资讯报名信息成绩查询考试大纲准 考 证课程:免费试听招生方案网校名师考生故事

指南报名条件报名时间考试时间考试科目复习试题中心每日一练考试用书考试论坛

首页>会计网校>注册会计师> 正文

财务信息系统及其审计方法

2004-6-3 13:16  【 】【打印】【我要纠错
  财务信息系统的发展

  财务信息系统(FIS)是指利用信息技术对财务信息及相关信息进行采集、存储、分析和报告,以支持组织的管理和决策。它是企业信息系统的有机组成部分,可分为三个发展阶段:

  1.面向事务处理,完成部门内的信息集成

  此阶段的系统平台为单机、文件服务器或数据库服务器的局域网。

  FIS只采集那些影响企业资产、负债或所有者权益的价值信息,数据来源单一,可实现会计核算的自动化、会计报表的自动生成,完成事后分析及辅助决策。但FIS未收集对决策有用的非价值信息,如市场、竞争对手、上下游企业、机器设备的性能等,无法进行有效的事前控制。

  2.面向系统,完成企业内的过程集成

  此阶段的系统平台为覆盖整个企业C/S结构的局域网系统。以ERP软件为代表,采用事件(业务)驱动方式,财务信息的采集、存储、处理、传输嵌入在业务处理模块中,业务发生时即可实时采集详尽的业务及财务数据,执行控制与处理,使FIS与业务系统融为一体。所采集数据以原始、未经处理的方式存放;数据库中大部分记录是记录业务事件的个体特征和属性。ERP系统突破了“资产=负债+所有者权益”的管理模式,不以编制财务报表为主要目的,而是面向业务流程(过程),致力于集成整个企业的数据和信息流,实现各应用模块间的协同工作,提高效率和控制水平。此阶段的FIS已转化为MIS中的一个子系统,财务部门已从被动地依赖各业务部门反映财务管理所需的业务数据,转向与业务部门紧密结合,主动地在业务发生时获取详细信息,执行事中控制。

  3.面向决策,完成企业间的过程集成

  此阶段的系统平台采用B/S网络结构,实现企业间FIS的互联;利用数据仓库、OLAP、数据挖掘技术,建立综合决策支持系统;传统的ERP厂商在提供软件的同时,还会为客户提供e-business平台。特点:企业借助互联网将自身业务系统与供应商、客户联系起来,实现电子商务。由于建立起完整的价值链,企业能迅速了解市场变化,真正做到了对业务的事前(计划)、事中(执行)、事后(分析)的全程控制;具备动态建模能力,能灵活地定义和维护业务流程、业务对象和软件组件的映射关系,支持业务流程的持续改进。

  IT环境下的财务控制不只是控制财务风险,而是重点控制各种业务过程风险与信息过程风险,重视财务部门与各个业务部门之间的合作。具体来讲,有以下三个方面:

  1.业务过程风险

  业务过程风险指向客户提供商品和劳务过程中出现意外的风险。包括:(1)可控风险。例如,确认的业务活动发生时间和次序有错误;业务活动的发生未经适当的授权;业务活动引入了错误的参与者等。(2)不可控风险。例如,地震、火灾、飓风等不可抗力的出现。

  2.信息过程风险

  信息过程风险指信息的记录、维护和报告出现意外的可能性,均为可控风险。包括:(1)记录风险。记录的业务数据不合法(伪造业务数据)、不完整(遗漏了经济活动的关键特征)和不准确。(2)维护风险。已存储的业务数据不能及时反映业务活动的最新变化(如参与者、运作方式的变更)。(3)报告风险。数据分层与提炼的方式不恰当,无法满足管理会计的需求;信息的使用未经授权,报告提供给了不恰当的人。

  3.监督风险

  IT环境下,财务部门的很多核算工作,包括原始数据的录入、修改均在业务端进行,财务部与各业务部门间的协调、对业务之操作权限、操作流水的动态监控就显得尤为重要。

  财务信息系统的审计方法

  电子商务时代,并行(在线)审计方法变得越来越重要。它为审计师提供了能持续监控系统运行可靠性、在无纸化环境中能实时采集审计证据的方法。对FIS的审计主要有以下两种方法:

  1.系统控制审计复核文件和嵌入审计模块(System Control Audit Review File and Embedded Audit Modules, SCARF/EAM)

  该方法是指在系统软件或应用软件中嵌入审计模块,系统在进行业务处理时,同时按指定要求采集审计证据,采集到的审计证据可直接打印输出或存储在专门的审计文件中,供事后查看。

  2.综合测试(Integrated Test Facilities, ITF)

  在被审单位的应用系统中建立一个虚拟实体,如一笔虚拟的销售合同、存货购入或证券投资,并为该实体编制测试数据,将测试数据与正常生产数据一同输入应用系统。应用系统有专门识别处理测试数据的程序,通过把应用系统对测试数据的处理结果与独立计算出的测试数据结果相比较,可评价应用系统的控制与处理逻辑是否适当与可靠。

  (1)如何编制测试数据

  方法一:将被审单位的一部分正常生产数据做上标记,作为测试数据。做标记可选用以下方法:①修改数据结构,在数据库中为每条记录增加一个字段,标识其既是正常生产数据又是测试数据,测试数据由审计师现场选定;②利用嵌入应用系统的审计模块或专门的抽样程序,对生产数据随机抽样。

  这种方法需要修改数据结构和应用程序,审计师难以独立完成。同时,生产数据中例外情况或接近临界值的数据较少,不能全面测试系统应用逻辑的各个分支。

  方法二:审计师自行设计测试数据,与生产数据一同输入系统。这种方法需要审计师全面了解应用系统的各种处理流程,才能设计出覆盖整体应用程序的测试数据。

  (2)综合测试法建立虚拟实体,向生产系统输入了冗余数据,如何消除这些数据对生产系统的影响?

  方法一:修改应用程序,使其进行财务处理时不将审计师自行设计的测试数据计算在内。但修改源程序会增加软件编程者在应用程序中嵌入非法代码的机会,也增加了源程序版本维护的工作量。

  方法二:审计师及时输入抵销分录。尽管不必修改源程序,但对会计科目的发生额仍有影响,不便于与相关科目的勾稽。

  财务信息系统审计中值得关注的几个问题

  1.要详细了解企业全部的业务活动及与之对应的信息处理过程

  通过了解这些情况,确定在信息系统中设置了哪些内部控制程序,捕捉能触发记录会计原始数据的关键点。以现行ERP系统为例:

  (1)采购部材料采购——关键控制点:录入采购定单并回车确认,系统自动生成分录:

  借:物资采购

  贷:应计负债

  (2)库房设备入库——关键控制点:取得采购发票,录入入库单并回车确认,系统自动生成分录:

  借:原材料

  贷:物资采购

  (3)商务中心确认应付账款——关键控制点:系统按入库单自动确认并生成分录:

  借:应计负债

  应交税金——应交增值税(进项税)

  贷:应付账款

  (4)财务部支付货款——关键控制点:会计依据采购发票录入转账支票号码并确认,系统自动生成分录:

  借:应付账款

  贷:银行存款/现金

  2.检查应用系统中每个职工的权限设置

  重点要检查业务人员的权限是否与其岗位相匹配,不相容职务是否已分离,如:数据库或系统管理员不能是系统的开发者;证券公司大客户管理员不应同时拥有资金柜的存取款权限;库房管理员不应拥有对进出存货记录的修改权。

  3.对原始业务信息实施源头控制

  (1)检查销售合同、采购发票、入库单等书面原始凭证上的信息是否与录入计算机内的数据完全一致,不仅要核对总金额,明细项的金额也必须完全一致。比如某企业按发出商品确认收入,而恰好某些销售订单又是跨期发货,如果录入计算机内的各明细商品价格与销售定单相应明细项价格存在差异,那么即使该笔定单计算机内录入的总金额与书面合同金额完全一致,也会引起收入确认的跨期。

  (2)区分核算会计与管理会计的数据源。IT技术的应用使企业采集、提炼的管理会计数据更丰富和全面,但审计师应注意检查信息系统进行会计核算的基础数据是否只源自最原始的会计数据而非经加工过的管理会计数据。

  4.关注业务处理中调整事项的审批与复核

  目前企业应用的ERP软件主要包括采购、库存、销售、应收、应付及总账管理等模块,各模块既有各自的独立功能又能相互关联。以ORACLE RDMS 8.0.5 version为例,如果企业按发货确认收入,那么在库存模块,一旦输入要出库设备的明细(包括型号、单价、数量)并执行出库确认命令,系统即自动按本次发货的总销价确认收入,开具系统发票,并按指定的成本结转方法计算出库设备的相应成本,以保证收入成本的配比。但ERP在固化业务流程的同时,也提供了一定功能的灵活性,如在应收模块,输入销售定单编号即可对已发货的订单进行收入的调整,但此时ERP系统不会自动与存货模块链接,也就是说不会自动结转与所调整收入金额相配比的成本。由于对应收模块的操作一般由业务部进行,如果财务部不对业务部实施有效监督,那么业务部只在应收模块手工调整的某笔收入,就会导致收入与成本的不配比。

  5.关注对信息资源的管理

  信息资源包括数据(库)、源程序、经编译的目标程序等,它们是系统正常运行的基础,需要特别关注:

  (1)如何系统源代码在被审期间经过修改,审计师应抽查程序库,检查现运行的目标程序版本是否与源程序版本一致。

  (2)如被审期间企业增添了新业务,审计师应关注其新业务系统的测试。测试应由财务部、相关业务部门主持,软件系统开发人员不应参与测试方案与测试数据的建立;除了测试自身模块的应用逻辑外,还应测试该模块与其他模块的衔接,关注增加新模块后系统的整体性测试,包括数据格式是否一致、参数属性(局部/全局)是否会改变等。

  (3)日常业务数据的维护。通信网络采用了何种数据加密技术,进而评价通信网络的可靠性;数据是否有异地备份,当不可抗力出现时,系统能否具备灾难恢复能力;审计师应要求拷贝客户的业务数据,以便检查客户为审计师提供数据是否经其高层授权审批,是否能保证信息资源只提供给恰当的人,判断客户提供的数据是否真实、完整,分析性复核客户的业务是否存在异常。