北京中央财经大学 李琦

众所周知，商品化会计软件的出现以及它的广泛使用，极大的推动了我国企业的会计电算化普及进程，对我国会计的实务产生着重大深远的影响，然而，常常被人们忽视的一点是，它同时也在影响着我国审计的发展。本文就打算从注册会计师行业的角度谈谈商品化会计软件与我国审计的相互影响与发展。

一、商品化会计软件简介

一般认为，商品化会计软件是指由开发人员根据具体会计工作，使用一种或多种计算机语言编制的，经过评审通过并在市场上公开销售的通用软件。它可以配合计算机完成记帐、算帐、报帐等会计核算以及部分的财务管理工作。商品化会计软件根据适用的对象可分为全通用会计软件和行业通用会计软件。前者适用于所有的会计核算单位，而后者仅适用于特定的行业。商品化会计软件与自行开发的会计软件相比，具有通用性强、适用面广、投资

少、见效快等优点，因此目前我国会计电算化系统的建立大部分采取的都是购买商品化会计软件的方式。

二、采用商品化会计软件的会计系统的特点

在会计电算化系统中，用数据库代替了帐，数据库的内容可以随意编排，反复使用，对数据库进行一定的操作处理可以直接得到财务报表，从而为会计数据的分类、重组提供无限自由的空间，使多环节、低效率的会计数据处理流程失去了意义。各种帐以及与之相适应的平行登记、算帐、结帐、对帐等技术方法有些已经成为画蛇添足，有些则只能作为内部控制存在的依据。同时计算机强大、可靠的运算能力还让在会计实务检验中占据最重要地位，用来检验实务工作是否正确的最基本方法“平衡验证”成为无任何工作量的轻而易举之事。在会计电算化系统中，会计循环简化为附图一所示：

会计电算化系统的采用，不仅大大简化了传统的会计工作．而且消除了人工系统中的一部分控制风险，例如，手工处理中的抄写错误，然而也带来了相应的固有和控制风险：

（1）在会计电算化系统中；其他内部控制要依赖于电算化会计系统产生的报告和其地输出，因此，一旦会计电算化系统出了问题，整个内控系统都会大受影响。

（2）由于计算机信息系统的固有限制，在系统开发、维护和执行过程中人为错误的可能性比手工系统中要大。而且在计算机信息系统下，未获得授权的人员接触数据或更改数据留不下可见证据的可能性比人工系统中要大。此外，计算机系统环境下，处理会计信息的人员减少了，因此降低了发现错误和误差的可能性。设计或修改程序的所发生的错误、误差、舞弊等可能在长时间内都无法发现。

（3）许多在手工系统中由多人分工执行的控制程序；在计算机信息系统中都被集中起来。这样，接触计算机程序、数据和信息处理的某个人，就可能处于一个执行不相容多种职责的位置。

（4）计算机程序的错误（或其他软件、硬件的错误）通常将导致会计软件错误地处理所有的经济业务。此外，计算机系统的一项输入会自动更新与该业务有关所有记录，因此，一项错误的输入可能造成多个会计帐户的错误。

（5）计算机的数据和程序一般存储在磁盘、磁带等介质上，这些介质容易被盗、丢失或损坏。

采用了商品化会计软件的会计系统，除了具有上述会计电算化系统的一般特征外，又因为它要受到有关部门的严格管理，而同时具有自身的特点。根据财政部1994年颁布的《商品化会计核算软件评审规则》的规定，商品化会计软件要经过评审委员会的严格的测评审核；以确保会计数据的处理与输出的合法、安全、准确和可靠。而且，《评审规则》还规定商品化会计软件的售后服务必须包括对企业会计人员进行相关的培训，帮助企业制定完整严格的内部管理制度等。

三、采用商品化会计软件的会计系统条件下的审计

80年代至今，计算机信息技术飞速发展，会计电算化系统现在已开始逐渐向网络财务阶段过渡，但是审计技术却一直停滞在（在《独立审计准则第20号？？？计算机信息系统环境下的审计》中，桌面审计技术被分为三个阶段：绕过计算机审计阶段，穿过计算机审计阶段以及利用计算机审计阶段）。究其原因，主要一是因为现阶段审计人员缺乏足够的技术能力深入到程序设计内部开展审计，二是因为这样做面临的审计风险较大。然而，随着商品化会计软件的广泛应用，由于其自身的特点，我国审计能够开始摆脱绕过计算机阶段，而走向与计算机技术，尤其是会计电算化技术相结合的新阶段了。下面本文就从内部控制与会计报表项目审计测试两个方面谈谈这个问题。

（一）内部控制的符合性测试

在计算机系统下，审计风险的内容发生了变化，计算机系统的固有风险与控制风险日益突出，与之相应，计算机系统环境下内部控制的内容也有所改变。

内部控制可以分为一般控制与应用控制两大类。一般控制是指计算机信息系统的总体控制，其目的是建立对计算机信息系统活动整体控制的框架环境，并对达到内部控制的整体目标提供合理的信赖程度。应用控制是指系统会计应用方面的具体控制，其目的是对会计应用建立具体控制过程，从而确保全部的经济业务经过授权和记录，并做完整、准确和及时的处理。一般认为，在会计电算化条件下，一般控制有五大项，即组织控制，安全控制，网络资源控制，系统开发与维护控制，操作控制．应用控制有四大项，即系统接触控制、输入控制、处理控制、输出控制机附图二）。

在采用商品化会计软件的会计系统中，软件程序受到第三方对评审委员会的严格评审，而电算化系统的所依存的平台？？对系统软件与硬件也是由专门的厂商提供的，一般比较可靠，再加上目前绝大多数企业的会计数据库与互联网都是断开的，还没有应用防火墙等互联网技术，因此网络资源控制，系统开发与维护控制、处理控制和输出控制不能成为内部控制审计的重点内容，内部控制的审计重点应该放在组织控制、安全控制、操作控制以及系统接触控制，输入控制的上面。组织控制、安全控制、操作控制以及系统接触控制，输入控制的关键内部控制的审计参见附图三：

当然，审计人员并不能完全放弃对会计程序的审计，而是应该把对会计程序进行审计的重点放在程序有没有被篡改，以及被审计单位的会计人员是否正确地使用会计程序上。

（二）交易和会计报表项目的测试

在电算化会计系统环境下，经济业务踪迹大部分是以机器可读的形式存在，如果应用系统复杂，执行很多处理，就可能很难找出一个清晰的踪迹。但是，另一方面，计算机以及海量数据库的使用，审计人员完全可以根据需要，让计算机程序自动利用会计数据库生成能够满足各种审计目的的中间帐簿，例如能够清晰表达业务轨迹的帐簿。因此，对交易和会计报表项目的测试；在目前的条件下注册会计师可以采取与在手工系统下相似的审计程序，并且也可以按会计报表项目或者业务循环组织实施。与手工系统不同的一点是，由于在计算机系统下，会计凭证，各种帐簿以及会计报表都是作为会计数据库的不同视图，所以在过帐与汇总方面就没有必要进行重点审计了。

四、采用商品化会计软件的会计系统条件下的审计电算化

审计电算化，是指针对已实现会计电算化的客户进行审计时，利用计算机技术等信息技术对客户的会计信息系统进行分析和测试，形成一定的审计结论。开发和使用审计软件，一般认为是实现审计电算化的一个重要步骤。然而，在目前阶段开发使用审计软件，我认为是不经济的和没有必要的。现阶段利用计算机技术进行审计，可以采取这样的比较可行的实现方式：软件开发商在商品化会计软件的基础上增加多种以服务于外部审计为目的的功能，并由相关政府部门负责组织专家评审委员会进行测试评审。这些功能可以包括：1、由会计软件自动生成外部审计所需要的各种分析性报表；2、根据审计人员的需要，会计程序自动利用会计数据库生成能够满足各种审计目的的中间帐簿，例如能够清晰表达业务轨迹的帐簿；3．可以把生成的帐簿与报表存储成其它文件格式，如EXCEL文件，以方便审计人员利用EXCEL等应用程序对会计数据进行进一步的加工处理（实际上，目前会计软件已经实现了一部分的上述功能，如自动生成分析性报表，只不过生成的报表面向企业内部，是为了满足内部控制与决策支持的要求）。

利用会计软件执行一部分审计软件的功能，之所以是可行的，是因为：1、审计与会计工作有着共同的目标，即真实反映企业的财务信息；2、商品化会计软件在使用前，已经受到了第三方的严格评审。另一方面，利用会计软件执行一部分审计软件的功能，在目前阶段也有着很大的优越性：1、由会计软件开发商在会计软件上增加一些服务于外部审计的功能，例如输出多种分析性报表．实现起来要比开发单独的审计软件容易得多，而且最后企业所承担的综合成本也低得多；2、由于商品化会计软件要受到政府部门的指导规范，所以这种方法如果由有关政府部门推行起来也不困难。

审计作为一门实用性非常强的学科，研究能够指导现阶段审计实务工作的理论具有迫切的现实需要。本文的写作目的也正是尝试看去探索在现阶段实施审计电算化的可行途径，但由于作者的水平有限，这篇文章只能起到抛砖引玉的作用。

附图一：

输 入

处 理

输 出









（收集原始数据输入计算机） （由计算机进行处理） （输出所需要的信息）





附图二：

内部控制类型
审 计 目 标

组织控制
了解各部门的职责分工是否有力地保证效率以及资产的安全性

安全控制
了解电子数据处理系统是否达到安全防范的标准

网络资源控制
了解系统能否防止未经授权使用的资料、程序和设备、保证网络系统的有效运行系统开发与维护控制

系统开发与维护控制
了解电算化系统的开发是否达到预定的质量标准，是否按时完成并投入使用，是否能适应企业未来的发展目标

操作控制
了解会计电算化系统的使用模作是否有一套完整的管理制度

系统接触控制
了解系统接触控制能否保证电算化系统各项资源的正确使用，能否防止未经授权的人擅自动用该系统的各种资源

输入控制
了解输入控制能否保证未经批准的业务不能进入计算机，而经批准的业务无一遗漏，对不正确的业务进行剔除、改正

处理控制
了解电算化系统能否保证经济业务在计算机系统今进行正确的运行，经济业务是否完整记录以及能否识别与纠正处理中的错误

输出控制
了解系统能否保证输出结果的正确性，以及保证只由指定的人员接收输出






附图三：

内部控制类型
关键的内部控制审计

组织控制
电子数据处理部门与会计部门是否职责分离；

电子数据处理部门内部是否有职责分工；

系统管理员的安全意识和水平如何；

所有的电子数据处理业务是否经过授权管理；

人事控制状况；

安全控制
是否具有身份验证；

存取控制的权限控制状况；

是否建立了风险分析制度；

数据完整性如何；

数据机密性如何；

防火墙技术性能如何；

安全协议的设计情况；

操作控制
是否设置上机守则与操作规程；

是否有日志记录；

是否制订工作计划；

非常状态下的资料能否恢复；

系统接触控制
物理接触；

程序资料接触；

数据文件及程序软件接触；

输入控制
制订严格的预防原始凭证和记帐凭证等会计资

料未经审核而输入计算机的措施，以及预防已输入

计算机的原始凭证和记帐凭证等会计资料未经核对

而进入数据库的措施；

会计业务的审批一般应当限制在电算化部门之

外，电子数据处理部门无权审批业务．也不能擅自

修改业务；

是否设置对机内凭证的审核；

能否防止输入资料被非法修改；