时间:2022-02-01 14:35:47
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇计算机审计风险,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
随着信息技术和网络通信技术应用范围的不断扩展,计算机对审计的影响越来越大。然而,计算机在给审计带来方便、快捷、高效的同时,也带来了新的审计风险。只有做好审计风险的防范,才能使计算机辅助审计工作得以顺利地开展。
一、审计风险的主要研究模型分析
1、传统审计风险模型分析
长期以来,审计职业界一直使用的审计风险模型是:审计风险=固有风险(IR)×控制风险(CIZ)×检查风险(Dlk),并要求根据该模型来计划和执行财务报表审计工作,以最终将审计风险降至可接受的低水平。该模型从理论上解决了注册会计师以制度为基础采用抽样审计的随意性,又解决了审计资源的分配问题,要求注册会计师将审计资源分配到最容易导致财务报表出现重大错报的领域。
从理论上看,该模型不存在明显的不妥,但在长期的实务操作中却面临很大的问题和困难:第一,直接设定固有风险为100%。第二,评估控制风险不认真,有走过场的嫌疑,实务中控制风险(CR)评估为最高时只要求记结论,不记理由,问题很大。第三,原先将“了解被审计单位情况”和“风险评估与内部控制”单独作为两个准则,使了解被审计单位情况没有跟风险评估有机结合,使了解没有明确的目的性,不被重视。第四,原风险模型侧重于指引认定层次的实质性审计测试工作,对财务报表层次重大错报风险的评估和应对重视不够,导致实质性测试没有目的性、方向感和针对性,进而必然会影响对认定层次重大错报的检查效果。第五,没有抓住财务报表审计工作的“关键点”。
2、现代风险导向审计下的新风险模型
由于传统审计风险模型在识别、评估和应对重大错报风险方面存在问题,国际准则以及我国审计相关准则都进行了修订。原审计准则规定:审计风险倡导以客户风险为导向,但实际未落实。新审计准则规定:以财务报表重大错报风险为导向的审计,强调重大错报风险评估和实质性程序并重。也就是说,新风险准则和风险模型以识别、评估和应对重大错报风险为导向、以控制总审计风险至可接受低水平为目标的最新风险导向审计理念。
现代风险导向审计下的新风险模型为:审计风险=重大错报风险(RMM)×检查风险(DR)。其审计风险包括两个层面,一是财务报表层次,二是交易、账户和列报与披露的认定层次。审计实务中,新审计风险模型下的风险评估包括三个阶段:了解客户及其环境包括内部控制,评估报表层的重大错报风险和认定层的重大错报风险;针对报表层重大错报风险,制定“总体应对措施”;针对认定层重大错报风险,展开“进一步审计程序”,具体包括:实施控制测试,再评估认定层的重大错报风险;实施实质性程序,其目的是为了降低认定层的检查风险。应该看到,新审计风险模型与原审计风险模型相比有显著的理论进步,对CPA的要求更高、更严、更细。
二、计算机辅助审计下的审计风险分析
所谓计算机辅助审计风险,就是指审计人员利用计算机辅助审计技术对运用了信息技术的被审计单位进行审计,当被审计单位的财务报表未能公允揭示被审计单位财务状况、经营成果和现金流量情况,审计人员的不恰当审计意见的可能性。本文按照现代风险导向下的新的审计风险模型,就从重大错报风险和检查风险两个方面来尝试进行分析。
1、计算机辅助审计中的重大错报风险分析
现代风险导向模式下的重大错报风险是指被审计单位财务报表审计前存在重大错报的可能性。这种可能性来自于两个层面:一是财务报表整体层次,二是交易、账户和列报与披露的认定层次。这样,我们可以认为计算机辅助审计下的重大错报风险受两方面因素的影响:一方面是信息系统对企业财务报表总体层次的影响,另一方面是信息系统对产生财务报表的认定层次的影响。
信息系统固然能提高企业财务处理的效率,但是它自身的一些特性却会产生新的经营风险或增加管理层舞弊的可能性。其主要原因是:第一,电子数据的“无形”特性使得记录在存储介质上的数据相对于纸质信息更加容易被滥用、篡改、丢失或破坏。这就使得企业的经营过程中风险增大,管理层通过信息系统舞弊的可行^生和可能新更大,使得总体层次的错报风险增加。第二,电子数据的存储集中程度高,数据处理速度快。因为数据高度集中的存储和快速的处理对错误或疏忽造成的损失产生了放大作用,一旦出现问题极易造成巨大的损失。这也会在一定程度上增加经营风险,从而增大了财务报表总体层次的错报风险。第三,信息化系统中软件及硬件自身的所存在的风险也会随着信息技术的运用而成经营风险的一部分,此外信息化的会计核算环境为凭借计算机手段的非法接入提供了可能。所以总体层次和认定层次的经营风险都会因此而有所增加。第四,信息化环境下的权限控制问题。在手工环境下,职责分离授权、批准是最常用的内部控制手段。虽然在信息化环境下仍然可以设置授权、批准功能,但是由于在信息化环境下的业务人员可以同过的盗用授权文件或口令,而是控制失效。增大了经营风险和管理层舞弊风险使得总体层次的重大错报风险增加。第五,信息完整性异常的情况导致的风险。信息完整性异常的表现常见的有以下两种:信息处理数据和业务传递资料的不一致,导致的管理层决策失误;信息修改功能引发的数据缺失。这些都会进一步加大认定层次的重大错报风险。
2、计算机辅助审计中的检查风险分析
通常的检查风险是指审计人员由于采取了不恰当的测试程序,未能发现已存在的重大(实质上)错误的风险。在计算机辅助审计的情况下检查风险的产生主要有以下原因:第一,由审计软件的应用产生的检查风险。信息技术的发展极大地加快了会计软件的更新换代,因而审计软件的更新速度与会计软件的适配程度,审计软件自身的完善程度和运行的稳定状况都会影响到审计计算分析正确性。第二,历史数据查找困难增加的检查风险。由于信息系统使用的软件升级,平台迁移,导致了账套不能够兼容使得查找历史数据的难度增加,从而检查风险增大。第三,审计线索减少导致检查困难,从而引发的检查风险上升。信息化的被审计单位中很多传统环境下的一些传递环节所涉及的审计线索大大减少,或者甚至在经济业务发生后自动消失导致取证的难度加大,并由此产生检查风险。第四,审计信息资源浪费严重,导致的检查风险增加。在现有的审计实务中许多审计信息资料与数据储存在各审计人员的独立的电脑中,审
计信息资料没有有效地与局域网络进行链接,审计信息与数据不能互通或者说交流效率低下,导致检查风险增加。
三、计算机辅助审计风险的防范
1、降低计算机辅助审计中重大错报风险的措施
首先,制定针对重大错报风险的总体层次的错报风险防范措施。要对计算机辅助审计下总体层次的错报风险进行控制就要求审计人员能够与管理层进行积极、有效地沟通,在审计工作开展之前就应该对被审计单位的信息化程度和信息系统深入了解。对被审计单位的信息系统要详细了解是指对其使用的财务软件要熟悉它的版本、业务处理流程等;针对信息系统则要在可能发生舞弊的环节注意管理人员尤其是信息系统的管理人员有没有对信息系统或财务系统施加不良影响,从而便于开展对重大错报风险的评估工作。如果被审计单位信息系统庞大,系统结构复杂,审计人员就应当考虑要先对被审计单位的信息系统做一个专门的IT审计,或者邀请计算机方面的人才以专家身份加入到审计团队中,以确保审计工作开展时计算机辅助审计对象系统的可靠性、稳定信和有效性。对管理层和整个信息系统我们需要关注和防范的就是系统的稳定性和可以信赖程度,以及对管理层在信息系统下舞弊风险的评估。此外,被审计单位信息系统自身的特性会对被审计单位的经营风险产生影响,所以当审计人员在考察被审计单位的信息系统时,同时也应当考虑使用该信息系统对企业的经营风险的影响。
其次,制定针对认定层次的错报风险防范措施。制定认定层次的错报风险防范措施可以从降低计算机辅助审计下的固有风险和控制风险两方面来着手。管理层对固有风险的认识和重视是降低固有风险的关键,因此为了降低被审计单位的固有风险,审计人员只有通过和被审计单位的管理层切实沟通,增强他们对计算机辅助审计下固有风险的认识。使管理层认识到在信息系统环境下固有风险仍然存在,信息系统的存在并不会使得固有风险消失,需要管理层给予足够重视。要降低计算机辅助审计下的控制风险,审计人员要对被审计单位内部控制情况有所了解。同时要注意结合计算机辅助审计情况中内部控制的新特征,例如经济活动的中间记录可能会在交易完成之后就消失掉,这种情况我们称之为缺乏交易轨迹。除此之外职责分工的特殊性,同类处理的一致性都要纳入考虑,并在此基础上设计一套有针对性的审计检查程序。在观察被审计单位的业务活动和内部控制的运行情况之外,选择若干具有代表性的交易和事项来进行测试,争取有效地降低认定层次错报的风险。
1.1系统风险
系统风险的范围十分广,也是计算机审计最致命的风险。系统风险分为软件环境风险和硬件环境风险。计算机系统是非常复杂的,在文件的记录或操作中由于规范、标准等不统一,进而产生了风险。计算机网络系统是一个开放的系统,其通过互联网及数据库管理系统进行管理,这样就有可能受到外部网络影响,如病毒、黑客的入侵,这些都严重威胁着计算机审计系统的安全。
1.2系统控制风险
系统控制风险是因为审计系统控制不严密造成的。我们知道,传统的审计工作是人与人之间的监督与控制,而在实施电算化以后这种情况就发生了变化,主要表现为人和机器的双重控制,且以对机器的控制为主。审计对象的变化使审计风险发生了转移,审计人员需要对软件开发商在设计软件时嵌入到程序中的内部控制软件方面的内容进行测试,而这些对审计人员而言是一件难度极大的任务。
1.3数据风险
数据风险主要指数据为人为破坏的风险。传统的审计资料是纸质的,人为修改后会留下痕迹,所以篡改的可能性不大。而在运用电算化系统以后,人为篡改数据就不会留下痕迹。特别是系统内的计算公式,被篡改后将导致财务报表的严重失真。由于财务人员并不了解系统如何计算的,所以即便是产生了很大误差也难以发现。对此,审计人员只能靠自己的判断力和经验了。
1.4审计软件风险
审计软件风险是指软件自身的缺陷引起的风险。审计软件没有经过权威部门评审或没有定期升级更新,都会造成软件的不稳定,进而内部的审计核算方法与会计核算不一致的情况。在软件开发中,审计人员不懂软件开发,所以无法将使用需求表达清楚;开发人员不懂审计业务,开发起来同样面临着巨大困难,这两点因素会造成软件在开发之初就存在缺陷,进而影响审计计算、分析。
2、审计风险的规避策略
2.1审前调查,获取充分、准确的信息
在开展审计工作前,应对被审计单位的组织结构进行一系列的详细的调查,对计算机审计系统的软件及硬件有一个大致的了解。针对系统做出详细的评估,如软硬件、技术文档、开况、数据等。据此提出可行的、能满足审计需要的数据采集对象及采集方法。采集的数据必须保证是审计期间的财务数据且都是“结账”后的数据。对纸质凭证等数据进行核对,电子数据应制定责任承诺书,确保提供的电子数据是真实的,数据失真将受到相关责任制度的处罚。
2.2开发和使用计算机审计软件
开发专业的审计软件,通过审计软件来直接房问被审计单位数据,进而完成数据的复核,减少数据索取的繁琐环节,提高工作效率。为给计算机审计打开通道,就必须根据实际需求开发审计软件。尤其是数据采集上,审计软件要有非常的兼容功能,能够访问不同介质、不同编码、不同类型的数据库,进而消除“瓶颈”。在审计软件的应用,要建立完善的应用责任机制,提高审计的威慑力,进而降低审计风险。
2.3加大审计培训力度
大多计算机审计人员是由传统审计转换过来的,审计专业知识较扎实,计算机能力欠缺,所以在计算机审计风险防范上不足。随着计算机技术的广泛应用,审计线索、审计内容、审计技术等都发生了改变,这就对审计人员提出更高的要求。一名高素质的审计人员,不仅要具有扎实的理论知识基础,还要计算机及计算机网络有一定了解,能够熟练操作计算机。因此,加强审计人员应用计算机能力的培训,是当前亟待解决的控制计算机检查风险的首要任务。
2.4加强审计网络的建设工作
网络是计算机审计的前提条件,所以应该有健全的计算机网络。由于我国计算机网络及软件开发较晚,计算机审计的开展存在一定的限制。计算机审计必然要以审计软件为工具,所以必须加快审计软件的研究与开发。有自主研发和委托开发两种模式,其开发中要注重审计软件与会计软件的结合,这样就可以把两个网络联系起来,以便更迅速地获取审计数据,节省工作时间,提高工作效率。
2.5创新审计技术
计算机审计作为审计的一个分支,审计的目的和职能与传统审计相比没有本质区别,同样是执行经济监督的职能。随着计算机审计在审计环境、审计线索、审计对象和内容、审计技术和方法改变的同时,带来了新的审计风险。因此分析计算机审计风险的成因及其应对措施是当前审计人员必须深入研究的课题,但在审计内容、审计轨迹、审计技术等方面与传统的手工审计有很大的不同。
就计算机审计的定义而言,目前尚无定论。但一般认为,计算机审计包括两个方面的内容:一是审计人员对计算机会计信息系统进行的审计;二是审计人员利用计算机进行的审计。据此内容,我们可将计算机审计活动设定为:⑴审计人员利用手工审计方法和技术对计算机会计信息系统进行的审计,即绕过计算机审计;⑵审计人员利用计算机审计方法和技术对手工会计信息系统进行的审计,即利用计算机审计;⑶审计人员利用计算机审计方法和技术对计算机会计信息系统所进行的审计,即通过计算机审计。但从发展趋势来看,随着市场经济深入发展和经济业务的日益复杂,审计工作量的不断增加,绕过计算机审计和利用计算机审计将会变得越来越不适用,通过计算机审计必将是计算机审计发展的方向。据此,我们可以将计算机审计风险理解为:会计报表存在重大错报或漏报,而审计人员在利用计算机对被审单位计算机会计信息系统审计后发表不恰当审计意见的可能性。
一、计算机审计固有风险成因分析
固有风险是指假定不存在的相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。计算机的固有风险是计算机会计系统自身带来的风险,审计人员只能评估此风险而不能左右和控制,它的具体表现为:
1.信息化系统的安全保密性差。由于网络自身的一些缺陷,使得网络审计在安全性能上受到极大的挑战。一是人为篡改或破坏数据。在信息化环境下,数据的电子化并以磁性介质为主要存储载体,这使舞弊者或破坏者对数据进行非法修改和删除且不留下审计线索成为可能,这对保证数据的完整性、安全性提出了挑战,给审计监督带来了风险。二是病毒感染易使数据丢失。计算机易感染病毒的脆弱性使审计数据的丢失现象经常发生,从而使出现审计风险的可能性增大。三是黑客入侵导致信息泄露。网络的一大特点就是信息资源的共享性,即网络用户可以通过口令使用其他用户的信息资源。这使得一些计算机黑客为了获取重要的商业秘密,经常利用IP地址进行欺骗,攻击网络系统,进行目标系统的窃取或破坏数据。这使审计人员或审计组织的审计证据和审计结论在保密性方面效果较差。
2.会计电算化系统的多样性导致审计取证困难。目前会计电算化软件有几百种,这些软件基本上符合财政部颁发的《会计核算标准基本功能规范》。但其功能模块的划分、数据库文件的设置、数据处理系统的复杂性、文件记录和系统操作的非规范化,都增加了审计的难度。尤其是用户单位在选择会计电算化软件时,一要考虑保密程度要高,二要考虑自身管理的需要。这都限制了会计信息的透明度,使得内部审计人员在搜集审计证据时十分棘手,极大地增加了审计工作量。
3.会计电算化中审计软件的不完善。一是会计电算化中审计软件种类少。目前我国在审计软件的开发方面正处于起步阶段,各大软件公司在审计软件的研制与开发上投入的人力、物力和财力都很有限。二是审计软件和财务软件的数据接口标准未能得到很好的贯彻执行。中国软件协会财务及企业管理软件分会曾了中国财务软件数据接口标准98-001号,其目的就是为了有助于不同的财务软件之间的交流,便于相互之间的数据交换以及适应用户的特殊要求,为二次开发提供数据接口。但是由于种种原因该标准并没有得到很好的落实。各软件开发商以保护数据安全为借口,将数据进行层层保护,使得会计软件与审计软件的数据交换越来越难,这给审计软件的开发和审计工作带来极大的障碍。
二、计算机审计检查风险成因分析
1.内部审计人员素质不高,缺乏审计、计算机、网络的综合知识。信息化环境下的内部审计主要包括两个方面的含义:一是对被审计单位信息系统的审计;二是利用信息技术手段进行辅助审计。对会计核算系统的审计不仅包括对会计软件模式的审计,而且还包括系统的安全性、合法性审计及系统是否保留审计线索的功能评价。这些都要求内部审计人员具有综合的素质,即既要懂计算机知识,又要精通审计理论,而且还要熟悉电算化审计软件的开发和设计过程,只有这样的内部审计人员才能对会计核算系统作出正确的评价。然而,目前我国的内部审计人员整体素质偏低,复合型的高级审计人才不足,导致审计人员对会计核算系统审计时常常作出错误的职业判断,这无疑给审计增加了更多的检查风险。
2.会计软件的更新换代,增加了历史文件提取的难度。会计软件的更新换代。增加了历史文件难以提取的可能性。对账户或交易的重大实质性测试往往离不开企业的历史数据。由于软件版本的更新,所以从往年账簿里提取这些历史数据,就迫使审计人员不得不从浩如烟海的文档中收集整理历史数据。这不仅降低了审计效率,而且带来了更多的检查风险。另一方面,世界上没有哪一家软件公司会和盘托出其软件设计过程、程序文件和数据结构。相反,他们为了维护公司利益,保守其技术秘密和商业秘密,只会采用愈来愈严格的防范与保密措施,这更增大了审计取证的困难。转贴于
【关键词】计算机环境;审计风险;对策研究
一、计算机环境下审计风险简述
计算机审计是在信息化环境下,计算机科学与技术,传统审计学,管理学、行为科学,系统论、数理统计等科学相互融合、渗透而产生的一门新的审计学科。而计算机审计风险是指审计人员在对被审计单位会计电算化系统进行审计后作出的审计结论与被审计事项实际情况相背离的可能性。
在会计审计发展历程中之所以运用计算机,其最初的目的在于适应社会快速发展以及提升企业工作效率的需要,会计管理信息化是企业财务管理工作发展的大趋势,不可逆转。随着计算机技术以及网络技术的迅猛发展,审计管理的风险因素也在不断上升,在其发展的近几年中审计失败和审计诉讼案件在急剧增加。
二、计算机环境下审计风险的成因
(一)被审计单位内控制度的不完善
在手工系统中,内部控制测试是看得见、摸得着的,但在经济信息系统计算机化后,内部控制的技术和方法发生了变化,主要表现在:其一,是内部控制措施由手工控制转向以计算机控制(包括硬件和软件控制)为主;其二,计算机条件下的手工控制的内容发生了改变,主要指手工条件下的手工控制措施在计算机条件下已经失效,代之以新的手工措施。因此,内部控制的技术和方法的变化使得原有的控制措施都已不适合了,大部分控制措施都是以程序的形式建立在计算机会计信息系统中,肉眼无法觉察,在很大程度上依赖于计算机处理。而计算机会计信息系统的内控功能是否恰当有效会直接影响系统输出信息的真实和准确,内控环境的复杂性以及内部控制的局限性也使舞弊行为有机可乘,从而增加了审计风险。
(二)在动态中进行审计取证较难
在企业的不断发展之中,随着业务量的提升,其会计信息系统将日益变得庞大,会计信息每天都在发生着变化,进而形成一个动态发展的财务管理系统,而如何在此过程中获取准确的会计信息就面对着难题。因为会计信息系统须一直保持运作之中,审计人员在进行审计工作当中一旦停止运行系统,将会给被审计单位造成很大的经济损失,因此对于审计人员而言必须在处于运转当中的会计信息系统中进行取证,难度较高,存在着一定的审计风险
(三)审计人员整体素质因素的影响
在我国经济取得飞速发展的同时,企业发展之中各类违纪违法现象层出不穷,这其中既有企业层面的问题,而更多的在于员工职业素养存在缺陷,尤其是审计工作是专业性与技术性为一体的工种,不仅要求从业者具备专业的知识与技能,更要求其具备较高的职业道德以面对工作中时刻遇到的各类诱惑。从当前我国出现的各类经济案件当中,不难发现审计人员违背职业道德,损害企业利益的现象,其无形中增加了审计风险。
三、加强审计风险防范的建议
(一)提升对计算机审计风险的充分认识和重视
在多数中小企业当中,其管理者对于当前的网络环境下财务管理存在的风险往往是认识不足,甚至有些中小企业还处于传统的手工作业当中,对于新生事物缺乏足够的认知。而在大型企业当中,虽然其管理者不论是从知识储备上还是现代化技能上都胜于中小企业,但对于审计风险的重视度还未达到能将风险消除在萌芽状态的高度上。因此,不论是哪类企业都应积极从自身出发,加强对当前环境下审计风险的管控。
(二)选择恰当的审计方法与技术
当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时,则可采用绕过计算机的审计方法,用核对、复核、分析等审计技术;当被审计单位采用实时处理,纸质的审计线索较少且输入输出不能直接核对时,则可采用计算机审计的方法;若在审计过程中,被审计单位会计软件必须时刻处于运作,审计工作又不能强行终止时,就应转变审计方法采用制度基础法,将被审计单位的会计信息进行分类管理和审核,根据审核的结果对一般控制和应用控制中的信息制定对应的审计方法,以达到既不损害企业利益又能客观公正的完成审计任务的目的。
(三)规范计算机审计程序,加强计算机审计法制化建设
制度的建立和完善是保障任何企业稳定发展的重要基础,因此在企业会计审计过程之中应在现有的基础上,根据相关文件精神建立一套完善的管理制度,以保障审计工作的顺利进行。这是控制和规避计算机审计风险的基础。尽管我国针对计算机审计出台了《审计机关计算机辅助审计方法》、《计算机信息系统环境下的审计》等审计标准和准则,但社会环境是不断变化的,必须根据社会环境的变化对规范计算机审计的审计准则适时地进行修订。使审计人员开展计算机审计工作时有法可依、有章可循,才能更好地指导审计人员开展计算机审计工作。
(四)加强对审计人员的培训
由于审计人员在单位财务控制管理中的重要地位,其素质的高低对单位资金管理就起着非常关键的影响,因而应当着重的对审计人员进行思想道德教育和业务素质培训。其一,要加强对内部审计人员的专业知识的培训以及必要技能的培养,提高其工作的能力;其二,企业在进行人员招聘时,要制定严格的制度。不仅要严格考察其专业知识和技能还要考察其政治背景和道德水平;其三,可以制定必要的激励机制,提高审计人员的积极进取的积极性和创新性,鼓励审计人员在实际工作不断实践不断总结工作经验,以不断完善内部审计制度和方法;其四,审计人员的工作态度和责任心也是审计工作得以有效进行的重要因素之一。实际管理中加强对其的职业素质培养,使其具备高度的责任心、事业心以及处理问题的高效工作能力。
四、总结
计算机与网络技术在不断发展,网络会计办公的环境亦处于便捷与风险并存的环境之中,不论是对于被审计单位还是审计单位都提出了更高的要求。对于审计单位而言必须要不断提升自身能力以应对风险保障被审计单位的权益;对于被审计单位而言,更应加强内部管理保障财务信息的安全性与准确性。
参考文献:
[1]周汉庭,杨颖.审计学[M].西南财经大学出版社,2009
关键词:计算机审计风险;风险成因; 防范措施
一、计算机审计风险种类
(一)系统环境风险
系统环境风险是指会计电算化系统本身所处的环境引起的风险。它分为软件环境风险和硬件环境风险。由于计算机数据处理系统的复杂性,使得文件记录和系统操作都缺乏标准和规范,因而产生了系统环境风险。另外,由于信息技术的高速发展,企业信息系统的联机实施系统和数据库管理系统化。使会计系统不再是孤立的和独立的,病毒、黑客的入侵随时可以威胁会计信息系统的安全。
(二)系统控制风险
所谓系统控制风险是指会计电算化系统的内部控制不严密造成的风险。它属于审计的控制风险。在手工记账条件下,内部财务的控制机制完全是人与人之间的互相监督和控制。实现会计电算化后,这种监督和控制主要表现为人和机器的双重控制。而且以对机器的控制为主。由于审计对象和内容的改变,审计人员需要对软件开发商在设计软件时嵌入到程序中的内部控制软件方面的内容进行测试,而这些对审计人员而言是一件难度极大的任务。
(三)财务数据风险
这种风险是指电磁性财务数据被篡改的可能。它属于审计的控制风险。由于审计线索的改变,在电算化系统中可人为篡改数据而不留痕迹。电算化系统数据来源、公式定义、编制结果、打印格式均采用机内文件的形式,如果有人篡改公式,编制失真的财务报表,然后再将篡改的公式等予以复原,这样很难判定报表数据的正确与真实性。传统审计追踪审查已不适用,审计人手点更多的是靠自己的判断和经验。财务数据风险的产生,使得审计工作或者增加人员。加大工作量,增加审计成本:或者放弃审计项目,审计风险增加。
(四)审计软件风险
审计软件风险是指由于计算机审计软件本身在设计、制作过程中的缺陷等原因造成的风险。由于所使用的审计软件没有通过有关部门的评审,也没有进行使用前的试运行就匆忙投入使用,可能造成软件运行不稳定。随着会计软件的不断升级,却没有采取相应的升级措施,使其出现内部的审计核算方法与会计核算不一致的情况。在软件的开发过程中,一方面由于财会人员对计算机技术不够了解,尤其是对于开发工具更难以准确表达其需求;另一方面,技术人员对审计、会计业务不熟悉,没有全面、深刻了解用户要求,造成软件自身的不完善或审计计算、分析偏差。
(五)人员操作风险
这种风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。在进行计算机审计时,审计人员应当对约定计划的计算机硬件、软件和处理系统有充分的了解,并且要了解电子数据对内部控制的研究与评价和对审计程序的施行有怎样的影响,包括计算机审计技术,以避免因业务不熟或者知识不够,遗漏审计证据,出现审计风险。在进行审计软件开发时,技术开发人员应多方面知晓审计软件的开发背景、软件功能等,多请教专家,来弥补自身知识的不足,降低审计风险。
二、计算机审计风险的成因
(一)审计人员的素质有待提高
计算机审计是一项综合性的审计,涉及的知识面较广,只依靠审计人员过去的知识和技能是难以胜任的。此时,审计人员不仅要掌握审计、会计、财务方面的知识,还需要掌握计算机硬件、会计软件、信息处理技术及网络等方面的知识。如果审计人员不同时具备这些知识,则在审计取证的过程中,在进行人机对话时,很可能出现审计人员所得与所想的会计信息存在偏差,而这当中也可能隐藏了重要的审计线索,从而加大了审计风险。
(二)内部控制的巨大局限性
现代审计的一大特征就是以测试被审单位的内容控制为基础的抽样审计,内部控制制度的恰当与否直接影响会计信息的真实性和准确性。在电算化会计信息系统中,由于处理工具、信息载体、会计组织都发生了根本的变化。电算化会计和手工会计相比,内部控制环境更复杂,甚至有些环境因紊超过制度的有效控制能力;建立严格的内部控制的成本要高得多;对内部控制的评价更为困难。内部控制的更大局限性使计算机舞弊有机可乘,增加了计算机审计风险。
(三)被审计单位故意隐瞒审计所需信息
审计是审计人员运用专业知识和技能,依据审计准则对被审计单位相关资料进行鉴证的过程。因此在审计过程中。审计人员必须取得被审计单位的配合才能更好地完成审计任务。实现审计目标。在审计取证过程中,如果被审计单位不积极提供充分的资料或隐瞒一些重要的变更事项,如会计程序的变更、人员权限的变更等。势必会影啊到审计人员所取得的审计证据及其对审计证据评价的客观性,从而加大了审计风险。
(四)审计线索隐蔽化
在传统手工审计环境下,审计线索都是以纸质形式存储的,其中所包含的信息是可见的,需要时取得也较为便捷。而在计算机审计环境下,会计信息中有相当一部分是存储在磁性介质中的,它们是看不见、摸不着的,需要时必须通过人机对话,从计算机信息系统中调出所需会计信息,才能加以阅读。会计信息存储的隐蔽性导致信息取得的复杂性,必然会加大审计人员的审计风险。
三、计算机审计风险的防范措施
(一)审前调查,获取必要和充分的信息,保证审计数据的完整性
审计实施前,应在对被审计单位的组织结构进行调查的基础上,掌握计算机系统在组织内的分布、应用的总体情况。然后,根据审计目标和重要性水平确定深入调查的子系统,进行全面、详细的了解。了解的内容应包括软硬件系统、应用系统的开况和有关技术文档、系统管理员的配置和系统的功能、数据库等情况。据此提出可行的、能满足审计需要的数据采集对象及采集方法。为保证数据的准确与完整,一是获取数据时必须由被审计单位财务人员和系统管理员现场提供,同时,审计人员必须检查所提供的财务数据是否为审计期间的财务数据。二是检查所采集的数据必须是“结账”后的数据。三是检查这些数据是否有与之相配套的纸质凭证、账册和报表。同时,针对电子资料比纸质资料更容易篡改,并且难以发现篡改痕迹的实际,为降低计算机审计风险,磐须建立被审计单位对所提供的电子数据的真实性、完整性负责的承诺制。
(二)开发和使用计算机审计软件
由于审计软件可直接访问被审计单位的数据库文件,故有助于审计人员对整个数据文件或选定的数据项目进行复核,有效地执行大量数据的验算、筛选、分类及汇总等工作,并能按审计人员指定的标准查找记录。为给计算机审计打开通道,就必须不断研究开发审计软件。在数据采集方面,特别需要专门从事数据采集的软件,以便更易访问被审计单位不同介质、不同编码、不同数据库类型的数据库。从中采集审计所需的原始数据,打通“瓶颈”。在数据分析方面,面向特定的领域,开发新的分析工具。审计软件的应用,一方面改进了审计的手段。提高了审计的威慑力和效率。另一方面也有效地控制和降低了审计风险。
(三)加大对审计人员的培训力度
提高审计人员运用计算机开展审计工作能力,增强防范计算机审计风险的意识。在会计电算化条件下,由于审计线索的改变、内部控制的改变、审计内容的改变和审计技术的改变,决定了对审计人员审计能力要求的提高。为了在电算化条件下能更好的实现审计监督的职能,审计人员不仅要有会计、审计理论和实务方面的知识,而且要掌握计算机和电算会计方面的知识和技能,会计电算化对审计人员提出了更高的要求。因此。加强审计人员应用计算机能力的培训,是当前亟待解决的控制计算机检查风险的首要任务。
关键词:审计领域;审计风险;防范与控制
中图分类号:F239文献标识码:A
随着信息技术的不断发展,越来越多的企业实现了信息化,管理工作,特别是会计工作的计算机信息化,也使审计领域逐渐进行电子信息化。这一方面提高了审计工作的效率,另一方面也给审计工作带来了新的挑战和风险。
一、IT环境下的主要审计风险
审计是社会经济系统的一个子系统,信息技术的发展、IT技术的广泛运用,为其发展带来了契机,但与此同时,审计工作也将面临着来自信息技术的巨大风险。
(一)来自信息载体的风险。这一种风险是指在网络环境下,由于存储介质的改变,即由传统的纸质介质转变为以磁盘、磁带为介质,一旦有用户非法通过系统的防火墙,就极易造成数据的被篡改和窃取,并且不留任何痕迹。
(二)来自审计线索、审计证据的风险。这种风险是指在计算机系统中,从原始数据的录入到报表的自动生成,几乎不用人工干预,使得传统的审计线索不复存在,难以实现诸如签字、盖章等使信息证据化的操作,为审计师追查审计线索带来了极大困难。
(三)来自会计信息系统的风险。这是一种在计算机环境下特有的风险,它包括计算机软件运行、开发错误所带来的风险,计算机硬件毁损、丢失带来的风险,以及计算机操作人员行为失当带来的风险。
(四)审计人员知识构成的风险。在IT环境下,要求审计人员不仅要有丰富的会计、审计知识,还要具备深层次的计算机知识技能,否则,就会带来一定的风险。因而审计人员的知识构成成为新环境下加大审计风险的又一因素。
二、IT环境下审计风险的成因
(一)信息载体的变化。在网络环境下,经济业务的原始凭证电子化,并以磁介作为主要的存储载体,这样虽然减少了纸张处理工作,使企业的管理更有效率,但是会计数据存储于共享、集成的企业信息系统中,极其容易导致机密数据泄露,使舞弊者或攻击者对原始数据进行非法修改或删除,被不法分子拷贝,使不留痕迹的篡改成为可能。
(二)审计线索的日益电子化和隐蔽性。审计工作履行“经济警察”的职责,掌握充分的审计线索、审计证据不仅重要而且必须。但是,在IT环境下,计算机的使用改变了会计记录的存储与处理,主要表现在:原始凭证或记账凭证一经输入机内,就变为以文件形式存入机内的数据文件。随着信息化的发展,对于各业务子系统中自动生成的机制转账凭证,其数据的采集来源于机内分配结转后的记录;总分类账为文件所替代,明细分类账采用满页打印方式,因而导致两类数据之间的核对只能在机内进行。账簿登录时,是通过计算机登账程序自动进行的,其使用的是哪一种程序便难以判断。
(三)会计信息系统自身的风险。ERP环境下会计信息系统必须结合信息技术的特征和优势,围绕会计信息系统的目标体系,以信息技术为重要手段,从会计信息处理的路径、规则、角色等方面进行规划。会计信息系统自身的风险主要有以下几种:由于权限集中,使得数据极易被控制、操纵的风险;程序设计风险;固有的计算机硬件风险和软件风险等。
(四)审计对象的多元化。在信息技术环境下,由于审计对象的多元化,导致审计线索、内部控制、审计内容和审计技术的改变,出现了审计线索的隐秘性、审计证据的难获取性等新特点,要求审计人员必须是掌握多种技能的“多面手”。没有计算机知识或没有会计信息化知识的审计人员会因为审计线索的改变而无法对其进行追踪;也会因为不懂得会计信息化系统的特点、风险及内部控制程序而不能审查和评价其内部控制,尤其是其中的程序化控制情况;因为不能熟练运用计算机而无法对计算机系统的功能进行审查。
三、IT环境下审计风险的防范
(一)开辟独立控制区。开辟独立控制区,对数据实施后台打包管理,可以有效解决不法分子进入系统,非法篡改、窃取数据不留痕迹的问题。使审计人员可以有效地获取软件运行的历史轨迹,获取数据的第一手资料,包括原始数据、数据的更改状况、更改数据的操作人员信息等,以此推测数据更改的目的,判断是正常的数据更正还是数据篡改作假,从而降低审计风险。
(二)加强企业内部控制。加强企业内部控制有利于审计人员获得完整、真实的会计数据,从而降低开放的网络技术带来的审计风险。具体可以采取以下措施:第一,实行识别认证和访问控制技术。为了防止非法用户的入侵,可在因特网内部采用识别认证和访问控制技术。内部网的访问采用入网控制、目录级别安全控制、网络服务器的安全控制等技术;第二,设立防火墙,并在互联网与防火墙之间建立“中转网站”。在企业内部网与互联网之间设立防火墙,其作用在于使内部网与互联网互相隔离。在Internet与防火墙之间建立“中转网站”,并安装监测软件。它可以起到“中转站”的作用,无论是从Intranet一方还是从Internet一方访问会计数据时,均须在“中转站”上登陆。“中转站”是受控网站,当有登陆请求时可报警,这时Intranet的“值班”人员可以对请求者进行身份认证和服务内容审批,请求被批准后,请求者方能通过“中转站”。这样可大大提高系统的安全性,减少风险。
(三)完善审计软件的设计。研究和开发审计软件时,数据采集方面,特别需要专门从事数据采集的软件,以便更易访问被审计单位不同介质、不同编码、不同类型的数据库,从中采集审计所需的原始数据,从而在数据分析方面,面向特定的领域,开发新的分析工具。由于软件本身的错误或由于控制不当被非法篡取或窃取等原因造成的错误,要有审查机内数据文件、软件程序的类似反毒软件的计算机审计软件。软件开发时应征求审计人员的意见,由审计人员自始至终进行跟踪监控,以促进系统软件和网络系统的安全、可靠、稳定、合法。
(四)利用先进的审计技术。由于计算机的使用,使会计信息系统在许多方面发生了变化,审计人员再以传统的审计方法进行审计就难以达到预期的目的,因而审计工作必须借助新的技术和方法:(1)并行审计技术。在应用系统对经济业务进行处理的同时采集审计技术,变事后审计为事中审计,及时取得可靠证据,并针对应用系统运行过程中出现的异常问题,采取措施及时纠正,以防范风险;(2)审计经验数据集成技术。通过建立一个审计经验数据库来辅助进行审计的技术。审计经验数据库主要是收集大量的审计案例,采用多层次的结构(如树结构)来标记所收集的审计案例的属性值,描述审计案例。运用这种技术可以为审计人员积累丰富的审计技术经验,增强审计人员的风险意识,积累一定的识别、控制审计风险的经验。
(五)改变审计人员知识构成。针对审计人员知识构成的现状,一方面应该注重引进IT人才,将引进人才与自主培养结合起来,在重点培养复合型人才的同时,提高审计人员计算机应用的整体水平,通过层层选拔,引进一批高层次技术人才;另一方面还应该完善目前的审计人员从业资格考试的内容,将有关的计算机辅助审计基本技能的要求以及信息系统审计的一般知识(如对企业信息系统内部控制的评价)等作为考核的一个内容,以全面考察信息技术环境下审计人员的从业资格。
四、结束语
经济的发展引起了审计环境的巨大变迁,给审计工作提出了更高的目标和要求,也为审计的实践活动带来了新的审计风险。为了迎接这个挑战,减小审计风险,审计人员知识构成的改变、审计技术与方法的革新势在必行。
(作者单位:黄河水利职业技术学院)
主要参考文献:
[1]姚靠华,周岳婷.现代信息技术下的审计风险研究[J].中国管理信息化,2006.9.2.
[2]陈蕾,李爱华.网络环境下审计风险及防范[J].中国管理信息化(综合版),2006.9.5.
[3]王纯.信息系统审计风险与控制[J].企业经济,2006.8.
[4]刘建民,周咏梅.网络审计发展中的问题与建议[J].财会通讯(综合版),2005.5.
[5]孙丽红.网络审计的十四大变化[J].财会月刊(综合),2006.10.
[6]马烈.影响审计风险的宏观环境因素[J].合作经济与科技,2006.4.
[7]王晓茜.信息系统审计探析[J].财会通讯(综合版),2004.6.
[8]胡春元.审计风险研究[M].东北财经大学出版社,2002.
[9]谢荣,吴建友.现代风险导向审计理论研究及实物发展[J].会计研究,2004.4.
[10]蒋锡元.会计电算化下地审计风险与防范控制[J].中国管理信息化,2006.9.5.
[11]周贤顺,彭晓影.会计信息网络环境下的若干审计问题及应对[J].煤炭技术,2006.3.
关键词:会计电算化;审计风险;防范措施
会计电算化是指以电子计算机为主体的信息技术在会计工作的应用,具体而言,就是利用会计软件,通过各种计算机设备替代手工完成或在手工下很难完成的会计工作过程。会计电算化是会计行业发展的一场革命,会计电算化能够帮助会计从业人员的工作得到了简化,对于企业来说具有极高的意义,但是在会计电算化的进程中,传统的审计方式不在适用于现代的财务情况,会计电算化中存在各种新的审计风险,这就需要审计从业人员根据企业的具体情况,降低会计电算化给企业造成的审计风险,减少企业的损失。
一、会计电算化的意义
(一)提高工作效率
传统的会计行业是用手工记账和计算的,在实现会计电算化之后,会计通过计算机软件将数据录入其中,而软件就可以进行校验、加工、保存、检索,这样大大减轻了会计人员的工作数量,提高了工作效率。
(二)保证工作质量
手工记账由于假以人手难免会出现纰漏,在计算机软件中,会计人员把数据录入之后,软件会自动对数据进行纠错,有效避免了会计工作的失误,保证了会计工作的质量。
(三)提高财务水平
由于传统会计工作比较烦琐和复杂,记账、算账、报账都需要人工去完成,因此会计人员往往很难有精力去关注财会中其他更重要的方面,而现代化的会计只要通过软件就能完成以往的工作,节省了大量的精力,可以分析和研究数据,为企业经济决策提供帮助。
(四)加快管理进程
通过财务工作人员针对数据进行分析,能够辅助管理人员进行决策和管理,加快了企业内部管理工作的现代化进程。
二、会计电算化带来的审计风险
(一)系统环境风险
会计电算化由于应用到计算机软件处理工作,计算机软件在软件环境和硬件环境两个方面都存在一定的风险,随着会计电算化的进一步推广,市场上可见的财务软件层出不穷,更新换代的速度也非常之快,从开发平台到数据处理都可能存在一定的漏洞,为企业审计工作带来一定的风险。另外计算机与网络相连接,系统内部的数据库资料时刻会受到计算机病毒、黑客的威胁。
(二)财务数据风险
传统的财务数据记录在纸张上,任何的涂抹、更改、增删都会留下痕迹,但是在计算机中进行更改则不会留下痕迹,另外,财务软件的计算是基于软件内部的公式进行计算的,如果企业财务人员人为的更改其中的公式和数据,就会出现虚假的数据,给审计追踪带来一定的困扰,审计只能靠经验判断,为审计工作带来了极大的挑战。
(三)人员操作风险
在会计电算化中,财务人员将数据逐一录入到计算机软件之中,财务人员对计算机操作要有一定的了解,在审计层面,审计人员不仅仅要了解审计软件,还要要了解电算化财务软件的各种情况和处理过程,各种不同类型财务软件的数据库也有所不同,而审计工作就是对于数据的审计,如果不了解财务软件就难以对于财会工作进行全面的审计。
(四)审计软件风险
会计电算化的软件更新速度较快,但是审计类的软件更新的速度较慢,这种情况会造成一定的漏洞,在一定程度上降低了审计的工作效率和质量,同时在审计软件的开发过程当中,开发人员对于审计工作的流程缺乏深入了解,致使软件自身有着一些缺陷,最终影响审计效果。
三、会计电算化审计风险的防范措施
(一)完善审计标准
在会计电算化的背景之下,原来的审计标准已经不再适用,因此需要制定和完善计算机审计标准,这是提高财务审计工作质量的前提保障,可以借鉴外国计算机审计标准,同时结合中国企业财务情况,侧重于对计算机系统控制评价、对于审计人员技术的考核、对于电算化审计证据收集等方面做出全面的标准和规范,同时也要涵盖电算化审计软件的开发及维护标准,建立起适用于现代财务工作的审计标准,同时在实施过程之中根据出现的情况进行修改和完善,起到降低审计风险的作用。
(二)开发审计软件
审计软件是审计工作中非常重要的工具,在电算化审计工作中,数据的采集是非常重要的一环,审计工作人员对所采集的数据进行分析和整理,因此审计软件的采集功能要有所加强,同时由于审计工作软件应该被审计系统相互连接,财务审计软件可以直接进入到被审计系统中进行数据采集,能够大大降低审计工作的难度,需要审计软件研发人员不断进行研发,针对现有的财会软件进行分析,令审计软件能够访问不同软件的数据库,采集其中的原始数据,这种完善的审计软件能够给审计工作提供强有力的保障。
(三)提高人员素质
在现代的审计工作中审计人员的素质是关键之一,现代的审计工作不仅仅要求工作人员了解审计相关的知识,还要求工作人员具备一定的计算机知识和数据处理知识,还要了解各种财务软件,在审计过程中要对于不同的财务软件进行判断,因此电算化的审计人员需要有多方面的素质,这就需要企业重视审计工作,积极培养复合型的审计人才。
结语
会计电算化在带来便捷的同时,对于审计工作是一个巨大的挑战,传统的审计工作内容不足以满足当代的财务审计需要,这不仅仅需要审计工作从业人员的努力,还需要审计软件工程人员、企业管理人员等等相关人员的一起努力,同时国家随着财务工作的进步也要完善审计相关的政策法规,将审计风险降到最低。
参考文献:
[1]王帅帅.会计电算化下的审计风险与防范措施[J].东方企业文化,2015(07):302.
1.系统控制风险会计电算化主要是以机械控制为主,人的控制为辅,这种审计系统内部控制存在一定的缺陷。由于审计对象和审计内容发生了改变,会计软件系统的安全性与稳定性在审计中起着举足轻重的作用,但是系统的测试对于审计人员来讲确实是一个艰巨的任务,大多数的审计人员缺乏计算机知识,一旦在测试中没有发现系统的漏洞,等到软件系统正式进行审计工作后就会造成很大的风险,降低审计效果,使审计结果失真。
2.财务数据风险审计的控制风险包括财务数据风险等,是指电磁性财务数据被篡改所造成的风险。电算化会计中,审计线索发生了改变,一些不法分子可不留痕迹的篡改数据。电算化系统的数据来源、编制结果等都采用文件形式,一旦有人篡改了审计的公式、报表等,审计人员很难发现问题,导致数据的失真。
3.人员操作风险计算机审计系统的操作人员在审计工作中会由于主观或客观原因造成一定的风险。审计操作人员对计算机硬件、软件和处理系统没有充分的认识,不够了解电子数据对内部控制的研究与评价和对审计程序的施行产生着什么样的影响,这样就会造成因为知识不全面而遗漏了审计证据,造成审计风险。软件系统的技术人员需要全方位的了解审计软件的开发背景、功能等,通过与审计定制人员的沟通了解他们的需求,设计出满足他们审计需求的软件系统,不然审计软件功能就会有局限性,带来审计风险。
4.网络安全风险目前,随着计算机技术的飞速发展,计算机舞弊的犯罪案例越来越多,对受害企业造成了巨大的损失。利用计算机窃取资产,这种犯罪对于会计师和审计师来说较难察觉,一般都会造成巨额损失,是最为严重的犯罪。
5.职业道德风险注册会计师具有“独立性”,是指他能够站在公平、公正的立场上对企业的财务报表进行审计,并提出与事实相符的审计意见。会计发展的主流已经是电算化,增加了审计内容,对审计人员的素质要求更高。由于审计人员在审计过程中会受到各种环境和关系的影响,其独立性遭到破坏,审计结果就具有一定的失真。审计行业比较特殊,是一个经验积累的行业,审计的越多,就越有经验,审计效果就越好。因此,会计电算化专业人才比较缺乏,为了顺利进行会计电算化审计,会计师事务所往往需要聘请计算机专家协助他们开展审计工作,一旦聘请的计算机专家不能遵守或不能完全遵守职业道德规范,就会导致审计风险。
二、产生会计电算化风险的原因
1.传统审计线索逐步消失在手工会计系统中的记账凭证、账簿以及财务报表都有纸质资料,都通过了每一位经手人签字,审计线索显而易见。但在会计电算化系统中,由于会计系统采用了计算工具、存储介质和网络技术,绝大部分的纸质资料消失了,所有的会计信息都存储在磁盘上,导致审计限速逐渐减少。与此同时,存储的数据很容易被认为不留痕迹的加以修改、删除、隐匿、转移,审计人员无法用肉眼进行辨别,也无法用传统的方法考察会计档案数据。这些都削弱了审计线索的安全性、可靠性和有效性,使得审计工作中发现问题就更加艰难,增加了审计的风险。
2.被审计单位内控不完善在会计电算化信息系统中,内部控制是依靠人和计算机的双重控制,而且主要是计算机为主。这样就导致交易缺乏轨迹,职责分工不明确,在特定的方面发生错误和舞弊的可能性比较大。大部分的计算机控制措施都是以程序的形式,是计算机系统中肉眼无法觉察的。而计算机会计信息系统的内控功能是否恰当有效,审计人员是无法通过肉眼看出来的,这就会导致计算机输出的信息不准确,从而增加了审计风险。
3.审计人员计算机知识缺乏会计电算化对审计人员的计算机知识要求较高,我国目前的审计人员在这方面的总体水平还不够,其主要就是因为会计人员队伍偏老龄化,大部分人员具有良好的审计经验,但其中大部分人没有对计算机的基础知识进行过系统的学习。因此,他们缺乏计算机系统设计和编程的检测能力,不能够分析软件系统的结构,在审计过程中无法独立完成,需要专业的计算机人员的协助,这就导致了审计人员的“独立性”减弱,带来审计风险。
4.现行会计软件存在缺陷发展至目前,会计电算化得到了一定的发展,我国审计署也指导开发了包括审计作业类软件、审计支持类软件以及审计管理类软件等三种软件。然而,国内的这些软件主要侧重于软件功能的构成要素和会计处理的合理性,忽视了对线索的保全性,忽略了对软件开发过程中内部控制系统的构建,导致审计结果与事实存在偏离。
三、预防措施
1.加强审计软件技术的开发在电算化会计的发展历程中,各种各样的会计软件开发并投入使用,为了适应会计软件的快速更新,审计软件的研发、更新必须加快脚步。此外,可以通过对国外审计软件的引进,对适合我国审计工作的软件进行组织推广,促进审计软件的商品化。
2.完善内部控制评价想要维护企业资产的安全,必须拥有健全的内部控制制度。在电算化会计方式下,需要通过对软硬件的管理制度、会计电算化岗位责任制度等来保证会计信息的真实性。在企业的审计过程中,要实现企业职能的分离控制,根据职责分明、相互制约的原则建设相应职责分工。
3.提升审计人员素质会计电算化审计范围不断扩大,审计人员面临着巨大的挑战。在计算机处理环境下,审计人员应对计算机系统、审计系统有深刻、全面的认识。因此,审计单位应多举行员工培训,促进审计人员的知识积累,以适应电算化审计的需求。审计人员培训中应强化他们对数据库程序的学习,让他们能够采集和转换数据库原始数据,并直接分析和整理财务数据。
参考文献:
[1]王际岩.浅析会计电算化系统的安全性与风险防范[J].黑龙江金融,2003(5):53—55.
[关键词]审计风险;防范措施;信息系统审计
在信息化环境下,信息系统在安全性、可靠性和有效性上可能存在缺陷或发生错误的隐患,行业的信息系统中可能存在一系列风险因素,进而增加经营管理风险的可能性,对信息系统进行充分审计利于降低甚至规避相关的风险。
1信息系统审计风险类型
信息系统审计风险包括以下三个方面:其一是被审计单位信息系统自身潜在的风险,即固有风险;其二是被审计单位内部控制存在缺陷产生的风险,即控制风险;其三是审计师在信息系统审计过程中产生的风险,即检查风险。下面具体分析面临的审计风险。
1.1固有风险
固有风险的产生是由于企业自身的因素,与信息系统审计没有关系。固有风险是在信息系统不存在相关内部控制的前提下,信息系统或其子系统发生重大错误的可能性。当企业的信息系统存在安全漏洞,系统内的相关电子数据或程序遭受破坏时,信息系统存在的固有风险偏高。信息系统审计的固有风险与计算机硬件配置、软件质量以及网络安全有关。主要表现在:①系统设计风险。由于信息不对称和知识结构的不完善使得系统开发人员设计出的信息系统与系统使用者的需求不匹配,那么就必然带来漏洞。②系统风险。信息系统的硬件配置不完善,软件质量不可靠,系统自控功能较弱而产生系统风险。③系统环境风险。电子数据大量集中在系统的信息中心,同时信息系统实现数据的高速处理,在此过程中,系统内数据遭到破坏或者处理时出现失误。
1.2控制风险
控制风险也与信息系统审计无关,是信息系统或其子系统发生重大错误并且没有被内部控制及时防止或发现纠正而产生的风险。信息系统在处理相关数据时,绝大多数的处理流程和相应的控制程序存在于系统中。在信息系统环境中,其控制范围发生一定的变化,具有其特殊性,包括系统组织操作、安全和数据处理等方面,所以很多一般的控制活动会失效。主要表现在:①约束机制失效风险。在信息系统环境下,交易授权直接由电子数据处理功能取得,信息系统中各岗位不相容职责分配较为集中,因不恰当的授权而促使舞弊行为发生。②系统数据的安全性风险。为保证系统数据的安全性和保密性,与书面资料相一致,防止系统数据被篡改或非法复制,监控和管理信息系统的有效运行,需要对人员权限进行适当有效的控制,对日常电子数据进行维护,保障信息系统的安全。
1.3检查风险
检查风险主要是与信息系统审计有关,是信息系统审计人员作为独立第三方通过实质性测试程序未能检查出其存在重大错误而产生的风险。信息系统审计的检查风险贯穿于审计过程,是唯一可以通过审计人员控制的风险。在信息系统环境下,审计人员的自身素养以及信息技术水平是影响检查风险的重要因素。主要表现在:①审计人员执业能力风险。信息系统的复杂性要求审计人员必须具备更加丰富的知识和技能,不仅要掌握会计、财务、审计知识,还要熟悉网络技术、信息处理以及管理技术。同时,人工操作将逐渐减少,信息技术是否有效运用的检查逐渐体现出了现实价值。②审计人员职业道德风险。在审计过程中,审计人员应保持其作为第三方的独立性。审计人员在信息系统环境下应保持其职业谨慎性,恰当地选择审计程序和方法,完成审计任务,降低审计过程中的检查风险。
2信息系统审计风险的特征
信息系统审计与其他审计不同,导致审计风险发生了很大变化,并且表现出不同的特征。其主要表现在以下几个方面。
2.1隐蔽性
信息系统审计工作主要面对被审计单位系统中大量的电子数据,操作人员使用信息系统负责处理数据输入和输出环节的信息,中间流程的数据处理几乎完全由计算机自己完成。与一般的审计证据不同,审计人员在获取审计证据时要考虑电子数据复杂和易被破坏的特点,在对数据信息采集、整理和分析过程中审计风险隐蔽性加大,不易怀疑计算机系统的数据处理能力,从而不易发现其存在的问题,审计人员的控制方法不能得以有效实施。
2.2不可控性
信息系统拥有高质量硬件软件可以保障系统的稳定性。审计人员对更新的审计软件的熟悉程度影响其在信息系统审计过程中的操作和分析。信息系统数据处理相对集中高效,磁介质存储信息使得数据存储载体发生改变,系统内部控制转而以计算机系统内部控制为主。而系统自身的运行有效、控制失灵等安全隐患也造成了审计风险的不可控性。
2.3群发性
信息系统中同种业务的数据处理采用相同程序,该程序设计开发错误未被发现,那么会出现错误的反复性。信息系统数据处理的整个流程几乎完全由计算机完成,某一审计程序未能发现信息系统存在的审计风险可能会连续地引发接下来的程序中的风险,一旦上个流程出现错误,必然导致下面的业务处理流程的数据失真,最终对企业生产经营决策产生重大影响。
3信息系统审计风险产生的原因
信息化环境造成了信息系统审计的困难,使审计风险愈发复杂,以下将从客观原因和主观原因进行简单剖析。
3.1客观原因
客观原因是其由信息化环境引起的。信息化环境下,一方面,电子数据易被更改、破坏,影响了审计证据的可靠性。信息网络自身风险较大,出现突发性故障的概率较高,外在不和谐因素如病毒的入侵,黑客破坏随时威胁系统的安全,导致信息系统环境风险增大。同时系统的设计存在缺陷,计算机硬件配置与软件质量较差,使得系统自控较弱,容易造成审计线索缺失;另一方面,行业的信息系统中可能存在功能缺陷、控制缺陷、不恰当授权等风险因素,加大审计风险,影响审计效率和质量。目前我国信息系统审计还处于初步发展阶段,对于信息系统审计没有健全的法律法规和审计准则,相关的法规准则缺失,审计人员在执行审计业务时没有相应的职业规范可循,必然影响审计工作质量,加大了信息系统审计方面的风险。
3.2主观原因
主观原因主要是其由审计人员自身特点引起的。由于信息技术的不断更新和发展,审计证据的难获取性,审计线索的隐蔽性等,信息系统审计人员不具备应有的专业能力,审计人员的执业水平与信息系统发展不协调。信息系统中大量的电子数据需要处理,此过程都在计算机内进行,审计线索更加隐蔽,审计人员很难发现问题或者错误,所以审计人员必须利用先进的审计技术,从而降低检查风险。审计人员对会计软件和计算机系统知识掌握薄弱,信息技术运用不灵活,必然带来审计风险。信息化环境下存在信息系统安全风险和审计软件风险,当审计人员对审计软件了解不足或对审计业务不够熟悉时,造成审计上的漏洞甚至发生错误。企业的信息系统中蕴含海量的电子数据,审计人员需要在保证企业信息系统正常工作的情况下进行审计业务,造成联网的其他企业与之相关的非经济业务活动的困扰,审计人员在获取有用的信息难度加大。
4信息系统审计风险的防范措施
通过对信息系统审计风险的分析后,为了降低审计风险,必须采取有效的应对措施,从而保障信息系统审计的内外部环境优化,提升审计质量。
4.1建立和健全信息系统审计法律法规和准则体系
在信息化环境下,信息系统审计的审计对象、技术和方法等发生了转变,传统的法律法规和审计准则不能完全适用于该审计,而我国目前尚未制定和出台相关信息系统审计准则和法律。在国际上,国际信息系统审计协会(ISACA)的信息系统审计准则是目前国际上通用的信息系统准则,其中包括了审计准则、审计指南和审计程序三个方面①。此外,其他组织如国际会计师联合会和国际内部审计师协会也制定了相关的规范。我国在借鉴国际信息系统审计的实践经验的同时,可以结合国内注册会计师管理情况,制定出我国特色的信息系统审计准则和法律,为降低信息系统审计风险提供有力保障。
4.2加强信息系统内部控制建设
信息系统运行得安全可靠需要健全有效的信息系统内部控制。在高度自动化的信息环境中,信息系统的设计开发者和使用者是系统内部控制及其审计的主要参与人员,其应当全面投入到信息系统的内部控制构建中去。为有效降低审计风险,建立信息系统内部控制体系势在必行。具体表现在:一是要改善内部控制环境并加强风险评估程序,将制定的内控制度落到实处并自行评估和评价,对其有效性进行信息反馈,便于进一步完善信息系统的内部控制;二是强化内部控制的技术应用。只有涉及内部控制相关的技术得到有效运用,才能降低被审计单位对内控的依赖程度。此类技术包括监控系统、综合分析平台、防火墙的建立和权限管理等。
4.3运用先进的信息系统审计技术方法
先进审计技术方法的运用便于提高审计效率和提升审计质量。审计人员获得充分适当的审计证据来实现审计目标需要其具备熟练的技术方法。目前我国信息系统审计技术保持迅速发展的态势,并逐渐缩小与欧美发达国家的差距。先进的信息系统审计技术包括了相关的安全审计技术、数据挖掘技术以及信息系统审计证据生成技术等,我国需要对这些技术领域的研究全面加强,同时在其完善后应及时投入运用,不断推进审计技术的更新,从而使之达到先进水平。
4.4加大信息系统审计人才培养力度
信息系统审计人员的职业能力和专业素养是提升信息系统审计质量的保障。在信息系统环境下,审计人员需要具备全面的知识,包括审计、会计、计算机技术和信息系统管理等,同时这样全方位的审计人才又相当缺乏,所以培养高素质的审计人才,任务显得尤为重要和艰难。我国信息系统的人才培养需要学历教育、社会实践和培训有效结合,各高校开设审计与计算机融合的相关专业和课程,加强信息系统理论知识的学习,审计机构适时提供培训,并安排审计人员真正应用实践,这样才能有力地促进信息系统审计人才的培养。
作者:茆敏 单位:南京审计学院
参考文献
[1]孙晶.浅谈信息系统审计风险与控制[J].中国管理信息化,2012(22):18-19.
[2]胡晓明.风险导向信息系统审计及其发展思路[J].经济管理,2007(2):63-66.
[3]谢岳山.联网环境下信息系统审计的体系架构[J].审计研究,2009(5):37-39.
[4]王振武,张子瑾.信息系统审计理论结构框架研究[J].会计之友,2011(21):91-96.
[5]刘园瑶.信息系统审计国内研究综述[J].现代商贸工业,2011,23(16):48-49.
[6]薛丽.信息化环境下审计风险的防范[J].安徽工业大学学报,2009,26(3):53-54.
现阶段会计电算化审计包含两个涵义:一是对会计电算化系统的审计,二是利用电子计算机和软件作为审计工具进行辅助审计。审计风险形成原因如下:
1、审计可视线索消失,导致审计风险
在手工条件下,审计线索包括会计凭证、账簿、报表等会计资料,会计人员对各项经济业务的会计记录都是以纸质形式存放,审计人员可以通过这些书面记录加以审计。然而,在应用计算机处理会计资料后,纸面信息变成了只有计算机才能识别的磁性介质上的代码,并且这些代码是为会计人员服务的,对审计人员而言,磁质代码无异于在审计对象面前增加了一道无形的墙,看不见,摸不着。传统的审计追踪审查已不适用,审计的切入点更多的是依靠自己的经验和判断,客观依据的不足,导致检查风险增大。
2、会计电算化系统内部控制的变化,导致审计风险及控制难度增加
在手工条件下,内部控制一般表现为对人的控制,采取的手段主要是利用纸面信息进行手工核对和检查,责任容易明确,结果也比较直观。可是,在会计电算化条件下,内部控制转变为对人和机器的双重控制,且以对计算机控制为主。若内控制度不健全,计算机数据和程序的修改完全可以不留痕迹地进行,同时计算机容易受到“黑客”的人侵和“病毒”的侵袭,特别是国内外利用计算机犯罪的众多案例,更说明了会计电算化条件下内部控制的难度,这对审计工作而言,加大了审计风险。
3、会计环境的变化导致审计环境的变化,增大了审计风险
记账方法的改变,改变了会计环境,同时也改变了审计环境。在会计电算化环境下,审计人员需要花费大量的时间和人力去了解和审查电算化系统的功能、结构,以证实该系统在业务处理方面的合法性、正确性、真实性和完整性。例如,会计电算化软件本身的完善性,计算机硬件的可靠性,会计电算化软件内部控制的严密性等原囚造成的系统风险,会计电算化系统的操作人员、技术人员造成的操作风险等。这大大增加了对会计电算化系统审计的难度,增加了审计风险。
二、会计电算化系统审计风险的防范对策
1、提高审计人员的电算化素质
思想决定行动。会计电算化系统审计的完成,最终取决于人。为此,一方面,我们必须克服思想麻痹的倾向,时刻警惕审计过程中可能出现的情况,做到心中有数,防患于未然。只有这样,才能从源头上做好防范工作,同时,应注重对会计电算化审计人员的培养,可以采取以下措施:一是加强对在职人员电算化应用水平的培训。二是加快和财经类高校联合办班,专门培养既懂计算机又懂会计和审计的复合型知识结构的审计系统开发人员,择优录取到审计队伍当中,使他们成为电算化审计的专业技术人员。
2、完善电算化审计标准与准则
计算机审计准则是对电算化审计的标准化,是衡量审计工作的标准、提高审计质量的保证。在会计电算化信息系统中,审计难度更高,审计风险更大,过去手工会计系统的审计标准和准则中部分内容已不适应。因此,在制定标准和准则时要在考虑我国国情的前提下大力吸收借鉴国外先进经验。在制定具体准则时应侧重于对计算机系统内部控制的评价、对审计人员应具备的资格、电算化审计过程和相关的审计技术以及证据收集等方面做出规范。建立一系列与新情况相适应的审计准则,包括系统设计、开发、运行、维护等标准,以及相适应的内部控制制度,规范计算机审计业务的发展,并逐步向国际审计准则靠拢,将审计风险降低到可以接受的水平。
3、开发、应用高效的审计软件
由于审计软件可直接访问被审系统的数据文件,故有助于审计人员对整个数据文件或经选定的数据项目进行复核,有效地执行大量数据的验算、重新分类及汇总等工作,并能按审计人员指定的标准查找记录,详细检查数据文件的内容。为给计算机审计打开通道,就必须不断研究开发审计软件。在数据采集方面,特别需要专门从事数据采集的软件,更易访问被审计单位不同介质、不同编码、不同数据库类型的数据库,从中采集审计所需的原始数据,打通“瓶颈”。在数据分析方面,面向特定的领域,开发新的分析工具,如针对企业审计领域的固定资产折旧审计工具和产品利润情况分析工具,针对金融审计领域的利率检查工具等。同时,还要增加一些基于特定方法的分析工具,如账户分析、比较分析等。
孔 莹 山东天恒信有限责任会计师事务所
【摘 要】随着计算机处理能力的系统化和网络的发展,会计电算化的趋势已经不可阻挡。在传统会计向电算化会计转变的同时,其各个方面的在发生变化,而审计作为反映和监督会计工作的必要手段,也在随着会计工作的电算化而同样逐渐迈上电算化的进程。本文对审计在电算化过程中发生的一些变化以及与传统审计各个方面的差异及实施中的风险进行了分析。
【关键词】审计电算化 转变 差异 风险
会计和审计之间存在着密不可分的职能联系,同时又在各自的职能过程中体现着不同的特点。会计与审计两大门类之间的职能责任密切相关,而且两者在职能过程中的对应性质,也决定了在技术方面必须达到协调发展。
一、会计电算化实行后在审计方面的差异电算化会计是会计发展的必然趋势,传统的财务审计在新的条件下就显得很不适应,必须进行改变、补充和完善。随着2006年新会计准则的颁布,会计的使用者在一定程度上减少了“做帐”;的手段和方法, 而这有可能会带动企业,使得不法企业在目前普遍存在的会计电算化中做手脚的可能性增加,而随之而颁布的新审计准则体系也在多条内容中对电算化做了相应的规定和诠释,以此来杜绝会计电算化中的问题。会计电算化对审计的影响,具体表现在以下几个方面:
1.审计线索的改变。在电算化会计系统中,会计和财务的业务处理方法和处理程序发生了很大的变化,原先反映会计和财务处理过程的各种会计资料的书面形式的资料减少了,有些甚至消失了。为了能有效地审计电算化的会计个体,在电算化会计系统的设计和开发时必须注意审计需求,要留下新的审计线索。例如,要留下每笔经济业务的详细记录,而不能只留下更新后的当前余额。有些系统中的暂存文件,经过一定的时间就要被删掉。如果审计需要查这些文件,则应拷贝,以便查寻。
2.审计内容的改变。在会计电算化条件下,审让的监督职能虽然没有改变,但审计内容却发生了变化。在电算化会计信息系统中,系统很可能被不知,鬼不觉地嵌入非法的舞弊程序,不法分子可以利用这些舞弊程序大量侵吞企业的财物。电算化会计信息系统的特点,及其固有的风险,决定了审计的内容要增加对计算机系统处理和控制功能的审查。在会计电算化条件下,审计人员要花费较多的时间和精力来了解和审查计算机系统的功能,以证实其处理的合法性、正确性和完整性,保证系统的安全可靠。
3.审计技术的改变。在手工会计处理的条件下,审计可根据具体情况进行顺查、逆查或抽查。审查一般采用审阅、核对、分析、比较、调查和证实等方法。所有审查工作都是由人工完成的。在会计电算化条件下,会计的特点决定了审计的内容和技术的改变。虽然人工的各种审查技术仍是很重要的,但计算机辅助审计是必不可少的审计技术。在会计电算化条件下,既要对计算机系统的处理和控制功能进行审查,又要采用计算机辅助审计技术。对计算机系统功能的审查,必须运行计算机,让计算机执行各种操作和处理,也就是利用计算机开展审计。此项审查是不能离开计算机仅由人工来完成的。另一个计算机辅助审计技术的应用是,在电算化会计信息系统的设计开发过程中,可事先在被审计的计算机系统中的嵌入审计程序。这些程序可以执行审计监督,建立审计跟踪文件,记录符合指定条件的会计事项及其操作处理的有关信息,以便日后审计人员踊跃追查。这些程序还可以执行一些特殊的审计功能。
4.对审计人员的要求更高。在会计电算化条件下,由于审计线索内容控制、内容和审计技术的改变,决定了对审计人员的要求高了。不懂得计算机的审计人员,因审计线索的改变而无法踊跃审计;不懂得电算化会计系统的特点和风险而不能识别和审其内部控制;不懂得使有计算机而无法对计算机进行审查或利用计算机进行审计。因此,要求审计人员不仅要有会计、财务、审计工程技术上的理论和实务知识,而且要掌握计算机和电算化会计方面的知识和技能,特别是计算机数据处理知识、系统分析设计、电算化系统评审技术以及电算化审计系统的设计、使用、和维护知识。拥有新环境下高素质的审计人员才能在审计活动中起到作用。
二、会计电算化下审计遇到的风险由上述可见,会计电算化给审计提出了许多新问题、新要求。传统的手工审计已不能适应电算化的要求。学习、研究和开展计算机审计是审计部门和审计人员的新课题和新任务。而目前,已知的计算机审计存在以下几种风险: 人员操作风险。人员操作风险是指对会计电算化信息系统进行审计时,由于过分依赖计算机运行所得出的结果,而没有对各种疑点线索进行必要的复查所产生的风险。财务数据风险。财务数据风险是由于财会人员在对财务数据录入时采用虚假、修改、延迟等手段造成虚假财务数据而产生的风险。软件管理风险。软件管理风险是指对计算机辅助审计软件的使用和管理不完善、不健全而引起的风险。审计软件风险。审计软件风险是指审计软件在设计开发过程中由于本身的不完善等原因而造成的风险。
三、如何解决会计电算化下审计遇到的风险
1.选择恰当的审计方法与技术。审计人员可以根据被审计单位不同的系统而采取不同的审计方法和技术,从而有效地降低审计风险。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时,则可采用绕过计算机的审计方法,用核对、复核、分析等审计技术; 当被审计单位采用实时处理,纸质的审计线索较少且输入输出不能直接核对时,则可采用计算机审计的方法,当被审计单位采用每时每刻都在运行,审计过程中不能终止工作时,则可采用制度基础法。
2.选择合理的审计方式。由于要审计的内容大都存储在磁性介质中, 而磁性介质很容易被篡改、删除而不留下任何痕迹。因此,对于计算机会计信息系统审计一般应采用就地审计或突击审计的方式。在进行审计时,可以采用事先不通知操作员或程序员的情况下,把系统中正在运行的数据拷贝出来进行审查,以防操作员把数据篡改、删除等,只有这样,才能保证被审程序和数据的正确、完整性,也才能有效地降低审计风险。
3.积极取得被审计单位的支持和配合。在进行计算机审计时,如果被审计单位的财务人员、操作人员不予配合,把存在磁性介质当中以及会计信息系统中的财务数据进行加密、修改、删除、隐匿等,则审计人员很难进行审查,因此,审计时应积极取得被审计单位的支持和配合, 来降低审计风险。
4.建立健全会计电算化信息系统审计的标准和准则。原有的标准和准则有的已经不适用于会计电算化信息系统审计,这给会计电算化信息系统审计带来了一定的风险,有关部门应采取有关措施,大力加强对计算机审计的研究,尽快制定出适用于会计电算化信息系统审计的标准和准则,来降低计算机审计风险。
【关键词】审计机关 业务质量控制 信息化 实现模式
一、当前实施审计信息化建设及应用情况
目前,各级审计机关扎实开展审计信息化建设,组织全员学习和应用AO系统,各项目的开展均使用计算机审计,从业务和财务两个不同层面,按照“编制模型,全面分析,发现线索,验证结果”的工作思路,积极探索计算机审计的方法。如通过联网数据的采集转换和在线核查等手段,审计人员节省了到外单位采集数据、核对账目的时间,确保了项目审计质量,提高了工作效率,取得了较好的审计效果。
二、目前审计质量工作存在的主要突出问题
相对传统手工审计而言,计算机审计在技术上更先进,但始终还需要依赖于审计人员做出判断。开展计算机审计工作的关键是正确的审计思路与运用计算机技术对相关电子数据加以有效分析的有机结合。当前,县级审计机关在信息化模式下审计核心业务——审计质量控制方面主要存在以下突出问题和风险:
(一)审计人员方面
部分审计人员的风险意识淡薄,对计算机审计风险隐蔽性强、可控性差、破坏性大等特点认识不足。在软件的操作过程中,违反操作规程或图省事,对疑点没有进行必要的复查,形成对被审计对象不能做出客观、公正评价,埋下审计风险隐患,导致最终无法实现由实施信息化带来的高审计质量。除此之外,审计人员掌握审计软件的熟练程度和应用深度也是影响计算机审计质量水平的关键因素。
近年来,虽然上级审计机关不断加大对基层一线审计干部计算机应用培训力度,县级审计机关的计算机审计技术运用有着显著提升,鉴于县级审计机关人员配备现状、年龄结构等因素影响,但是要全面开展高层次的数据挖掘和信息系统审计条件还尚不成熟,由此带来的审计风险,对县级审计机关来说,是“先天性”的,在较长的一段时期内是难以避免的。
(二)审计线索存储方面
在传统手工审计环境下审计线索都是以纸质形式存储的,其中所包含的信息是可见的。而在计算机审计环境下,相关信息存储在计算机里,它们是看不见、摸不着的,必须通过人机对话,运用审计经验、思路,加之技术操作,才能得出所需信息和结论。信息存储的隐蔽性导致信息取得的复杂性,必然会加大审计人员的审计风险。
(三)审计项目管理方面
主要是指对计算机审计软件的使用和管理制度不完善、不健全而影响审计质量。要充分发挥计算机审计的效率,必须建立健全一系列管理制度,否则不但不能很好地发挥计算机审计带来的快速确定审计重点,发现重大审计线索功能,加快提升审计质量,反而还会带来新的审计风险。
三、通过信息化手段实现提升审计质量的有效途径
(一)审计调查的提升
要全面了解被审计单位信息系统的情况,通过数据采集、整理和分析,把握总体,锁定重点。数据收集要和审计业务、审计目标紧密联系。审计组应根据审计调查情况,对计算机审计实施方案进行补充和完善,并把它作为审计全过程的指南。为保证所采集数据的准确与完整,应及时收集并整理电子数据,并要求被审计单位对所提供电子数据的真实、完整性作出书面承诺。还应注意收集被审计单位基本情况资料。
(二)数据采集、整理、分析的提升
在数据采集过程中要注意以下几个方面的问题:一是实行审计数据采集结果报告制度,严格按照计算机审计实施方案明确的要求和步骤采集数据;二是获取数据时必须由被审计单位财务人员实施采集或对相关数据进行备份,审计人员现场监督指导。三是检查电子数据是否有与之相配套的纸质账册、报表和相关资料。四是审计人员进行数据清理、转换工作应及时记录,对数据删除、更改要做到先备份后操作,并做好相关的记录以便核对。五是对采集的各项电子数据进行分析,利用审计人员已有的审计经验,找准审计切入点。
(三)安全与保密的提升
随着网络的普及,在审计工作中审计人员应注意各项电子数据的安全与保密,不允许在互联网上传输各项电子数据。确须通过网络传输的,只能在审计内网上操作,数据使用后应尽快清除,同时应妥善保管各类备份电子数据和分析后形成的电子数据。
(四)做好经验总结促提升
计算机审计项目实施结束后,审计人员要及时总结利用计算机开展审计的得与失,有意识地积累操作经验以促进提升下一次的运用。一是总结利用计算机审计操作中的问题,在审计终结阶段,审计人员要认真总结利用。二是充分利用AO的“专家经验”“审计方法”等功能,分门别类收集AO应用中的计算机审计思路和方法。
四、增强创新意识,改进工作方法
(一)着力培养审计人员综合素质,更新知识结构,提高技术水平和职业判断能力
首先要提高培训的针对性、实效性,突出以应用导向,要有重点有计划地组织审计人员参加上级审计机关关于审计信息化方面的培训,根据不同层次和需求,适时不定期组织计算机应用能力和审计经验交流培训,培养复合型的审计人才,做到缺什么、学什么,学什么、用什么。培养骨干,以点带面,确保培训的系统性和连续性。整合审计资源,精心组织实施,倡导团队意识。
(二)采取现代技术改进审计方法,提高审计效率
充分运用计算机审计,积极搭建联网审计平台,改变单一的事后审计监督方式,变事后审计为事中审计,变就地审计为就地审计与远程审计相结合,促进并逐步形成事前预警、事中监管、事后审计有机结合的监督机制。全面运用AO系统实施辅助审计,从实际出发,走自主开发和外部引进相结合的路子。
(三)强化审计机关和审计人员的风险意识,降低计算机审计风险
在建立自律性的制度的基础上,大力加强对审计人员的专业教育和职业道德教育,规范审计程序和审计证据的取得,完善自身的质量控制制度,注重计算机审计的事前与事中审计,在加强专业学习的同时,应加强职业道德修养,强化风险意识。
(四)规范计算机审计程序,加强计算机审计法制化建设