计算机审计风险与防范
(审计署沈阳办 张溥)
伴随着科技进步和会计电算化发展,计算机审计已经成为审计工作的重要手段之一。将计算机引入审计领域,在保证审计工作质量、提高审计工作效率的同时,也给审计工作带来了新的风险。本文从计算机审计风险含义入手,分析、探讨审计实践中面临的几种主要的计算机审计风险,从而找到妥善的解决方法,防范计算机审计风险。
一、计算机审计风险的含义
(一)计算机审计的定义。计算机审计与一般审计一样,同样是执行经济监督、鉴证和评价职能。其特殊性主要体现在两个方面:一是对计算机系统进行审计,即将计算机系统作为审计的对象,二是利用计算机审计,即将计算机作为审计的工具。概括讲,计算机审计包括对计算机承载的数据进行检查和对承载数据的计算机进行检查。
(二)风险的定义。风险是指在某一特定环境下,在某一特定时间段内,某种损失发生的可能性。
由上述计算机审计与风险的定义,我们可以这样描述计算机审计风险,即审计人员对计算机进行审计以及利用计算机进行审计时,对实质上误报的财务数据提供不适当意见的可能性。
二、计算机审计的几种风险
(一)信息系统环境风险。所谓信息系统环境风险是指计算机系统本身所处的环境引起的风险。目前我国财务软件相关法规非常有限,主要有《会计核算软件基本功能规范》、《信息系统安全标准——计算机信息系统安全产品分类原则》、《信息技术会计核算软件数据接口》等。由于法规有限导致已经通过评审的财务软件在开发语言、模块划分、数据库类型等方面存在较大差异。财务软件数据处理系统的复杂性以及文件记录、系统操作缺乏标准和规范,产生了信息系统环境风险。随着信息技术的快速发展,单位管理科技化、信息化使得会计系统与其他系统的数据库连接在一起,如目前流行使用的ERP。这种情况下,如果病毒入侵其他系统或者其他系统瘫痪,都将会威胁到会计信息系统的安全,审计的信息系统环境风险也随之加大。
(二)审计软件风险。所谓审计软件风险是指由于审计软件本身在设计、制作过程中的缺陷等造成的风险。科技进步、更高的管理要求使得财务和管理软件频繁更新升级,如早期的Dbase、Foxbase、Foxpro等数据库,到目前的Access、Sybase、Sql、Oracle等数据库。而与此同时,审计软件限于财力、人力等多种原因,往往升级措施相对滞后,影响了审计工作的质量和效率。此外,一两套审计软件很难应对千差万别的被审计单位数据库和管理系统,容易造成软件与数据无法对接或导入数据在运行过程中缺失,造成计算错误和分析偏差。
(三)计算机数据风险。所谓计算机数据风险是指由于被审计单位非法修改系统或者在数据录入过程中采用虚假、篡改、延迟等手段造成数据不真实而产生的风险。审计人员采集不真实的数据,结果必然是审计误判。并且,由于计算机改变了传统的记录方式,删改和虚假输入系统的数据很难被发现,加大了审计风险。
(四)人员操作风险。所谓人员操作风险是指审计人员在实施计算机审计时由于主客观原因没有发现疑点或对疑点没有进行必要的排查而产生的风险。计算机审计对审计人员要求较高,审计人员除了要有专业的审计、会计知识外,还必须掌握一定的计算机知识和应用技术,否则,审计人员做出的审计结论有可能偏离被审计单位会计信息系统的实际,从而造成审计风险。此外,目前涉及到信息化环境下的审计操作规程仅有审计署1996年12月发布的《审计机关计算机辅助审计办法》。该办法指出了计算机辅助审计的内容、对审计人员的要求、对被审计单位的要求、审计机关与人员的责任等,但是细化程度还未能满足当前计算机审计的需要。
三、防范计算机审计风险的措施
(一)完善计算机审计法规。审计机关应尽快制定计算机审计准则,对计算机系统内部控制的评价、审计人员应具备的资格、计算机审计过程中审计证据收集等方面做出规范,以指导计算机审计工作。
(二)加强信息系统内部控制制度的审计。信息系统是进行信息收集、传递、存储、加工、维护和使用的系统,由硬件、软件、数据、 人员和内部控制制度等部分组成。其中硬件、软件、数据、人员形成了会计电算化过程,信息系统内部控制制度又规范了这一过程,两者是相互影响、相互作用的。对信息系统控制的调查,应与被审计单位内部控制的调查结合进行。内容可包括:信息系统开发阶段内部控制、信息系统一般控制、信息系统应用控制等。
(三)完整收集计算机数据和相关资料。审计人员在审计时应认真检查采集的数据是否真实、是否属于审计时间范围内的财务数据,数据是否进行了修改、删除、隐匿等。并且要对采集的数据与被审计单位的纸性材料进行核对,如账表核对、账实核对,在对采集的数据进行了完整性、真实性评估之后,审计人员才能对其进行使用。
(四)积极开发实用有效的审计软件。随着信息技术的普及和网络化的不断升级,审计面对的情况越来越复杂,难度也越来越大,开发和使用高效优质的审计软件,一方面可以提高审计的效率,另一方面也能够良好的控制和降低审计风险。
(五)提高审计人员的计算机素质。事业发展,人才是关键。多年来,审计署高度重视计算机审计的发展和人员培养。目前提高审计人员计算机素质可采取考学结合、分层培训的方式进行:第一个层次是普及性学习,可设定较低门槛的考试标准,要求绝大部分审计人员通过考试,并掌握基本的计算机应用技能;第二个层次是培养骨干,计算机骨干能够在审计组中采集、整理、分析数据,并帮助其他审计人员解决实践中遇到的计算机审计问题;第三个层次是选拔专家,在计算机骨干中,选拔出计算机优秀人才,进行计算机审计模型构建、IT审计等,开拓创新计算机审计。
一、计算机审计风险的含义
(一)计算机审计的定义。计算机审计与一般审计一样,同样是执行经济监督、鉴证和评价职能。其特殊性主要体现在两个方面:一是对计算机系统进行审计,即将计算机系统作为审计的对象,二是利用计算机审计,即将计算机作为审计的工具。概括讲,计算机审计包括对计算机承载的数据进行检查和对承载数据的计算机进行检查。
(二)风险的定义。风险是指在某一特定环境下,在某一特定时间段内,某种损失发生的可能性。
由上述计算机审计与风险的定义,我们可以这样描述计算机审计风险,即审计人员对计算机进行审计以及利用计算机进行审计时,对实质上误报的财务数据提供不适当意见的可能性。
二、计算机审计的几种风险
(一)信息系统环境风险。所谓信息系统环境风险是指计算机系统本身所处的环境引起的风险。目前我国财务软件相关法规非常有限,主要有《会计核算软件基本功能规范》、《信息系统安全标准——计算机信息系统安全产品分类原则》、《信息技术会计核算软件数据接口》等。由于法规有限导致已经通过评审的财务软件在开发语言、模块划分、数据库类型等方面存在较大差异。财务软件数据处理系统的复杂性以及文件记录、系统操作缺乏标准和规范,产生了信息系统环境风险。随着信息技术的快速发展,单位管理科技化、信息化使得会计系统与其他系统的数据库连接在一起,如目前流行使用的ERP。这种情况下,如果病毒入侵其他系统或者其他系统瘫痪,都将会威胁到会计信息系统的安全,审计的信息系统环境风险也随之加大。
(二)审计软件风险。所谓审计软件风险是指由于审计软件本身在设计、制作过程中的缺陷等造成的风险。科技进步、更高的管理要求使得财务和管理软件频繁更新升级,如早期的Dbase、Foxbase、Foxpro等数据库,到目前的Access、Sybase、Sql、Oracle等数据库。而与此同时,审计软件限于财力、人力等多种原因,往往升级措施相对滞后,影响了审计工作的质量和效率。此外,一两套审计软件很难应对千差万别的被审计单位数据库和管理系统,容易造成软件与数据无法对接或导入数据在运行过程中缺失,造成计算错误和分析偏差。
(三)计算机数据风险。所谓计算机数据风险是指由于被审计单位非法修改系统或者在数据录入过程中采用虚假、篡改、延迟等手段造成数据不真实而产生的风险。审计人员采集不真实的数据,结果必然是审计误判。并且,由于计算机改变了传统的记录方式,删改和虚假输入系统的数据很难被发现,加大了审计风险。
(四)人员操作风险。所谓人员操作风险是指审计人员在实施计算机审计时由于主客观原因没有发现疑点或对疑点没有进行必要的排查而产生的风险。计算机审计对审计人员要求较高,审计人员除了要有专业的审计、会计知识外,还必须掌握一定的计算机知识和应用技术,否则,审计人员做出的审计结论有可能偏离被审计单位会计信息系统的实际,从而造成审计风险。此外,目前涉及到信息化环境下的审计操作规程仅有审计署1996年12月发布的《审计机关计算机辅助审计办法》。该办法指出了计算机辅助审计的内容、对审计人员的要求、对被审计单位的要求、审计机关与人员的责任等,但是细化程度还未能满足当前计算机审计的需要。
三、防范计算机审计风险的措施
(一)完善计算机审计法规。审计机关应尽快制定计算机审计准则,对计算机系统内部控制的评价、审计人员应具备的资格、计算机审计过程中审计证据收集等方面做出规范,以指导计算机审计工作。
(二)加强信息系统内部控制制度的审计。信息系统是进行信息收集、传递、存储、加工、维护和使用的系统,由硬件、软件、数据、 人员和内部控制制度等部分组成。其中硬件、软件、数据、人员形成了会计电算化过程,信息系统内部控制制度又规范了这一过程,两者是相互影响、相互作用的。对信息系统控制的调查,应与被审计单位内部控制的调查结合进行。内容可包括:信息系统开发阶段内部控制、信息系统一般控制、信息系统应用控制等。
(三)完整收集计算机数据和相关资料。审计人员在审计时应认真检查采集的数据是否真实、是否属于审计时间范围内的财务数据,数据是否进行了修改、删除、隐匿等。并且要对采集的数据与被审计单位的纸性材料进行核对,如账表核对、账实核对,在对采集的数据进行了完整性、真实性评估之后,审计人员才能对其进行使用。
(四)积极开发实用有效的审计软件。随着信息技术的普及和网络化的不断升级,审计面对的情况越来越复杂,难度也越来越大,开发和使用高效优质的审计软件,一方面可以提高审计的效率,另一方面也能够良好的控制和降低审计风险。
(五)提高审计人员的计算机素质。事业发展,人才是关键。多年来,审计署高度重视计算机审计的发展和人员培养。目前提高审计人员计算机素质可采取考学结合、分层培训的方式进行:第一个层次是普及性学习,可设定较低门槛的考试标准,要求绝大部分审计人员通过考试,并掌握基本的计算机应用技能;第二个层次是培养骨干,计算机骨干能够在审计组中采集、整理、分析数据,并帮助其他审计人员解决实践中遇到的计算机审计问题;第三个层次是选拔专家,在计算机骨干中,选拔出计算机优秀人才,进行计算机审计模型构建、IT审计等,开拓创新计算机审计。
| 【关闭】 【打印】 |
