財(cái)務(wù)信息系統(tǒng)及其審計(jì)方法

　　財(cái)務(wù)信息系統(tǒng)的發(fā)展

　　財(cái)務(wù)信息系統(tǒng)（FIS）是指利用信息技術(shù)對(duì)財(cái)務(wù)信息及相關(guān)信息進(jìn)行采集、存儲(chǔ)、分析和報(bào)告，以支持組織的管理和決策。它是企業(yè)信息系統(tǒng)的有機(jī)組成部分，可分為三個(gè)發(fā)展階段：

　　1.面向事務(wù)處理，完成部門(mén)內(nèi)的信息集成

　　此階段的系統(tǒng)平臺(tái)為單機(jī)、文件服務(wù)器或數(shù)據(jù)庫(kù)服務(wù)器的局域網(wǎng)。

　　FIS只采集那些影響企業(yè)資產(chǎn)、負(fù)債或所有者權(quán)益的價(jià)值信息，數(shù)據(jù)來(lái)源單一，可實(shí)現(xiàn)會(huì)計(jì)核算的自動(dòng)化、會(huì)計(jì)報(bào)表的自動(dòng)生成，完成事后分析及輔助決策。但FIS未收集對(duì)決策有用的非價(jià)值信息，如市場(chǎng)、競(jìng)爭(zhēng)對(duì)手、上下游企業(yè)、機(jī)器設(shè)備的性能等，無(wú)法進(jìn)行有效的事前控制。

　　2.面向系統(tǒng)，完成企業(yè)內(nèi)的過(guò)程集成

　　此階段的系統(tǒng)平臺(tái)為覆蓋整個(gè)企業(yè)C／S結(jié)構(gòu)的局域網(wǎng)系統(tǒng)。以ERP軟件為代表，采用事件（業(yè)務(wù)）驅(qū)動(dòng)方式，財(cái)務(wù)信息的采集、存儲(chǔ)、處理、傳輸嵌入在業(yè)務(wù)處理模塊中，業(yè)務(wù)發(fā)生時(shí)即可實(shí)時(shí)采集詳盡的業(yè)務(wù)及財(cái)務(wù)數(shù)據(jù)，執(zhí)行控制與處理，使FIS與業(yè)務(wù)系統(tǒng)融為一體。所采集數(shù)據(jù)以原始、未經(jīng)處理的方式存放；數(shù)據(jù)庫(kù)中大部分記錄是記錄業(yè)務(wù)事件的個(gè)體特征和屬性。ERP系統(tǒng)突破了“資產(chǎn)=負(fù)債+所有者權(quán)益”的管理模式，不以編制財(cái)務(wù)報(bào)表為主要目的，而是面向業(yè)務(wù)流程（過(guò)程），致力于集成整個(gè)企業(yè)的數(shù)據(jù)和信息流，實(shí)現(xiàn)各應(yīng)用模塊間的協(xié)同工作，提高效率和控制水平。此階段的FIS已轉(zhuǎn)化為MIS中的一個(gè)子系統(tǒng)，財(cái)務(wù)部門(mén)已從被動(dòng)地依賴(lài)各業(yè)務(wù)部門(mén)反映財(cái)務(wù)管理所需的業(yè)務(wù)數(shù)據(jù)，轉(zhuǎn)向與業(yè)務(wù)部門(mén)緊密結(jié)合，主動(dòng)地在業(yè)務(wù)發(fā)生時(shí)獲取詳細(xì)信息，執(zhí)行事中控制。

　　3.面向決策，完成企業(yè)間的過(guò)程集成

　　此階段的系統(tǒng)平臺(tái)采用B/S網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)現(xiàn)企業(yè)間FIS的互聯(lián)；利用數(shù)據(jù)倉(cāng)庫(kù)、OLAP、數(shù)據(jù)挖掘技術(shù)，建立綜合決策支持系統(tǒng)；傳統(tǒng)的ERP廠商在提供軟件的同時(shí)，還會(huì)為客戶(hù)提供e-business平臺(tái)。特點(diǎn)：企業(yè)借助互聯(lián)網(wǎng)將自身業(yè)務(wù)系統(tǒng)與供應(yīng)商、客戶(hù)聯(lián)系起來(lái)，實(shí)現(xiàn)電子商務(wù)。由于建立起完整的價(jià)值鏈，企業(yè)能迅速了解市場(chǎng)變化，真正做到了對(duì)業(yè)務(wù)的事前（計(jì)劃）、事中（執(zhí)行）、事后（分析）的全程控制；具備動(dòng)態(tài)建模能力，能靈活地定義和維護(hù)業(yè)務(wù)流程、業(yè)務(wù)對(duì)象和軟件組件的映射關(guān)系，支持業(yè)務(wù)流程的持續(xù)改進(jìn)。

　　IT環(huán)境下的財(cái)務(wù)控制不只是控制財(cái)務(wù)風(fēng)險(xiǎn)，而是重點(diǎn)控制各種業(yè)務(wù)過(guò)程風(fēng)險(xiǎn)與信息過(guò)程風(fēng)險(xiǎn)，重視財(cái)務(wù)部門(mén)與各個(gè)業(yè)務(wù)部門(mén)之間的合作。具體來(lái)講，有以下三個(gè)方面：

　　1.業(yè)務(wù)過(guò)程風(fēng)險(xiǎn)

　　業(yè)務(wù)過(guò)程風(fēng)險(xiǎn)指向客戶(hù)提供商品和勞務(wù)過(guò)程中出現(xiàn)意外的風(fēng)險(xiǎn)。包括：（1）可控風(fēng)險(xiǎn)。例如，確認(rèn)的業(yè)務(wù)活動(dòng)發(fā)生時(shí)間和次序有錯(cuò)誤；業(yè)務(wù)活動(dòng)的發(fā)生未經(jīng)適當(dāng)?shù)氖跈?quán)；業(yè)務(wù)活動(dòng)引入了錯(cuò)誤的參與者等。（2）不可控風(fēng)險(xiǎn)。例如，地震、火災(zāi)、颶風(fēng)等不可抗力的出現(xiàn)。

　　2.信息過(guò)程風(fēng)險(xiǎn)

　　信息過(guò)程風(fēng)險(xiǎn)指信息的記錄、維護(hù)和報(bào)告出現(xiàn)意外的可能性，均為可控風(fēng)險(xiǎn)。包括：（1）記錄風(fēng)險(xiǎn)。記錄的業(yè)務(wù)數(shù)據(jù)不合法（偽造業(yè)務(wù)數(shù)據(jù)）、不完整（遺漏了經(jīng)濟(jì)活動(dòng)的關(guān)鍵特征）和不準(zhǔn)確。（2）維護(hù)風(fēng)險(xiǎn)。已存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)不能及時(shí)反映業(yè)務(wù)活動(dòng)的最新變化（如參與者、運(yùn)作方式的變更）。（3）報(bào)告風(fēng)險(xiǎn)。數(shù)據(jù)分層與提煉的方式不恰當(dāng)，無(wú)法滿(mǎn)足管理會(huì)計(jì)的需求；信息的使用未經(jīng)授權(quán)，報(bào)告提供給了不恰當(dāng)?shù)娜恕?br>
　　3.監(jiān)督風(fēng)險(xiǎn)

　　IT環(huán)境下，財(cái)務(wù)部門(mén)的很多核算工作，包括原始數(shù)據(jù)的錄入、修改均在業(yè)務(wù)端進(jìn)行，財(cái)務(wù)部與各業(yè)務(wù)部門(mén)間的協(xié)調(diào)、對(duì)業(yè)務(wù)之操作權(quán)限、操作流水的動(dòng)態(tài)監(jiān)控就顯得尤為重要。

　　財(cái)務(wù)信息系統(tǒng)的審計(jì)方法

　　電子商務(wù)時(shí)代，并行（在線）審計(jì)方法變得越來(lái)越重要。它為審計(jì)師提供了能持續(xù)監(jiān)控系統(tǒng)運(yùn)行可靠性、在無(wú)紙化環(huán)境中能實(shí)時(shí)采集審計(jì)證據(jù)的方法。對(duì)FIS的審計(jì)主要有以下兩種方法：

　　1.系統(tǒng)控制審計(jì)復(fù)核文件和嵌入審計(jì)模塊（System Control Audit Review File and Embedded Audit Modules， SCARF/EAM）

　　該方法是指在系統(tǒng)軟件或應(yīng)用軟件中嵌入審計(jì)模塊，系統(tǒng)在進(jìn)行業(yè)務(wù)處理時(shí)，同時(shí)按指定要求采集審計(jì)證據(jù)，采集到的審計(jì)證據(jù)可直接打印輸出或存儲(chǔ)在專(zhuān)門(mén)的審計(jì)文件中，供事后查看。

　　2.綜合測(cè)試（Integrated Test Facilities， ITF）

　　在被審單位的應(yīng)用系統(tǒng)中建立一個(gè)虛擬實(shí)體，如一筆虛擬的銷(xiāo)售合同、存貨購(gòu)入或證券投資，并為該實(shí)體編制測(cè)試數(shù)據(jù)，將測(cè)試數(shù)據(jù)與正常生產(chǎn)數(shù)據(jù)一同輸入應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)有專(zhuān)門(mén)識(shí)別處理測(cè)試數(shù)據(jù)的程序，通過(guò)把應(yīng)用系統(tǒng)對(duì)測(cè)試數(shù)據(jù)的處理結(jié)果與獨(dú)立計(jì)算出的測(cè)試數(shù)據(jù)結(jié)果相比較，可評(píng)價(jià)應(yīng)用系統(tǒng)的控制與處理邏輯是否適當(dāng)與可靠。

　�。�1）如何編制測(cè)試數(shù)據(jù)

　　方法一：將被審單位的一部分正常生產(chǎn)數(shù)據(jù)做上標(biāo)記，作為測(cè)試數(shù)據(jù)。做標(biāo)記可選用以下方法：①修改數(shù)據(jù)結(jié)構(gòu)，在數(shù)據(jù)庫(kù)中為每條記錄增加一個(gè)字段，標(biāo)識(shí)其既是正常生產(chǎn)數(shù)據(jù)又是測(cè)試數(shù)據(jù)，測(cè)試數(shù)據(jù)由審計(jì)師現(xiàn)場(chǎng)選定；②利用嵌入應(yīng)用系統(tǒng)的審計(jì)模塊或?qū)ｉT(mén)的抽樣程序，對(duì)生產(chǎn)數(shù)據(jù)隨機(jī)抽樣。

　　這種方法需要修改數(shù)據(jù)結(jié)構(gòu)和應(yīng)用程序，審計(jì)師難以獨(dú)立完成。同時(shí)，生產(chǎn)數(shù)據(jù)中例外情況或接近臨界值的數(shù)據(jù)較少，不能全面測(cè)試系統(tǒng)應(yīng)用邏輯的各個(gè)分支。

　　方法二：審計(jì)師自行設(shè)計(jì)測(cè)試數(shù)據(jù)，與生產(chǎn)數(shù)據(jù)一同輸入系統(tǒng)。這種方法需要審計(jì)師全面了解應(yīng)用系統(tǒng)的各種處理流程，才能設(shè)計(jì)出覆蓋整體應(yīng)用程序的測(cè)試數(shù)據(jù)。

　�。�2）綜合測(cè)試法建立虛擬實(shí)體，向生產(chǎn)系統(tǒng)輸入了冗余數(shù)據(jù)，如何消除這些數(shù)據(jù)對(duì)生產(chǎn)系統(tǒng)的影響？

　　方法一：修改應(yīng)用程序，使其進(jìn)行財(cái)務(wù)處理時(shí)不將審計(jì)師自行設(shè)計(jì)的測(cè)試數(shù)據(jù)計(jì)算在內(nèi)。但修改源程序會(huì)增加軟件編程者在應(yīng)用程序中嵌入非法代碼的機(jī)會(huì)，也增加了源程序版本維護(hù)的工作量。

　　方法二：審計(jì)師及時(shí)輸入抵銷(xiāo)分錄。盡管不必修改源程序，但對(duì)會(huì)計(jì)科目的發(fā)生額仍有影響，不便于與相關(guān)科目的勾稽。

　　財(cái)務(wù)信息系統(tǒng)審計(jì)中值得關(guān)注的幾個(gè)問(wèn)題

　　1.要詳細(xì)了解企業(yè)全部的業(yè)務(wù)活動(dòng)及與之對(duì)應(yīng)的信息處理過(guò)程

　　通過(guò)了解這些情況，確定在信息系統(tǒng)中設(shè)置了哪些內(nèi)部控制程序，捕捉能觸發(fā)記錄會(huì)計(jì)原始數(shù)據(jù)的關(guān)鍵點(diǎn)。以現(xiàn)行ERP系統(tǒng)為例：

　�。�1）采購(gòu)部材料采購(gòu)——關(guān)鍵控制點(diǎn)：錄入采購(gòu)定單并回車(chē)確認(rèn)，系統(tǒng)自動(dòng)生成分錄：

　　借：物資采購(gòu)

　　貸：應(yīng)計(jì)負(fù)債

　�。�2）庫(kù)房設(shè)備入庫(kù)——關(guān)鍵控制點(diǎn)：取得采購(gòu)發(fā)票，錄入入庫(kù)單并回車(chē)確認(rèn)，系統(tǒng)自動(dòng)生成分錄：

　　借：原材料

　　貸：物資采購(gòu)

　　（3）商務(wù)中心確認(rèn)應(yīng)付賬款——關(guān)鍵控制點(diǎn)：系統(tǒng)按入庫(kù)單自動(dòng)確認(rèn)并生成分錄：

　　借：應(yīng)計(jì)負(fù)債

　　應(yīng)交稅金——應(yīng)交增值稅（進(jìn)項(xiàng)稅）

　　貸：應(yīng)付賬款

　�。�4）財(cái)務(wù)部支付貨款——關(guān)鍵控制點(diǎn)：會(huì)計(jì)依據(jù)采購(gòu)發(fā)票錄入轉(zhuǎn)賬支票號(hào)碼并確認(rèn)，系統(tǒng)自動(dòng)生成分錄：

　　借：應(yīng)付賬款

　　貸：銀行存款/現(xiàn)金

　　2.檢查應(yīng)用系統(tǒng)中每個(gè)職工的權(quán)限設(shè)置

　　重點(diǎn)要檢查業(yè)務(wù)人員的權(quán)限是否與其崗位相匹配，不相容職務(wù)是否已分離，如：數(shù)據(jù)庫(kù)或系統(tǒng)管理員不能是系統(tǒng)的開(kāi)發(fā)者；證券公司大客戶(hù)管理員不應(yīng)同時(shí)擁有資金柜的存取款權(quán)限；庫(kù)房管理員不應(yīng)擁有對(duì)進(jìn)出存貨記錄的修改權(quán)。

　　3.對(duì)原始業(yè)務(wù)信息實(shí)施源頭控制

　�。�1）檢查銷(xiāo)售合同、采購(gòu)發(fā)票、入庫(kù)單等書(shū)面原始憑證上的信息是否與錄入計(jì)算機(jī)內(nèi)的數(shù)據(jù)完全一致，不僅要核對(duì)總金額，明細(xì)項(xiàng)的金額也必須完全一致。比如某企業(yè)按發(fā)出商品確認(rèn)收入，而恰好某些銷(xiāo)售訂單又是跨期發(fā)貨，如果錄入計(jì)算機(jī)內(nèi)的各明細(xì)商品價(jià)格與銷(xiāo)售定單相應(yīng)明細(xì)項(xiàng)價(jià)格存在差異，那么即使該筆定單計(jì)算機(jī)內(nèi)錄入的總金額與書(shū)面合同金額完全一致，也會(huì)引起收入確認(rèn)的跨期。

　　（2）區(qū)分核算會(huì)計(jì)與管理會(huì)計(jì)的數(shù)據(jù)源。IT技術(shù)的應(yīng)用使企業(yè)采集、提煉的管理會(huì)計(jì)數(shù)據(jù)更豐富和全面，但審計(jì)師應(yīng)注意檢查信息系統(tǒng)進(jìn)行會(huì)計(jì)核算的基礎(chǔ)數(shù)據(jù)是否只源自最原始的會(huì)計(jì)數(shù)據(jù)而非經(jīng)加工過(guò)的管理會(huì)計(jì)數(shù)據(jù)。

　　4.關(guān)注業(yè)務(wù)處理中調(diào)整事項(xiàng)的審批與復(fù)核

　　目前企業(yè)應(yīng)用的ERP軟件主要包括采購(gòu)、庫(kù)存、銷(xiāo)售、應(yīng)收、應(yīng)付及總賬管理等模塊，各模塊既有各自的獨(dú)立功能又能相互關(guān)聯(lián)。以O(shè)RACLE RDMS 8.0.5 version為例，如果企業(yè)按發(fā)貨確認(rèn)收入，那么在庫(kù)存模塊，一旦輸入要出庫(kù)設(shè)備的明細(xì)（包括型號(hào)、單價(jià)、數(shù)量）并執(zhí)行出庫(kù)確認(rèn)命令，系統(tǒng)即自動(dòng)按本次發(fā)貨的總銷(xiāo)價(jià)確認(rèn)收入，開(kāi)具系統(tǒng)發(fā)票，并按指定的成本結(jié)轉(zhuǎn)方法計(jì)算出庫(kù)設(shè)備的相應(yīng)成本，以保證收入成本的配比。但ERP在固化業(yè)務(wù)流程的同時(shí)，也提供了一定功能的靈活性，如在應(yīng)收模塊，輸入銷(xiāo)售定單編號(hào)即可對(duì)已發(fā)貨的訂單進(jìn)行收入的調(diào)整，但此時(shí)ERP系統(tǒng)不會(huì)自動(dòng)與存貨模塊鏈接，也就是說(shuō)不會(huì)自動(dòng)結(jié)轉(zhuǎn)與所調(diào)整收入金額相配比的成本。由于對(duì)應(yīng)收模塊的操作一般由業(yè)務(wù)部進(jìn)行，如果財(cái)務(wù)部不對(duì)業(yè)務(wù)部實(shí)施有效監(jiān)督，那么業(yè)務(wù)部只在應(yīng)收模塊手工調(diào)整的某筆收入，就會(huì)導(dǎo)致收入與成本的不配比。

　　5.關(guān)注對(duì)信息資源的管理

　　信息資源包括數(shù)據(jù)（庫(kù)）、源程序、經(jīng)編譯的目標(biāo)程序等，它們是系統(tǒng)正常運(yùn)行的基礎(chǔ)，需要特別關(guān)注：

　�。�1）如何系統(tǒng)源代碼在被審期間經(jīng)過(guò)修改，審計(jì)師應(yīng)抽查程序庫(kù)，檢查現(xiàn)運(yùn)行的目標(biāo)程序版本是否與源程序版本一致。

　　（2）如被審期間企業(yè)增添了新業(yè)務(wù)，審計(jì)師應(yīng)關(guān)注其新業(yè)務(wù)系統(tǒng)的測(cè)試。測(cè)試應(yīng)由財(cái)務(wù)部、相關(guān)業(yè)務(wù)部門(mén)主持，軟件系統(tǒng)開(kāi)發(fā)人員不應(yīng)參與測(cè)試方案與測(cè)試數(shù)據(jù)的建立；除了測(cè)試自身模塊的應(yīng)用邏輯外，還應(yīng)測(cè)試該模塊與其他模塊的銜接，關(guān)注增加新模塊后系統(tǒng)的整體性測(cè)試，包括數(shù)據(jù)格式是否一致、參數(shù)屬性（局部/全局）是否會(huì)改變等。

　�。�3）日常業(yè)務(wù)數(shù)據(jù)的維護(hù)。通信網(wǎng)絡(luò)采用了何種數(shù)據(jù)加密技術(shù)，進(jìn)而評(píng)價(jià)通信網(wǎng)絡(luò)的可靠性；數(shù)據(jù)是否有異地備份，當(dāng)不可抗力出現(xiàn)時(shí)，系統(tǒng)能否具備災(zāi)難恢復(fù)能力；審計(jì)師應(yīng)要求拷貝客戶(hù)的業(yè)務(wù)數(shù)據(jù)，以便檢查客戶(hù)為審計(jì)師提供數(shù)據(jù)是否經(jīng)其高層授權(quán)審批，是否能保證信息資源只提供給恰當(dāng)?shù)娜�，判斷客�?hù)提供的數(shù)據(jù)是否真實(shí)、完整，分析性復(fù)核客戶(hù)的業(yè)務(wù)是否存在異常。