会员登录
会员注册
审计人员应重点收集输入环节的审计证据,以捕捉舞弊迹象。如原始数据文件和业务中有疑问的数据记录;记录有关数据的介质,如磁盘、光盘和磁带等;系统运行记录,如修改的审计线索记录、日志记录、异常报告以及错误运行记录等等,并采取以下实质性检查方法:
第一,应用传统方式审查手工记账凭证与原始凭证的合法性。首先,审计人员应抽查部分原始单据,重点使用审阅法确定业务发生的真实性,判断原始单据的来源是否合法,其数据有无被篡改,金额是否公允等。其次,采用核对法,将记账凭证的内容和数据与其原始单据的内容和数据进行核对,审查计算机处理的起点是否正确。
第二,将人工控制审查和计算机自动校验审查相结合,测试数据的完整性。审计人员模拟一组被审单位的计算机数据处理系统的数据输入,使该系统在审计人员的亲自操作或者控制下,根据数据处理系统所能达到的功能要求,完成处理过程,得到的数据与事先计算得到的结果相比较,检验原来数据与现有数据之间有无差异,并且输出差异报告。
第三,对输出的差异报告进行分析,核实例外情况,检查有无异常情况或涂改行为。
三、程序舞弊类的审计
程序审计是电算化信息系统审计的重要内容,此环节舞弊的隐匿性极强,舞弊人员通常具有一定的计算机知识,有的甚至精通计算机。常用的手法是采用截尾术、隐藏逻辑炸弹、活动天窗等,对系统的破坏性也极大。当被审单位电算部门与用户部门的职责分离不恰当,如程序员兼任操作员;系统开发控制不严,如用户单位没有对开发过程进行监督,没有详细检查系统开发过程中产生的文档,被留下“活动天窗”或埋下“逻辑炸弹”,系统维护控制不严,如程序员可随时调用机内程序进行修改;接触控制不完善,如操作员可以接触系统的源程序及系统的设计文档等,表明被审单位内部控制存在弱点,极有可能为舞弊者提供便利,审计人员应采取以下策略:
第一,审查程序编码;核对源程序基本功能,测试可疑程序,如果是非法的源程序,就是被埋下了“逻辑炸弹”和“活动天窗”。除此之外,还应注意程序的设计逻辑和处理功能是否恰当、正确,以检查是否存在“截尾术”舞弊。
第二,进行程序的比较。将实际运行中的应用软件的目标代码或源程序代码与经过审计的相应的备份软件相比较,以确定是否有未经授权的程序改动。
第三,使用特殊数据进行测试。审计人员应采用模拟数据或真实数据测试被审系统,通过系统的处理来检查系统对实际业务中同类数据处理的正确性以及对错误数据的鉴别能力。审计人员要根据测试目的确定系统中必须包括的控制措施,检查其处理结果与预期结果是否一致。