“计算机辅助审计”与“计算机审计”看似相近,却有着本质的区别。“计算机辅助审计”一般指把计算机作为审计的辅助工具,来提高审计工作的效率和质量。而“计算机审计”是指结合审计实施过程,对被审计单位的财务和业务计算机系统进行检测、分析和审核,看其是否合理、合法及安全,并进行全面评估。后者中的计算机是作为审计的主体对象和审计内容,而不仅仅是审计的辅助工具。所以后者比前者具有更广的含义、更深的技术和更高的水平,它是审计信息化领域中,继“计算机辅助审计”后审计人员争相攀登的又一座新高峰。 浙江省宁波市审计局自成立审计信息化技术组以来,积极研究和探索审计信息化技术,在计算机辅助审计初具成效、审计人员逐步熟悉计算机技术的基础上,该局又将信息化工作的目标瞄准“计算机审计”新领域,进一步锻炼计算机审计队伍,提升审计信息化的应用层次和水平。 在最近开展的2005年城市商业银行资产负债损益审计中,宁波市审计局根据浙江省审计厅部署的指导方案,积极探索对该银行计算机系统进行审计的新思路、新方法,边学习、边研究、边应用,初步尝试了对计算机系统进行审计的新课题,为下一步更加深入地开展计算机审计工作打下了基础。 本次城市商业银行审计要求审计人员通过对银行的计算机信息系统进行检查、分析、复核,评价银行计算机系统所反映经济活动的真实、合法、效益及其计算机信息系统本身的安全性,来确定存贷款业务、票据业务和财务收支等审计事项重要性水平和风险程度,确定审计范围和重点,防范银行利用计算机系统进行欺诈和舞弊,促进银行对信贷业务加强管理。 审查计算机系统的开发过程 。查看系统有无可行性研究报告,获取计算机系统的需求说明书、概要设计、详细设计、用户操作手册、项目研究开发总结报告等软件文案及编写格式,审查其是否符合国家软件工程的规范、财政财务管理制度及人民银行、银监会等有关法律法规规范对银行计算机系统安全性的要求。重点要检查银行在提出设计需求时有无为人工手动修改有关数据设置有关权限和功能。 审查计算机系统的设计、运营和维护 。计算机系统的软件是否按系统需求进行开发,系统的功能是否符合要求和人民银行、银监会等有关法律法规的规定,有无存在系统漏洞和恶意舞弊;银行计算机系统对各功能模块的使用权限如何进行控制,银行如何保证计算机系统设置的正确性、银行数据的安全性,以及软件发行维护和升级、维护和重大修改情况。 审查计算机系统的使用和运行情况 。测试银行计算机信息系统对数据输入的管理、控制情况,数据输出是否完整,数据备份是否及时,重点要关注数据是否存在人为干预、手工调节的情况;有无专门的管理机构和人员,运行情况是否正常;计算机信息系统的权限管理是否根据工作流程划清职责;银行如何防止数据被窃和计算机病毒感染及破坏。 计算机系统安全性评估和测试 。测试计算机环境下内部控制关键环节的实现情况;通过系统权限设置功能,测试权限设置和职责划分的合理合规性;测试授权和审批是否按内部管理制度执行,授权活动的控制是否有效;通过系统日志测试操作痕迹,并检查是否存在违规操作的情况;通过实时操作系统测试在现实运行中数据处理的可控性和准确性。 计算机系统完整性评估和测试 。在上述系统安全性测试的基础上对计算机系统提供数据的完整性进行评估、测试和分析,保证提供给审计组的数据的完整性,测试方法可以采用检验纸质账套、凭证和计算机系统提供的电子资料是否相符的方式,也可在审计人员指导、监督下,由被审计单位操作人员进行测试数据操作获取测试结果数据,并核对测试结果。 电子数据分析和疑点核实 。对数据进行筛选整理,借助审计软件提供的帐表分析、数据分析、行业指标和疑点管理等功能,对城市商业银行电子数据进行业务分析核实。利用银行信贷、票据和中间业务及软件重建的帐表管理和科目明细帐功能,对审计实施方案确定重点内容和事项进行分析和疑点排除落实。( |