浅谈计算机审计风险的成因与对策
刘德贵(吉林省磐石市审计局)
【发布时间:2011年07月18日】
字号:【大】 【中】 【小】
    随着社会科技的进步和计算机技术的高速发展,我们已经进入了一个科技主宰社会发展的时代,计算机不仅仅只作为一种日常工具被我们所使用,它已经逐渐成为我们的一种生活和工作方式,并在各个领域得到广泛的应用,因此计算机审计技术也随着计算机的产生和发展逐步成熟起来,下文笔者将根据工作经验,浅谈计算机审计风险的成因与对策。
    一、计算机审计风险的成因
    计算机审计风险即通常我们所指的在计算机审计中所存在的问题。其具体是指由于审计人员对审计项目发表错误意见,使审计人员和审计组织遭受损失的可能性。既在日常审计工作中,审计人员没有正确运用计算机审计技术进行审计,导致审计结果与客观事实不符,从而发表错误意见,给审计双方和企业信息外部使用者造成损失的可能性,对于计算机审计风险的形成原因,主要总结为以下几方面:
    (一) 审计中相应软件及操作的复杂化
    1. 审计软件开发者与使用者脱节
    我国现在已经开发出一些审计方面的软件,如审计署现场审计实施系统(简称AO)、使用SQL-SERVER批处理业务数据等,这些软件的开发为传统审计带来了很多便捷。但是其中也存在了很多问题,一部分审计软件实用性不够强,使用成果不够理想,真正用于审计实务的地方不足。其中一个重要的原因就是审计软件的开发人员与用户之间的脱节。开发人员不能及时地准确地接收用户在使用中发现的问题和提出改进的建议,也不能及时地有效地对软件进行改进和优化,最后导致使用者对软件使用不满意而放弃使用。
    2. 会计软件的多样性
    在审计工作中,计算机审计发展滞后的另一部分原因也是因为被审单位会计软件的多样化,众多会计软件的使用缺乏统一性,使得其所形成的凭证、账簿、报表等的格式也多种多样,给审计工作带来了很多不便。如果在运用审计软件进行审计的时候,审计人员必须按审计软件能够识别的格式将财务数据备份包的导出信息重新输入到审计软件中,这不仅仅加重了审计人员的工作负担,降低审计工作的效率,而且最重要的是由于两重操作所带来的可能存在的各种错误,会在很大程度上加大计算机审计的风险。
    3. 操作方法的差异性
    由于审计软件与会计软件的数据格式的不统一,有些会计系统输出的数据并不能使用审计软件直接审计,如果要完成审计工作,就必须统一数据格式,于是就又给审计工作增加了出错的可能性,使本来电算化会计系统中不清晰的审计线索变得更加难以捉摸,使计算机审计的风险进一步加大。
    (二) 审计取证的困难性
    随着社会和科技的迅速发展,会计软件得到了更快的更新换代,使得很多历史财务数据难以提取。而通常情况下审计工作中对重要账户和交易的实质性测试又离不开被审计单位的历史数据。由于软件版本的更新,平台的迁移,从往年帐套里提取这些历史数据就显得困难起来,迫使审计人员从被审单位大量的陈年的文档中去查询所需数据。这不仅降低了审计效率,而且也会带来更多的检查风险。
    1. 证据取得的困难性
    在计算机审计的过程中,很多审计工作都要求计算机信息系统留有审计接口,即被审计单位的计算机信息系统应当具备符合国家标准或者行业标准的数据接口,以便通过接口取得被审系统的电子信息,从而进行有关的审计处理。虽然我国软件协会财务及管理软件分会曾对财务软件的数据接口提出了标准要求,但许多财务与管理软件都没有执行。我国现有的计算机信息系统大部分没有设置审计接口,有些系统的数据库还加了密,使会计系统里的资料无法访问,因此电子资料的获取变成了计算机审计的障碍。
    2. 证据处理的困难性
    由于会计软件中融入了内部控制程序,审计人员为了检查测试软件的控制功能,他们就需要设计出一些正常有效的业务数据和一些例外数据来。可是审计人员不都擅长电脑方面的操作,要在有限的审计时间里设计全面的测试数据是相当困难的,所以这些程序又增加了审计的检查风险。并且利用计算机辅助审计技术对审计人员自身的电子数据处理能力要求也很高,比如在计算机审计抽样时,要考虑抽样方法的选择,抽样参数的输入和审计总体数据格式的转换等等。由此看来,审计人员在审计取证方面仍面临一定的困难。
    (三) 审计人才的缺乏
    1. 审计人员知识的欠缺
    对计算机和网络技术比较熟悉的计算机技术人员不熟悉审计的目的和方法,对审计知识清楚的审计人员又不熟悉计算机,因此审计人员知识的欠缺便成为计算机审计发展的瓶颈。在我国稀少的计算机审计骨干大多又集中在审计署、特派办和省一级审计机关,而大多数工作在基层的审计人员,虽然接受过计算机知识培训,但一般多是基本数据处理、电子表格制作、会计软件操作等等,这些远达不到计算机审计的要求。此外开发实用性和通用性较强的审计软件所需要的高层次、高水平的人员也很缺乏。因此人才的缺乏严重制约着我国计算机审计的发展。
    2. 审计人员能力的单一
    计算机辅助审计软件的信息化运作方式与原始手工的审计方式存在着较大的差别,因此在其功能和操作上具有一定的特殊性。而审计人员对计算机辅助审计软件功能和使用方法的不熟悉也就构成了计算机审计风险的另一方面原因。
    而在短时间内要求审计人员灵活运用计算机审计软件也有一定难度,因而部分审计人员便会认为计算机审计还不如手工审计便捷有效;而另一部分有一定的计算机审计意识的审计人员却由于没有扎实掌握审计软件的知识和使用方法,在遇到困难和挫折时有可能产生畏难心理,同样也会在一定程度上影响计算机审计工作的顺利开展。
    3. 复合型审计人员的缺乏
    计算机审计是包含会计、审计、信息系统、网络技术与计算机应用的综合学科。因此要顺利开展计算机审计工作,就要求审计人员具有复合型的知识结构,既要掌握财会、审计知识,又要掌握信息系统、计算机与网络技术。但我国现在还很缺乏能上任的具有复合型知识结构的计算机审计人员,大部分审计人员并不熟悉计算机是如何进行经济与会计业务处理的,也不知道计算机处理和网络技术运用的风险以及降低这些风险的控制措施,因此不知道如何对计算机信息系统进行审计或利用计算机和网络技术进行审计。
    4. 审计准则及相应法规的空缺
    计算机审计只是一种审计手段,因此为了更好的开展审计工作,就要使审计工作有法可依。但目前在计算机审计中审计机构的权力、责任和被审计单位的义务等相关法律法规还很不完善,与电子商务、网络经济和计算机应用有关法律法规有些还不明确,甚至有些地方还留有空白,如电子凭证、电子合同、数字签名等的法律效力和保存要求,数字认证机构的认定及其法律责任等。另外,尽管我国审计署和中注协都已颁发了一些有关计算机审计的准则和规范,但是这些准则和规范还不完善。例如已有的准则和规范中缺乏对计算机信息系统开发和系统功能审计方面规范,并且现有的规范还比较概括、模糊,没有相应的实施细则。

    二、计算机审计风险的对策
    (一) 审计中相应软件及操作方法的优化
    要推动计算机审计的发展,其中一项重要的工作是要提高我国审计软件的质量和实用性,其关键就是做好软件的开发和优化工作。
    1. 提高审计软件开发的实用性和及时性
    要对审计软件进行更进一步的开发和优化,软件开发人员就必须深入到基层审计工作中。我国初步开发的审计软件还处在使用和改进过程中的,只有加强使用者与开发者之间的沟通与联系,才能使用户把使用中发现的问题及改进的建议及时反映给开发者,并且开发者应该广泛地收集用户的反馈意见,通过双方的共同努力,更好地总结出审计的算法模型,使审计软件能不断优化提高,真正能成为有用的审计工具。
    2. 优化会计软件的功能及操作方法
    (1)会计软件的设计应为以后审计留下测试通道。即会计软件既能方便审计人员的随时测试,也能保证不对整个系统产生的不良影响。
    (2)会计软件的功能的加强。会计软件的开发单位应合理考虑计算机审计对会计信息和数据的应用,保证会计软件能提供双向的查询功能,使审计人员在审计时可根据被审单位的实际情况灵活地选用审计方法。
     (3)会计软件数据结构的统一。为了提高审计效率, 对会计软件应设计一个统一的数据结构, 统一输入要求, 有一定强制性的数据文件。规定任何会计核算软件在最终输出时向该数据文件输入数据, 并保持其数据的一致性, 这样可以达到将不同种类的会计软件产生的核算信息直接进入计算机审计系统的目的。
    (4)要使会计软件能达到上述三点功能要求, 还必须完善会计软件的评审机制和评审内容, 在会计软件的评审部门中应允许审计部门加入来专门评价会计软件的可审计性, 并做出有关的报告以达到控制会计软件的目的。
    (二) 审计取证方法的改善
    1. 解决审计取证中的障碍
    缺乏数据接口己成为我国利用计算机辅助审计的桎梏,解决审计接口问题刻不容缓。由于被审单位许多信息系统没有审计接口或审计接口不适用,使得审计人员无法快捷有效地收集系统的电子资料。因此要加强信息化管理部门与审计部门的监管,强制要求各单位在开发利用涉及经济和会计业务处理的计算机系统时,必须为经济监督部门提供数据接口,以便于保证今后计算机辅助审计方法的应用和审计信息化建设能顺利实施。
    2. 改善审计取证的处理方法
    现代信息技术的发展和普及使计算机在国民经济各行各业的生产和经营中成为日常必备的管理工具。计算机不仅仅是被审计单位的一种重要资源,而且是信息化条件下运行管理、内部控制的关键部位。在处理计算机信息本身时出现的错弊是十分重要的错弊,甚至是其他错弊产生的根源。
    计算机审计如果仅仅限于对计算机管理的电子数据进行审计,而忽视对会计信息失真现象的检查,极有可能造成浪费大量人力时间而假账真查现象的出现。因此,改善对被审计单位财务数据的处理方法,也是计算机审计的主要内容。例如加强对计算机软件合法性、正确性、安全性的检查,加强对系统存在漏洞和缺陷的测试,揭示和惩处利用计算机应用软件进行欺诈和舞弊的行为等,这些努力都将减小错弊的产生的可能性,降低审计取证中所存在的风险。
    (三) 审计人才的培养
    要推动计算机审计的发展,必须加强计算机审计人才的培养。在人员培训上,要对基层人才与高层人才的培养,在职人员和未来人才的培养进行统筹规划。
    对普通的在职人员培训的重点,除一般的数据处理、制表操作外,应着重于计算机辅助审计技术的应用,包括利用被审单位的计算机信息系统、EXCEL和审计软件辅助审计的技术方法,并逐步适时地加入计算机信息系统与网络的安全问题、有关控制及其审计等内容。
    较高层次的人才培养,重点可放在信息系统的开发审计、系统的功能或应用程序审计、网络安全审计和审计软件的开发等方面。对未来审计人员培养,应在高校会计专业教学计划中增加信息技术和电子商务等内容,并把计算机审计列为必修课,从基础培养更全面的审计人才。
    (四) 审计准则及相应法规的完善
    1. 制订相关立法,确保计算机审计有法可依
    要加强与电子商务与网络经济相关的立法,确保计算机审计有法可依。我国应尽快制定有关电子商务的法律、法规,把电子凭证、电子合同和数字签名的法律效力和保管要求,数字认证机构的管理,电子信息与网络系统的安全等相关问题以法律法规的形式明确下来。有关电子商务与网络经济的立法要立足我国的国情,同时参考和借鉴国际上有关示范法或其他国家的有关法规进行。
    2. 完善计算机审计准则和法规
    在审计准则方面,可考虑补充对计算机信息系统审计以及网络审计等准则或规范。在审计法规方面,应该出台一整套适合计算机审计的审计法规,以严密计算机审计的程序, 使计算机审计规范化、条理化。
    这套法规不仅应对证、账、表等数据文件进行实质性测试进行规范,还应对被审单位信息系统的健全性、有效性,各项初始化工作的合理性,操作员的操作权限以及系统管理员的管理权限的合法性和保密性,系统安全性,审计人员应具备的知识结构和审计程序等加以规定,使计算机审计有法可依,依法进行。同时也应为计算机审计质量的衡量提供评价标准。(刘德贵)
【关闭】    【打印】