一、电算化系统一般控制的检查

数据处理方式由机械处理向自动化处理的转变，需要改进传统的审计方法“自动化数据处理系统的复杂性和范围的广泛性，要求审计人员给予处理数据的系统和数据本身更多的关注。如果系统在安全性方面得到合理的保证并具有足够的控制，审计人员就可以信赖被处理的报告的数据。审计人员应该区别一般控制和应用控制。”一般控制通常适用于系统进行的大部分数据处理，而应用控制则可能因应用项目而异，而要分别加以检查。在检查个别应用控制时，审计人员应考虑被查系统一般控制的效果；

1.组织控制。职权和责任的分配必须以能够保证有效果、高效率地实现组织目标的方式进行。审计人员应该检查被审单位的组织结构、职权和责任的分配与分工情况、其目的在于确定职责分工是否能够提供有力的内部控制，例如，程序与系统开发、计算机操作、输入数据的控制、以及保持应用控制的控制小组等职责，在可行的情况下应予以分离。同时，审计人员应从“整个系统”的角度加以考虑。

在检查职责分工情况时，审计人员应该评价控制的强度并报告由于职责分工不够而暴露的弱点。职工定期轮换工作岗位及强制性休假等制度有利于管理部门维持足够的职责分工。审计人员应对这些制度的执行情况加以检查。

2.设施、人员和安全控制，拥有足够的实物设施和其他资源（如训练有素的人员等）是一个单位实现其数据处理目标所必需的。审计人员应该确定被审单位是否拥有满足数据处理需要的足够资源。

人事管理，包括监督、激励和员工的职业发展，是成功的数据处理的组成部分。审计人员应该评价有关的管理方针和惯例，以确定是否制订了必要的方针及方针的执行情况。例如，由于整个计算机领域迅速发展，一个组织的人事管理部门需要制订包括数据处理人员在内的教育和培训计划。该计划应该能够保证职工跟上最新发展，以使他们能够以最佳效果和最高效率履行职责，并能够在工作中采用已经证明为具有成本效益的新方法。数据处理人员培训和发展计划不当可能会阻碍组织目标的实现。

审计人员应该确定被审单位是否制订了有关计算机硬件、计算机程序、数据文件、数据传送、输入和输出资料以及人员的安全规定。该项检查应该不仅涉及中央处理站的计算机设备，还应包括其他地点的小型机、计算机终端、通讯设施及其他设备。

在检查计算机硬件的实物安全性时，审计人员应该考虑为在正常数据处理中断以后继续处理关键应用项目而制订的应急计划是否充分。该计划应包括应急电源和后备硬件的规定以及关于使用后备设备和将人员、程序、表格和数据文件转移到另外的处理地点的详细计划。审计人员还应该考虑该计划经过测试的程度以确定在实际紧急情况下能够继续进行数据处理的可能性。

审计人员还应该检查数据文件的实物安全性；该项检查应保证，在可行的情况下，数据和文件档案资料由不能接触计算机和存取计算机程序的人员保管；文件档案资料安全；计算机操作员和其他人员不能随意接触文档资料；制订有文件备份的规定（包括另外存放备份文件的规定）。在文件联机存储的情况下，审计人员应该考虑是否采取了充分的存取授权控制措施以及备份文件是否有规律地进行拷贝。此外，审计人员还应检查数据备份文件是否做了适当的标志和标签、席计人员还需检查文件的内容以保证文件的完整性和准确性。对子程序备份文件也应建立同样严格的控制。

3.操作系统控制。计算机系统通常由操作系统（也常称为系统软件）控制。由于这些操作系统通常具有数据管理、多道程序管理能力和文件标签检验，以及其他许多授权控制功能，因此，它们是计算机处理一般控制的组成部分。审计人员应该了解操作系统能够执行的控制，并确定这些控制的利用程度以及未被利用的情况。审计人员应该知道哪些人维护操作系统，或有能力修改操作系统。这些人可能有意或无意地破坏操作系统的控制，使其失效。

4.硬件控制。计算机硬件经常能够检查出硬件功能失常而引起的错误。审计人员应该了解：（1）系统设施是如何依赖这些硬件控制的；（2）操作系统如何利用这些硬件控制；（3）系统如何报告检查出的错误，以及纠正错误的程序。

二、电算化系统应用控制的检查

在对所有应用项目的数据处理的可靠性或完整性进行估计之前，必须对具体的应用控制和一般控制措施进行全面的评价。

依据这一准则进行审计工作有两个目的，兹分述如下：

1.与标准及批准的设计相符。第一个目的是确定建成的应用项目或系统是否符合适用的标准及最后批准的设计规格。审计人员遵循这一准则，可以为批准的规格，包括所有嵌入的内部控制（如输入、处理和输出控制），都已按要求装入系统，留有适当的文档资料，并经过了充分的测试提供合理的保证。

审计人员在测试数据的可靠性时，其测试应包括检查选择的测试业务的文档资料，测试业务记录与汇总的准确性，测试业务处理与控制手续的符合性。此外，审计人员可能希望通过测试选择的部分数据文件以确定可能的例外情况和数据转换或采集的准确性。如果数据文件以机器可读的形式保存，在适当的条件下，审计人员应当采用计算机辅助审计技术加以测试。

2.控制弱点的测试。第二个目的是测试内部控制和处理的数据的可靠性。在评价控制的充分性的基础上，这些测试可以发现应用项目或系统中的可能的弱点。这些审计应该详细考察应用项目或系统的优点和弱点、带来风险的环境等等。发现弱点后，审计人员应促使被审单位对应用系统进行纠正性修改，并趋于完善。此外，在实施测试时，审计人员还应注意，保证系统一贯按照最后批准的规格运行是非常困难的，因此，最重要的是以程序变动、程序文档以及操作规程等进行充分的控制。尽管检查舞弊行为并非审计的首要目标，但审计人员必须对计算机系统中发现舞弊或其他不合规行为的可能性保持高度的警惕。

这些与传统账项基础审计理论相距甚远的观点和理论，实际上已经构成现代审计技术与方法的基石，为审计技术与方法的研究、选择和运用指明了方向。

（二）审计技术和方法的运用目的，绝不仅仅是查问题，多数情况是证明被审计事项的合理性。

提到审计技术与方法的总结和研究，我国审计人员往往存在一个误区，认为所谓审计技术或审计方法，就是查问题的技术、查舞弊的方法。其实，在现代审计的理论和背景下，许多审计技术和方法的研究，更多的是为了确定被审计事项的总体合理性。如果在审计风险可以接受的范围内，利用某种审计技术可以确认被审计事项的总体合理性，审计人员就不必再投入更多的审计资源进行测试；如果运用审计技术后发现被审计事项的总体合理性有问题，再分析是否应当进行进一步的余额细节测试。本文由中国论文联盟收集整理。

（三）审计技术与方法强调为全面的审计评价服务。

这个特点和我国国家审计机关以前的审计实践有比较明显的区别。我国审计机关的审计人员比较习惯于揭露被审计事项的问题，而不熟悉如何对被审计事项的真实、合法和效益性进行总体评价。事实上，随着我国国家审计基本准则的颁布以及经济责任审计等工作的开展，国家审计对被审计事项进行总体评价已经是大势所趋。目前国际通行的审计技术与方法，都是基于全面评价这一基础而开发的，比较典型的就是统计抽样技术在审计中的运用。统计抽样审计技术的目的就在于通过对少量样本的检查和测试，来推断被审计事项的总体合理性，如果审计人员不关注总体，只关心被抽查样本本身，那么统计抽样审计技术就没有必要存在。

特点三：审计技术与方法研究的科学化、规范化、智能化和系统化

所谓科学化，是指现代审计技术与方法的研究，已经超越了传统的经验论，非常强调把科学手段和经验总结相结合。比较典型的例子就是分析性复核技术的发展。所谓分析性复核，其实质就是将审计人员掌握的一些客观规律总结出来，测算出被审计事项的合理预期值，再与被审计事项的实际值相比较，进一步评估差异的合理性之后，确定是否还需要对被审计事项进行详细的余额测试。这一个过程，实际上被许多审计人员不自觉地运用了多年，但通过公式和比率等形式总结出来，主动指导审计人员的实践，却是最近20年来审计技术与方法研究的一大突出特点。科学化的另一个表现就是数学和统计学技术在审计中的运用日益广泛，抽样统计技术的全面推广就是例证。

所谓规范化，是指审计机构将审计程序设计与审计技术方法的运用有机结合，规范和引导审计人员运用适当的审计技术和方法。以往，审计人员在运用审计技术和方法的过程中容易有较大的随意性，用与不用，在什么时候用，如何使用，都没有规范和约束，导致整个审计机构的标准不统一，质量没有保证。随着程序导向式审计软件平台的开发和广泛运用，越来越多的审计机构开始把审计技术与方法融入到规范的审计程序之中，要求并指导审计人员合理运用审计技术。例如，德勤会计公司在其全球统一的审计程序软件AS／2中，就嵌入了用于回归分析的软件STAR，要求审计人员在对销售收入等许多项目实施分析性复核时，直接利用嵌入的STAR软件进行评估。这样的好处是，在规范分析性复核技术的同时，降低了审计人员的学习成本，审计根本不需要了解STAR软件背后的公式和原理，只需要按照程序软件的提示就可以完成相应的工作。

所谓智能化，强调的就是将历史经验总结、科学规律推导和审计人员的专业判断结合起来，指导审计人员得出合理的审计结论。在审计过程中，数学、统计学的分析结果，都不能完全替代审计人员的专业判断，因为在其利用的数学公式中，仍然有许多变量需要审计人员主观确定。在这种情况下，越来越多的审计机构，倾向于在审计软件中为审计人员的决策提供参考。目前，许多审计机构不惜花巨资，邀请审计领域的专家，分析在各种情况下常见的审计策略或方法以及对不同审计结果的判断标准。当然，对审计而言，智能化永远都是一个相对的概念，电脑和机器永远不能替代审计人员的决策，但提供决策辅助和参考意见，确实非常必要。

所谓系统化，是指审计战略（策略）和审计技术方法的全面协调。审计战略（策略）解决的是要审什么、想达到什么目的，审计技术和方法解决的是怎么审和怎么达到目的，这两者的协调是审计技术与方法的研究成果得以全面运用的关键。回顾最近20多年来审计技术与方法的研究历程，可以清晰地发现，审计技术的研究和运用完全是在风险基础审计理论指导下的开拓和发展，而脱离理论指导的实践经验总结相对越来越少。这一点给我们的启示在于，审计技术与方法的研究，不能超越基本审计理论和审计目标的研究，也不能脱离审计战略和审计目标的总体要求。中国论文联盟-