2.实质性测试。实质性测试应该是对被审计单位信息系统的程序、数据、文件进行测试,并根据测试结果进行评价和鉴定。进行实质性测试须依赖于符合性测试的结果,如果符合性测试结果得出的审计风险偏高,而且被审计单位有利用信息系统进行舞弊的动机与可能,并且被审计单位又不能提供完整的会计文字资料,此时审计人员应考虑对会计报表发表保留意见或拒绝表示意见的审计报告。进行实质性测试时,可考虑采用通过计算机和利用计算机进行审计的方法,具体包括:
①“测试数据法”,就是将测试数据或模拟数据分别由审计人员进行手工核算和被审计单位信息系统进行处理,比较处理结果,作出评价;
②“受控处理法”,就是选择被审计单位一定时期(最好是12月份)实际业务的数据分别由审计人员和会计电算化系统同时处理,比较结果,作出评价。
3.利用辅助审计软件直接审查信息系统的数据文件。审计人员可利用现场审计实施系统软件(AO)直接对数据进行数据转换,数据查询,抽样审计,查账,账务分析等测试,得出结论,作出评价。
(三)审计结论和执行阶段
审计人员对信息系统进行符合性测试和实质性测试后,整理审计工作底稿,编制审计报告时,除对被审单位会计报表的合理性、公允性发表意见,作出审计结论外,还要对被审单位信息系统的处理功能和内部控制进行评价,并提出改进意见。
审计报告完成后,先要征求被审单位的意见,并报送审计机关和有关部门。审计报告一经审定,所作的审计结论和决定需通知并监督被审单位执行。
(四)异议和复审阶段
被审单位对审计结论和决定若有异议,可提出复审要求,审计部门可组织复审并作出复审结论和决定。特别是被审单位信息系统有了新的改进时,还需组织后续审计。
二、信息系统的审计内容
信息系统与手工会计系统不同,它是由会计数据体系,计算机硬件和软件以及系统工作和维护人员组成,所以信息系统的审计内容与手工会计系统也存在着较大的差别。信息系统审计的内容主要包括以下内容:
(一)对信息系统的内部控制的审计
一方面是企业的内部控制能在多大程度上确保信息系统中会计记录的正确性和可靠性,如输入、输出的授权控制,业务处理的审核等。另一方面是内部控制的有效执行能在多大程度上保护资产的完整性,通过以上两方面的评价,可以判断企业内部控制系统能在何种程度上防止或发现会计报表中的错误及经营过程的舞弊。
(二)对信息系统的处理和控制功能的审计,也可称为对信息系统程序的审计