引論:我們為您整理了13篇計算機審計風險范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
(二)審計對象增加、范圍擴大帶來的審計風險。計算機審計增加了現行信息系統的審計和電子數據的審計,已突破傳統財務審計的范圍。以報表評價為主要目標的財務報表審計,因實時網絡的存在,往往同業務審計、經營審計和管理審計密不可分。包羅萬象的大審計,使審計風險來源增加。被審計單位網絡、信息系統及數據庫、應用軟件的不穩定性,電子數據的易被改變、被復制和被消除性,以及信息系統目前難以實現直接查閱源程序等,必然帶來新的審計風險要素。
(三)掌握計算機審計技能的人員不足帶來的風險。計算機審計要求審計人員必須熟悉計算機信息系統運作、數據采集與分析、數據挖掘等技術與方法。能夠面對海量的數據,尋找到審計線索突破口:隨時根據被審計單位的數據接口特征,選擇滿足需要的數據采集軟件類型,編制各種審計模塊:針對采集的數據進行篩選、清理和分析,快速準確地找到并驗證各種審計疑點。而現階段,要使審計人員普遍具有較高的計算機審計能力,還需要一個過程。開展計算機審計,倘若人員沒有足夠的技能,將無從下手:倉促上機,無疑會帶來檢查風險的增加。
(四)審計準則缺失帶來的審計風險。計算機信息技術環境下,對財政收支、財務收支審計,不能僅以出具的紙質資料為依據,還必須對其生成的信息系統及數據庫和財務軟件的可靠性、電子數據的準確性等進行鑒證,否則,就會形成假數真審。所以非常需要制定新的審計準則,有針對性對計算機審計工作做出全面系統的補充。而眼下。用現行審計準則中界定的具體審計目標,來指導計算機審計就顯得比較狹窄,無法涵蓋全部待審內容,包括與被審計單位計算機廣泛應用不相協調的內部控制,也就無法用其分析審計風險的確切來源。審計準則的缺失會使審計工作失去權威標準,審計風險自然加大。
二、控制計算機審計風險的對策
(一)掌握被審計單位對計算機信息系統的控制情況,制訂完整、詳細、合理的審計方案。編制審計實施方案的重要部分就是審計重要性水平的確定和可以接受審計風險的評估。計算機審計尤其要通過檢查、查詢、觀察等方法對被審計單位基本情況和計算機信息系統的運行狀況、內部控制進行調查。除了了解常規審計中被審計單位業務性質、組織結構、管理者的內部控制、管理措施、以前年度審計情況等外,重點通過與被審計單位有關業務、計算機及管理人員座談,交流溝通,索取和分析文檔資料,對其計算機信息系統硬件設備、系統軟件、應用軟件、經營管理工作、戰略需求與規劃等進行審計調查,了解財務系統、業務系統的安全性,確定計算機信息系統層和電子數據層的重要性水平,分析和初步評價可接受的審計風險、審計執行階段的風險控制責任的落實,編寫能夠符合被審計單位實際的、全面的審計方案,并分解好審計工作,使各個審計崗位職責明確。
篇2
1、審計人員的勝任能力有待提高。計算機審計是一項綜合性審計,涉及的知識面較廣,只依靠審計人員過去的知識和技能是難以勝任的。此時,審計人員不僅要掌握審計、會計、財務方面的知識,還需要掌握計算機硬件、會計軟件、信息處理技術及網絡等方面的知識。如果審計人員不同時具備這些知識,則在審計取證的過程中,在進行人機對話時,很可能出現審計人員所得與所想的會計信息存在偏差,而這當中也可能隱藏了重要的審計線索,從而加大了審計風險。
2、審計人員的風險意識有待加強。與傳統手工審計相比,計算機系統下的審計風險的內容或被賦予了新的內涵,或得到了進一步的補充,集中表現在計算機審計風險隱蔽性強、可控性差、破壞性大等特點上。審計人員必須對此引起足夠的重視,如果僅僅為了完成審計任務,而不考慮審計風險內容及其內涵變化,必然會導致審計質量不高或降低審計效率,從而無法客觀、公正地評價被審計單位審計期間的財政收支、財務收支的真實性、公允性,加大了審計風險。
(二)審計客體方面的原因
1、被審計單位內部控制制度不健全。在傳統手工會計系統中,內部控制通常表現為手工控制,這種控制形式責任明確也便于審計人員的調查和做出客觀評價。而在計算機系統環境下,內部控制的內容發生了變化,控制的方式由手工控制變為手工控制和計算機控制相結合。手工控制主要通過設置不同人員的權限來實現,由于現行會計軟件多為商品化軟件,被審計單位對程序的設計缺乏足夠的參與認識,這在一定程度上會影響到被審計單位在人員權限設置上的科學性。另一方面,計算機控制又受到程序設計的影響,程序審計的科學與否直接影響到計算機控制的效果。不法分子也可能通過篡改程序或嵌入非法程序來影響計算機控制的效果。再有,被審計單位的組織形式可能會因為環境的變化而不同程度地調整,在手工會計系統中,被審計單位可以根據需要適時地、輕易地實現對內部控制制度進行修改與完善;而在計算機系統環境下,就難以滿足這樣的要求。
2、被審計單位故意隱瞞審計所需信息。審計是審計人員運用專業知識和技能,依據審計準則對被審計單位相關資料進行鑒證的過程。因此,在審計過程中,審計人員必須取得被審計單位的配合才能更好地完成審計任務,實現審計目標。在審計取證過程中,如果被審計單位不積極提供充分的資料或隱瞞一些重要的變更事項,如會計程序的變更、人員權限的變更等,勢必會影響到審計人員所取得審計證據及其對審計證據評價的客觀性,從而加大了審計風險。
(三)審計環境方面的原因。隨著現代經濟的迅速發展,現代企業的經營規模越來越大,經營活動也越來越復雜。各種高新技術的產業化、各種金融創新工具的廣泛運用,使得企業的經營活動和財務報表編報和披露的復雜程度遠遠超出人們傳統的認識程度,特別當企業跨地區、跨國家經營時,其復雜程度就更高。
1、審計的內容不斷擴大。在計算機審計中,審計的內容不僅包括傳統手工審計環境的內容,還包括對會計軟件運行的評估和審核及對程序中安全控制措施的審查,如人員權限的設置等。審計內容和范圍的擴大對審計人員提出了更高的要求。
2、審計線索趨于隱蔽。在傳統手工審計環境下,審計線索都是以紙質形式存儲的,其中所包含的信息是可見的,需要時取得也較為便捷。而在計算機審計環境下,會計信息中有相當一部分是存儲在磁性介質中的,它們是看不見、摸不著的,需要時必須通過人機對話,從計算機信息系統中調出所需會計信息,才能加以閱讀。會計信息存儲的隱蔽性導致信息取得的復雜性,必然會加大審計人員審計風險。
3、會計軟件種類繁多。市場中會計軟件的品牌、版本眾多,審計人員不可能完全熟練地操作所有的會計軟件。同時,會計軟件的升級,也會影響審計人員對歷史數據的提取。軟件公司基于保密的考慮,一般也不會輕易地向審計或其他外部人員透露其軟件設計程序。這又勢必會影響到審計人員對被審計單位會計信息的生成與傳遞及內部控制的評估。
二、審計風險防范建議
(一)嚴格篩選風險較低的審計客戶。這一要求是指事務所在接受審計客戶時,必須對企業的經營環境、經營目標、企業管理層的經營理念和誠信程度以及企業的財務狀況和經營成果進行仔細的分析,以把握客戶的整體情況和審計風險的可控性。然后,選擇審計風險較低的企業作為審計客戶。這一要求并不表示在選擇客戶時,只能接受經營業績和財務狀況很好的企業,而表示只能接受經營者管理層較講誠信的企業作為審計客戶。企業的經營情況好壞不是決定是否接受審計委托的根本條件,因為不管企業經營情況如何,只要企業經營者能按照會計準則和披露要求客觀公允地反映其經營成果和財務狀況,審計風險是可以控制的;只有當企業管理層為了達到某種目的而執意歪曲財務報表時,審計風險就會變得難以控制,因而必須予以拒絕。
(二)加強審計人員培訓學習,強化審計機構和審計人員風險意識,降低計算機審計風險。定期對審計人員進行培訓,強化審計人員后續教育準則的實施和執行。不斷更新審計人員的知識結構,提高他們的技術水平和職業判斷能力。在新的審計環境下,尤其要加強計算機應用技術、數據處理技術和網絡知識的學習,培養復合型的審計人才,以更好地適應審計環境變化,出色地完成審計任務。審計人員在加強專業學習的同時,應加強職業道德修養,強化風險意識,嚴格依照審計準則進行審計,以降低審計風險。
篇3
固有風險是指假定不存在的相關內部控制時,某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生錯報或漏報的可能性。計算機的固有風險是計算機會計系統自身帶來的風險,審計人員只能評估此風險而不能左右和控制,它的具體表現為:
1.信息化系統的安全保密性差。由于網絡自身的一些缺陷,使得網絡審計在安全性能上受到極大的挑戰。一是人為篡改或破壞數據。在信息化環境下,數據的電子化并以磁性介質為主要存儲載體,這使舞弊者或破壞者對數據進行非法修改和刪除且不留下審計線索成為可能,這對保證數據的完整性、安全性提出了挑戰,給審計監督帶來了風險。二是病毒感染易使數據丟失。計算機易感染病毒的脆弱性使審計數據的丟失現象經常發生,從而使出現審計風險的可能性增大。三是黑客入侵導致信息泄露。網絡的一大特點就是信息資源的共享性,即網絡用戶可以通過口令使用其他用戶的信息資源。這使得一些計算機黑客為了獲取重要的商業秘密,經常利用IP地址進行欺騙,攻擊網絡系統,進行目標系統的竊取或破壞數據。這使審計人員或審計組織的審計證據和審計結論在保密性方面效果較差。
2.會計電算化系統的多樣性導致審計取證困難。目前會計電算化軟件有幾百種,這些軟件基本上符合財政部頒發的《會計核算標準基本功能規范》。但其功能模塊的劃分、數據庫文件的設置、數據處理系統的復雜性、文件記錄和系統操作的非規范化,都增加了審計的難度。尤其是用戶單位在選擇會計電算化軟件時,一要考慮保密程度要高,二要考慮自身管理的需要。這都限制了會計信息的透明度,使得內部審計人員在搜集審計證據時十分棘手,極大地增加了審計工作量。
3.會計電算化中審計軟件的不完善。一是會計電算化中審計軟件種類少。目前我國在審計軟件的開發方面正處于起步階段,各大軟件公司在審計軟件的研制與開發上投入的人力、物力和財力都很有限。二是審計軟件和財務軟件的數據接口標準未能得到很好的貫徹執行。中國軟件協會財務及企業管理軟件分會曾了中國財務軟件數據接口標準98-001號,其目的就是為了有助于不同的財務軟件之間的交流,便于相互之間的數據交換以及適應用戶的特殊要求,為二次開發提供數據接口。但是由于種種原因該標準并沒有得到很好的落實。各軟件開發商以保護數據安全為借口,將數據進行層層保護,使得會計軟件與審計軟件的數據交換越來越難,這給審計軟件的開發和審計工作帶來極大的障礙。
篇4
1、相關概念的定義
計算機審計,在國內外學術界有多種叫法,例如EDP審計、電算化審計、信息系統審計等等。盡管叫法不同,但其含義基本相同。計算機審計是指審計人員把計算機作為審計的對象或工具,對經濟信息系統所進行的審查。它包括計算機經濟信息系統審計和計算機輔助審計。
計算機審計風險,是指審計人員不能正確合理地運用計算機審計技術,從而導致審計結果與事實不相符,發表不恰當的審計意見而給審計主體帶來損失的可能性。
2、計算機審計風險的種類
⑴系統環境風險。系統環境風險是指電算化經濟信息系統本身所處的環境引起的風險,分為軟件環境風險和硬件環境風險。
⑵系統控制風險。所謂系統控制風險是指電算化經濟信息系統的內部控制不嚴密造成的風險。
⑶財務數據風險。財務數據風險是由于財會人員在對財務數據錄入時采用虛假、修改、延遲等手段造成虛假財務數據而產生的風險。這種風險是指電子財務數據被篡改的可能。
⑷審計軟件風險。審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險。
⑸人員操作風險。這種風險是指計算機審計系統的操作人員和開發人員等在工作中由于主觀或客觀原因造成的風險。
二、計算機審計風險的成因
1、計算機數據處理系統日趨復雜
目前已經通過評審的電算化軟件有很多種,這些軟件基本上符合財政部頒發的《會計核算標準基本功能規范》,但從基本功能模塊的劃分到數據庫文件的設置,從采用工作平臺到使用的計算機開發語言,從單項開發到系統開發,從單純使用關系型數據結構到應用大型數據庫資源等,可以說是千姿百態,各有千秋。正是由于計算機數據處理系統的復雜性,使得文件記錄和系統操作都缺乏標準和規范,這就給審計人員的操作增加了難度,對審計結果產生錯誤的可能性也就大大增加了,因而產生了系統環境風險。另外隨著信息技術的高速發展,電算化經濟信息系統不再是孤立的和獨立的,病毒、黑客的入侵隨時可以威脅系統的安全。因此,審計的系統環境風險增大。再由于計算機硬件設備的千差萬別,對電算化經濟信息系統的運行帶來影響增加,審計人員在操作中出現差錯的可能性也隨之增加,因而也容易產生審計風險。
2、審計方法、方式日趨復雜
經濟信息系統電算化后,審計方法和方式有了很大的變化,由于被審計單位采用的應用軟件有的是商品化軟件,有的是自行研究開發的軟件,在功能、程序處理上都有著一定的差別,并且根據審計要素和對象的不同,其要求運用的審計方法和方式也不一樣,從而增加了審計人員工作的復雜性,審計人員如果對軟件不熟悉或采用了不當的審計方法或方式就容易做出錯誤的審計結論,必然會帶來審計風險。
3、內部控制方法發生了改變
在手工系統中,內部控制的測試是看得見、摸得著的,但在電算化經濟信息系統中,內部控制的方法發生了很大的變化,這時傳統的手工控制措施已經不能達到其控制目的了。經濟信息系統電算化以后內部控制方法的改變主要表現在:一是內部控制措施由手工控制為主轉向以計算機控制為主;二是手工條件下的控制措施在電算條件下已經失效,代之以新的手工控制措施,如電算部門與各職能部門之間,電算部門內部各類人員之間的職責分離等控制措施。這些改變使得內部控制環境的復雜性增加,于是讓舞弊者有機可乘,從而產生審計的控制風險。
4、傳統審計線索逐漸消失
審計線索對審計人員是極為重要的,審計人員正是跟蹤審計線索,審核經濟業務,收集審計證據,從而完成審計任務的。在手工會計系統中,從原始憑證到記賬憑證、賬簿以及財務報表的編制,每一步都有文字記錄,都有不同的經手人簽字,審計線索十分清晰。但在電算化經濟信息系統中,經濟信息大都存儲在磁盤或磁帶上,因此,肉眼所見的線索減少了。況且,存儲在磁盤上的數據很容易被修改、刪除、隱匿、轉移,又無明顯的痕跡,因此,審計人員發現錯誤的可能性就減少了,而審計風險就增加了。
5、審計軟件存在缺陷
早期,我國會計軟件的編制基本上用的是Dbase系列數據庫,以后又改進為使用FoxBASE、Visual FoxPro等,隨著新的編程工具的出現以及會計軟件的進一步成熟和深化,軟件有了更多選擇,如Microsoft ACCESS、 Informix Sybase等。會計軟件在不斷升級,而審計軟件不能跟上形勢,采取的相應升級措施相對滯后,影響了審計效率和質量。審計軟件風險還表現在軟件的開發過程中,由于計算機人員對審計、會計業務不熟,造成軟件自身的不完善,運行不穩定或審計計算、分析的偏差。審計軟件存在的缺陷風險已成為影響計算機審計檢查風險的重要因素。
6、審計人員計算機知識缺乏
目前,大部分審計人員對于計算機知識普遍缺乏。不懂得計算機的審計人員,會因為審計線索的改變而無法實施審計;會因為不懂得電算系統的特點和風險而不能識別和審查其內部控制;會因為不懂得計算機而無法對電算系統進行審查或利用計算機進行審計。因此,審計人員必須掌握計算機與電算化經濟信息系統方面的知識和技能,否則,審計人員做出的審計結論有可能偏離被審計單位電算化經濟信息系統的實際,從而造成審計風險。
三、計算機審計風險的防范
1、完善計算機審計準則
目前審計準則有:國際會計師協會于1984年公布的《國際審計準則15――電子數據處理環境下的審計》和《國際審計準則16――計算機輔助審計技術》、1996年審計署的《審計機關計算機輔助審計方法》、1999年施行的中國獨立審計具體準則第20號《計算機信息系統環境下的審計》等。面對日益發展的計算機審計,需要針對新的形勢建立一系列與新情況相適應的審計準則,應加強計算機審計人員考核培訓準則、電算化經濟信息系統開發審計準則、電算化經濟信息系統內部控制審計準則、審計應用軟件準則,以此來規范計算機審計業務的發展,將審計風險降低到可以接受的水平。
2、選擇恰當的審計方式與方法
審計中,審計人員可以根據被審計單位不同的系統而采取不同的審計方法和技術,從而有效地降低審計風險。例如:當打印文件充分且與被審計單位輸入輸出聯系比較密切,能直接核對時,可采用繞過計算機,用核對、復核、分析等審計技術;當被審計單位采用實時處理,紙質的審計線索較少且輸入輸出不能直接核對時,則可采用通過計算機審計的方法。其次,選擇合理的審計方式。對于電算化經濟信息系統審計一般應采用就地審計或突擊審計的方式。在進行審計時,可以采用事先不通知操作員或程序員的情況下,把系統中正在運行的數據拷貝出來進行審查,以防操作員把數據篡改、刪除等,只有這樣,才能保證被審程序和數據的正確、完整性,也才能有效地降低審計風險。
3、加強內部控制制度的審查
內部控制制度是審計的基礎,為了確定這個基礎是否扎實,即內部控制制度是否健全、有效,審計人員就必須對被審計單位的內部控制制度進行審查。在分析和評價被審計單位電算系統內部控制制度時,應遵循以下步驟:一是調查分析系統可能存在的錯誤類型和非法行為;二是明確預防或發現錯誤應有的內部控制;三是分析被審計單位現有的內部控制是否充分;四是分析被審單位現有的內部控制措施是否有效。只有充分審查以保證內部控制制度的完善和有效,才能減少審計中的控制風險。
4、保證財務數據的完整性
為保證財務數據的完整性,審計人員在審計時必須認真檢查被審計單位所提供的數據是否真實、是否屬審計時間范圍內的財務數據。同時,審計人員獲得的財務數據,應該是被審計單位財務人員對財務數據作現場備份所得的。審計人員只有從這幾方面把握才能較好的保證財務數據的完整性,減少因審計線索的改變所帶來的審計風險。
5、努力開發實用高效的審計軟件
為了給計算機審計打開通道,就必須不斷研究開發審計軟件。在數據采集方面,要求這種軟件能夠容易訪問被審計單位不同介質、不同編碼、不同數據類型的數據庫,從中采集審計所需的原始數據。在數據分析方面,在現有審計軟件功能的基礎上進一步開發新的分析工具。例如:針對企業審計領域的固定資產折舊審計工具和產品利潤情況分析工具等,針對金融審計領域的利率檢查工具等。在增加面向特定領域的分析同時,還要增加一些基于特定方法的分析工具,如賬戶分析、比較分析等。只有開發出實用高效的審計軟件,才能解決因審計軟件本身的缺陷所帶來的審計風險。
6、提高審計人員的計算機素質
目前提高審計人員計算機素質可以采取以下措施:一是大力加強審計人員計算機技能的培訓力度。在此基礎上進行中級、高級的培訓,將培訓的內容深化并拓寬。二是將計算機知識和審計知識融會貫通,計算機技能與審計思路的結合,培養既懂計算機又懂會計和審計的復合型知識結構的審計人員。三是要建立各類培訓的跟蹤反饋機制,分析通過培訓后在實際業務中發揮的效用,及時檢驗培訓的效果。四是建立計算機審計的激勵機制,對計算機應用中有創新的人員和對利用計算機審查出問題的人員予以獎勵。
四、結論
經濟信息系統電算化的發展不僅是向審計工作提出新的挑戰,同時也為審計人員提供了新的用武之地,為審計帶來發展的新機遇。開展計算機審計時,審計人員只有做到全面分析計算機審計風險的形成原因并認真落實其防范措施才能夠提高審計的工作效率和質量,促使電算化經濟信息系統向更高目標邁進。因此,從事審計工作的人員除了要有審計專業知識,還要具備和熟練掌握過硬的計算機知識及豐富的實踐經驗,才能開創審計工作的新局面。
【參考文獻】
[1] 肖文八:審計學原理,第1版,北京,中國審計出版社,1996年。
[2] 陳婉玲:計算機審計,第1版,廣州,廣東人民出版社,2002年。
篇5
一、計算機審計風險形成的原因
(一)傳統審計線索逐漸消失
在手工系統中,由原始憑證到記賬憑證,由過賬到財務報表的編制,每一步都有文字記錄,都有經手人簽字,審計線索十分清楚。審計人員進行審計,完全可以根據需要進行順查、逆查或抽查。但在電算化會計系統中,從原始數據進入計算機,到財務報表的輸出,這中間的全部會計處理集中由計算機按程序指令自動完成,傳統的賬簿沒有了,絕大部分的文字記錄消失了,傳統的審計線索在這里中斷了、消失了,代之的是存有會計資料的磁盤和磁帶,這些磁性介質上的信息是以機器可讀的形式存在的,肉眼不能識別。存儲在磁盤上的數據很容易被修改、刪除、隱匿、轉移,又無明顯的痕跡,因此,審計人員發現錯誤的可能性減少了,而審計風險增加了。
(二)會計系統內控制度的改變
在手工系統中,內部控制的測試是看得見、摸得著的,但在會計電算化信息系統中,內部控制的技術和方法發生了很大的變化,使得手工系統中的許多原有的控制措施都已不適合了。例如,在電算化會計系統中,會計信息的處理和存儲高度集中于計算機,會使手工會計系統中的某些職責分離、互相牽制的控制失效。大部分控制措施都是以程序的形式建立在計算機會計信息系統中,肉眼無法覺察,在很大程度上依賴于計算機處理。而計算機會計信息系統的內控功能是否恰當有效會直接系統輸出信息的真實和準確,內控環境的復雜性使舞弊行為有機可乘,從而增加了審計風險。
(三)審計的改變
在會計電算化條件下,審計的監督職能雖然沒有改變,但審計內容卻發生了變化。在電算化會計信息系統中,會計事項由計算機按程序自動進行處理,如果系統的程序出錯或被非法篡改,則計算機只會按給定的程序以同樣錯誤的方法處理所有的有關會計事項,系統就可能被神不知、鬼不覺地嵌入非法的舞弊程序,不法分子可以利用這些舞弊程序大量侵吞的財物。電算化會計信息系統的特點及其固有的風險,大大增加了審計風險。
(四)審計技術、方法日趨復雜
在手工會計處理的條件下,審計可根據具體情況進行順查、逆查或抽查。審查一般采用審閱、核對、分析、比較、調查和證實等方法,所有審查工作都是由人工完成的。在會計電算化條件下,會計的特點決定了審計的內容和技術的改變。雖然人工的各種審查技術仍是很重要的,但計算機輔助審計是必不可少的審計技術。因為即使系統的全部賬表都要硬盤拷貝,利用計算機還是可以比手工更迅速、更有效地完成審閱、核對、分析、比較等各項審查工作。例如,計算機可以幫助審計人員審閱賬務文件,找出滿足指定條件的會計記錄:可以對眾多的會計事項進行統計抽樣,以便審計員對抽出樣本進一步審查;還可以根據系統所記錄的會計資料計算出各種財務比率、變化率和進行各種分析比較等等。審計人員如果不熟悉電算化會計軟件的特點和風險而不能識別和審查其內部控制,如果不懂得利用計算機審計技術和方法進行審計,就必然會帶來審計風險。
(五)審計人員計算機知識的缺乏
目前,大部分審計人員對于計算機知識普遍缺乏,而隨著會計電算化的實行,審計的對象也更多更復雜了。因此,審計人員除了要有專業的審計、會計知識外,還必須掌握一定的計算機知識和應用技術,否則,審計人員做出的審計結論有可能偏離被審計單位會計信息系統的實際,從而造成審計風險。
(六)現行軟件評審機制存在缺陷
現行會計軟件的評審主要側重于軟件功能的構成要素及會計處理的合理性,忽視了審計線索的保全性;評審側重于會計軟件運行的結果與手工一致,忽略了對軟件開發過程內部控制系統的評價;評審依賴于會計電算化專家小組及部分用戶的意見,忽視了軟件的審計特征;評審的結果可能同審計人員的意見產生沖突。這些都給審計人員的工作帶來了一定的困難和風險。
二、機審計風險的防范對策
(一)保證審計數據的完整性
為保證審計數據的完整和準確,審計人員在審計時必須認真檢查被審計單位所提供的數據是否真實、是否屬審計時間范圍內的財務數據,是否屬結賬后的數據,財務數據是否有紙質賬冊、報表相配套。同時,審計人員獲得的財務數據,應該是被審計單位財務人員對財務數據作現場備份所得的。
(二)選擇恰當的審計方法與技術
審計人員可以根據被審計單位不同的會計信息系統而采取不同的審計方法和技術,從而有效地降低審計風險。當打印文件充分且與被審計單位輸入輸出聯系比較密切能直接核對時,則可采用繞過計算機的審計方法,用核對、復核、等審計技術;當被審計單位采用實時處理,紙質的審計線索較少且輸入輸出不能直接核對時,則可采用計算機審計的方法;當被審計單位采用每時每刻都在運行的會計信息系統,審計過程中不能終止工作時,則可采用制度基礎法,首先對被審計單位計算機會計信息系統的一般控制和控制進行審查,根據一般控制和應用控制審查的結果決定抽查的重點、范圍和方法,這樣,既可以降低審計風險,又可以減少對被審計系統正常工作的。
(三)選擇合理的審計方式
由于要審計的大都存儲在磁性介質中,而磁性介質很容易被篡改、刪除而不留下任何痕跡。因此,對于計算機會計信息系統審計一般應采用就地審計或突擊審計的方式。在進行審計時,可以采用事先不通知操作員或程序員的情況下,把系統中正在運行的數據拷貝出來進行審查,以防操作員把數據篡改、刪除等,只有這樣,才能保證被審程序和數據的正確、完整性,也才能有效地降低審計風險。
(四)積極取得被審計單位的支持和配合
在進行計算機審計時,如果被審計單位的財務人員、操作人員不予配合,把存在磁性介質當中以及會計信息系統中的財務數據進行加密、修改、刪除、隱匿等,則審計人員很難進行審查,因此,審計時應積極取得被審計單位的支持和配合,來降低審計風險。
(五)建立健全會計電算化信息系統審計的標準和準則
原有的標準和準則有的已經不適用于會計電算化信息系統審計,這給會計電算化信息系統審計帶來了一定的風險,有關部門應采取必要措施,大力加強對計算機審計的,盡快制定出適用于會計電算化信息系統審計的標準和準則,來降低計算機審計風險。
(六)改進會計軟件的評審機制
篇6
目前,我國的審計工作基本是運用計算機審計,相關的管理人員將相關的數據輸入電腦,打印財務表格。這中間全部都是計算機的指令進行直接操作,這樣使一些傳統的數據都消失了,絕大部分的文字記錄都消失了。取而代之的是相關的磁盤和磁帶的相關的電子產品,這些物品都是是計算機只讀模式的,不能直接用肉眼識別。但是這些基本的數據信息,經常會被修改、刪除、隱匿以及轉移,造成原始數據的丟失,這樣就增加了審計風險,造成公司的管理的混亂。
2.會計內部控制系統不嚴密
在傳統的審計工作之中,我們進行內部控制都是看得見的,保留大量的原始數據。現在的會計內部控制系統之中,很多都是計算機指令完成的,使手工之中的相關技術都不是很適合,這也大的變化使管理人員不能及時做出調整。最明顯的例子。在現在的計算機的管理系統之中,大量的基本信息存儲在計算機之中,這樣會使許多的手工之中的管理人員出現職責不明,管理混亂的現象。此外,現在的審計工作都是依賴計算系統來完成,監察不好進行,這樣審計工作的相關信息是否正確,完全依賴計算機的內部控制系統。這樣更加容易給舞弊行為可乘之機,增加了審計工作的風險。
3.復雜化的審計方法
在原始的手工的審計工作的時候,相關人員可以根據具體情況進行順查、逆差或者抽查。同時審計工作的基本流程也就是審閱、核對、分析、調查以及證實的幾步,操作簡單,可操作性較強。但是現在使用計算機審查,相應的計算機審計技術就尤為重要,因為審計的工作的大部分都是有計算機進行完成,所以面對現在越來越多的審計信息,計算機可以高效的完成相關的審計工作,更加訊速和準確。在這個審計過程,計算機可以進行統計抽樣,抽查等各種審計手段,同時還可以進行比率分析等各種先進的設計手段。但是這就要求審計人員要了解相關的計算機審計技術的特點,理解會計內部審計控制的特點,如果技術掌握不成熟,就會造成相應的審計風險。
4.審計人員素質較低以及審計機制存在風險
目前我國相關的審計人員相關素質不是很高。面對計算機審計的更重復雜手段,管理人員不能進行很好的調控,相關的計算機審計知識不足,這樣會造成較大的審計風險。此外,現在的會計審計的相關軟件只追求會計的處理方法,但是缺乏對審計工作安全性的審計,缺失相關的內部評價體系,對審計工作的相關特征研究的也不是很精確。這些問題會使審計工作出現大量的問題,給審計工作造成巨大的問題和風險。
二、計算機風險防范策略
1.保證數據的完整性
審計部門的相關人員在進行審計的過程之中必須保證原始數據的完善性,同時要認真核對數據的真實性,同時要認真核對財務數據和結賬后的數據賬單,打印相關的紙質賬單和相關的配套的報表。此外相關的審計財務的人員,要對相關的原始數據進行備份和整理,促進相關的審計的程序更加合理化,保存相關的原始數據,保證之后一旦出錯有原始數據作為支撐。這樣才可以規避風險,促進相關的計算機審計完美的進行。
2.選擇適當的審計方法與技術
在現在的審計過程之中,我們的審計工作面臨著眾多的審計信息,我們必須根據不同的信息采用相關的審計方法,這樣即可以提高效率還可以規避風險。首先,在進行打印文件的時候,進行數據的輸入和輸出時,我們要認真仔細的核對,采用相關的復核、審計等手段。其次,在審計工作每時每刻都在進行時,運行相關的審計系統,要采用相關的會計信息系統,仔細審核會計內部控制系統可能出現的問題,尤其在相關的使用范圍、重點和方法等環節。這樣可以有效地降低風險和減少審計工作出現的問題。
篇7
2、審計內容、范圍的廣泛性
在對電算化會計信息系統的審計中,除了手工審計的內容外,還必須兼顧系統的開發和運行兩個方面,包括系統開發各階段的審查、系統應用程序的審查,如審查系統應用程序的處理功能是否符合會計制度和財經法紀的規定、能否正確完成各項業務的處理、程序控制是否恰當有效等。另外,除對電算化會計信息系統
進行事后審計、監督其合法性和正確性外,還提倡在系統的設計開發階段,審計人員要對系統的開發進行事前和事中審計。審計內容、范圍的廣泛性要求審計人員具備相應的知識和技能,而現有很多審計人員并不具備,計算機審計風險也不可避免。
3、內部控制的巨大局限性
現代審計的一大特征就是以測試被審單位的內容控制為基礎的抽樣審計,內部控制制度的恰當和否直接影響會計信息的真實性和準確性。在手工會計系統中,內部控制主要從兩個方面實施摘要:一是從組織形式上按財務部門經濟業務的性質分為幾個不同的職能組,并且各職能組的人員只負責某一特定的業務領域,也就是對工作人員進行適當的職責分離,各職能組之間互相牽制,不易出現錯誤和舞弊;二是在會計帳務處理組織程序上,除了要保證憑證、帳簿、報表按一定程序分由不同人員記錄、編制外,還要做到帳帳核對,帳證核對、帳實核對、帳表核對,并保證其一致性。從而在很大程度上保證經濟業務處理的合理性、合法性。但在電算化會計信息系統中,由于處理工具、信息載體、會計組織都發生了根本的變化,手工會計系統中原有的很多控制辦法都已失去意義。電算化會計和手工會計相比,內部控制環境更復雜,甚至有些環境因素超過制度的有效控制能力;建立嚴格的內部控制的成本要高得多;對內部控制的評價更為困難。內部控制的更大局限性使計算機舞弊有機可乘,增加了計算機審計風險。 4、會計軟件的大理想性
我國會計軟件從無到有、從單一業務處理到集成業務處理、從會計核算走向會計管理,確實取得了巨大成就但也有不足,非凡是針對審計,表現在下面二個方面摘要:一是很多會計軟件不具備雙向查詢功能。在對電算化會計信息系統的審計中,會計軟件應答應審計人員按照憑證一明細帳(日記帳)一總帳一報表的順序進行雙向查詢,同時還應答應分別對日記帳、明細帳、總帳的期初余額、本期發生額和期末余額進行雙向查詢。但是目前我國絕大多數的會計軟件的查詢設計都是單向的,可以實現如由總帳查詢明細帳,由明細帳查詢憑證等過程,但當需要反問查詢時往往很困難。二是會計軟件不預留審計測試通道。在審計過程中,審計人員為證實業務處理的實際過程。方法,往往需要進行測試,既虛擬一筆業務輸入會計軟件,檢查其結果和預期結果是否相符。這種方法可以有效地驗證核算過程是否和設計一致。但是假如審計人員不能及時消除這些測試的影響,就可能導致會計軟件系統數據的混亂。恰當的解決方法是在軟件設計時為以后的審計測試留下通道,既方便審計人員的隨時測試,也不會造成對整個系統數據的影響。但遺憾的是,幾乎所有的會計軟件都沒為審計測試預留通道。會計軟件的欠理想性加大了計算機審計風險。
5、審計取證的動態性
在很多大中型企業中,電算化會計信息系統天天都要結算成本和利潤,進行生產動態分析,以供管理人員進行決策參考。系統假如停止運行,會給企業帶來巨大的損失。因此,對電算化會計信息系統的審計,往往是在系統運行過程中動態取證。審計人員一方面要及時完成審計任務,另一方面又要不防礙和干擾被審系統的正常運行,這給審計工作帶來了一定的難度,也增加了計算機審計風險。
篇8
固有風險是指假定不存在相關內部控制時,某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生錯報或漏報的可能性。具體表現為:
1、電子化會計數據存在被濫用、篡改和丟失的可能性。手工系統中,紙質介質上的信息易于辨認、追溯,而在計算機系統中,由于存貯介質的改變,一旦用戶非法透過計算機系統的“防火墻”,極易破壞和修改電子數據,且不留蛛絲馬跡。計算機病毒、電源故障、操作失誤、程序處理錯誤和網絡傳輸故障也會造成實際數據與電子賬面數據不相符,增加了固有審計風險的可能性。
2、電子數據存在易于減少或消失審計線索的可能性。手工系統中,會計處理的每一步都有文字記錄和經手人簽名,審計線索清晰。但在計算機系統中,從原始數據的錄入到報表的自動生成,幾乎勿需人工干預,傳統的審計線索不復存在,為審計師追查審計線索帶來了極大困難。
3、原始數據的錄入存在錯漏的可能性。計算機系統下,大量的記賬憑證仍靠人工錄入,表面上機制賬、證、表的相互平衡可能掩蓋了人工錄入的錯漏。
(二)控制風險的特征
控制風險是指某一賬戶、交易類別或連同其他賬戶、交易類別產生錯報或漏報,而未能被內部控制防止、發現或糾正的可能性。具體表現為:
1、有意或無意使設置權限密碼實現職責分工的約束機制有失效的可能性。手工系統下,通過建立崗位責任中心達到內部控制的目的。在計算機系統下,一是通過劃分操作員的責任范圍,設置權限和密碼實現人員分工;二是通過軟件設計劃分若干子系統或功能模塊設置不同的責任中心。由于權限設置的重疊或跨責任中心越權設置,使這一控制措施有可能形同虛設。
2、網絡傳輸和數據存貯故障或軟件的不完善,會計數據出現異常錯誤的可能性。手工系統下,這種可能性幾乎不存在;而在計算機系統下,這種可能性難以通過有效的內控制度消除,必須靠先進的硬、軟件平臺以及會計軟件本身的自我保護,減少出現異常錯誤的幾率。就多數會計軟件看,對數據錄入的一致性和正確性控制,會計數據處理的安全性和連續性控制,軟件設計還是比較縝密的。但對集成化程度較高的企業級管理軟件,數據的共享性和一致性還不盡如人意。另外某些網絡平臺在實際應用中問題還是不少。
3、會計軟件對現金和銀行存款的收付業務缺乏實時有效的控制手段。對于企業內部發生的現金和銀行存款收付業務,多數軟件是通過人工填制記賬憑證,從賬務系統入口錄入到電腦,部分軟件雖通過出納系統實時地錄入,但可能與憑證數據不同步。對于銀行存款的收付業務,不僅數據難以實時同步,而且存在雙方數據不一致的可能性。
(三)檢查風險的特征
檢查風險是指某一賬戶或交易類別或連同其他賬戶、交易類別產生錯報或漏報,而未能被實質性測試發現的可能性。具體表現為:
1、會計軟件的更新換代,增加了歷史文件難以提取的可能性。對賬戶或交易的重大實質性測試往往離不開企業的歷史數據。由于軟件版本的更新、平臺的遷移,難以從往年賬套里提取這些歷史數據,迫使審計師不得不從浩如煙海的文檔中收集整理歷史數據。這不僅降低了審計效率,而且帶來了更多的檢查風險。
2、內部控制主要依賴軟件本身,增加了難以全面檢查測試的可能性。手工系統下,對內部控制的測試看得見、摸得著,而在計算機系統下,內部控制融會于軟件之中,肉眼無法覺察。這就要求審計師有必要設計一些正常有效的業務數據和一些例外業務數據(不完整、無效的、不合理的、不合邏輯的),來檢查測試軟件的控制能力。由于多數審計師不是電腦專家,要在有限的審計時間里設計面面俱到的測試數據是不現實的。為此,筆者認為對軟件本身的審計檢查可納入軟件開發或評審之中,審計師在審計實務中,重點是測試數據的完整性以及操作權限的分配和應用情況。機數據處理與手工處理有許多不同點,從而產生了新的審計風險,分析研究計算機環境下的審計風險無疑對審計電算化的開展和審計質量的控制都是很有意義的。
一、風險的特征
(一)固有風險的特征
固有風險是指假定不存在相關內部控制時,某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生錯報或漏報的可能性。具體表現為:
1、電子化會計數據存在被濫用、篡改和丟失的可能性。手工系統中,紙質介質上的信息易于辨認、追溯,而在計算機系統中,由于存貯介質的改變,一旦用戶非法透過計算機系統的“防火墻”,極易破壞和修改電子數據,且不留蛛絲馬跡。計算機病毒、電源故障、操作失誤、程序處理錯誤和網絡傳輸故障也會造成實際數據與電子賬面數據不相符,增加了固有審計風險的可能性。
2、電子數據存在易于減少或消失審計線索的可能性。手工系統中,會計處理的每一步都有文字記錄和經手人簽名,審計線索清晰。但在計算機系統中,從原始數據的錄入到報表的自動生成,幾乎勿需人工干預,傳統的審計線索不復存在,為審計師追查審計線索帶來了極大困難。
3、原始數據的錄入存在錯漏的可能性。計算機系統下,大量的記賬憑證仍靠人工錄入,表面上機制賬、證、表的相互平衡可能掩蓋了人工錄入的錯漏。
(二)控制風險的特征
控制風險是指某一賬戶、交易類別或連同其他賬戶、交易類別產生錯報或漏報,而未能被內部控制防止、發現或糾正的可能性。具體表現為:
1、有意或無意使設置權限密碼實現職責分工的約束機制有失效的可能性。手工系統下,通過建立崗位責任中心達到內部控制的目的。在計算機系統下,一是通過劃分操作員的責任范圍,設置權限和密碼實現人員分工;二是通過軟件設計劃分若干子系統或功能模塊設置不同的責任中心。由于權限設置的重疊或跨責任中心越權設置,使這一控制措施有可能形同虛設。
2、網絡傳輸和數據存貯故障或軟件的不完善,會計數據出現異常錯誤的可能性。手工系統下,這種可能性幾乎不存在;而在計算機系統下,這種可能性難以通過有效的內控制度消除,必須靠先進的硬、軟件平臺以及會計軟件本身的自我保護,減少出現異常錯誤的幾率。就多數會計軟件看,對數據錄入的一致性和正確性控制,會計數據處理的安全性和連續性控制,軟件設計還是比較縝密的。但對集成化程度較高的企業級管理軟件,數據的共享性和一致性還不盡如人意。另外某些網絡平臺在實際應用中問題還是不少。
3、會計軟件對現金和銀行存款的收付業務缺乏實時有效的控制手段。對于企業內部發生的現金和銀行存款收付業務,多數軟件是通過人工填制記賬憑證,從賬務系統入口錄入到電腦,部分軟件雖通過出納系統實時地錄入,但可能與憑證數據不同步。對于銀行存款的收付業務,不僅數據難以實時同步,而且存在雙方數據不一致的可能性。
(三)檢查風險的特征
篇9
固有風險是指假定不存在相關內部控制時,某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生錯報或漏報的可能性。具體表現為:
1、電子化會計數據存在被濫用、篡改和丟失的可能性。手工系統中,紙質介質上的信息易于辨認、追溯,而在計算機系統中,由于存貯介質的改變,一旦用戶非法透過計算機系統的“防火墻”,極易破壞和修改電子數據,且不留蛛絲馬跡。計算機病毒、電源故障、操作失誤、程序處理錯誤和網絡傳輸故障也會造成實際數據與電子賬面數據不相符,增加了固有審計風險的可能性。
2、電子數據存在易于減少或消失審計線索的可能性。手工系統中,會計處理的每一步都有文字記錄和經手人簽名,審計線索清晰。但在計算機系統中,從原始數據的錄入到報表的自動生成,幾乎勿需人工干預,傳統的審計線索不復存在,為審計師追查審計線索帶來了極大困難。
3、原始數據的錄入存在錯漏的可能性。計算機系統下,大量的記賬憑證仍靠人工錄入,表面上機制賬、證、表的相互平衡可能掩蓋了人工錄入的錯漏。
(二)控制風險的特征
控制風險是指某一賬戶、交易類別或連同其他賬戶、交易類別產生錯報或漏報,而未能被內部控制防止、發現或糾正的可能性。具體表現為:
1、有意或無意使設置權限密碼實現職責分工的約束機制有失效的可能性。手工系統下,通過建立崗位責任中心達到內部控制的目的。在計算機系統下,一是通過劃分操作員的責任范圍,設置權限和密碼實現人員分工;二是通過軟件設計劃分若干子系統或功能模塊設置不同的責任中心。由于權限設置的重疊或跨責任中心越權設置,使這一控制措施有可能形同虛設。
2、網絡傳輸和數據存貯故障或軟件的不完善,會計數據出現異常錯誤的可能性。手工系統下,這種可能性幾乎不存在;而在計算機系統下,這種可能性難以通過有效的內控制度消除,必須靠先進的硬、軟件平臺以及會計軟件本身的自我保護,減少出現異常錯誤的幾率。就多數會計軟件看,對數據錄入的一致性和正確性控制,會計數據處理的安全性和連續性控制,軟件設計還是比較縝密的。但對集成化程度較高的企業級管理軟件,數據的共享性和一致性還不盡如人意。另外某些網絡平臺在實際應用中問題還是不少。
3、會計軟件對現金和銀行存款的收付業務缺乏實時有效的控制手段。對于企業內部發生的現金和銀行存款收付業務,多數軟件是通過人工填制記賬憑證,從賬務系統入口錄入到電腦,部分軟件雖通過出納系統實時地錄入,但可能與憑證數據不同步。對于銀行存款的收付業務,不僅數據難以實時同步,而且存在雙方數據不一致的可能性。
(三)檢查風險的特征
檢查風險是指某一賬戶或交易類別或連同其他賬戶、交易類別產生錯報或漏報,而未能被實質性測試發現的可能性。具體表現為:
1、會計軟件的更新換代,增加了歷史文件難以提取的可能性。對賬戶或交易的重大實質性測試往往離不開企業的歷史數據。由于軟件版本的更新、平臺的遷移,難以從往年賬套里提取這些歷史數據,迫使審計師不得不從浩如煙海的文檔中收集整理歷史數據。這不僅降低了審計效率,而且帶來了更多的檢查風險。
2、內部控制主要依賴軟件本身,增加了難以全面檢查測試的可能性。手工系統下,對內部控制的測試看得見、摸得著,而在計算機系統下,內部控制融會于軟件之中,肉眼無法覺察。這就要求審計師有必要設計一些正常有效的業務數據和一些例外業務數據(不完整、無效的、不合理的、不合邏輯的),來檢查測試軟件的控制能力。由于多數審計師不是電腦專家,要在有限的審計時間里設計面面俱到的測試數據是不現實的。為此,筆者認為對軟件本身的審計檢查可納入軟件開發或評審之中,審計師在審計實務中,重點是測試數據的完整性以及操作權限的分配和應用情況。
二、降低審計風險的對策
(一)降低固有風險的對策
可以通過加強內外部安全機制、完善軟件功能、必進數據錄入技術,降低審計固有風險。
1、加強內外部安全控制機制,降低會計數據被濫用、篡改和丟失的可能性。首先是配備可靠的硬件設備,如增加防火墻設備,增加數據加密及路由加密設備,增加備份硬盤等。其次,獲取后續支持軟件,如會計軟件版本更新支持、加密算法更新的支持等;再次,建立安全的運行環境,為會計系統建立一個相對開放且安全級別較高的專用局域網,合理設置多層加密關口和防火墻;最后是完善管理制度。
2、完善軟件的設計,降低減少或消失審計線索的可能性。一是完善操作日記的設計,只有打印存檔后才允許刪除;二是設置強制備份,如跨期操作必須做備份;三是取消反過賬、反結賬功能,設計報表與賬套數據的關聯,并記錄報表已打印的次數;四是非經授權不可擅自修改報表的取數公式等。
3、改進數據錄入技術,降低數據錄入錯誤的可能性。一是設計磁性單據,盡量采取掃描錄入;二是對重要的原始憑證,利用多媒體技術掃描壓縮存盤;三是使用自動轉賬功能,保持數據的正確完整。
(二)降低控制風險的對策
一般來說,控制措施包括制度控制和程序控制,這里主要就權限密碼、降低數據異常錯誤和聯網傳輸問題,談一些具體措施。
1、分配設置責任中心和操作權限密碼,降低約束機制失效的可能性。首先是系統管理員為不同崗位的會計人員設置不同的操作權限和口令;其次是經授權后的各用戶應定期修改自己的密碼;最后是嚴格控制跨責任中心設置操作權限。
2、提高網絡通信效率和效果,降低軟件出現異常錯誤的可能性。一是選取性能優良的網絡操作平臺和網絡傳輸配套設備;二是選擇基于優良數據庫開發平臺的會計軟件;三是提高軟件使用者的計算機應用水平。
3、建立企業與銀行之間的網絡連接,降低數據不一致的可能性。對企業內部的收付業務借助磁性單據掃描錄入,依靠軟件的智能化同步自動生成記賬憑證;對與銀行間的業務,建立廣域網連接,實時傳送,保證數據同步和一致。
(三)降低檢查風險的對策
篇10
(一)審計主體方面的原因
1、審計人員的勝任能力有待提高。計算機審計是一項綜合性審計,涉及的知識面較廣,只依靠審計人員過去的知識和技能是難以勝任的。此時,審計人員不僅要掌握審計、會計、財務方面的知識,還需要掌握計算機硬件、會計軟件、信息處理技術及網絡等方面的知識。如果審計人員不同時具備這些知識,則在審計取證的過程中,在進行人機對話時,很可能出現審計人員所得與所想的會計信息存在偏差,而這當中也可能隱藏了重要的審計線索,從而加大了審計風險。
2、審計人員的風險意識有待加強。與傳統手工審計相比,計算機系統下的審計風險的內容或被賦予了新的內涵,或得到了進一步的補充,集中表現在計算機審計風險隱蔽性強、可控性差、破壞性大等特點上。審計人員必須對此引起足夠的重視,如果僅僅為了完成審計任務,而不考慮審計風險內容及其內涵變化,必然會導致審計質量不高或降低審計效率,從而無法客觀、公正地評價被審計單位審計期間的財政收支、財務收支的真實性、公允性,加大了審計風險。
(二)審計客體方面的原因
1、被審計單位內部控制制度不健全。在傳統手工會計系統中,內部控制通常表現為手工控制,這種控制形式責任明確也便于審計人員的調查和做出客觀評價。而在計算機系統環境下,內部控制的內容發生了變化,控制的方式由手工控制變為手工控制和計算機控制相結合。手工控制主要通過設置不同人員的權限來實現,由于現行會計軟件多為商品化軟件,被審計單位對程序的設計缺乏足夠的參與認識,這在一定程度上會影響到被審計單位在人員權限設置上的科學性。另一方面,計算機控制又受到程序設計的影響,程序審計的科學與否直接影響到計算機控制的效果。不法分子也可能通過篡改程序或嵌入非法程序來影響計算機控制的效果。再有,被審計單位的組織形式可能會因為環境的變化而不同程度地調整,在手工會計系統中,被審計單位可以根據需要適時地、輕易地實現對內部控制制度進行修改與完善;而在計算機系統環境下,就難以滿足這樣的要求。
2、被審計單位故意隱瞞審計所需信息。審計是審計人員運用專業知識和技能,依據審計準則對被審計單位相關資料進行鑒證的過程。因此,在審計過程中,審計人員必須取得被審計單位的配合才能更好地完成審計任務,實現審計目標。在審計取證過程中,如果被審計單位不積極提供充分的資料或隱瞞一些重要的變更事項,如會計程序的變更、人員權限的變更等,勢必會影響到審計人員所取得審計證據及其對審計證據評價的客觀性,從而加大了審計風險。
(三)審計環境方面的原因。隨著現代經濟的迅速發展,現代企業的經營規模越來越大,經營活動也越來越復雜。各種高新技術的產業化、各種金融創新工具的廣泛運用,使得企業的經營活動和財務報表編報和披露的復雜程度遠遠超出人們傳統的認識程度,特別當企業跨地區、跨國家經營時,其復雜程度就更高。
1、審計的內容不斷擴大。在計算機審計中,審計的內容不僅包括傳統手工審計環境的內容,還包括對會計軟件運行的評估和審核及對程序中安全控制措施的審查,如人員權限的設置等。審計內容和范圍的擴大對審計人員提出了更高的要求。
2、審計線索趨于隱蔽。在傳統手工審計環境下,審計線索都是以紙質形式存儲的,其中所包含的信息是可見的,需要時取得也較為便捷。而在計算機審計環境下,會計信息中有相當一部分是存儲在磁性介質中的,它們是看不見、摸不著的,需要時必須通過人機對話,從計算機信息系統中調出所需會計信息,才能加以閱讀。會計信息存儲的隱蔽性導致信息取得的復雜性,必然會加大審計人員審計風險。
3、會計軟件種類繁多。市場中會計軟件的品牌、版本眾多,審計人員不可能完全熟練地操作所有的會計軟件。同時,會計軟件的升級,也會影響審計人員對歷史數據的提取。軟件公司基于保密的考慮,一般也不會輕易地向審計或其他外部人員透露其軟件設計程序。這又勢必會影響到審計人員對被審計單位會計信息的生成與傳遞及內部控制的評估。
二、審計風險防范建議
(一)嚴格篩選風險較低的審計客戶。這一要求是指事務所在接受審計客戶時,必須對企業的經營環境、經營目標、企業管理層的經營理念和誠信程度以及企業的財務狀況和經營成果進行仔細的分析,以把握客戶的整體情況和審計風險的可控性。然后,選擇審計風險較低的企業作為審計客戶。這一要求并不表示在選擇客戶時,只能接受經營業績和財務狀況很好的企業,而表示只能接受經營者管理層較講誠信的企業作為審計客戶。企業的經營情況好壞不是決定是否接受審計委托的根本條件,因為不管企業經營情況如何,只要企業經營者能按照會計準則和披露要求客觀公允地反映其經營成果和財務狀況,審計風險是可以控制的;只有當企業管理層為了達到某種目的而執意歪曲財務報表時,審計風險就會變得難以控制,因而必須予以拒絕。
篇11
目前國際上對審計風險的定義,然而,沒有完全一致的,美國1983年審計準則、國際審計準則和中國注冊會計師審計準則這三者對誤報的定義不一致,,然則三者在審計風險表達的基本意義的大體上是一致的,他們指出審計風險主要在于審計人員在審計算著重大錯報或漏報的財務報表進行審計后,以為該重大錯報或漏報其實實際上沒有,因此,致使公告的審計意見產生了被審計單位實情不相符之危機。言外之意是審計人員對財務報表發表了不恰當意見的風險。事實上,這是一種狹義的審計風險的定義。其實,廣義上的審計風險定義更加符合審計風險的內涵實質,因為廣義的審計風險可以理解為審計人員和審計的審計師的可能性,風險來自于對被審計單位的經營風險。
在本質上,計算機風險下的審計風險是在一般環境下的審計風險,即審計人員的不恰當審計意見的可能性。在計算機環境下,因為有詳細審計目標之增加,審計范疇和目標的擴展,審計不能只是關于財政報表所具有龐大錯報進行剖析,還包括對報表生成的來源及來源的載體(即電子數據和信息系統是否存在重大錯誤)進行鑒證。計算機風險下的審計風險,可以概括為被審計單位財務信息的“生成或表述”中存在重大錯誤而沒有被發現,從而發表了不恰當審計意見的可能性。
二、計算機風險下審計風險特征
計算機環境下審計風險除了具備一般環境下審計風險的客觀性、無意性和可控性特征外,還具有信息化環境下的電子數據復雜性、信息系統間接性等特征。
1.計算機電子數據復雜性
計算機環境下的審計工作大部分面向被審計單位所具有之大量電子數據展開,這些電子數據容易被隨意更改而不落下一點蛛絲馬跡,因此倘若需要從各種渠道確認數據真實性,那么審計人員對電子數據進行采集、整理、轉換和分析的工作就必須考慮到電子數據的這些特征的復雜性。
2.計算機信息系統的間接性
計算機環境下的審計工作重要的一步是鑒證財務信息系統等真實性、可靠性和合法性進行。可是目前就審計技術和審計實踐這兩個層面存在棘手問題。于現在的審計技術來說,棘手問題在于難以實現直接通過查閱程序對計算機信息系統本身開展系統審計。從當前的審計實踐來看,棘手問題在于計算機信息系統的鑒證主要是審閱和分析相關文檔、座談、實地觀察以及虛擬數據測試等這些間接審計的方法,無法對數據直接通過審計,這樣勢必導致審計風險表現出含糊、朦朧的一面。
3.計算機風險下審計風險的客觀性
計算機風險下審計風險是具備的客觀性是不為審計人員等人的主觀意志所能避免的。如此看來,審計人員的作用主要是在審計過程中通過運用有效的方式,加上有效的審計程序,來壓制、減少或掌控審計風險,但是不能透徹地消除審計風險,這種客觀性是由審計工作的性質主導的。
4.計算機風險下審計風險的無意性
計算機風險下審計風險的造成不是審計人員故意造成的,而是審計人員主體上并沒有察覺到其中一些客觀因素導致的結果。這里強調的無意并不是審計人員有意所為,這與計算機舞弊案例是截然不同的。
5.計算機風險下審計風險的復雜性
計算機風險下審計風險的復雜性主要體現在審計過程的復雜性。審計是一個復雜的過程,因此,導致審計風險的過程比較復雜,加之審計環境因素,審計主體和審計對象,審計過程中的審計風險更復雜。
6.計算機風險下審計風險的可控制性
盡管計算機風險下審計風險復雜,客觀存在,人的主觀意志不能透切地消除審計風險,不能從源頭制止審計風險的產生。幸運的是,審計人員能夠經由各式各樣的有用方法來掌控風險,減少風險,使得審計風險造成的損失降到最低,因此,這種計算機風險下審計風險的可控制性之意義顯得尤為重要。
三、計算機審計與傳統審計的異同
(一)計算機審計與傳統手工審計的相同點
計這兩個由現達科技發展而產生區分點的兩種審計的類似之處主要為審計的目的、審計的經過、法律的約束。大體上來說,兩者的方向出發點類似,均有為在堅守我國立法機關制定、國家政權保證執行的規則的前提下保護所規定的監督審計客體所具有的財政收支的真實性、合法性和效益性的權利,它在維護國家經濟秩序起著重要的作用,保證公共資金的使用,促進我國經濟建設和保證國民經濟的健康發展發揮著重大的功用。計算機審計與手工審計的審計過程是相同的,國家審計的審計過程必須審核制,審計和審計報告三個階段,作為發表審計意見的依據是相同的。在實施審計的過程中,兩者在我國的法律約束是一樣的。
(二)計算機審計與傳統手工審計的不同點
計算機審計與傳統審計的區別在于不同的審計環境,思維方式的,審計的審計線索,審計測試的對象和范圍,審計技術,審計程序和審計風險,審計方法。這里主要講述審計風險的不同, 之所以計算機審計風險的構成成分就較為復雜,是因為其過程較為繁瑣。因而,操控計算機進行審計過程之時,其風險的組成因素不只是有傳統手工審計所具有的重大錯報與檢查之風險,尚且有數據收集風險。假使審計人員把持欠妥抑或沒有掌控此危機的實力,通過計算機審計中的應用產生的審計風險可以大大提高。
四、計算機環境下審計風險的表現和原因
(一)計算機環境下審計風險的表現
目前審計環境下審計風險的
表現主要為審計數據堆積且不停增長造成審計數據量大;審計客體的審計數據如異構、數據類型、數據單位、表達方式等的不一致性;審計效率較低;審計人員知識量小,經驗尚淺;審計人員對審計數據關注點不一樣造成的審計結果不同;目前審計人員對計算機技術還不能物盡其用,致使審計效率和質量低下。 (二)計算機環境下審計風險的原因
1.審計主體的原因
審計主體的原因主要指參與審計的審計人員和其所在的會計事務所所導致的審計風險的因素。審計主體的原因主要有審計過程中所選擇的審計方法不合適,審計人員自身能力和經驗相對有限,會計事務所組織體制的缺陷,內部治理水平的不足和質量控制體系不健全。
2.審計客體的原因
審計客體的原因主要指被審計單位和其提供的財務報表所導致的審計風險的因素。審計客體的原因主要有被審計公司單位治理機制的缺陷所導致的公司管理層可能產生的集體合謀使會計造假致使審計人員在一定的審計程序下無法發現這種舞弊欺詐行為。
3.審計環境的原因
除了審計主題以及審計客體以外的審計處境也是構成其風險的其中一個緣故,主要是指其風險的經濟,法律,社會環境等等要素。。審計環境的原因主要有審計活動中審計人員提交虛假的審計報告,由此損害了國家、委托人或第三方的切身利益,背負了審計應該承擔的提供準確的審計信息、維護公共利益的重大責任。這種情況下,審計人員終究要周到法律追究,因而,法律風險轉變成一定程度上的審計風險;經濟環境的因素則有市場經濟體制改革的深入和現代高科技的發展,公司經營的不穩定性增加,市場經濟的多元化和復雜多變的經濟環境使審計人員很難進行多角度、全方位、深層次的評估,得到明確的審計意見的難度也將加大,所以審計風險增大;社會環境的因素主要表現為社會公眾主觀認為已審財務報表不存有一絲一毫的差錯和舞弊,可是審計人員發表的審計意見不是提供絕對的保證而是提供社會公眾相合理的保證。
五、計算機環境下降低審計風險的對策
(一)提高審計軟件的質量
在高度計算機化的信息系統中,磁盤、光盤或磁帶上存儲著大量的被審計的信息和數據,審計證據以及有關資料必須通過計算機程序方能成功獲取,即是需要通過相關計算機審計軟件獲得數據信息。以前開發應用軟件時容易忽略病毒、硬件故障和未經授權者的入侵等因素,這些因素會影響審計工作的正常進行。作為審計過程中審計軟件,可以幫助審計人員應對處置會計單位的首要審計數據。于是,為了保證其效率以及質量,創新研發實際審計工作皆能夠運用的普遍運用和專業使用的審計軟件以及提升審計軟件的質量是必需。
(二)加強會計軟件的評審機制
目前我國的會計軟件的評審機制不夠成熟,主要是交給財政部門處理,這樣單一的會計軟件的評審機制勢必會為工作帶來一定的審計風險。所以,我們需要加以改進會計軟件的評審機制和促進完善會計軟件的評審機制。不妨在財政部門評審的會計軟件之前,組織審計專業人士對會計軟件評價測評并作出客觀的論斷,然后由財政部門在參考測評結論的前提下再做出對該會計軟件評審的決定。
(三)確保審計數據的完整性
倘若審計工作者采用難以合乎事宜的數據收集方法,未能確保所采擷收集審計數據的完整性,那么會為其造成風險埋下伏筆。因而唯有計算機系統數據無所缺失方可以保證審計質量的有效性。為確保所采集數據的準確性和完整性,審計人員在審計時必須注意在確認被審計單位所提供的數據真實的前提下確認采集到的數據是否屬于審計時間范圍內的財務數據等相關事項。
(四)選擇合理的審計方式
傳統的審計對計算機會計系統采取分離審計或純手工審計的方式,致使計算機系統的一系列控制弱點被忽略,所收集的審計證據殘缺不全,甚至無法實施有效的審計。因此迫切需要改進審計方式。另一面,審計人員在審計過程中起著最關鍵的作用,而審計方式的選擇取決于審計人員的計算機審計技能。要提高審計效率和效果,審計人員需要選擇合乎時宜的審計方式。
(五)配置合理的審計人員
之所以需要合理配置審計人員,是因為現在計算機審計要求頗高,技術性強,降低和減少審計風險,保證審計工作的正常進行。信息技術、業務需求之類的要求必然對計算機系統審計有顯著的影響,再加上較為復雜繁瑣的會計電算化系統,因此對計算機審計專業人員的合理配置不可忽視。
(六)大理發展計算機審計教育
我國的各大相關計算機審計院校應該著力發展計算機審計教育,學校應該提供學生更多實踐操作的機會,讓學生能再實踐中了解和體會審計工作,從操作計算機審計軟件的過程中打好有關計算機審計方面的理論基礎,使得他們更全面地對計算機審計有所認識,同時,還需要加強對現有審計人員知識的計算機審計培訓,在全方位、多角度、深層次的培訓過程中加強他們的基本的計算機技能和拓寬他們與時俱進的計算機審計知識。此外,在加大對審計人員的培訓力度的基礎上還需要提高審計人員的道德水平和業務素質。審計風險之掌控行動終究要依靠人的主觀能動能動性,培養人才是降低審計風險的最有力的途徑,因而需要:一方面,不斷加強現有工作人員的道德修養;另一方面,重視對審計人員在審計方面的知識、信息技術、網絡技術及相應的安全控制技術方面的后續培訓,不斷更新和拓展其知識面。
篇12
1 當前信息環境下計算機審計的風險分類
研究發現,目前我國企事業單位的計算機審計在風險承擔上的影響體現在兩個方面:
1.1 信息環境下的計算機審計本身具備的環境風險
對于計算機審計的固有風險,其涵蓋的因素比較多,除了在傳統審計方面,還存在計算機信息系統方面的固有風險影響因素。首先計算機審計本身就具備一定的環境,具體就是指其所處的風險,這種環境方面的風險就是指計算機系統由于本身處于網絡環境中,這種環境自身就存在一定的風險,這種風險是基于一定的計算機設備方面,計算機的信息系統存在的風險也就是審計過程所具有的風險,一般來說,對于審計L險方面的控制只能是針對于風險的評估過程,但是卻不能夠有效的控制或者抵制這種類型的風險,計算機的信息系統的風險一般包括軟件方面的風險以及硬件方面的風險。例如一些企事業單位的財務資料一般都是存儲在計算機設備當中,尤其是存儲在計算機硬件磁性材料的內部,由于計算機硬件材料容易受到外界的損壞,例如溫度沖擊、濕度過大、灰塵堆積、電壓較高、外界的震動等等因素,這些外界因素很容易導致計算機設備的故障以及損壞,計算機設備一旦發生損壞就直接使得審計資料發生突發性的改變,甚至是直接丟失,所以說這種固有的風險就是計算機存儲設備的不穩定性、不安全性以及較差的保密性;一些企事業單位的會計系統在軟件設計過程中就存在一定的系統漏洞,這主要是由于程序的本身設計就存在一定的漏洞,或者說由于會計系統的管理人員不具備專業的管理水平,不能滿足合理的使用會計管理系統,所以引起一些企事業單位的數據處理發生異常,或者是出現應用錯誤;最后一點就是計算機病毒的威脅,目前網絡環境中存在各種類型的病毒,一旦計算機感染病毒就很容易導致數據的丟失。一些企事業單位的會計信息系統由于保持聯機狀態,進而保證數據庫管理的網絡化,這種狀態就導致信息系統處于一種非封閉的狀態,除了病毒意外,黑客入侵也能夠一定程度上威脅到信息系統的安全。
1.2 信息環境下的計算機審計控制過程的風險
對于一些企事業單位來說,其計算機審計控制過程上的風險就是意味著信息系統的內部控制方面,內部控制如果不能夠做到嚴密很容易導致風險的發生。這種風險主要是屬于審計過程方面的風險。對于一些企事業單位的審計過程來說,要實現對其的信息化管理,就需要嚴格地進行內部的控制,這種控制一般就體現在人與人之間要形成監督,人與計算機系統之間也要形成一定的監督,而且以對企事業單位的會計系統的控制尤為重要。具體來說,這種審計過程控制方面的風險影響因素主要體現在可能導致信息系統的數據發生篡改,而這種因素屬于典型的人為因素,其引發的問題使得審計人員不得不面臨更加復雜的環境。如果發生這種現象,即便是審計資料發生了大幅度的改變也很難以留下明顯的痕跡,實際上對于企事業單位來說,由于會計系統具有典型的電算化特征,人為篡改數據的痕跡并不明顯,如果數據量很大則更加隱蔽。在計算機會計信息系統中,審計人員所審計的一些數據資料一般都是存儲在硬盤等磁性介質上,例如會計電子憑證、收費項目電子表、收費金額統計表、收費數量表以及資金匯總報表等等,這些電子化的信息不僅僅容易被更改或者是隱匿,同時也可能被復制、轉移以及銷毀等等。如果會計系統被人為地嵌入一些非法程序,而計算機又不具備一定的自我檢查功能,就只能夠按照所設定的非法程序運行,以錯誤的方式來進行所有業務的處理,這樣就無法判定數據的真實性,無法適用于傳統的審計中的追蹤審查,只能靠審查人員的判斷以及經驗。
2 降低信息環境下計算機審計的風險
很多的企事業單位最熟悉、信賴的依然是傳統的審計模式,不僅僅是因為會計業務的習慣問題,也是出于對審計的安全方面考慮。在計算機審計方面大多處于一個起步的階段,在計算機審計的宣傳以及推廣方面仍然需要進一步的提高。我們在面對計算機審計,必須要做到:
2.1 進行全面風險管理
企事業單位最重要的一種核心競爭能力便是計算機審計風險管理能力,計算機審計帶來的改變必然會影響企業的現有的風險約束,在風險管理的理念以及風險管理的整個流程、組織結構都會受之影響,進而隨之改變。因此,在進行計算機審計的過程中一定要明確風險趨勢、做好準備工作,保障風險管理的戰略位置。此外,風險管理要建立全面的理念,組織獨立的風險管理團隊,對日常審計工作實行實時風險監測,實現風險有效預警。
2.2 培養專業計算機審計人員
面對逐漸深化的審計過程改革,要想提高自己的審計過程的科學性就必須建立一流的計算機審計隊伍人才。應注重審計人員的風險教育以及風險培訓,提高審計人員對風險管理的理解力和執行力。要想在金融創新潮流中更好地增加自己的審計業務,提高風險承擔能力,就必須培養自己的精英審計人才,擁有能夠進行計算機審計風險管理的專業化員工。只有重視人才的培養、重視審計專業的素質培養,才能使自己融入計算機審計這一新興領域,為計算機審計風險承擔提供更好的人才支持。
3 結束語
計算機審計給企事業單位在審計風險承擔上同樣帶來了強大的沖擊。在信息環境對審計風險承擔的影響上,計算機審計是審計蓬勃發展下的一種產物,可以很好的促進審計過程的市場化,在降低審計成本的同時降低審計過程面臨的風險。只要合理充分的利用計算機審計,就能夠大大的推動審計改革。
參考文獻
[1]陳哲.試論我國計算機輔助審計所面臨的問題及對策[J].吉林省經濟管理干部學院學報,2003(6).
[2]許華.審計風險及防范對策探析[J].時代經貿,2008(6).
[3]管勇,楊少梅,尚濤.計算機環境下審計面臨的挑戰與對策[J].衛生經濟研究,2005(7).
[4]郭宗文,張紅衛.計算機審計[M].北京:清華大學出版社,2005.
[5]盛學紅.規避審計風險提高審計質量[J].學術縱橫,2009(5).
[6]趙春青.淺論網絡環境下會計信息系統面臨的風險及防范措施[J].財務與會計,2005(9):47-48.
篇13
一、計算機系統與計算機系統審計風險
計算機系統環境相對于手工會計環境,由于其數據處理的集中程度高、處理速度快、信息儲存方式、儲存媒介特殊,給審計工作帶來了獨特的風險。
(一) 計算機系統的特征
1.計算機環境下,信息處理過程中的錯誤有短時間內重復出現的可能。較之手工會計,會計電算化系統處理的集中化,加之計算機運算的高速性,計算機會計信息系統的輸入過程比手工系統多了將人可讀的數據轉換為機器可讀代碼形式,使得其處理結果發生錯誤的可能性大大提高,而一旦發生錯誤,就往往在短時間內產生連鎖反應,使得多種文件、賬簿,以至整個系統失真。如果發生錯誤的原因在于系統受到攻擊或系統程序、應用軟件出現差錯,則計算機就會連續重復執行同一錯誤操作,而不易被察覺。
2.計算機環境下,內部控制的功能發生改變。計算機環境改變了會計憑證的形式。在電算化會計系統中,會計和財務的業務處理方法和處理程序發生了很大的變化,各類會計憑證和報表的生成方式、會計信息的儲存方式和儲存媒介也發生了很大的變化。原先反映會計和財務處理過程的各種記賬憑證、匯總表等書面形式的資料減少了。由于網上辦公、無紙化辦公等的推行,每一項業務的有關信息由業務人員直接輸入計算機,并自動記錄,原來在核算過程中進行的各種必要的核對、審核等工作,有相當一部分變為由計算機自動完成了。原來書面形式的各類會計憑證轉變為以文件、記錄形式儲存在磁性介質上。因此,電算化會計系統的內部控制與手工會計系統的內部控制制度有著很大的不同,控制的重點由對人的控制為主轉變為對人、機控制為主,控制的程序也應當與計算機處理程序相一致。
3.計算機環境下,信息的安全性要求更高。手工條件下,可以將重要的數據文件或記錄在紙上的重要信息,保存在安全性較高的物理場所,如企業的保險柜里,以保證數據的安全。在計算機環境下所有的信息都存儲在磁、光或計算機硬盤中,而這些存儲介質發生損壞的可能性較之賬簿等紙質工具發生損壞的可能性大大增加。
4.計算機環境下,舞弊的防范更難。計算機運行速度快、精度高,但同時使系統喪失了人類所具有的對不合邏輯、不合理的以及例外事項的判斷和處理能力,因此,要求在數據處理過程中增加多種檢查控制。在計算機環境下,數據被擅自篡改也不易留下線索。
(二)計算機系統的審計風險
1983年美國注冊會計師協會的第47號《審計準則說明書》 、《審計風險和重要性》中將審計風險模型確定為:審計風險(AR)=固有風險(IR)×控制風險(CR)×檢查風險(DR)。這一觀點被世界會計師聯合會及包括我國在內的世界多數國家的審計職業界所接受。
審計風險會因客戶的會計電算化和內部控制的程序化而呈現出新的特征,審計師就應重新規劃審計程序,采取相應的對策和輔助審計軟件進行審計。
1.計算機系統的固有風險。固有風險是指假定不存在相關內部控制時,某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生錯報或漏報的可能性。具體表現為:
一方面,計算機系統的安全性是影響固有風險的根本因素。大部分電算化系統設計成客戶服務系統,它有巨大的容量和信息存儲量。這些系統一般整體性很強,利用企業資源規劃系統保證程序的連續性。如果系統失敗,整個公司也很有可能面臨破產的命運。如果沒有一套包括計算機系統在內的完整的風險管理系統,公司就要承擔高風險。主要包含: 計算機系統的物理安全;計算機程序的合理性;網絡信息通訊的安全性三方面。
另外,電子化會計數據的安全性問題是影響審計固有風險的關鍵因素。手工條件下,可以將重要的數據文件或記錄在紙上的重要信息保存在安全性較高的物理場所,如企業的保險柜里,或者通過不相容職務的內部牽制保證數據的安全。在計算機環境下所有的信息都存儲在磁、光或計算機硬盤中,要確保硬件遭到破壞時信息的安全,防止未經授權的侵入破壞或篡改計算機應用程序。
2.計算機系統的控制風險。控制風險是指某一賬戶或交易類別或連同其他賬戶、交易類別產生錯報或漏報,而未能被內部控制防止、發現或糾正的可能性。具體表現為:
首先,訪問權控制的不嚴密有可能導致虛假的會計數據。訪問權控制的功能是在數據信息和非法訪問者之間建立一道安全屏障。未經授權的訪問計算機系統,工作人員的訪問密碼泄露,越權訪問、修改或刪除會計數據等情況如果不能被置于訪問權控制之下,都會極大地損害會計數據的安全性、真實性。
其次,網絡傳輸和數據存貯故障或軟件的不完善,有使會計數據出現異常錯誤的可能性。相對手工系統,計算機系統下這種風險難以通過有效的內部控制制度消除,必須靠先進的硬、軟件平臺以及會計軟件本身的自我保護,減少出現異常錯誤的幾率。大多數會計軟件能對數據錄入的一致性和正確性以及會計數據處理的安全性和連續性進行控制,但對于集成化程度較高的企業級管理軟件來說,數據的共享性和一致性還不盡人意。
計算機系統下,內部控制包括對人和機器兩方面的控制,而且以對機器控制為主。計算機內部控制的框架如圖1:
從圖1可以看出,計算機系統內部控制由一般控制和應用控制構成。其中,一般控制是指對計算機會計信息系統的組織、開發、應用環境等方面進行的控制,主要包括組織與管理控制、系統開發與維護控制、系統操作控制、系統安全及文檔控制等。應用控制,是指對計算機會計信息系統中具體的數據處理功能的控制。應用控制有特殊性,不同的應用系統有不同的控制要求,但應用系統一般都包括會計數據的輸入控制、處理控制和輸出控制三個方面。一般控制的缺陷產生的危害極大,會影響應用控制的有效性,這是由一般控制的基礎地位所決定的。另外,新的計算機信息系統技術的應用,如微機――主機連接系統、分散的數據庫系統、終端處理系統及直接提供信息給可見系統的企業管理系統等,增加了計算機信息系統整體復雜性和它們所影響的具體應用的復雜性。
3.計算機系統的檢查風險。檢查風險是指某一賬戶或交易類別或連同其他賬戶、交易類別產生錯報或漏報,而未能被實質性測試發現的可能性。檢查風險是審計人員唯一可以自主確定和控制的風險。
對賬戶或交易的重大實質性測試往往離不開企業的歷史數據,隨著會計法規的完善和計算機技術的發展,會計軟件在不斷的更新,歷史數據取得的難度將會加大。由于軟件版本的更新、平臺的遷移,難以從往年帳套里提取這些歷史數據,迫使審計師不得不轉向大量的歷史文檔中收集整理數據。這一方面降低了審計效率,更重要的是帶來了更高的檢查風險。
另外,由于目前大多數審計人員只是會計、審計方面的專家,要求審計人員在有限的時間設計很全面的測試數據是不現實的。再加上審計軟件設計中本身的缺陷也會增大檢查風險。
二、計算機系統審計風險的防范
(一)準確評價計算機系統的固有風險
1.評估計算機設備的物理安全性。對于計算機系統的控制,審計人員應了解系統設置是如何依賴這些硬件控制的;操作系統如何利用這些硬件控制;系統如何報告檢查出的錯誤,以及糾正錯誤的程序。了解計算機系統環境存在的潛在威脅,如企業對水、火災的防范措施,有沒有配備合適的穩壓器,不間斷電源(UPS)等降低電源波動帶來的影響,對所有的訪問尤其是非法入侵是否都記錄在計算機日志里,管理人員采取了什么措施應對非法入侵,計算機系統是如何防范計算機病毒,有沒有具體的應急措施應對意外情況的發生等。
2.評價電子數據的安全性。為了保證信息的安全性,一方面要注意計算機硬件的安全,更主要的是要防止未經授權更改或刪除電子數據。所以,要做到:信息的訪問權只給單位中指定的人;對會計數據修改或刪除的權力只賦予被授權的人;計算機系統能夠辨認訪問者的訪問權限;單位的信息安全部門應密切監視來自外部的惡意攻擊,然后定期以報告的形式向信息安全的負責人報告;電子數據要有備份,備份數據能得到妥善保管。
3.檢查信息通訊的安全性。為保證一臺計算機與其它的設備,如終端或其他的計算機系統之間信息傳輸信息的完整性與真實性,被審計單位至少要對傳輸的信息加密;接收信息的應用程序與發送信息的線路分開; 接收到信息后有信息反饋檢查,特殊信息要依靠調制解調器解調傳輸;企業的內部信息通訊系統與國際互聯網之間要有防火墻,以防來自互聯網上的惡意攻擊。
(二)合理評估計算機系統的控制風險
對于控制風險的評估主要應集中于對組織管理控制風險,訪問權控制風險,程序開發、數據修改控制風險的合理估計。
1.組織管理控制風險的識別。組織控制的關鍵在于職責的分工。審計人員應檢查被審計單位的組織結構、職權和責任的分配情況,如程序與開發系統、計算機操作、輸入數據的控制等職責,在可行的情況下是否予以分離,職工定期輪換工作崗位制度是否完善等。目的在于確定職責分工是否能夠提供有力的內部控制。注冊會計師應判斷組織管理控制的強弱,對由于職責分工不夠而產生的風險作出合理評價。
2.電算化系統開發控制。對于首次接受審計的企業,對電算化系統開發控制的審計,審計人員應主要了解系統開發前是否有計劃,開發系統是否得到授權,是否有相應的程序加以控制等。
3.計算機設備、信息和程序訪問權控制可能的缺陷。審計人員要分兩個層次了解訪問控制:訪問控制的程序整體執行情況及人事和工資管理部門執行內部控制的情況。具體要了解公司是否使用了訪問控制軟件,其能夠提供哪些功能,公司有沒有專門負責數據安全的部門,對工資水平修改的程序、員工花名冊的變化是否只是由人事部門決定,人員變動是否得到了及時記錄等。
(三)努力控制檢查風險
檢查風險是審計人員唯一可控風險,在這個階段,審計的任務是在準備階段初步風險評估的基礎上,對內部控制進行測試,評價控制風險,決定可以接受的檢查風險。將檢查風險控制在可接受范圍之內。對于內部控制的測試主要包括對數據輸入控制的測試、數據通訊和數據處理控制的測試和數據輸出控制的測試。
1.數據輸入控制的審計。審計人員在對數據輸入控制進行審計時,應注意檢查經濟業務的發生是否有適當的批準文件,以保證數據輸入的合規性;同時應注意檢查所輸入數據的正確性,完整性,數據是否被不正確地添加、復制或修改等情況。主要進行輸入有效性測試,包括字符域控制的測試,信息合理性測試,數據范圍控制的測試,信息有用性的測試,信息完整性的測試等。
2.數據通訊和數據處理控制的審計。審計人員對輸入過程控制進行審計時,應注意檢查經濟業務數據的來源是否可靠,資料是否完整、準確,有沒有可能被篡改過;檢查數據的處理方法是否正確,處理的步驟、使用的程序、結果的保存是否正確無誤,等等。主要進行數據處理的有效性測試,采用的技術方法有綜合抽查設備法(ITF),標簽與跟蹤法或借助審計軟件。
3.數據輸出控制的審計。審計人員應注意審查輸出的計算機處理結果是否準確無誤,輸出的結果是否被及時、按照規定提供給有關的人員或部門,是否有必要的手續和記錄,等等。主要進行控制總數,數據的勾稽關系和輸出的合理性檢驗。
在以上審計程序中,輸入有效性測試、處理有效性測試、控制總數,數據的勾稽關系和輸出的合理性檢驗任何一項存在重大缺陷,審計人員要評估控制風險為高風險。
(四)綜合運用適當的審計方法
一般來說,審計人員所采用的審計方法主要有:面談法、問卷調查法、審閱法、流程圖法、測試法等。為了有效防范計算機系統的審計風險,結合計算機審計的特點,應用合理的方法或方法的組合,才能取得實效。
1.面談法。面談法具有簡單方便之優點,在內部控制審計中經常被采用。審計師為了獲得一次高效的面談,應該與被訪問者相互配合和信任。在對一般控制審計時,可以通過與被審單位的領導與職工交談,向電算部門及各業務部門的人員詢問了解有關的職責分離的控制是否得到執行。在對系統開發控制和程序修改控制審計時,向有關參與系統開發人員了解有無用戶代表和內審人員參加,參加了哪些工作,現有的信息系統能否符合用戶的要求等。另外還可以通過面談了解內部控制的經濟性,重大的錯誤是否得到及時、恰當的糾正,輸出的資料是如何處置的,有無健全的檢查、保管、分發制度等。
2.問卷調查法。問卷調查法節省時間,調查面廣。審計人員可以根據需要調查的情況設計好調查問卷,獲取信息,以判斷有關的內部控制是否存在、可靠,有無得到執行。在內部控制審計的各個程序都可以使用。使用這種方法要注意問卷調查表中問題的性質、提問技巧、度量的尺寸或調查表的布局設計。
3.審閱法。審閱法是指審計人員通過仔細審查和翻閱有關的書面文件或記錄,借以查明資料及所反映的記錄是否公允、正確、合法、合規,從中發現錯弊或疑點。審計人員在一般控制審計時,通過審閱內部審計人員留下的系統開發的工作底稿,了解系統開發的控制。通過審閱系統測試的數據及結果,檢查系統在試運行階段的運行情況,有無被修改,系統在正式投入使用前是否經過了最后批準。通過審閱有關系統訪問控制的計算機日志,了解是否只有被授權人才可以訪問特定程序或信息,對使用錯誤密碼企圖進入系統的情況,系統都作了記錄并有專人調查。
4.流程圖法。流程圖在審計活動中發揮著越來越重要的作用。利用流程圖,可以對被審計的信息系統結構有更深刻的理解,從而更有效地分析系統的運行過程。在計算機審計中,流程圖可能是現成的,審計人員應該確定被審計單位提供的流程圖是否正確,防止被審計單位造假。有時被審計單位提供的流程圖不夠詳細或者沒有現成的流程圖,審計人員應要求被審計單位提供源程序,據此得到流程圖,確定源程序中設置了哪些控制措施。對內部控制審計時,使用流程圖法可以幫助審計人員分析和設計內部控制。審計人員還可以利用流程圖找出系統中的薄弱環節。
5.測試法。測試貫穿于計算機審計的整個過程,是計算機審計的重要方法。是審計人員收集證據的重要技術。測試法是從計算機輸入開始,跟蹤某項業務直至計算機輸出,以檢驗計算機應用程序、控制程序和系統可靠性的一種方法。在計算機環境下內部控制的審計中,使用測試法檢查訪問權控制的有效性,使用測試法檢查輸入有效性控制的執行情況,如對工資處理應用程序中輸入數據的數據類型、數據有效性、數據范圍、邏輯關系、數據加工的內部控制的測試。
【主要參考文獻】
[1] 石愛中,胡繼榮.《審計研究》.經濟科學出版社,2002.
[2] 楊占芳. “計算機信息系統的內部控制”. 中州審計,2004年第8期.
[3]肖忠. “淺談計算機系統審計的證據收集方法”. 計算機與現代化,2004年第8期.
[4] 劉汝焯等. 《計算機審計技術和方法》. 清華大學出版社, 2004.
[5] 葉陳剛,李相志. 《審計理論與實務》. 中信出版社. 2005.
