(壹)業務流程描述
業務流程顯示了業務如何發生、處理、記錄和報告的整個過程。它打破了部門的界限,所以不代表部門的職責劃分。業務流程中的具體工作由哪個部門和崗位完成,要在詳細的流程描述中體現出來。流程描述的形式主要包括流程圖和文字描述兩部分。流程圖是以圖形的形式對業務操作的直觀描述。文字描述是對流程圖的補充,要求每壹步都必須用文字描述,讓壹個不熟悉業務的人也能明白業務是怎麽操作的。
(2)關鍵控制的確認
關鍵控制是公司為防範風險和實現控制目標而制定的壹項或多項最具影響力的控制措施。如果沒有這些控制,財務報告的錯報、資產安全的威脅和欺詐的風險將會很大。
1.確認關鍵控制的原則
在確認計算機會計信息系統業務流程的“關鍵控制文件”即關鍵控制點和控制點時,應以規避重要風險為目標,以統壹性、規範性和可操作性為原則,使確認的關鍵控制在規範控制體系和提高企業管理水平方面發揮作用。
2.確認關鍵控制的標準。
(1)確定的關鍵控制是在相關流程中具有相對較強影響力和控制力的壹個或多個控制,其控制作用不可或缺,不可替代。如果沒有這種控制,很大程度上會直接導致金融風險。
(2)確認的關鍵控制必須有控制證據,並能驗證和測試控制過程。
(三)關鍵控制的審計方法
1.審前準備的主要工作
首先,審計人員應獲取被審計單位信息系統的業務流程圖、信息系統總體控制規定、信息系統總體控制實施辦法等規章制度。然後,審核員應確認被審核實體關鍵控制的完整性。通常,審核員應檢查關鍵控制是否正確記錄在流程圖和程序文件中。如果沒有,詢問原因並確定理由是否充分,並記錄下來。在此基礎上,編制審計測試計劃,明確審計的業務流程、時間、訪談對象,確保測試工作有序進行。同時,審核員還應根據關鍵控制及其頻率和控制方法,確定樣本總體、樣本數、測試周期和詳細的測試步驟,並做好記錄。
此外,在審前準備階段,審核員應根據關鍵控制的執行頻率,確定並記錄關鍵控制測試的抽樣數量。樣本總體是指測試對象,確定正確的樣本總體是為了防止測試對象的不完全性。大多數情況下,樣本總體並不是關鍵控制對應的控制實施證據。審計人員通過從樣本人群中抽取樣本並檢查控制實施的證據,驗證相關關鍵控制是否在樣本人群中得到有效實施。
測試手動控制
控制出現頻率樣本的數量
年份1
第二季
第2-5個月
每周5-15
每天20-40次
壹天幾次25-60
對於能明確確定控制發生頻率的關鍵控制,只需根據控制發生頻率確定測試中要采取的樣本量;針對無法明確確定控制頻率的關鍵控制,即控制不定期發生,或根據業務的具體情況隨時可能發生,需要先確定壹個會計年度內業務發生的次數,再確定控制發生的“減少”頻率和測試所需的樣本量。
頻率
斯德魯哈爾數
樣本量
>200
壹天幾次
40-60
500-200
每天壹次
20-40
15-50
每星期壹次
5-15
<15
男人的
2-5
2.現場審核階段采用的審核方法
關鍵控制的審計方法主要包括詢問、觀察、檢查和重復執行。
(1)詢問:通過訪談,了解業務人員是否真正了解所實施的控制,判斷業務人員的勝任能力。將面談結果記錄在審核測試表中,結合面談結果進壹步確定測試方案,特別是樣本總體和控制頻率。
(2)觀察:見證正在執行的控制。通過觀察相關業務人員在系統中的操作,確認相關信息系統應用控制措施是否存在並按要求執行;確認流程圖和應用系統風險文檔中描述的相關應用控制措施是否存在,如果存在,檢查相關系統設置和信息系統中應用控制措施實施的系統提示(屏幕截圖)。
(3)檢查:在有證據證明控制實施時使用,主要是檢查樣品。通過檢查,確認信息系統整體控制措施在實際工作中是否得到落實,是否符合信息系統整體控制措施的描述;系統的具體反饋信息和控制措施是否有效,流程圖的標註是否正確。
(4)重復執行:主要是重新執行控制活動以確定控制是否有效,通過對已控制的業務活動進行測試來檢查控制是否準確有效。比詢問、觀察、檢查更深入,要完整記錄樣本的要素,以便重復執行。
3.現場實施階段的測試原則
(1)審計人員必須按照預先確定的測試程序進行審計測試。
(2)原則上每個受控崗位都需要面試,以保證獲得最直接的信息。但是,如果審計人員能夠明確判斷,在壹個或幾個崗位進行面試所獲得的信息足以支持測試所需的內容和信息,那麽根據被審計單位的實際情況,就沒有必要對每個崗位進行面試。可以將同壹個部門或崗位執行的控制組合起來進行面試,以提高工作效率。
(3)選擇樣本。如果從測試開始時間到測試結束時間,由於業務量的限制,無法獲得所需的樣本量,則應選擇現有的所有樣本。
(4)被審計單位提交總體樣本清單,測試人員在清單中隨機指定抽取的樣本。已確認的樣本不能隨意更改,以保證樣本能代表總體。
4.現場實施階段需要註意的潛在問題
在審計測試過程中,審計人員應關註以下幾個方面:
(1)內控制度中的控制措施在實踐中沒有得到落實。
指內部規章制度中所描述的控制措施,經過約談和反復執行,在實際工作中沒有得到執行或不存在。
(2)內部控制制度中沒有描述實際的控制措施。
是指在訪談和反復實施後,發現實踐中實施的重要控制在內部規章制度中沒有描述。如果審計人員在重復執行過程中發現某個重要的控制或業務步驟在實踐中存在,但在流程圖和內部規章制度中沒有體現出來,則應記錄為問題。
(3)相關人員不知道如何實施控制,導致控制措施只是例行程序。
是指在對控制崗位人員進行訪談的過程中,發現控制崗位的執行人員實施控制不當,不了解被控制對象或不清楚其內容,只在形式上簽字或蓋章。
(4)執行中缺乏必要的執行證據。
在重復執行過程中,沒有任何書面或其他證據(如簽字蓋章的書面形式等。)可以找到或存在,證明控制已經實施。
(5)控制缺乏必要的規章制度或制度不完善。
現有的控制措施在規章制度中沒有體現(即缺乏相關規章制度)或有矛盾。
(6)應有的控制措施不存在或不完善
在重復執行的過程中,如果審計人員發現關鍵控制不應該執行或記錄,可以記錄為問題。
(4)綜合評價
現場審計測試結束後,應對測試結果進行分析,包括對被測試單位信息系統的整體控制是否完整,並有適當記錄;實際執行過程中的差異,主要發生在哪個環節、哪個部門、哪個崗位以及異常發生的頻率,結合訪談結果,分析異常發生的具體原因,進而提出建議,對被審計單位計算機會計信息系統內部控制做出綜合評價。綜合評價主要從以下幾個關鍵點入手:
1.企業組織結構是否健全,職責分工是否明確;
2.反映體系的各種文件是否規範;
3.各項管理制度、會計制度、審計制度是否完備;
4.業務處理和記錄程序是否完善、正確;
5 .授權、批準、執行、記錄、檢查和報告程序是否完備;
6.關鍵控制是否建立了必要的控制措施;
7.內部控制制度及相關措施是否經濟有效。
長期以來,由於人們對計算機會計信息系統不熟悉,內部控制措施不明確,審計方法無關緊要,審計人員不得不遵循手工會計的審計方法,很少能夠有效地審計內部控制,並且存在許多漏洞,不足以確保會計系統的安全。因此,提高對內部控制的認識,加強對內部控制內涵和技術的研究,重視內部控制的審計,仍然是會計電算化和審計領域的壹個重點課題。審計人員應掃除思想上的顧慮,加強學習,努力掌握壹定的計算機知識,結合企業實際情況,運用壹套新的技術方法和標準,綜合評價計算機會計信息系統內部控制的健全性、合理性和有效性。