審計風險會隨着計算機的使用程度而不斷變化,本站小編和大家分享一篇關於審計風險的論文,歡迎大家閱讀學習。
摘要:現代企業的業務運作更加依賴於計算機網絡資訊系統,但由於資訊系統本身特點所具有的脆弱性,將使審計遇到風險。審計風險因客戶的會計系統和內部控制使用計算機而呈現出新的特徵。
關鍵詞:資訊系統;審計風險;風險特徵;風險評估
國際會計師聯合會(IFAC)的國際審計與保證準則委員會(IAASB)爲提高審計質量,於2003年10月發佈了新準則,對審計風險模型作出重大改動。其中ISA200準則把審計風險模型改爲:審計風險=重大錯報風險×檢查風險。審計風險模型的變化從某種意義上減少了審計的責任,縮小了審計風險的範疇,本文對審計風險的理解並不侷限於社會審計,也包括內部審計和國家審計,所以在這裏仍採用“審計風險AR=固有風險IR×控制風險CR×檢查風險DR”風險模型進行分析。
一、資訊系統環境下審計風險的特徵
(一)資訊系統環境下固有風險的特徵
1存在電子數據被濫用、篡改和丟失的可能性。手工系統中,紙質介質上的資訊易於辨認、追溯。而在計算機資訊系統環境下,由於存儲介質的改變,資訊高度集中於計算機資訊系統,資訊系統應用程序被惡意篡改,或非法入侵資訊系統造成經濟損失的可能性致使審計的固有風險增大。一旦用戶非法透過計算機系統的“防火牆”,數據被不法分子拷貝,甚至可能被進行非法篡改而不留下任何痕跡。計算機病毒、電源故障、操作失誤、程序處理錯誤和網絡傳輸故障也極易破壞和修改電子數據,會造成實際數據與電子賬面數據不相符,增加固有審計風險的可能性。
2存在審計線索被減少或消除的可能性。手工環境中,會計處理的每一個步驟都有文字記錄和經手人簽名,審計線索清晰。但在資訊系統環境中,從原始數據錄入到報表的自動生成,傳統的審計線索不復存在,利用資訊技術也難以實現如簽名、蓋章等這些使審計線索證據化的操作,對審計人員查找審計線索帶來了較大困難。
3存在原始數據被錄入錯漏的可能性。計算機資訊系統環境下,大量的記賬憑證仍靠人工錄入,機制證賬表表面上的相互平衡,可能掩蓋人工錄入時發生的錯漏。系統的二次開發工作,有可能會削弱之前在計算機資訊系統中已經設定好的控制,從而可能產生新的審計風險因素。
(二)資訊系統環境下控制風險的特徵
1存在約束機制失效的可能性。手工系統下透過建立崗位責任中心達到內部控制的目的,在計算機系統下,一是透過劃分操作員的責任範圍,設定權限和密碼實現人員職責分工;二是透過軟件設計劃分若干子系統或功能模組設定不同的責任中心。由於在計算機資訊系統中許多不相容職責相對集中,可能因爲不恰當的授權而加大舞弊的風險,權限設定的重疊或跨責任中心越權設定,使這一控制措施有可能形同虛設。
2存在會計數據異常的可能性。手工系統下,會計數據異常的可能性幾乎不存在;而在計算機系統下,這種可能性難以透過有效的內控制度消除,必須以先進的硬、軟件平臺以及會計軟件本身的自我保護,減少出現異常錯誤的機率。就多數會計軟件看,對數據錄入的一致性和正確性控制,會計數據處理的安全性和連續性控制,軟件設計還是比較慎密的。但對集成化程度較高的企業級管理軟件,數據的共享性和一致性還不完善,系統設計時可能沒有考慮到審計工作的需要,沒有留下充分的審計線索,如:修改功能將導致無會計軌跡。計算機資訊系統主要以磁盤、磁帶、光盤等磁性存儲介質作爲資訊載體,記錄於這些存儲介質上的資訊是肉眼不可見的,必須藉助於計算機的“翻譯”,才能以人可以理解的形式表現出來,但不同的軟件對同一資訊可能被“翻譯”成不同的形式。
3存在實時控制失控的可能性。會計軟件對現金和銀行存款的收付業務缺乏實時有效的控制手段。對於企業內部發生的經濟業務,多數軟件是透過人工填制記賬憑證,從各系統錄入到電腦,部分軟件雖透過系統實時地錄入,但可能與憑證數據不同步;對於現金和銀行存款收付業務,不僅數據難以實時同步,而且存在雙方數據不一致的可能性。
(三)資訊系統環境下檢查風險的特徵
1存在難以查找歷史資料的可能性。對帳戶或交易的重大實質性測試往往離不開企業的歷史數據,由於軟件版本的升級、平臺的遷移等被審計軟件的更新換代,可能導致難以從往年賬套裏讀取歷史數據,迫使審計人員不得不從浩如煙海的文檔中手工收集和整理歷史數據,這不僅降低了審計效率,而且還將帶來更多的檢查風險。
2存在難以全面檢查測試的可能性。手工系統下,內部控制的情況看得見、摸得着,都有據可查;而在計算機資訊系統環境下,內部控制主要依賴於軟件本身,內部控制融於系統軟件之中使審計人員無法透過傳統方法覺察,這就要求審計人員設計一套正常有效的業務數據和一套例外(如不完整的、無效的、不合理的、不合邏輯的等)的業務數據,以檢查測試應用軟件的控制能力。如果在進行計算機資訊系統設計時考慮不周,計算機資訊系統可能無法判斷出某類數據是否符合邏輯,對不合理的數據可能也會進行日常處理。並且對錯誤數據的處理還具有重複性和連續性,從而可能導致審計人員誤認爲是正常處理。由於多數審計人員並非電腦專家,要在有限的審計時間裏設計完善的測試數據是不現實的。爲此,我們認爲對系統軟件本身的審計檢查可納入軟件開發或評審之中,審計人員在審計實務中,重點是測試數據的完整性以及操作權限的分配和應用情況。
3存在難以控制技術風險的可能性。對網絡交易而言,當在交易環節中人工干涉變得越來越少時,對控制資訊技術是否有效進行的檢查將更具實際意義。資訊技術控制包括數據存儲控制和數據處理控制等,如對程序變化的檢查確保以系統程序按管理層的意圖執行;在網絡災難導致數據存儲平臺或數據處理平臺癱瘓時,災難防禦計劃能使資訊處理功能迅速恢復,這些都是任何資訊化交易需要加以關注的基本審計風險。隨着網絡交易越來越廣泛,圍繞顧客爲特徵的、並基於計算機或因特網的資訊處理過程,對審計人員而言,降低這種檢查風險將比任何時候都更具重要意義。
綜上所述,計算機資訊系統環境下審計風險有其特有的表現形式,審計人員面臨着新的風險。然而審計環境的變化並不能改變審計責任,審計人員仍應保持應有的執業謹慎,並採取適當的審計程序使風險控制在可接受的水平上。
二、資訊系統環境下的審計風險評估
一般來說,在計算機網絡資訊系統覆蓋了一個企業的.營銷、計劃、生產、採購、倉儲、財務、人力資源等企業運營管理的各個層面,如果對每個流程和控制點都進行評估,在資源的利用上是非常不經濟的,我們可以透過以下方式來降低審計風險:對於建立了長期業務關係的被審計單位,可以透過要求其加強內外部安全機制、完善軟件功能、改進數據錄入技術;可以透過要求其統一檔案存貯的格式,降低歷史檔案難以開啟閱讀的可能性。如,對不同時期版本的會計軟件,採取統一的檔案格式存貯,以便於審計師使用輔助審計軟件開啟審查;制定會計軟件行業標準,統一數據格式和外部接口。
(一)檢查風險評估
設計一套有針對性的審計檢查程序,一是檢查被審計單位的權限設定,審查操作日誌,發現疑點;二是檢查被審單位的報表取數公式,重新生成一次並與被審計單位提供的比較;三是查閱銷售的原始合同,或利用輔助審計軟件整理彙總,並與會計賬面數據進行覈對;四是檢查賬實是否相符,這裏既包括手工環境下的賬實相符,也包括計算機資訊系統環境下的各子系統之間的數據相符;五是檢查憑證記錄的真實性、資產及負債的合理性、期末交易的歸屬期、內部管理控制制度的完備性和會計政策的一貫性。
(二)控制風險評估
計算機網絡資訊系統的控制評估必須基於風險管理的原則,透過風險評估尋找對主要業務運作中影響最大的領域。我們可以從企業整個業務風險域中尋找對與財務報表有關的風險的業務流程,從而進一步確定系統模組對業務流程的支援,在實際工作中,一般是透過對業務流程所使用系統模組的頻繁程度來確定評估範圍。
在進行調研和風險評估中,如果發現計算機網絡資訊系統中涉及到企業收入業務、支出業務和庫存業務的系統控制流程對企業的業務能否順利運轉影響比較大。由於業務控制的削弱,這種影響導致企業出現違規問題的可能性增加。例如,企業管理層非常關注財務控制內部和外部流程,因爲這些流程決定了財務數據的準確性,是反映企業運作是否健康的“脈搏”。因此,在審計中通常就要更關注收入業務,它包括主數據維護、銷售訂單處理、發運、開票、退貨和收款等控制內容。
對於可能客觀存在的審計風險,審計人員必須保持職業謹慎,運用專業判斷,對被審計單位的審計風險各要素進行全面的評估,確定可接受的審計風險水平。
參考文獻:
[1] Warren,J Donald,Lynnw EdelsonandXeniaLeyParker HandbookofITAuditing[M] Boston:War renGorham&Lamont 1997
[2]張金城計算機資訊系統控制與審計[M]北京:北京大學出版社,2002
[3] Casarin,Paul UsingDataMiningTechniquesinAuditing[J] TheISAudit&ControlJournal 1997,(9)