Cómo realizar una auditoría informática
1. ① Comprender la situación básica de la empresa, realizar entrevistas preliminares con el personal relevante de la empresa, revisar la información básica de su sistema contable computarizado y resumir las características y puntos clave del sistema auditado. ② Organizar a los auditores y preparar el software de auditoría necesario. Dependiendo de las características y la complejidad del sistema de contabilidad computarizado de la empresa que se está auditando, se puede elegir a un contador público certificado con experiencia en auditoría informática para que actúe como líder del proyecto, forme un equipo de auditoría y prepare el software de auditoría. Si un proyecto de auditoría requiere un software de auditoría especial, se debe formar un equipo dedicado para desarrollar el software requerido con anticipación para garantizar el desarrollo fluido del trabajo de auditoría.
2. Revisión preliminar de los controles internos. El objetivo de la revisión preliminar es permitir a los auditores comprender el grado de aplicación de los sistemas de información informática en el trabajo contable y familiarizarse con los procesos comerciales del sistema contable computarizado y la estructura básica del control interno, incluido todo el proceso desde desde la elaboración de comprobantes originales hasta la salida de diversos estados contables. Generalmente, se utilizan los siguientes métodos de inspección y conversación: ① Revisar los informes de auditoría anteriores y las propuestas de gestión para obtener una comprensión preliminar de los eslabones débiles del sistema anterior. (2) Consultar la documentación y manual de usuario del sistema informático contable para comprender la estructura, nombre, base de datos y funciones correspondientes de los módulos del sistema. (3) Verificar la base básica de los datos de entrada (datos electrónicos y comprobantes originales relevantes) e inicialmente comprender la situación básica del sistema de control interno generado por los datos contables originales de la empresa. (4) Con base en cierta información básica y los problemas descubiertos durante la inspección anterior, realice entrevistas con contadores, personal de desarrollo y mantenimiento de sistemas y programadores para obtener información general relacionada con el tema. ⑤ Revise preliminarmente el diagrama de flujo de procesamiento de datos para comprender el punto de partida de los datos originales, el nombre del archivo y el código en el sistema, las unidades o departamentos por los que pasan los datos, el punto final y las medidas de almacenamiento de los datos, así como como el control interno de la unidad que genera y utiliza los datos, y hace necesario un diagrama de flujo de datos conciso.
Al mismo tiempo, los auditores también deben comprender la siguiente información: ① Fecha de instalación del sistema, modelo del sistema de hardware, instalaciones de gestión básica de la sala de ordenadores, sistema de gestión del sistema y carga del sistema (capacidad de procesamiento de datos). (2) La estructura organizativa del sistema, las responsabilidades de los administradores en todos los niveles, el responsable del sistema informático y los administradores del sistema. ③El tipo de control y los principales servicios económicos del subsistema de aplicación del administrador del sistema.
3. Evaluación de los resultados de la revisión preliminar. Después de la revisión inicial, los auditores deben evaluar los resultados de la revisión inicial desde la perspectiva del control interno de todo el sistema de información contable, determinar la viabilidad del control interno y sacar conclusiones. La conclusión se puede sacar de una de las tres formas siguientes: ① Salir de la auditoría. Debido a muchos problemas, como la falta de tecnología de auditoría o controles internos poco confiables, los auditores pueden hacer algunas sugerencias a la gerencia y retirarse de la auditoría. ② Revise en detalle los controles generales y los controles de aplicaciones. Este enfoque se adopta después de que una revisión preliminar indique que los controles internos son confiables y que se pueden simplificar las pruebas sustanciales. ③La toma de decisiones no depende del control interno. Puede haber dos razones para esta decisión: en primer lugar, es más fácil lograr los objetivos de auditoría predeterminados realizando directamente pruebas sustantivas; en segundo lugar, debido a que el sistema de control interno informático puede ser imperfecto, los usuarios de cada sistema de aplicación han agregado algunos complementos necesarios a sus sistemas; propios controles, por lo que es más fácil lograr los propósitos de auditoría probando los controles de compensación.
La revisión preliminar consiste en obtener resultados de la revisión preliminar a través de entrevistas, inspecciones y observaciones in situ, lectura de documentos sobre el análisis y diseño de sistemas de control interno y sistemas relacionados, cumplimentación de cuestionarios del sistema de control interno, etc. y realizar una evaluación de estos resultados para proporcionar la información necesaria para el siguiente paso de la auditoría.
4. Revisión en profundidad de los controles internos. Al igual que con la auditoría inicial, el auditor debe decidir si sale de la auditoría, confía en los controles internos del sistema para ingresar a la siguiente etapa de pruebas de cumplimiento o ingresa directamente al proceso de pruebas sustantivas. Para algunos subsistemas de aplicación, el auditor puede decidir confiar en sus controles internos o emplear otros procedimientos de auditoría más apropiados.
5. Fase de pruebas de cumplimiento. El objetivo de la fase de prueba de cumplimiento es encontrar evidencia para determinar si los controles internos del sistema informático están funcionando y si el sistema de control real es confiable. Además de los métodos forenses manuales utilizados en auditorías anteriores, en este paso, el auditor básicamente utiliza computadoras para realizar análisis forenses para verificar si se puede confiar en los sistemas de control propuestos en el plan de auditoría.
6. Revisar y probar los controles de compensación de los usuarios. En algunos casos, el auditor puede decidir no confiar en los controles internos de un sistema informático porque los usuarios de ese sistema han implementado algunos controles suplementarios que complementan las debilidades del sistema de control original.
7. Pruebas sustantivas. El objetivo de la fase de prueba sustantiva es obtener evidencia suficiente para que el auditor emita un juicio final sobre si el sistema informático se desvía de la imparcialidad o tiene debilidades en todos los aspectos importantes. Las pruebas sustantivas se pueden dividir en seis categorías: ① pruebas de manejo de errores; ② pruebas de calidad de los datos; ③ pruebas de comparación de datos del inventario físico y del sistema informático; ⑤ pruebas de análisis de datos en el sistema; pruebas.
8. Evaluar y elaborar integralmente informes de auditoría.
A través de los pasos de auditoría anteriores, se han formado evidencia de auditoría y resultados de evaluación preliminar de varios proyectos, pero estas evidencias y resultados de evaluación preliminar están relativamente dispersos. El propósito de la evaluación integral es recopilar de manera integral evidencia de auditoría y resultados de evaluación preliminar, descartar evidencia importante y problemas importantes, y realizar una evaluación integral centrada en estos problemas y evidencia. El alcance de la evaluación incluye la imparcialidad de los datos contables, la solidez y eficacia de los sistemas de control interno y la eficiencia y eficacia de los sistemas contables computarizados. Con base en los resultados de la evaluación, preparar informes de auditoría objetivos e imparciales y recomendaciones de gestión. Antes de proporcionar un informe al cliente, también se deben solicitar las opiniones de la empresa auditada y, si es necesario, se debe realizar una auditoría complementaria sobre cuestiones importantes para garantizar que el informe de auditoría y las recomendaciones de la gerencia tengan alta credibilidad. El proceso y los métodos básicos para preparar informes y recomendaciones de auditoría son los mismos que los de las auditorías tradicionales. Sin embargo, cabe señalar que muchos aspectos del resumen y la evaluación de los resultados de la auditoría se pueden completar automáticamente mediante computadoras, e incluso el informe final de la auditoría se puede completar con la ayuda de las computadoras.
La realización de auditorías informáticas es una necesidad para aplicar mejor las redes de información empresarial y promover el desarrollo empresarial. La popularización y aplicación de las redes de información empresarial, incluidos los sistemas de comercio electrónico, traerá enormes beneficios a las empresas. Hacer un buen trabajo en auditoría informática garantizará el desarrollo legal, conforme y saludable de nuevos negocios en línea, aunque impondrá mayores exigencias a los auditores. Dado que las redes de información empresarial, el comercio electrónico y otros sistemas utilizan una variedad de computadoras y tecnologías de comunicación, tienen una variedad de recursos de equipos y llevan a cabo una variedad de servicios, los sistemas son más complejos. Por lo tanto, el disfrute de los recursos de datos y la seguridad de los datos se han convertido en un tema nuevo muy importante. En este caso, el trabajo de auditoría en el entorno de red presenta muchas características nuevas. El primero es la difusión de responsabilidades. En situaciones sin conexión en red, las responsabilidades de control, incluida la clasificación de archivos de datos, la organización de datos, el acceso a los datos, la edición y verificación de datos, el establecimiento y mantenimiento de bases de datos, etc., generalmente se concentran en un pequeño número de operadores específicos con autoridad. En un entorno de red, el uso de datos es para todos los usuarios de la red, es decir, esta responsabilidad de control se transferirá a muchos departamentos y personal distintos al operador específico original, e incluso involucrará a todos los usuarios de la red el segundo es el turno; de enfoque. En un entorno fuera de la red, los auditores se centran en las pruebas de cumplimiento y las pruebas sustantivas de los controles internos. El núcleo del funcionamiento de todo el sistema informático es también la implementación de controles internos mediante los programas del sistema. Sin embargo, en una situación de red, los datos están altamente concentrados en el sistema de red y pueden copiarse y manipularse ilegalmente, lo que genera nuevos riesgos de auditoría de red. Por lo tanto, las auditorías también deberían centrarse en los sistemas de red.
En la actualidad, debemos reforzar la calidad de los auditores. Con el rápido desarrollo de la ciencia y la tecnología modernas, está lejos de ser suficiente que los auditores sólo tengan conocimientos de auditoría profesional y conocimientos informáticos sencillos. Hay que mejorar sus conocimientos informáticos y sus capacidades profesionales. Debido a la amplia aplicación de las computadoras en las empresas, especialmente la aplicación de software financiero empresarial, la auditoría informática de las empresas no puede limitarse a cálculos simples, sino que debe formar un estándar de auditoría sistemática e integrarlo en un conjunto de programas de software para cumplir con la auditoría. necesidades de trabajo. Debido a los diferentes niveles de informatización de las empresas y a la diferente calidad del personal, las auditorías informáticas pueden variar de fáciles a difíciles, y se puede subcontratar software de auditoría con funciones básicas. Sin embargo, las empresas que ya han promovido la aplicación de software financiero pueden considerar organizar y desarrollar software de auditoría por su cuenta. Una vez que se ha determinado la interfaz de datos contables, el desarrollo de software de auditoría para la interfaz determinada puede estar más en línea con los requisitos de la empresa. Aprovechando la red de información empresarial, podemos desarrollar un software de auditoría de sistemas en red que se ajuste al entorno empresarial.
(1) Aplicar software de auditoría. Es un software que rastrea redes relevantes en tiempo real y audita archivos en una base de datos. Para realizar su función, se debe aplicar tecnología de red para establecer una base de datos de información de auditoría, información de antecedentes efectiva, últimos desarrollos e información necesaria de archivos de auditoría en la red.
(2) Software de auditoría profesional. El software de auditoría profesional se puede dividir en dos partes: software de auditoría único y software de auditoría combinado. Estas dos partes están interrelacionadas y la transferencia y modificación de datos se pueden completar al instante. Función de revisión de auditoría: al ingresar estados contables no auditados, listas contables y asientos de ajuste preparados por los auditores, el software generará automáticamente hojas de guía contables, balances de comprobación, estados contables auditados y notas a los estados contables. Puede clasificar y ordenar según los requisitos del usuario y organizar cuentas importantes para que los auditores puedan verlas de un vistazo. Función de análisis de auditoría: al ingresar los detalles de la cuenta y la lista de empresas no auditadas, puede generar automáticamente indicadores y tendencias financieros generales, y determinar y distribuir los estándares de importancia Proporcionar dirección para que el líder del proyecto comprenda el estado financiero y el enfoque de la auditoría de la unidad auditada en su conjunto. Al mismo tiempo, el software puede generar automáticamente una tabla de orientación de temas, establecer el contenido del análisis de acuerdo con las características de cada tema y proporcionar datos de análisis y prueba para los revisores al verificar el tema.