电算化环境下的内部审计
2.加强对内部控制的审计,做到一般控制审查和应用控制审查相结合。在手工处理环境下,单位内部控制的重点就是人及其处理的业务。而电算化环境下,业务处理过程包括了手工处理、计算机系统处理、人与计算机进行交互处理这几部分,单位内部控制的重点变成了人及其处理的业务、人机交互处理过程、计算机系统业务处理过程和不同系统之间信息的传递过程,内部控制的重点和环节发生了很大变化。只有对信息系统的内部控制实施审计,才能了解内部控制运行状况并由此确定后续实质性测试的重点和审计程序;
电算化系统中,可以把控制划分为一般控制和应用控制两部分。一般控制是对系统中组织、开发、操作、管理等系统运行环境所进行的控制,通常以制定规章制度、网络安全软件和程序控制形式体现;应用控制是对信息系统的某一具体处理过程施加的控制,主要以程序的形式体现。审计时,应该在对系统—般控制做出评价的基础上,通过读原程序、模拟数据上机测试、上机处理实际业务、采用审计软件等方式测试系统的安全性、控制程序的正确性和有效性。
3.充分利用计算机辅助审计技术和上具。电算化系统的安全性、业务处理的正确性、应用控制的有效性、系统的运行效率等只有通过上机测试才能检验。因此内部审计人员可以对手工填制的原始单据、简单业务的处理、非程序控制制度和措施采用原来手工审计的有效方法,对于某些特定业务的处理过程、重要数据、复杂的处理过程及程序化的控制措施则应该充分利用计算机辅助审计技术和工具进行审计。
4.关注业务系统与财务系统的数据转换环节。集成化系统中,业务系统与财务系统之间的数据传递可以实时进行,也可以分批完成,极易出现数据不一致,所
以系统之间的数据转换应该是审计的重点之一。另外,有些企业的电算化系统采用厂多家软件厂商的产品,业务系统与财务系统之间的数据传递需要借助外存(如磁盘)或局域网上不同数据文件之间转换等方式来完成,对这样的系统一定要防止并及叫发现转换过程中的错弊。
5.加强动态在线审计 电算化系统中,帐务处理是实时进行的。尤其是网络化系统,在同一时间可能有多个用户执行同一项功能、调用同一个数据文件,而系统只记录下最终的结果。若审计时只对静态系统进行审查,不进行有关运行程序、数据文件的联机实时审计,有时就难以发现存在的问题。因此对于重要业务的处理、关键的处理程序、业务人员的上机操作记录等应该加强动态审计。
网络化系统一般本身都提供了一定的审计功能,一旦发现非法的或有超越网络授权的操作行为,就会记录入侵者的登录用户名、IP地址、登录日期、时间等信息,并寻找到非法用户曾经潜入系统内部的痕迹。利用大型数据库管理系统开发的应用软件也能对登录系统的用户及其使用系统的情况进行一定的监控,如哪些用户使用了系统、进行了哪些操作、操作的次数、登录及退出系统时间等。审计人员可以实时检查系统存放这些信息的审计踪迹表和系统日志文件,充分利用这些线索。同时,还可以利用专门软件进行重要数据的动态跟踪,比如利用Ex cel软件就可以实现一些简单的跟踪和分析。
6.加强对所有与信息系统有关的部门及人员的监督管理。与信息系统相关的部门包括信息系统管理部门、维护部门和使用部门。相关人员包括网络管理员、系统管理员、数据库管理员、软硬件维护人员、系统操作人员、档案保管人员及机房保安人员等,对这些部门和人员进行安全意识教育及监督管理对于降低审计风险是至关重要的。
- 上一篇:风险导向审计是“五大”审计失败的原因
- 下一篇:管理审计的定义和方法研究
