政府经济效益和项目成果审计的第五项检查和评价准则是:
审计人员应当:
1.检查数据处理系统中的一般控制,以确定:(a)设计的控制是否符合管理方针和法律要求;(b)控制能否有效地发挥作用,保证数据处理的可靠性和安全性;
2.检查数据处理系统中的应用控制,并据此评价应用控制在保证数据处理的及时性、准确性和完整性方面的可靠程度;
除检查一般控制和应用控制外,审计人员还应参与新数据处理系统或应用项目的设计与开发以及其后所进行的重大修改工作。
可能的情况是,开发出来的数据处理系统缺乏控制措施,因此管理人员和审计人员就不能依赖其完整性。所以,如果管理部门指望正在开发的系统在可审性和适当控制方面得到合理的保证,那么审计人员在系统设计与开发过程中的检查就是至关重要的。要达到这一目标并不总是可行的,因为审计机构可能没有检查系统设计与开发所需的资源或人力。但是,这项检查应当作为一个审计目标。
一、电算化系统一般控制的检查
数据处理方式由机械处理向自动化处理的转变,需要改进传统的审计方法"自动化数据处理系统的复杂性和范围的广泛性,要求审计人员给予处理数据的系统和数据本身更多的关注。如果系统在安全性方面得到合理的保证并具有足够的控制,审计人员就可以信赖被处理的报告的数据。审计人员应该区别一般控制和应用控制。"一般控制通常适用于系统进行的大部分数据处理,而应用控制则可能因应用项目而异,而要分别加以检查。在检查个别应用控制时,审计人员应考虑被查系统一般控制的效果;
1.组织控制。职权和责任的分配必须以能够保证有效果、高效率地实现组织目标的方式进行。审计人员应该检查被审单位的组织结构、职权和责任的分配与分工情况、其目的在于确定职责分工是否能够提供有力的内部控制,例如,程序与系统开发、计算机操作、输入数据的控制、以及保持应用控制的控制小组等职责,在可行的情况下应予以分离。同时,审计人员应从"整个系统"的角度加以考虑。
在检查职责分工情况时,审计人员应该评价控制的强度并报告由于职责分工不够而暴露的弱点。职工定期轮换工作岗位及强制性休假等制度有利于管理部门维持足够的职责分工。审计人员应对这些制度的执行情况加以检查。
2.设施、人员和安全控制,拥有足够的实物设施和其他资源(如训练有素的人员等)是一个单位实现其数据处理目标所必需的。审计人员应该确定被审单位是否拥有满足数据处理需要的足够资源。
人事管理,包括监督、激励和员工的职业发展,是成功的数据处理的组成部分。审计人员应该评价有关的管理方针和惯例,以确定是否制订了必要的方针及方针的执行情况。例如,由于整个计算机领域迅速发展,一个组织的人事管理部门需要制订包括数据处理人员在内的教育和培训计划。该计划应该能够保证职工跟上最新发展,以使他们能够以最佳效果和最高效率履行职责,并能够在工作中采用已经证明为具有成本效益的新方法。数据处理人员培训和发展计划不当可能会阻碍组织目标的实现。
审计人员应该确定被审单位是否制订了有关计算机硬件、计算机程序、数据文件、数据传送、输入和输出资料以及人员的安全规定。该项检查应该不仅涉及中央处理站的计算机设备,还应包括其他地点的小型机、计算机终端、通讯设施及其他外围设备。
在检查计算机硬件的实物安全性时,审计人员应该考虑为在正常数据处理中断以后继续处理关键应用项目而制订的应急计划是否充分。该计划应包括应急电源和后备硬件的规定以及关于使用后备设备和将人员、程序、表格和数据文件转移到另外的处理地点的详细计划。审计人员还应该考虑该计划经过测试的程度以确定在实际紧急情况下能够继续进行数据处理的可能性。
审计人员还应该检查数据文件的实物安全性;该项检查应保证,在可行的情况下,数据和文件档案资料由不能接触计算机和存取计算机程序的人员保管;文件档案资料安全;计算机操作员和其他人员不能随意接触文档资料;制订有文件备份的规定(包括另外存放备份文件的规定)。在文件联机存储的情况下,审计人员应该考虑是否采取了充分的存取授权控制措施以及备份文件是否有规律地进行拷贝。此外,审计人员还应检查数据备份文件是否做了适当的标志和标签、席计人员还需检查文件的内容以保证文件的完整性和准确性。对子程序备份文件也应建立同样严格的控制。
3.操作系统控制。计算机系统通常由操作系统(也常称为系统软件)控制。由于这些操作系统通常具有数据管理、多道程序管理能力和文件标签检验,以及其他许多授权控制功能,因此,它们是计算机处理一般控制的组成部分。审计人员应该了解操作系统能够执行的控制,并确定这些控制的利用程度以及未被利用的情况。审计人员应该知道哪些人维护操作系统,或有能力修改操作系统。这些人可能有意或无意地破坏操作系统的控制,使其失效。
4.硬件控制。计算机硬件经常能够检查出硬件功能失常而引起的错误。审计人员应该了解:(1)系统设施是如何依赖这些硬件控制的;(2)操作系统如何利用这些硬件控制;(3)系统如何报告检查出的错误,以及纠正错误的程序。
二、电算化系统应用控制的检查
在对所有应用项目的数据处理的可靠性或完整性进行估计之前,必须对具体的应用控制和一般控制措施进行全面的评价。
依据这一准则进行审计工作有两个目的,兹分述如下:
1.与标准及批准的设计相符。第一个目的是确定建成的应用项目或系统是否符合适用的标准及最后批准的设计规格。审计人员遵循这一准则,可以为批准的规格,包括所有嵌入的内部控制(如输入、处理和输出控制),都已按要求装入系统,留有适当的文档资料,并经过了充分的测试提供合理的保证。
审计人员在测试数据的可靠性时,其测试应包括检查选择的测试业务的文档资料,测试业务记录与汇总的准确性,测试业务处理与控制手续的符合性。此外,审计人员可能希望通过测试选择的部分数据文件以确定可能的例外情况和数据转换或采集的准确性。如果数据文件以机器可读的形式保存,在适当的条件下,审计人员应当采用计算机辅助审计技术加以测试。
2.控制弱点的测试。第二个目的是测试内部控制和处理的数据的可靠性。在评价控制的充分性的基础上,这些测试可以发现应用项目或系统中的可能的弱点。这些审计应该详细考察应用项目或系统的优点和弱点、带来风险的环境等等。发现弱点后,审计人员应促使被审单位对应用系统进行纠正性修改,并趋于完善。此外,在实施测试时,审计人员还应注意,保证系统一贯按照最后批准的规格运行是非常困难的,因此,最重要的是以程序变动、程序文档以及操作规程等进行充分的控制。尽管检查舞弊行为并非审计的首要目标,但审计人员必须对计算机系统中发现舞弊或其他不合规行为的可能性保持高度的警惕。