程序全面测试的一部分,用来验证正确的系统操作。
(3)平行作业。实际的现场数据通过现有程序和新开发的程序同时进行处理,并比较结果,用于在替代现有程序之前验证程序的可靠性。
(4)整体测试。在数据库中创建一个虚构的文件,用测试和实际数据同时处理事务。
(5)平行模拟。通过编制新的计算机程序,模拟应用系统的业务逻辑来处理实际生产数据。
(6)嵌入审计模块。在生产系统运行过程中,把特定的软件嵌入到主机应用程序中,过滤和筛选审计所需要的输入事务和生成事务。