计算机审计范文

导语：如何才能写好一篇计算机审计，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

电子签章的审计技术

电子签章其实质内容不是传统纸张上的签名和盖章，而是一种特殊加密的数据。电子签章的基础是加密技术，在电子商务中最常用的电子签章加密技术有：

a）公开密钥的电子签字：将交易的数据文件的关键部分按特定的公开密钥加密。公开密钥是交易双方约定的公共密钥用于加密，且交易的双方都有一个解密密钥用于还原出原文。

B）摘要式的电子签字：与特定的电子文件捆绑在一起，对几个关键字段进行加密。

D）电子身份卡；证实一个用户的身份，交易双方都可不必为对方身份真伪担心，同时也作为对网络访问的权限。电子身份卡是由电子身份认证中心签发的符号文件，里面含一些不可修改的加密信息。

上述的a）和b）在现有的网络电子签章使用比较多，而另外两种也常用于审计。实际上，上述几种电子签章技术也都表现为电子数据，凡是电子数据就容易县制，为了保证电子交易关键数据和电子签章的真实性和可靠性，可采用如下几种审计技术：

1．摘要式实时鉴证技术。审计机构必须装备有先进的计算机网络设备系统，类似我国目前的房产交易不仅通过房产交易中心交易而且还需要公正机构认证，在网络上实时对客户电子签章的关键业务和关键数据进行采集，并存放在审计机构的计算机服务器上，同时根据这些采集的关键数据与电子商务系统相核对及其实施有关审计步骤，而后可实时或定期（按月份）签发电子鉴证证书。鉴证中心（如会计师事务所）是一个权威的公正的第三方（中介）机构也保存有交易的关键数据和有关的双方电子签章，类似于传统的会计师事务所的服务性企业机构。

2．实时备份数据技术。审计机构配备有高级的服务器，与电子商务网站联结，实时同步地记载电子商务交易的全部数据。需要鉴证电子签章时就可谓用审计机构记录的原始数据与之比较，综合其他的审计步骤的结果，即可形成审计意见。

3．关于电子身份卡的签证可直接利用签发此卡的认证中心的认证结果。

4．实时审计程序嵌入技术和插入控制字段技术。可参见下面的网络数据库审计技术。

审计鉴证机构不是做发放电子身份卡和电子支付鉴证的工作，而是对电子商务中的交易进行鉴证。然而，注册会计师可以利用电子签章技术（如用摘要式电子签字和电子邮戳的方法来加密鉴证的数据）来鉴定电子签章。电子商务交易业务的电子鉴证技术是实时的，也是一种由计算机网络技术应用导出的新审计业务，注册会计师必须应用计算机网络技术和专门计算机审计技术来完成这项工作。这些专门的计算机审计技术是不同于传统的，其方法是多种多样的，对它们的研究仍处于起步阶段，还未形成完整的体系。这里的介绍主要把电子签章看作一种特殊的网络数据来进行审计和鉴证，因此下面将要阐述的网络数据库计算机审计技术也可以适用于电子签章的鉴证。

电子商务交易网络数据库的审计技术

对电子商务的网络数据库或数据文件的审计技术主要是为确保数据的真实性和完整性的目的而创立的。计算机注册会计师可利用这些技术获取所需的审计证据，并对这些证据进行评价，从而判断数据是否真实、可靠、完备和合法合规。除了前面介绍的电子签意鉴证技术也可用干网络数据库的审计，下面简要介绍另外四种审计技术。

1．计算机抽样取证、计算比较、综合分析

计算机抽样取证，一般要先设计好条件或参数。譬如，对电子购销业务的审查，要审查的业务是赊销额大于5万元或售价低于正常售价的15％的销售业务；或要审查购入的原材料比标准价高出5％的业务等。这些业务的条件是根据需要而定，有时条件是相当复杂的。

计算机抽取业务记录后可直接由计算机程序自动计算金额数据项的合计额，并与标准或正常业务进行比较，反映出差异等必要的信息。这样注册会计师可做出判断，就可给被审计的电子商务系统提出及时的建议。

2．利用嵌入实时审计软件

用嵌入的程序采集的审计证据文件，一般分如下几种：不合法而进入使用有口令的程序（如数据修改程序）；未经批准而调用某数据文件；超权限使用系统；擅自调阅或修改审计线索数据项或审计证据文件。这项技术对于符合性测试是非常有效的，同时，在某些特殊的情况下也可用于实质测试。由于这种技术的应用，要求在系统设计时，就要把这一该嵌入审计程序块结合进去。这需要在电子商务软件设计标准中对这类审计线索生成的程序进行必要强制规范。

另外，嵌入实时审计程序技术也可用干电子签章的鉴证，其原理和用法是相同的。

3．网络数据实时备份技术

网络实时备份如同手工开具销售发票复写几份一样在不同计算机硬盘上同时记录业务发生的数据备份。而且这些备份数据中至少有一份是由审计鉴证机构保存以便保持其数据的真实性和可靠性，这种方法也是保留审计线索的一种重要手段之一。

许多企业的电子商务系统设计时考虑审计线索的备份技术利用都是不完全的。引起这种不完全的原因是多种的：一是系统设计时审计鉴证人员没有参与，而且没有考虑审计鉴证上的需要；二是要保存审计线索可能要花费更多的开发和运行费用。一般说来前者是主要的原因。这样审计技术的实施对这类业务处理很难提供一个切当而完整的审计线索。要保留这样的审计线索，强调企业电子商务系统开发设计阶段就应当把应保留的审计线索的实时备份技术充分融合到设计过程中。

4．专设审计控制字段

插入审计控制率段是指利用特殊的控制字段与被查的电子商务数据文件的记录或业务建立一种关系或将发生的业务的关键数据加密并加以存储，审计时根据这一特征就能容易收集到所需的审计证据。

一、文献分类及统计结果

迄今为止，只有少数几位学者对我国计算机审计研究加以回顾。陈伟等（2007）结合国内外的研究，对计算机辅助审计技术（GAATs）进行了总结性回顾，探讨了GAATs的概念和分类，详细分析了GAATs的两类技术，即面向系统的七种GAATs，和面向数据的五种GAATs，并对GAATs研究发展进行了展望。李青春（2011）对计算机审计进行了文献综述，从计算机审计研究变迁的视角出发，探索了其五个发展阶段，并对计算机审计理论体系、核心动力与制约因素，研究者的敏感度、心态变化与用词倾向进行了回顾，认为目前计算机审计研究正处于一种平台期，需要进行理论和实务的突破。刘国瑶（2011）从国外信息系统审计理论的发展，基础理论研究，基本概念研究，应用研究四个方面进行了梳理和简短评述。现有的文献综述主要问题是研究所选取的文献范围比较狭窄，选取标准“有代表性文献”比较模糊，没有对研究内容进行综述，这些不足为本文的研究提供了契机。

二、基本理论问题研究

三、计算机审计技术应用研究

（二）计算机审计内容与方法对于计算机审计内容，学者从不同的角度进行了讨论，杜越强（2004）探讨了计算机审计中的四大内容，即对信息系统输入的审计，对数据库的审计，对网络系统的审计，对信息系统输出的审计。张福蕊（2004）探讨计算机网络环境下会计信息系统审计的内容（硬件，控制事项，处理事项，数据，安全事项）。吴沁红（2008）从信息系统构成要素、信息系统生命周期和信息系统管理三个维度入手，综合分析了信息系统的逻辑结构，构造了信息系统审计内容的基本框架，并对信息系统审计的内容与审计目标进行了阐述。对于计算机审计的方法，李光凤（2001）讨论了对会计电算化系统应用程序的七种审计方法，包括检测数据法，整体检测法，程序编码比较法，受控处理法，平行模拟法，嵌入审计程序法，追踪法。杨莉（2002）探讨了实施信息系统审计的主要方法（加强联网建设，改变审计方式，采用矩阵审计模式等）。罗莉、张亚连（2005）分析了在不同的计算机信息系统建立方法下（应用软件外包法，资源外包法，最终用户开发法），如何进行内部审计和外部审计的分工协作，从而保证信息系统的效率性，安全性，合法性。

四、计算机审计风险问题分析

（一）计算机审计的成因、防范与控制马万民（1999）针对计算机会计信息系统的特点，分析了审计工作中可能会遇到的五种风险（系统风险，错误的连续性风险，人员操作风险，管理风险，环境风险），并对如何有效防范会计信息系统的审计风险进行了探讨。蒋家斌（2001）、曾俊等（2002）、王奇杰（2004）探讨了计算机审计的几种风险（审计软件、人员操作、财务数据、管理、固有风险、控制风险、检查风险）与防范措施（加强人员培训、内部控制审计等）。黄作明（2003）分析了远程计算机审计的风险，并提出了远程计算机审计的风险防范与控制措施。冯淑霞（2006）对计算机审计风险的形成原因做了具体分析，并从审计数据，审计方法与技术，审计方式、被审单位、评述机制等方面提出了控制计算机审计风险的对策。史振生（2008）基于外部监管及信息系统审计视角，探讨了会计信息系统建设中的风险控制与防范措施。

（二）风险量化问题黄冰等（2007）在科学地分析影响计算机审计风险的主要因素的基础上，建立了计算机审计风险综合评价指标体系，并且将定性指标定量化，进而利用层次分析法确定评价指标的权重。然后，利用模糊数学的方法，建立计算机审计风险的多层次模糊综合评价模型。王万军（2008）提出了一种基于信息系统安全定量评分体系的审计决策模型，这为信息系统审计师在审计时采取何种审计策略提供了参考。丁建平（2009）提出了信息系统审计的CIA风险评估方法和评估模型，并探讨了CIA风险评估商业银行中的应用。

（三）风险理论胡晓明（2007）探讨了风险导向的信息系统审计，并提出了强化信息系统审计理论，建立完善信息系统审计各项规则，充分利用先进，有效的信息系统审计技术，积极培养信息系统审计领军人才等四点关于风险导向信息系统审计的发展思路。刘国城、王会金（2011）在研究中观审计、信息系统审计、审计风险、风险管理四要素的基础上，对中观信息系统审计风险管理理论进行了梳理，并以信息安全管理为视角，借鉴国外BS7799标准、COBIT模型、通用准则CC、ITIL标准，初步构建了中观信息系统审计风险管理框架，该框架以重大错报风险为切入点，深入探索了中观信息系统审计风险管理的施行思路。

五、计算机审计发展研究

（一）发展问题张金城（2000）提出了理论研究与实践并重、事前审计与事后审计相结合，由绕过计算机审计发展为以通过计算机审计为主，由查账型软件向分析型和专家系统方向发展，通用审计软件与专用审计软件并存等21世纪中国计算机审计的十大发展方向。于向辉等（2004）分析了我国计算机审计发展落后的法规建设滞后，软件市场不够完善等原因，提出了加快法规建设，发展审计专业软件公司，培养电算化审计人才的发展策略。胡晓明（2005）针对信息系统审计理论研究空白，审计技术落后，制度不完备，审计人才奇缺等现状，探讨了加强信息系统审计理论研究，开发实用高效的信息系统审计软件，改进信息系统审计软件评审机制，完善信息系统审计标准于准则，加大信息系统审计人才的培养力度等五大发展战略。

（二）人才培养探讨傅元略（1998）探讨了审计人员如何提高计算机审计技能的策略，需要掌握的几种基本技能。李丹（2001）建议了如何利用国际资源建立信息系统审计人才队伍。史振生（2002）介绍了注册信息系统审计师的需求情况，考试内容和应试对策。彭建平（2005）比较深入地分析了如何进行计算机审计人才资源管理的问题。包括计算机审计机构职能定位，计算机审计处人员结构，如何引进IT人才和培养复合型人才，如何为计算机审计人才创建发展平台等。赵辉（2006）探讨了审计部门的计算机人才状况，提出了如何加强管理和培训、提升审计人员能力的若干建议。王海洪（2009）提出了高校应推进实践教学，建设以计算机审计为主要手段的审计实验室，为社会输送高水平的计算机审计人才的建议。

（三）其他方面高浩玮（2002）针对审计过程各阶段质量质量控制的要点，指出了计算机审计下项目质量控制的难点并提出了解决对策。张倩（2005）论述了信息系统审计在IT治理中的作用、信息系统审计师和审计构架等问题。陈峰（2006）对计算机审计方式下数据分析报告的作用和必要性，基本框架，文档结构，要素内容等进行了详细探讨。

关键词：计算机审计审计事业信息化

一、引言

简单来说，计算机审计就是指一种以计算机为先进的审计工具来执行经济监督、鉴定和评价职能的审计方式，与传统手工审计一样，计算机审计过程也可分为四个阶段：接受业务、编制审计计划、实施审计和报告审计结果；其中重点是计算机审计实施阶段，包括计算机信息系统的内部控制评价和对计算机系统所产生的会计数据（信息）进行测评。一方面，实施计算机审计是适应会计电算化发展要求的具体举措，利用计算机审计技术能够在一定程度有效地降低会计电算化给审计环境带来的风险，降低审计过程复杂度，防止违规操作行为的发生。另一方面，随着网络和电子商务的不断发展，传统的审计手段和审计线索早已不能满足现实需要，几乎所有的单据和凭证都是以电磁形式存在于虚拟的网络上，使得审计人员必须要通过相应的计算机审计技术和手段才能更好地完成审计工作。

二、计算机审计存在的主要问题

1、相应的理论和审计标准尚不完善

2、计算机审计软件发展还不成熟

3、计算机审计人才不足

当前我国在计算机审计人才培养方面是严重滞后的，这在很大程度已经严重影响了计算机审计工作的正常开展和长远发展。首先是高校在这方面人才的培养上针对性不强，虽然有些高校开设了计算机审计课程，但是大多停留在理论教学层面，缺乏对学生实践动手操作能力的培养，使得学生对实际的审计流程没有一个清晰的认识；其次在国家审计系统中我国已经形成了一批计算机审计骨干队伍，但是在注册会计师审计方面在存在比较严重的资金投入缺乏、人才培养淡薄的问题，其中各种软硬件设施建设不到位、资金投入跟不上是主要原因，这些因素都在一定程度上限制了计算机审计在注册会计师审计领域的发展和应用。

三、做好计算机审计工作提出了几点对策和建议

1、完善审计标准和工作流程

2、大力研发计算机审计软件

在计算机审计软件的研发过程中，要求软件开发人员要深入到计算机审计工作一线，加强与软件使用者的沟通和交流，保证软件的实用性和有效性。重点是要制定出统一的财务数据接口，提高数据采集和转换的效率，为此应该加强对财会软件市场的监管力度，要求市场上的财会软件在开发过程中必须满足相应的数据接口标准和规范，以便更好地作用于审计软件的推广和应用工作。

3、加强计算机审计人才的培养

四、结论

需要说明的是，计算机审计不仅仅是一种技术手段和工作方式上的创新，更重要的是一种审计观念上的革新。计算机审计工作从业人员必须首先从思想上转变认识，切实消除那些传统的落后的审计理念，提高对计算机审计工作流程和标准规范的认识和理解，以便更好地完成好本职工作。另外，计算机审计在我国尚处在一个发展上升时期，要注意在实际工作中积累经验，发现问题，解决问题，使我国的计算机审计事业在发展中不断得到完善和提高。

参考文献：

[1]陈淑芳.审计机关开展计算机审计存在的问题及对策[J].财会月刊，2007，（27）.

关键词：计算机审计;县级审计机关;困难;对策

中图分类号：F239文献标识码：A

收录日期：2014年11月18日

从广义上来看，计算机审计是在信息技术环境下发展的审计技术方法的总称;从狭义上来看，计算机审计可以包括对计算机产生的电子数据的审计以及对信息系统本身的审计。简单的来说，就是审计人员在审计实施过程和审计管理中，利用计算机技术、手段辅助完成审计工作。随着信息技术和经济形势的发展，计算机审计在审计工作中越来越具有重要意义。

一、计算机审计的重要意义

（一）计算机审计是审计事业发展的必然要求。随着信息化技术的发展，大部分被审计单位已采用财务软件做账，基本全面实行会计电算化。审计单纯采取传统的手工审计方法已不能适应时代的发展要求。被审计单位已经从手工做账变革到了采用诸多的财务软件做账，大部分的数据资料都存储在在磁盘、光盘中，只有通过计算机才能读取，肉眼无法识别，审计也就应当从传统的手工审计方法演变为计算机审计。

（二）计算机审计是提高审计效率的有效途径。随着经济社会迅速发展，被审计单位经济业务的增多，审计项目的逐年增加，县级审计机关的工作任务也成倍增长，然而大部分县级机关人员不足，人少事多的矛盾越来越加深。审计任务不能少，审计监督不能缺，要想做到兼顾全局，就只有利用计算机审计，提高工作效率。

（三）计算机审计是审计作业规范化的有力保障。目前，在国家审计系统中广泛运用审计署开发的一种名叫“现场审计实施系统”，也被称为审计师办公室，英文名称AuditorOffice（简称“AO”）的审计软件。这个软件是金审工程建设的重大成果，是国家审计信息系统的重要组成部分，是审计人员开展计算机审计、强化审计项目管理、实现审计信息共享的重要系统。审计人员可以在这个系统中完成整个审计工作，包括建立审计项目、数据导入、数据分析、审计疑点、审计底稿、审计报告等。在“AO”中，审计步骤都有严格的流程、审计内容都有统一的模板，为审计工作提供了方便的同时也规范了整个审计作业。

二、县级审计机关计算机审计面临的困难及原因

（一）审计人员观念更新慢，对计算机审计认识不足。特别是对于县级审计人员来说，难以适应从传统的审计方法改变到计算机审计的变革，会有一定的抵触情绪，觉得计算机审计太难、太复杂，写计算机语句所花精力比人工审计的还要多。

（二）县级审计人员计算机审计水平整体有限。主要是体现在三个方面：一是县级审计人员与计算机审计“五能”（能获得被审计单位电子数据、能将数据导入到审计人员的计算机中、能使用审计软件进行查询分析、能在审计现场组建网络、能排除软硬件常见故障）差距太大;二是与传统审计相比，计算机审计需要发掘审计疑点、收集审计证据的审计新方法和新技术才能实现审计目标。县级审计人员还依然用手工审计的传统方式进行计算机审计，所谓计算机审计也只是简单的进行数据筛选和汇总;三是县级审计机关计算机专业技术人才难以引进。由于工作环境、待遇各方面的原因，县级审计机关无法吸引计算机专业人才。要引进既懂财务审计专业知识又具备计算机专业技术，特备是精通数据库的复合型人才，更是难上加难。

三、推进县级审计机关计算机审计的对策

（一）大力宣传，转变观念，积极主动地加强计算机审计学习。立足于审计事业的长远发展，宣传教育县级审计人员，计算机审计势在必行，是每个审计人员必须掌握的技能。从思想上接受，克服各种不良情绪，主动的去学习，去运用。

（四）制定标准，规范会计信息系统。目前，市面上有用友、金蝶、新中大、管家婆、浪潮等多种会计软件。这些会计软件在内控方面都不严密，审计线索隐蔽，增加了审计难度和风险。可从以下两方面规范会计信息系统：一方面制定会计软件系统内控功能的标准，体现出软件功能的先进、可靠、安全和完整性。可借鉴国外的先进经验，例如美国通用型会计软件的总菜单下共设总账、采购、库存、成本、工资、固定资产、应付款、应收款和销售、九个模块，每个模块都按照设定、处理和输出三项来建立的比较完善的内控功能;另一方面会计软件系统使用必须有统一的标准和规定，严格规范软件使用人员的会计行为。

主要参考文献：

[1]曾希国，王小平.县级审计计算机运用的三难与四策[J].审计与理财，2012.8.

一、做好审前调查工作，是搞好计算机审计的前提

（一）做好调查了解工作。一是了解其信息化组织情况及实现程度、财务系统软件和业务系统软件的主要功能和特点、数据流向关系。二是掌握当年适用的法律、法规，尤其要收集掌握好现行的有关医疗收费标准和药品加价标准。

（二）完成业务数据的采集转换工作：经过调查了解该医院业务信息系统为SQLserver数据库系统，数据结构较复杂、数据容量较大、字段含义明显。涉及收费、药品、卫生材料等多个方面，且同一类数据分成多个表存放，为便于审计，需采集审计需要的主要数据表和主要字段，主要数据表是：药品销售情况表、药品库存及发出情况表、医疗服务收费情况表、卫生材料销售情况表、卫生材料库存及发放表，数据可以存在多张表中，表之间必须有关联代码。选定需要的数据表和主要字段后可将这些数据转换成为SQLSEVER备份数据库。在SQLserver中还原所备份数据库后，根据取得的数据字典，汉化数据表数据结构，为下一步的数据分析作好准备。

（三）完成财务数据的采集转换工作。该医院使用的财务软件在现场实施系统中没有转换模版。需在后台数据库中找出科目表、科目余额表、凭证表等三张主要表，利用AO中采集财务软件数据库功能将其会计信息导入AO系统中。

（四）完成数据验证工作。为避免数据采集过程中发生遗漏，排除被审计单位有意识隐瞒部分数据的可能性，保证电子数据的真实性、正确性和完整性，在完成原始数据导入后，必须利用财务数据系统和业务数据系统的关联关系，对所导入数据的真实性完整性进行测试。主要涉及核对记录数和核对总金额两个方面。

（五）完成系统流程测试工作。在对数据及数据结构进行初步分析的基础上根据系统流程，判断数据流程中控制点的设置及执行情况，分析可能存在的问题和漏洞。

二、审计实施阶段中灵活使用不同的计算机辅助审计方法，达到事半功倍的效果

目前，在医院审计中运用的较广泛的计算机辅助审计方法，主要有现场审计实施系统、SQLserver查询、Excel计算等，都取得了较好的效果：

（一）利用SQLSEVER数据库查询功能做好收费系统的审计。医院收费主要涉及医疗服务收费、药品收费、卫生材料收费等三个方面。以医疗收费项目审计为例：

第二步：浏览查找结果，分析所筛选数据的合理性和正确性。

第三步：针对上述筛选数据，查阅纸质资料，逐项落实。

第四步：制作纸质审计证明材料汇总清单，以被审计单位确认签证。

利用SQLSEVER数据库查询功能，从几百万条医院收费记录中，发现了该医院无标准、超标准收取医疗服务费、超标准收取卫生材料费、超标准药品加价和超范围收取公费医疗费用等问题。

（二）利用AO，做好会计信息系统审计。

第一步：浏览电子账簿，从“科目余额表”中检索各会计科目的科目余额，了解收入、支出、往来及资产负债状况，并与会计报表核对。

利用现场审计实施系统审计组发现该医院违规与其他经济组织合作项目分成、违规提取大额劳务费等问题。

（三）利用Excel计算功能计算个人所得税。

由于医院是公益性事业单位，所涉及的国家税收主要是个人所得税，审计组利用Excel计算功能非常便捷地计算出该院全年应交个人所得税。

二、如何实现内部审计信息化

（一）内部审计信息系统建设

（二）计算机辅助审计技术

(CAAT)的运用在建设与业务系统集成的内审信息系统尚不成熟的情况下，内审部门也可借助CAAT的运用，对业务系统中的数据进行统计分析，提高内审工作的效率。使用CAAT的好处包括：一是在审计的样本测试时可选择全部样本而非抽样进行测试，使审计范围覆盖面更完整，测试结果可靠性更高且提升效率；二是可以用来进行趋势分析、异常分析和对比分析，有助于发现舞弊的危险信号；三是可以从不同角度为管理层提供更有价值的改进建议。常用的CAAT工具有ACL、IDEA、MicrosoftAccess和MicrosoftExcel等。

三、内部审计信息化建设的难点与解决方案

一、通过现场连接，建立审计基础数据库

二、围绕审计重点，搞好数据整理分析

三、抓住审计重点，开展辅助审计

（一）对少征税收的辅助审计

（二）对欠税的辅助审计

对欠税数据库，即开票未入库数据，采用划分欠税所属日期、数据透视分类汇总等计算机辅助审计方法，摸清欠税规模，分析欠税成因，真实反映欠税总体概况。下载的欠税数据库应为系统中原有的开票未入库税票数据，即从审计开始年度以前存在、至下载之日止的开票未入库税票数据。具体操作方法和步骤是：打开欠税数据表，找出审计期间内欠税期限比较长，从系统开始运行到下载日为止的开票未入库数据，用Excel的自动筛选功能，分清欠税时段，将新增欠税和以前的陈欠分开，掌握陈欠和新欠的规模，了解地税部门压欠管理水平，反映欠税突出、压欠力度不够的问题。

（三）对挖挤侵占其他区域税款的辅助审计

通过对入库税票数据库殊单位代码进行分析、筛选等进行计算机辅助审计，查出纳税人未在征收税务机关登记而在该税务机关纳税的其他区域缴纳税款的情况，取得挖挤侵占其他区域税款的审计线索。地税系统纳税人单位代码是按区（县）局、分局等要素有规律制定的，对纳税人而言是唯一的，计算机开票的前提是必须有纳税代码。但地税部门有时对临时发生的纳税行为以“**”开头作为特别号。对此通过入库税票数据，对单位代码中的临时编码或异常编码进行筛选，分析在“空号”中征税的原因，剔除正常情况下列入“空号”入库的纳税人，即临时建筑安装队和开具完税证集中入库的个体纳税人等因素，筛选出未在征收税务机关登记，而在该税务机关纳税的其他区域税源户，取得挖挤侵占其他区域税款的审计线索。

（四）对延期积压税收的辅助审计

1、筛选限缴期以内的税票记录。用电子表格打开入库税票数据库，点击“数据”选项下“筛选-自动筛选”功能，每个字段右边会出现一个带箭头的复选框，在“税款所属期”字段点击复选框，选择“自定义筛选”，设置查询条件为“不包含”2003年12月“与”“不包含”2004年，点“确定”显示筛选结果。

2、筛选入库日期超过限缴日期的税票记录。在“入库日期”字段点击复选框，选择“自定义筛选”，设置查询条件为“大于”2003年12月25日，（该日期为2003年的限缴日期），点“确定”显示筛选结果。

3、剔除查补税款情况。由于查补税收入库日期滞后，在次年入库属正常现象，因此暂时应在超过限缴入库期税票记录中予以剔除。在“申报类型”字段点击复选框，选择“自定义筛选”，设置查询条件为“正常一般”与“正常代扣”，点“确定”显示筛选结果。

4、保存为另一张工作表。将上述筛选结果复制，粘贴到另一张工作表中，取名为“延压入库税票记录”。

5、处理整理“延压入库税票记录”，分析对比延压税款情况。对“延压入库税票记录”进行分单位分税种汇总，取得延压入库税款的详细情况，并与上年同期进行对比，分析延压企业及税种等情况，掌握人为调节税收进度的原因。

（五）对未按属地征管的辅助审计

运用Excel在全系统的入库税票总表中，将“市直”和“所属税务机关”两个字段的编码进行对照分析，“市直”字段由2位数的编码组成，代表纳税人的地理区域即经营地点所在区域，“所属税务机关”字段由2位数的编码组成，筛选出地理区域和征收税务机关区域不相符的纳税人，即为未按属地征管的纳税人。

（六）对漏征漏管的辅助审计

漏征漏管辅助审计的基本方法，就是通过运用Access查询，将一个年度入库数据资料和其中的正常户管资料进行对照分析（即对两表中的“纳税人识别号”进行对照），在征管清册资料中剔除“已纳税户”、“零申报户”、“注销户”、“非正常户”，筛选出既未申报又未纳税的经营户，这些既未申报，又未纳税的经营户反映出地税局对漏征漏管户的控管环节存在漏洞，具体步骤是：

1、导入数据并调整数据类型。打开Access数据库，点击“文件”选项下“获取外部数据”，导入“入库数据表”和“正常户管清册数据表”，在Access表的“设计”状态下，将两表的“纳税人代码”的数据类型调整一致，均调整为“文本”型，建立两表之间的连接查询。

2、筛选“未入库的正常户管资料”。在Access查询中，点击“查找不匹配项查询”，按照向导提示操作，先双击“户管清册数据表”，再双击“入库数据表”，下一步选择两表的匹配字段中的“纳税人代码”，点击“＜＝＞”符号，“在查询结果中所需字段”框中选择所有字段，指定查询名称为“未入库的正常户管资料”，完成查询，并生成“未入库的正常户管情况表”，此表中已经剔除了“注销户”、“非正常户”和“已纳税户”。

3、剔除“未入库的正常户管情况表”表中“零申报户”。将已经拷贝的“零申报情况表”导入到Access表中，将“纳税人识别号”数据类型改为“文本”型，在“查找不匹配查询向导”中双击“未入库的正常户管情况表”和“零申报情况表”，选择两表的匹配字段中的“纳税人代码”，点击“＜＝＞”符号，生成查询结果为“未申报未纳税正常户管”的资料，点击“运行”显示查询结果。

4、生成表查询。点击“查询”选项下的“生成表查询”，对上述查询结果进行查询，重新取名为“未申报未纳税正常户管情况表”，然后再运行一遍查询结果，将新表保存在Access表中。

5、初步分析。在上述表中，发现“税管员”字段名下有“非正常”户，同时还发现有“社保”户和新登记户（未确定税管员，显示为“征收所”），剔除这些非正常因素，才能初步确定漏征漏管户。

6、剔除非正常因素。新建查询，添加“未申报未纳税正常户管情况表”，双击该表中“*”，再双击“税管员”，取消显示栏中“√”标识，条件栏内输入“<>非正常”、或“<>征收所”，运行查询结果，显示相应的记录数据。

7、再做生成表查询。点击“查询”选项下的“生成表查询”，对上述查询结果进行查询，重新取名为“漏征漏管线索情况表”，然后再运行一遍查询结果，将新表保存在Access表中。

1.1系统风险

系统风险的范围十分广，也是计算机审计最致命的风险。系统风险分为软件环境风险和硬件环境风险。计算机系统是非常复杂的，在文件的记录或操作中由于规范、标准等不统一，进而产生了风险。计算机网络系统是一个开放的系统，其通过互联网及数据库管理系统进行管理，这样就有可能受到外部网络影响，如病毒、黑客的入侵，这些都严重威胁着计算机审计系统的安全。

1.2系统控制风险

系统控制风险是因为审计系统控制不严密造成的。我们知道，传统的审计工作是人与人之间的监督与控制，而在实施电算化以后这种情况就发生了变化，主要表现为人和机器的双重控制，且以对机器的控制为主。审计对象的变化使审计风险发生了转移，审计人员需要对软件开发商在设计软件时嵌入到程序中的内部控制软件方面的内容进行测试，而这些对审计人员而言是一件难度极大的任务。

1.3数据风险

数据风险主要指数据为人为破坏的风险。传统的审计资料是纸质的，人为修改后会留下痕迹，所以篡改的可能性不大。而在运用电算化系统以后，人为篡改数据就不会留下痕迹。特别是系统内的计算公式，被篡改后将导致财务报表的严重失真。由于财务人员并不了解系统如何计算的，所以即便是产生了很大误差也难以发现。对此，审计人员只能靠自己的判断力和经验了。

1.4审计软件风险

审计软件风险是指软件自身的缺陷引起的风险。审计软件没有经过权威部门评审或没有定期升级更新，都会造成软件的不稳定，进而内部的审计核算方法与会计核算不一致的情况。在软件开发中，审计人员不懂软件开发，所以无法将使用需求表达清楚；开发人员不懂审计业务，开发起来同样面临着巨大困难，这两点因素会造成软件在开发之初就存在缺陷，进而影响审计计算、分析。

2、审计风险的规避策略

2.1审前调查，获取充分、准确的信息

2.2开发和使用计算机审计软件

开发专业的审计软件，通过审计软件来直接房问被审计单位数据，进而完成数据的复核，减少数据索取的繁琐环节，提高工作效率。为给计算机审计打开通道，就必须根据实际需求开发审计软件。尤其是数据采集上，审计软件要有非常的兼容功能，能够访问不同介质、不同编码、不同类型的数据库，进而消除“瓶颈”。在审计软件的应用，要建立完善的应用责任机制，提高审计的威慑力，进而降低审计风险。

2.3加大审计培训力度

大多计算机审计人员是由传统审计转换过来的，审计专业知识较扎实，计算机能力欠缺，所以在计算机审计风险防范上不足。随着计算机技术的广泛应用，审计线索、审计内容、审计技术等都发生了改变，这就对审计人员提出更高的要求。一名高素质的审计人员，不仅要具有扎实的理论知识基础，还要计算机及计算机网络有一定了解，能够熟练操作计算机。因此，加强审计人员应用计算机能力的培训，是当前亟待解决的控制计算机检查风险的首要任务。

2.4加强审计网络的建设工作

2.5创新审计技术

计算中心几位主任一直想就特派办的计算机审计工作召开一次会，可是金审工程二期的事情一直没有一个大致的定论，拖了许久没有开起来。特派办的计算机审计工作也有很多要研究的内容，至少听听大家的反映、集中地讨论一些问题还是必要的，将来如果有机会、有条件，希望署机关和特派办还是要多交流交流。很多特派办做得非常好，比如刘汝焯特派员老给外单位讲，今后也可以给自己人讲一讲，我们应该给他、给搞得好的特派办提供一个讲台。所以今天这个座谈会尽管晚了一些，但还是非常必要。

近十年来，特派办的信息化建设和计算机审计工作成绩相当突出，取得的成果相当丰厚。李审计长讲之所以这两年审计在社会上反响很大，或者说引起了不小的震动，很大程度上应当归功于信息化建设。客观地分析一下，尽管很多工作是由署机关业务司组织，但工作是特派办具体做的，是他们运用先进的方法，在金融、社保、投资、农业等审计领域，发现了许多重大问题，所以才有社会各界的专家、群众、老百姓，每每见到我们伸大拇指，说审计这两年搞得不错。当然也听到个别人说，你们审计这两年出了风头了，说得不好听，那肯定是触及到了他自己的利益，但是我们维护了人民的利益、国家的利益。这些成果的取得，与特派办运用信息化手段是分不开的。

特派办计算机审计经验的概括和总结，近几年也出了不少成果，宏观方面有审计方式的探讨，技术上有多维分析、信息化条件下的舞弊特征发现，很多特派办出了案例集。最近我们正在总结审前调查、数据分析报告、数据审计、信息系统审计方面的经验，草拟指南或者准则，这些经验大多数来自于特派办实践。这些宝贵的经验和探索，为我们规划金审工程二期，建立准则体系和标准体系提供了很好的素材和经验。

特派办计算机审计工作的成绩不在这里详细总结了，先说一下我看到的不足。

第二个不足是与自己的条件和环境相比，有的特派办计算机审计工作水平不高。跟地方审计机关相比，按照特派办现在的技术、人员素质、设备，基本上都能满足工作需要，但是成果与条件环境不成正比。过去李审计长表扬过湖北省老河口市审计局不买汽车买电脑，作为特派办还不会出现这种情况。但是有的特派办在计算机审计方面比较被动，有条件、有环境却看不到成果，这就不对了。我想即使冲着抓大案要案、考核拿分，计算机审计工作也应该冲上去，因为很多大案要案是用计算机手段查出来的，不用计算机查不出来了。

第三个不足是计算机审计工作的规范化程度偏低。就是说在运用计算机手段、信息化手段的时候随意性比较大，遇到事情觉得计算机可能好使，试一试，还真出成果了！这种情况不少。但是从报上来的成果看，零敲碎打的多，成体系的少。当然，这种情况不仅仅存在于特派办。

着眼于未来，特派办的计算机审计工作正面临着新的形势和任务，要更上一层楼。总的讲是两个大的方面，一是参与金审工程的建设，二是应用金审工程的建设成果。针对这两个方面，我给大家提以下建议。

第一，根据统一规划，参与金审工程的建设。

金审工程二期做什么，特派办要承担什么任务，讲清楚这两件事是本次会议的主要议题，周主任给大家都讲了。千万别把金审工程的建设当作审计署信息办、计算中心一家的事，他们不过是这项工作的牵头单位，工作要靠大家共同做。特派办是金审工程建设的一支主力军，要按照统一规划，积极参与金审工程应用系统的开发工作。我们要统一领导，周密计划，协调配合，平衡发展，大家一起走，要和谐、可持续。

建设金审工程二期，最重要的目标是数据共享，工作思路不能还停止在手工阶段，必须得超前。现在各行各业数据集中的趋势很明显，这为数据的使用提供了极大的便利。每一个企业的数据并不是只有负责审计它的特派办在用，很有可能其他特派办、其他审计项目也要用。如果余效明副审计长要用，不能再让她18个办跑一遍，她要通过审计署数据中心看53家中管企业的数据。数据中心将来也是各特派办的审计现场。跟其他行业一样，数据集中管理是大方向、大趋势，这是信息共享的要求。我们设想，不管是业务司统一组织的项目，还是特派办自己选定的项目，要打大规模的正规战，必须是这个样子，没有别的路子。

在金审工程二期建设中，各个特派办还要继续当好“实验田”，协助审计署开展实验试点工作。所不同的是，“实验田”别只在两三个特派办，18个特派办都有各自的实验试点项目才好。当然，我们要给特派员提供实验的环境、条件，大家也要更加积极。第一批审计业务流程无纸化试点示范单位只有6个特派办，我们还是觉得有一些意外，当时估算至少有三分之二的特派办应该参与。

第二，带头推行、创新应用金审工程的建设成果。

经过这几年的努力，在地方推广应用金审工程建设成果的工作，有起色了。很多地方采取了“拿来主义”：审计署开发的我就用。非常信任我们。作为审计署的特派办，更要义不容辞，我们自己开发的东西我们自己一定要率先、强力推行。比如AO，不是说一年有多少项目要使用AO，应该是全部项目都使用，因为AO不仅具有审计能力（有审计能力的、甚至审计功能比AO强的软件有的是），它还是管理在现场的延伸。我们要控制整个管理过程，它能和我们的审计管理系统对接上。将来我们每一个动作完成一次就行了，别重复操作。审计项目的资料，无论是在OA里还是在AO里，只做一遍，归档的时候就自动地归集到一起了，别再归档的时候现扫描。使用AO是管理在现场的一个延伸，大家一定要注重这个功能。有人说我这次审计的单位没有信息化环境，用AO干啥？那就错了，被审计单位的资料即使全都是纸质的，你也照样用，你是管理你自己的审计，这是其他软件都替代不了的。

当然AO有很多毛病，我看有毛病没关系，大家只要提出来并且经过研究是需要改进的，都要通过升级、完善加以解决，所以才有了AO2005和AO20*。但是，我们也发现一个规律，总体上持否定态度、说不好用、不能用的人，基本上是不用AO或者是没有用过AO的人；用过AO的人都说它还可以用，甚至有的还说很好用。我去过一些基层的区县级审计机关，他们也有在AO实例评选中得优秀奖的。我把得奖的同志叫来，我说你说实话，这东西能不能用？因为我自己不会用，也不能只听负责AO开发的人说好，就直接问基层的审计人员。他说能用。人家很谦虚，说用起来觉得还很轻松，所以拿了优秀奖。大家一定要用AO，这是我们的一个成果，而且是金审二期规划要重点发展、完善的内容。

需要强调应用的还有网络设施。2006年审计署与18个特派办、部分省厅宽带联通之后，除了传输公文之外，基本上没走业务类的信息。我们曾经要求金融审计利用这个网试一试大数据量传输，但是在上报数据、切割数据之后还是坐着飞机、火车跑，已有的设施没有利用好。我们的建设成果一定要用起来，不能浪费。还有审计业务流程无纸化的事情，没有列入试点示范单位的特派办，要尝试着做起来，如果心里没有底，可以到第一批试点示范单位去看一看。审计署也要择机作一个总结，请有关单位介绍经验。审计业务流程无纸化也是节能减排的具体体现。

第三，发挥优势，加快建立计算机审计准则体系的步伐。

计算机审计准则的制订是一个长期的过程，要一直做下去。因为信息化没边没沿地一直在发展。认准这个趋势，并不妨碍我们抓住当前，尽快开展工作；也不妨碍我们现在做东西要有一定的稳定性和可行性。比如审前调查指南按现在排是第8号，过个三五年，大家的工作进步了，规范化程度提高了，觉得这个指南应该修订了，到时候我们发表第48号取代第8号就行了，很简单。

建立计算机审计准则体系框架、制订指南和实务公告的工作，各个特派办也是非得出力不行的，因为你们是参与审计的，知道审前调查应该去调查什么，应该如何地去规范。参与这项工作，可能会占用一些资源，希望特派员从大局出发，从整个审计机关，从整个国家审计的角度出发，大力地支持。

制订指南和实务公告的主要目的，除了规范操作以外，还是为了总结我们在实践中形成的宝贵经验。刘汝焯特派员写过一本书，叫我作个序，我在序里没谈技术问题，谈的是知识问题。现在的计算机审计知识是停留在一种潜在的状态，也就是说停留在审计人员的脑子里，这人一走就完了，这个方法、这项技术就没了，就随着这人的退休或调离或者是自然死亡就没了。这些宝贵的知识如果处于隐性的状态，它非常脆弱，一瞬间就会消失，我们有责任把它显性化。比如抓紧写成书，隐性的知识变成了显性的知识，就可以普及，就可以推广，可以留给后人。与写书相比，指南和实务公告更抽象一些，理论上升得更高一些，指导作用更大一些，并且四级审计机关都要用。要抓紧了，信息化建设和计算机审计已经有很多成熟的成果，就应该把它定型，把它上升为显性的知识，留下去，让人家去用。

第四，对计算机审计方法进行系统的总结、开发。

近年来，各个特派办都在积极地探索计算机审计的方法、计算机审计管理的方法，探索信息化建设的经验。每次听大家汇报、与大家在一起讨论，都能从中或多或少地吸取一些营养。过去，这些好的东西是零散的，不成体系的，在金审工程二期中，我们要在科学化的前提下系统地进行研究、总结，开发计算机审计方法。这是交给各位一个非常难的课题。

开发计算机审计方法的任务，不能完全依赖计算中心，依赖某几个人，那是绝对不行的。现在9个业务司管辖了那么多行业，都运用信息化手段，都得开发相应的计算机审计方法，这个方法不是坐在办公室里能想出来的，必须是一线的审计干部在实践中去摸索。在开展计算机审计的初期，是零敲碎打，碰上一个什么问题觉得重要，就开发一个方法、一个模型。现在到了系统地开发的时候了，我觉得有的特派办具备这个能力。比如，社保资金审计，资金的收集，你用什么方法查它？资金的发放，你用什么方法查它？资金的投向，你用什么方法查它？资金的管理，你用什么方法查它？再如企业审计，与其弄一个小模块算固定资产折旧，再弄一个小模块算财务费用，你何苦不从现金一直到固定资产把它系统地整出来？分分工，有的负责现金、银行存款，有的负责往来账目、应收账款，有的负责固定资产或者再建工程，有的负责财务报表，全部审计方法都搞出来，不能想起一出是一出，东一下、西一下。从头到尾的去捋细了，这东西就成了体系了，然后我们把它挂到AO上面，形成AO的行业版，AO的社保版，AO的企业版等等。这是我们给后人留下的财富。

我们有一些特派办条件非常好，人员比较整齐，素质也比较高，可以把年青的审计干部组织一下做这个事。有些审计人员，思想基本固定了，一到单位先要账，拿来哗哗一翻，看看有没有什么拖欠，或者先把单位的会议纪要拿来，看看有没有可疑事项、重大线索，这是惯性思维。新人没有这些陈旧的思想束缚，就要鼓励他们开辟新的事业领地。现在审计署正在进行的是中央部门预算执行审计方法体系的研究，社保审计的方法体系是在请地方研究，其他的还没有确定由谁来做，请各特派办的领导要高度重视，积极参与计算机审计方法的开发。

第五，与时俱进，着力提高审计队伍的素质。

所谓与时俱进，就是队伍的素质要适应不断发展的信息化环境。总的看，特派办人员队伍的素质还是不错的，通过计算机审计中级培训的人员占到50%左右。各特派办重视培养计算机审计队伍，这是正确的，如果有了设备，有了软件，结果没人会干活，问题肯定出在队伍的培养上、人才的培训上。

提高队伍素质最关键的还在于特派员，当然包括我们分管的副特派员，取决于这些领导的素质、修养和意识，信息化建设的意识，计算机审计的意识。有的特派员就把信息化手段当作一个抓手，他通过这个抓手带动了很多方面的工作，我觉得这是一个捷径。一个特派办的队伍怎么带啊？我们当特派员的，尤其是分管信息化的，一定得把加强信息化建设、推行计算机审计当成一个事儿来干。就像安排工会活动一样，安排一下学习，安排一下培训，安排一下攻关，安排一下开发。即使是一个月安排一次那也不得了，这一年要做好多事。一年办成一件事就不得了。京津冀特派办前两年抓多维分析，去年抓信息化条件下的舞弊特征发现，今年抓非数值型数据的分析，一年就抓一个事，抓出成果了不得，就是突破，就是创新。说：正确路线确定之后，干部就是决定因素。特派员、分管副特派员对一个特派办干部队伍素质的提高有着举足轻重的作用，如果不抓这个，就会耽误一个办的年青人。在抓队伍建设方面，特派办比地方审计机关条件要优越得多，有的地方审计机关最年轻的都在40岁以上，提高信息化素质所遇到的困难比我们不知要大多少倍，他想提高队伍的信息化素养是非常困难的。

特派员、分管副特派员要抓好信息化建设，自己也要提高，要学习。天津市审计局这两年信息化水平提高很快，除了三番五次地请京津冀特派办的人去给他们讲课，到特派办学习取经之外，领导带头学是一条重要经验！咱们发的那本厚厚的指导书，人家分管领导就是一页一页看的。他告诉我：自己不看，怎么领导？确实得学习，得熟悉这个工作，领会上面的要求。从现在的状况看，我们的特派员、副特派员，包括助理，像刘汝焯这样的不多，绝大部分人在信息化方面确实是外行，还需要学习，哪怕是科普呢，扫盲呢，也得学。

第六，积极探索信息系统审计，争取迈开步子，创出路子。

刚才有位特派员说，在审计中他们发现被审计单位造价软件里头设置的参数就不对，所以这几年的计算都是错误的，这时候审计就得针对它的软件来说话了。其他地方的审计工作中可能也遇见过类似的情况，也有体会。我们鼓励大家积极探索，开展信息系统审计，因为系统的可信、可靠，是数据审计得以进行的前提和最终实现的基本条件，系统产生的数据必须是真实完整的我们才能用，否则就跟假账真审是一样的。我觉得有条件的特派办可以把信息系统审计作为一种常态，审计的常态，换句话说，作为正常审计程序的一环。每个重大项目的审计，只要背景是信息化的，我们都可以先看看它的信息系统，看看它的系统内的控制。每个特派办先要有意识地培养这么一两个人，专家型的，相对固定，不要每次审计都派不同的人去摸索，你这儿还没摸索完呢，人家审计出点了。

关于信息系统审计人才的培养工作已经列入议事日程，着手准备了。令狐副审计长是审计署干部培训工作领导小组组长，他对信息系统审计提出了硬性要求，20*年必须开班，每个特派办应该至少出一人，一个省厅还轮不上一个人，培训的地点在南京审计学院。目前遇到的主要问题是课程的安排和师资，前不久拿出的一个方案，我们觉得还不够科学，不够严谨，还要再深入研究。

信息系统审计比较复杂，我们还不能十分自主地把握它、运用它，现在的案例，基本上都是“拔出萝卜带出泥”，而不是先看看“泥”怎么样，然后预计“萝卜”长得怎么样。要迈开步子，积极探索，逐步走出一条路子来。

第七，充分利用已经建成的设施，发挥投资效益。

我们一定要充分利用金审工程一期建设的各种设施。网络设备要是充分利用了，很多事情可以在网上办。我在京津冀特派办参加过网上的业务审定会议，在天津市审计局看过网上考试。网上考试还有一个小插曲，廊坊市审计局反映答得全对也是86分，这个事儿天津反映过，是考试软件的问题，而且已经改了。再一查是技术人员部署了老的版本，计算中心王主任跟公司一嚷嚷，当事人被扣了奖金罚了款。你想想，一个廊坊市局都上网考试了，我们特派办还能在网下坐着吗？

还有优秀审计项目的评选，今后应该在网上进行，如果不在网上进行，可以说包装、作假就会永远沿袭下去。这个事儿我肯定地讲在座的各位都做过，哪个审计项目参加评选不得重新“整理”一下？如果要求项目必须是用AO做的，按照AO归集的电子档案为样本进行评选，想“整理”一下都不行，因为AO控制的日记底稿是不能改动的。这事儿审计人员有意见，计算中心的技术人员感觉这还是有一点儿小问题，怕约定的过死推广的时候大家都不愿意用，但是行有行规，得按照6号令来，这是法制司的要求，谁想改也不可能。在这个基础上评选的优秀项目含金量会更高。天津市审计局网上培训的考试是18个区县同时在网上开考，自动判分，个别县局局长为了成绩的事找市局王局长说情，王局长说，已经早判完了，不是我们人判的，机器都弄完了，改不了啦。

审计内网网站的建设还要进一步搞好。现在定了一个办法，每年搞评比，还是非常有成效的，至少审计署大多数司局的网页已经改造了一遍，就剩下为数不多的几个单位，新任的领导表态，马上更新。有的司动作很快，人事教育司席司长一到任，先动的就是他的网页。各个特派办的网页，总体上还是不错的，虽说水平高低不一样，但基本上还能符合要求。网页上的内容，红旗飘飘是一块，业务方面的内容要上去，经验交流要增加，只要不，能挂上去的都挂上去，因为别人需要看，特别是地方审计机关，特别愿意看看审计署、特派办的审计方案是怎么做的，审计报告是怎么写的。我们提倡业务司和特派办的网页要对地方审计机关有指导、学习、交流的作用。

再一个就是利用建成的设施存放电子档案。有不少特派办把过去的纸质档案电子化了，那是没有办法的办法，真正的信息化的做法，是从建立项目开始，用AO去归集，除了领导的手写批示和原始证据，审计生成的文档不能再搞扫描。而且在审计过程中，该归档的都已经输进去了，项目完成就等于档案齐全了。现在审计署以往任何一年统一组织的任何一个审计项目，档案没有齐全的，因为纸质的东西不可能报到审计署，审计署也没有地方存，调阅全国性的统一组织项目档案几乎是不可能的，没有完整的档案，这是我们一代审计人的遗憾。不能再继续下去了。

一、对计算机会计内部控制的再认识

我国财政部1994年的《会计核算软件基本功能规范》，集中在输入、处理、输出和安全四个方面对会计软件提出规范性要求，实质上涉及的都是内部控制的问题，即会计软件系统所应该实现的控制。而首次涉及计算机会计系统内部控制的审计法规则是1999年7月1日生效的《独立审计具体准则第20号-计算机信息系统环境下的审计》。

显然世界各国审计机关对计算机处理环境的内部控制问题都有相当的重视，进行了非常深入的研究。既肯定了计算机处理环境对内部控制的影响，又研究了加强控制的措施，还探讨了审计内部控制的方法。但是，事物总是的，随着计算机技术的日新月异，尤其是商务和财务的出现，前述的这些研究已经显得苍白。我们认为，当前对内部控制的研究存在三个问题：一是对广域网络环境下会计系统的内部控制缺乏研究，二是对内部控制的分类欠，三是不少控制措施以及对内部控制的符合性测试方法脱离实际。下面将就这些问题展开讨论。

二、网络会计给内部控制提出了新课题

我们知道，电子商务和远程处理必然要求会计系统的进一步开放与数据共享，而开放与共享将增加安全控制的难度，信息安全、资金安全都将成为内部控制的焦点。安全威胁既来自企业内部工作漫不经心的员工，也来自心怀不满的职员、外部黑客以及竞争对手。因为网上交易公开化程度较高，操作人员和信息使用者干预系统的机会增大，再加上使用的是公用通讯线路，系统面临的安全隐患也必然增多，从而增大企业经营的风险。例如，不法之徒可能利用网络及安全管理的漏洞窥探用户口令或电子账号，冒充合法用户作案，篡改数据库内容以窃取资产；利用网络远距离窃取企业的商业秘密以换取钱财，或利用网络传播计算机病毒以破坏会计信息系统，甚至摧毁网络节点；此外，由于电子商务处理业务的原始记录以电子凭证的方式存在和传递，不法之徒通过改变电子货币账单、银行结算单等，就有可能转移财产的所有权。

有鉴于此，网络财务必须实现以下控制目标：

1、对远程操作的控制，即实现对远程记账、报账、查账、制表、审计以及网上报税等操作的安全控制。

2、对网上支付的控制，即保证支付信息的机密、支付过程的完整、交易双方的合法身份以及互操作性，实现安全支付。

3、对电子凭证的控制，即控制电子凭证的正确收发、真伪确认、安全传递和格式转换等问题。

以上控制既涉及技术层面，也涉及政府立法和企业内部的制度建设。在技术上要采用公开密匙加密、电子数字签名、电子信封、电子证书等技术，加强对网上输入、输出和传输信息的合法性、正确性控制，在企业内部网与外部公共网之间建立防火墙，对外部访问实行多层认证。在上建立电子商务法律法规，规范网上交易、支付、核算行为，并制定网络财务准则和相应的内部控制制度。没有网络安全，就没有网络财务。

三、关于内部控制的分类

美国执业会计师协会第3号《审计准则公告》、《国际审计准则》第20号以及我国《独立审计具体准则第20号》，都把计算机会计内部控制分为一般控制（Generalcontrols）和应用控制（Applicationcontrols）两大类，并将前者定义为：（1）电子数据处理的组织和操作的计划；（2）对系统或程序的设计、开发和变动的记录、审核、测试和批准；（3）由制造商在设备内部所设置的控制；（4）对接触设备和数据文件的控制；（5）对系统的运行有影响的其他数据和指令程序的控制。公告把应用控制定义为输入控制、数据处理控制和输出控制。

但是，我们认为这种分类方法从其名称和内涵来看，都有值得商榷的地方。

1、定义缺乏逻辑性

分类是一种手段，目的是便于人们对事物的理解或认识，但这种分类方法并未达到这个目的。首先从其名称来看，分类标准不明确，甚至可以说用的不是同一个标准。因为人们往往习惯于将“一般”来区别“特殊”，而将“应用”与“基础”、“”或“系统”等概念相对应。所以将问题分为“一般”和“应用”在逻辑上是不清晰的，实际上不少问题既是“一般”问题，又属“应用”范畴。

2、两类控制的内涵不明

分类标准的模糊性带来控制内涵不明，到底哪些方面的控制属于一般控制，哪些属于应用控制，人们只能根据强加于人的“定义”来理解。两类控制常常交叉，例如数据输入既因涉及输入而属于应用控制，又因涉及组织和操作而属于一般控制的范畴。又如，对输出资料的保管、操作权限的识别这样一些控制措施，到底属于一般控制还是属于应用控制，人们从字面上就很难区别。此外有些还把对经济业务的完整性、有效性、合理性的审查和控制，作为数据处理控制的内容，使控制措施的归属变得更为含混不清。

3、企业控制的任务不明确

这种分类方法混淆了执行控制的主体，即两类控制中人们难以明确哪些是企业应该做的，哪些是软件开发商的责任。我们知道在手工会计中内部控制都是通过人来执行的，但在计算机会计中除了人这个执行控制的主体之外，许多内部控制方法却要通过计算机系统尤其是会计软件才能实现。例如，应用控制中的输入控制，既包括了用规章制度约束操作人员以保证输入数据的正确，又要靠系统自身的容错功能来识别和纠正输入数据的错误，前者是制度问题而后者则是计算机程序问题。在输出控制中也存在类似的问题，对输出的权限和完整控制应该是软件系统的责任，而输出资料的确认和保管则是会计人员的责任。

我们认为内部控制的分类既要概念清晰，又要区分控制的主体，以便明确责任，为此，建议将内部控制分为管理制度控制和程序系统控制两大类。其中程序系统指机软硬件系统，主要是系统和软件。程序系统控制主要是靠软件本身功能来实现的内部控制机制，以实现系统的自我保护，主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。程序系统控制的责任者是软件开发部门，用户不应负有责任。而管理制度控制一般是以管理制度的形式实行的，主要包括组织、操作、维护和资料保管等方面。我们也可以进一步将管理制度控制分为环境控制（或基础控制）和操作控制（或控制）两类，组织、维护和资料保管都属于环境控制的范畴。显然制度的制订和执行与计算机程序系统无关，而是会计软件使用单位的责任。这种分类法的优点是分类标准明确，容易理解，而且实现控制的措施和控制的主体是一致的，责任分明，方面容易清楚自己应该怎么办。

四、关于内部控制措施及审计

我们接触到的几乎所有教科书或，不仅将内部控制分为一般控制和应用控制，而且演绎和解释具体控制措施以及内部控制的审计时往往脱离实际，形式繁琐，又不突出控制重点，主要存在以下：

1、无法实现或不合理的控制措施

在对内部控制措施的罗列中，有许多是无法实现或者是不合理的要求。例如，要求在会计软件中“安装一个联机审机控制器，用来收集审计人员感兴趣的资料”，要求在程序中设置断点以控制“主文件金额数、记录计数、前一程序指令序号”，“每一个操作运行结束后应有一份打印输出”，通过使用“双重运算、逆运算法”检查错误等等，都是不合理的甚至根本就无法实现的措施。又如对会计软件系统的开发控制和审计是否合理，也是值得商榷的。

2、无需过问的控制措施

有许多控制措施是计算机系统的最基本的功能，并非为会计所设置，审计人员是无需过问的。例如，硬件的冗余检验、奇偶校验、回声检验，操作系统的错误处置、程序保护、文件保护，这些控制都是计算机系统所必备的功能，不应该将它们纳入会计内部控制的范畴，也不应该成为审计的。其实对许多系统保护措施审计人员也无从了解，更谈不上审计。

3、对内部控制的审计内容繁琐

许多文献对内部控制审计方法的介绍不仅内容空洞繁琐，而且空谈许多无法实现的审计方法，严重脱离实际，使审计人员不得要领，抓不住审计的重点。例如，对系统软件的测试是完全没有必要的，因为系统软件一般都比较可靠，而且不会对会计软件系统的安全造成威胁。此外，对会计软件的测试方法中许多方法从技术上看是不可行的，从成本效益原则上看也是不合算的。例如，程序流程图检验法、程序代码检查法都要求审计人员去阅读程序代码以确定会计软件的控制措施是否满足，这确实是一种天方夜谭的设想。又如所谓图示法要求“利用监督程序来测定被测试程序中哪些指令执行过，哪些指令未曾动用”，也是很不现实的方法。

鉴于以上原因，我们认为当前应该全面检讨内部控制的措施一方面通过制订《会计软件基本功能规范》进一步明确会计软件公司的责任，规范会计软件产品的程序系统在数据输入、处理、输出、传输和安全保护的控制功能；另一方面则应通过制订会计基础工作规范，明确推行会计电算化的单位的控制责任，规范必要和切实可行的控制措施。