美国政府审计准则：电算化系统审计(1)

政府经济效益和项目成果审计的第五项检查和评价准则是:

审计人员应当:

1.检查数据处理系统中的一般控制，以确定:（a）设计的控制是否符合管理方针和法律要求；(b)控制能否有效地发挥作用，保证数据处理的可靠性和安全性;

2.检查数据处理系统中的应用控制，并据此评价应用控制在保证数据处理的及时性、准确性和完整性方面的可靠程度;

除检查一般控制和应用控制外，审计人员还应参与新数据处理系统或应用项目的设计与开发以及其后所进行的重大修改工作。

可能的情况是，开发出来的数据处理系统缺乏控制措施，因此管理人员和审计人员就不能依赖其完整性。所以，如果管理部门指望正在开发的系统在可审性和适当控制方面得到合理的保证，那么审计人员在系统设计与开发过程中的检查就是至关重要的。要达到这一目标并不总是可行的，因为审计机构可能没有检查系统设计与开发所需的资源或人力。但是，这项检查应当作为一个审计目标。

一、电算化系统一般控制的检查

数据处理方式由机械处理向自动化处理的转变，需要改进传统的审计方法"自动化数据处理系统的复杂性和范围的广泛性，要求审计人员给予处理数据的系统和数据本身更多的关注。如果系统在安全性方面得到合理的保证并具有足够的控制，审计人员就可以信赖被处理的报告的数据。审计人员应该区别一般控制和应用控制。"一般控制通常适用于系统进行的大部分数据处理，而应用控制则可能因应用项目而异，而要分别加以检查。在检查个别应用控制时，审计人员应考虑被查系统一般控制的效果;

1.组织控制。职权和责任的分配必须以能够保证有效果、高效率地实现组织目标的方式进行。审计人员应该检查被审单位的组织结构、职权和责任的分配与分工情况、其目的在于确定职责分工是否能够提供有力的内部控制，例如，程序与系统开发、计算机操作、输入数据的控制、以及保持应用控制的控制小组等职责，在可行的情况下应予以分离。同时，审计人员应从"整个系统"的角度加以考虑。

在检查职责分工情况时，审计人员应该评价控制的强度并报告由于职责分工不够而暴露的弱点。职工定期轮换工作岗位及强制性休假等制度有利于管理部门维持足够的职责分工。审计人员应对这些制度的执行情况加以检查。

2.设施、人员和安全控制，拥有足够的实物设施和其他资源(如训练有素的人员等)是一个单位实现其数据处理目标所必需的。审计人员应该确定被审单位是否拥有满足数据处理需要的足够资源。

建立政府机关内部审计制度

企业内部审计如何参与风险管理