我国大中型企业大都已采用了会计电算化系统,有些企业甚至已经引入了企业资源计划(erp)系统。这样势必对审计工作提出一些新的要求,因此,审计人员在对会计制度和有关的内部控制制度的研究和评价中所遵循的程序,以及其他审计程序的性质、时间和范围就可能受到电子数据处理环境的影响。为此,审计职业界需要对电算化系统的审计进行深入的研究,以便运用合理的审计方法把审计风险降到可以接受的水平。本文从注册会计师审计的角度,对手工系统和电算化系统下的审计作一个简单的比较,以期引起同行的思考。
一、审计目的与范围
《独立审计具体准则第20号——计算机信息系统环境下的审计》中提到:“注册会计师在计算机信息系统环境下执行会计报表审计业务,应当考虑其对审计的影响,但不应改变审计目的和范围。”可见,不论在手工系统下还是在电算化系统下,审计的总体目标和范围都不应有所改变,即:总体审计目标都是对会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见;总体范围都应当界定为与被审计单位会计报表有关、与注册会计师审计意见有关的所有资料。但笔者认为,由于手工系统和电算化系统在数据的采集、处理、输出及储存的方式上有很大的不同,因此对具体审计范围而言,两者又必然会有所区别。
二、审计风险分析
(-)相同点
1.都必须进行审计风险分析。WwW.133229.CoM所谓审计风险,是指注册会计师对有重要错报的会计报表仍发表无保留意见的可能性。不论对手工系统还是对电算化系统审计,进行风险分析都是必不可少的步骤。
2.风险模型是相同的。不论对手工系统还是对电算化系统审计,都可以采用如下模型:审计风险=固有风险x控制风险x检查风险。其中:固有风险指假定被审计单位在没有任何相关的内部控制制度或程序的情况下,其会计报表某项认定产生重大错报的可能性;控制风险指被审计单位的内部控制制度或程序不能及时防止或者发现某项认定产生重大错报的可能性;检查风险指审计人员未能检查出某项认定中已存在的重大错误的可能性。
(二)不同点
1.固有风险不同。电算化系统下,数据由计算机集中处理,其发生错误的可能性比较小。目前,不少软件都有取消审核、反记账、反结账的功能,可以对会计记录进行不留痕迹的修改;特别是当有关人员故意篡改程序时,在电算化系统下就更不易被察觉,而程序一旦被篡改,就会导致连锁性、重复性错误,内存资料可以毫不留痕迹地被消除或篡改,若没有相关的内部控制制度,其对于会计报表的影响是无法估量的。因此,从总体上看,笔者认为在电算化系统下,固有风险更大一些,多数情况下,审计人员可以把它设定为100%。
2.控制风险不同。手工方式下,通过职能分割、人员分工以及凭证、账簿、报表之间的勾稽关系而形成的内部控制体系,可以较好地保证数据处理的真实、可靠和安全。电算化系统下,数据处理的环节减少,并且数据处理过程都是不可见的,手工系统下一些原有的控制便不复存在。另外,由于我国的电算化事业起步较晚,在内部控制方面的经验较少,人员的素质相对较差。因此,一般来说,电算化系统下的控制风险和手工系统下的相比更高一些。因此和手工系统相比,对电算化系统应采取更广泛的符合性测试。
3.检查风险不同。电算化系统下,固有风险和控制风险都有上升的趋势,因此若要把审计风险维持在一个可以接受的水平上,就必须把检查风险降到一个较低的水平上。这就要求审计人员必须相应扩大实质性测试的内容及范围。
三、内部控制制度的评价
(-)相同点
1.评价目的相同。手工系统和电算化系统下,都要对内部控制制度进行了解,目的是评价其设计是否合理,找出其控制弱点,对其作出初步评价,以决定是否进行符合性测试。如果准备信赖其内部控制制度,则都应当进行符合性测试,并根据测试结果确定实质性测试的时间、内容和范围。
2.内部控制的基本原则相同。手工系统下,内部控制的基本原则在电算化系统条件下还是适用的,如不相容职务的分离原则、授权与审批原则、接近控制原则、独立检查原则等。
(二)不同点
1.内部控制的方式不同。电算化系统下,由于数据处理方式与手工系统有很大的区别,因此必须采用不同的控制方式。电算化系统下,内部控制制度可分为两个部分:①一般控制,包括组织与管理控制、应用系统开发和维护控制、计算机操作控制、系统软件控制、数据和程序控制等;②应用控制,包括输入控制、计算机处理与数据文件控制、输出控制等。
2.符合性测试的方法不同。符合性测试是针对内部控制的有效性进行的测试,既然两个系统的内部控制制度有很大的不同,这就决定了对电算化系统必然要采用一些不同的方法。目前常用的测试方法主要有以下几种:
(1)数据测试法。即将事先选定的业务数据输入客户的计算机进行处理,然后把处理结果同预定结果相比较,看两者是否一致。其中,测试数据可由审计人员自行设计,也可从客户的实际业务数据中选取,对选中的数据及处理结果都要作标记。若用来测试的数据是客户的实际业务数据,则该测试也可作为实质性测试的一部分,即所谓的双重目的测试。
(2)程序测试法。即审计人员从客户的计算机中复制正在使用的有关程序,检查其操作与控制功能是否存在且有效,并同客户的保存程序档案是否一致。这种方法显然对审计人员的计算机水平要求较高,目前我国大多数审计人员还做不到。
(3)嵌入审计程序法。即在客户的电算化系统中嵌入审计程序,对系统的运行进行实时监控,但要避免审计人员以外的人员接触审计程序。从理论上讲,这是比较理想的一种方式,但由于注册会计师审计是一种外部审计,这种方法在实际中很难运用。而对于内部审计来讲,这种方法则具有可行性。
四、实质性测试
(-)相同点
实质性测试的目的是验证报表和账户金额的正确性。手工系统下有一些常用方法,在电算化系统下还是适用的,比如审阅、核对、监盘、询证、现场观察、分析性复核等。特别是对于实物的监督盘点、向有关单位或部门询证、到工作现场观察,在两种系统条件下具有同等的重要性,审计人员都应予以充分的关注。但由于电算化系统下的数据处理方式有很大的不同,因此在实质性测试中就要求使用一些特有的方法和技术。
(二)不同点
1.更需要借助计算机进行审计。一般来说,不管对手工系统还是对电算化系统,审计都可以利用计算机辅助审计工作。但对电算化系统审计时,这种要求更为迫切,因为电算化系统下,除了原始凭证外,其他数据文件都以机器可读的形式存储在有关磁性介质中。虽然有些企业要求定期打印有关凭证、账簿、报表,但审计人员并不能确定打印的资料和机读数据完全一致,因此出于职业谨慎性的考虑,审计人员仅对打印资料进行审查是不够的,还应当对机读数据文件进行审查。而我国目前不少审计人员仍采用绕过计算机审计的办法。
2.有些核对程序的意义下降。电算化系统下,主数据库文件是凭证库,明细账、总账、报表文件都由其生成,明细账、总账、报表之间的制约关系已不复存在,因此它们之间的核对工作已不如手工系统下那样能提供有力的证据,因此核对程序的意义下降。并且在计算机辅助审计的情况下,核对工作可由计算机自动完成,这样审计人员就可以从大量的重复性劳动中解脱出来,关注一些更有意义的事项,从而提高审计效率。但是原始凭证与记账凭证之间的核对仍是至关重要的。
3.分析性复核程序显得更为重要。通过前面的分析,我们知道,在电算化系统下,如果程序发生错误或被故意篡改,仅通过常用的审阅。核对的方法是很难发现的,而通过分析性复核程序可以验证客户的资料是否符合客观规律。这就要求审计人员提高对有关客观规律的认识能力,要求其视野开阔,不仅要了解微观方面的信息,还要了解宏观方面的信息,如行业、部门及整个国民经济方面的信息;不仅要了解经济管理方面的信息,还要了解技术方面的信息。只有这样,才能有效地利用分析性复核程序获取有力的证据。