时间:2022-11-24 18:18:02
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇计算机审计系统,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
一、我国当前小微企业的现状
小微企业是小型企业、微型企业及家庭作坊式企业和个体工商户的统称。小微企业无法与国有垄断行业的企业或是大中型外企比肩。但是小微企业在国民经济中发挥着巨大的作用。据统计,已登记注册的小微企业有一千多万户,占我国企业总数的99%,提供了85%的就业岗位,贡献了我国60%的GDP和54.3%的税收。可见,小微企业是国民经济和社会发展的重要力量。
二、计算机审计的内容
计算机审计主要是指对企业电算化系统进行审计,以判断电算化系统的处理过程是否合规、合法、可靠。这可以称为计算机系统审计。
会计电算化系统是计算机审计的重点,一般包括三个层次:计算机系统、会计处理系统、电算化管理系统。其中,计算机系统包括计算机的硬件、系统软件和数据库软件。会计处理系统是指专门的会计信息处理软件。而电算化管理系统主要指一种管理制度和内部控制流程。而对会计电算化系统的审计,就是对这三个层次的审计。其中,对前两个层次的审计,主要是针对软硬件系统层级的审计,是属于技术层次的审计。而对第三层次的审计是有关于电算化控制制度的审计,是属于制度层面的审计。
在计算机审计的方法上,分为数据级审计、系统级审计、制度级审计。数据级审计就是对数据的合法、可靠性进行检查。系统级审计就是对电算化系统中的硬件、系统软件、数据库软件和会计处理系统等软硬件系统的内部控制在多个层面上进行检查。制度级审计就是对企业电算化系统的各种无形的管理的制度的内部控制有效性进行检查。审计理论中,审计的测试包括实质性测试和符合性测试。实质性测试就是验证数据的可靠性和完整性。数据级审计就属于实质性测试的范畴。而符合性测试指审计人员在对被审计单位内部控制进行初评的基础上,为证实该控制是否在实际工作中得以贯彻执行而进行的测试活动。系统级审计和制度级审计就属于符合性测试的内容。数据级审计和系统级审计的方法主要涉及到计算机方面的尤其是软件工程中软件测试的相关技术知识。
软件测试一般分为静态和动态两种。静态测试不涉及程序的实际执行,如阅读程序代码等。动态测试分为白盒测试和黑盒测试。白盒测试就是这一方法是把测试对象看作一个打开的盒子,测试人员依据程序内部逻辑结构相关信息,设计或选择测试用例,对程序所有逻辑路径进行测试。黑盒测试黑盒测试也称功能测试,它把程序看作一个不能打开的黑盒子,在完全不考虑程序内部结构的情况下,在程序接口进行测试。
三、计算机审计在小微企业中的运用
(一)技术层面的应用。
在小微企业的计算机审计工作中,由于小微企业通常规模小、人数少、技术实力不强等因素的制约,使得静态测试几乎无法无法做到,而动态测试也只能做到一部分黑盒测试的内容。
静态测试需要审计人员获得所审计软件程序的源代码或者流程图。而这两样由于软件厂商保密性的要求,一般不会提供给审计人员。而如果审计人员采用反汇编等措施来获取程序源代码,一来由于技术条件要求苛刻,二来在转换过程中会出现与原始代码的差异,所以原始程序始终无法得到。且由于各种电算化系统软件是以各个功能模块的形式展现在企业面前的,所以整个电算化系统对于使用企业和审计人员来讲就是一个黑箱,无法知道其内部运行构造。而嵌入监控程序这一措施也因为技术上和成本上难以实现而在实际操作中无法得到应用,所以只能做到黑盒测试。而黑盒测试也只能大致做到数据测试法的层级。对于小微企业中的电算化系统,审计人员在审计时,数据测试可以很好地完成。而由于电算化系统各部分功能模块众多、结构复杂,通常只能测试到几个系统的主要模块,很难达到遍历的程度。且因为小微企业的审计收费偏低,为了考虑审计成本的影响审计人员也无法做到对所有的功能模块全部进行模拟测试。而这还是实力比较强的小型企业的状况。对于实力不济的微型企业,只是按照常规的审计流程做些数据测试级别的审计。除非相关系统经常出现严重错误,否则其他的计算机审计程序基本不做。这一部分是由于审计成本的原因导致,另一部分是由于审计人员的技术能力达不到造成的。
在实际审计工作中,小微企业的审计项目收费低,所以考虑到成本因素,审计人员在审计过程中只是完成了基本的审计程序,而对小微企业电算化系统的计算机审计涉及甚少。而这也成为小微企业的计算机审计无法有效开展的致命伤。
(二)制度层面的应用。
对于电算化制度层面的审计,小微企业也有自己的特色。小微企业在组织结构类型中通常采用创业型组织结构。这种结构下,企业的所有者或管理者作为中心人员,完成所有企业的重大决策,并对下属直接控制。也就是说,在这种组织结构中实行的就是中心人员一言堂,只有基本的管理制度,电算化制度几乎不存在。对规模较大的小微企业,通常采用职能型组织结构。这种组织结构下,不同的部门有不同的业务职能,形式上各部门相互独立,但在实际业务中各个部门都在相互影响。即使在职能型组织结构中,针对电算化的内部管理控制制度也很不健全。通常是在审计过程中被审企业按要求整改,审计过后企业又恢复原样。
四、相关对策
而如何解决这些问题呢?对于计算机系统审计存在的问题,可以要求市场上的电算化系统必须经过国家相关机构的质检后可上市出售。这样审计人员在进行计算机审计时只要相关系统是经过国家机构认可的,就可省去大量测试环节。不仅降低了审计风险,也降低了审计成本,提高了审计效率。此外,可安排事务所的一部分审计人员专门进行计算机审计方面的培训,如果有相关的审计程序要做,可由这些具备必要知识技能的人员来完成。对于电算化制度方面的审计,要完善审计公告制度。对于屡审不改的企业要及时公示,敦促其建立适当的管理控制制度。
五、结论
随着电算化系统在各个企业的普及,计算机审计的相关问题越来越的到社会的重视。尤其是企业中的重要群体——大量小微企业,其计算机审计的效率和效果与审计成本、审计人员的计算机水平及企业组织结构之间的矛盾非常突出。这就需要作为社会服务管理的提供者——政府出面,制定规定来对电算化系统的可靠程度进行保证,以降低审计风险,减少审计成本。也需要会计师事务所针对小微企业计算机审计的特殊性来采取措施。而在电算化制度层面的问题,一方面要加强审计的公告监督,一方面也要认识到小微企业由于自身发展状态的限制,很多制度的不完善是不可避免的。不能制定的相关制度限制的太死而阻碍小微企业的发展。制定相应规范时要考虑到小微企业的实际情况。
参考文献:
[1]李雪.审计理论研究[M].青岛:中国海洋大学出版社,2005.
[2]文森特,等.蒙哥马利审计学[M].北京:中信出版社,2007.
[3]中国注册会计师协会.审计[M].北京:经济科学出版社,2011.
[4]中国注册会计师协会.公司战略与风险管理[M].北京:经济科学出版社,2011.
[5]普雷斯曼,等.软件工程[M].北京:机械工业出版社,2011.
[6]刘文乐,等.软件测试技术[M].北京:机械工业出版社,2012
[7]姜玉泉.会计电算化与计算机审计[J].审计研究,2001,4:60-62.
[8]陈希晖,陈伟.信息化环境下审计成本的影响因素分析[J].生产力研究,2008,23:160-162.
一、计算机系统数据的测试
审计人员在对数据进行测试的时候,会将一些有效数据和无效数据通通编制在内。这些数据通常都会事先经过处理,然后在被录入到计算机中,再由计算机确定输出结果。当这些由计算机所确定的输出结果出来之后,审计人员会对其进行详细对比。如果计算机系统运行出来的结果,和人工结果不一样,那么审计人员就要从中找出不一样的原因。
从之前的经验中看,数据测试是让计算机通过审计的第一步。虽然审计人员都清楚的知道计算机所运行出来的结果不会百分之百准确,但审计人员们可以通过这些数据,得知一个大体情况,并且通过这些判定的数据,来确定这套系统是否可行。这种计算机的数据测试技术被审计人员以及计算机的程序开发人员广泛利用,尤其是在测试计算机系统程序的准确性方面,它的作用显得尤为突出,这种计算机数据测试可以用来确定计算机输入事项中的程序、逻辑以及计算机的计算方式,除了这些以外,还可以用来确定计算机的准确性。通常,审计人员会把这项技术用来测试相关利息以及折旧计算。想要掌握这门计算机技术,并不需要太多的专业知识,在对所有的数据和资料进行测试的过程中,也不需要花费太多的成本,最为主要的一点是,当计算机在审计的过程中,并不会修改现有的计算机程序。
二、测试工具整合
对于计算机测试工具的整合而言,它涉及到计算机系统主文档中,数据测试的使用以及虚拟光驱的创建。这些技术都是经过整合的,因为计算机的数据测试,有赖于现实实体和虚拟实体的主文档,所以它是和真实交易一起进行的。因此,计算机的审计工作是相当重要的一个环节,它可以确保每一个运行的数据和被检查的程序都是完全一致的。
计算机的内置编码确定了计算机中的测试数据,它并不会将普通系统运行的结果包括在内,这种功能通常都是用人工进行操作,在前期就将程序设定好。计算机工具整合的主要特点,就是把虚拟数据从测试出来的结果中移除,当计算机开始审核的时候,这是一个不可避免的过程,在使用这项技术的同时,它的主要目的,便是要把实际数据和测试数据同时运行。想要确保测试工具的整合能顺利从常规结果中脱离出来,就必须要制定出细致的审核计划。
对于计算机工具整合而言,是目前最为常见的一种技术。如果对计算机工具整合这项技术规划的相当细致,那么在是用它的时候,花费就会很小。计算机工具整合这项技术不会涉及到其他较为特殊的程序,对于计算机而言,也不会存在设置障碍。现在计算机应用系统正在不断扩大,计算机工具整合系统也会被逐渐发展起来,在它发展的同时,还可以提高开发系统的成本。可一旦当这项技术真正开始投入使用后,后期的成本便会很低。
三、并行模拟
计算机测试工具整合以及数据测试都是通过真实的程序,来对测试数据进行处理。而并行模拟则是用审计程序来处理这些真实数据。并行模拟的正常输出早已达到了控制目的。在计算机审计过程中,其中的测试程序以及审计程序都会被用来处理那些多余的工作,而在审计过程中,最为关心的部分便是它的数量。例如,当计算机在进行并行模拟的时候,它只限于更新产品记录,里面的业绩报告和时间表就不会被包含在里面。
计算机的并行模拟允许综合检验,但它更加适用于交易的审计场合。当它并行模拟的时候,所使用的审计程序通常都是通用的审计程序。并行模拟可以处理计算机中的数据,产生出和审计程序相同的输出结果。生成出来的结果对一样的数据进行处理,对那些后产出的结果进行分析比较。
四、计算机常用的审计软件
(一)通用的审计软件
通用的审计软件是为了帮助信息技术在审核计算中合理利用而专门设计的一款软件。通用软件最早由公共会计事务所研发出来的,迄今为止早已被使用了很长一段时间。这种设计软件是为那些没有计算机专业知识的人员量身定做的一套软件,帮助他们完成各种各样的审计工作。这种通用审计软件可以完成选择数据样本、查找文档、计算结果、检查异常项目等各种复杂的工作。与此同时,它可以把设计人员常用的那些特殊功能合并起来,比如函件准备、统计筛选等。
(二)电脑软件
由于电脑的价格低廉,加上可用软件的不断增多,这让电脑成为了管理审计工作的一个重要工具。现在电脑有很多软件包,例如电子表格,Word文档等,这些都被广泛运用于审计工作中。
(三)智能软件
【关键词】计算机信息 系统审计 探讨
在计算的使用中,各行各业的应用在不断的扩展,然而对于审计来说:在计算机的应用中,改变了审计工作的范围、审计的环境以及审计的对象。在不同程度降低了审计工作中的风险,并且提升了审计的效率,因此这些要求就需要更进一步的提高审计工作在计算机中的应用。但是在计算机系统中,由于各方面的使用状况比较复杂,这就造成单一的计算机不能够满足审计工作的应用,因此,为了更好的实现计算机在审计中的应用目标,更完善的完成计算机审核的技术,这就需要对计算机信息系统审计进行进一步的探索,发展计算机的应用领域。
一、计算机系统数据的测试
在计算机的工作中,审计人员在对数据进行测试的时候,就会将一些有效的数据以及无效的数据编制在计算机的系统中,而这些数据就会在处理之后被录入到计算机的系统中,最终由计算机确定后在输出结果。当计算机输出结果之后,审计人员就可以根据具体的数据进行详细的对比,若计算机输出的数据与人工计算的结果不一致时,这就需要审计人员要查找原因。
在计算机系统数据的测试中,数据测试是计算机进行审计的最原始步骤,审计人员可以根据计算机输出的数据进行研究,来根据这些判定的数据确定该计算机运行的系统是否可行。在计算机系统中,数据测试技术被审计人员以及计算机的程序开发者广泛的应用,能够在测试计算机数据测试中来确定计算机输入事项中的程序、逻辑以及计算机的具体计算方式。该计算机数据的测试还能够确定计算机的准确性。一般情况下,在计算机的运行中,审计人员将这项数据测试的技术用来测试相关的利息以及折算方面额定问题。在计算机数据测试的系统中,最关键的是在审计的过程中,按照计算机现有的程序能够正常的运行。
二、测试数据进行整合
当计算机数据在测试的过程中,它主要的涉及计算机系统中的主文档,完成数据的测试以及虚拟光驱的创建,然而这些计算机的应用都是在计算机进行整合的过程中进行的,该项程序在审计工作中十分的重要,它能够保证每一个运行的数据和被检查的程序都是完全一致地 。在计算机数据测试的过程中,将计算机内置的编码来确定计算机测试数据,这种计算机的应用是在人工进行具体操作的,在开始就要设置好相应的程序。因此在计算机数据测试整合中,完成审计工作有着重要的作用,它能够将实际的数据以及测试的数据同时进行,这样就能够保证测试工具的整合在顺利的环境中从常规的结果中脱离出来,该项程序需要制定详细的审核计划。但是在进行数据整合的过程中,就需要将计算机工具整合这项技术进行详细的规划,在最小的花费中进行。由于计算机整合系统在逐渐的更新,因此为了更高程度的开发系统,则需要在成本上大大的降低,并且要提高系统整合的质量。
三、计算机并行模拟
在计算机信息系统审计工作中,计算机测试工具整合以及数据测试都是对测试数据进行具体处理的过程。但是在并行模拟系统中,它能够用审计的程序来处理这些真实的数据,并行模拟的正常输出已经达到了控制的目的。因此在计算机审计的系统中,最关心的是测试的数量,它的测试程序以及审计程序都是被用来处理这些数据的。在计算机进行数据并行模拟中,能够允许综合的检验,但是它更适合与交易的审计场合。在并行模拟中,计算机使用的程序都是审计的通用程序,运用并行模拟能够处理计算机系统中的数据,这其中产生的审计程序有着同样的输出结果,这些生产的结果在进行一样的数据处理中,能够将结果进行进一步的比较分析。
四、计算机常用的审计软件
计算机常用的审计软件有:计算机通用审计软件、计算机电脑软件、计算机智能软件,其中,通用的审计软件主要的内容有:它是为了帮助信息技术在审核计算中合理的利用而专门设计的一种软件。通用软件最初是在公共的会计事务所应用的。这种计算机软件时为了那些没有计算机专业知识的人员设计的程序,该软件能够完成选择数据的样本、查找文档、计算结果、检查异常项目等相关的审计工作,在通用软件工作状态中,它能够将设计人员常用的特殊功能与之相结合,能够为计算机提供进一步的应用;而计算机电脑软件在审计工作中额表现是:由于电脑软件的价格比较优惠,并且在应用的过程中,软件在逐渐的增加,它自身的功能就为审计的管理工作提供更广泛的软件平台。;在计算机智能软件中,由于在审计人员的工作中,常常会用到人工智能软件进行审计操作,在工作中,人工智能软件能够配合审计人员评估风险,及时的将数据以及相关的软件反应给审计工作人员,以便做出及时的调查。其中在人工智能软件中主要的包含着两种软件类型:神经网络系统以及专家系统。神经网络系统主要的是对模型进行识别,它能够将那些不规则的账户及时的标注出来,以便审计工作的正常进行;而专家系统是靠决策规则进行的,它能够顺利的在审计人员的控制下进行,并且审计人员可以借助于专家系统来改变它的决策规则,这些工作就方便了审计人员在工作中的程序,提高了审核的准确性。
五、总结
本文结合计算机信息系统的应用,在通过计算机系统数据的测试,计算机进行测试数据的整合以及计算机并行模式的运用中,进行具体的分析,最终结合计算机审计系统中的应用软件具体的介绍,有助于审计人员能够更加准确的应用计算机系统程序,提高审计数据的精确程度,在此基础上还需要不断的更新计算机的应用软件,加大在审计工作中的应用,为我国审计工作提高更有效的信息软件应用。
参考文献:
在计算机技术不断进步广泛普及的科技时代,会计信息化成为企业管理的必然趋势。相对于传统手工会计,计算机在会计信息的处理中,具有明显的优势,数据处理速度与精度使信息化会计制度能够很快的适用于公司的经营与管理。然而,先进的计算机手段为支撑带动着审计手段的提高,但是使用计算机诈骗,欺诈和审计风险的可能性显著增加。管理人员在面临传统经营风险和财务风险的同时,还必须面对信息风险对企业生存和发展带来的挑战
在很长的时间里,因为计算机会计信息系统没有被人们广泛认识接纳,内部控制的措施模糊不清,审计方法不恰当,使得审计人员只能沿用对传统手工会计的审计方法,对内部控制的审计效果不明显,无法确保会计信息系统的安全。因此,提高对内部控制的认识程度,加强对其内涵和技术的学习,重视对内部控制的审计,依然是当前会计信息化和审计领域的一个重要课题。
会计实行计算机信息系统下的电算化后,会计工作的职能划分、权责关系、稽核关系及会计文档的管理形式等会计业务关系发生了显著的变化,因此过去的一套内部控制制度将无法适应新格局下的会计核算管理,迫切需要建立一套与时俱进、高效严谨的内部控制体系。同时,会计信息化给内部控制审计带来了新的挑战。
二、关于计算机信息系统下的内部控制
(一)什么是计算机信息系统下的内部控制
传统的内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。
我国财政部1994年的《会计核算软件基本功能规范》,在输入、处理、输出和安全四个方面对会计软件提出了规范化要求,涉及到的实际上都是内部控制的问题,即会计信息化软件应实现的具体控制。而1999年7月1日正式生效的《独立审计具体准则第2号-计算机信息系统环境下的审计》是第一次涉及计算机信息化系统内部控制的审计法规则。计算机信息化系统下的内部控制就是被审单位的组织与管理控制,应用系统开发和维护控制、计算机操作控制、系统软件控制,以及数据与程序控制等一系列控制的总称。
(二)计算机信息系统内部控制的分类
美国执业会计师协会第3号《审计准则公告》、《国际审计准则》第2号以及我国《独立审计具体准则第2号》,都把计算机会计内部控制分为一般控制(Generalcontrols)和应用控制(Applicationcontrols)两大类,并将前者定义为:1、电子数据处理的组织和操作的计划;2、对系统或程序的设计、开发和变动的记录、审核、测试和批准;3、制造商在设备内部设置的控制;4、对数据文件和接触设备的控制;5、对系统的运行有影响的其他数据和指令程序的控制。公告把应用控制定义为输入控制、数据处理控制和输出控制。
对于以上分类方法,我们认为从各方面来看,都有值得商讨的地方。内部控制的分类首先要概念清晰,同时也要区分控制主体,以便职责的明确划分。为此,我们认为应将其分成两大类:管理制度控制和程序系统控制。其中包含系统和软件的计算机软硬件就是我们所说的程序系统。程序系统控制是通过软件本身功能来实现的内部控制机制,从而达到系统的自我保护的目的,主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。软件开发部门为程序系统控制的责任者,用户不对其负责任。而管理制度控制一般则是以管理制度的形式实行的,涉及的方面主要包括组织、操作、维护和资料保管等。当然,可以将管理制度控制进一步分为环境控制(或基础控制)和操作控制(或控制)两类,组织、维护和资料保管都属于环境控制的范畴。显然控制制度的制订和实施与计算机程序系统无关,而应归责到会计软件使用单位。这种分类方法主要的有点是分类比较的清晰明朗,方便理解,而且实现控制的措施和控制的主体一致,责任分明,使得各方面明确自己应该干什么。
三、计算机信息系统内部控制的审计步骤
(一)内部控制的初步了解和描述
初步了解主要是了解企业单位网络中的安全控制的具体进行流程,使用了那些方法或者工具,最后的控制结果成效是什么样的,除此之外,也应了解有关企业的信息系统管理制度是否制定、如何制定,制定了其实施情况是怎么样的。通常审计人员采用询问,实地观察,查阅系统资料的方法了解,同时对一些基本业务处理过程进行跟踪,最后用文字描述、流程图和调查表等方式详细记载其了解的所有情况。
(二)对企业内部具体情况进行符合性测试
符合性测试是在对被审单位内部控制进行初评的基础上,为证实该控制是否在实际工作中行以贯彻执行,以及其效果是否符合设立该控制的初衷而进行的测试活动。进行符合性测试的目的是获取对准备予以信赖的内部控制是否有效执行的证据,从而确定会计报表审计的范围和程序。
1、一般控制的测试
一般控制的测试就是要初步了解企业内部对信息系统控制的情况,是否符合有关规章准则,是否健全有效,以避免应用系统中不能察觉错误的风险的发生。
(1)对被审单位组织与管理控制的测试。在该对组织与管理的审查时,审计人员应该把审点放在分工与职责分工上。可以通过询问,实地检查的方法对单位各部门,特别是了解数据处理和数据使用有关部门的分工情况,而部门领导以及部门职员之间是否做到职责分工,以及各部门是否建立并有效实施了合适的计算机信息化内部控制制度。
(2)对被审单位系统开发和维护控制的测试。在此审查中,审计人员应当关注开发过程中领导的参与度,是否了解开发的整个过程并且对此过程进行了职责之内的有效控制;为了满足后续需求,开发和维护中是否留存关键文件;是否为了防范风险进行了安全控制,是否做了风险应对计划和措施。
(3)对被审单位计算机操作控制的测试。审查操作控制时,审计人员应当了解数据处理部门有没有设置控制小组,各小组或小组成员是否职责分明,准确完整地进行控制操作,并记录下了操作记录,以及单位是否设有内部监督检查机构会人员对以上人员及其操作的控制。
(4)对被审单位系统软件控制的测试。审计人员应该检查系统软件处理错误的控制、系统使用权限的控制、防止病毒入侵的控制等功能有没有发挥其保障应用程序安全的效果,其效果是否高效明显。
(5)对数据和程序控制时,审计人员应该重点审查在整个数据和程序体系中,有无建立监督控制体制,接触数据和应用程序的人员是否经过授权,且其是否接受相关检查监督。
2、应用控制的测试
应用控制是对一般控制的深化和具体化,可以通过对应用控制的测试进一步取得控制评价的依据。
(1)输入控制的测试。在输入控制的审查中,应当了解是否有适当的控制举措来监督业务执行和输入的授权情况,控制业务的准确及时的输入,同时有无充分的控制措施来监督错误数据的更改与重新输入。
(2)计算机处理与数据文件控制的测试。在测试过程中应关注数据文件完整性和准确性控制效果,有无保留审计线索以备查。
(3)输出控制的测试。对输出控制的测试与输入控制关注的点基本一样,包括输出数据的完整度、正确性的控制,输出结果的接收人是否经过授权审批的控制。
(郑州工业应用技术学院 信息工程学院,河南 新郑 451100)
摘 要:在现今的21世纪,计算机技术越来越发达,我国逐渐迎来了一个随着信息的时代,很多行业的都开始放弃使用手工登帐的方式,而开发出各类的计算机系统,对复杂、多样的数据进行处理。对于会计行业来说,各类的数据大多是使用手工和计算机同时进行的账目的录入、存储、计算,这就使得在会计审计过程中仅以查看手工账本为主的审计方法比较繁琐而且容易出现错误,而传统的计算机审计系统在面向服务架构中也显得不是很实用,所以对于面向服务架构如何做好计算机审计系统成为了现如今的重要课题。
关键词 :服务架构;计算机;审计系统;问题;对策
中图分类号:TP393文献标识码:A文章编号:1673-260X(2015)03-0016-02
当今生活中,随着计算机技术和经济的迅速发展的趋势下,许多国际上的大型企业的管理方式也发生了一定的变化。在企业的财务管理在现代信息技术的环境下,已经基本全部实现了会计电算化,哪怕一个简单的小型企业的会计、财务数据都是会以电子版本的形式存储在计算机中,同时再加以手工记账的配合,这就使得在在以前的会计审计过程中仅以查看手工账本为主的审计方法比较繁琐而且容易出现错误[1]。
同时随着企业管理方式的变化,为了达到更高效的管理模式和信息沟通模式,企业的会计数据不仅仅只有本企业的会计部门有所保存,而是从单一的计算机系统上传在网络上,提供给本企业的各部门,同行业部门,甚至是广大民众都可以看得到。而信息的共享性为企业会计的审计工作带来了更大的难度,企业会计的审计工作不仅仅要保证其准确性性,同时为了更好的服务于本企业的各部门,同行业部门,甚至是广大民众,所以就要对它的审计系统作出一定的研究。
会计审计模式从手工帐基础审计模式经过时间的变化和发展,开始演变为当前的计算机审计模式。在现在的计算机审计系统中,都是对企业会计系统运行所产生的会计数据进行审计,所以称之为计算机审计系统。所以本文所研究的内容就是研究如何对企业会计的计算机审计系统进行改善和优化,使之能够面向服务架构。
1 面向服务架构的基本原则
1.1 什么是面向服务架构
面向服务架构简称SOA(Service-Oriented Architecture)指的是,服务使用者甚至不必关心与之通信的特定服务,因为底层基础设施或服务总线将代表使用者做出适当的选择。基础设施对请求者隐含了数量较多的技术。尤其是不同方面的实现技术,譬如J2EE等类似的用户。通常情况下,假如出现一个既定完成的服务,那样人们就能够运用一个全新的更好的服务,而这种全新的服务实现应该具备一定程度的服务质量。面向服务架构是当前研究领域中的热议话题,同时也是全新的软件设计理念,随着面向服务架构逐渐开始在不同的国内外研究杂志上进行发表后,愈来愈多的企业逐渐加强了对于面向服务架构的注重程度。不过从我国当前对于面向架构的相关介绍情况来看,相关资料非常非常匮乏和不足的。一些国内企业对于面向服务架构也只是保持不明确的态度,同时没有充分的考量其具体的投资相关细节。因此应该在很大程度上必须对面向服务架构的相关部署问题进行详细的研讨和分析。另外面向服务架构的发展方向对于其未来的发展方向也具有非常重要的意义和价值。面向架构对于现代企业应用的开发以及其他方面的问题具有非常显著的推动价值。
1.2 面向服务架构的研究现状
当前面向服务架构被愈来愈多的地区所注重,按照相关调查公司的研究表明,在一些国家大约有占据一大半的企业加大了对于面向服务架构的投资力度。从研究调查结果能够看出,面向服务架构在国外很多企业中得到非常大的投入和应用。不过从我国企业自身进行面向服务架构的研究来看,国内大多数企业都对面向服务架构保持了犹豫的态度,一些企业甚至是对面向服务架构产生较多的质疑,放缓了对面向服务架构的部署相关工作安排。具体来说就是同国内对于面向服务架构匮乏一定的分析存在较大的问题有非常大的关联性。从当前我国对于其研究的主要内容来看,涵盖了以下方面的内容:首先是非常多的关于面向服务架构自身的研究,但是没有注重对于面向服务架构自身的具体内容的合理安排,甚至一些研究只是空谈,没有对于企业自身的发展以及相关规划产生非常深入的影响;其次是比较深入的研究和分析面向服务架构的不同实现技术,匮乏一些经典案例的说明和阐述;再者是频繁的研究面向服务架构同网络的服务关联性,将其概念的关联性进行混杂;最后是并没有注重对于面向服务架构将来发展方向的研究,只不过单单的把“服务”模块化,没有深入的系统的熟悉面向服务架构的设计预期目标[2]。
1.3 计算机审计系统SOA的应用前景
面对当今严格的会计审计要求和规范,如果一个企业要想在激烈的市场竞争中获得成功,就必须不断的优化内部的计算机审计系统,其中包括能够在合适的时间,把适合的审计后的会计数据共享给其他人手中,并让他们加以使用。用户不再只是简单的需要单个应用、单个系统,而是需要一个新的计算机审计系统,其中包含了SOA(面向服务架构)。
2 面向服务架构的计算机审计系统体系结构
2.1 计算机审计系统体系结构
面向Web服务的计算机审计系统属于一种开放性较大的系统,繁杂的审计任务大部分都是有处理问题的Agent进行肩负。一般情况下不同的自动化Agent只能解决具体类别的问题和缺陷,注重对于特殊任务的解决和处理。用网络服务系统封装的Agent,一个服务可能涉及一个或多个Agent这些不同功能的Agent协力合作并提供特定的服务。系统营造了一个开放性较大的氛围,不同的Agent不需要在相同的工作区域内,借助对于其他Agent知识和能力的加深理解,这些Agent可以打破之前受限的智能范畴,协同工作实现预期的目标。
因为系统自身的开放性程度较高,因此能够逐渐向系统中渗透入一些全新的Agent,只有这样的话,才可以让系统的处理能力接近强化。从另外一个方面而言,排除计算机审计系统自身提供的服务,其他个人和公司也能够提供相关的审计项目管理服务以及其他有关联性的计算机审计服务。借助标准化的通讯协议,不同的网络服务系统封装的Agent能够进行自由选择访问其他相关的服务。
2.2 面向服务架构智能Agent交互应用
计算机审计系统中交互系统主要是由外部实体和审计组件两部分构成,外部实体向系统提供被审计单位的数据和模型。根据我国审计法规定,被审计单位接到审计通知书后,要向审计小组提供审计范围内以及特定时间段审计所需要的完整数据,被审计单位的数据其中就涵盖了相关的经营资料和信息,同时还囊括了被审计单位的相关情况等内容。被审计单位模型其中就囊括了审计必需的被审计单位业务流程等系统模型,这些模型也是进行全面进行审计工作的前提和预判审计疑点的参考。审计组件中就囊括了数据采集模块,审计文档管理模块等相关内容。
所谓的数据采集,其主要是审计人员从被审计单位的信息资料中调取一定范围的内容,将其纳入和搜集到审计系统中,使用相关技术措施和手段对电子账进行审计必须要处理以下方面的相关问题,首先就是审计人员搜集电子账中的电子数据,其中就涵盖了电子账套中的数据以及信息系统数据库中的相关资料;其次是研究审查搜集到的电子数据。数据采集是对电子账数据进行具体审查的关键环节,数据采集的真实可靠性对于计算机审计结果具有非常重要价值和意义。假如搜集的数据很难有效的表明企业自身的经济发展情况的话,即便审计人员具有强大的职业预判能力,也很难计算出非常科学有效的审计结果,最终也会递增审计风险。所以数据采集在整个计算机审计过程中的地位显得非常关键,一般情况下,数据采集的信息基本上可以划分为以下几种类别:被审计单位信息采集,以及业务数据采集等。
一是被审计单位信息采集审计业务的开展与被审计单位的企业规模、业务流程、组织结构以及相关的行业法规制度等密切相关,在审计准备阶段和审计实施阶段的初期,审计人员必须首先获得被审计单位相关信息,然后才能开展审计工作,被审计单位信息采集Agent负责此类信息点采集。
二是财务数据采集Agent,财务数据采集主要采集以下两种数据: 财务备份账套数据和财务数据库数据。财务账套数据是会计信息系统中经过加密后的备份电子数据,其格式不是标准的数据库格式,而是会计信息系统以其独特的方式备份数据。不同的会计信息系统财务账套数据文件的格式不同,所以计算机审计系统(WS-CAS)提供不同的财务账套数据采集Agent作为智能数据采集接口,完成财务备份账套数据的采集工作。财务数据库数据是保存在标准数据库中的会计数据,数据文件以标准的数据库文件格式保存,系统为各种数据库提供了相应的数据采集Agent财务数据库中有许多表,其中和审计相关的主要数据库表为会计期间定义表、会计科目表、会计科目的设置表、凭证表等。通过数据采集Agent接口采集数据,审计人员要清楚数据库,数据库表,字段的结构,属性和含义,这样才能对数据进行采集整理,保证数据的完整性。
三是业务数据采集Agent,由于审计范围的不断扩大,审计对象不再局限于财务数据,还包括许多业务数据的审计,如社会保障审计、高速公路收费审计、经济效益审计等,这些数据保存在业务数据库中,由业务数据采集Agent作为智能的采集接口。具体来看首先是账表分析Agent:审计人员将采集到的财务备份数据还原成电子账,通过对被审计单位会计基础资料的检查和分析,找出审计线索,得出审计结论。账表分析Agent的主要功能包括总账审查、科目明细账审查、辅助账审查、会计科目审查、凭证审查、未记账凭证审查、日记账审查、报表审查等;其次是数据查询分析Agent:审计人员根据审计经验,按照一定的审计分析模型,对从数据库中采集到的数据进行查询分析,发现审计线索,达到审计目的,数据查询分析Agent主要的查询分析方法有数值统计、重号分析、断号分析、分类分析、数据分层分析、时间分层分析等。
四是联机处理Agent,联机分析处理是与数据仓库密切相关的一种决策支持工具,联机处理Agent能够使审计人员从多角度对审计数据进行处理,获得对审计数据更深层次的了解,发现审计线索,实现对审计决策的支持和多维分析。
五是审计分析工具Agent,除了上述一般审计分析方法外,计算机审计系统(WS-CAS)还提供了一个开放的、专用的审计分析工具平台,审计人员不但可以利用系统提供的审计分析工具,还可以不断充实新的审计分析服务[3]。
3 结束语
SOA架构的提出将给会计计算机审计工作带来一个新的模式。同时SOA思想会在今后的计算机审计系统发展中起到非常重要的指导作用,而且它代表了未来会计行业发展的趋势。企业会计应用SOA架构也会为企业自身的发展带来前所未有的优势。企业会计需要SOA这样的架构平台,不过人们也必须认识到面向服务架构自身的发展还是存在一定的问题和不足,必须进行充分的研究和努力实践。
参考文献:
(1)施永香。Access2007在IT审计中的应用[J]。南京审计学院学报,2011(1):41-45.
关键词:石油企业;计算机辅助;审计系统;开发与应用
随着时代的发展,计算机技术也在不断地进步,并且被广泛地应用到各行各业当中,使得审计的工作也在不断地发生改变,被审计的企业也在不断地进行变化,并且变得更加的隐性和数字化,传统的审计系统已经不能满足现代的审计工作要求,因此,需要不断地开发审计系统,使得审计系统能够为审计工作提供更大的便利,提高审计工作的质量和效率。
1石油企业计算机辅助审计系统的功能
1.1将财务数据转换成审计数据格式
在石油的审计系统中,可以将所有的财务数据进行相应的转换,进而成为审计系统中的使用格式,将财务中的数据能够灵活地运用到审计工作中,并且还可以实现全部的转换,进而使得财务的数据能够将全部的信息进行完整的转换,保证了财务数据转换过程的准确性,并且通过计算机辅助审计系统,还可以形成流动的读取单项显示,在读取的过程当中,不会被编入数据库中,进而使得审计工作中的数据库更加的安全。
1.2方便财务数据的获取和恢复操作
采用计算机辅助审计系统,在读取数据和获取数据的过程中,可以进行不同机制的工作形式,比如,可以采取批量任务的管理或者是单一任务的管理。其中在单任务的获取和恢复数据中,需要人工进行相应的操作,在操作的过程当中,每次只能将一个数据进行恢复或者处理;采取批量任务的处理方式,可以将多个财务数据自动地进行获取或者恢复,进而有效地解决了人工来进行获取恢复数据的操作,使得工作效率提高很多,也有效地保证了数据的获取和恢复的质量。
1.3分等级开展规范管理
石油计算机辅助审计系统中,可以设置相应的权限,而采用的权限管理主要分为一级或二级的管理员模式。其中,如果可以获取一级管理员的权限,可以对单位中的人员以及每个小组的信息等进行相应的分配,分配出二级管理员。二级管理员可以在一级管理员的操作基础上详细地分配工作人员以及工作的内容,为人员安排相应的角色。
1.4提高资料管理的水平
通过计算机辅助审计系统,可以结合上传电子资料,将电子资料按照相应的类别进行自动的归类和整理,并且通过计算机系统当中的自定义结构来实现资料的智能化管理,进而使得全部的电子资料变得清晰、工整,有利于资料的获取和共享,并且在获取和查看资料的过程当中,也会受到权限的控制,每个审计人员只可以依照自己的权限来查看相应的资料,进而使得整体的电子资料数据安全性更高。
1.5有效的辅助审计操作
通过计算机辅助审计系统可以有效开展账薄上的核算功能,如果责任中心在进行跳跃式查询的过程当中,也可以进行双向的查询服务,并且还可以采取多种查询方式来查询相应的账目,进而使得审计人员能够快速地获取相应的信息,提高了审计工作的水平和质量。在查询的过程当中,还可以采用多种抽样查询方式使审计的风险降低,提高了审计结果的准确性。
1.6可以随时的记录审计的结果
在石油的计算机辅助审计系统过程中,还可以采用随审随计的模式,使得审计人员在分析或工作的过程中,详细地记录整个工作过程,并且还可以在工作过程中,将有问题的地方进行相应的标注,进而使得整个审计轨迹能够有效的体现出来,同时,还可以按照相应的情况来查询审计的过程以及结果,并进行针对性的核实。而这种随审随计的模式,可以形成一定的审计轨迹,也会成为一种审计的日记,使得审计人员在工作中不用一直输入,减少了审计工作人员的工作量,提高了审计工作的效率。
2石油企业计算机辅助审计系统的开发
2.1规范化
在开发计算机辅助审计系统的过程中,需要将审计的程序和技术方法进行有机的结合,进而使得在开发审计系统的过程中能够更加的规范科学,因为在之前的审计系统开发过程中,审计人员工作时可以随意地运用一些审计技术和方法,并且用什么样的方法,或者在哪个时候用,怎样正确地去操作,都没有相应的规范和标准,进而使得审计机构审计工作效果得不到有效的保证,因此,在开发计算机审计辅助系统的过程中,能够在审计程序的使用过程中有效的规定审计的技术以及使用的方法,进而使得审计人员在工作的过程中能够正确地使用审计技术。
2.2万能化
在石油企业的计算机辅助审计系统过程中,所有的数据格式都是统一的,但是在其他的经营管理当中有的软件所使用到的数据库和财务管理信息系统的数据库不一样。并且还有的软件会有加密功能。进而在设计和开发审计软件的过程当中,需要能够转换不同数据库的数据格式,并且还要对于一些加密的软件进行自动的解密操作。在开发审计系统的过程当中,需要将采集数据的部分进行相应的提升和扩展,进而能够采集不同的数据,并且将不同的数据能够进行自动的转化,更加符合财务管理系统的数据格式。
2.3智能化
在实际的发展过程中,不管什么行业,都要朝着智能化的方向发展,而在审计系统的开发过程中,也要遵循智能化的发展方向,并且结合实际操作中出现的问题来进行不断的改进和优化。在实际的审计过程中使用系统软件来分析相应的结果,并不能真正地做出最终的判断,因为在系统中进行计算的时候会有固定的计算公式,但是其中有很多变量还需要人工进行核算和分析,因此在开发审计系统的过程中,还有的石油公司会邀请行业的专业人员进行分析和判断,进而给出最终的审计结果。因此,应该在此方面进行不断的优化和改进,实现审计结果的智能化分析,为审计工作提出更准确的意见。
2.4程序化
程序化指的是在审计系统软件开发的过程中,需要对监督系统进行程序化的设计,因为在使用计算机技术的过程中,可以为所有的工作人员设置相应的控制点,进而有效地控制审计工作的实际质量,做好审计工作的监督管理,比如对于审计工作中的工作底稿可以设置不同的控制点,比如,可以由审计人员进行制定,再由主要审计人员进行复核,最后,由部门管理人员来进行最终的审定,通过计算机技术可以使更多人参与到审计的过程当中,加大对审计工工作的监督和管理工作力度。如果相应的审计工作人员没有让上级领导进行授权就无法进入下一步的操作,而审计人员在计算机上的操作也会有一定的轨迹,在审计监督的过程中,可以通过查看工作人员的轨迹提高相应的监督管理质量。
3石油企业计算机辅助审计系统的应用
3.1不断的创新审计工作方式
在石油企业中,可以通过审计系统对被审计单位的实际经营状态进行及时的监督和管理,而在实际的应用过程中,已经推广使用这种审计系统,并且还可以对平时所记录的数据进行监控和管理,还可以有效地分析数据,并对于现场进行核查,这样的工作机制使得整体的审计工作可以高效地开展,相关的部门可以对石油企业的日常行为和管理活动进行实时的调查和监控。通过调查监控还可以降低企业经营和管理的风险性。通过在监控过程中获取到企业的财务数据以及生产的统计等各种重要的经营信息,可以做出更为全面的分析,并且及时的发现审计过程当中存在的风险和问题,进而针对性的进行核实操作。
3.2开展远程重点审计操作
在我国的石油企业过程中,有的石油企业很可能会在其他的地区建立一些分支机构,在海外的发展市场中,可以利用计算机辅助审计系统对一些海外的企业或单位进行远程的管理,相应的审计部门可以通过审计系统运用专业的审计技术和方法进行远程的链接,对于海外的一些数据系统进行相应的管理,并且有效地实行远程的监控操作,进而不仅减少了人力资源的消耗,同时,还可以有效地降低整体的企业经营成本,有效的改善传统审计过程当中的很多不足之处。一旦发现问题,可以及时地做出相应的指示,为海外的机构经营管理出谋划策。此外,还可以实行联网审计,这样的审计方式可以有效地提高审计质量,同时,还可以防止出现重大审计线索的遗失情况。
4结语
在石油企业的管理中,审计工作是重要的组成部分,现代的审计工作都是使用审计系统,因此,应该注重开发审计系统,注重审计系统的规范化、万能化、智能化和程序化,并且还要创新应用方式,实现远程的审计工作,提高审计的质量和效率。
参考文献:
[1]陆涛.计算机辅助审计风险及应对策略[J].石化技术,2019,26(03):188-189.
[2]张晟昊.计算机辅助审计管理系统的设计和实现[D].吉林大学,2008.
【关键词】废水在线监控;计算机;绩效;审计
一、项目背景及审计思路
近年来,环保监管部门积极实施污染源在线监控的信息系统能力建设,用以实现对废水排污企业进行实时监控,并将其数据作为环保部门排污申报核定、排污许可证发放、总量控制、环境统计、排污费征收和现场环境执法等环境监督管理的依据。废水在线监控系统结构主要由三部分组成:(1)数据采集系统,包括废水污染源各监控站房内数据采集设备、与数据采集设备接口的其他相关设备,如门禁系统、摄像系统、温度计等。数采仪的操作系统为Windows CE。(2)数据传输通讯系统,包括利用GRPS实现监控平台与废水污染源各监控站房内数据采集设备进行无线通讯与数据传输。(3)基于废水污染源监控数据的综合信息管理系统,包括监测信息的、管理、利用、比对、审核和共享。操作系统采用Windows 2003 Server,数据库为SQL Server 2005/2008,开发平台为。审计试图从废水在线监控系统的功能性、安全性;数据库数据的准确性、完整性;各排污企业的终端监测设备安全性和运行稳定性等方面进行检查,诊断系统未充分发挥效用的病症所在,并提出切实可行的改进建议。
二、实施过程和测试方法
根据审计内容和要求,主要运用SQL Server软件还原系统备份数据,对上千万条信息记录进行数据分析,查找产生问题的原因。同时结合查阅工作记录等相关资料、实地查看现场以及问询等手段,查找系统运行和管理中存在的问题。现对主要内容的审计方法介绍如下:
(一) 测试废水在线监控系统数据的准确性
从数据传输过程、数据统计过程和数据比对校验三个方面对系统数据的准确性开展测试和审查。一是利用数据库分析对现场监测仪器的显示数据与数采仪的数据进行逐一比对,统计分析数据传输的误差情况,分析误差是否在制度规范的可接受范围内,检查数采仪统计均值计算的准确性,以此判断监测仪表模拟信号转换到数字信号的准确率。二是将被审计单位提供的单位排污口信息导入数据库,与废水在线监控系统中对应字段信息进行比对分析,发现“排放口名称”字段标识存在错误。进一步通过审查相关资料发现,被审计单位未建立信息维护机制,也未对字段信息进行审核。此外,将污水处理厂废水设计排放量与系统对应字段进行比对分析发现,废水在线监控系统数据库中部分污水处理厂废水排放量数据异常,且未对异常情况进行监测与处理。三是通过查看比对监测资料和比对校验工作记录发现,被审计单位未对废水在线监控系统现场端废水流量设备进行比对监测,影响废水在线监控系统废水流量数据的准确性,从而导致废水在线监控系统中由污染物浓度与废水流量相乘得出的污染物排放量的准确性无法判断。
(二)测试废水在线监控系统数据的完整性
在对上述异常情况进行分析的基础上,修正和剔除错误信息后对废水主要污染物因子-化学需氧量的采集次数进行测试,评价系统数据的完整性。根据国家和地方的技术规范,对废水连续排放和间隙排放等不同排放方式的累计排放小时数等参数进行测算,以获取每天理论采集次数。进而运用数据库分析工具对海量数据进行计算得出,三年实际系统获取次数仅占应采集次数75%左右,未进行监测的废水量达10亿万吨左右,未监测的废水量比例为34%。采集数据的缺失是表象,查找数据缺失的原因是关键。因此,在数据分析的基础上通过对采集次数缺失情况进行逐一排查发现,被审计单位对主要污染物因子化学需氧量的系统采样频率设置不合理,且未对数据缺失情况建立相应的监控制度和实施数据补缺措施,是导致数据缺失较大的症结所在。
(三)测试废水在线监控系统的安全性
通过现场检查站房设施管理情况和计算机查询系统控制信息等方式发现,部分企业在线监控设备检查人员未使用门禁卡,而是使用钥匙进入排污口监测站房,致使系统无法记录进入情况和识别进入人员身份。进一步对系统数据库站房进入控制的记录信息进行全面审查,发现废水在线监控系统对各单位门禁进出情况均无相关记录,未能充分发挥系统的设计功能,对废水在线监控现场端的人员进出情况也缺乏必要的安全性监控。此外,通过检查数据备份、应急计划等制度和查阅数据备份档案的方式,对在线监控系统数据库备份情况进行审计,判断数据备份是否正确实施并发挥作用。
(一)计算机信息系统内部控制审计评价的一般性指标
计算机信息系统内部控制审计评价的一般性指标,指为保证信息系统安全运行所制定的内部控制制度应遵循的原则和达到的目标,包括:信息系统内部控制的完整性、合理性及有效性。
1、计算机信息系统内部控制的完整性计算机信息系统内部控制的完整性包含两个方面:一是指信息系统的使用部门根据系统安全运行的需要,应建立的有关内部控制制度的健全和完善;二是指对信息系统所涉及的中央银行业务活动的全过程进行自始至终的控制。
根据以上两个方面的内容,在对计算机信息系统内部控制的完整性进行审计评价时,首先对建立与系统相关的内部控制制度的健全和完善进行评价,即是否能够充分保证系统的安全运行,是否能够对系统功能上的不足之处进行有效的弥补,以保证系统涉及的业务活动的安全性;其次是建立的有关内部控制制度是否能够贯穿于信息系统所涉及的业务活动的全过程。
2、计算机信息系统内部控制的合理性计算机信息系统内部控制的合理性是指为保证系统安全运行而建立的有关内部控制制度的可操作性和适用性。
在对计算机信息系统内部控制的合理性进行审计评价时,要在其完整性的基础上,充分考虑其适用性。从各项内控制度适用性的角度出发,评价其对使用部门的操作人员、运行环境等方面的要求是否具有可操作性和适用性。
3、计算机信息系统内部控制的有效性内部控制的有效性是指其在系统运行时所涉及的中央银行业务活动中,能否得到贯彻执行并发挥作用,实现其为保证中央银行资金安全,为社会提供高效的金融服务的目标。
在对计算机信息系统内部控制的有效性进行评价时,主要是对内部控制在系统运行过程中能否有效地防止各类案件和错误的发生进行评价。
以上三个指标属于审计评价计算机信息系统内部控制的一般性指标,完整性是合理性和有效性的基础,合理性是对内部控制更深一层次的要求,有效性是内部控制的精髓,如果一种内部控制不能实现“有效控制”,则实质上就不存在什么内部控制了。
(二)计算机信息系统内部控制审计评价的具体指标
计算机信息系统内部控制审计评价的具体指标是指对信息系统内部控制相关内容方面的审计评价指标,是对信息系统内部控制相关内容的具体评价,包括以下几个方面:
1、对组织与管理控制的评价:包括两层涵义:一方面是对与信息系统相关的内部管理制度、组织机构的健全和完善及其适用性做出审计评价,即是否制定了较完善的工作制度、岗位职责,是否建立并落实岗位责任制和风险防范责任制,是否建立了内部监督机制和考核机制等;另一方面是对系统操作人员控制的审计评价:一是对管理人员控制的评价。一般情况下,信息系统中高级别操作员在系统的使用部门具有一定的职位,如《中央银行会计核算系统》(以下简称《核算系统》)中四级别操作员即会计主管通常情况下由会计营业部门负责人担任。因此,在对信息系统管理人员的控制进行审计评价时,关键要评价其在系统的内部控制中,是否存在对管理人员的控制随其地位的升高而减弱的现象;二是对一般人员风险防范控制的审计评价,即系统的岗位设置和人员分工是否科学合理,岗位设置是否齐全,不相容岗位是否做到了完全分离,是否能够达到相互牵制、互相制约、防止风险发生的目的。
2、对系统用户及操作员权限控制的评价:即对按照系统的规定设置的各个用户及口令、操作员代码及口令的管理情况做出审计评价。即是否按规定设置系统用户及口令,是否按操作员所管辖的业务范围设置操作员级别等。如《核算系统》中,是否按规定设置开机口令和“KJZW”用户口令,是否按照岗位职责和处理权限设置操作员级别,各级别操作员是否按规定设置代码及口令,口令管理是否符合规定等。
3、对系统维护控制的评价:即对科技人员是否按规定对系统的软、硬件进行的安装、补丁、升级和备份、系统的应急处理方案是否详细可行等方面做出审计评价。
4、对系统运行环境控制的评价:一是对系统的供电系统是否符合要求、系统运行场所的防火报警系统、防雷电系统、防电磁干扰系统是否有效做出评价;二是对系统的软、硬件环境是否符合系统的要求做出评价;三是对系统的病毒防范措施是否具体有效做出评价;四是对系统网络的数据保密、访问控制、身份识别、数据传输等安全性指标设置是否合理做出评价。
5、对系统输入控制的评价:即对输入系统的数据在输入系统前是否进行了认真的审核,数据的传递方式、采取的审核措施是否有效,是否能够保证数据的准确无误,数据的输入是否实时输入、换人复核等做出评价。
6、对系统输出控制的评价:即对是否按系统的要求及时完成系统结果的输出,对系统输出结果的准确性、可靠性是否采取了有效的措施,系统数据输出的操作权限、输出日志及输出份数是否符合规定等做出评价。
7、对系统数据存储控制的评价:即对系统的数据是否按规定进行备份、对储存数据的各种存储介质是否做好必要的标识、并定期复制、异地存放等做出评价。