財務(wù)信息系統(tǒng)及其審計方法

　　財務(wù)信息系統(tǒng)的發(fā)展

　　財務(wù)信息系統(tǒng)（FIS）是指利用信息技術(shù)對財務(wù)信息及相關(guān)信息進行采集、存儲、分析和報告，以支持組織的管理和決策。它是企業(yè)信息系統(tǒng)的有機組成部分，可分為三個發(fā)展階段：

　　1.面向事務(wù)處理，完成部門內(nèi)的信息集成

　　此階段的系統(tǒng)平臺為單機、文件服務(wù)器或數(shù)據(jù)庫服務(wù)器的局域網(wǎng)。

　　FIS只采集那些影響企業(yè)資產(chǎn)、負(fù)債或所有者權(quán)益的價值信息，數(shù)據(jù)來源單一，可實現(xiàn)會計核算的自動化、會計報表的自動生成，完成事后分析及輔助決策。但FIS未收集對決策有用的非價值信息，如市場、競爭對手、上下游企業(yè)、機器設(shè)備的性能等，無法進行有效的事前控制。

　　2.面向系統(tǒng)，完成企業(yè)內(nèi)的過程集成

　　此階段的系統(tǒng)平臺為覆蓋整個企業(yè)C／S結(jié)構(gòu)的局域網(wǎng)系統(tǒng)。以ERP軟件為代表，采用事件（業(yè)務(wù)）驅(qū)動方式，財務(wù)信息的采集、存儲、處理、傳輸嵌入在業(yè)務(wù)處理模塊中，業(yè)務(wù)發(fā)生時即可實時采集詳盡的業(yè)務(wù)及財務(wù)數(shù)據(jù)，執(zhí)行控制與處理，使FIS與業(yè)務(wù)系統(tǒng)融為一體。所采集數(shù)據(jù)以原始、未經(jīng)處理的方式存放；數(shù)據(jù)庫中大部分記錄是記錄業(yè)務(wù)事件的個體特征和屬性。ERP系統(tǒng)突破了“資產(chǎn)=負(fù)債+所有者權(quán)益”的管理模式，不以編制財務(wù)報表為主要目的，而是面向業(yè)務(wù)流程（過程），致力于集成整個企業(yè)的數(shù)據(jù)和信息流，實現(xiàn)各應(yīng)用模塊間的協(xié)同工作，提高效率和控制水平。此階段的FIS已轉(zhuǎn)化為MIS中的一個子系統(tǒng)，財務(wù)部門已從被動地依賴各業(yè)務(wù)部門反映財務(wù)管理所需的業(yè)務(wù)數(shù)據(jù)，轉(zhuǎn)向與業(yè)務(wù)部門緊密結(jié)合，主動地在業(yè)務(wù)發(fā)生時獲取詳細信息，執(zhí)行事中控制。

　　3.面向決策，完成企業(yè)間的過程集成

　　此階段的系統(tǒng)平臺采用B/S網(wǎng)絡(luò)結(jié)構(gòu)，實現(xiàn)企業(yè)間FIS的互聯(lián)；利用數(shù)據(jù)倉庫、OLAP、數(shù)據(jù)挖掘技術(shù)，建立綜合決策支持系統(tǒng)；傳統(tǒng)的ERP廠商在提供軟件的同時，還會為客戶提供e-business平臺。特點：企業(yè)借助互聯(lián)網(wǎng)將自身業(yè)務(wù)系統(tǒng)與供應(yīng)商、客戶聯(lián)系起來，實現(xiàn)電子商務(wù)。由于建立起完整的價值鏈，企業(yè)能迅速了解市場變化，真正做到了對業(yè)務(wù)的事前（計劃）、事中（執(zhí)行）、事后（分析）的全程控制；具備動態(tài)建模能力，能靈活地定義和維護業(yè)務(wù)流程、業(yè)務(wù)對象和軟件組件的映射關(guān)系，支持業(yè)務(wù)流程的持續(xù)改進。

　　IT環(huán)境下的財務(wù)控制不只是控制財務(wù)風(fēng)險，而是重點控制各種業(yè)務(wù)過程風(fēng)險與信息過程風(fēng)險，重視財務(wù)部門與各個業(yè)務(wù)部門之間的合作。具體來講，有以下三個方面：

　　1.業(yè)務(wù)過程風(fēng)險

　　業(yè)務(wù)過程風(fēng)險指向客戶提供商品和勞務(wù)過程中出現(xiàn)意外的風(fēng)險。包括：（1）可控風(fēng)險。例如，確認(rèn)的業(yè)務(wù)活動發(fā)生時間和次序有錯誤；業(yè)務(wù)活動的發(fā)生未經(jīng)適當(dāng)?shù)氖跈?quán)；業(yè)務(wù)活動引入了錯誤的參與者等。（2）不可控風(fēng)險。例如，地震、火災(zāi)、颶風(fēng)等不可抗力的出現(xiàn)。

　　2.信息過程風(fēng)險

　　信息過程風(fēng)險指信息的記錄、維護和報告出現(xiàn)意外的可能性，均為可控風(fēng)險。包括：（1）記錄風(fēng)險。記錄的業(yè)務(wù)數(shù)據(jù)不合法（偽造業(yè)務(wù)數(shù)據(jù)）、不完整（遺漏了經(jīng)濟活動的關(guān)鍵特征）和不準(zhǔn)確。（2）維護風(fēng)險。已存儲的業(yè)務(wù)數(shù)據(jù)不能及時反映業(yè)務(wù)活動的最新變化（如參與者、運作方式的變更）。（3）報告風(fēng)險。數(shù)據(jù)分層與提煉的方式不恰當(dāng)，無法滿足管理會計的需求；信息的使用未經(jīng)授權(quán)，報告提供給了不恰當(dāng)?shù)娜恕?br>
　　3.監(jiān)督風(fēng)險

　　IT環(huán)境下，財務(wù)部門的很多核算工作，包括原始數(shù)據(jù)的錄入、修改均在業(yè)務(wù)端進行，財務(wù)部與各業(yè)務(wù)部門間的協(xié)調(diào)、對業(yè)務(wù)之操作權(quán)限、操作流水的動態(tài)監(jiān)控就顯得尤為重要。

　　財務(wù)信息系統(tǒng)的審計方法

　　電子商務(wù)時代，并行（在線）審計方法變得越來越重要。它為審計師提供了能持續(xù)監(jiān)控系統(tǒng)運行可靠性、在無紙化環(huán)境中能實時采集審計證據(jù)的方法。對FIS的審計主要有以下兩種方法：

　　1.系統(tǒng)控制審計復(fù)核文件和嵌入審計模塊（System Control Audit Review File and Embedded Audit Modules， SCARF/EAM）

　　該方法是指在系統(tǒng)軟件或應(yīng)用軟件中嵌入審計模塊，系統(tǒng)在進行業(yè)務(wù)處理時，同時按指定要求采集審計證據(jù)，采集到的審計證據(jù)可直接打印輸出或存儲在專門的審計文件中，供事后查看。

　　2.綜合測試（Integrated Test Facilities， ITF）

　　在被審單位的應(yīng)用系統(tǒng)中建立一個虛擬實體，如一筆虛擬的銷售合同、存貨購入或證券投資，并為該實體編制測試數(shù)據(jù)，將測試數(shù)據(jù)與正常生產(chǎn)數(shù)據(jù)一同輸入應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)有專門識別處理測試數(shù)據(jù)的程序，通過把應(yīng)用系統(tǒng)對測試數(shù)據(jù)的處理結(jié)果與獨立計算出的測試數(shù)據(jù)結(jié)果相比較，可評價應(yīng)用系統(tǒng)的控制與處理邏輯是否適當(dāng)與可靠。

　�。�1）如何編制測試數(shù)據(jù)

　　方法一：將被審單位的一部分正常生產(chǎn)數(shù)據(jù)做上標(biāo)記，作為測試數(shù)據(jù)。做標(biāo)記可選用以下方法：①修改數(shù)據(jù)結(jié)構(gòu)，在數(shù)據(jù)庫中為每條記錄增加一個字段，標(biāo)識其既是正常生產(chǎn)數(shù)據(jù)又是測試數(shù)據(jù)，測試數(shù)據(jù)由審計師現(xiàn)場選定；②利用嵌入應(yīng)用系統(tǒng)的審計模塊或?qū)ｉT的抽樣程序，對生產(chǎn)數(shù)據(jù)隨機抽樣。

　　這種方法需要修改數(shù)據(jù)結(jié)構(gòu)和應(yīng)用程序，審計師難以獨立完成。同時，生產(chǎn)數(shù)據(jù)中例外情況或接近臨界值的數(shù)據(jù)較少，不能全面測試系統(tǒng)應(yīng)用邏輯的各個分支。

　　方法二：審計師自行設(shè)計測試數(shù)據(jù)，與生產(chǎn)數(shù)據(jù)一同輸入系統(tǒng)。這種方法需要審計師全面了解應(yīng)用系統(tǒng)的各種處理流程，才能設(shè)計出覆蓋整體應(yīng)用程序的測試數(shù)據(jù)。

　�。�2）綜合測試法建立虛擬實體，向生產(chǎn)系統(tǒng)輸入了冗余數(shù)據(jù)，如何消除這些數(shù)據(jù)對生產(chǎn)系統(tǒng)的影響？

　　方法一：修改應(yīng)用程序，使其進行財務(wù)處理時不將審計師自行設(shè)計的測試數(shù)據(jù)計算在內(nèi)。但修改源程序會增加軟件編程者在應(yīng)用程序中嵌入非法代碼的機會，也增加了源程序版本維護的工作量。

　　方法二：審計師及時輸入抵銷分錄。盡管不必修改源程序，但對會計科目的發(fā)生額仍有影響，不便于與相關(guān)科目的勾稽。

　　財務(wù)信息系統(tǒng)審計中值得關(guān)注的幾個問題

　　1.要詳細了解企業(yè)全部的業(yè)務(wù)活動及與之對應(yīng)的信息處理過程

　　通過了解這些情況，確定在信息系統(tǒng)中設(shè)置了哪些內(nèi)部控制程序，捕捉能觸發(fā)記錄會計原始數(shù)據(jù)的關(guān)鍵點。以現(xiàn)行ERP系統(tǒng)為例：

　　（1）采購部材料采購——關(guān)鍵控制點：錄入采購定單并回車確認(rèn)，系統(tǒng)自動生成分錄：

　　借：物資采購

　　貸：應(yīng)計負(fù)債

　　（2）庫房設(shè)備入庫——關(guān)鍵控制點：取得采購發(fā)票，錄入入庫單并回車確認(rèn)，系統(tǒng)自動生成分錄：

　　借：原材料

　　貸：物資采購

　�。�3）商務(wù)中心確認(rèn)應(yīng)付賬款——關(guān)鍵控制點：系統(tǒng)按入庫單自動確認(rèn)并生成分錄：

　　借：應(yīng)計負(fù)債

　　應(yīng)交稅金——應(yīng)交增值稅（進項稅）

　　貸：應(yīng)付賬款

　�。�4）財務(wù)部支付貨款——關(guān)鍵控制點：會計依據(jù)采購發(fā)票錄入轉(zhuǎn)賬支票號碼并確認(rèn)，系統(tǒng)自動生成分錄：

　　借：應(yīng)付賬款

　　貸：銀行存款/現(xiàn)金

　　2.檢查應(yīng)用系統(tǒng)中每個職工的權(quán)限設(shè)置

　　重點要檢查業(yè)務(wù)人員的權(quán)限是否與其崗位相匹配，不相容職務(wù)是否已分離，如：數(shù)據(jù)庫或系統(tǒng)管理員不能是系統(tǒng)的開發(fā)者；證券公司大客戶管理員不應(yīng)同時擁有資金柜的存取款權(quán)限；庫房管理員不應(yīng)擁有對進出存貨記錄的修改權(quán)。

　　3.對原始業(yè)務(wù)信息實施源頭控制

　�。�1）檢查銷售合同、采購發(fā)票、入庫單等書面原始憑證上的信息是否與錄入計算機內(nèi)的數(shù)據(jù)完全一致，不僅要核對總金額，明細項的金額也必須完全一致。比如某企業(yè)按發(fā)出商品確認(rèn)收入，而恰好某些銷售訂單又是跨期發(fā)貨，如果錄入計算機內(nèi)的各明細商品價格與銷售定單相應(yīng)明細項價格存在差異，那么即使該筆定單計算機內(nèi)錄入的總金額與書面合同金額完全一致，也會引起收入確認(rèn)的跨期。

　　（2）區(qū)分核算會計與管理會計的數(shù)據(jù)源。IT技術(shù)的應(yīng)用使企業(yè)采集、提煉的管理會計數(shù)據(jù)更豐富和全面，但審計師應(yīng)注意檢查信息系統(tǒng)進行會計核算的基礎(chǔ)數(shù)據(jù)是否只源自最原始的會計數(shù)據(jù)而非經(jīng)加工過的管理會計數(shù)據(jù)。

　　4.關(guān)注業(yè)務(wù)處理中調(diào)整事項的審批與復(fù)核

　　目前企業(yè)應(yīng)用的ERP軟件主要包括采購、庫存、銷售、應(yīng)收、應(yīng)付及總賬管理等模塊，各模塊既有各自的獨立功能又能相互關(guān)聯(lián)。以O(shè)RACLE RDMS 8.0.5 version為例，如果企業(yè)按發(fā)貨確認(rèn)收入，那么在庫存模塊，一旦輸入要出庫設(shè)備的明細（包括型號、單價、數(shù)量）并執(zhí)行出庫確認(rèn)命令，系統(tǒng)即自動按本次發(fā)貨的總銷價確認(rèn)收入，開具系統(tǒng)發(fā)票，并按指定的成本結(jié)轉(zhuǎn)方法計算出庫設(shè)備的相應(yīng)成本，以保證收入成本的配比。但ERP在固化業(yè)務(wù)流程的同時，也提供了一定功能的靈活性，如在應(yīng)收模塊，輸入銷售定單編號即可對已發(fā)貨的訂單進行收入的調(diào)整，但此時ERP系統(tǒng)不會自動與存貨模塊鏈接，也就是說不會自動結(jié)轉(zhuǎn)與所調(diào)整收入金額相配比的成本。由于對應(yīng)收模塊的操作一般由業(yè)務(wù)部進行，如果財務(wù)部不對業(yè)務(wù)部實施有效監(jiān)督，那么業(yè)務(wù)部只在應(yīng)收模塊手工調(diào)整的某筆收入，就會導(dǎo)致收入與成本的不配比。

　　5.關(guān)注對信息資源的管理

　　信息資源包括數(shù)據(jù)（庫）、源程序、經(jīng)編譯的目標(biāo)程序等，它們是系統(tǒng)正常運行的基礎(chǔ)，需要特別關(guān)注：

　�。�1）如何系統(tǒng)源代碼在被審期間經(jīng)過修改，審計師應(yīng)抽查程序庫，檢查現(xiàn)運行的目標(biāo)程序版本是否與源程序版本一致。

　�。�2）如被審期間企業(yè)增添了新業(yè)務(wù)，審計師應(yīng)關(guān)注其新業(yè)務(wù)系統(tǒng)的測試。測試應(yīng)由財務(wù)部、相關(guān)業(yè)務(wù)部門主持，軟件系統(tǒng)開發(fā)人員不應(yīng)參與測試方案與測試數(shù)據(jù)的建立；除了測試自身模塊的應(yīng)用邏輯外，還應(yīng)測試該模塊與其他模塊的銜接，關(guān)注增加新模塊后系統(tǒng)的整體性測試，包括數(shù)據(jù)格式是否一致、參數(shù)屬性（局部/全局）是否會改變等。

　　（3）日常業(yè)務(wù)數(shù)據(jù)的維護。通信網(wǎng)絡(luò)采用了何種數(shù)據(jù)加密技術(shù)，進而評價通信網(wǎng)絡(luò)的可靠性；數(shù)據(jù)是否有異地備份，當(dāng)不可抗力出現(xiàn)時，系統(tǒng)能否具備災(zāi)難恢復(fù)能力；審計師應(yīng)要求拷貝客戶的業(yè)務(wù)數(shù)據(jù)，以便檢查客戶為審計師提供數(shù)據(jù)是否經(jīng)其高層授權(quán)審批，是否能保證信息資源只提供給恰當(dāng)?shù)娜耍�判斷客戶提供的�?shù)據(jù)是否真實、完整，分析性復(fù)核客戶的業(yè)務(wù)是否存在異常。