浅谈计算机审计的风险控制
李二永(江苏省连云港市海州区审计局)
目前我国计算机审计已渐渐兴起,几年来随着信息化的发展已取得了初步成效:培养了一批计算机审计人才;审计软件的开发取得了显著进步;初步建立了计算机审计准则和规范。计算机审计的运用不仅提高了审计工作效率而且保证了审计质量。但是计算机审计在促进审计工作的同时也颠覆了传统的审计方法,对审计部门工作人员素质、审计制度建设以及审计环境等都提出了新的要求。因此,计算机审计在一定程度上存在着风险。如何合理规避这些风险在今天的审计工作中就显得尤为重要。
一、计算机审计风险的成因
审计风险是指被审计单位的报表存在重大错报或漏报而审计人员发表不恰当审计意见的可能性。审计风险由固有风险、控制风险和检查风险组成,它们之间的关系是:审计风险=固有风险×控制风险×检查风险。在计算机审计中,由于财务数据处理的电算化,其本身的正确性和可靠性得以基本保证。因此固有风险基本上被控制,并呈降低的趋势。但是,由于会计信息系统的开放性和网络化,使得会计信息资源在极大的范围内得以共享和交流,这无疑将审计工作置于一种被动之中。例如,存放在主机内的会计信息被人为非法拷贝和恶意篡改;计算机病毒的肆意侵袭,会威胁数据的安全,严重时可能导致会计信息的全线崩溃等。可见,数据的安全、完整性控制难以得到保护,从而使控制风险和检查风险的水平呈上升趋势,具体可概括为以下几个方面:
1、内控制度方面。在传统手工会计系统中,内部控制通常表现为手工控制,这种控制形式责任明确也便于审计人员的调查和作出客观评价。而在计算机系统环境下,内部控制的方法发生了很大的变化,这时传统的手工控制措施已经不能达到其控制目的了。主要表现在:一是内部控制措施由手工控制为主转向以计算机控制为主;二是手工条件下的控制措施在电算条件下已经失效,代之以新的手工控制措施,如被审计单位人员权限设置等控制措施。这些改变使得内部控制环境的复杂性增加,于是让舞弊者有机可乘,从而产生审计的控制风险。另一方面,被审计单位故意篡改数据,不留审计线索。在计算机环境中,数据的电子化并以磁介质为主要储存载体,这为舞弊者或攻击者对原始数据进行非法修改或删除,且不留篡改痕迹成为可能,这将无法保证数据的完整性和真实性,给审计监督带来风险。再有,被审计单位的组织形式可能会因为环境的变化而不同程度地调整,在手工会计系统中,被审计单位可以根据需要适时地、轻易地实现对内部控制制度进行修改与完善;而在计算机系统环境下,就难以满足这样的要求。
2、审计主体方面。(1)审计人员的素质有待提高。计算机审计是一项综合性审计,涉及的知识面较广,只依靠审计人员过去的知识和技能是难以胜任的。此时,审计人员不仅要掌握审计、会计、财务方面的知识,还需要掌握计算机硬件、会计软件、信息处理技术及网络等方面的知识。如果审计人员不同时具备这些知识,则在审计取证的过程中,很可能出现审计人员所得与所想的会计信息存在偏差,而这当中也可能隐藏了重要的审计线索,从而加大了审计风险。(2)审计方法、方式日趋复杂。经济信息系统电算化后,审计方法和方式有了很大的变化,由于被审计单位采用的应用软件有的是商品化软件,有的是自行研究开发的软件,在功能、程序处理上都有着一定的差别,并且根据审计要素和对象的不同,其要求运用的审计方法和方式也不一样,从而增加了审计人员工作的复杂性,审计人员如果对软件不熟悉或采用了不当的审计方法或方式就容易做出错误的审计结论,必然会带来审计风险。
另外,运行间的断电和死机等故障,计算机病毒的破坏,人为的毁损等原因造成的数据破坏和丢失,也带来了审计风险。
二、降低计算机审计风险的对策
为了有效地降低计算机审计风险,就必须采取相应的防范和控制措施,具体为:
1、建立新的审计人才培养机制。多年来,随着信息化建设启动和发展,已经探索和建立了多种审计人才培养的方式。包括:审计署组织的全国计算机知识和操作技能培训、计算机审计中级水平培训、金审工程建设和应用培训等;各地审计机关自行组织了各种计算机审计人才培训、结合审计署组织的审计专家经验和AO应用实例征集和专题案件培训、OA和AO应用培训等。随着审计事业的发展和信息化水平的提高,要大力培养一批审核问题的能手、分析问题的高手、计算机应用的强手。在计算机审计人才培养机制方面,要进一步实施人才培养和干部使用相结合、学历培养和实务培养相结合、培养效果和工作奖惩相结合、内部培养和外部引进相结合的机制。
2、做好审前调查。审前调查是开展审计工作的基础。当前,许多被审计单位在财务管理上都实施了电算化,由于计算机技术发展的特点导致了许多同类硬件产品的差异性,而这种差异性又会在被审计单位的计算机系统上体现出来。为适应这种差异性,并充分利用有限的技术手段开展计算机审计工作,审计人员一定要针对被审计单位的计算机系统做好审前调查。在审前调查中主要应包括被审计单位的财务系统的版本,操作系统的版本,是否建有局域网,运行财务系统的计算机是否联网,计算机辅助审计软件中是否有相应的数据接口等。审计人员应及时收集、整理并更新这些数据资料,在条件允许的情况下,建立相应的资料库,以便今后查阅。
3、加强对信息系统的安全性和保密性进行审计。在系统运行中,信息的安全性即可靠性和保密性构成了审计的风险防范和控制的重点。首先对信息系统职责分离情况进行审计,遵循的原则为不相容职责必须分离,但侧重对数据的输入、输出,软件开发和维护及系统程序修改或管理等之间的关系处理进行审查;其次对被审计单位系统结构进行分析和评价,以确认防范人为破坏的能力;再次对被审计单位的系统容错处理机制、安全管理体制和安全保密技术等深入的了解,以评价其系统安全性的等级,从而有效地控制审计风险。
4、强化审计机构和审计人员的风险意识,降低计算机审计风险。审计机构要在独立、客观、公正的原则下建立自律性的运行机制,要大力加强对审计人员的专业教育和职业道德教育,规范审计程序和审计证据的取得。完善自身的质量控制制度。审计人员在加强专业学习的同时,应加强职业道德修养,强化风险意识,严格依照审计准则进行审计,以降低审计风险。
5、实时审计质量控制。根据被审计单位规模的大小及审计项目的性质和复杂程度,按照审计计划配备与审计项目相适宜的审计组成员。同时建立统一的审计工作日记,对被审计单位一些重大会计事项的处理在审计日记中能如实反映出审计工作轨迹,即审计人员每天干了些什么工作,是怎么干的,干的结果又怎样,最后要求审计组组长对审计人员在审计日记中记录的事项进行复核,实行全过程跟进。对列入重点关注的业务和事项,要有计划、有目的地运用恰当的审计方法,编制审计证据和工作底稿
6、制定相关审计准则是控制和规避计算机审计风险的基础。计算机审计,特别是实施联网审计的新环境下,审计对象、线索、方法、流程等方面使以往的审计标准和准则无用武之地,需要建立新的审计标准和审计准则来指导计算机审计工作。只有规范计算机审计程序,加强计算机审计法制化建设,使审计人员开展计算机审计工作时有法可依、有章可循,才能更好地指导审计人员开展计算机审计工作,从而提高审计工作质量。
7、确保审计数据的安全性。可以通过设置开机密码、对硬盘进行加密、安装杀毒软件、进行数据备份等手段以保护计算机内的审计数据的安全,达到防范风险的目的。
[参考文献]
[1]郭宗文,计算机审计技术与方法[M]北京:清华大学出版社,2004 .
[2]余玉苗,审计学[M]武汉:武汉大学出版社,2005 .
[3]陈婉玲,计算机审计[M]广州:广东人民出版社,2005 .
[4] 张丽燕.计算机辅助审计的现状及建议[J].财会研究,2006,(1).
[5] 唐文花.会计电算化对审计的影响及审计对策[J].湖南商学院学报(双月刊),2002,(2).
一、计算机审计风险的成因
审计风险是指被审计单位的报表存在重大错报或漏报而审计人员发表不恰当审计意见的可能性。审计风险由固有风险、控制风险和检查风险组成,它们之间的关系是:审计风险=固有风险×控制风险×检查风险。在计算机审计中,由于财务数据处理的电算化,其本身的正确性和可靠性得以基本保证。因此固有风险基本上被控制,并呈降低的趋势。但是,由于会计信息系统的开放性和网络化,使得会计信息资源在极大的范围内得以共享和交流,这无疑将审计工作置于一种被动之中。例如,存放在主机内的会计信息被人为非法拷贝和恶意篡改;计算机病毒的肆意侵袭,会威胁数据的安全,严重时可能导致会计信息的全线崩溃等。可见,数据的安全、完整性控制难以得到保护,从而使控制风险和检查风险的水平呈上升趋势,具体可概括为以下几个方面:
1、内控制度方面。在传统手工会计系统中,内部控制通常表现为手工控制,这种控制形式责任明确也便于审计人员的调查和作出客观评价。而在计算机系统环境下,内部控制的方法发生了很大的变化,这时传统的手工控制措施已经不能达到其控制目的了。主要表现在:一是内部控制措施由手工控制为主转向以计算机控制为主;二是手工条件下的控制措施在电算条件下已经失效,代之以新的手工控制措施,如被审计单位人员权限设置等控制措施。这些改变使得内部控制环境的复杂性增加,于是让舞弊者有机可乘,从而产生审计的控制风险。另一方面,被审计单位故意篡改数据,不留审计线索。在计算机环境中,数据的电子化并以磁介质为主要储存载体,这为舞弊者或攻击者对原始数据进行非法修改或删除,且不留篡改痕迹成为可能,这将无法保证数据的完整性和真实性,给审计监督带来风险。再有,被审计单位的组织形式可能会因为环境的变化而不同程度地调整,在手工会计系统中,被审计单位可以根据需要适时地、轻易地实现对内部控制制度进行修改与完善;而在计算机系统环境下,就难以满足这样的要求。
2、审计主体方面。(1)审计人员的素质有待提高。计算机审计是一项综合性审计,涉及的知识面较广,只依靠审计人员过去的知识和技能是难以胜任的。此时,审计人员不仅要掌握审计、会计、财务方面的知识,还需要掌握计算机硬件、会计软件、信息处理技术及网络等方面的知识。如果审计人员不同时具备这些知识,则在审计取证的过程中,很可能出现审计人员所得与所想的会计信息存在偏差,而这当中也可能隐藏了重要的审计线索,从而加大了审计风险。(2)审计方法、方式日趋复杂。经济信息系统电算化后,审计方法和方式有了很大的变化,由于被审计单位采用的应用软件有的是商品化软件,有的是自行研究开发的软件,在功能、程序处理上都有着一定的差别,并且根据审计要素和对象的不同,其要求运用的审计方法和方式也不一样,从而增加了审计人员工作的复杂性,审计人员如果对软件不熟悉或采用了不当的审计方法或方式就容易做出错误的审计结论,必然会带来审计风险。
另外,运行间的断电和死机等故障,计算机病毒的破坏,人为的毁损等原因造成的数据破坏和丢失,也带来了审计风险。
二、降低计算机审计风险的对策
为了有效地降低计算机审计风险,就必须采取相应的防范和控制措施,具体为:
1、建立新的审计人才培养机制。多年来,随着信息化建设启动和发展,已经探索和建立了多种审计人才培养的方式。包括:审计署组织的全国计算机知识和操作技能培训、计算机审计中级水平培训、金审工程建设和应用培训等;各地审计机关自行组织了各种计算机审计人才培训、结合审计署组织的审计专家经验和AO应用实例征集和专题案件培训、OA和AO应用培训等。随着审计事业的发展和信息化水平的提高,要大力培养一批审核问题的能手、分析问题的高手、计算机应用的强手。在计算机审计人才培养机制方面,要进一步实施人才培养和干部使用相结合、学历培养和实务培养相结合、培养效果和工作奖惩相结合、内部培养和外部引进相结合的机制。
2、做好审前调查。审前调查是开展审计工作的基础。当前,许多被审计单位在财务管理上都实施了电算化,由于计算机技术发展的特点导致了许多同类硬件产品的差异性,而这种差异性又会在被审计单位的计算机系统上体现出来。为适应这种差异性,并充分利用有限的技术手段开展计算机审计工作,审计人员一定要针对被审计单位的计算机系统做好审前调查。在审前调查中主要应包括被审计单位的财务系统的版本,操作系统的版本,是否建有局域网,运行财务系统的计算机是否联网,计算机辅助审计软件中是否有相应的数据接口等。审计人员应及时收集、整理并更新这些数据资料,在条件允许的情况下,建立相应的资料库,以便今后查阅。
3、加强对信息系统的安全性和保密性进行审计。在系统运行中,信息的安全性即可靠性和保密性构成了审计的风险防范和控制的重点。首先对信息系统职责分离情况进行审计,遵循的原则为不相容职责必须分离,但侧重对数据的输入、输出,软件开发和维护及系统程序修改或管理等之间的关系处理进行审查;其次对被审计单位系统结构进行分析和评价,以确认防范人为破坏的能力;再次对被审计单位的系统容错处理机制、安全管理体制和安全保密技术等深入的了解,以评价其系统安全性的等级,从而有效地控制审计风险。
4、强化审计机构和审计人员的风险意识,降低计算机审计风险。审计机构要在独立、客观、公正的原则下建立自律性的运行机制,要大力加强对审计人员的专业教育和职业道德教育,规范审计程序和审计证据的取得。完善自身的质量控制制度。审计人员在加强专业学习的同时,应加强职业道德修养,强化风险意识,严格依照审计准则进行审计,以降低审计风险。
5、实时审计质量控制。根据被审计单位规模的大小及审计项目的性质和复杂程度,按照审计计划配备与审计项目相适宜的审计组成员。同时建立统一的审计工作日记,对被审计单位一些重大会计事项的处理在审计日记中能如实反映出审计工作轨迹,即审计人员每天干了些什么工作,是怎么干的,干的结果又怎样,最后要求审计组组长对审计人员在审计日记中记录的事项进行复核,实行全过程跟进。对列入重点关注的业务和事项,要有计划、有目的地运用恰当的审计方法,编制审计证据和工作底稿
6、制定相关审计准则是控制和规避计算机审计风险的基础。计算机审计,特别是实施联网审计的新环境下,审计对象、线索、方法、流程等方面使以往的审计标准和准则无用武之地,需要建立新的审计标准和审计准则来指导计算机审计工作。只有规范计算机审计程序,加强计算机审计法制化建设,使审计人员开展计算机审计工作时有法可依、有章可循,才能更好地指导审计人员开展计算机审计工作,从而提高审计工作质量。
7、确保审计数据的安全性。可以通过设置开机密码、对硬盘进行加密、安装杀毒软件、进行数据备份等手段以保护计算机内的审计数据的安全,达到防范风险的目的。
[参考文献]
[1]郭宗文,计算机审计技术与方法[M]北京:清华大学出版社,2004 .
[2]余玉苗,审计学[M]武汉:武汉大学出版社,2005 .
[3]陈婉玲,计算机审计[M]广州:广东人民出版社,2005 .
[4] 张丽燕.计算机辅助审计的现状及建议[J].财会研究,2006,(1).
[5] 唐文花.会计电算化对审计的影响及审计对策[J].湖南商学院学报(双月刊),2002,(2).
| 【关闭】 【打印】 |
