电算化审计的几个概念

　　一、审计概念的拓展

　　国家审计署曾经给审计下过一个简明的定义：“审计是独立检查会计账目，监督财政财务收支真实、合法、效益的行为”。《注册会计师法》关于会计事务所从事审计业务的内容确定为两条：审查企业会计报表，验证企业资本。国内许多审计教材对审计的定义是：由独立的专门机构或人员接受委托或根据授权，对国家行政、事业单位及其他经济组织的会计报表和其他资料及其所反映的经济活动，进行审查并发表意见。按照这种说法，审计的工作对象都是与记载财政财务收支及其相关经济活动的载体———账目、资料有关系的。

　　但是信息技术的飞速发展已经给审计领域带来了巨大的冲击。一方面，由于会计电算化的普及、ERP的应用，账簿、资料不再仅仅是纸质的。信息化条件下，审计人员如果仅仅对计算机、财务软件中保存运行的数据进行计算、核对，而没有能力对处理财政财务业务的信息系统进行审查，很可能形成信息化条件下的“假账真查”。另一方面，信息化是有风险的。信息系统规模越大，功能越复杂，风险也就越大。我国在信息化推进的过程中，也普遍存在着规划制定不够深思熟虑，项目管理不够严格，系统运行效益不够明显而造成资源浪费等现象。对信息系统进行严格规范的检测、控制与评估势在必行。传统审计概念的对象显然已经不能满足当前人们对审计的要求。

　　鉴于此，笔者认为审计应定义为：审计是指由有胜任能力的独立机构或人员，客观地获取并评价与经济活动及事项的认定相关的证据，对这些认定与已建立的标准之间的一致性程度作出评价，并将评价结果传递给相关使用者的系统过程。这一定义首先对把审计检查的范围确定为“与经济活动及事项的认定相关的”证据“，既跳出了”会计账目“、”资料“的束缚，又轻松地将”会计账目“、”资料“收入囊中。其次，审计判断标准确定为”与已建立的标准之间的一致性程度“，同样既包括”真实、合法、效益“，而又不仅限于此。

　　二、审计的分类

　　1.审计按目标和内容的不同可分为：（1）财务报表审计。它是指审计人员对被审计单位的会计报表的合法性、公允性、一贯性发表审计意见的过程。（2）合法性与合规性审计。指对一个单位的某些财务或经营活动收集并评价证据，以确定是否按照特定的标准来执行的过程。（3）经营审计。是检查一个企业或组织经营的程序和方法以确定其经营效率、效果和经济性的过程。（4）信息系统审计（IT审计）。它是指为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导提出问题与建议的一系列活动。

　　2.审计按使用工具的不同可分为：（1）手工审计。使用传统的运算工具如算盘、计算器等进行。（2）计算机辅助审计。利用不断更新换代的电子计算机进行审计。

　　三、计算机审计与电算化审计

　　计算机审计的概念在国际上起源于20世纪六十年代，是信息系统审计的前身。它主要指对计算机的性能和效益进行检测和评估。随着网络环境下信息系统的蓬勃发展，使用“信息系统审计”这一概念更为恰当。目前许多人使用的“计算机审计”这一概念其实是电算化审计的含义。笔者认为由于计算机审计字面范围模糊，不宜再被使用。

　　电算化审计是审计概念按目标和内容进行分类与按使用工具进行分类的结合，它包含两层含义：（1）以计算机作为审计工具，帮助审计人员完成部分审计工作，即计算机辅助审计。（2）以电算化信息系统为审计对象的财务报表审计、合法性与合规性审计和经营审计。为了更好地实施会计信息系统环境下的审计工作，电算化审计应覆盖会计信息系统从计划、分析、设计、编程、测试、运行、维护到系统报废为止的全生命周期的各种业务。

　　四、电算化审计与信息系统审计

　　现代审计已经发展成为制度基础审计模式。由于会计信息系统的广泛使用，以及网络会计的出现，财务报表审计、合法性与合规性审计和经营审计的审计人员通常要执行信息系统审计中的部分工作，或邀请信息系统审计师协助完成内部控制制度的评价。这造成了一些人对电算化审计与信息系统审计的混淆，甚至认为电算化审计与信息系统审计是同一概念，执行相同的审计程序。其实二者是有显著区别的：

　　1.电算化审计涵盖审计工作的全过程，即包括计划阶段、实施审计阶段和审计完成阶段。在实施审计阶段中需要对被审单位内部控制的建立及遵守情况进行符合性测试，仅这部分内容与信息系统审计的内容有交叉。

　　2.虽然都需要对信息系统环境下内部控制的测试与评价，电算化审计与信息系统审计仍存在许多区别：

　　（1）目标不同。信息系统审计的目标为安全性、可靠性和有效性。而有效性这一目标在电算化审计中是不存在的。

　　（2）作用不同。电算化审计中对信息系统内部控制的测试和评估是为了决定实质性测试的时间、范围和程度，而信息系统审计对控制的评价是报告的一部分。

　　（3）范围不同。信息系统审计包含对潜在影响的评价。如针对火灾、洪水、暴风、地震等这类发生可能性很小的灾难性事件的控制与防范。这些有可能在将来对系统产生严重的后果，因此是控制评价不可缺少的部分。灾难恢复计划制定得如何也是信息系统审计的重要内容。但财务报表审计、合法性与合规性审计的这种鉴证服务，更多地是对已经发生的经济活动及遵循历史成本为计量原则的会计报表等资料的真实性、合法性给予认定。既然灾难性事件没有发生，内部控制的测试范围就不包含这些内容。

　　（4）职责与任务不同。信息系统审计的最后结果是以报告形式提交的，其中包括各改进事项、劝告以及重大、紧急改进等。信息系统审计师必须进行跟踪，促使这些改进实现。电算化财务报表审计只对被审计单位会计报表的合法性、公允性、一贯性发表审计意见，对内部控制的测试和评估是为了进行风险评价，进而决定实质性测试的范围。它并不单独提交相关报告，除有特殊约定，也不具有出具管理建议书的义务。相类似地，合法性与合规性审计也没有相关要求。

　　（5）审计准则不同。电算化审计中财务报表审计所依据的准则，是各国注册会计师协会针对信息技术发展而建立的一些电算化财务会计系统所需的程序和方法，合法性与合规性审计以相关规定为标准，经营审计尚无统一的标准。信息系统审计所依据的准则，是国际注册信息系统审计委员会（1SACA）颁布的一系列准则。我国有关信息系统审计的标准正在制定当中。这些准则不仅适用于电算化会计信息系统的审计中的某些工作，也适用于其他信息系统、网络系统的审计。

　　作者单位：同济大学经济与管理学院、九江学院会计学院、国家开发银行江苏省分行（责任编辑：禾 言）