引論:我們?yōu)槟砹?3篇計算機審計風險范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
(二)審計對象增加、范圍擴大帶來的審計風險。計算機審計增加了現(xiàn)行信息系統(tǒng)的審計和電子數(shù)據(jù)的審計,已突破傳統(tǒng)財務審計的范圍。以報表評價為主要目標的財務報表審計,因?qū)崟r網(wǎng)絡的存在,往往同業(yè)務審計、經(jīng)營審計和管理審計密不可分。包羅萬象的大審計,使審計風險來源增加。被審計單位網(wǎng)絡、信息系統(tǒng)及數(shù)據(jù)庫、應用軟件的不穩(wěn)定性,電子數(shù)據(jù)的易被改變、被復制和被消除性,以及信息系統(tǒng)目前難以實現(xiàn)直接查閱源程序等,必然帶來新的審計風險要素。
(三)掌握計算機審計技能的人員不足帶來的風險。計算機審計要求審計人員必須熟悉計算機信息系統(tǒng)運作、數(shù)據(jù)采集與分析、數(shù)據(jù)挖掘等技術與方法。能夠面對海量的數(shù)據(jù),尋找到審計線索突破口:隨時根據(jù)被審計單位的數(shù)據(jù)接口特征,選擇滿足需要的數(shù)據(jù)采集軟件類型,編制各種審計模塊:針對采集的數(shù)據(jù)進行篩選、清理和分析,快速準確地找到并驗證各種審計疑點。而現(xiàn)階段,要使審計人員普遍具有較高的計算機審計能力,還需要一個過程。開展計算機審計,倘若人員沒有足夠的技能,將無從下手:倉促上機,無疑會帶來檢查風險的增加。
(四)審計準則缺失帶來的審計風險。計算機信息技術環(huán)境下,對財政收支、財務收支審計,不能僅以出具的紙質(zhì)資料為依據(jù),還必須對其生成的信息系統(tǒng)及數(shù)據(jù)庫和財務軟件的可靠性、電子數(shù)據(jù)的準確性等進行鑒證,否則,就會形成假數(shù)真審。所以非常需要制定新的審計準則,有針對性對計算機審計工作做出全面系統(tǒng)的補充。而眼下。用現(xiàn)行審計準則中界定的具體審計目標,來指導計算機審計就顯得比較狹窄,無法涵蓋全部待審內(nèi)容,包括與被審計單位計算機廣泛應用不相協(xié)調(diào)的內(nèi)部控制,也就無法用其分析審計風險的確切來源。審計準則的缺失會使審計工作失去權(quán)威標準,審計風險自然加大。
二、控制計算機審計風險的對策
(一)掌握被審計單位對計算機信息系統(tǒng)的控制情況,制訂完整、詳細、合理的審計方案。編制審計實施方案的重要部分就是審計重要性水平的確定和可以接受審計風險的評估。計算機審計尤其要通過檢查、查詢、觀察等方法對被審計單位基本情況和計算機信息系統(tǒng)的運行狀況、內(nèi)部控制進行調(diào)查。除了了解常規(guī)審計中被審計單位業(yè)務性質(zhì)、組織結(jié)構(gòu)、管理者的內(nèi)部控制、管理措施、以前年度審計情況等外,重點通過與被審計單位有關業(yè)務、計算機及管理人員座談,交流溝通,索取和分析文檔資料,對其計算機信息系統(tǒng)硬件設備、系統(tǒng)軟件、應用軟件、經(jīng)營管理工作、戰(zhàn)略需求與規(guī)劃等進行審計調(diào)查,了解財務系統(tǒng)、業(yè)務系統(tǒng)的安全性,確定計算機信息系統(tǒng)層和電子數(shù)據(jù)層的重要性水平,分析和初步評價可接受的審計風險、審計執(zhí)行階段的風險控制責任的落實,編寫能夠符合被審計單位實際的、全面的審計方案,并分解好審計工作,使各個審計崗位職責明確。
篇2
1、審計人員的勝任能力有待提高。計算機審計是一項綜合性審計,涉及的知識面較廣,只依靠審計人員過去的知識和技能是難以勝任的。此時,審計人員不僅要掌握審計、會計、財務方面的知識,還需要掌握計算機硬件、會計軟件、信息處理技術及網(wǎng)絡等方面的知識。如果審計人員不同時具備這些知識,則在審計取證的過程中,在進行人機對話時,很可能出現(xiàn)審計人員所得與所想的會計信息存在偏差,而這當中也可能隱藏了重要的審計線索,從而加大了審計風險。
2、審計人員的風險意識有待加強。與傳統(tǒng)手工審計相比,計算機系統(tǒng)下的審計風險的內(nèi)容或被賦予了新的內(nèi)涵,或得到了進一步的補充,集中表現(xiàn)在計算機審計風險隱蔽性強、可控性差、破壞性大等特點上。審計人員必須對此引起足夠的重視,如果僅僅為了完成審計任務,而不考慮審計風險內(nèi)容及其內(nèi)涵變化,必然會導致審計質(zhì)量不高或降低審計效率,從而無法客觀、公正地評價被審計單位審計期間的財政收支、財務收支的真實性、公允性,加大了審計風險。
(二)審計客體方面的原因
1、被審計單位內(nèi)部控制制度不健全。在傳統(tǒng)手工會計系統(tǒng)中,內(nèi)部控制通常表現(xiàn)為手工控制,這種控制形式責任明確也便于審計人員的調(diào)查和做出客觀評價。而在計算機系統(tǒng)環(huán)境下,內(nèi)部控制的內(nèi)容發(fā)生了變化,控制的方式由手工控制變?yōu)槭止た刂坪陀嬎銠C控制相結(jié)合。手工控制主要通過設置不同人員的權(quán)限來實現(xiàn),由于現(xiàn)行會計軟件多為商品化軟件,被審計單位對程序的設計缺乏足夠的參與認識,這在一定程度上會影響到被審計單位在人員權(quán)限設置上的科學性。另一方面,計算機控制又受到程序設計的影響,程序?qū)徲嫷目茖W與否直接影響到計算機控制的效果。不法分子也可能通過篡改程序或嵌入非法程序來影響計算機控制的效果。再有,被審計單位的組織形式可能會因為環(huán)境的變化而不同程度地調(diào)整,在手工會計系統(tǒng)中,被審計單位可以根據(jù)需要適時地、輕易地實現(xiàn)對內(nèi)部控制制度進行修改與完善;而在計算機系統(tǒng)環(huán)境下,就難以滿足這樣的要求。
2、被審計單位故意隱瞞審計所需信息。審計是審計人員運用專業(yè)知識和技能,依據(jù)審計準則對被審計單位相關資料進行鑒證的過程。因此,在審計過程中,審計人員必須取得被審計單位的配合才能更好地完成審計任務,實現(xiàn)審計目標。在審計取證過程中,如果被審計單位不積極提供充分的資料或隱瞞一些重要的變更事項,如會計程序的變更、人員權(quán)限的變更等,勢必會影響到審計人員所取得審計證據(jù)及其對審計證據(jù)評價的客觀性,從而加大了審計風險。
(三)審計環(huán)境方面的原因。隨著現(xiàn)代經(jīng)濟的迅速發(fā)展,現(xiàn)代企業(yè)的經(jīng)營規(guī)模越來越大,經(jīng)營活動也越來越復雜。各種高新技術的產(chǎn)業(yè)化、各種金融創(chuàng)新工具的廣泛運用,使得企業(yè)的經(jīng)營活動和財務報表編報和披露的復雜程度遠遠超出人們傳統(tǒng)的認識程度,特別當企業(yè)跨地區(qū)、跨國家經(jīng)營時,其復雜程度就更高。
1、審計的內(nèi)容不斷擴大。在計算機審計中,審計的內(nèi)容不僅包括傳統(tǒng)手工審計環(huán)境的內(nèi)容,還包括對會計軟件運行的評估和審核及對程序中安全控制措施的審查,如人員權(quán)限的設置等。審計內(nèi)容和范圍的擴大對審計人員提出了更高的要求。
2、審計線索趨于隱蔽。在傳統(tǒng)手工審計環(huán)境下,審計線索都是以紙質(zhì)形式存儲的,其中所包含的信息是可見的,需要時取得也較為便捷。而在計算機審計環(huán)境下,會計信息中有相當一部分是存儲在磁性介質(zhì)中的,它們是看不見、摸不著的,需要時必須通過人機對話,從計算機信息系統(tǒng)中調(diào)出所需會計信息,才能加以閱讀。會計信息存儲的隱蔽性導致信息取得的復雜性,必然會加大審計人員審計風險。
3、會計軟件種類繁多。市場中會計軟件的品牌、版本眾多,審計人員不可能完全熟練地操作所有的會計軟件。同時,會計軟件的升級,也會影響審計人員對歷史數(shù)據(jù)的提取。軟件公司基于保密的考慮,一般也不會輕易地向?qū)徲嫽蚱渌獠咳藛T透露其軟件設計程序。這又勢必會影響到審計人員對被審計單位會計信息的生成與傳遞及內(nèi)部控制的評估。
二、審計風險防范建議
(一)嚴格篩選風險較低的審計客戶。這一要求是指事務所在接受審計客戶時,必須對企業(yè)的經(jīng)營環(huán)境、經(jīng)營目標、企業(yè)管理層的經(jīng)營理念和誠信程度以及企業(yè)的財務狀況和經(jīng)營成果進行仔細的分析,以把握客戶的整體情況和審計風險的可控性。然后,選擇審計風險較低的企業(yè)作為審計客戶。這一要求并不表示在選擇客戶時,只能接受經(jīng)營業(yè)績和財務狀況很好的企業(yè),而表示只能接受經(jīng)營者管理層較講誠信的企業(yè)作為審計客戶。企業(yè)的經(jīng)營情況好壞不是決定是否接受審計委托的根本條件,因為不管企業(yè)經(jīng)營情況如何,只要企業(yè)經(jīng)營者能按照會計準則和披露要求客觀公允地反映其經(jīng)營成果和財務狀況,審計風險是可以控制的;只有當企業(yè)管理層為了達到某種目的而執(zhí)意歪曲財務報表時,審計風險就會變得難以控制,因而必須予以拒絕。
(二)加強審計人員培訓學習,強化審計機構(gòu)和審計人員風險意識,降低計算機審計風險。定期對審計人員進行培訓,強化審計人員后續(xù)教育準則的實施和執(zhí)行。不斷更新審計人員的知識結(jié)構(gòu),提高他們的技術水平和職業(yè)判斷能力。在新的審計環(huán)境下,尤其要加強計算機應用技術、數(shù)據(jù)處理技術和網(wǎng)絡知識的學習,培養(yǎng)復合型的審計人才,以更好地適應審計環(huán)境變化,出色地完成審計任務。審計人員在加強專業(yè)學習的同時,應加強職業(yè)道德修養(yǎng),強化風險意識,嚴格依照審計準則進行審計,以降低審計風險。
篇3
固有風險是指假定不存在的相關內(nèi)部控制時,某一賬戶或交易類別單獨或連同其他賬戶、交易類別產(chǎn)生錯報或漏報的可能性。計算機的固有風險是計算機會計系統(tǒng)自身帶來的風險,審計人員只能評估此風險而不能左右和控制,它的具體表現(xiàn)為:
1.信息化系統(tǒng)的安全保密性差。由于網(wǎng)絡自身的一些缺陷,使得網(wǎng)絡審計在安全性能上受到極大的挑戰(zhàn)。一是人為篡改或破壞數(shù)據(jù)。在信息化環(huán)境下,數(shù)據(jù)的電子化并以磁性介質(zhì)為主要存儲載體,這使舞弊者或破壞者對數(shù)據(jù)進行非法修改和刪除且不留下審計線索成為可能,這對保證數(shù)據(jù)的完整性、安全性提出了挑戰(zhàn),給審計監(jiān)督帶來了風險。二是病毒感染易使數(shù)據(jù)丟失。計算機易感染病毒的脆弱性使審計數(shù)據(jù)的丟失現(xiàn)象經(jīng)常發(fā)生,從而使出現(xiàn)審計風險的可能性增大。三是黑客入侵導致信息泄露。網(wǎng)絡的一大特點就是信息資源的共享性,即網(wǎng)絡用戶可以通過口令使用其他用戶的信息資源。這使得一些計算機黑客為了獲取重要的商業(yè)秘密,經(jīng)常利用IP地址進行欺騙,攻擊網(wǎng)絡系統(tǒng),進行目標系統(tǒng)的竊取或破壞數(shù)據(jù)。這使審計人員或?qū)徲嫿M織的審計證據(jù)和審計結(jié)論在保密性方面效果較差。
2.會計電算化系統(tǒng)的多樣性導致審計取證困難。目前會計電算化軟件有幾百種,這些軟件基本上符合財政部頒發(fā)的《會計核算標準基本功能規(guī)范》。但其功能模塊的劃分、數(shù)據(jù)庫文件的設置、數(shù)據(jù)處理系統(tǒng)的復雜性、文件記錄和系統(tǒng)操作的非規(guī)范化,都增加了審計的難度。尤其是用戶單位在選擇會計電算化軟件時,一要考慮保密程度要高,二要考慮自身管理的需要。這都限制了會計信息的透明度,使得內(nèi)部審計人員在搜集審計證據(jù)時十分棘手,極大地增加了審計工作量。
3.會計電算化中審計軟件的不完善。一是會計電算化中審計軟件種類少。目前我國在審計軟件的開發(fā)方面正處于起步階段,各大軟件公司在審計軟件的研制與開發(fā)上投入的人力、物力和財力都很有限。二是審計軟件和財務軟件的數(shù)據(jù)接口標準未能得到很好的貫徹執(zhí)行。中國軟件協(xié)會財務及企業(yè)管理軟件分會曾了中國財務軟件數(shù)據(jù)接口標準98-001號,其目的就是為了有助于不同的財務軟件之間的交流,便于相互之間的數(shù)據(jù)交換以及適應用戶的特殊要求,為二次開發(fā)提供數(shù)據(jù)接口。但是由于種種原因該標準并沒有得到很好的落實。各軟件開發(fā)商以保護數(shù)據(jù)安全為借口,將數(shù)據(jù)進行層層保護,使得會計軟件與審計軟件的數(shù)據(jù)交換越來越難,這給審計軟件的開發(fā)和審計工作帶來極大的障礙。
篇4
1、相關概念的定義
計算機審計,在國內(nèi)外學術界有多種叫法,例如EDP審計、電算化審計、信息系統(tǒng)審計等等。盡管叫法不同,但其含義基本相同。計算機審計是指審計人員把計算機作為審計的對象或工具,對經(jīng)濟信息系統(tǒng)所進行的審查。它包括計算機經(jīng)濟信息系統(tǒng)審計和計算機輔助審計。
計算機審計風險,是指審計人員不能正確合理地運用計算機審計技術,從而導致審計結(jié)果與事實不相符,發(fā)表不恰當?shù)膶徲嬕庖姸o審計主體帶來損失的可能性。
2、計算機審計風險的種類
⑴系統(tǒng)環(huán)境風險。系統(tǒng)環(huán)境風險是指電算化經(jīng)濟信息系統(tǒng)本身所處的環(huán)境引起的風險,分為軟件環(huán)境風險和硬件環(huán)境風險。
⑵系統(tǒng)控制風險。所謂系統(tǒng)控制風險是指電算化經(jīng)濟信息系統(tǒng)的內(nèi)部控制不嚴密造成的風險。
⑶財務數(shù)據(jù)風險。財務數(shù)據(jù)風險是由于財會人員在對財務數(shù)據(jù)錄入時采用虛假、修改、延遲等手段造成虛假財務數(shù)據(jù)而產(chǎn)生的風險。這種風險是指電子財務數(shù)據(jù)被篡改的可能。
⑷審計軟件風險。審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險。
⑸人員操作風險。這種風險是指計算機審計系統(tǒng)的操作人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風險。
二、計算機審計風險的成因
1、計算機數(shù)據(jù)處理系統(tǒng)日趨復雜
目前已經(jīng)通過評審的電算化軟件有很多種,這些軟件基本上符合財政部頒發(fā)的《會計核算標準基本功能規(guī)范》,但從基本功能模塊的劃分到數(shù)據(jù)庫文件的設置,從采用工作平臺到使用的計算機開發(fā)語言,從單項開發(fā)到系統(tǒng)開發(fā),從單純使用關系型數(shù)據(jù)結(jié)構(gòu)到應用大型數(shù)據(jù)庫資源等,可以說是千姿百態(tài),各有千秋。正是由于計算機數(shù)據(jù)處理系統(tǒng)的復雜性,使得文件記錄和系統(tǒng)操作都缺乏標準和規(guī)范,這就給審計人員的操作增加了難度,對審計結(jié)果產(chǎn)生錯誤的可能性也就大大增加了,因而產(chǎn)生了系統(tǒng)環(huán)境風險。另外隨著信息技術的高速發(fā)展,電算化經(jīng)濟信息系統(tǒng)不再是孤立的和獨立的,病毒、黑客的入侵隨時可以威脅系統(tǒng)的安全。因此,審計的系統(tǒng)環(huán)境風險增大。再由于計算機硬件設備的千差萬別,對電算化經(jīng)濟信息系統(tǒng)的運行帶來影響增加,審計人員在操作中出現(xiàn)差錯的可能性也隨之增加,因而也容易產(chǎn)生審計風險。
2、審計方法、方式日趨復雜
經(jīng)濟信息系統(tǒng)電算化后,審計方法和方式有了很大的變化,由于被審計單位采用的應用軟件有的是商品化軟件,有的是自行研究開發(fā)的軟件,在功能、程序處理上都有著一定的差別,并且根據(jù)審計要素和對象的不同,其要求運用的審計方法和方式也不一樣,從而增加了審計人員工作的復雜性,審計人員如果對軟件不熟悉或采用了不當?shù)膶徲嫹椒ɑ蚍绞骄腿菀鬃龀鲥e誤的審計結(jié)論,必然會帶來審計風險。
3、內(nèi)部控制方法發(fā)生了改變
在手工系統(tǒng)中,內(nèi)部控制的測試是看得見、摸得著的,但在電算化經(jīng)濟信息系統(tǒng)中,內(nèi)部控制的方法發(fā)生了很大的變化,這時傳統(tǒng)的手工控制措施已經(jīng)不能達到其控制目的了。經(jīng)濟信息系統(tǒng)電算化以后內(nèi)部控制方法的改變主要表現(xiàn)在:一是內(nèi)部控制措施由手工控制為主轉(zhuǎn)向以計算機控制為主;二是手工條件下的控制措施在電算條件下已經(jīng)失效,代之以新的手工控制措施,如電算部門與各職能部門之間,電算部門內(nèi)部各類人員之間的職責分離等控制措施。這些改變使得內(nèi)部控制環(huán)境的復雜性增加,于是讓舞弊者有機可乘,從而產(chǎn)生審計的控制風險。
4、傳統(tǒng)審計線索逐漸消失
審計線索對審計人員是極為重要的,審計人員正是跟蹤審計線索,審核經(jīng)濟業(yè)務,收集審計證據(jù),從而完成審計任務的。在手工會計系統(tǒng)中,從原始憑證到記賬憑證、賬簿以及財務報表的編制,每一步都有文字記錄,都有不同的經(jīng)手人簽字,審計線索十分清晰。但在電算化經(jīng)濟信息系統(tǒng)中,經(jīng)濟信息大都存儲在磁盤或磁帶上,因此,肉眼所見的線索減少了。況且,存儲在磁盤上的數(shù)據(jù)很容易被修改、刪除、隱匿、轉(zhuǎn)移,又無明顯的痕跡,因此,審計人員發(fā)現(xiàn)錯誤的可能性就減少了,而審計風險就增加了。
5、審計軟件存在缺陷
早期,我國會計軟件的編制基本上用的是Dbase系列數(shù)據(jù)庫,以后又改進為使用FoxBASE、Visual FoxPro等,隨著新的編程工具的出現(xiàn)以及會計軟件的進一步成熟和深化,軟件有了更多選擇,如Microsoft ACCESS、 Informix Sybase等。會計軟件在不斷升級,而審計軟件不能跟上形勢,采取的相應升級措施相對滯后,影響了審計效率和質(zhì)量。審計軟件風險還表現(xiàn)在軟件的開發(fā)過程中,由于計算機人員對審計、會計業(yè)務不熟,造成軟件自身的不完善,運行不穩(wěn)定或?qū)徲嬘嬎恪⒎治龅钠睢徲嬡浖嬖诘娜毕蒿L險已成為影響計算機審計檢查風險的重要因素。
6、審計人員計算機知識缺乏
目前,大部分審計人員對于計算機知識普遍缺乏。不懂得計算機的審計人員,會因為審計線索的改變而無法實施審計;會因為不懂得電算系統(tǒng)的特點和風險而不能識別和審查其內(nèi)部控制;會因為不懂得計算機而無法對電算系統(tǒng)進行審查或利用計算機進行審計。因此,審計人員必須掌握計算機與電算化經(jīng)濟信息系統(tǒng)方面的知識和技能,否則,審計人員做出的審計結(jié)論有可能偏離被審計單位電算化經(jīng)濟信息系統(tǒng)的實際,從而造成審計風險。
三、計算機審計風險的防范
1、完善計算機審計準則
目前審計準則有:國際會計師協(xié)會于1984年公布的《國際審計準則15――電子數(shù)據(jù)處理環(huán)境下的審計》和《國際審計準則16――計算機輔助審計技術》、1996年審計署的《審計機關計算機輔助審計方法》、1999年施行的中國獨立審計具體準則第20號《計算機信息系統(tǒng)環(huán)境下的審計》等。面對日益發(fā)展的計算機審計,需要針對新的形勢建立一系列與新情況相適應的審計準則,應加強計算機審計人員考核培訓準則、電算化經(jīng)濟信息系統(tǒng)開發(fā)審計準則、電算化經(jīng)濟信息系統(tǒng)內(nèi)部控制審計準則、審計應用軟件準則,以此來規(guī)范計算機審計業(yè)務的發(fā)展,將審計風險降低到可以接受的水平。
2、選擇恰當?shù)膶徲嫹绞脚c方法
審計中,審計人員可以根據(jù)被審計單位不同的系統(tǒng)而采取不同的審計方法和技術,從而有效地降低審計風險。例如:當打印文件充分且與被審計單位輸入輸出聯(lián)系比較密切,能直接核對時,可采用繞過計算機,用核對、復核、分析等審計技術;當被審計單位采用實時處理,紙質(zhì)的審計線索較少且輸入輸出不能直接核對時,則可采用通過計算機審計的方法。其次,選擇合理的審計方式。對于電算化經(jīng)濟信息系統(tǒng)審計一般應采用就地審計或突擊審計的方式。在進行審計時,可以采用事先不通知操作員或程序員的情況下,把系統(tǒng)中正在運行的數(shù)據(jù)拷貝出來進行審查,以防操作員把數(shù)據(jù)篡改、刪除等,只有這樣,才能保證被審程序和數(shù)據(jù)的正確、完整性,也才能有效地降低審計風險。
3、加強內(nèi)部控制制度的審查
內(nèi)部控制制度是審計的基礎,為了確定這個基礎是否扎實,即內(nèi)部控制制度是否健全、有效,審計人員就必須對被審計單位的內(nèi)部控制制度進行審查。在分析和評價被審計單位電算系統(tǒng)內(nèi)部控制制度時,應遵循以下步驟:一是調(diào)查分析系統(tǒng)可能存在的錯誤類型和非法行為;二是明確預防或發(fā)現(xiàn)錯誤應有的內(nèi)部控制;三是分析被審計單位現(xiàn)有的內(nèi)部控制是否充分;四是分析被審單位現(xiàn)有的內(nèi)部控制措施是否有效。只有充分審查以保證內(nèi)部控制制度的完善和有效,才能減少審計中的控制風險。
4、保證財務數(shù)據(jù)的完整性
為保證財務數(shù)據(jù)的完整性,審計人員在審計時必須認真檢查被審計單位所提供的數(shù)據(jù)是否真實、是否屬審計時間范圍內(nèi)的財務數(shù)據(jù)。同時,審計人員獲得的財務數(shù)據(jù),應該是被審計單位財務人員對財務數(shù)據(jù)作現(xiàn)場備份所得的。審計人員只有從這幾方面把握才能較好的保證財務數(shù)據(jù)的完整性,減少因?qū)徲嬀€索的改變所帶來的審計風險。
5、努力開發(fā)實用高效的審計軟件
為了給計算機審計打開通道,就必須不斷研究開發(fā)審計軟件。在數(shù)據(jù)采集方面,要求這種軟件能夠容易訪問被審計單位不同介質(zhì)、不同編碼、不同數(shù)據(jù)類型的數(shù)據(jù)庫,從中采集審計所需的原始數(shù)據(jù)。在數(shù)據(jù)分析方面,在現(xiàn)有審計軟件功能的基礎上進一步開發(fā)新的分析工具。例如:針對企業(yè)審計領域的固定資產(chǎn)折舊審計工具和產(chǎn)品利潤情況分析工具等,針對金融審計領域的利率檢查工具等。在增加面向特定領域的分析同時,還要增加一些基于特定方法的分析工具,如賬戶分析、比較分析等。只有開發(fā)出實用高效的審計軟件,才能解決因?qū)徲嬡浖旧淼娜毕菟鶐淼膶徲嬶L險。
6、提高審計人員的計算機素質(zhì)
目前提高審計人員計算機素質(zhì)可以采取以下措施:一是大力加強審計人員計算機技能的培訓力度。在此基礎上進行中級、高級的培訓,將培訓的內(nèi)容深化并拓寬。二是將計算機知識和審計知識融會貫通,計算機技能與審計思路的結(jié)合,培養(yǎng)既懂計算機又懂會計和審計的復合型知識結(jié)構(gòu)的審計人員。三是要建立各類培訓的跟蹤反饋機制,分析通過培訓后在實際業(yè)務中發(fā)揮的效用,及時檢驗培訓的效果。四是建立計算機審計的激勵機制,對計算機應用中有創(chuàng)新的人員和對利用計算機審查出問題的人員予以獎勵。
四、結(jié)論
經(jīng)濟信息系統(tǒng)電算化的發(fā)展不僅是向?qū)徲嫻ぷ魈岢鲂碌奶魬?zhàn),同時也為審計人員提供了新的用武之地,為審計帶來發(fā)展的新機遇。開展計算機審計時,審計人員只有做到全面分析計算機審計風險的形成原因并認真落實其防范措施才能夠提高審計的工作效率和質(zhì)量,促使電算化經(jīng)濟信息系統(tǒng)向更高目標邁進。因此,從事審計工作的人員除了要有審計專業(yè)知識,還要具備和熟練掌握過硬的計算機知識及豐富的實踐經(jīng)驗,才能開創(chuàng)審計工作的新局面。
【參考文獻】
[1] 肖文八:審計學原理,第1版,北京,中國審計出版社,1996年。
[2] 陳婉玲:計算機審計,第1版,廣州,廣東人民出版社,2002年。
篇5
一、計算機審計風險形成的原因
(一)傳統(tǒng)審計線索逐漸消失
在手工系統(tǒng)中,由原始憑證到記賬憑證,由過賬到財務報表的編制,每一步都有文字記錄,都有經(jīng)手人簽字,審計線索十分清楚。審計人員進行審計,完全可以根據(jù)需要進行順查、逆查或抽查。但在電算化會計系統(tǒng)中,從原始數(shù)據(jù)進入計算機,到財務報表的輸出,這中間的全部會計處理集中由計算機按程序指令自動完成,傳統(tǒng)的賬簿沒有了,絕大部分的文字記錄消失了,傳統(tǒng)的審計線索在這里中斷了、消失了,代之的是存有會計資料的磁盤和磁帶,這些磁性介質(zhì)上的信息是以機器可讀的形式存在的,肉眼不能識別。存儲在磁盤上的數(shù)據(jù)很容易被修改、刪除、隱匿、轉(zhuǎn)移,又無明顯的痕跡,因此,審計人員發(fā)現(xiàn)錯誤的可能性減少了,而審計風險增加了。
(二)會計系統(tǒng)內(nèi)控制度的改變
在手工系統(tǒng)中,內(nèi)部控制的測試是看得見、摸得著的,但在會計電算化信息系統(tǒng)中,內(nèi)部控制的技術和方法發(fā)生了很大的變化,使得手工系統(tǒng)中的許多原有的控制措施都已不適合了。例如,在電算化會計系統(tǒng)中,會計信息的處理和存儲高度集中于計算機,會使手工會計系統(tǒng)中的某些職責分離、互相牽制的控制失效。大部分控制措施都是以程序的形式建立在計算機會計信息系統(tǒng)中,肉眼無法覺察,在很大程度上依賴于計算機處理。而計算機會計信息系統(tǒng)的內(nèi)控功能是否恰當有效會直接系統(tǒng)輸出信息的真實和準確,內(nèi)控環(huán)境的復雜性使舞弊行為有機可乘,從而增加了審計風險。
(三)審計的改變
在會計電算化條件下,審計的監(jiān)督職能雖然沒有改變,但審計內(nèi)容卻發(fā)生了變化。在電算化會計信息系統(tǒng)中,會計事項由計算機按程序自動進行處理,如果系統(tǒng)的程序出錯或被非法篡改,則計算機只會按給定的程序以同樣錯誤的方法處理所有的有關會計事項,系統(tǒng)就可能被神不知、鬼不覺地嵌入非法的舞弊程序,不法分子可以利用這些舞弊程序大量侵吞的財物。電算化會計信息系統(tǒng)的特點及其固有的風險,大大增加了審計風險。
(四)審計技術、方法日趨復雜
在手工會計處理的條件下,審計可根據(jù)具體情況進行順查、逆查或抽查。審查一般采用審閱、核對、分析、比較、調(diào)查和證實等方法,所有審查工作都是由人工完成的。在會計電算化條件下,會計的特點決定了審計的內(nèi)容和技術的改變。雖然人工的各種審查技術仍是很重要的,但計算機輔助審計是必不可少的審計技術。因為即使系統(tǒng)的全部賬表都要硬盤拷貝,利用計算機還是可以比手工更迅速、更有效地完成審閱、核對、分析、比較等各項審查工作。例如,計算機可以幫助審計人員審閱賬務文件,找出滿足指定條件的會計記錄:可以對眾多的會計事項進行統(tǒng)計抽樣,以便審計員對抽出樣本進一步審查;還可以根據(jù)系統(tǒng)所記錄的會計資料計算出各種財務比率、變化率和進行各種分析比較等等。審計人員如果不熟悉電算化會計軟件的特點和風險而不能識別和審查其內(nèi)部控制,如果不懂得利用計算機審計技術和方法進行審計,就必然會帶來審計風險。
(五)審計人員計算機知識的缺乏
目前,大部分審計人員對于計算機知識普遍缺乏,而隨著會計電算化的實行,審計的對象也更多更復雜了。因此,審計人員除了要有專業(yè)的審計、會計知識外,還必須掌握一定的計算機知識和應用技術,否則,審計人員做出的審計結(jié)論有可能偏離被審計單位會計信息系統(tǒng)的實際,從而造成審計風險。
(六)現(xiàn)行軟件評審機制存在缺陷
現(xiàn)行會計軟件的評審主要側(cè)重于軟件功能的構(gòu)成要素及會計處理的合理性,忽視了審計線索的保全性;評審側(cè)重于會計軟件運行的結(jié)果與手工一致,忽略了對軟件開發(fā)過程內(nèi)部控制系統(tǒng)的評價;評審依賴于會計電算化專家小組及部分用戶的意見,忽視了軟件的審計特征;評審的結(jié)果可能同審計人員的意見產(chǎn)生沖突。這些都給審計人員的工作帶來了一定的困難和風險。
二、機審計風險的防范對策
(一)保證審計數(shù)據(jù)的完整性
為保證審計數(shù)據(jù)的完整和準確,審計人員在審計時必須認真檢查被審計單位所提供的數(shù)據(jù)是否真實、是否屬審計時間范圍內(nèi)的財務數(shù)據(jù),是否屬結(jié)賬后的數(shù)據(jù),財務數(shù)據(jù)是否有紙質(zhì)賬冊、報表相配套。同時,審計人員獲得的財務數(shù)據(jù),應該是被審計單位財務人員對財務數(shù)據(jù)作現(xiàn)場備份所得的。
(二)選擇恰當?shù)膶徲嫹椒ㄅc技術
審計人員可以根據(jù)被審計單位不同的會計信息系統(tǒng)而采取不同的審計方法和技術,從而有效地降低審計風險。當打印文件充分且與被審計單位輸入輸出聯(lián)系比較密切能直接核對時,則可采用繞過計算機的審計方法,用核對、復核、等審計技術;當被審計單位采用實時處理,紙質(zhì)的審計線索較少且輸入輸出不能直接核對時,則可采用計算機審計的方法;當被審計單位采用每時每刻都在運行的會計信息系統(tǒng),審計過程中不能終止工作時,則可采用制度基礎法,首先對被審計單位計算機會計信息系統(tǒng)的一般控制和控制進行審查,根據(jù)一般控制和應用控制審查的結(jié)果決定抽查的重點、范圍和方法,這樣,既可以降低審計風險,又可以減少對被審計系統(tǒng)正常工作的。
(三)選擇合理的審計方式
由于要審計的大都存儲在磁性介質(zhì)中,而磁性介質(zhì)很容易被篡改、刪除而不留下任何痕跡。因此,對于計算機會計信息系統(tǒng)審計一般應采用就地審計或突擊審計的方式。在進行審計時,可以采用事先不通知操作員或程序員的情況下,把系統(tǒng)中正在運行的數(shù)據(jù)拷貝出來進行審查,以防操作員把數(shù)據(jù)篡改、刪除等,只有這樣,才能保證被審程序和數(shù)據(jù)的正確、完整性,也才能有效地降低審計風險。
(四)積極取得被審計單位的支持和配合
在進行計算機審計時,如果被審計單位的財務人員、操作人員不予配合,把存在磁性介質(zhì)當中以及會計信息系統(tǒng)中的財務數(shù)據(jù)進行加密、修改、刪除、隱匿等,則審計人員很難進行審查,因此,審計時應積極取得被審計單位的支持和配合,來降低審計風險。
(五)建立健全會計電算化信息系統(tǒng)審計的標準和準則
原有的標準和準則有的已經(jīng)不適用于會計電算化信息系統(tǒng)審計,這給會計電算化信息系統(tǒng)審計帶來了一定的風險,有關部門應采取必要措施,大力加強對計算機審計的,盡快制定出適用于會計電算化信息系統(tǒng)審計的標準和準則,來降低計算機審計風險。
(六)改進會計軟件的評審機制
篇6
目前,我國的審計工作基本是運用計算機審計,相關的管理人員將相關的數(shù)據(jù)輸入電腦,打印財務表格。這中間全部都是計算機的指令進行直接操作,這樣使一些傳統(tǒng)的數(shù)據(jù)都消失了,絕大部分的文字記錄都消失了。取而代之的是相關的磁盤和磁帶的相關的電子產(chǎn)品,這些物品都是是計算機只讀模式的,不能直接用肉眼識別。但是這些基本的數(shù)據(jù)信息,經(jīng)常會被修改、刪除、隱匿以及轉(zhuǎn)移,造成原始數(shù)據(jù)的丟失,這樣就增加了審計風險,造成公司的管理的混亂。
2.會計內(nèi)部控制系統(tǒng)不嚴密
在傳統(tǒng)的審計工作之中,我們進行內(nèi)部控制都是看得見的,保留大量的原始數(shù)據(jù)。現(xiàn)在的會計內(nèi)部控制系統(tǒng)之中,很多都是計算機指令完成的,使手工之中的相關技術都不是很適合,這也大的變化使管理人員不能及時做出調(diào)整。最明顯的例子。在現(xiàn)在的計算機的管理系統(tǒng)之中,大量的基本信息存儲在計算機之中,這樣會使許多的手工之中的管理人員出現(xiàn)職責不明,管理混亂的現(xiàn)象。此外,現(xiàn)在的審計工作都是依賴計算系統(tǒng)來完成,監(jiān)察不好進行,這樣審計工作的相關信息是否正確,完全依賴計算機的內(nèi)部控制系統(tǒng)。這樣更加容易給舞弊行為可乘之機,增加了審計工作的風險。
3.復雜化的審計方法
在原始的手工的審計工作的時候,相關人員可以根據(jù)具體情況進行順查、逆差或者抽查。同時審計工作的基本流程也就是審閱、核對、分析、調(diào)查以及證實的幾步,操作簡單,可操作性較強。但是現(xiàn)在使用計算機審查,相應的計算機審計技術就尤為重要,因為審計的工作的大部分都是有計算機進行完成,所以面對現(xiàn)在越來越多的審計信息,計算機可以高效的完成相關的審計工作,更加訊速和準確。在這個審計過程,計算機可以進行統(tǒng)計抽樣,抽查等各種審計手段,同時還可以進行比率分析等各種先進的設計手段。但是這就要求審計人員要了解相關的計算機審計技術的特點,理解會計內(nèi)部審計控制的特點,如果技術掌握不成熟,就會造成相應的審計風險。
4.審計人員素質(zhì)較低以及審計機制存在風險
目前我國相關的審計人員相關素質(zhì)不是很高。面對計算機審計的更重復雜手段,管理人員不能進行很好的調(diào)控,相關的計算機審計知識不足,這樣會造成較大的審計風險。此外,現(xiàn)在的會計審計的相關軟件只追求會計的處理方法,但是缺乏對審計工作安全性的審計,缺失相關的內(nèi)部評價體系,對審計工作的相關特征研究的也不是很精確。這些問題會使審計工作出現(xiàn)大量的問題,給審計工作造成巨大的問題和風險。
二、計算機風險防范策略
1.保證數(shù)據(jù)的完整性
審計部門的相關人員在進行審計的過程之中必須保證原始數(shù)據(jù)的完善性,同時要認真核對數(shù)據(jù)的真實性,同時要認真核對財務數(shù)據(jù)和結(jié)賬后的數(shù)據(jù)賬單,打印相關的紙質(zhì)賬單和相關的配套的報表。此外相關的審計財務的人員,要對相關的原始數(shù)據(jù)進行備份和整理,促進相關的審計的程序更加合理化,保存相關的原始數(shù)據(jù),保證之后一旦出錯有原始數(shù)據(jù)作為支撐。這樣才可以規(guī)避風險,促進相關的計算機審計完美的進行。
2.選擇適當?shù)膶徲嫹椒ㄅc技術
在現(xiàn)在的審計過程之中,我們的審計工作面臨著眾多的審計信息,我們必須根據(jù)不同的信息采用相關的審計方法,這樣即可以提高效率還可以規(guī)避風險。首先,在進行打印文件的時候,進行數(shù)據(jù)的輸入和輸出時,我們要認真仔細的核對,采用相關的復核、審計等手段。其次,在審計工作每時每刻都在進行時,運行相關的審計系統(tǒng),要采用相關的會計信息系統(tǒng),仔細審核會計內(nèi)部控制系統(tǒng)可能出現(xiàn)的問題,尤其在相關的使用范圍、重點和方法等環(huán)節(jié)。這樣可以有效地降低風險和減少審計工作出現(xiàn)的問題。
篇7
2、審計內(nèi)容、范圍的廣泛性
在對電算化會計信息系統(tǒng)的審計中,除了手工審計的內(nèi)容外,還必須兼顧系統(tǒng)的開發(fā)和運行兩個方面,包括系統(tǒng)開發(fā)各階段的審查、系統(tǒng)應用程序的審查,如審查系統(tǒng)應用程序的處理功能是否符合會計制度和財經(jīng)法紀的規(guī)定、能否正確完成各項業(yè)務的處理、程序控制是否恰當有效等。另外,除對電算化會計信息系統(tǒng)
進行事后審計、監(jiān)督其合法性和正確性外,還提倡在系統(tǒng)的設計開發(fā)階段,審計人員要對系統(tǒng)的開發(fā)進行事前和事中審計。審計內(nèi)容、范圍的廣泛性要求審計人員具備相應的知識和技能,而現(xiàn)有很多審計人員并不具備,計算機審計風險也不可避免。
3、內(nèi)部控制的巨大局限性
現(xiàn)代審計的一大特征就是以測試被審單位的內(nèi)容控制為基礎的抽樣審計,內(nèi)部控制制度的恰當和否直接影響會計信息的真實性和準確性。在手工會計系統(tǒng)中,內(nèi)部控制主要從兩個方面實施摘要:一是從組織形式上按財務部門經(jīng)濟業(yè)務的性質(zhì)分為幾個不同的職能組,并且各職能組的人員只負責某一特定的業(yè)務領域,也就是對工作人員進行適當?shù)穆氊煼蛛x,各職能組之間互相牽制,不易出現(xiàn)錯誤和舞弊;二是在會計帳務處理組織程序上,除了要保證憑證、帳簿、報表按一定程序分由不同人員記錄、編制外,還要做到帳帳核對,帳證核對、帳實核對、帳表核對,并保證其一致性。從而在很大程度上保證經(jīng)濟業(yè)務處理的合理性、合法性。但在電算化會計信息系統(tǒng)中,由于處理工具、信息載體、會計組織都發(fā)生了根本的變化,手工會計系統(tǒng)中原有的很多控制辦法都已失去意義。電算化會計和手工會計相比,內(nèi)部控制環(huán)境更復雜,甚至有些環(huán)境因素超過制度的有效控制能力;建立嚴格的內(nèi)部控制的成本要高得多;對內(nèi)部控制的評價更為困難。內(nèi)部控制的更大局限性使計算機舞弊有機可乘,增加了計算機審計風險。 4、會計軟件的大理想性
我國會計軟件從無到有、從單一業(yè)務處理到集成業(yè)務處理、從會計核算走向會計管理,確實取得了巨大成就但也有不足,非凡是針對審計,表現(xiàn)在下面二個方面摘要:一是很多會計軟件不具備雙向查詢功能。在對電算化會計信息系統(tǒng)的審計中,會計軟件應答應審計人員按照憑證一明細帳(日記帳)一總帳一報表的順序進行雙向查詢,同時還應答應分別對日記帳、明細帳、總帳的期初余額、本期發(fā)生額和期末余額進行雙向查詢。但是目前我國絕大多數(shù)的會計軟件的查詢設計都是單向的,可以實現(xiàn)如由總帳查詢明細帳,由明細帳查詢憑證等過程,但當需要反問查詢時往往很困難。二是會計軟件不預留審計測試通道。在審計過程中,審計人員為證實業(yè)務處理的實際過程。方法,往往需要進行測試,既虛擬一筆業(yè)務輸入會計軟件,檢查其結(jié)果和預期結(jié)果是否相符。這種方法可以有效地驗證核算過程是否和設計一致。但是假如審計人員不能及時消除這些測試的影響,就可能導致會計軟件系統(tǒng)數(shù)據(jù)的混亂。恰當?shù)慕鉀Q方法是在軟件設計時為以后的審計測試留下通道,既方便審計人員的隨時測試,也不會造成對整個系統(tǒng)數(shù)據(jù)的影響。但遺憾的是,幾乎所有的會計軟件都沒為審計測試預留通道。會計軟件的欠理想性加大了計算機審計風險。
5、審計取證的動態(tài)性
在很多大中型企業(yè)中,電算化會計信息系統(tǒng)天天都要結(jié)算成本和利潤,進行生產(chǎn)動態(tài)分析,以供管理人員進行決策參考。系統(tǒng)假如停止運行,會給企業(yè)帶來巨大的損失。因此,對電算化會計信息系統(tǒng)的審計,往往是在系統(tǒng)運行過程中動態(tài)取證。審計人員一方面要及時完成審計任務,另一方面又要不防礙和干擾被審系統(tǒng)的正常運行,這給審計工作帶來了一定的難度,也增加了計算機審計風險。
篇8
固有風險是指假定不存在相關內(nèi)部控制時,某一賬戶或交易類別單獨或連同其他賬戶、交易類別產(chǎn)生錯報或漏報的可能性。具體表現(xiàn)為:
1、電子化會計數(shù)據(jù)存在被濫用、篡改和丟失的可能性。手工系統(tǒng)中,紙質(zhì)介質(zhì)上的信息易于辨認、追溯,而在計算機系統(tǒng)中,由于存貯介質(zhì)的改變,一旦用戶非法透過計算機系統(tǒng)的“防火墻”,極易破壞和修改電子數(shù)據(jù),且不留蛛絲馬跡。計算機病毒、電源故障、操作失誤、程序處理錯誤和網(wǎng)絡傳輸故障也會造成實際數(shù)據(jù)與電子賬面數(shù)據(jù)不相符,增加了固有審計風險的可能性。
2、電子數(shù)據(jù)存在易于減少或消失審計線索的可能性。手工系統(tǒng)中,會計處理的每一步都有文字記錄和經(jīng)手人簽名,審計線索清晰。但在計算機系統(tǒng)中,從原始數(shù)據(jù)的錄入到報表的自動生成,幾乎勿需人工干預,傳統(tǒng)的審計線索不復存在,為審計師追查審計線索帶來了極大困難。
3、原始數(shù)據(jù)的錄入存在錯漏的可能性。計算機系統(tǒng)下,大量的記賬憑證仍靠人工錄入,表面上機制賬、證、表的相互平衡可能掩蓋了人工錄入的錯漏。
(二)控制風險的特征
控制風險是指某一賬戶、交易類別或連同其他賬戶、交易類別產(chǎn)生錯報或漏報,而未能被內(nèi)部控制防止、發(fā)現(xiàn)或糾正的可能性。具體表現(xiàn)為:
1、有意或無意使設置權(quán)限密碼實現(xiàn)職責分工的約束機制有失效的可能性。手工系統(tǒng)下,通過建立崗位責任中心達到內(nèi)部控制的目的。在計算機系統(tǒng)下,一是通過劃分操作員的責任范圍,設置權(quán)限和密碼實現(xiàn)人員分工;二是通過軟件設計劃分若干子系統(tǒng)或功能模塊設置不同的責任中心。由于權(quán)限設置的重疊或跨責任中心越權(quán)設置,使這一控制措施有可能形同虛設。
2、網(wǎng)絡傳輸和數(shù)據(jù)存貯故障或軟件的不完善,會計數(shù)據(jù)出現(xiàn)異常錯誤的可能性。手工系統(tǒng)下,這種可能性幾乎不存在;而在計算機系統(tǒng)下,這種可能性難以通過有效的內(nèi)控制度消除,必須靠先進的硬、軟件平臺以及會計軟件本身的自我保護,減少出現(xiàn)異常錯誤的幾率。就多數(shù)會計軟件看,對數(shù)據(jù)錄入的一致性和正確性控制,會計數(shù)據(jù)處理的安全性和連續(xù)性控制,軟件設計還是比較縝密的。但對集成化程度較高的企業(yè)級管理軟件,數(shù)據(jù)的共享性和一致性還不盡如人意。另外某些網(wǎng)絡平臺在實際應用中問題還是不少。
3、會計軟件對現(xiàn)金和銀行存款的收付業(yè)務缺乏實時有效的控制手段。對于企業(yè)內(nèi)部發(fā)生的現(xiàn)金和銀行存款收付業(yè)務,多數(shù)軟件是通過人工填制記賬憑證,從賬務系統(tǒng)入口錄入到電腦,部分軟件雖通過出納系統(tǒng)實時地錄入,但可能與憑證數(shù)據(jù)不同步。對于銀行存款的收付業(yè)務,不僅數(shù)據(jù)難以實時同步,而且存在雙方數(shù)據(jù)不一致的可能性。
(三)檢查風險的特征
檢查風險是指某一賬戶或交易類別或連同其他賬戶、交易類別產(chǎn)生錯報或漏報,而未能被實質(zhì)性測試發(fā)現(xiàn)的可能性。具體表現(xiàn)為:
1、會計軟件的更新?lián)Q代,增加了歷史文件難以提取的可能性。對賬戶或交易的重大實質(zhì)性測試往往離不開企業(yè)的歷史數(shù)據(jù)。由于軟件版本的更新、平臺的遷移,難以從往年賬套里提取這些歷史數(shù)據(jù),迫使審計師不得不從浩如煙海的文檔中收集整理歷史數(shù)據(jù)。這不僅降低了審計效率,而且?guī)砹烁嗟臋z查風險。
2、內(nèi)部控制主要依賴軟件本身,增加了難以全面檢查測試的可能性。手工系統(tǒng)下,對內(nèi)部控制的測試看得見、摸得著,而在計算機系統(tǒng)下,內(nèi)部控制融會于軟件之中,肉眼無法覺察。這就要求審計師有必要設計一些正常有效的業(yè)務數(shù)據(jù)和一些例外業(yè)務數(shù)據(jù)(不完整、無效的、不合理的、不合邏輯的),來檢查測試軟件的控制能力。由于多數(shù)審計師不是電腦專家,要在有限的審計時間里設計面面俱到的測試數(shù)據(jù)是不現(xiàn)實的。為此,筆者認為對軟件本身的審計檢查可納入軟件開發(fā)或評審之中,審計師在審計實務中,重點是測試數(shù)據(jù)的完整性以及操作權(quán)限的分配和應用情況。機數(shù)據(jù)處理與手工處理有許多不同點,從而產(chǎn)生了新的審計風險,分析研究計算機環(huán)境下的審計風險無疑對審計電算化的開展和審計質(zhì)量的控制都是很有意義的。
一、風險的特征
(一)固有風險的特征
固有風險是指假定不存在相關內(nèi)部控制時,某一賬戶或交易類別單獨或連同其他賬戶、交易類別產(chǎn)生錯報或漏報的可能性。具體表現(xiàn)為:
1、電子化會計數(shù)據(jù)存在被濫用、篡改和丟失的可能性。手工系統(tǒng)中,紙質(zhì)介質(zhì)上的信息易于辨認、追溯,而在計算機系統(tǒng)中,由于存貯介質(zhì)的改變,一旦用戶非法透過計算機系統(tǒng)的“防火墻”,極易破壞和修改電子數(shù)據(jù),且不留蛛絲馬跡。計算機病毒、電源故障、操作失誤、程序處理錯誤和網(wǎng)絡傳輸故障也會造成實際數(shù)據(jù)與電子賬面數(shù)據(jù)不相符,增加了固有審計風險的可能性。
2、電子數(shù)據(jù)存在易于減少或消失審計線索的可能性。手工系統(tǒng)中,會計處理的每一步都有文字記錄和經(jīng)手人簽名,審計線索清晰。但在計算機系統(tǒng)中,從原始數(shù)據(jù)的錄入到報表的自動生成,幾乎勿需人工干預,傳統(tǒng)的審計線索不復存在,為審計師追查審計線索帶來了極大困難。
3、原始數(shù)據(jù)的錄入存在錯漏的可能性。計算機系統(tǒng)下,大量的記賬憑證仍靠人工錄入,表面上機制賬、證、表的相互平衡可能掩蓋了人工錄入的錯漏。
(二)控制風險的特征
控制風險是指某一賬戶、交易類別或連同其他賬戶、交易類別產(chǎn)生錯報或漏報,而未能被內(nèi)部控制防止、發(fā)現(xiàn)或糾正的可能性。具體表現(xiàn)為:
1、有意或無意使設置權(quán)限密碼實現(xiàn)職責分工的約束機制有失效的可能性。手工系統(tǒng)下,通過建立崗位責任中心達到內(nèi)部控制的目的。在計算機系統(tǒng)下,一是通過劃分操作員的責任范圍,設置權(quán)限和密碼實現(xiàn)人員分工;二是通過軟件設計劃分若干子系統(tǒng)或功能模塊設置不同的責任中心。由于權(quán)限設置的重疊或跨責任中心越權(quán)設置,使這一控制措施有可能形同虛設。
2、網(wǎng)絡傳輸和數(shù)據(jù)存貯故障或軟件的不完善,會計數(shù)據(jù)出現(xiàn)異常錯誤的可能性。手工系統(tǒng)下,這種可能性幾乎不存在;而在計算機系統(tǒng)下,這種可能性難以通過有效的內(nèi)控制度消除,必須靠先進的硬、軟件平臺以及會計軟件本身的自我保護,減少出現(xiàn)異常錯誤的幾率。就多數(shù)會計軟件看,對數(shù)據(jù)錄入的一致性和正確性控制,會計數(shù)據(jù)處理的安全性和連續(xù)性控制,軟件設計還是比較縝密的。但對集成化程度較高的企業(yè)級管理軟件,數(shù)據(jù)的共享性和一致性還不盡如人意。另外某些網(wǎng)絡平臺在實際應用中問題還是不少。
3、會計軟件對現(xiàn)金和銀行存款的收付業(yè)務缺乏實時有效的控制手段。對于企業(yè)內(nèi)部發(fā)生的現(xiàn)金和銀行存款收付業(yè)務,多數(shù)軟件是通過人工填制記賬憑證,從賬務系統(tǒng)入口錄入到電腦,部分軟件雖通過出納系統(tǒng)實時地錄入,但可能與憑證數(shù)據(jù)不同步。對于銀行存款的收付業(yè)務,不僅數(shù)據(jù)難以實時同步,而且存在雙方數(shù)據(jù)不一致的可能性。
(三)檢查風險的特征
篇9
固有風險是指假定不存在相關內(nèi)部控制時,某一賬戶或交易類別單獨或連同其他賬戶、交易類別產(chǎn)生錯報或漏報的可能性。具體表現(xiàn)為:
1、電子化會計數(shù)據(jù)存在被濫用、篡改和丟失的可能性。手工系統(tǒng)中,紙質(zhì)介質(zhì)上的信息易于辨認、追溯,而在計算機系統(tǒng)中,由于存貯介質(zhì)的改變,一旦用戶非法透過計算機系統(tǒng)的“防火墻”,極易破壞和修改電子數(shù)據(jù),且不留蛛絲馬跡。計算機病毒、電源故障、操作失誤、程序處理錯誤和網(wǎng)絡傳輸故障也會造成實際數(shù)據(jù)與電子賬面數(shù)據(jù)不相符,增加了固有審計風險的可能性。
2、電子數(shù)據(jù)存在易于減少或消失審計線索的可能性。手工系統(tǒng)中,會計處理的每一步都有文字記錄和經(jīng)手人簽名,審計線索清晰。但在計算機系統(tǒng)中,從原始數(shù)據(jù)的錄入到報表的自動生成,幾乎勿需人工干預,傳統(tǒng)的審計線索不復存在,為審計師追查審計線索帶來了極大困難。
3、原始數(shù)據(jù)的錄入存在錯漏的可能性。計算機系統(tǒng)下,大量的記賬憑證仍靠人工錄入,表面上機制賬、證、表的相互平衡可能掩蓋了人工錄入的錯漏。
(二)控制風險的特征
控制風險是指某一賬戶、交易類別或連同其他賬戶、交易類別產(chǎn)生錯報或漏報,而未能被內(nèi)部控制防止、發(fā)現(xiàn)或糾正的可能性。具體表現(xiàn)為:
1、有意或無意使設置權(quán)限密碼實現(xiàn)職責分工的約束機制有失效的可能性。手工系統(tǒng)下,通過建立崗位責任中心達到內(nèi)部控制的目的。在計算機系統(tǒng)下,一是通過劃分操作員的責任范圍,設置權(quán)限和密碼實現(xiàn)人員分工;二是通過軟件設計劃分若干子系統(tǒng)或功能模塊設置不同的責任中心。由于權(quán)限設置的重疊或跨責任中心越權(quán)設置,使這一控制措施有可能形同虛設。
2、網(wǎng)絡傳輸和數(shù)據(jù)存貯故障或軟件的不完善,會計數(shù)據(jù)出現(xiàn)異常錯誤的可能性。手工系統(tǒng)下,這種可能性幾乎不存在;而在計算機系統(tǒng)下,這種可能性難以通過有效的內(nèi)控制度消除,必須靠先進的硬、軟件平臺以及會計軟件本身的自我保護,減少出現(xiàn)異常錯誤的幾率。就多數(shù)會計軟件看,對數(shù)據(jù)錄入的一致性和正確性控制,會計數(shù)據(jù)處理的安全性和連續(xù)性控制,軟件設計還是比較縝密的。但對集成化程度較高的企業(yè)級管理軟件,數(shù)據(jù)的共享性和一致性還不盡如人意。另外某些網(wǎng)絡平臺在實際應用中問題還是不少。
3、會計軟件對現(xiàn)金和銀行存款的收付業(yè)務缺乏實時有效的控制手段。對于企業(yè)內(nèi)部發(fā)生的現(xiàn)金和銀行存款收付業(yè)務,多數(shù)軟件是通過人工填制記賬憑證,從賬務系統(tǒng)入口錄入到電腦,部分軟件雖通過出納系統(tǒng)實時地錄入,但可能與憑證數(shù)據(jù)不同步。對于銀行存款的收付業(yè)務,不僅數(shù)據(jù)難以實時同步,而且存在雙方數(shù)據(jù)不一致的可能性。
(三)檢查風險的特征
檢查風險是指某一賬戶或交易類別或連同其他賬戶、交易類別產(chǎn)生錯報或漏報,而未能被實質(zhì)性測試發(fā)現(xiàn)的可能性。具體表現(xiàn)為:
1、會計軟件的更新?lián)Q代,增加了歷史文件難以提取的可能性。對賬戶或交易的重大實質(zhì)性測試往往離不開企業(yè)的歷史數(shù)據(jù)。由于軟件版本的更新、平臺的遷移,難以從往年賬套里提取這些歷史數(shù)據(jù),迫使審計師不得不從浩如煙海的文檔中收集整理歷史數(shù)據(jù)。這不僅降低了審計效率,而且?guī)砹烁嗟臋z查風險。
2、內(nèi)部控制主要依賴軟件本身,增加了難以全面檢查測試的可能性。手工系統(tǒng)下,對內(nèi)部控制的測試看得見、摸得著,而在計算機系統(tǒng)下,內(nèi)部控制融會于軟件之中,肉眼無法覺察。這就要求審計師有必要設計一些正常有效的業(yè)務數(shù)據(jù)和一些例外業(yè)務數(shù)據(jù)(不完整、無效的、不合理的、不合邏輯的),來檢查測試軟件的控制能力。由于多數(shù)審計師不是電腦專家,要在有限的審計時間里設計面面俱到的測試數(shù)據(jù)是不現(xiàn)實的。為此,筆者認為對軟件本身的審計檢查可納入軟件開發(fā)或評審之中,審計師在審計實務中,重點是測試數(shù)據(jù)的完整性以及操作權(quán)限的分配和應用情況。
二、降低審計風險的對策
(一)降低固有風險的對策
可以通過加強內(nèi)外部安全機制、完善軟件功能、必進數(shù)據(jù)錄入技術,降低審計固有風險。
1、加強內(nèi)外部安全控制機制,降低會計數(shù)據(jù)被濫用、篡改和丟失的可能性。首先是配備可靠的硬件設備,如增加防火墻設備,增加數(shù)據(jù)加密及路由加密設備,增加備份硬盤等。其次,獲取后續(xù)支持軟件,如會計軟件版本更新支持、加密算法更新的支持等;再次,建立安全的運行環(huán)境,為會計系統(tǒng)建立一個相對開放且安全級別較高的專用局域網(wǎng),合理設置多層加密關口和防火墻;最后是完善管理制度。
2、完善軟件的設計,降低減少或消失審計線索的可能性。一是完善操作日記的設計,只有打印存檔后才允許刪除;二是設置強制備份,如跨期操作必須做備份;三是取消反過賬、反結(jié)賬功能,設計報表與賬套數(shù)據(jù)的關聯(lián),并記錄報表已打印的次數(shù);四是非經(jīng)授權(quán)不可擅自修改報表的取數(shù)公式等。
3、改進數(shù)據(jù)錄入技術,降低數(shù)據(jù)錄入錯誤的可能性。一是設計磁性單據(jù),盡量采取掃描錄入;二是對重要的原始憑證,利用多媒體技術掃描壓縮存盤;三是使用自動轉(zhuǎn)賬功能,保持數(shù)據(jù)的正確完整。
(二)降低控制風險的對策
一般來說,控制措施包括制度控制和程序控制,這里主要就權(quán)限密碼、降低數(shù)據(jù)異常錯誤和聯(lián)網(wǎng)傳輸問題,談一些具體措施。
1、分配設置責任中心和操作權(quán)限密碼,降低約束機制失效的可能性。首先是系統(tǒng)管理員為不同崗位的會計人員設置不同的操作權(quán)限和口令;其次是經(jīng)授權(quán)后的各用戶應定期修改自己的密碼;最后是嚴格控制跨責任中心設置操作權(quán)限。
2、提高網(wǎng)絡通信效率和效果,降低軟件出現(xiàn)異常錯誤的可能性。一是選取性能優(yōu)良的網(wǎng)絡操作平臺和網(wǎng)絡傳輸配套設備;二是選擇基于優(yōu)良數(shù)據(jù)庫開發(fā)平臺的會計軟件;三是提高軟件使用者的計算機應用水平。
3、建立企業(yè)與銀行之間的網(wǎng)絡連接,降低數(shù)據(jù)不一致的可能性。對企業(yè)內(nèi)部的收付業(yè)務借助磁性單據(jù)掃描錄入,依靠軟件的智能化同步自動生成記賬憑證;對與銀行間的業(yè)務,建立廣域網(wǎng)連接,實時傳送,保證數(shù)據(jù)同步和一致。
(三)降低檢查風險的對策
篇10
(一)審計主體方面的原因
1、審計人員的勝任能力有待提高。計算機審計是一項綜合性審計,涉及的知識面較廣,只依靠審計人員過去的知識和技能是難以勝任的。此時,審計人員不僅要掌握審計、會計、財務方面的知識,還需要掌握計算機硬件、會計軟件、信息處理技術及網(wǎng)絡等方面的知識。如果審計人員不同時具備這些知識,則在審計取證的過程中,在進行人機對話時,很可能出現(xiàn)審計人員所得與所想的會計信息存在偏差,而這當中也可能隱藏了重要的審計線索,從而加大了審計風險。
2、審計人員的風險意識有待加強。與傳統(tǒng)手工審計相比,計算機系統(tǒng)下的審計風險的內(nèi)容或被賦予了新的內(nèi)涵,或得到了進一步的補充,集中表現(xiàn)在計算機審計風險隱蔽性強、可控性差、破壞性大等特點上。審計人員必須對此引起足夠的重視,如果僅僅為了完成審計任務,而不考慮審計風險內(nèi)容及其內(nèi)涵變化,必然會導致審計質(zhì)量不高或降低審計效率,從而無法客觀、公正地評價被審計單位審計期間的財政收支、財務收支的真實性、公允性,加大了審計風險。
(二)審計客體方面的原因
1、被審計單位內(nèi)部控制制度不健全。在傳統(tǒng)手工會計系統(tǒng)中,內(nèi)部控制通常表現(xiàn)為手工控制,這種控制形式責任明確也便于審計人員的調(diào)查和做出客觀評價。而在計算機系統(tǒng)環(huán)境下,內(nèi)部控制的內(nèi)容發(fā)生了變化,控制的方式由手工控制變?yōu)槭止た刂坪陀嬎銠C控制相結(jié)合。手工控制主要通過設置不同人員的權(quán)限來實現(xiàn),由于現(xiàn)行會計軟件多為商品化軟件,被審計單位對程序的設計缺乏足夠的參與認識,這在一定程度上會影響到被審計單位在人員權(quán)限設置上的科學性。另一方面,計算機控制又受到程序設計的影響,程序?qū)徲嫷目茖W與否直接影響到計算機控制的效果。不法分子也可能通過篡改程序或嵌入非法程序來影響計算機控制的效果。再有,被審計單位的組織形式可能會因為環(huán)境的變化而不同程度地調(diào)整,在手工會計系統(tǒng)中,被審計單位可以根據(jù)需要適時地、輕易地實現(xiàn)對內(nèi)部控制制度進行修改與完善;而在計算機系統(tǒng)環(huán)境下,就難以滿足這樣的要求。
2、被審計單位故意隱瞞審計所需信息。審計是審計人員運用專業(yè)知識和技能,依據(jù)審計準則對被審計單位相關資料進行鑒證的過程。因此,在審計過程中,審計人員必須取得被審計單位的配合才能更好地完成審計任務,實現(xiàn)審計目標。在審計取證過程中,如果被審計單位不積極提供充分的資料或隱瞞一些重要的變更事項,如會計程序的變更、人員權(quán)限的變更等,勢必會影響到審計人員所取得審計證據(jù)及其對審計證據(jù)評價的客觀性,從而加大了審計風險。
(三)審計環(huán)境方面的原因。隨著現(xiàn)代經(jīng)濟的迅速發(fā)展,現(xiàn)代企業(yè)的經(jīng)營規(guī)模越來越大,經(jīng)營活動也越來越復雜。各種高新技術的產(chǎn)業(yè)化、各種金融創(chuàng)新工具的廣泛運用,使得企業(yè)的經(jīng)營活動和財務報表編報和披露的復雜程度遠遠超出人們傳統(tǒng)的認識程度,特別當企業(yè)跨地區(qū)、跨國家經(jīng)營時,其復雜程度就更高。
1、審計的內(nèi)容不斷擴大。在計算機審計中,審計的內(nèi)容不僅包括傳統(tǒng)手工審計環(huán)境的內(nèi)容,還包括對會計軟件運行的評估和審核及對程序中安全控制措施的審查,如人員權(quán)限的設置等。審計內(nèi)容和范圍的擴大對審計人員提出了更高的要求。
2、審計線索趨于隱蔽。在傳統(tǒng)手工審計環(huán)境下,審計線索都是以紙質(zhì)形式存儲的,其中所包含的信息是可見的,需要時取得也較為便捷。而在計算機審計環(huán)境下,會計信息中有相當一部分是存儲在磁性介質(zhì)中的,它們是看不見、摸不著的,需要時必須通過人機對話,從計算機信息系統(tǒng)中調(diào)出所需會計信息,才能加以閱讀。會計信息存儲的隱蔽性導致信息取得的復雜性,必然會加大審計人員審計風險。
3、會計軟件種類繁多。市場中會計軟件的品牌、版本眾多,審計人員不可能完全熟練地操作所有的會計軟件。同時,會計軟件的升級,也會影響審計人員對歷史數(shù)據(jù)的提取。軟件公司基于保密的考慮,一般也不會輕易地向?qū)徲嫽蚱渌獠咳藛T透露其軟件設計程序。這又勢必會影響到審計人員對被審計單位會計信息的生成與傳遞及內(nèi)部控制的評估。
二、審計風險防范建議
(一)嚴格篩選風險較低的審計客戶。這一要求是指事務所在接受審計客戶時,必須對企業(yè)的經(jīng)營環(huán)境、經(jīng)營目標、企業(yè)管理層的經(jīng)營理念和誠信程度以及企業(yè)的財務狀況和經(jīng)營成果進行仔細的分析,以把握客戶的整體情況和審計風險的可控性。然后,選擇審計風險較低的企業(yè)作為審計客戶。這一要求并不表示在選擇客戶時,只能接受經(jīng)營業(yè)績和財務狀況很好的企業(yè),而表示只能接受經(jīng)營者管理層較講誠信的企業(yè)作為審計客戶。企業(yè)的經(jīng)營情況好壞不是決定是否接受審計委托的根本條件,因為不管企業(yè)經(jīng)營情況如何,只要企業(yè)經(jīng)營者能按照會計準則和披露要求客觀公允地反映其經(jīng)營成果和財務狀況,審計風險是可以控制的;只有當企業(yè)管理層為了達到某種目的而執(zhí)意歪曲財務報表時,審計風險就會變得難以控制,因而必須予以拒絕。
篇11
目前國際上對審計風險的定義,然而,沒有完全一致的,美國1983年審計準則、國際審計準則和中國注冊會計師審計準則這三者對誤報的定義不一致,,然則三者在審計風險表達的基本意義的大體上是一致的,他們指出審計風險主要在于審計人員在審計算著重大錯報或漏報的財務報表進行審計后,以為該重大錯報或漏報其實實際上沒有,因此,致使公告的審計意見產(chǎn)生了被審計單位實情不相符之危機。言外之意是審計人員對財務報表發(fā)表了不恰當意見的風險。事實上,這是一種狹義的審計風險的定義。其實,廣義上的審計風險定義更加符合審計風險的內(nèi)涵實質(zhì),因為廣義的審計風險可以理解為審計人員和審計的審計師的可能性,風險來自于對被審計單位的經(jīng)營風險。
在本質(zhì)上,計算機風險下的審計風險是在一般環(huán)境下的審計風險,即審計人員的不恰當審計意見的可能性。在計算機環(huán)境下,因為有詳細審計目標之增加,審計范疇和目標的擴展,審計不能只是關于財政報表所具有龐大錯報進行剖析,還包括對報表生成的來源及來源的載體(即電子數(shù)據(jù)和信息系統(tǒng)是否存在重大錯誤)進行鑒證。計算機風險下的審計風險,可以概括為被審計單位財務信息的“生成或表述”中存在重大錯誤而沒有被發(fā)現(xiàn),從而發(fā)表了不恰當審計意見的可能性。
二、計算機風險下審計風險特征
計算機環(huán)境下審計風險除了具備一般環(huán)境下審計風險的客觀性、無意性和可控性特征外,還具有信息化環(huán)境下的電子數(shù)據(jù)復雜性、信息系統(tǒng)間接性等特征。
1.計算機電子數(shù)據(jù)復雜性
計算機環(huán)境下的審計工作大部分面向被審計單位所具有之大量電子數(shù)據(jù)展開,這些電子數(shù)據(jù)容易被隨意更改而不落下一點蛛絲馬跡,因此倘若需要從各種渠道確認數(shù)據(jù)真實性,那么審計人員對電子數(shù)據(jù)進行采集、整理、轉(zhuǎn)換和分析的工作就必須考慮到電子數(shù)據(jù)的這些特征的復雜性。
2.計算機信息系統(tǒng)的間接性
計算機環(huán)境下的審計工作重要的一步是鑒證財務信息系統(tǒng)等真實性、可靠性和合法性進行。可是目前就審計技術和審計實踐這兩個層面存在棘手問題。于現(xiàn)在的審計技術來說,棘手問題在于難以實現(xiàn)直接通過查閱程序?qū)τ嬎銠C信息系統(tǒng)本身開展系統(tǒng)審計。從當前的審計實踐來看,棘手問題在于計算機信息系統(tǒng)的鑒證主要是審閱和分析相關文檔、座談、實地觀察以及虛擬數(shù)據(jù)測試等這些間接審計的方法,無法對數(shù)據(jù)直接通過審計,這樣勢必導致審計風險表現(xiàn)出含糊、朦朧的一面。
3.計算機風險下審計風險的客觀性
計算機風險下審計風險是具備的客觀性是不為審計人員等人的主觀意志所能避免的。如此看來,審計人員的作用主要是在審計過程中通過運用有效的方式,加上有效的審計程序,來壓制、減少或掌控審計風險,但是不能透徹地消除審計風險,這種客觀性是由審計工作的性質(zhì)主導的。
4.計算機風險下審計風險的無意性
計算機風險下審計風險的造成不是審計人員故意造成的,而是審計人員主體上并沒有察覺到其中一些客觀因素導致的結(jié)果。這里強調(diào)的無意并不是審計人員有意所為,這與計算機舞弊案例是截然不同的。
5.計算機風險下審計風險的復雜性
計算機風險下審計風險的復雜性主要體現(xiàn)在審計過程的復雜性。審計是一個復雜的過程,因此,導致審計風險的過程比較復雜,加之審計環(huán)境因素,審計主體和審計對象,審計過程中的審計風險更復雜。
6.計算機風險下審計風險的可控制性
盡管計算機風險下審計風險復雜,客觀存在,人的主觀意志不能透切地消除審計風險,不能從源頭制止審計風險的產(chǎn)生。幸運的是,審計人員能夠經(jīng)由各式各樣的有用方法來掌控風險,減少風險,使得審計風險造成的損失降到最低,因此,這種計算機風險下審計風險的可控制性之意義顯得尤為重要。
三、計算機審計與傳統(tǒng)審計的異同
(一)計算機審計與傳統(tǒng)手工審計的相同點
計這兩個由現(xiàn)達科技發(fā)展而產(chǎn)生區(qū)分點的兩種審計的類似之處主要為審計的目的、審計的經(jīng)過、法律的約束。大體上來說,兩者的方向出發(fā)點類似,均有為在堅守我國立法機關制定、國家政權(quán)保證執(zhí)行的規(guī)則的前提下保護所規(guī)定的監(jiān)督審計客體所具有的財政收支的真實性、合法性和效益性的權(quán)利,它在維護國家經(jīng)濟秩序起著重要的作用,保證公共資金的使用,促進我國經(jīng)濟建設和保證國民經(jīng)濟的健康發(fā)展發(fā)揮著重大的功用。計算機審計與手工審計的審計過程是相同的,國家審計的審計過程必須審核制,審計和審計報告三個階段,作為發(fā)表審計意見的依據(jù)是相同的。在實施審計的過程中,兩者在我國的法律約束是一樣的。
(二)計算機審計與傳統(tǒng)手工審計的不同點
計算機審計與傳統(tǒng)審計的區(qū)別在于不同的審計環(huán)境,思維方式的,審計的審計線索,審計測試的對象和范圍,審計技術,審計程序和審計風險,審計方法。這里主要講述審計風險的不同, 之所以計算機審計風險的構(gòu)成成分就較為復雜,是因為其過程較為繁瑣。因而,操控計算機進行審計過程之時,其風險的組成因素不只是有傳統(tǒng)手工審計所具有的重大錯報與檢查之風險,尚且有數(shù)據(jù)收集風險。假使審計人員把持欠妥抑或沒有掌控此危機的實力,通過計算機審計中的應用產(chǎn)生的審計風險可以大大提高。
四、計算機環(huán)境下審計風險的表現(xiàn)和原因
(一)計算機環(huán)境下審計風險的表現(xiàn)
目前審計環(huán)境下審計風險的
表現(xiàn)主要為審計數(shù)據(jù)堆積且不停增長造成審計數(shù)據(jù)量大;審計客體的審計數(shù)據(jù)如異構(gòu)、數(shù)據(jù)類型、數(shù)據(jù)單位、表達方式等的不一致性;審計效率較低;審計人員知識量小,經(jīng)驗尚淺;審計人員對審計數(shù)據(jù)關注點不一樣造成的審計結(jié)果不同;目前審計人員對計算機技術還不能物盡其用,致使審計效率和質(zhì)量低下。 (二)計算機環(huán)境下審計風險的原因
1.審計主體的原因
審計主體的原因主要指參與審計的審計人員和其所在的會計事務所所導致的審計風險的因素。審計主體的原因主要有審計過程中所選擇的審計方法不合適,審計人員自身能力和經(jīng)驗相對有限,會計事務所組織體制的缺陷,內(nèi)部治理水平的不足和質(zhì)量控制體系不健全。
2.審計客體的原因
審計客體的原因主要指被審計單位和其提供的財務報表所導致的審計風險的因素。審計客體的原因主要有被審計公司單位治理機制的缺陷所導致的公司管理層可能產(chǎn)生的集體合謀使會計造假致使審計人員在一定的審計程序下無法發(fā)現(xiàn)這種舞弊欺詐行為。
3.審計環(huán)境的原因
除了審計主題以及審計客體以外的審計處境也是構(gòu)成其風險的其中一個緣故,主要是指其風險的經(jīng)濟,法律,社會環(huán)境等等要素。。審計環(huán)境的原因主要有審計活動中審計人員提交虛假的審計報告,由此損害了國家、委托人或第三方的切身利益,背負了審計應該承擔的提供準確的審計信息、維護公共利益的重大責任。這種情況下,審計人員終究要周到法律追究,因而,法律風險轉(zhuǎn)變成一定程度上的審計風險;經(jīng)濟環(huán)境的因素則有市場經(jīng)濟體制改革的深入和現(xiàn)代高科技的發(fā)展,公司經(jīng)營的不穩(wěn)定性增加,市場經(jīng)濟的多元化和復雜多變的經(jīng)濟環(huán)境使審計人員很難進行多角度、全方位、深層次的評估,得到明確的審計意見的難度也將加大,所以審計風險增大;社會環(huán)境的因素主要表現(xiàn)為社會公眾主觀認為已審財務報表不存有一絲一毫的差錯和舞弊,可是審計人員發(fā)表的審計意見不是提供絕對的保證而是提供社會公眾相合理的保證。
五、計算機環(huán)境下降低審計風險的對策
(一)提高審計軟件的質(zhì)量
在高度計算機化的信息系統(tǒng)中,磁盤、光盤或磁帶上存儲著大量的被審計的信息和數(shù)據(jù),審計證據(jù)以及有關資料必須通過計算機程序方能成功獲取,即是需要通過相關計算機審計軟件獲得數(shù)據(jù)信息。以前開發(fā)應用軟件時容易忽略病毒、硬件故障和未經(jīng)授權(quán)者的入侵等因素,這些因素會影響審計工作的正常進行。作為審計過程中審計軟件,可以幫助審計人員應對處置會計單位的首要審計數(shù)據(jù)。于是,為了保證其效率以及質(zhì)量,創(chuàng)新研發(fā)實際審計工作皆能夠運用的普遍運用和專業(yè)使用的審計軟件以及提升審計軟件的質(zhì)量是必需。
(二)加強會計軟件的評審機制
目前我國的會計軟件的評審機制不夠成熟,主要是交給財政部門處理,這樣單一的會計軟件的評審機制勢必會為工作帶來一定的審計風險。所以,我們需要加以改進會計軟件的評審機制和促進完善會計軟件的評審機制。不妨在財政部門評審的會計軟件之前,組織審計專業(yè)人士對會計軟件評價測評并作出客觀的論斷,然后由財政部門在參考測評結(jié)論的前提下再做出對該會計軟件評審的決定。
(三)確保審計數(shù)據(jù)的完整性
倘若審計工作者采用難以合乎事宜的數(shù)據(jù)收集方法,未能確保所采擷收集審計數(shù)據(jù)的完整性,那么會為其造成風險埋下伏筆。因而唯有計算機系統(tǒng)數(shù)據(jù)無所缺失方可以保證審計質(zhì)量的有效性。為確保所采集數(shù)據(jù)的準確性和完整性,審計人員在審計時必須注意在確認被審計單位所提供的數(shù)據(jù)真實的前提下確認采集到的數(shù)據(jù)是否屬于審計時間范圍內(nèi)的財務數(shù)據(jù)等相關事項。
(四)選擇合理的審計方式
傳統(tǒng)的審計對計算機會計系統(tǒng)采取分離審計或純手工審計的方式,致使計算機系統(tǒng)的一系列控制弱點被忽略,所收集的審計證據(jù)殘缺不全,甚至無法實施有效的審計。因此迫切需要改進審計方式。另一面,審計人員在審計過程中起著最關鍵的作用,而審計方式的選擇取決于審計人員的計算機審計技能。要提高審計效率和效果,審計人員需要選擇合乎時宜的審計方式。
(五)配置合理的審計人員
之所以需要合理配置審計人員,是因為現(xiàn)在計算機審計要求頗高,技術性強,降低和減少審計風險,保證審計工作的正常進行。信息技術、業(yè)務需求之類的要求必然對計算機系統(tǒng)審計有顯著的影響,再加上較為復雜繁瑣的會計電算化系統(tǒng),因此對計算機審計專業(yè)人員的合理配置不可忽視。
(六)大理發(fā)展計算機審計教育
我國的各大相關計算機審計院校應該著力發(fā)展計算機審計教育,學校應該提供學生更多實踐操作的機會,讓學生能再實踐中了解和體會審計工作,從操作計算機審計軟件的過程中打好有關計算機審計方面的理論基礎,使得他們更全面地對計算機審計有所認識,同時,還需要加強對現(xiàn)有審計人員知識的計算機審計培訓,在全方位、多角度、深層次的培訓過程中加強他們的基本的計算機技能和拓寬他們與時俱進的計算機審計知識。此外,在加大對審計人員的培訓力度的基礎上還需要提高審計人員的道德水平和業(yè)務素質(zhì)。審計風險之掌控行動終究要依靠人的主觀能動能動性,培養(yǎng)人才是降低審計風險的最有力的途徑,因而需要:一方面,不斷加強現(xiàn)有工作人員的道德修養(yǎng);另一方面,重視對審計人員在審計方面的知識、信息技術、網(wǎng)絡技術及相應的安全控制技術方面的后續(xù)培訓,不斷更新和拓展其知識面。
篇12
1 當前信息環(huán)境下計算機審計的風險分類
研究發(fā)現(xiàn),目前我國企事業(yè)單位的計算機審計在風險承擔上的影響體現(xiàn)在兩個方面:
1.1 信息環(huán)境下的計算機審計本身具備的環(huán)境風險
對于計算機審計的固有風險,其涵蓋的因素比較多,除了在傳統(tǒng)審計方面,還存在計算機信息系統(tǒng)方面的固有風險影響因素。首先計算機審計本身就具備一定的環(huán)境,具體就是指其所處的風險,這種環(huán)境方面的風險就是指計算機系統(tǒng)由于本身處于網(wǎng)絡環(huán)境中,這種環(huán)境自身就存在一定的風險,這種風險是基于一定的計算機設備方面,計算機的信息系統(tǒng)存在的風險也就是審計過程所具有的風險,一般來說,對于審計L險方面的控制只能是針對于風險的評估過程,但是卻不能夠有效的控制或者抵制這種類型的風險,計算機的信息系統(tǒng)的風險一般包括軟件方面的風險以及硬件方面的風險。例如一些企事業(yè)單位的財務資料一般都是存儲在計算機設備當中,尤其是存儲在計算機硬件磁性材料的內(nèi)部,由于計算機硬件材料容易受到外界的損壞,例如溫度沖擊、濕度過大、灰塵堆積、電壓較高、外界的震動等等因素,這些外界因素很容易導致計算機設備的故障以及損壞,計算機設備一旦發(fā)生損壞就直接使得審計資料發(fā)生突發(fā)性的改變,甚至是直接丟失,所以說這種固有的風險就是計算機存儲設備的不穩(wěn)定性、不安全性以及較差的保密性;一些企事業(yè)單位的會計系統(tǒng)在軟件設計過程中就存在一定的系統(tǒng)漏洞,這主要是由于程序的本身設計就存在一定的漏洞,或者說由于會計系統(tǒng)的管理人員不具備專業(yè)的管理水平,不能滿足合理的使用會計管理系統(tǒng),所以引起一些企事業(yè)單位的數(shù)據(jù)處理發(fā)生異常,或者是出現(xiàn)應用錯誤;最后一點就是計算機病毒的威脅,目前網(wǎng)絡環(huán)境中存在各種類型的病毒,一旦計算機感染病毒就很容易導致數(shù)據(jù)的丟失。一些企事業(yè)單位的會計信息系統(tǒng)由于保持聯(lián)機狀態(tài),進而保證數(shù)據(jù)庫管理的網(wǎng)絡化,這種狀態(tài)就導致信息系統(tǒng)處于一種非封閉的狀態(tài),除了病毒意外,黑客入侵也能夠一定程度上威脅到信息系統(tǒng)的安全。
1.2 信息環(huán)境下的計算機審計控制過程的風險
對于一些企事業(yè)單位來說,其計算機審計控制過程上的風險就是意味著信息系統(tǒng)的內(nèi)部控制方面,內(nèi)部控制如果不能夠做到嚴密很容易導致風險的發(fā)生。這種風險主要是屬于審計過程方面的風險。對于一些企事業(yè)單位的審計過程來說,要實現(xiàn)對其的信息化管理,就需要嚴格地進行內(nèi)部的控制,這種控制一般就體現(xiàn)在人與人之間要形成監(jiān)督,人與計算機系統(tǒng)之間也要形成一定的監(jiān)督,而且以對企事業(yè)單位的會計系統(tǒng)的控制尤為重要。具體來說,這種審計過程控制方面的風險影響因素主要體現(xiàn)在可能導致信息系統(tǒng)的數(shù)據(jù)發(fā)生篡改,而這種因素屬于典型的人為因素,其引發(fā)的問題使得審計人員不得不面臨更加復雜的環(huán)境。如果發(fā)生這種現(xiàn)象,即便是審計資料發(fā)生了大幅度的改變也很難以留下明顯的痕跡,實際上對于企事業(yè)單位來說,由于會計系統(tǒng)具有典型的電算化特征,人為篡改數(shù)據(jù)的痕跡并不明顯,如果數(shù)據(jù)量很大則更加隱蔽。在計算機會計信息系統(tǒng)中,審計人員所審計的一些數(shù)據(jù)資料一般都是存儲在硬盤等磁性介質(zhì)上,例如會計電子憑證、收費項目電子表、收費金額統(tǒng)計表、收費數(shù)量表以及資金匯總報表等等,這些電子化的信息不僅僅容易被更改或者是隱匿,同時也可能被復制、轉(zhuǎn)移以及銷毀等等。如果會計系統(tǒng)被人為地嵌入一些非法程序,而計算機又不具備一定的自我檢查功能,就只能夠按照所設定的非法程序運行,以錯誤的方式來進行所有業(yè)務的處理,這樣就無法判定數(shù)據(jù)的真實性,無法適用于傳統(tǒng)的審計中的追蹤審查,只能靠審查人員的判斷以及經(jīng)驗。
2 降低信息環(huán)境下計算機審計的風險
很多的企事業(yè)單位最熟悉、信賴的依然是傳統(tǒng)的審計模式,不僅僅是因為會計業(yè)務的習慣問題,也是出于對審計的安全方面考慮。在計算機審計方面大多處于一個起步的階段,在計算機審計的宣傳以及推廣方面仍然需要進一步的提高。我們在面對計算機審計,必須要做到:
2.1 進行全面風險管理
企事業(yè)單位最重要的一種核心競爭能力便是計算機審計風險管理能力,計算機審計帶來的改變必然會影響企業(yè)的現(xiàn)有的風險約束,在風險管理的理念以及風險管理的整個流程、組織結(jié)構(gòu)都會受之影響,進而隨之改變。因此,在進行計算機審計的過程中一定要明確風險趨勢、做好準備工作,保障風險管理的戰(zhàn)略位置。此外,風險管理要建立全面的理念,組織獨立的風險管理團隊,對日常審計工作實行實時風險監(jiān)測,實現(xiàn)風險有效預警。
2.2 培養(yǎng)專業(yè)計算機審計人員
面對逐漸深化的審計過程改革,要想提高自己的審計過程的科學性就必須建立一流的計算機審計隊伍人才。應注重審計人員的風險教育以及風險培訓,提高審計人員對風險管理的理解力和執(zhí)行力。要想在金融創(chuàng)新潮流中更好地增加自己的審計業(yè)務,提高風險承擔能力,就必須培養(yǎng)自己的精英審計人才,擁有能夠進行計算機審計風險管理的專業(yè)化員工。只有重視人才的培養(yǎng)、重視審計專業(yè)的素質(zhì)培養(yǎng),才能使自己融入計算機審計這一新興領域,為計算機審計風險承擔提供更好的人才支持。
3 結(jié)束語
計算機審計給企事業(yè)單位在審計風險承擔上同樣帶來了強大的沖擊。在信息環(huán)境對審計風險承擔的影響上,計算機審計是審計蓬勃發(fā)展下的一種產(chǎn)物,可以很好的促進審計過程的市場化,在降低審計成本的同時降低審計過程面臨的風險。只要合理充分的利用計算機審計,就能夠大大的推動審計改革。
參考文獻
[1]陳哲.試論我國計算機輔助審計所面臨的問題及對策[J].吉林省經(jīng)濟管理干部學院學報,2003(6).
[2]許華.審計風險及防范對策探析[J].時代經(jīng)貿(mào),2008(6).
[3]管勇,楊少梅,尚濤.計算機環(huán)境下審計面臨的挑戰(zhàn)與對策[J].衛(wèi)生經(jīng)濟研究,2005(7).
[4]郭宗文,張紅衛(wèi).計算機審計[M].北京:清華大學出版社,2005.
[5]盛學紅.規(guī)避審計風險提高審計質(zhì)量[J].學術縱橫,2009(5).
[6]趙春青.淺論網(wǎng)絡環(huán)境下會計信息系統(tǒng)面臨的風險及防范措施[J].財務與會計,2005(9):47-48.
篇13
一、計算機系統(tǒng)與計算機系統(tǒng)審計風險
計算機系統(tǒng)環(huán)境相對于手工會計環(huán)境,由于其數(shù)據(jù)處理的集中程度高、處理速度快、信息儲存方式、儲存媒介特殊,給審計工作帶來了獨特的風險。
(一) 計算機系統(tǒng)的特征
1.計算機環(huán)境下,信息處理過程中的錯誤有短時間內(nèi)重復出現(xiàn)的可能。較之手工會計,會計電算化系統(tǒng)處理的集中化,加之計算機運算的高速性,計算機會計信息系統(tǒng)的輸入過程比手工系統(tǒng)多了將人可讀的數(shù)據(jù)轉(zhuǎn)換為機器可讀代碼形式,使得其處理結(jié)果發(fā)生錯誤的可能性大大提高,而一旦發(fā)生錯誤,就往往在短時間內(nèi)產(chǎn)生連鎖反應,使得多種文件、賬簿,以至整個系統(tǒng)失真。如果發(fā)生錯誤的原因在于系統(tǒng)受到攻擊或系統(tǒng)程序、應用軟件出現(xiàn)差錯,則計算機就會連續(xù)重復執(zhí)行同一錯誤操作,而不易被察覺。
2.計算機環(huán)境下,內(nèi)部控制的功能發(fā)生改變。計算機環(huán)境改變了會計憑證的形式。在電算化會計系統(tǒng)中,會計和財務的業(yè)務處理方法和處理程序發(fā)生了很大的變化,各類會計憑證和報表的生成方式、會計信息的儲存方式和儲存媒介也發(fā)生了很大的變化。原先反映會計和財務處理過程的各種記賬憑證、匯總表等書面形式的資料減少了。由于網(wǎng)上辦公、無紙化辦公等的推行,每一項業(yè)務的有關信息由業(yè)務人員直接輸入計算機,并自動記錄,原來在核算過程中進行的各種必要的核對、審核等工作,有相當一部分變?yōu)橛捎嬎銠C自動完成了。原來書面形式的各類會計憑證轉(zhuǎn)變?yōu)橐晕募⒂涗浶问絻Υ嬖诖判越橘|(zhì)上。因此,電算化會計系統(tǒng)的內(nèi)部控制與手工會計系統(tǒng)的內(nèi)部控制制度有著很大的不同,控制的重點由對人的控制為主轉(zhuǎn)變?yōu)閷θ恕C控制為主,控制的程序也應當與計算機處理程序相一致。
3.計算機環(huán)境下,信息的安全性要求更高。手工條件下,可以將重要的數(shù)據(jù)文件或記錄在紙上的重要信息,保存在安全性較高的物理場所,如企業(yè)的保險柜里,以保證數(shù)據(jù)的安全。在計算機環(huán)境下所有的信息都存儲在磁、光或計算機硬盤中,而這些存儲介質(zhì)發(fā)生損壞的可能性較之賬簿等紙質(zhì)工具發(fā)生損壞的可能性大大增加。
4.計算機環(huán)境下,舞弊的防范更難。計算機運行速度快、精度高,但同時使系統(tǒng)喪失了人類所具有的對不合邏輯、不合理的以及例外事項的判斷和處理能力,因此,要求在數(shù)據(jù)處理過程中增加多種檢查控制。在計算機環(huán)境下,數(shù)據(jù)被擅自篡改也不易留下線索。
(二)計算機系統(tǒng)的審計風險
1983年美國注冊會計師協(xié)會的第47號《審計準則說明書》 、《審計風險和重要性》中將審計風險模型確定為:審計風險(AR)=固有風險(IR)×控制風險(CR)×檢查風險(DR)。這一觀點被世界會計師聯(lián)合會及包括我國在內(nèi)的世界多數(shù)國家的審計職業(yè)界所接受。
審計風險會因客戶的會計電算化和內(nèi)部控制的程序化而呈現(xiàn)出新的特征,審計師就應重新規(guī)劃審計程序,采取相應的對策和輔助審計軟件進行審計。
1.計算機系統(tǒng)的固有風險。固有風險是指假定不存在相關內(nèi)部控制時,某一賬戶或交易類別單獨或連同其他賬戶、交易類別產(chǎn)生錯報或漏報的可能性。具體表現(xiàn)為:
一方面,計算機系統(tǒng)的安全性是影響固有風險的根本因素。大部分電算化系統(tǒng)設計成客戶服務系統(tǒng),它有巨大的容量和信息存儲量。這些系統(tǒng)一般整體性很強,利用企業(yè)資源規(guī)劃系統(tǒng)保證程序的連續(xù)性。如果系統(tǒng)失敗,整個公司也很有可能面臨破產(chǎn)的命運。如果沒有一套包括計算機系統(tǒng)在內(nèi)的完整的風險管理系統(tǒng),公司就要承擔高風險。主要包含: 計算機系統(tǒng)的物理安全;計算機程序的合理性;網(wǎng)絡信息通訊的安全性三方面。
另外,電子化會計數(shù)據(jù)的安全性問題是影響審計固有風險的關鍵因素。手工條件下,可以將重要的數(shù)據(jù)文件或記錄在紙上的重要信息保存在安全性較高的物理場所,如企業(yè)的保險柜里,或者通過不相容職務的內(nèi)部牽制保證數(shù)據(jù)的安全。在計算機環(huán)境下所有的信息都存儲在磁、光或計算機硬盤中,要確保硬件遭到破壞時信息的安全,防止未經(jīng)授權(quán)的侵入破壞或篡改計算機應用程序。
2.計算機系統(tǒng)的控制風險。控制風險是指某一賬戶或交易類別或連同其他賬戶、交易類別產(chǎn)生錯報或漏報,而未能被內(nèi)部控制防止、發(fā)現(xiàn)或糾正的可能性。具體表現(xiàn)為:
首先,訪問權(quán)控制的不嚴密有可能導致虛假的會計數(shù)據(jù)。訪問權(quán)控制的功能是在數(shù)據(jù)信息和非法訪問者之間建立一道安全屏障。未經(jīng)授權(quán)的訪問計算機系統(tǒng),工作人員的訪問密碼泄露,越權(quán)訪問、修改或刪除會計數(shù)據(jù)等情況如果不能被置于訪問權(quán)控制之下,都會極大地損害會計數(shù)據(jù)的安全性、真實性。
其次,網(wǎng)絡傳輸和數(shù)據(jù)存貯故障或軟件的不完善,有使會計數(shù)據(jù)出現(xiàn)異常錯誤的可能性。相對手工系統(tǒng),計算機系統(tǒng)下這種風險難以通過有效的內(nèi)部控制制度消除,必須靠先進的硬、軟件平臺以及會計軟件本身的自我保護,減少出現(xiàn)異常錯誤的幾率。大多數(shù)會計軟件能對數(shù)據(jù)錄入的一致性和正確性以及會計數(shù)據(jù)處理的安全性和連續(xù)性進行控制,但對于集成化程度較高的企業(yè)級管理軟件來說,數(shù)據(jù)的共享性和一致性還不盡人意。
計算機系統(tǒng)下,內(nèi)部控制包括對人和機器兩方面的控制,而且以對機器控制為主。計算機內(nèi)部控制的框架如圖1:
從圖1可以看出,計算機系統(tǒng)內(nèi)部控制由一般控制和應用控制構(gòu)成。其中,一般控制是指對計算機會計信息系統(tǒng)的組織、開發(fā)、應用環(huán)境等方面進行的控制,主要包括組織與管理控制、系統(tǒng)開發(fā)與維護控制、系統(tǒng)操作控制、系統(tǒng)安全及文檔控制等。應用控制,是指對計算機會計信息系統(tǒng)中具體的數(shù)據(jù)處理功能的控制。應用控制有特殊性,不同的應用系統(tǒng)有不同的控制要求,但應用系統(tǒng)一般都包括會計數(shù)據(jù)的輸入控制、處理控制和輸出控制三個方面。一般控制的缺陷產(chǎn)生的危害極大,會影響應用控制的有效性,這是由一般控制的基礎地位所決定的。另外,新的計算機信息系統(tǒng)技術的應用,如微機――主機連接系統(tǒng)、分散的數(shù)據(jù)庫系統(tǒng)、終端處理系統(tǒng)及直接提供信息給可見系統(tǒng)的企業(yè)管理系統(tǒng)等,增加了計算機信息系統(tǒng)整體復雜性和它們所影響的具體應用的復雜性。
3.計算機系統(tǒng)的檢查風險。檢查風險是指某一賬戶或交易類別或連同其他賬戶、交易類別產(chǎn)生錯報或漏報,而未能被實質(zhì)性測試發(fā)現(xiàn)的可能性。檢查風險是審計人員唯一可以自主確定和控制的風險。
對賬戶或交易的重大實質(zhì)性測試往往離不開企業(yè)的歷史數(shù)據(jù),隨著會計法規(guī)的完善和計算機技術的發(fā)展,會計軟件在不斷的更新,歷史數(shù)據(jù)取得的難度將會加大。由于軟件版本的更新、平臺的遷移,難以從往年帳套里提取這些歷史數(shù)據(jù),迫使審計師不得不轉(zhuǎn)向大量的歷史文檔中收集整理數(shù)據(jù)。這一方面降低了審計效率,更重要的是帶來了更高的檢查風險。
另外,由于目前大多數(shù)審計人員只是會計、審計方面的專家,要求審計人員在有限的時間設計很全面的測試數(shù)據(jù)是不現(xiàn)實的。再加上審計軟件設計中本身的缺陷也會增大檢查風險。
二、計算機系統(tǒng)審計風險的防范
(一)準確評價計算機系統(tǒng)的固有風險
1.評估計算機設備的物理安全性。對于計算機系統(tǒng)的控制,審計人員應了解系統(tǒng)設置是如何依賴這些硬件控制的;操作系統(tǒng)如何利用這些硬件控制;系統(tǒng)如何報告檢查出的錯誤,以及糾正錯誤的程序。了解計算機系統(tǒng)環(huán)境存在的潛在威脅,如企業(yè)對水、火災的防范措施,有沒有配備合適的穩(wěn)壓器,不間斷電源(UPS)等降低電源波動帶來的影響,對所有的訪問尤其是非法入侵是否都記錄在計算機日志里,管理人員采取了什么措施應對非法入侵,計算機系統(tǒng)是如何防范計算機病毒,有沒有具體的應急措施應對意外情況的發(fā)生等。
2.評價電子數(shù)據(jù)的安全性。為了保證信息的安全性,一方面要注意計算機硬件的安全,更主要的是要防止未經(jīng)授權(quán)更改或刪除電子數(shù)據(jù)。所以,要做到:信息的訪問權(quán)只給單位中指定的人;對會計數(shù)據(jù)修改或刪除的權(quán)力只賦予被授權(quán)的人;計算機系統(tǒng)能夠辨認訪問者的訪問權(quán)限;單位的信息安全部門應密切監(jiān)視來自外部的惡意攻擊,然后定期以報告的形式向信息安全的負責人報告;電子數(shù)據(jù)要有備份,備份數(shù)據(jù)能得到妥善保管。
3.檢查信息通訊的安全性。為保證一臺計算機與其它的設備,如終端或其他的計算機系統(tǒng)之間信息傳輸信息的完整性與真實性,被審計單位至少要對傳輸?shù)男畔⒓用埽唤邮招畔⒌膽贸绦蚺c發(fā)送信息的線路分開; 接收到信息后有信息反饋檢查,特殊信息要依靠調(diào)制解調(diào)器解調(diào)傳輸;企業(yè)的內(nèi)部信息通訊系統(tǒng)與國際互聯(lián)網(wǎng)之間要有防火墻,以防來自互聯(lián)網(wǎng)上的惡意攻擊。
(二)合理評估計算機系統(tǒng)的控制風險
對于控制風險的評估主要應集中于對組織管理控制風險,訪問權(quán)控制風險,程序開發(fā)、數(shù)據(jù)修改控制風險的合理估計。
1.組織管理控制風險的識別。組織控制的關鍵在于職責的分工。審計人員應檢查被審計單位的組織結(jié)構(gòu)、職權(quán)和責任的分配情況,如程序與開發(fā)系統(tǒng)、計算機操作、輸入數(shù)據(jù)的控制等職責,在可行的情況下是否予以分離,職工定期輪換工作崗位制度是否完善等。目的在于確定職責分工是否能夠提供有力的內(nèi)部控制。注冊會計師應判斷組織管理控制的強弱,對由于職責分工不夠而產(chǎn)生的風險作出合理評價。
2.電算化系統(tǒng)開發(fā)控制。對于首次接受審計的企業(yè),對電算化系統(tǒng)開發(fā)控制的審計,審計人員應主要了解系統(tǒng)開發(fā)前是否有計劃,開發(fā)系統(tǒng)是否得到授權(quán),是否有相應的程序加以控制等。
3.計算機設備、信息和程序訪問權(quán)控制可能的缺陷。審計人員要分兩個層次了解訪問控制:訪問控制的程序整體執(zhí)行情況及人事和工資管理部門執(zhí)行內(nèi)部控制的情況。具體要了解公司是否使用了訪問控制軟件,其能夠提供哪些功能,公司有沒有專門負責數(shù)據(jù)安全的部門,對工資水平修改的程序、員工花名冊的變化是否只是由人事部門決定,人員變動是否得到了及時記錄等。
(三)努力控制檢查風險
檢查風險是審計人員唯一可控風險,在這個階段,審計的任務是在準備階段初步風險評估的基礎上,對內(nèi)部控制進行測試,評價控制風險,決定可以接受的檢查風險。將檢查風險控制在可接受范圍之內(nèi)。對于內(nèi)部控制的測試主要包括對數(shù)據(jù)輸入控制的測試、數(shù)據(jù)通訊和數(shù)據(jù)處理控制的測試和數(shù)據(jù)輸出控制的測試。
1.數(shù)據(jù)輸入控制的審計。審計人員在對數(shù)據(jù)輸入控制進行審計時,應注意檢查經(jīng)濟業(yè)務的發(fā)生是否有適當?shù)呐鷾饰募员WC數(shù)據(jù)輸入的合規(guī)性;同時應注意檢查所輸入數(shù)據(jù)的正確性,完整性,數(shù)據(jù)是否被不正確地添加、復制或修改等情況。主要進行輸入有效性測試,包括字符域控制的測試,信息合理性測試,數(shù)據(jù)范圍控制的測試,信息有用性的測試,信息完整性的測試等。
2.數(shù)據(jù)通訊和數(shù)據(jù)處理控制的審計。審計人員對輸入過程控制進行審計時,應注意檢查經(jīng)濟業(yè)務數(shù)據(jù)的來源是否可靠,資料是否完整、準確,有沒有可能被篡改過;檢查數(shù)據(jù)的處理方法是否正確,處理的步驟、使用的程序、結(jié)果的保存是否正確無誤,等等。主要進行數(shù)據(jù)處理的有效性測試,采用的技術方法有綜合抽查設備法(ITF),標簽與跟蹤法或借助審計軟件。
3.數(shù)據(jù)輸出控制的審計。審計人員應注意審查輸出的計算機處理結(jié)果是否準確無誤,輸出的結(jié)果是否被及時、按照規(guī)定提供給有關的人員或部門,是否有必要的手續(xù)和記錄,等等。主要進行控制總數(shù),數(shù)據(jù)的勾稽關系和輸出的合理性檢驗。
在以上審計程序中,輸入有效性測試、處理有效性測試、控制總數(shù),數(shù)據(jù)的勾稽關系和輸出的合理性檢驗任何一項存在重大缺陷,審計人員要評估控制風險為高風險。
(四)綜合運用適當?shù)膶徲嫹椒?/p>
一般來說,審計人員所采用的審計方法主要有:面談法、問卷調(diào)查法、審閱法、流程圖法、測試法等。為了有效防范計算機系統(tǒng)的審計風險,結(jié)合計算機審計的特點,應用合理的方法或方法的組合,才能取得實效。
1.面談法。面談法具有簡單方便之優(yōu)點,在內(nèi)部控制審計中經(jīng)常被采用。審計師為了獲得一次高效的面談,應該與被訪問者相互配合和信任。在對一般控制審計時,可以通過與被審單位的領導與職工交談,向電算部門及各業(yè)務部門的人員詢問了解有關的職責分離的控制是否得到執(zhí)行。在對系統(tǒng)開發(fā)控制和程序修改控制審計時,向有關參與系統(tǒng)開發(fā)人員了解有無用戶代表和內(nèi)審人員參加,參加了哪些工作,現(xiàn)有的信息系統(tǒng)能否符合用戶的要求等。另外還可以通過面談了解內(nèi)部控制的經(jīng)濟性,重大的錯誤是否得到及時、恰當?shù)募m正,輸出的資料是如何處置的,有無健全的檢查、保管、分發(fā)制度等。
2.問卷調(diào)查法。問卷調(diào)查法節(jié)省時間,調(diào)查面廣。審計人員可以根據(jù)需要調(diào)查的情況設計好調(diào)查問卷,獲取信息,以判斷有關的內(nèi)部控制是否存在、可靠,有無得到執(zhí)行。在內(nèi)部控制審計的各個程序都可以使用。使用這種方法要注意問卷調(diào)查表中問題的性質(zhì)、提問技巧、度量的尺寸或調(diào)查表的布局設計。
3.審閱法。審閱法是指審計人員通過仔細審查和翻閱有關的書面文件或記錄,借以查明資料及所反映的記錄是否公允、正確、合法、合規(guī),從中發(fā)現(xiàn)錯弊或疑點。審計人員在一般控制審計時,通過審閱內(nèi)部審計人員留下的系統(tǒng)開發(fā)的工作底稿,了解系統(tǒng)開發(fā)的控制。通過審閱系統(tǒng)測試的數(shù)據(jù)及結(jié)果,檢查系統(tǒng)在試運行階段的運行情況,有無被修改,系統(tǒng)在正式投入使用前是否經(jīng)過了最后批準。通過審閱有關系統(tǒng)訪問控制的計算機日志,了解是否只有被授權(quán)人才可以訪問特定程序或信息,對使用錯誤密碼企圖進入系統(tǒng)的情況,系統(tǒng)都作了記錄并有專人調(diào)查。
4.流程圖法。流程圖在審計活動中發(fā)揮著越來越重要的作用。利用流程圖,可以對被審計的信息系統(tǒng)結(jié)構(gòu)有更深刻的理解,從而更有效地分析系統(tǒng)的運行過程。在計算機審計中,流程圖可能是現(xiàn)成的,審計人員應該確定被審計單位提供的流程圖是否正確,防止被審計單位造假。有時被審計單位提供的流程圖不夠詳細或者沒有現(xiàn)成的流程圖,審計人員應要求被審計單位提供源程序,據(jù)此得到流程圖,確定源程序中設置了哪些控制措施。對內(nèi)部控制審計時,使用流程圖法可以幫助審計人員分析和設計內(nèi)部控制。審計人員還可以利用流程圖找出系統(tǒng)中的薄弱環(huán)節(jié)。
5.測試法。測試貫穿于計算機審計的整個過程,是計算機審計的重要方法。是審計人員收集證據(jù)的重要技術。測試法是從計算機輸入開始,跟蹤某項業(yè)務直至計算機輸出,以檢驗計算機應用程序、控制程序和系統(tǒng)可靠性的一種方法。在計算機環(huán)境下內(nèi)部控制的審計中,使用測試法檢查訪問權(quán)控制的有效性,使用測試法檢查輸入有效性控制的執(zhí)行情況,如對工資處理應用程序中輸入數(shù)據(jù)的數(shù)據(jù)類型、數(shù)據(jù)有效性、數(shù)據(jù)范圍、邏輯關系、數(shù)據(jù)加工的內(nèi)部控制的測試。
【主要參考文獻】
[1] 石愛中,胡繼榮.《審計研究》.經(jīng)濟科學出版社,2002.
[2] 楊占芳. “計算機信息系統(tǒng)的內(nèi)部控制”. 中州審計,2004年第8期.
[3]肖忠. “淺談計算機系統(tǒng)審計的證據(jù)收集方法”. 計算機與現(xiàn)代化,2004年第8期.
[4] 劉汝焯等. 《計算機審計技術和方法》. 清華大學出版社, 2004.
[5] 葉陳剛,李相志. 《審計理論與實務》. 中信出版社. 2005.
