引论:我们为您整理了13篇计算机审计风险范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
(二)审计对象增加、范围扩大带来的审计风险。计算机审计增加了现行信息系统的审计和电子数据的审计,已突破传统财务审计的范围。以报表评价为主要目标的财务报表审计,因实时网络的存在,往往同业务审计、经营审计和管理审计密不可分。包罗万象的大审计,使审计风险来源增加。被审计单位网络、信息系统及数据库、应用软件的不稳定性,电子数据的易被改变、被复制和被消除性,以及信息系统目前难以实现直接查阅源程序等,必然带来新的审计风险要素。
(三)掌握计算机审计技能的人员不足带来的风险。计算机审计要求审计人员必须熟悉计算机信息系统运作、数据采集与分析、数据挖掘等技术与方法。能够面对海量的数据,寻找到审计线索突破口:随时根据被审计单位的数据接口特征,选择满足需要的数据采集软件类型,编制各种审计模块:针对采集的数据进行筛选、清理和分析,快速准确地找到并验证各种审计疑点。而现阶段,要使审计人员普遍具有较高的计算机审计能力,还需要一个过程。开展计算机审计,倘若人员没有足够的技能,将无从下手:仓促上机,无疑会带来检查风险的增加。
(四)审计准则缺失带来的审计风险。计算机信息技术环境下,对财政收支、财务收支审计,不能仅以出具的纸质资料为依据,还必须对其生成的信息系统及数据库和财务软件的可靠性、电子数据的准确性等进行鉴证,否则,就会形成假数真审。所以非常需要制定新的审计准则,有针对性对计算机审计工作做出全面系统的补充。而眼下。用现行审计准则中界定的具体审计目标,来指导计算机审计就显得比较狭窄,无法涵盖全部待审内容,包括与被审计单位计算机广泛应用不相协调的内部控制,也就无法用其分析审计风险的确切来源。审计准则的缺失会使审计工作失去权威标准,审计风险自然加大。
二、控制计算机审计风险的对策
(一)掌握被审计单位对计算机信息系统的控制情况,制订完整、详细、合理的审计方案。编制审计实施方案的重要部分就是审计重要性水平的确定和可以接受审计风险的评估。计算机审计尤其要通过检查、查询、观察等方法对被审计单位基本情况和计算机信息系统的运行状况、内部控制进行调查。除了了解常规审计中被审计单位业务性质、组织结构、管理者的内部控制、管理措施、以前年度审计情况等外,重点通过与被审计单位有关业务、计算机及管理人员座谈,交流沟通,索取和分析文档资料,对其计算机信息系统硬件设备、系统软件、应用软件、经营管理工作、战略需求与规划等进行审计调查,了解财务系统、业务系统的安全性,确定计算机信息系统层和电子数据层的重要性水平,分析和初步评价可接受的审计风险、审计执行阶段的风险控制责任的落实,编写能够符合被审计单位实际的、全面的审计方案,并分解好审计工作,使各个审计岗位职责明确。
篇2
1、审计人员的胜任能力有待提高。计算机审计是一项综合性审计,涉及的知识面较广,只依靠审计人员过去的知识和技能是难以胜任的。此时,审计人员不仅要掌握审计、会计、财务方面的知识,还需要掌握计算机硬件、会计软件、信息处理技术及网络等方面的知识。如果审计人员不同时具备这些知识,则在审计取证的过程中,在进行人机对话时,很可能出现审计人员所得与所想的会计信息存在偏差,而这当中也可能隐藏了重要的审计线索,从而加大了审计风险。
2、审计人员的风险意识有待加强。与传统手工审计相比,计算机系统下的审计风险的内容或被赋予了新的内涵,或得到了进一步的补充,集中表现在计算机审计风险隐蔽性强、可控性差、破坏性大等特点上。审计人员必须对此引起足够的重视,如果仅仅为了完成审计任务,而不考虑审计风险内容及其内涵变化,必然会导致审计质量不高或降低审计效率,从而无法客观、公正地评价被审计单位审计期间的财政收支、财务收支的真实性、公允性,加大了审计风险。
(二)审计客体方面的原因
1、被审计单位内部控制制度不健全。在传统手工会计系统中,内部控制通常表现为手工控制,这种控制形式责任明确也便于审计人员的调查和做出客观评价。而在计算机系统环境下,内部控制的内容发生了变化,控制的方式由手工控制变为手工控制和计算机控制相结合。手工控制主要通过设置不同人员的权限来实现,由于现行会计软件多为商品化软件,被审计单位对程序的设计缺乏足够的参与认识,这在一定程度上会影响到被审计单位在人员权限设置上的科学性。另一方面,计算机控制又受到程序设计的影响,程序审计的科学与否直接影响到计算机控制的效果。不法分子也可能通过篡改程序或嵌入非法程序来影响计算机控制的效果。再有,被审计单位的组织形式可能会因为环境的变化而不同程度地调整,在手工会计系统中,被审计单位可以根据需要适时地、轻易地实现对内部控制制度进行修改与完善;而在计算机系统环境下,就难以满足这样的要求。
2、被审计单位故意隐瞒审计所需信息。审计是审计人员运用专业知识和技能,依据审计准则对被审计单位相关资料进行鉴证的过程。因此,在审计过程中,审计人员必须取得被审计单位的配合才能更好地完成审计任务,实现审计目标。在审计取证过程中,如果被审计单位不积极提供充分的资料或隐瞒一些重要的变更事项,如会计程序的变更、人员权限的变更等,势必会影响到审计人员所取得审计证据及其对审计证据评价的客观性,从而加大了审计风险。
(三)审计环境方面的原因。随着现代经济的迅速发展,现代企业的经营规模越来越大,经营活动也越来越复杂。各种高新技术的产业化、各种金融创新工具的广泛运用,使得企业的经营活动和财务报表编报和披露的复杂程度远远超出人们传统的认识程度,特别当企业跨地区、跨国家经营时,其复杂程度就更高。
1、审计的内容不断扩大。在计算机审计中,审计的内容不仅包括传统手工审计环境的内容,还包括对会计软件运行的评估和审核及对程序中安全控制措施的审查,如人员权限的设置等。审计内容和范围的扩大对审计人员提出了更高的要求。
2、审计线索趋于隐蔽。在传统手工审计环境下,审计线索都是以纸质形式存储的,其中所包含的信息是可见的,需要时取得也较为便捷。而在计算机审计环境下,会计信息中有相当一部分是存储在磁性介质中的,它们是看不见、摸不着的,需要时必须通过人机对话,从计算机信息系统中调出所需会计信息,才能加以阅读。会计信息存储的隐蔽性导致信息取得的复杂性,必然会加大审计人员审计风险。
3、会计软件种类繁多。市场中会计软件的品牌、版本众多,审计人员不可能完全熟练地操作所有的会计软件。同时,会计软件的升级,也会影响审计人员对历史数据的提取。软件公司基于保密的考虑,一般也不会轻易地向审计或其他外部人员透露其软件设计程序。这又势必会影响到审计人员对被审计单位会计信息的生成与传递及内部控制的评估。
二、审计风险防范建议
(一)严格筛选风险较低的审计客户。这一要求是指事务所在接受审计客户时,必须对企业的经营环境、经营目标、企业管理层的经营理念和诚信程度以及企业的财务状况和经营成果进行仔细的分析,以把握客户的整体情况和审计风险的可控性。然后,选择审计风险较低的企业作为审计客户。这一要求并不表示在选择客户时,只能接受经营业绩和财务状况很好的企业,而表示只能接受经营者管理层较讲诚信的企业作为审计客户。企业的经营情况好坏不是决定是否接受审计委托的根本条件,因为不管企业经营情况如何,只要企业经营者能按照会计准则和披露要求客观公允地反映其经营成果和财务状况,审计风险是可以控制的;只有当企业管理层为了达到某种目的而执意歪曲财务报表时,审计风险就会变得难以控制,因而必须予以拒绝。
(二)加强审计人员培训学习,强化审计机构和审计人员风险意识,降低计算机审计风险。定期对审计人员进行培训,强化审计人员后续教育准则的实施和执行。不断更新审计人员的知识结构,提高他们的技术水平和职业判断能力。在新的审计环境下,尤其要加强计算机应用技术、数据处理技术和网络知识的学习,培养复合型的审计人才,以更好地适应审计环境变化,出色地完成审计任务。审计人员在加强专业学习的同时,应加强职业道德修养,强化风险意识,严格依照审计准则进行审计,以降低审计风险。
篇3
固有风险是指假定不存在的相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。计算机的固有风险是计算机会计系统自身带来的风险,审计人员只能评估此风险而不能左右和控制,它的具体表现为:
1.信息化系统的安全保密性差。由于网络自身的一些缺陷,使得网络审计在安全性能上受到极大的挑战。一是人为篡改或破坏数据。在信息化环境下,数据的电子化并以磁性介质为主要存储载体,这使舞弊者或破坏者对数据进行非法修改和删除且不留下审计线索成为可能,这对保证数据的完整性、安全性提出了挑战,给审计监督带来了风险。二是病毒感染易使数据丢失。计算机易感染病毒的脆弱性使审计数据的丢失现象经常发生,从而使出现审计风险的可能性增大。三是黑客入侵导致信息泄露。网络的一大特点就是信息资源的共享性,即网络用户可以通过口令使用其他用户的信息资源。这使得一些计算机黑客为了获取重要的商业秘密,经常利用IP地址进行欺骗,攻击网络系统,进行目标系统的窃取或破坏数据。这使审计人员或审计组织的审计证据和审计结论在保密性方面效果较差。
2.会计电算化系统的多样性导致审计取证困难。目前会计电算化软件有几百种,这些软件基本上符合财政部颁发的《会计核算标准基本功能规范》。但其功能模块的划分、数据库文件的设置、数据处理系统的复杂性、文件记录和系统操作的非规范化,都增加了审计的难度。尤其是用户单位在选择会计电算化软件时,一要考虑保密程度要高,二要考虑自身管理的需要。这都限制了会计信息的透明度,使得内部审计人员在搜集审计证据时十分棘手,极大地增加了审计工作量。
3.会计电算化中审计软件的不完善。一是会计电算化中审计软件种类少。目前我国在审计软件的开发方面正处于起步阶段,各大软件公司在审计软件的研制与开发上投入的人力、物力和财力都很有限。二是审计软件和财务软件的数据接口标准未能得到很好的贯彻执行。中国软件协会财务及企业管理软件分会曾了中国财务软件数据接口标准98-001号,其目的就是为了有助于不同的财务软件之间的交流,便于相互之间的数据交换以及适应用户的特殊要求,为二次开发提供数据接口。但是由于种种原因该标准并没有得到很好的落实。各软件开发商以保护数据安全为借口,将数据进行层层保护,使得会计软件与审计软件的数据交换越来越难,这给审计软件的开发和审计工作带来极大的障碍。
篇4
1、相关概念的定义
计算机审计,在国内外学术界有多种叫法,例如EDP审计、电算化审计、信息系统审计等等。尽管叫法不同,但其含义基本相同。计算机审计是指审计人员把计算机作为审计的对象或工具,对经济信息系统所进行的审查。它包括计算机经济信息系统审计和计算机辅助审计。
计算机审计风险,是指审计人员不能正确合理地运用计算机审计技术,从而导致审计结果与事实不相符,发表不恰当的审计意见而给审计主体带来损失的可能性。
2、计算机审计风险的种类
⑴系统环境风险。系统环境风险是指电算化经济信息系统本身所处的环境引起的风险,分为软件环境风险和硬件环境风险。
⑵系统控制风险。所谓系统控制风险是指电算化经济信息系统的内部控制不严密造成的风险。
⑶财务数据风险。财务数据风险是由于财会人员在对财务数据录入时采用虚假、修改、延迟等手段造成虚假财务数据而产生的风险。这种风险是指电子财务数据被篡改的可能。
⑷审计软件风险。审计软件风险是指计算机审计软件本身缺陷原因造成的风险。
⑸人员操作风险。这种风险是指计算机审计系统的操作人员和开发人员等在工作中由于主观或客观原因造成的风险。
二、计算机审计风险的成因
1、计算机数据处理系统日趋复杂
目前已经通过评审的电算化软件有很多种,这些软件基本上符合财政部颁发的《会计核算标准基本功能规范》,但从基本功能模块的划分到数据库文件的设置,从采用工作平台到使用的计算机开发语言,从单项开发到系统开发,从单纯使用关系型数据结构到应用大型数据库资源等,可以说是千姿百态,各有千秋。正是由于计算机数据处理系统的复杂性,使得文件记录和系统操作都缺乏标准和规范,这就给审计人员的操作增加了难度,对审计结果产生错误的可能性也就大大增加了,因而产生了系统环境风险。另外随着信息技术的高速发展,电算化经济信息系统不再是孤立的和独立的,病毒、黑客的入侵随时可以威胁系统的安全。因此,审计的系统环境风险增大。再由于计算机硬件设备的千差万别,对电算化经济信息系统的运行带来影响增加,审计人员在操作中出现差错的可能性也随之增加,因而也容易产生审计风险。
2、审计方法、方式日趋复杂
经济信息系统电算化后,审计方法和方式有了很大的变化,由于被审计单位采用的应用软件有的是商品化软件,有的是自行研究开发的软件,在功能、程序处理上都有着一定的差别,并且根据审计要素和对象的不同,其要求运用的审计方法和方式也不一样,从而增加了审计人员工作的复杂性,审计人员如果对软件不熟悉或采用了不当的审计方法或方式就容易做出错误的审计结论,必然会带来审计风险。
3、内部控制方法发生了改变
在手工系统中,内部控制的测试是看得见、摸得着的,但在电算化经济信息系统中,内部控制的方法发生了很大的变化,这时传统的手工控制措施已经不能达到其控制目的了。经济信息系统电算化以后内部控制方法的改变主要表现在:一是内部控制措施由手工控制为主转向以计算机控制为主;二是手工条件下的控制措施在电算条件下已经失效,代之以新的手工控制措施,如电算部门与各职能部门之间,电算部门内部各类人员之间的职责分离等控制措施。这些改变使得内部控制环境的复杂性增加,于是让舞弊者有机可乘,从而产生审计的控制风险。
4、传统审计线索逐渐消失
审计线索对审计人员是极为重要的,审计人员正是跟踪审计线索,审核经济业务,收集审计证据,从而完成审计任务的。在手工会计系统中,从原始凭证到记账凭证、账簿以及财务报表的编制,每一步都有文字记录,都有不同的经手人签字,审计线索十分清晰。但在电算化经济信息系统中,经济信息大都存储在磁盘或磁带上,因此,肉眼所见的线索减少了。况且,存储在磁盘上的数据很容易被修改、删除、隐匿、转移,又无明显的痕迹,因此,审计人员发现错误的可能性就减少了,而审计风险就增加了。
5、审计软件存在缺陷
早期,我国会计软件的编制基本上用的是Dbase系列数据库,以后又改进为使用FoxBASE、Visual FoxPro等,随着新的编程工具的出现以及会计软件的进一步成熟和深化,软件有了更多选择,如Microsoft ACCESS、 Informix Sybase等。会计软件在不断升级,而审计软件不能跟上形势,采取的相应升级措施相对滞后,影响了审计效率和质量。审计软件风险还表现在软件的开发过程中,由于计算机人员对审计、会计业务不熟,造成软件自身的不完善,运行不稳定或审计计算、分析的偏差。审计软件存在的缺陷风险已成为影响计算机审计检查风险的重要因素。
6、审计人员计算机知识缺乏
目前,大部分审计人员对于计算机知识普遍缺乏。不懂得计算机的审计人员,会因为审计线索的改变而无法实施审计;会因为不懂得电算系统的特点和风险而不能识别和审查其内部控制;会因为不懂得计算机而无法对电算系统进行审查或利用计算机进行审计。因此,审计人员必须掌握计算机与电算化经济信息系统方面的知识和技能,否则,审计人员做出的审计结论有可能偏离被审计单位电算化经济信息系统的实际,从而造成审计风险。
三、计算机审计风险的防范
1、完善计算机审计准则
目前审计准则有:国际会计师协会于1984年公布的《国际审计准则15――电子数据处理环境下的审计》和《国际审计准则16――计算机辅助审计技术》、1996年审计署的《审计机关计算机辅助审计方法》、1999年施行的中国独立审计具体准则第20号《计算机信息系统环境下的审计》等。面对日益发展的计算机审计,需要针对新的形势建立一系列与新情况相适应的审计准则,应加强计算机审计人员考核培训准则、电算化经济信息系统开发审计准则、电算化经济信息系统内部控制审计准则、审计应用软件准则,以此来规范计算机审计业务的发展,将审计风险降低到可以接受的水平。
2、选择恰当的审计方式与方法
审计中,审计人员可以根据被审计单位不同的系统而采取不同的审计方法和技术,从而有效地降低审计风险。例如:当打印文件充分且与被审计单位输入输出联系比较密切,能直接核对时,可采用绕过计算机,用核对、复核、分析等审计技术;当被审计单位采用实时处理,纸质的审计线索较少且输入输出不能直接核对时,则可采用通过计算机审计的方法。其次,选择合理的审计方式。对于电算化经济信息系统审计一般应采用就地审计或突击审计的方式。在进行审计时,可以采用事先不通知操作员或程序员的情况下,把系统中正在运行的数据拷贝出来进行审查,以防操作员把数据篡改、删除等,只有这样,才能保证被审程序和数据的正确、完整性,也才能有效地降低审计风险。
3、加强内部控制制度的审查
内部控制制度是审计的基础,为了确定这个基础是否扎实,即内部控制制度是否健全、有效,审计人员就必须对被审计单位的内部控制制度进行审查。在分析和评价被审计单位电算系统内部控制制度时,应遵循以下步骤:一是调查分析系统可能存在的错误类型和非法行为;二是明确预防或发现错误应有的内部控制;三是分析被审计单位现有的内部控制是否充分;四是分析被审单位现有的内部控制措施是否有效。只有充分审查以保证内部控制制度的完善和有效,才能减少审计中的控制风险。
4、保证财务数据的完整性
为保证财务数据的完整性,审计人员在审计时必须认真检查被审计单位所提供的数据是否真实、是否属审计时间范围内的财务数据。同时,审计人员获得的财务数据,应该是被审计单位财务人员对财务数据作现场备份所得的。审计人员只有从这几方面把握才能较好的保证财务数据的完整性,减少因审计线索的改变所带来的审计风险。
5、努力开发实用高效的审计软件
为了给计算机审计打开通道,就必须不断研究开发审计软件。在数据采集方面,要求这种软件能够容易访问被审计单位不同介质、不同编码、不同数据类型的数据库,从中采集审计所需的原始数据。在数据分析方面,在现有审计软件功能的基础上进一步开发新的分析工具。例如:针对企业审计领域的固定资产折旧审计工具和产品利润情况分析工具等,针对金融审计领域的利率检查工具等。在增加面向特定领域的分析同时,还要增加一些基于特定方法的分析工具,如账户分析、比较分析等。只有开发出实用高效的审计软件,才能解决因审计软件本身的缺陷所带来的审计风险。
6、提高审计人员的计算机素质
目前提高审计人员计算机素质可以采取以下措施:一是大力加强审计人员计算机技能的培训力度。在此基础上进行中级、高级的培训,将培训的内容深化并拓宽。二是将计算机知识和审计知识融会贯通,计算机技能与审计思路的结合,培养既懂计算机又懂会计和审计的复合型知识结构的审计人员。三是要建立各类培训的跟踪反馈机制,分析通过培训后在实际业务中发挥的效用,及时检验培训的效果。四是建立计算机审计的激励机制,对计算机应用中有创新的人员和对利用计算机审查出问题的人员予以奖励。
四、结论
经济信息系统电算化的发展不仅是向审计工作提出新的挑战,同时也为审计人员提供了新的用武之地,为审计带来发展的新机遇。开展计算机审计时,审计人员只有做到全面分析计算机审计风险的形成原因并认真落实其防范措施才能够提高审计的工作效率和质量,促使电算化经济信息系统向更高目标迈进。因此,从事审计工作的人员除了要有审计专业知识,还要具备和熟练掌握过硬的计算机知识及丰富的实践经验,才能开创审计工作的新局面。
【参考文献】
[1] 肖文八:审计学原理,第1版,北京,中国审计出版社,1996年。
[2] 陈婉玲:计算机审计,第1版,广州,广东人民出版社,2002年。
篇5
一、计算机审计风险形成的原因
(一)传统审计线索逐渐消失
在手工系统中,由原始凭证到记账凭证,由过账到财务报表的编制,每一步都有文字记录,都有经手人签字,审计线索十分清楚。审计人员进行审计,完全可以根据需要进行顺查、逆查或抽查。但在电算化会计系统中,从原始数据进入计算机,到财务报表的输出,这中间的全部会计处理集中由计算机按程序指令自动完成,传统的账簿没有了,绝大部分的文字记录消失了,传统的审计线索在这里中断了、消失了,代之的是存有会计资料的磁盘和磁带,这些磁性介质上的信息是以机器可读的形式存在的,肉眼不能识别。存储在磁盘上的数据很容易被修改、删除、隐匿、转移,又无明显的痕迹,因此,审计人员发现错误的可能性减少了,而审计风险增加了。
(二)会计系统内控制度的改变
在手工系统中,内部控制的测试是看得见、摸得着的,但在会计电算化信息系统中,内部控制的技术和方法发生了很大的变化,使得手工系统中的许多原有的控制措施都已不适合了。例如,在电算化会计系统中,会计信息的处理和存储高度集中于计算机,会使手工会计系统中的某些职责分离、互相牵制的控制失效。大部分控制措施都是以程序的形式建立在计算机会计信息系统中,肉眼无法觉察,在很大程度上依赖于计算机处理。而计算机会计信息系统的内控功能是否恰当有效会直接系统输出信息的真实和准确,内控环境的复杂性使舞弊行为有机可乘,从而增加了审计风险。
(三)审计的改变
在会计电算化条件下,审计的监督职能虽然没有改变,但审计内容却发生了变化。在电算化会计信息系统中,会计事项由计算机按程序自动进行处理,如果系统的程序出错或被非法篡改,则计算机只会按给定的程序以同样错误的方法处理所有的有关会计事项,系统就可能被神不知、鬼不觉地嵌入非法的舞弊程序,不法分子可以利用这些舞弊程序大量侵吞的财物。电算化会计信息系统的特点及其固有的风险,大大增加了审计风险。
(四)审计技术、方法日趋复杂
在手工会计处理的条件下,审计可根据具体情况进行顺查、逆查或抽查。审查一般采用审阅、核对、分析、比较、调查和证实等方法,所有审查工作都是由人工完成的。在会计电算化条件下,会计的特点决定了审计的内容和技术的改变。虽然人工的各种审查技术仍是很重要的,但计算机辅助审计是必不可少的审计技术。因为即使系统的全部账表都要硬盘拷贝,利用计算机还是可以比手工更迅速、更有效地完成审阅、核对、分析、比较等各项审查工作。例如,计算机可以帮助审计人员审阅账务文件,找出满足指定条件的会计记录:可以对众多的会计事项进行统计抽样,以便审计员对抽出样本进一步审查;还可以根据系统所记录的会计资料计算出各种财务比率、变化率和进行各种分析比较等等。审计人员如果不熟悉电算化会计软件的特点和风险而不能识别和审查其内部控制,如果不懂得利用计算机审计技术和方法进行审计,就必然会带来审计风险。
(五)审计人员计算机知识的缺乏
目前,大部分审计人员对于计算机知识普遍缺乏,而随着会计电算化的实行,审计的对象也更多更复杂了。因此,审计人员除了要有专业的审计、会计知识外,还必须掌握一定的计算机知识和应用技术,否则,审计人员做出的审计结论有可能偏离被审计单位会计信息系统的实际,从而造成审计风险。
(六)现行软件评审机制存在缺陷
现行会计软件的评审主要侧重于软件功能的构成要素及会计处理的合理性,忽视了审计线索的保全性;评审侧重于会计软件运行的结果与手工一致,忽略了对软件开发过程内部控制系统的评价;评审依赖于会计电算化专家小组及部分用户的意见,忽视了软件的审计特征;评审的结果可能同审计人员的意见产生冲突。这些都给审计人员的工作带来了一定的困难和风险。
二、机审计风险的防范对策
(一)保证审计数据的完整性
为保证审计数据的完整和准确,审计人员在审计时必须认真检查被审计单位所提供的数据是否真实、是否属审计时间范围内的财务数据,是否属结账后的数据,财务数据是否有纸质账册、报表相配套。同时,审计人员获得的财务数据,应该是被审计单位财务人员对财务数据作现场备份所得的。
(二)选择恰当的审计方法与技术
审计人员可以根据被审计单位不同的会计信息系统而采取不同的审计方法和技术,从而有效地降低审计风险。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时,则可采用绕过计算机的审计方法,用核对、复核、等审计技术;当被审计单位采用实时处理,纸质的审计线索较少且输入输出不能直接核对时,则可采用计算机审计的方法;当被审计单位采用每时每刻都在运行的会计信息系统,审计过程中不能终止工作时,则可采用制度基础法,首先对被审计单位计算机会计信息系统的一般控制和控制进行审查,根据一般控制和应用控制审查的结果决定抽查的重点、范围和方法,这样,既可以降低审计风险,又可以减少对被审计系统正常工作的。
(三)选择合理的审计方式
由于要审计的大都存储在磁性介质中,而磁性介质很容易被篡改、删除而不留下任何痕迹。因此,对于计算机会计信息系统审计一般应采用就地审计或突击审计的方式。在进行审计时,可以采用事先不通知操作员或程序员的情况下,把系统中正在运行的数据拷贝出来进行审查,以防操作员把数据篡改、删除等,只有这样,才能保证被审程序和数据的正确、完整性,也才能有效地降低审计风险。
(四)积极取得被审计单位的支持和配合
在进行计算机审计时,如果被审计单位的财务人员、操作人员不予配合,把存在磁性介质当中以及会计信息系统中的财务数据进行加密、修改、删除、隐匿等,则审计人员很难进行审查,因此,审计时应积极取得被审计单位的支持和配合,来降低审计风险。
(五)建立健全会计电算化信息系统审计的标准和准则
原有的标准和准则有的已经不适用于会计电算化信息系统审计,这给会计电算化信息系统审计带来了一定的风险,有关部门应采取必要措施,大力加强对计算机审计的,尽快制定出适用于会计电算化信息系统审计的标准和准则,来降低计算机审计风险。
(六)改进会计软件的评审机制
篇6
目前,我国的审计工作基本是运用计算机审计,相关的管理人员将相关的数据输入电脑,打印财务表格。这中间全部都是计算机的指令进行直接操作,这样使一些传统的数据都消失了,绝大部分的文字记录都消失了。取而代之的是相关的磁盘和磁带的相关的电子产品,这些物品都是是计算机只读模式的,不能直接用肉眼识别。但是这些基本的数据信息,经常会被修改、删除、隐匿以及转移,造成原始数据的丢失,这样就增加了审计风险,造成公司的管理的混乱。
2.会计内部控制系统不严密
在传统的审计工作之中,我们进行内部控制都是看得见的,保留大量的原始数据。现在的会计内部控制系统之中,很多都是计算机指令完成的,使手工之中的相关技术都不是很适合,这也大的变化使管理人员不能及时做出调整。最明显的例子。在现在的计算机的管理系统之中,大量的基本信息存储在计算机之中,这样会使许多的手工之中的管理人员出现职责不明,管理混乱的现象。此外,现在的审计工作都是依赖计算系统来完成,监察不好进行,这样审计工作的相关信息是否正确,完全依赖计算机的内部控制系统。这样更加容易给舞弊行为可乘之机,增加了审计工作的风险。
3.复杂化的审计方法
在原始的手工的审计工作的时候,相关人员可以根据具体情况进行顺查、逆差或者抽查。同时审计工作的基本流程也就是审阅、核对、分析、调查以及证实的几步,操作简单,可操作性较强。但是现在使用计算机审查,相应的计算机审计技术就尤为重要,因为审计的工作的大部分都是有计算机进行完成,所以面对现在越来越多的审计信息,计算机可以高效的完成相关的审计工作,更加讯速和准确。在这个审计过程,计算机可以进行统计抽样,抽查等各种审计手段,同时还可以进行比率分析等各种先进的设计手段。但是这就要求审计人员要了解相关的计算机审计技术的特点,理解会计内部审计控制的特点,如果技术掌握不成熟,就会造成相应的审计风险。
4.审计人员素质较低以及审计机制存在风险
目前我国相关的审计人员相关素质不是很高。面对计算机审计的更重复杂手段,管理人员不能进行很好的调控,相关的计算机审计知识不足,这样会造成较大的审计风险。此外,现在的会计审计的相关软件只追求会计的处理方法,但是缺乏对审计工作安全性的审计,缺失相关的内部评价体系,对审计工作的相关特征研究的也不是很精确。这些问题会使审计工作出现大量的问题,给审计工作造成巨大的问题和风险。
二、计算机风险防范策略
1.保证数据的完整性
审计部门的相关人员在进行审计的过程之中必须保证原始数据的完善性,同时要认真核对数据的真实性,同时要认真核对财务数据和结账后的数据账单,打印相关的纸质账单和相关的配套的报表。此外相关的审计财务的人员,要对相关的原始数据进行备份和整理,促进相关的审计的程序更加合理化,保存相关的原始数据,保证之后一旦出错有原始数据作为支撑。这样才可以规避风险,促进相关的计算机审计完美的进行。
2.选择适当的审计方法与技术
在现在的审计过程之中,我们的审计工作面临着众多的审计信息,我们必须根据不同的信息采用相关的审计方法,这样即可以提高效率还可以规避风险。首先,在进行打印文件的时候,进行数据的输入和输出时,我们要认真仔细的核对,采用相关的复核、审计等手段。其次,在审计工作每时每刻都在进行时,运行相关的审计系统,要采用相关的会计信息系统,仔细审核会计内部控制系统可能出现的问题,尤其在相关的使用范围、重点和方法等环节。这样可以有效地降低风险和减少审计工作出现的问题。
篇7
2、审计内容、范围的广泛性
在对电算化会计信息系统的审计中,除了手工审计的内容外,还必须兼顾系统的开发和运行两个方面,包括系统开发各阶段的审查、系统应用程序的审查,如审查系统应用程序的处理功能是否符合会计制度和财经法纪的规定、能否正确完成各项业务的处理、程序控制是否恰当有效等。另外,除对电算化会计信息系统
进行事后审计、监督其合法性和正确性外,还提倡在系统的设计开发阶段,审计人员要对系统的开发进行事前和事中审计。审计内容、范围的广泛性要求审计人员具备相应的知识和技能,而现有很多审计人员并不具备,计算机审计风险也不可避免。
3、内部控制的巨大局限性
现代审计的一大特征就是以测试被审单位的内容控制为基础的抽样审计,内部控制制度的恰当和否直接影响会计信息的真实性和准确性。在手工会计系统中,内部控制主要从两个方面实施摘要:一是从组织形式上按财务部门经济业务的性质分为几个不同的职能组,并且各职能组的人员只负责某一特定的业务领域,也就是对工作人员进行适当的职责分离,各职能组之间互相牵制,不易出现错误和舞弊;二是在会计帐务处理组织程序上,除了要保证凭证、帐簿、报表按一定程序分由不同人员记录、编制外,还要做到帐帐核对,帐证核对、帐实核对、帐表核对,并保证其一致性。从而在很大程度上保证经济业务处理的合理性、合法性。但在电算化会计信息系统中,由于处理工具、信息载体、会计组织都发生了根本的变化,手工会计系统中原有的很多控制办法都已失去意义。电算化会计和手工会计相比,内部控制环境更复杂,甚至有些环境因素超过制度的有效控制能力;建立严格的内部控制的成本要高得多;对内部控制的评价更为困难。内部控制的更大局限性使计算机舞弊有机可乘,增加了计算机审计风险。 4、会计软件的大理想性
我国会计软件从无到有、从单一业务处理到集成业务处理、从会计核算走向会计管理,确实取得了巨大成就但也有不足,非凡是针对审计,表现在下面二个方面摘要:一是很多会计软件不具备双向查询功能。在对电算化会计信息系统的审计中,会计软件应答应审计人员按照凭证一明细帐(日记帐)一总帐一报表的顺序进行双向查询,同时还应答应分别对日记帐、明细帐、总帐的期初余额、本期发生额和期末余额进行双向查询。但是目前我国绝大多数的会计软件的查询设计都是单向的,可以实现如由总帐查询明细帐,由明细帐查询凭证等过程,但当需要反问查询时往往很困难。二是会计软件不预留审计测试通道。在审计过程中,审计人员为证实业务处理的实际过程。方法,往往需要进行测试,既虚拟一笔业务输入会计软件,检查其结果和预期结果是否相符。这种方法可以有效地验证核算过程是否和设计一致。但是假如审计人员不能及时消除这些测试的影响,就可能导致会计软件系统数据的混乱。恰当的解决方法是在软件设计时为以后的审计测试留下通道,既方便审计人员的随时测试,也不会造成对整个系统数据的影响。但遗憾的是,几乎所有的会计软件都没为审计测试预留通道。会计软件的欠理想性加大了计算机审计风险。
5、审计取证的动态性
在很多大中型企业中,电算化会计信息系统天天都要结算成本和利润,进行生产动态分析,以供管理人员进行决策参考。系统假如停止运行,会给企业带来巨大的损失。因此,对电算化会计信息系统的审计,往往是在系统运行过程中动态取证。审计人员一方面要及时完成审计任务,另一方面又要不防碍和干扰被审系统的正常运行,这给审计工作带来了一定的难度,也增加了计算机审计风险。
篇8
固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。具体表现为:
1、电子化会计数据存在被滥用、篡改和丢失的可能性。手工系统中,纸质介质上的信息易于辨认、追溯,而在计算机系统中,由于存贮介质的改变,一旦用户非法透过计算机系统的“防火墙”,极易破坏和修改电子数据,且不留蛛丝马迹。计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也会造成实际数据与电子账面数据不相符,增加了固有审计风险的可能性。
2、电子数据存在易于减少或消失审计线索的可能性。手工系统中,会计处理的每一步都有文字记录和经手人签名,审计线索清晰。但在计算机系统中,从原始数据的录入到报表的自动生成,几乎勿需人工干预,传统的审计线索不复存在,为审计师追查审计线索带来了极大困难。
3、原始数据的录入存在错漏的可能性。计算机系统下,大量的记账凭证仍靠人工录入,表面上机制账、证、表的相互平衡可能掩盖了人工录入的错漏。
(二)控制风险的特征
控制风险是指某一账户、交易类别或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。具体表现为:
1、有意或无意使设置权限密码实现职责分工的约束机制有失效的可能性。手工系统下,通过建立岗位责任中心达到内部控制的目的。在计算机系统下,一是通过划分操作员的责任范围,设置权限和密码实现人员分工;二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于权限设置的重叠或跨责任中心越权设置,使这一控制措施有可能形同虚设。
2、网络传输和数据存贮故障或软件的不完善,会计数据出现异常错误的可能性。手工系统下,这种可能性几乎不存在;而在计算机系统下,这种可能性难以通过有效的内控制度消除,必须靠先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的几率。就多数会计软件看,对数据录入的一致性和正确性控制,会计数据处理的安全性和连续性控制,软件设计还是比较缜密的。但对集成化程度较高的企业级管理软件,数据的共享性和一致性还不尽如人意。另外某些网络平台在实际应用中问题还是不少。
3、会计软件对现金和银行存款的收付业务缺乏实时有效的控制手段。对于企业内部发生的现金和银行存款收付业务,多数软件是通过人工填制记账凭证,从账务系统入口录入到电脑,部分软件虽通过出纳系统实时地录入,但可能与凭证数据不同步。对于银行存款的收付业务,不仅数据难以实时同步,而且存在双方数据不一致的可能性。
(三)检查风险的特征
检查风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报,而未能被实质性测试发现的可能性。具体表现为:
1、会计软件的更新换代,增加了历史文件难以提取的可能性。对账户或交易的重大实质性测试往往离不开企业的历史数据。由于软件版本的更新、平台的迁移,难以从往年账套里提取这些历史数据,迫使审计师不得不从浩如烟海的文档中收集整理历史数据。这不仅降低了审计效率,而且带来了更多的检查风险。
2、内部控制主要依赖软件本身,增加了难以全面检查测试的可能性。手工系统下,对内部控制的测试看得见、摸得着,而在计算机系统下,内部控制融会于软件之中,肉眼无法觉察。这就要求审计师有必要设计一些正常有效的业务数据和一些例外业务数据(不完整、无效的、不合理的、不合逻辑的),来检查测试软件的控制能力。由于多数审计师不是电脑专家,要在有限的审计时间里设计面面俱到的测试数据是不现实的。为此,笔者认为对软件本身的审计检查可纳入软件开发或评审之中,审计师在审计实务中,重点是测试数据的完整性以及操作权限的分配和应用情况。机数据处理与手工处理有许多不同点,从而产生了新的审计风险,分析研究计算机环境下的审计风险无疑对审计电算化的开展和审计质量的控制都是很有意义的。
一、风险的特征
(一)固有风险的特征
固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。具体表现为:
1、电子化会计数据存在被滥用、篡改和丢失的可能性。手工系统中,纸质介质上的信息易于辨认、追溯,而在计算机系统中,由于存贮介质的改变,一旦用户非法透过计算机系统的“防火墙”,极易破坏和修改电子数据,且不留蛛丝马迹。计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也会造成实际数据与电子账面数据不相符,增加了固有审计风险的可能性。
2、电子数据存在易于减少或消失审计线索的可能性。手工系统中,会计处理的每一步都有文字记录和经手人签名,审计线索清晰。但在计算机系统中,从原始数据的录入到报表的自动生成,几乎勿需人工干预,传统的审计线索不复存在,为审计师追查审计线索带来了极大困难。
3、原始数据的录入存在错漏的可能性。计算机系统下,大量的记账凭证仍靠人工录入,表面上机制账、证、表的相互平衡可能掩盖了人工录入的错漏。
(二)控制风险的特征
控制风险是指某一账户、交易类别或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。具体表现为:
1、有意或无意使设置权限密码实现职责分工的约束机制有失效的可能性。手工系统下,通过建立岗位责任中心达到内部控制的目的。在计算机系统下,一是通过划分操作员的责任范围,设置权限和密码实现人员分工;二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于权限设置的重叠或跨责任中心越权设置,使这一控制措施有可能形同虚设。
2、网络传输和数据存贮故障或软件的不完善,会计数据出现异常错误的可能性。手工系统下,这种可能性几乎不存在;而在计算机系统下,这种可能性难以通过有效的内控制度消除,必须靠先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的几率。就多数会计软件看,对数据录入的一致性和正确性控制,会计数据处理的安全性和连续性控制,软件设计还是比较缜密的。但对集成化程度较高的企业级管理软件,数据的共享性和一致性还不尽如人意。另外某些网络平台在实际应用中问题还是不少。
3、会计软件对现金和银行存款的收付业务缺乏实时有效的控制手段。对于企业内部发生的现金和银行存款收付业务,多数软件是通过人工填制记账凭证,从账务系统入口录入到电脑,部分软件虽通过出纳系统实时地录入,但可能与凭证数据不同步。对于银行存款的收付业务,不仅数据难以实时同步,而且存在双方数据不一致的可能性。
(三)检查风险的特征
篇9
固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。具体表现为:
1、电子化会计数据存在被滥用、篡改和丢失的可能性。手工系统中,纸质介质上的信息易于辨认、追溯,而在计算机系统中,由于存贮介质的改变,一旦用户非法透过计算机系统的“防火墙”,极易破坏和修改电子数据,且不留蛛丝马迹。计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也会造成实际数据与电子账面数据不相符,增加了固有审计风险的可能性。
2、电子数据存在易于减少或消失审计线索的可能性。手工系统中,会计处理的每一步都有文字记录和经手人签名,审计线索清晰。但在计算机系统中,从原始数据的录入到报表的自动生成,几乎勿需人工干预,传统的审计线索不复存在,为审计师追查审计线索带来了极大困难。
3、原始数据的录入存在错漏的可能性。计算机系统下,大量的记账凭证仍靠人工录入,表面上机制账、证、表的相互平衡可能掩盖了人工录入的错漏。
(二)控制风险的特征
控制风险是指某一账户、交易类别或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。具体表现为:
1、有意或无意使设置权限密码实现职责分工的约束机制有失效的可能性。手工系统下,通过建立岗位责任中心达到内部控制的目的。在计算机系统下,一是通过划分操作员的责任范围,设置权限和密码实现人员分工;二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于权限设置的重叠或跨责任中心越权设置,使这一控制措施有可能形同虚设。
2、网络传输和数据存贮故障或软件的不完善,会计数据出现异常错误的可能性。手工系统下,这种可能性几乎不存在;而在计算机系统下,这种可能性难以通过有效的内控制度消除,必须靠先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的几率。就多数会计软件看,对数据录入的一致性和正确性控制,会计数据处理的安全性和连续性控制,软件设计还是比较缜密的。但对集成化程度较高的企业级管理软件,数据的共享性和一致性还不尽如人意。另外某些网络平台在实际应用中问题还是不少。
3、会计软件对现金和银行存款的收付业务缺乏实时有效的控制手段。对于企业内部发生的现金和银行存款收付业务,多数软件是通过人工填制记账凭证,从账务系统入口录入到电脑,部分软件虽通过出纳系统实时地录入,但可能与凭证数据不同步。对于银行存款的收付业务,不仅数据难以实时同步,而且存在双方数据不一致的可能性。
(三)检查风险的特征
检查风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报,而未能被实质性测试发现的可能性。具体表现为:
1、会计软件的更新换代,增加了历史文件难以提取的可能性。对账户或交易的重大实质性测试往往离不开企业的历史数据。由于软件版本的更新、平台的迁移,难以从往年账套里提取这些历史数据,迫使审计师不得不从浩如烟海的文档中收集整理历史数据。这不仅降低了审计效率,而且带来了更多的检查风险。
2、内部控制主要依赖软件本身,增加了难以全面检查测试的可能性。手工系统下,对内部控制的测试看得见、摸得着,而在计算机系统下,内部控制融会于软件之中,肉眼无法觉察。这就要求审计师有必要设计一些正常有效的业务数据和一些例外业务数据(不完整、无效的、不合理的、不合逻辑的),来检查测试软件的控制能力。由于多数审计师不是电脑专家,要在有限的审计时间里设计面面俱到的测试数据是不现实的。为此,笔者认为对软件本身的审计检查可纳入软件开发或评审之中,审计师在审计实务中,重点是测试数据的完整性以及操作权限的分配和应用情况。
二、降低审计风险的对策
(一)降低固有风险的对策
可以通过加强内外部安全机制、完善软件功能、必进数据录入技术,降低审计固有风险。
1、加强内外部安全控制机制,降低会计数据被滥用、篡改和丢失的可能性。首先是配备可靠的硬件设备,如增加防火墙设备,增加数据加密及路由加密设备,增加备份硬盘等。其次,获取后续支持软件,如会计软件版本更新支持、加密算法更新的支持等;再次,建立安全的运行环境,为会计系统建立一个相对开放且安全级别较高的专用局域网,合理设置多层加密关口和防火墙;最后是完善管理制度。
2、完善软件的设计,降低减少或消失审计线索的可能性。一是完善操作日记的设计,只有打印存档后才允许删除;二是设置强制备份,如跨期操作必须做备份;三是取消反过账、反结账功能,设计报表与账套数据的关联,并记录报表已打印的次数;四是非经授权不可擅自修改报表的取数公式等。
3、改进数据录入技术,降低数据录入错误的可能性。一是设计磁性单据,尽量采取扫描录入;二是对重要的原始凭证,利用多媒体技术扫描压缩存盘;三是使用自动转账功能,保持数据的正确完整。
(二)降低控制风险的对策
一般来说,控制措施包括制度控制和程序控制,这里主要就权限密码、降低数据异常错误和联网传输问题,谈一些具体措施。
1、分配设置责任中心和操作权限密码,降低约束机制失效的可能性。首先是系统管理员为不同岗位的会计人员设置不同的操作权限和口令;其次是经授权后的各用户应定期修改自己的密码;最后是严格控制跨责任中心设置操作权限。
2、提高网络通信效率和效果,降低软件出现异常错误的可能性。一是选取性能优良的网络操作平台和网络传输配套设备;二是选择基于优良数据库开发平台的会计软件;三是提高软件使用者的计算机应用水平。
3、建立企业与银行之间的网络连接,降低数据不一致的可能性。对企业内部的收付业务借助磁性单据扫描录入,依靠软件的智能化同步自动生成记账凭证;对与银行间的业务,建立广域网连接,实时传送,保证数据同步和一致。
(三)降低检查风险的对策
篇10
(一)审计主体方面的原因
1、审计人员的胜任能力有待提高。计算机审计是一项综合性审计,涉及的知识面较广,只依靠审计人员过去的知识和技能是难以胜任的。此时,审计人员不仅要掌握审计、会计、财务方面的知识,还需要掌握计算机硬件、会计软件、信息处理技术及网络等方面的知识。如果审计人员不同时具备这些知识,则在审计取证的过程中,在进行人机对话时,很可能出现审计人员所得与所想的会计信息存在偏差,而这当中也可能隐藏了重要的审计线索,从而加大了审计风险。
2、审计人员的风险意识有待加强。与传统手工审计相比,计算机系统下的审计风险的内容或被赋予了新的内涵,或得到了进一步的补充,集中表现在计算机审计风险隐蔽性强、可控性差、破坏性大等特点上。审计人员必须对此引起足够的重视,如果仅仅为了完成审计任务,而不考虑审计风险内容及其内涵变化,必然会导致审计质量不高或降低审计效率,从而无法客观、公正地评价被审计单位审计期间的财政收支、财务收支的真实性、公允性,加大了审计风险。
(二)审计客体方面的原因
1、被审计单位内部控制制度不健全。在传统手工会计系统中,内部控制通常表现为手工控制,这种控制形式责任明确也便于审计人员的调查和做出客观评价。而在计算机系统环境下,内部控制的内容发生了变化,控制的方式由手工控制变为手工控制和计算机控制相结合。手工控制主要通过设置不同人员的权限来实现,由于现行会计软件多为商品化软件,被审计单位对程序的设计缺乏足够的参与认识,这在一定程度上会影响到被审计单位在人员权限设置上的科学性。另一方面,计算机控制又受到程序设计的影响,程序审计的科学与否直接影响到计算机控制的效果。不法分子也可能通过篡改程序或嵌入非法程序来影响计算机控制的效果。再有,被审计单位的组织形式可能会因为环境的变化而不同程度地调整,在手工会计系统中,被审计单位可以根据需要适时地、轻易地实现对内部控制制度进行修改与完善;而在计算机系统环境下,就难以满足这样的要求。
2、被审计单位故意隐瞒审计所需信息。审计是审计人员运用专业知识和技能,依据审计准则对被审计单位相关资料进行鉴证的过程。因此,在审计过程中,审计人员必须取得被审计单位的配合才能更好地完成审计任务,实现审计目标。在审计取证过程中,如果被审计单位不积极提供充分的资料或隐瞒一些重要的变更事项,如会计程序的变更、人员权限的变更等,势必会影响到审计人员所取得审计证据及其对审计证据评价的客观性,从而加大了审计风险。
(三)审计环境方面的原因。随着现代经济的迅速发展,现代企业的经营规模越来越大,经营活动也越来越复杂。各种高新技术的产业化、各种金融创新工具的广泛运用,使得企业的经营活动和财务报表编报和披露的复杂程度远远超出人们传统的认识程度,特别当企业跨地区、跨国家经营时,其复杂程度就更高。
1、审计的内容不断扩大。在计算机审计中,审计的内容不仅包括传统手工审计环境的内容,还包括对会计软件运行的评估和审核及对程序中安全控制措施的审查,如人员权限的设置等。审计内容和范围的扩大对审计人员提出了更高的要求。
2、审计线索趋于隐蔽。在传统手工审计环境下,审计线索都是以纸质形式存储的,其中所包含的信息是可见的,需要时取得也较为便捷。而在计算机审计环境下,会计信息中有相当一部分是存储在磁性介质中的,它们是看不见、摸不着的,需要时必须通过人机对话,从计算机信息系统中调出所需会计信息,才能加以阅读。会计信息存储的隐蔽性导致信息取得的复杂性,必然会加大审计人员审计风险。
3、会计软件种类繁多。市场中会计软件的品牌、版本众多,审计人员不可能完全熟练地操作所有的会计软件。同时,会计软件的升级,也会影响审计人员对历史数据的提取。软件公司基于保密的考虑,一般也不会轻易地向审计或其他外部人员透露其软件设计程序。这又势必会影响到审计人员对被审计单位会计信息的生成与传递及内部控制的评估。
二、审计风险防范建议
(一)严格筛选风险较低的审计客户。这一要求是指事务所在接受审计客户时,必须对企业的经营环境、经营目标、企业管理层的经营理念和诚信程度以及企业的财务状况和经营成果进行仔细的分析,以把握客户的整体情况和审计风险的可控性。然后,选择审计风险较低的企业作为审计客户。这一要求并不表示在选择客户时,只能接受经营业绩和财务状况很好的企业,而表示只能接受经营者管理层较讲诚信的企业作为审计客户。企业的经营情况好坏不是决定是否接受审计委托的根本条件,因为不管企业经营情况如何,只要企业经营者能按照会计准则和披露要求客观公允地反映其经营成果和财务状况,审计风险是可以控制的;只有当企业管理层为了达到某种目的而执意歪曲财务报表时,审计风险就会变得难以控制,因而必须予以拒绝。
篇11
目前国际上对审计风险的定义,然而,没有完全一致的,美国1983年审计准则、国际审计准则和中国注册会计师审计准则这三者对误报的定义不一致,,然则三者在审计风险表达的基本意义的大体上是一致的,他们指出审计风险主要在于审计人员在审计算着重大错报或漏报的财务报表进行审计后,以为该重大错报或漏报其实实际上没有,因此,致使公告的审计意见产生了被审计单位实情不相符之危机。言外之意是审计人员对财务报表发表了不恰当意见的风险。事实上,这是一种狭义的审计风险的定义。其实,广义上的审计风险定义更加符合审计风险的内涵实质,因为广义的审计风险可以理解为审计人员和审计的审计师的可能性,风险来自于对被审计单位的经营风险。
在本质上,计算机风险下的审计风险是在一般环境下的审计风险,即审计人员的不恰当审计意见的可能性。在计算机环境下,因为有详细审计目标之增加,审计范畴和目标的扩展,审计不能只是关于财政报表所具有庞大错报进行剖析,还包括对报表生成的来源及来源的载体(即电子数据和信息系统是否存在重大错误)进行鉴证。计算机风险下的审计风险,可以概括为被审计单位财务信息的“生成或表述”中存在重大错误而没有被发现,从而发表了不恰当审计意见的可能性。
二、计算机风险下审计风险特征
计算机环境下审计风险除了具备一般环境下审计风险的客观性、无意性和可控性特征外,还具有信息化环境下的电子数据复杂性、信息系统间接性等特征。
1.计算机电子数据复杂性
计算机环境下的审计工作大部分面向被审计单位所具有之大量电子数据展开,这些电子数据容易被随意更改而不落下一点蛛丝马迹,因此倘若需要从各种渠道确认数据真实性,那么审计人员对电子数据进行采集、整理、转换和分析的工作就必须考虑到电子数据的这些特征的复杂性。
2.计算机信息系统的间接性
计算机环境下的审计工作重要的一步是鉴证财务信息系统等真实性、可靠性和合法性进行。可是目前就审计技术和审计实践这两个层面存在棘手问题。于现在的审计技术来说,棘手问题在于难以实现直接通过查阅程序对计算机信息系统本身开展系统审计。从当前的审计实践来看,棘手问题在于计算机信息系统的鉴证主要是审阅和分析相关文档、座谈、实地观察以及虚拟数据测试等这些间接审计的方法,无法对数据直接通过审计,这样势必导致审计风险表现出含糊、朦胧的一面。
3.计算机风险下审计风险的客观性
计算机风险下审计风险是具备的客观性是不为审计人员等人的主观意志所能避免的。如此看来,审计人员的作用主要是在审计过程中通过运用有效的方式,加上有效的审计程序,来压制、减少或掌控审计风险,但是不能透彻地消除审计风险,这种客观性是由审计工作的性质主导的。
4.计算机风险下审计风险的无意性
计算机风险下审计风险的造成不是审计人员故意造成的,而是审计人员主体上并没有察觉到其中一些客观因素导致的结果。这里强调的无意并不是审计人员有意所为,这与计算机舞弊案例是截然不同的。
5.计算机风险下审计风险的复杂性
计算机风险下审计风险的复杂性主要体现在审计过程的复杂性。审计是一个复杂的过程,因此,导致审计风险的过程比较复杂,加之审计环境因素,审计主体和审计对象,审计过程中的审计风险更复杂。
6.计算机风险下审计风险的可控制性
尽管计算机风险下审计风险复杂,客观存在,人的主观意志不能透切地消除审计风险,不能从源头制止审计风险的产生。幸运的是,审计人员能够经由各式各样的有用方法来掌控风险,减少风险,使得审计风险造成的损失降到最低,因此,这种计算机风险下审计风险的可控制性之意义显得尤为重要。
三、计算机审计与传统审计的异同
(一)计算机审计与传统手工审计的相同点
计这两个由现达科技发展而产生区分点的两种审计的类似之处主要为审计的目的、审计的经过、法律的约束。大体上来说,两者的方向出发点类似,均有为在坚守我国立法机关制定、国家政权保证执行的规则的前提下保护所规定的监督审计客体所具有的财政收支的真实性、合法性和效益性的权利,它在维护国家经济秩序起着重要的作用,保证公共资金的使用,促进我国经济建设和保证国民经济的健康发展发挥着重大的功用。计算机审计与手工审计的审计过程是相同的,国家审计的审计过程必须审核制,审计和审计报告三个阶段,作为发表审计意见的依据是相同的。在实施审计的过程中,两者在我国的法律约束是一样的。
(二)计算机审计与传统手工审计的不同点
计算机审计与传统审计的区别在于不同的审计环境,思维方式的,审计的审计线索,审计测试的对象和范围,审计技术,审计程序和审计风险,审计方法。这里主要讲述审计风险的不同, 之所以计算机审计风险的构成成分就较为复杂,是因为其过程较为繁琐。因而,操控计算机进行审计过程之时,其风险的组成因素不只是有传统手工审计所具有的重大错报与检查之风险,尚且有数据收集风险。假使审计人员把持欠妥抑或没有掌控此危机的实力,通过计算机审计中的应用产生的审计风险可以大大提高。
四、计算机环境下审计风险的表现和原因
(一)计算机环境下审计风险的表现
目前审计环境下审计风险的
表现主要为审计数据堆积且不停增长造成审计数据量大;审计客体的审计数据如异构、数据类型、数据单位、表达方式等的不一致性;审计效率较低;审计人员知识量小,经验尚浅;审计人员对审计数据关注点不一样造成的审计结果不同;目前审计人员对计算机技术还不能物尽其用,致使审计效率和质量低下。 (二)计算机环境下审计风险的原因
1.审计主体的原因
审计主体的原因主要指参与审计的审计人员和其所在的会计事务所所导致的审计风险的因素。审计主体的原因主要有审计过程中所选择的审计方法不合适,审计人员自身能力和经验相对有限,会计事务所组织体制的缺陷,内部治理水平的不足和质量控制体系不健全。
2.审计客体的原因
审计客体的原因主要指被审计单位和其提供的财务报表所导致的审计风险的因素。审计客体的原因主要有被审计公司单位治理机制的缺陷所导致的公司管理层可能产生的集体合谋使会计造假致使审计人员在一定的审计程序下无法发现这种舞弊欺诈行为。
3.审计环境的原因
除了审计主题以及审计客体以外的审计处境也是构成其风险的其中一个缘故,主要是指其风险的经济,法律,社会环境等等要素。。审计环境的原因主要有审计活动中审计人员提交虚假的审计报告,由此损害了国家、委托人或第三方的切身利益,背负了审计应该承担的提供准确的审计信息、维护公共利益的重大责任。这种情况下,审计人员终究要周到法律追究,因而,法律风险转变成一定程度上的审计风险;经济环境的因素则有市场经济体制改革的深入和现代高科技的发展,公司经营的不稳定性增加,市场经济的多元化和复杂多变的经济环境使审计人员很难进行多角度、全方位、深层次的评估,得到明确的审计意见的难度也将加大,所以审计风险增大;社会环境的因素主要表现为社会公众主观认为已审财务报表不存有一丝一毫的差错和舞弊,可是审计人员发表的审计意见不是提供绝对的保证而是提供社会公众相合理的保证。
五、计算机环境下降低审计风险的对策
(一)提高审计软件的质量
在高度计算机化的信息系统中,磁盘、光盘或磁带上存储着大量的被审计的信息和数据,审计证据以及有关资料必须通过计算机程序方能成功获取,即是需要通过相关计算机审计软件获得数据信息。以前开发应用软件时容易忽略病毒、硬件故障和未经授权者的入侵等因素,这些因素会影响审计工作的正常进行。作为审计过程中审计软件,可以帮助审计人员应对处置会计单位的首要审计数据。于是,为了保证其效率以及质量,创新研发实际审计工作皆能够运用的普遍运用和专业使用的审计软件以及提升审计软件的质量是必需。
(二)加强会计软件的评审机制
目前我国的会计软件的评审机制不够成熟,主要是交给财政部门处理,这样单一的会计软件的评审机制势必会为工作带来一定的审计风险。所以,我们需要加以改进会计软件的评审机制和促进完善会计软件的评审机制。不妨在财政部门评审的会计软件之前,组织审计专业人士对会计软件评价测评并作出客观的论断,然后由财政部门在参考测评结论的前提下再做出对该会计软件评审的决定。
(三)确保审计数据的完整性
倘若审计工作者采用难以合乎事宜的数据收集方法,未能确保所采撷收集审计数据的完整性,那么会为其造成风险埋下伏笔。因而唯有计算机系统数据无所缺失方可以保证审计质量的有效性。为确保所采集数据的准确性和完整性,审计人员在审计时必须注意在确认被审计单位所提供的数据真实的前提下确认采集到的数据是否属于审计时间范围内的财务数据等相关事项。
(四)选择合理的审计方式
传统的审计对计算机会计系统采取分离审计或纯手工审计的方式,致使计算机系统的一系列控制弱点被忽略,所收集的审计证据残缺不全,甚至无法实施有效的审计。因此迫切需要改进审计方式。另一面,审计人员在审计过程中起着最关键的作用,而审计方式的选择取决于审计人员的计算机审计技能。要提高审计效率和效果,审计人员需要选择合乎时宜的审计方式。
(五)配置合理的审计人员
之所以需要合理配置审计人员,是因为现在计算机审计要求颇高,技术性强,降低和减少审计风险,保证审计工作的正常进行。信息技术、业务需求之类的要求必然对计算机系统审计有显着的影响,再加上较为复杂繁琐的会计电算化系统,因此对计算机审计专业人员的合理配置不可忽视。
(六)大理发展计算机审计教育
我国的各大相关计算机审计院校应该着力发展计算机审计教育,学校应该提供学生更多实践操作的机会,让学生能再实践中了解和体会审计工作,从操作计算机审计软件的过程中打好有关计算机审计方面的理论基础,使得他们更全面地对计算机审计有所认识,同时,还需要加强对现有审计人员知识的计算机审计培训,在全方位、多角度、深层次的培训过程中加强他们的基本的计算机技能和拓宽他们与时俱进的计算机审计知识。此外,在加大对审计人员的培训力度的基础上还需要提高审计人员的道德水平和业务素质。审计风险之掌控行动终究要依靠人的主观能动能动性,培养人才是降低审计风险的最有力的途径,因而需要:一方面,不断加强现有工作人员的道德修养;另一方面,重视对审计人员在审计方面的知识、信息技术、网络技术及相应的安全控制技术方面的后续培训,不断更新和拓展其知识面。
篇12
1 当前信息环境下计算机审计的风险分类
研究发现,目前我国企事业单位的计算机审计在风险承担上的影响体现在两个方面:
1.1 信息环境下的计算机审计本身具备的环境风险
对于计算机审计的固有风险,其涵盖的因素比较多,除了在传统审计方面,还存在计算机信息系统方面的固有风险影响因素。首先计算机审计本身就具备一定的环境,具体就是指其所处的风险,这种环境方面的风险就是指计算机系统由于本身处于网络环境中,这种环境自身就存在一定的风险,这种风险是基于一定的计算机设备方面,计算机的信息系统存在的风险也就是审计过程所具有的风险,一般来说,对于审计L险方面的控制只能是针对于风险的评估过程,但是却不能够有效的控制或者抵制这种类型的风险,计算机的信息系统的风险一般包括软件方面的风险以及硬件方面的风险。例如一些企事业单位的财务资料一般都是存储在计算机设备当中,尤其是存储在计算机硬件磁性材料的内部,由于计算机硬件材料容易受到外界的损坏,例如温度冲击、湿度过大、灰尘堆积、电压较高、外界的震动等等因素,这些外界因素很容易导致计算机设备的故障以及损坏,计算机设备一旦发生损坏就直接使得审计资料发生突发性的改变,甚至是直接丢失,所以说这种固有的风险就是计算机存储设备的不稳定性、不安全性以及较差的保密性;一些企事业单位的会计系统在软件设计过程中就存在一定的系统漏洞,这主要是由于程序的本身设计就存在一定的漏洞,或者说由于会计系统的管理人员不具备专业的管理水平,不能满足合理的使用会计管理系统,所以引起一些企事业单位的数据处理发生异常,或者是出现应用错误;最后一点就是计算机病毒的威胁,目前网络环境中存在各种类型的病毒,一旦计算机感染病毒就很容易导致数据的丢失。一些企事业单位的会计信息系统由于保持联机状态,进而保证数据库管理的网络化,这种状态就导致信息系统处于一种非封闭的状态,除了病毒意外,黑客入侵也能够一定程度上威胁到信息系统的安全。
1.2 信息环境下的计算机审计控制过程的风险
对于一些企事业单位来说,其计算机审计控制过程上的风险就是意味着信息系统的内部控制方面,内部控制如果不能够做到严密很容易导致风险的发生。这种风险主要是属于审计过程方面的风险。对于一些企事业单位的审计过程来说,要实现对其的信息化管理,就需要严格地进行内部的控制,这种控制一般就体现在人与人之间要形成监督,人与计算机系统之间也要形成一定的监督,而且以对企事业单位的会计系统的控制尤为重要。具体来说,这种审计过程控制方面的风险影响因素主要体现在可能导致信息系统的数据发生篡改,而这种因素属于典型的人为因素,其引发的问题使得审计人员不得不面临更加复杂的环境。如果发生这种现象,即便是审计资料发生了大幅度的改变也很难以留下明显的痕迹,实际上对于企事业单位来说,由于会计系统具有典型的电算化特征,人为篡改数据的痕迹并不明显,如果数据量很大则更加隐蔽。在计算机会计信息系统中,审计人员所审计的一些数据资料一般都是存储在硬盘等磁性介质上,例如会计电子凭证、收费项目电子表、收费金额统计表、收费数量表以及资金汇总报表等等,这些电子化的信息不仅仅容易被更改或者是隐匿,同时也可能被复制、转移以及销毁等等。如果会计系统被人为地嵌入一些非法程序,而计算机又不具备一定的自我检查功能,就只能够按照所设定的非法程序运行,以错误的方式来进行所有业务的处理,这样就无法判定数据的真实性,无法适用于传统的审计中的追踪审查,只能靠审查人员的判断以及经验。
2 降低信息环境下计算机审计的风险
很多的企事业单位最熟悉、信赖的依然是传统的审计模式,不仅仅是因为会计业务的习惯问题,也是出于对审计的安全方面考虑。在计算机审计方面大多处于一个起步的阶段,在计算机审计的宣传以及推广方面仍然需要进一步的提高。我们在面对计算机审计,必须要做到:
2.1 进行全面风险管理
企事业单位最重要的一种核心竞争能力便是计算机审计风险管理能力,计算机审计带来的改变必然会影响企业的现有的风险约束,在风险管理的理念以及风险管理的整个流程、组织结构都会受之影响,进而随之改变。因此,在进行计算机审计的过程中一定要明确风险趋势、做好准备工作,保障风险管理的战略位置。此外,风险管理要建立全面的理念,组织独立的风险管理团队,对日常审计工作实行实时风险监测,实现风险有效预警。
2.2 培养专业计算机审计人员
面对逐渐深化的审计过程改革,要想提高自己的审计过程的科学性就必须建立一流的计算机审计队伍人才。应注重审计人员的风险教育以及风险培训,提高审计人员对风险管理的理解力和执行力。要想在金融创新潮流中更好地增加自己的审计业务,提高风险承担能力,就必须培养自己的精英审计人才,拥有能够进行计算机审计风险管理的专业化员工。只有重视人才的培养、重视审计专业的素质培养,才能使自己融入计算机审计这一新兴领域,为计算机审计风险承担提供更好的人才支持。
3 结束语
计算机审计给企事业单位在审计风险承担上同样带来了强大的冲击。在信息环境对审计风险承担的影响上,计算机审计是审计蓬勃发展下的一种产物,可以很好的促进审计过程的市场化,在降低审计成本的同时降低审计过程面临的风险。只要合理充分的利用计算机审计,就能够大大的推动审计改革。
参考文献
[1]陈哲.试论我国计算机辅助审计所面临的问题及对策[J].吉林省经济管理干部学院学报,2003(6).
[2]许华.审计风险及防范对策探析[J].时代经贸,2008(6).
[3]管勇,杨少梅,尚涛.计算机环境下审计面临的挑战与对策[J].卫生经济研究,2005(7).
[4]郭宗文,张红卫.计算机审计[M].北京:清华大学出版社,2005.
[5]盛学红.规避审计风险提高审计质量[J].学术纵横,2009(5).
[6]赵春青.浅论网络环境下会计信息系统面临的风险及防范措施[J].财务与会计,2005(9):47-48.
篇13
一、计算机系统与计算机系统审计风险
计算机系统环境相对于手工会计环境,由于其数据处理的集中程度高、处理速度快、信息储存方式、储存媒介特殊,给审计工作带来了独特的风险。
(一) 计算机系统的特征
1.计算机环境下,信息处理过程中的错误有短时间内重复出现的可能。较之手工会计,会计电算化系统处理的集中化,加之计算机运算的高速性,计算机会计信息系统的输入过程比手工系统多了将人可读的数据转换为机器可读代码形式,使得其处理结果发生错误的可能性大大提高,而一旦发生错误,就往往在短时间内产生连锁反应,使得多种文件、账簿,以至整个系统失真。如果发生错误的原因在于系统受到攻击或系统程序、应用软件出现差错,则计算机就会连续重复执行同一错误操作,而不易被察觉。
2.计算机环境下,内部控制的功能发生改变。计算机环境改变了会计凭证的形式。在电算化会计系统中,会计和财务的业务处理方法和处理程序发生了很大的变化,各类会计凭证和报表的生成方式、会计信息的储存方式和储存媒介也发生了很大的变化。原先反映会计和财务处理过程的各种记账凭证、汇总表等书面形式的资料减少了。由于网上办公、无纸化办公等的推行,每一项业务的有关信息由业务人员直接输入计算机,并自动记录,原来在核算过程中进行的各种必要的核对、审核等工作,有相当一部分变为由计算机自动完成了。原来书面形式的各类会计凭证转变为以文件、记录形式储存在磁性介质上。因此,电算化会计系统的内部控制与手工会计系统的内部控制制度有着很大的不同,控制的重点由对人的控制为主转变为对人、机控制为主,控制的程序也应当与计算机处理程序相一致。
3.计算机环境下,信息的安全性要求更高。手工条件下,可以将重要的数据文件或记录在纸上的重要信息,保存在安全性较高的物理场所,如企业的保险柜里,以保证数据的安全。在计算机环境下所有的信息都存储在磁、光或计算机硬盘中,而这些存储介质发生损坏的可能性较之账簿等纸质工具发生损坏的可能性大大增加。
4.计算机环境下,舞弊的防范更难。计算机运行速度快、精度高,但同时使系统丧失了人类所具有的对不合逻辑、不合理的以及例外事项的判断和处理能力,因此,要求在数据处理过程中增加多种检查控制。在计算机环境下,数据被擅自篡改也不易留下线索。
(二)计算机系统的审计风险
1983年美国注册会计师协会的第47号《审计准则说明书》 、《审计风险和重要性》中将审计风险模型确定为:审计风险(AR)=固有风险(IR)×控制风险(CR)×检查风险(DR)。这一观点被世界会计师联合会及包括我国在内的世界多数国家的审计职业界所接受。
审计风险会因客户的会计电算化和内部控制的程序化而呈现出新的特征,审计师就应重新规划审计程序,采取相应的对策和辅助审计软件进行审计。
1.计算机系统的固有风险。固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。具体表现为:
一方面,计算机系统的安全性是影响固有风险的根本因素。大部分电算化系统设计成客户服务系统,它有巨大的容量和信息存储量。这些系统一般整体性很强,利用企业资源规划系统保证程序的连续性。如果系统失败,整个公司也很有可能面临破产的命运。如果没有一套包括计算机系统在内的完整的风险管理系统,公司就要承担高风险。主要包含: 计算机系统的物理安全;计算机程序的合理性;网络信息通讯的安全性三方面。
另外,电子化会计数据的安全性问题是影响审计固有风险的关键因素。手工条件下,可以将重要的数据文件或记录在纸上的重要信息保存在安全性较高的物理场所,如企业的保险柜里,或者通过不相容职务的内部牵制保证数据的安全。在计算机环境下所有的信息都存储在磁、光或计算机硬盘中,要确保硬件遭到破坏时信息的安全,防止未经授权的侵入破坏或篡改计算机应用程序。
2.计算机系统的控制风险。控制风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。具体表现为:
首先,访问权控制的不严密有可能导致虚假的会计数据。访问权控制的功能是在数据信息和非法访问者之间建立一道安全屏障。未经授权的访问计算机系统,工作人员的访问密码泄露,越权访问、修改或删除会计数据等情况如果不能被置于访问权控制之下,都会极大地损害会计数据的安全性、真实性。
其次,网络传输和数据存贮故障或软件的不完善,有使会计数据出现异常错误的可能性。相对手工系统,计算机系统下这种风险难以通过有效的内部控制制度消除,必须靠先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的几率。大多数会计软件能对数据录入的一致性和正确性以及会计数据处理的安全性和连续性进行控制,但对于集成化程度较高的企业级管理软件来说,数据的共享性和一致性还不尽人意。
计算机系统下,内部控制包括对人和机器两方面的控制,而且以对机器控制为主。计算机内部控制的框架如图1:
从图1可以看出,计算机系统内部控制由一般控制和应用控制构成。其中,一般控制是指对计算机会计信息系统的组织、开发、应用环境等方面进行的控制,主要包括组织与管理控制、系统开发与维护控制、系统操作控制、系统安全及文档控制等。应用控制,是指对计算机会计信息系统中具体的数据处理功能的控制。应用控制有特殊性,不同的应用系统有不同的控制要求,但应用系统一般都包括会计数据的输入控制、处理控制和输出控制三个方面。一般控制的缺陷产生的危害极大,会影响应用控制的有效性,这是由一般控制的基础地位所决定的。另外,新的计算机信息系统技术的应用,如微机――主机连接系统、分散的数据库系统、终端处理系统及直接提供信息给可见系统的企业管理系统等,增加了计算机信息系统整体复杂性和它们所影响的具体应用的复杂性。
3.计算机系统的检查风险。检查风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报,而未能被实质性测试发现的可能性。检查风险是审计人员唯一可以自主确定和控制的风险。
对账户或交易的重大实质性测试往往离不开企业的历史数据,随着会计法规的完善和计算机技术的发展,会计软件在不断的更新,历史数据取得的难度将会加大。由于软件版本的更新、平台的迁移,难以从往年帐套里提取这些历史数据,迫使审计师不得不转向大量的历史文档中收集整理数据。这一方面降低了审计效率,更重要的是带来了更高的检查风险。
另外,由于目前大多数审计人员只是会计、审计方面的专家,要求审计人员在有限的时间设计很全面的测试数据是不现实的。再加上审计软件设计中本身的缺陷也会增大检查风险。
二、计算机系统审计风险的防范
(一)准确评价计算机系统的固有风险
1.评估计算机设备的物理安全性。对于计算机系统的控制,审计人员应了解系统设置是如何依赖这些硬件控制的;操作系统如何利用这些硬件控制;系统如何报告检查出的错误,以及纠正错误的程序。了解计算机系统环境存在的潜在威胁,如企业对水、火灾的防范措施,有没有配备合适的稳压器,不间断电源(UPS)等降低电源波动带来的影响,对所有的访问尤其是非法入侵是否都记录在计算机日志里,管理人员采取了什么措施应对非法入侵,计算机系统是如何防范计算机病毒,有没有具体的应急措施应对意外情况的发生等。
2.评价电子数据的安全性。为了保证信息的安全性,一方面要注意计算机硬件的安全,更主要的是要防止未经授权更改或删除电子数据。所以,要做到:信息的访问权只给单位中指定的人;对会计数据修改或删除的权力只赋予被授权的人;计算机系统能够辨认访问者的访问权限;单位的信息安全部门应密切监视来自外部的恶意攻击,然后定期以报告的形式向信息安全的负责人报告;电子数据要有备份,备份数据能得到妥善保管。
3.检查信息通讯的安全性。为保证一台计算机与其它的设备,如终端或其他的计算机系统之间信息传输信息的完整性与真实性,被审计单位至少要对传输的信息加密;接收信息的应用程序与发送信息的线路分开; 接收到信息后有信息反馈检查,特殊信息要依靠调制解调器解调传输;企业的内部信息通讯系统与国际互联网之间要有防火墙,以防来自互联网上的恶意攻击。
(二)合理评估计算机系统的控制风险
对于控制风险的评估主要应集中于对组织管理控制风险,访问权控制风险,程序开发、数据修改控制风险的合理估计。
1.组织管理控制风险的识别。组织控制的关键在于职责的分工。审计人员应检查被审计单位的组织结构、职权和责任的分配情况,如程序与开发系统、计算机操作、输入数据的控制等职责,在可行的情况下是否予以分离,职工定期轮换工作岗位制度是否完善等。目的在于确定职责分工是否能够提供有力的内部控制。注册会计师应判断组织管理控制的强弱,对由于职责分工不够而产生的风险作出合理评价。
2.电算化系统开发控制。对于首次接受审计的企业,对电算化系统开发控制的审计,审计人员应主要了解系统开发前是否有计划,开发系统是否得到授权,是否有相应的程序加以控制等。
3.计算机设备、信息和程序访问权控制可能的缺陷。审计人员要分两个层次了解访问控制:访问控制的程序整体执行情况及人事和工资管理部门执行内部控制的情况。具体要了解公司是否使用了访问控制软件,其能够提供哪些功能,公司有没有专门负责数据安全的部门,对工资水平修改的程序、员工花名册的变化是否只是由人事部门决定,人员变动是否得到了及时记录等。
(三)努力控制检查风险
检查风险是审计人员唯一可控风险,在这个阶段,审计的任务是在准备阶段初步风险评估的基础上,对内部控制进行测试,评价控制风险,决定可以接受的检查风险。将检查风险控制在可接受范围之内。对于内部控制的测试主要包括对数据输入控制的测试、数据通讯和数据处理控制的测试和数据输出控制的测试。
1.数据输入控制的审计。审计人员在对数据输入控制进行审计时,应注意检查经济业务的发生是否有适当的批准文件,以保证数据输入的合规性;同时应注意检查所输入数据的正确性,完整性,数据是否被不正确地添加、复制或修改等情况。主要进行输入有效性测试,包括字符域控制的测试,信息合理性测试,数据范围控制的测试,信息有用性的测试,信息完整性的测试等。
2.数据通讯和数据处理控制的审计。审计人员对输入过程控制进行审计时,应注意检查经济业务数据的来源是否可靠,资料是否完整、准确,有没有可能被篡改过;检查数据的处理方法是否正确,处理的步骤、使用的程序、结果的保存是否正确无误,等等。主要进行数据处理的有效性测试,采用的技术方法有综合抽查设备法(ITF),标签与跟踪法或借助审计软件。
3.数据输出控制的审计。审计人员应注意审查输出的计算机处理结果是否准确无误,输出的结果是否被及时、按照规定提供给有关的人员或部门,是否有必要的手续和记录,等等。主要进行控制总数,数据的勾稽关系和输出的合理性检验。
在以上审计程序中,输入有效性测试、处理有效性测试、控制总数,数据的勾稽关系和输出的合理性检验任何一项存在重大缺陷,审计人员要评估控制风险为高风险。
(四)综合运用适当的审计方法
一般来说,审计人员所采用的审计方法主要有:面谈法、问卷调查法、审阅法、流程图法、测试法等。为了有效防范计算机系统的审计风险,结合计算机审计的特点,应用合理的方法或方法的组合,才能取得实效。
1.面谈法。面谈法具有简单方便之优点,在内部控制审计中经常被采用。审计师为了获得一次高效的面谈,应该与被访问者相互配合和信任。在对一般控制审计时,可以通过与被审单位的领导与职工交谈,向电算部门及各业务部门的人员询问了解有关的职责分离的控制是否得到执行。在对系统开发控制和程序修改控制审计时,向有关参与系统开发人员了解有无用户代表和内审人员参加,参加了哪些工作,现有的信息系统能否符合用户的要求等。另外还可以通过面谈了解内部控制的经济性,重大的错误是否得到及时、恰当的纠正,输出的资料是如何处置的,有无健全的检查、保管、分发制度等。
2.问卷调查法。问卷调查法节省时间,调查面广。审计人员可以根据需要调查的情况设计好调查问卷,获取信息,以判断有关的内部控制是否存在、可靠,有无得到执行。在内部控制审计的各个程序都可以使用。使用这种方法要注意问卷调查表中问题的性质、提问技巧、度量的尺寸或调查表的布局设计。
3.审阅法。审阅法是指审计人员通过仔细审查和翻阅有关的书面文件或记录,借以查明资料及所反映的记录是否公允、正确、合法、合规,从中发现错弊或疑点。审计人员在一般控制审计时,通过审阅内部审计人员留下的系统开发的工作底稿,了解系统开发的控制。通过审阅系统测试的数据及结果,检查系统在试运行阶段的运行情况,有无被修改,系统在正式投入使用前是否经过了最后批准。通过审阅有关系统访问控制的计算机日志,了解是否只有被授权人才可以访问特定程序或信息,对使用错误密码企图进入系统的情况,系统都作了记录并有专人调查。
4.流程图法。流程图在审计活动中发挥着越来越重要的作用。利用流程图,可以对被审计的信息系统结构有更深刻的理解,从而更有效地分析系统的运行过程。在计算机审计中,流程图可能是现成的,审计人员应该确定被审计单位提供的流程图是否正确,防止被审计单位造假。有时被审计单位提供的流程图不够详细或者没有现成的流程图,审计人员应要求被审计单位提供源程序,据此得到流程图,确定源程序中设置了哪些控制措施。对内部控制审计时,使用流程图法可以帮助审计人员分析和设计内部控制。审计人员还可以利用流程图找出系统中的薄弱环节。
5.测试法。测试贯穿于计算机审计的整个过程,是计算机审计的重要方法。是审计人员收集证据的重要技术。测试法是从计算机输入开始,跟踪某项业务直至计算机输出,以检验计算机应用程序、控制程序和系统可靠性的一种方法。在计算机环境下内部控制的审计中,使用测试法检查访问权控制的有效性,使用测试法检查输入有效性控制的执行情况,如对工资处理应用程序中输入数据的数据类型、数据有效性、数据范围、逻辑关系、数据加工的内部控制的测试。
【主要参考文献】
[1] 石爱中,胡继荣.《审计研究》.经济科学出版社,2002.
[2] 杨占芳. “计算机信息系统的内部控制”. 中州审计,2004年第8期.
[3]肖忠. “浅谈计算机系统审计的证据收集方法”. 计算机与现代化,2004年第8期.
[4] 刘汝焯等. 《计算机审计技术和方法》. 清华大学出版社, 2004.
[5] 叶陈刚,李相志. 《审计理论与实务》. 中信出版社. 2005.
