会计信息系统审计的方法与技术

二、会计信息系统审计的方法与技术

熟练掌握各种审计方法和技术是实施会计信息系统审计的技术前提，也只有充分了解会计信息系统的审计方法与技术，才能有助于我们顺利获取充分可靠的审计证据，从而有效地执行会计信息系统审计，以实现审计目标。

（一）会计信息系统的审计方法

会计信息系统审计方法主要有三种，即绕过计算机审计、通过计算机审计和利用计算机审计。

1．绕过计算机审计

（1）绕过计算机审计的含义

绕过计算机审计，是指审计人员对计算机的数据输入和打印输出的资料以及有关管理制度进行审查，以此来确定计算机环境的内部控制状况，核查输出结果的正确性，而不检查计算机内部的运行软件，不看其程序和文件设置是否恰当和有效。

采用绕过计算机审计时，审计人员追查的审计线索是输入数据的会计凭证等，再与计算机打印输出的会计账簿和会计报表相核对，看两者是否一致。

（2）绕过计算机审计的特点

①采用绕过计算机审计方法时，审计测试的重点是检查核对输入与输出，以判断系统输出结果是否正确，其理论基础是“黑箱原理”，即审计人员把计算机系统看成是一个“黑箱”，只要输入和输出的结果正确，则认为系统处理的过程也是正确的。

②采用绕过计算机审计时，与以前传统的审计方法没有大的区别，即使没有计算机知识，也可进行审计，不要求具备较高的计算机审计技术。它多用于审计人员的计算机知识素质不太高和会计信息化的程度不太深的情况。结合我国的情况，目前这种方法仍然被广泛采用。

③采用绕过计算机审计的方法时，主要的依据是被审计单位打印的会计资料及其有关资料，而这些资料的真实程度如何，审计人员可能并没有多大的把握，因此有可能导致错误的判断，甚至影响审计结果的准确性。这是绕过计算机审计方法的缺点。

（3）绕过计算机审计的适用条件。在下列情况下，适用于采用绕过计算机审计的方法：

①计算机处理的所有会计业务都有会计凭证，并在会计账簿上有完整记录，打印输出的会计账簿、会计报表等会计资料充分、齐全。因为只有在这样的条件下，才能提供出详尽的审计线索，让审计人员不用通过计算机就能实施审计。

②被审计单位所使用的会计信息系统软件已经过严格测试，并处于良好的运行状态。

③被审计单位给审计人员提供的文档资料及其有关资料完整，便于进行综合分析。

④会计信息系统中的计算机处理过程相对比较简单。

2．通过计算机审计

（1）通过计算机审计的含义

通过计算机审计是指审计人员不仅要审查输入和输出数据，而且要审查计算机内的程序和文件，审查机内软件运行过程，看其设置的应用控制是否有效。在此基础上对计算机数据处理过程进行详尽了解，借以评价计算机系统的内部控制状况以及信息处理和生成的正确性。

采用通过计算机审计的方法时，审计对象不仅是被审单位打印出来的会计资料和相关资料，而且把计算机系统也直接作为审计对象。通过对计算机系统的数据处理过程及控制功能进行审查，根据其可信赖程度来确定审查会计凭证、会计账簿等会计资料的范围和数量。

（2）通过计算机审计的特点

①通过计算机审计的方法能审查计算机系统，弄清机内程序和文件，查清数据处理方法和过程，获得对系统评价的一手资料，可以作出较为可靠的审计结论。

②通过计算机审计的方法不是完全依靠计算机系统的运行结果进行审查，即不是完全依赖系统生成的会计资料，而是直接对计算机系统的运行过程及各个部分进行审查。因而，整个审计过程有较强的独立性。

③通过计算机审计的方法侧重于对被审单位的计算机系统程序的测试，而不像绕过计算机审计那样，只审查运行结果不审查运行过程。因此，要求审计人员具备较丰富的计算机知识，要掌握被审单位所使用的系统软件和应用软件。

（3）通过计算机审计的适应条件。下列情况下审计人员必须采用通过计算机审计：

①被审单位的计算机系统处理过程较为复杂，只有对其程序运行过程进行测试，才能确定系统的处理功能和控制功能以及信息生成的正确程度。

②被审单位计算机系统的文档资料不完善，其他资料又不足以能够进行充实和完善。

③被审单位不能提供详细的审计线索或者审计线索不完善，甚至中断，审计人员无法实施既定的审计程序。例如，会计凭证不能全部提供、会计账簿没有完全记录、会计报表没有充分反映等。这就需要对计算机系统的处理过程进行审查。

（4）通过计算机审计的具体作法。审计人员运用通过计算机审计的方法时，一般侧重于对计算机系统运行程序的测试。在审计实务中，这种方法可应用于符合性测试，也可应用于实质性测试。

3．利用计算机审计

（1）利用计算机审计的含义

利用计算机审计也称计算机辅助审计，是指审计人员在审计过程中，将计算机系统内部的数据文件作为审计的直接对象，以计算机硬件和软件作为审计工具，利用审计软件来实施审计程序，完成审计工作。

利用计算机审计与通过计算机审计密切相关，也可以说，前者是后者的延伸和发展。因为通过计算机审计的方法往往也要利用计算机的硬件和软件。利用计算机审计的方法是运用审计软件，既可审查会计信息系统，又可审查手工会计系统。它不仅对计算机打印输出的各种资料进行审查，而且还能对计算机系统的数据文件进行审查，以确定这些会计信息的真实性、合法性和准确性。

（2）利用计算机审计的实施要点

①利用计算机审计的方法大多是进行数据文件的实质性测试，也是对数据文件直接进行审查，其内容主要包括两个方面：一是测试账户余额和发生额，看其是否正确，是否真实，是否做到账证相符、账账相符、账表相符，是否符合一般会计原则等；二是分析审核所提供的综合会计信息是否准确可靠。

②审查数据文件时，一般采用抽样审计的方式，在总体中抽取一定的样本，进行重点测试，抽样标准主要有以下几点：一是选取数据文件中数额大或者发生频繁的业务记录，作为测试对象，这样会更有代表性；二是对于一些容易出现问题的敏感性账户，作为选取的重点；三是抽样时，一般采用统计抽样，这样可避免一些主观因素。

③审查数据文件的具体方法是运用审计软件。审计软件有通用和专用两种。

其中通用审计软件一般为商品化软件，是根据信息化和手工会计的一般状况，按照审计工作的原则要求而设计编制的，适用于多种计算机环境，具有审计测试功能的计算机审计程序。它的功能基本上能满足审计工作的要求。使用通用审计软件时，一般应遵循下列步骤：

●明确计算机要完成哪些审查内容，制定具体审计目标。

●按照审计目标，确定具体的被审计文件、内容及输出的格式。

●执行审计操作指令。其具体步骤又为：一是检索出所需数据文件；二是将其数据文件进行拷贝；三是对这些数据文件进行转换处理；四是实施数据文件的测试审计；五是打印输出审计结果。

而专用审计软件是指专对某一审计总目标而编制的有特定用途的审计程序。它主要的特点就是有一定的针对性，程序适应性较差。并且还根据被审单位的情况而各有所异。专用审计软件可由审计人员结合实际，自行进行编制，也可委托软件公司为其设计编制。

（二）会计信息系统审计证据的收集方法

在会计信息系统审计过程中，要充分收集审计证据，主要采用以下方法：

（1）询问法。即审计人员通过向信息部门主管、系统管理人员和系统使用人员提出有关系统管理、应用和控制方面的问题，根据对方的回答，以获取某些审计证据资料。

（2）检查法。即审计人员通过查阅流程图、程序清单、系统运行记录和管理制度等有关文档资料，以获取某些审计证据资料。

（3）观察法。即审计人员通过实地查看系统工作的场所、设备、操作过程和数据备份过程等，以获取某些审计证据资料。

（4）确认法。即通过对询问得到的有关系统管理、应用和控制方面的信息资料进行确认，使之成为有根据的信息。

（5）再执行法。即审计人员通过模拟企业业务，设计出测试数据，然后交由系统运行处理，以检测系统的处理和控制功能，从而获得系统处理逻辑是否正确和控制功能是否恰当的审计证据。

（6）分析法。即通过对审计过程中所获取的资料进行分析，考察其是否存在问题，为进一步审计提供线索。如调取会计信息系统的操作系统层、数据库管理层和应用系统层的系统运行记录（包括对操作的起止时间、操作名称和种类、访问的数据库，以及中断和故障等方面的信息），通过分析，以发现可能存在的问题。

上述获取审计证据的方法，可以采用手工审计技术、计算机辅助审计技术或手工与计算机辅助审计技术相结合来进行。

（三）计算机辅助审计技术

随着信息技术和信息系统的发展，计算机辅助审计技术也在不断发展，以下是几种常见的计算机辅助审计技术：

（1）测试数据技术。测试数据技术是指审计人员用测试数据或用模拟的业务数据，审查被审单位的计算机处理过程，分析检查系统运行结果，以确定被审程序处理的业务数据是否正确，并确定其程序化控制是否有效。其具体步骤为：

①根据审计目标，先确定需要测试的范围。

②根据审计范围和审计目的，在确定的测试范围内，选定需要测试的数据。在选定测试数据时，要尽可能多地考虑到各种例外因素。

③将测试数据或模拟数据输入到被审系统中进行处理，同时也进行人工处理，把两者处理的结果进行比较，作出分析评价。

（2）受控处理技术。受控处理技术是审计人员在对被审单位的审计测试中，挑选一组实际业务数据作为审计样本，在审计人员的监控下输入到被审系统中，并进行系统处理。然后，将系统处理结果与审计人员手工处理结果进行比较，作出分析评价，以确定被审系统数据处理的准确性，并考察其内控制度的有效性。其具体步骤如下：

①在被审单位的实际业务中，选取一组数据作为样本，进行审计验证，并建立审计控制。

②在审计人员监督下，输入所选数据，进行系统处理，并打印输出。

③审计人员对所选数据，在数据处理的同时，再采用手工方法处理。

④将系统处理结果与手工处理结果进行比较，作出分析评价。

（3）受控再处理技术。受控再处理技术是指审计人员在对被审单位的审计测试中，挑选一组已由被审系统处理过的实际业务数据，在审计人员的监控下，进行系统输入、处理和输出。然后，将处理结果与系统已有的结果进行比较，并作出分析评价，以确定被审系统数据处理的准确性和内控制度的有效性。

受控再处理技术与受控处理技术基本相似，所不同的在于所挑选的数据不是尚未处理的数据，而是已由被审系统处理过的数据。将已由被审系统处理过的数据，重新输入被审系统进行再处理，并由审计人员对再处理过程进行监控，从而作出分析与评价，这是受控再处理法的主要特点。此方法的具体步骤如下：

①在由被审系统已处理过的实际数据中，选取一组数据作为再处理的样本。

②在审计人员监控下，将选取的一组数据重新输入系统并处理和输出，完成再处理过程。

③将再处理结果与已处理过的结果进行比较，作出分析评价。

（4）整体测试技术。又称为虚拟实体技术，是指审计人员在被审系统中虚拟一个实体（虚拟一个部门或客户），将虚拟实体的数据（亦是虚拟数据）和实际数据一同输入被审系统进行处理。再将处理结果与预先手工处理的正确结果进行对比，以判断系统处理功能和程序控制功能的有效性。其具体步骤为：

①先选定需测试的系统或程序，并且确定其中的控制点。

②再虚拟一个实体，并进行编码。

③设计与虚拟实体有关的虚拟测试数据，并先进行手工处理，得出一个正确结果。

④将虚拟实体的虚拟数据与被审单位的实际数据一同输入被审系统，并进行处理。

⑤将虚拟数据的处理结果与手工处理的正确结果进行比较，并作出分析评价。

⑥删除虚拟实体及其虚拟数据，清除虚拟数据的影响。

采用整体测试法时，应注意以下两点：一是设置虚拟实体和虚拟数据时，要针对系统及程序应有的控制点，以验证其内控制度是否有效；二是所设置的测试数据必须与实际数据分开，以防止与实际数据混淆。

（5）平行模拟技术。是指审计人员根据被审单位计算机系统的运行状况和数据处理步骤，编制一套与被审单位的系统功能相同的模拟系统，并将被审单位的实际数据输入后进行处理。然后，将被审单位实际系统和模拟系统的处理结果进行比较，根据比较结果分析判断被审单位信息系统的正确性和有效性。其具体步骤为：

①先了解研究被审单位的信息系统，选定要进行测试的程序。

②进一步了解被测试程序所涉及的文件、数据处理步骤、输入/输出内容等。

③根据被审系统的情况，编制与其相同的模拟程序。

④用模拟程序输入实际数据，进行数据处理，并打印输出处理结果。

⑤比较被测试程序和模拟程序的处理结果，并作出分析评价。

采用并行模拟技术，要求编制出一个模拟程序进行测试，因而审计人员必须要具备一定的计算机知识，并具有一定的编程能力。另外，还应当注意以下两点：一是选择测试程序时，应选择计算机系统的关键部分或者关键功能来编制模拟系统进行测试；二是选择测试程序时，应选择数据计算量大，且有一定数据可供模拟的部分，来编制模拟系统进行测试。

（6）嵌入审计程序技术。嵌入审计程序技术是指审计人员在系统设计开发阶段，就在被审单位的系统中嵌入具有审计测试功能的程序模块（“联机审计控制器”），对被审系统实施运行监控，以不断收集审计证据。

采用嵌入审计程序技术时，当一项业务输入计算机系统后，在计算机应用系统进行加工处理的同时，嵌入应用程序中的“联机审计控制器”也随时进行审查，并记录审查结果，收集起来拷入审计日志，定期或不定期地打印输出，生成审计控制文件。据此，对被审单位的计算机系统作出分析评价。

嵌入审计程序技术有如下三个特点：一是嵌入审计程序技术在数据处理之时就对其进行审查，它具有日常自动监控的功能，尤其适用于内部审计；二是嵌入审计程序技术在数据处理之时就执行某些审核，弥补了计算机系统因审计线索不充分而导致的审计工作的某些空白；三是嵌入审计程序技术是在计算机系统中设置审计程序模块，因此要求审计人员应具有较高的计算机知识和审计知识。

（7）程序编码检查技术。这一审计技术是指审计人员通过逐一阅读检查计算机系统程序，分析检查程序中是否存在错误，以确定程序化控制是否有效，以达到测试的目的。它是一种人工检查的方法。它要求审计人员具有较高水平的计算机知识和编程能力，否则将无法运用此法。应用此法时，要注意以下几点：一是确定的被审程序应与被审单位实际使用的程序相一致；二是重点审查应用程序中的关键部分和关键性内容；三是被审系统的文档资料应当齐全，内容应当完整。

（8）映像（Mapping）技术。映像技术是用专门的软件测量包（Software Measurement Package）来监控系统程序的执行。测量包可以对程序中每一语句的执行次数进行计数并提供有关资源利用的累计统计数，而对未执行的程序语句产生一个列表，然后对未执行的语句进行分析，从中发现问题。如一些语句可能是为专门处理一些特殊业务而设的，而未被执行的原因，可能只是因为这些特殊业务未曾发生，但也可能有些未被执行的语句是由于一些不可告人的目的（如由程序设计员设置的非法陷阱等）。

（9）实用软件技术。实用软件也是在对信息系统进行审计时不可缺少的工具。有些实用软件可用于评价系统的安全性，而有些则可用于评价系统的效率。

（10）连续审计技术。这是在信息技术环境下，特别是网络环境下的一种新的审计模式，它要在系统中嵌入审计模块，被嵌入的审计程序同病毒扫描程序一样，可以检测系统运行中出现的异常和高风险事项，并对此做出标识。

需要说明的是，在上述常用的计算机辅助审计技术中，有些是适合于符合性测试的技术，如并行模拟技术、整体测试技术、嵌入审计程序技术、程序编码检查技术等；而有些是适合于实质性测试的技术，如测试数据技术、受控处理技术、受控再处理技术等，它们直接是以数据作为审查对象的。因此应结合被审系统的具体情况，并根据具体的审计目标，合理地选择适当的计算机辅助审计技术。另外，在开展会计信息系统审计的初期，可先选择一些简便易行的计算机辅助审计技术，而随着审计工作的逐步展开和审计人员技术水平的提高，可采用技术含量更高、效果更好的计算机辅助审计技术，以获取更加充分有效的审计证据。