项目审计信息化步骤

张丽雯

摘要：信息技术在各行各业的广泛应用，经济业务和信息系统的迅猛发展，对传统的审计理论和技术手段提出新的挑战。如何实现对信息化数据的有效分析，使各种各样的原始数据转化为对审计人员有用的信息，发挥计算机审计这一现代审计利器，已成为关注热点。本文从项目审计的计算机操作步骤入手，介绍计算机审计的一般流程及主要控制点。

关键词：审计 信息化 步骤

审计信息化是强化审计监督职能的必然要求，是实现审计事业跨越发展的必由之路。加强计算机技术的学习，利用计算机技术进行审计，是我们审计人员的当务之急。计算机审计的目标不是简单地将现场采集来的财务数据搬到计算机上以满足审计人员一般查询需求，而是借助系统或计算机工具软件进行信息化的“数据采集和分析的过程，”即通过采集数据的分析，评估审计对象的风险状况，为制订审计计划及审计方案提供支撑，进而揭示内控体系中的重大风险，为现场审计提供线索和方向，从而提高审计质量，降低审计风险。

计算机审计没有改变审计目标和基本原则，但改变了达到审计目标所应用的审计技术和方法。一般来说，审计专用软件很多，可以外购，也可以根据本单位持续自主研发，但是对于社会审计来说，一般以外购软件为主。外购的审计软件类型也多种多样，有鼎信诺、中普、用友、中审等，无论采取哪种方式，基本流程都是一样的，只是根据不同的审计对象（如企业性质、规模大小）、审计目标，审计程序会有所侧重。

计算机审计的一般流程：以被审计单位计算机信息系统和底层数据库原始数据为切入点，在对信息系统进行检查测评的基础上，通过对底层数据的采集、转换、清理、验证，形成审计中间表，运用查询分析、多维分析、数据挖掘等多种技术方法构建模型进行数据分析，发现趋势、异常和错误，把握总体、突出重点、收集审计证据，实现审计目标。在上述流程中，数据采集是基础，数据转换是步奏，数据分析是核心，确定风险领域是重点（内控测试），然后才实施实质性测试，完成工作底稿。社会审计与国家审计、内部审计的侧重点不同，各个事务所的客服对象也各不相同，基于成本效益原则，在基本流程中的各步骤中，有的用不到，如，审计软件自动生成附注；有的必不可少，如数据验证与分析。下列阐述一般信息化审计步骤的风险控制点：

一、数据采集

这是计算机数据审计的前提和基础，审计人员在对被审计单位进行审计调查的基础上有针对性地有选择性采集所需要的数据，即选择的数据应满足审计方案的要求，同时了解被审计单位信息系统及其业务流程。这一步骤可以提前做：即在外勤开始前向被审计单位信息技术部门提出采集数据的申请，及时介入审计项目，提前导入、转换被审计单位的电子数据，然后将所获的数据信息和审计思路进行融合与加载，寻找计算机审计的切入点和衔接点，在现场审计实施前就可以把整个资料都掌握住。

一般操作方法：直接读取和复制、采集备份文件、通过数据借口采集等。在采用审计软件时，可以使用应用软件生成数据备份或直接在数据库系统中生成数据备份，以备份的方式采集数据。

关键控制点：采集的数据进行验证。为保证电子数据的真实完整性，验证环节必不可少，社会审计主要是对借贷平衡验证、账表相符验证、凭证号的唯一性和连续性验证、余额方向异常检查。理论上，数据验证的技术和方法多种多样，分别为关系模型完整性约束的验证、数据总量和主要变量统计指标的验证、业务规则的验证、统计抽样方法的验证。实践中，常用的是完整性约束的验证，直接的做法是核对科目余额表与报表，数据是否表表相符，若是不相符，可能存在调节事项或完整性问题。只有相符了才能进行下一步骤操作。

二、数据分析

在进行数据分析时，应关注数据的可靠性和可用性。因为大多数公司的财务报告由it系统产生，公司对电子数据、文件和处理过程有很多依赖。IT对于财务报告方面的内部控制会产生影响。Erp系统将业务和财务紧密结合在一起，萨版师法案要求：系统必须经过评估。大多数审计人员都不是信息化专家，还停留在操作和使用阶段，如果被审计单位本身是软件开发企业，使用的财务软件就是客户自己开发的，他们有能力进入系统后台操作，而审计人员只能在前台操作，这种环境下的风险系数很高。审计人员可以通过连续的数据分析查看异常，如用结构分析法、趋势分析法和比率分析法构建系统分析模型，建立资产负责损益分析模型、财务业务指标分析模型等，对比分析各项目结构比例的发展变化趋势，关注指标异动趋势，发现审计重点。

三、风险评估

审计风险评估部分的主要内容包括初步业务活动，调查了解阶段的问卷、业务层面的循环分配、进一步审计程序中的控制测试、以及最后通过整个风险评估的过程来决定在实际审计过程中所要进行的工作。对于外购的审计软件来说，风险评估是有具体的模板参照的，可以根据每个调查阶段生成不同阶段的审计风险评估的调查底稿，在每个阶段的底稿中只需要按照所需要到内容填写，或者选择就可以了。如中普审计软件，在初始化设置中→系统参数设置→审计风险评估用EXCEL方式，把勾打上就可以了。风险评估步骤是将审计信息化与内控测试结合起来的一个程序，可以看成是符合性测试过程。

四、实质性测试

外购审计软件系统内置的几套工作底稿可以任意选择，实质性测试时先进行抽凭，账龄分析，发函证等步骤，然后再进行实质性测试底稿的生成。因为：底稿模板中是有取数公式的，如果不做好之前的准备工作会取不到数。例如：如果不进行抽凭的话，底稿中的检查表也就取不到内容；如果不进行账龄分析的话，往来科目（如应收、应付等）的底稿也是没有数字的。也就是说，在使用过程中，一般不要急于生成工作底稿，因为生成工作底稿只不过是个很短暂的取数过程。生成底稿的过程远远重于底稿生成本身。

上述是项目审计信息化的基本步骤，但是审计信息化包含的面是很广的，除项目审计的信息化外，还应涵盖审计管理的信息化及审计队伍的信息化建设。

审计署在计算机审计中级培训中对计算机审计骨干的要求有几点：能打开审计单位数据库；审计人员能够转换审计单位数据；能够使用审计软件进行分析及查询；能在审计现场搭建临时网络；能够排除常见的软硬件故障。这些要求仅是对审计项目信息化而言，对于规模大小不一、良莠不齐的会计师事务所来说，全面实现信息化建设的道路任重而道远，这只是个起步而已。

参考文献：

[1]审计署计算机审计中级培训大纲2013版

[2]北京中普审业软件有限公司开发的中普审计软件操作说明endprint

摘要：信息技术在各行各业的广泛应用，经济业务和信息系统的迅猛发展，对传统的审计理论和技术手段提出新的挑战。如何实现对信息化数据的有效分析，使各种各样的原始数据转化为对审计人员有用的信息，发挥计算机审计这一现代审计利器，已成为关注热点。本文从项目审计的计算机操作步骤入手，介绍计算机审计的一般流程及主要控制点。

关键词：审计 信息化 步骤

审计信息化是强化审计监督职能的必然要求，是实现审计事业跨越发展的必由之路。加强计算机技术的学习，利用计算机技术进行审计，是我们审计人员的当务之急。计算机审计的目标不是简单地将现场采集来的财务数据搬到计算机上以满足审计人员一般查询需求，而是借助系统或计算机工具软件进行信息化的“数据采集和分析的过程，”即通过采集数据的分析，评估审计对象的风险状况，为制订审计计划及审计方案提供支撑，进而揭示内控体系中的重大风险，为现场审计提供线索和方向，从而提高审计质量，降低审计风险。

计算机审计没有改变审计目标和基本原则，但改变了达到审计目标所应用的审计技术和方法。一般来说，审计专用软件很多，可以外购，也可以根据本单位持续自主研发，但是对于社会审计来说，一般以外购软件为主。外购的审计软件类型也多种多样，有鼎信诺、中普、用友、中审等，无论采取哪种方式，基本流程都是一样的，只是根据不同的审计对象（如企业性质、规模大小）、审计目标，审计程序会有所侧重。

计算机审计的一般流程：以被审计单位计算机信息系统和底层数据库原始数据为切入点，在对信息系统进行检查测评的基础上，通过对底层数据的采集、转换、清理、验证，形成审计中间表，运用查询分析、多维分析、数据挖掘等多种技术方法构建模型进行数据分析，发现趋势、异常和错误，把握总体、突出重点、收集审计证据，实现审计目标。在上述流程中，数据采集是基础，数据转换是步奏，数据分析是核心，确定风险领域是重点（内控测试），然后才实施实质性测试，完成工作底稿。社会审计与国家审计、内部审计的侧重点不同，各个事务所的客服对象也各不相同，基于成本效益原则，在基本流程中的各步骤中，有的用不到，如，审计软件自动生成附注；有的必不可少，如数据验证与分析。下列阐述一般信息化审计步骤的风险控制点：

一、数据采集

这是计算机数据审计的前提和基础，审计人员在对被审计单位进行审计调查的基础上有针对性地有选择性采集所需要的数据，即选择的数据应满足审计方案的要求，同时了解被审计单位信息系统及其业务流程。这一步骤可以提前做：即在外勤开始前向被审计单位信息技术部门提出采集数据的申请，及时介入审计项目，提前导入、转换被审计单位的电子数据，然后将所获的数据信息和审计思路进行融合与加载，寻找计算机审计的切入点和衔接点，在现场审计实施前就可以把整个资料都掌握住。

一般操作方法：直接读取和复制、采集备份文件、通过数据借口采集等。在采用审计软件时，可以使用应用软件生成数据备份或直接在数据库系统中生成数据备份，以备份的方式采集数据。

关键控制点：采集的数据进行验证。为保证电子数据的真实完整性，验证环节必不可少，社会审计主要是对借贷平衡验证、账表相符验证、凭证号的唯一性和连续性验证、余额方向异常检查。理论上，数据验证的技术和方法多种多样，分别为关系模型完整性约束的验证、数据总量和主要变量统计指标的验证、业务规则的验证、统计抽样方法的验证。实践中，常用的是完整性约束的验证，直接的做法是核对科目余额表与报表，数据是否表表相符，若是不相符，可能存在调节事项或完整性问题。只有相符了才能进行下一步骤操作。

二、数据分析

在进行数据分析时，应关注数据的可靠性和可用性。因为大多数公司的财务报告由it系统产生，公司对电子数据、文件和处理过程有很多依赖。IT对于财务报告方面的内部控制会产生影响。Erp系统将业务和财务紧密结合在一起，萨版师法案要求：系统必须经过评估。大多数审计人员都不是信息化专家，还停留在操作和使用阶段，如果被审计单位本身是软件开发企业，使用的财务软件就是客户自己开发的，他们有能力进入系统后台操作，而审计人员只能在前台操作，这种环境下的风险系数很高。审计人员可以通过连续的数据分析查看异常，如用结构分析法、趋势分析法和比率分析法构建系统分析模型，建立资产负责损益分析模型、财务业务指标分析模型等，对比分析各项目结构比例的发展变化趋势，关注指标异动趋势，发现审计重点。

三、风险评估

审计风险评估部分的主要内容包括初步业务活动，调查了解阶段的问卷、业务层面的循环分配、进一步审计程序中的控制测试、以及最后通过整个风险评估的过程来决定在实际审计过程中所要进行的工作。对于外购的审计软件来说，风险评估是有具体的模板参照的，可以根据每个调查阶段生成不同阶段的审计风险评估的调查底稿，在每个阶段的底稿中只需要按照所需要到内容填写，或者选择就可以了。如中普审计软件，在初始化设置中→系统参数设置→审计风险评估用EXCEL方式，把勾打上就可以了。风险评估步骤是将审计信息化与内控测试结合起来的一个程序，可以看成是符合性测试过程。

四、实质性测试

外购审计软件系统内置的几套工作底稿可以任意选择，实质性测试时先进行抽凭，账龄分析，发函证等步骤，然后再进行实质性测试底稿的生成。因为：底稿模板中是有取数公式的，如果不做好之前的准备工作会取不到数。例如：如果不进行抽凭的话，底稿中的检查表也就取不到内容；如果不进行账龄分析的话，往来科目（如应收、应付等）的底稿也是没有数字的。也就是说，在使用过程中，一般不要急于生成工作底稿，因为生成工作底稿只不过是个很短暂的取数过程。生成底稿的过程远远重于底稿生成本身。

上述是项目审计信息化的基本步骤，但是审计信息化包含的面是很广的，除项目审计的信息化外，还应涵盖审计管理的信息化及审计队伍的信息化建设。

审计署在计算机审计中级培训中对计算机审计骨干的要求有几点：能打开审计单位数据库；审计人员能够转换审计单位数据；能够使用审计软件进行分析及查询；能在审计现场搭建临时网络；能够排除常见的软硬件故障。这些要求仅是对审计项目信息化而言，对于规模大小不一、良莠不齐的会计师事务所来说，全面实现信息化建设的道路任重而道远，这只是个起步而已。

参考文献：

[1]审计署计算机审计中级培训大纲2013版

[2]北京中普审业软件有限公司开发的中普审计软件操作说明endprint

摘要：信息技术在各行各业的广泛应用，经济业务和信息系统的迅猛发展，对传统的审计理论和技术手段提出新的挑战。如何实现对信息化数据的有效分析，使各种各样的原始数据转化为对审计人员有用的信息，发挥计算机审计这一现代审计利器，已成为关注热点。本文从项目审计的计算机操作步骤入手，介绍计算机审计的一般流程及主要控制点。

关键词：审计 信息化 步骤

审计信息化是强化审计监督职能的必然要求，是实现审计事业跨越发展的必由之路。加强计算机技术的学习，利用计算机技术进行审计，是我们审计人员的当务之急。计算机审计的目标不是简单地将现场采集来的财务数据搬到计算机上以满足审计人员一般查询需求，而是借助系统或计算机工具软件进行信息化的“数据采集和分析的过程，”即通过采集数据的分析，评估审计对象的风险状况，为制订审计计划及审计方案提供支撑，进而揭示内控体系中的重大风险，为现场审计提供线索和方向，从而提高审计质量，降低审计风险。

计算机审计没有改变审计目标和基本原则，但改变了达到审计目标所应用的审计技术和方法。一般来说，审计专用软件很多，可以外购，也可以根据本单位持续自主研发，但是对于社会审计来说，一般以外购软件为主。外购的审计软件类型也多种多样，有鼎信诺、中普、用友、中审等，无论采取哪种方式，基本流程都是一样的，只是根据不同的审计对象（如企业性质、规模大小）、审计目标，审计程序会有所侧重。

计算机审计的一般流程：以被审计单位计算机信息系统和底层数据库原始数据为切入点，在对信息系统进行检查测评的基础上，通过对底层数据的采集、转换、清理、验证，形成审计中间表，运用查询分析、多维分析、数据挖掘等多种技术方法构建模型进行数据分析，发现趋势、异常和错误，把握总体、突出重点、收集审计证据，实现审计目标。在上述流程中，数据采集是基础，数据转换是步奏，数据分析是核心，确定风险领域是重点（内控测试），然后才实施实质性测试，完成工作底稿。社会审计与国家审计、内部审计的侧重点不同，各个事务所的客服对象也各不相同，基于成本效益原则，在基本流程中的各步骤中，有的用不到，如，审计软件自动生成附注；有的必不可少，如数据验证与分析。下列阐述一般信息化审计步骤的风险控制点：

一、数据采集

这是计算机数据审计的前提和基础，审计人员在对被审计单位进行审计调查的基础上有针对性地有选择性采集所需要的数据，即选择的数据应满足审计方案的要求，同时了解被审计单位信息系统及其业务流程。这一步骤可以提前做：即在外勤开始前向被审计单位信息技术部门提出采集数据的申请，及时介入审计项目，提前导入、转换被审计单位的电子数据，然后将所获的数据信息和审计思路进行融合与加载，寻找计算机审计的切入点和衔接点，在现场审计实施前就可以把整个资料都掌握住。

一般操作方法：直接读取和复制、采集备份文件、通过数据借口采集等。在采用审计软件时，可以使用应用软件生成数据备份或直接在数据库系统中生成数据备份，以备份的方式采集数据。

关键控制点：采集的数据进行验证。为保证电子数据的真实完整性，验证环节必不可少，社会审计主要是对借贷平衡验证、账表相符验证、凭证号的唯一性和连续性验证、余额方向异常检查。理论上，数据验证的技术和方法多种多样，分别为关系模型完整性约束的验证、数据总量和主要变量统计指标的验证、业务规则的验证、统计抽样方法的验证。实践中，常用的是完整性约束的验证，直接的做法是核对科目余额表与报表，数据是否表表相符，若是不相符，可能存在调节事项或完整性问题。只有相符了才能进行下一步骤操作。

二、数据分析

在进行数据分析时，应关注数据的可靠性和可用性。因为大多数公司的财务报告由it系统产生，公司对电子数据、文件和处理过程有很多依赖。IT对于财务报告方面的内部控制会产生影响。Erp系统将业务和财务紧密结合在一起，萨版师法案要求：系统必须经过评估。大多数审计人员都不是信息化专家，还停留在操作和使用阶段，如果被审计单位本身是软件开发企业，使用的财务软件就是客户自己开发的，他们有能力进入系统后台操作，而审计人员只能在前台操作，这种环境下的风险系数很高。审计人员可以通过连续的数据分析查看异常，如用结构分析法、趋势分析法和比率分析法构建系统分析模型，建立资产负责损益分析模型、财务业务指标分析模型等，对比分析各项目结构比例的发展变化趋势，关注指标异动趋势，发现审计重点。

三、风险评估

审计风险评估部分的主要内容包括初步业务活动，调查了解阶段的问卷、业务层面的循环分配、进一步审计程序中的控制测试、以及最后通过整个风险评估的过程来决定在实际审计过程中所要进行的工作。对于外购的审计软件来说，风险评估是有具体的模板参照的，可以根据每个调查阶段生成不同阶段的审计风险评估的调查底稿，在每个阶段的底稿中只需要按照所需要到内容填写，或者选择就可以了。如中普审计软件，在初始化设置中→系统参数设置→审计风险评估用EXCEL方式，把勾打上就可以了。风险评估步骤是将审计信息化与内控测试结合起来的一个程序，可以看成是符合性测试过程。

四、实质性测试

外购审计软件系统内置的几套工作底稿可以任意选择，实质性测试时先进行抽凭，账龄分析，发函证等步骤，然后再进行实质性测试底稿的生成。因为：底稿模板中是有取数公式的，如果不做好之前的准备工作会取不到数。例如：如果不进行抽凭的话，底稿中的检查表也就取不到内容；如果不进行账龄分析的话，往来科目（如应收、应付等）的底稿也是没有数字的。也就是说，在使用过程中，一般不要急于生成工作底稿，因为生成工作底稿只不过是个很短暂的取数过程。生成底稿的过程远远重于底稿生成本身。

上述是项目审计信息化的基本步骤，但是审计信息化包含的面是很广的，除项目审计的信息化外，还应涵盖审计管理的信息化及审计队伍的信息化建设。

审计署在计算机审计中级培训中对计算机审计骨干的要求有几点：能打开审计单位数据库；审计人员能够转换审计单位数据；能够使用审计软件进行分析及查询；能在审计现场搭建临时网络；能够排除常见的软硬件故障。这些要求仅是对审计项目信息化而言，对于规模大小不一、良莠不齐的会计师事务所来说，全面实现信息化建设的道路任重而道远，这只是个起步而已。

参考文献：

[1]审计署计算机审计中级培训大纲2013版

[2]北京中普审业软件有限公司开发的中普审计软件操作说明endprint