隨著資訊技術的發展和廣泛應用,近年來,我國商業銀行注重依託資訊系統網路技術優勢,在業務交易和會計核算電子化方面取得重大進展,有力促進了會計處理的集中化、遠端化和標準化。從建設銀行的實踐看,在經歷了手工作業-網點單機版-分行網路版-總行資料集中四個階段後,實現了全行的資料集中,以此為依託,統一了全行業務處理和會計核算平臺,規範了全行業務的會計核算,並開發了統一的報表管理系統。會計資訊系統逐步健全,為進一步提高會計資訊質量和資訊披露能力,推進會計管理體制改革提供了重要的技術支撐。引入了內部控制理念,加強了對重要業務和重要崗位的控制,利用現代化科技手段實現了對重大風險會計業務授權、集中和非現場審計,內部控制得到不斷強化。伴隨著銀行電算化的快速發展,對會計系統的審計也發生了重大的變化。
一、會計電算化環境下新的審計風險
1、固有風險
由於資訊科技在商業銀行中的廣泛運用,固有風險出現了一些新的特徵。電子化會計資料存在被濫用、篡改和丟失的可能。手工系統中,紙面上的資訊易於辨認、追溯,而在電算化系統中,由於儲存介質的改變,一些非法使用者侵入系統,破壞資料,或是由於網路傳輸、系統本身的故障,會造成實際資料和電子賬面資料不符,增加了固有風險。
2、控制風險
在手工條件下,內部控制一般表現為對人的控制,強調職責分清、崗位制約,採用的.手段主要是利用紙面資訊,進行手工的核對和檢查,結果比較直觀。而在電算化環境下,內部控制轉變為對人和機器的控制,而且許多情況下是以機器為主,內部控制的設計和執行遇到了挑戰,控制風險也相應增加。首先,電子資料存在使得審計線索減少或消失的可能性,在計算機系統中,從原始資料的錄入到報表的自動生成,幾乎不需要人工干預,傳統的審計線索不復存在。其次,原始資料的錄入存在錯錄的可能性。目前商業銀行大量的記賬憑證仍需要手工錄入,如果輸入錯誤,報表還有可能顯示平衡,從而掩蓋了人工錄入的錯誤。
3、檢查風險
首先,商業銀行的系統升級較為頻繁,會計軟體的更新換代,使得有些歷史檔案難以提取,增加了檢查風險。對賬戶或交易的重大實質性測試,往往離不開銀行的歷史資料。由於軟體版本的更新、平臺的遷移,難以從往年的賬套裡提取一些歷史資料,這不僅降低了審計效率,而且也帶來了更多的檢查風險。其次,在計算機條件下,內部控制一般融於業務處理軟體之中,這就要求審計師具備一定的計算機知識,進行多項內部控制有效性的測試。由於多數審計師不是電腦專家,要在有限的時間裡設計面面俱到的測試資料是不現實的,因而增加了檢查風險。
基於以上的風險分析,為了提高審計質量,規避審計風險,對商業銀行會計系統的審計,不僅要取得和分析被審計單位的電子資料,而且要了解和評價商業銀行資訊系統是否安全、穩定和有效,從而保證通過資訊系統得出的資料是準確和可靠的。
二、電子會計資料獲取的方法
在採用傳統審計技術的同時,應採用計算機輔助審計技術,用先進的計算機審計軟體或其它審計工具去分析單機、多使用者以及網路等各種工作平臺上的資訊系統。利用審計軟體進行審計時,如何取得電子資料,應根據不同的網路環境和工作平臺,採取不同的方式來處理。
1、確定被審計單位的資料庫型別
通過詢問了解被審計單位使用的是單機還是網路資料庫。
2、瞭解被審計單位電算化會計系統工作平臺
工作平臺一般有三種:(1)window系列(win95 97 98 xp)。(2)unix、 winnt等網路作業系統。(3)dos環境。
3、資料庫確定
dos或window環境下的單機版,首先找到資料庫檔案,確定資料庫檔名,將該檔案拷到審計工作區即可。確定資料庫檔案的方法有兩種:
(1)主要通過與會計人員交談,來確定資料庫的位置,也可詢問軟體公司或軟體設計人員。
(2)根據資料庫的字尾可確定資料庫的型別。
4、如何將資料搬入審計工作區
(1)軟體拷貝。要熟練掌握arj winzip rar等各種壓縮軟體的使用。
(2)網路互聯。將該機設為網路終端,以終端身份訪問網路中的伺服器和其他機器。
(3)雙機互聯方式。雙機互聯,前提一般是雙機須有網絡卡,用網線將兩機連線,雙機域名與工作組名相同,雙機可視。
5、網路資料的獲取
大型資料庫一般具有輸出成其他處資料庫格式的功能,能將所需的資料錶轉換成其他資料庫格式檔案。
三、資訊系統安全的審計方法
1、一般控制審計。
它是會計處理系統的主要控制手段,內容涉及人員管理、網路計算機軟體和硬體管理、執行環境等。
(1)組織控制審計。審計目標是瞭解各部門的職責分工是否有力地保證工作效率以及系統的安全性,重點在於業務部門與科技部門的職責分工。
(2)安全控制審計。審計目標是瞭解電子資料處理系統是否達到安全防範的標準,具體包括:身份驗證,存取的控制權限,資料的完整性和機密性,防火牆技術以及安全協議的設計情況;是否建立了定期風險分析制度;計算機房的安全環境,機房的裝置保護,安全供電系統的安裝等。
2、系統接觸控制審計
主要審查是否保證系統各項資源的正確使用,只有經過授權批准的人才能接觸到計算機的硬體、軟體、資料檔案以及系統文件資料,加強對操作員卡、操作員卡和操作密碼的檢查。
3、輸入控制審計
主要審查是否保證未經批准的業務不能進入網路系統,而經批准的業務無一遺漏;系統程式是否編制了有效性檢驗、順序檢驗、合理性檢驗、平衡性檢驗等控制子程式。
4、處理控制審計
主要審查程式是採取了有效的控制措施,使輸入的資料能夠得到準確無誤的處理,輸入不正確的業務能夠被檢測出來,並拒絕處理。對登記賬、結賬等重大的資料處理環節,是否提供資料處理之前進行備份。
5、輸出審計
主要審查程式是否利用控制總數核對、勾稽關係檢驗、平衡檢驗等,經計算機處理的資料能夠準確無誤地輸出,是否在安全的地方登記和儲存重要表單,報表或報告的分發是否按照已授權的範圍進行交付。
6、程式編碼審計
主要審查程式中是否含有非法編碼、錯誤編碼以及無效編碼,保證系統的有效執行。
7、應用系統測試
測試是對系統的程式、處理過程、系統本身的測試以及對系統執行結果進行檢測。常用的審計技術有:
(1)測試資料。模擬某些業務資料,並將測試資料輸入系統,通過系統處理來檢查系統對實際業務中同類資料處理的正確性。
(2)基於例項的系統評估。使用已開發的測試資料集作為對程式全面測試的一部分,用來驗證正確的系統操作。
(3)平行作業。實際的現場資料通過現有程式和新開發的程式同時進行處理,並比較結果,用於在替代現有程式之前驗證程式的可靠性。
(4)整體測試。在資料庫中建立一個虛構的檔案,用測試和實際資料同時處理事務。
(5)平行模擬。通過編制新的計算機程式,模擬應用系統的業務邏輯來處理實際生產資料。
(6)嵌入審計模組。在生產系統執行過程中,把特定的軟體嵌入到主機應用程式中,過濾和篩選審計所需要的輸入事務和生成事務。