審計風險會隨著計算機的使用程度而不斷變化,本站小編和大家分享一篇關於審計風險的論文,歡迎大家閱讀學習。
摘要:現代企業的業務運作更加依賴於計算機網路資訊系統,但由於資訊系統本身特點所具有的脆弱性,將使審計遇到風險。審計風險因客戶的會計系統和內部控制使用計算機而呈現出新的特徵。
關鍵詞:資訊系統;審計風險;風險特徵;風險評估
國際會計師聯合會(IFAC)的國際審計與保證準則委員會(IAASB)為提高審計質量,於2003年10月釋出了新準則,對審計風險模型作出重大改動。其中ISA200準則把審計風險模型改為:審計風險=重大錯報風險×檢查風險。審計風險模型的變化從某種意義上減少了審計的責任,縮小了審計風險的範疇,本文對審計風險的理解並不侷限於社會審計,也包括內部審計和國家審計,所以在這裡仍採用“審計風險AR=固有風險IR×控制風險CR×檢查風險DR”風險模型進行分析。
一、資訊系統環境下審計風險的特徵
(一)資訊系統環境下固有風險的特徵
1存在電子資料被濫用、篡改和丟失的可能性。手工系統中,紙質介質上的資訊易於辨認、追溯。而在計算機資訊系統環境下,由於儲存介質的改變,資訊高度集中於計算機資訊系統,資訊系統應用程式被惡意篡改,或非法入侵資訊系統造成經濟損失的可能性致使審計的固有風險增大。一旦使用者非法透過計算機系統的“防火牆”,資料被不法分子拷貝,甚至可能被進行非法篡改而不留下任何痕跡。計算機病毒、電源故障、操作失誤、程式處理錯誤和網路傳輸故障也極易破壞和修改電子資料,會造成實際資料與電子賬面資料不相符,增加固有審計風險的可能性。
2存在審計線索被減少或消除的可能性。手工環境中,會計處理的每一個步驟都有文字記錄和經手人簽名,審計線索清晰。但在資訊系統環境中,從原始資料錄入到報表的自動生成,傳統的審計線索不復存在,利用資訊科技也難以實現如簽名、蓋章等這些使審計線索證據化的操作,對審計人員查詢審計線索帶來了較大困難。
3存在原始資料被錄入錯漏的可能性。計算機資訊系統環境下,大量的記賬憑證仍靠人工錄入,機制證賬表表面上的相互平衡,可能掩蓋人工錄入時發生的錯漏。系統的二次開發工作,有可能會削弱之前在計算機資訊系統中已經設定好的控制,從而可能產生新的審計風險因素。
(二)資訊系統環境下控制風險的特徵
1存在約束機制失效的可能性。手工系統下通過建立崗位責任中心達到內部控制的目的,在計算機系統下,一是通過劃分操作員的責任範圍,設定許可權和密碼實現人員職責分工;二是通過軟體設計劃分若干子系統或功能模組設定不同的責任中心。由於在計算機資訊系統中許多不相容職責相對集中,可能因為不恰當的授權而加大舞弊的風險,許可權設定的重疊或跨責任中心越權設定,使這一控制措施有可能形同虛設。
2存在會計資料異常的可能性。手工系統下,會計資料異常的可能性幾乎不存在;而在計算機系統下,這種可能性難以通過有效的內控制度消除,必須以先進的硬、軟體平臺以及會計軟體本身的自我保護,減少出現異常錯誤的機率。就多數會計軟體看,對資料錄入的一致性和正確性控制,會計資料處理的安全性和連續性控制,軟體設計還是比較慎密的。但對整合化程度較高的企業級管理軟體,資料的共享性和一致性還不完善,系統設計時可能沒有考慮到審計工作的需要,沒有留下充分的審計線索,如:修改功能將導致無會計軌跡。計算機資訊系統主要以磁碟、磁帶、光碟等磁性儲存介質作為資訊載體,記錄於這些儲存介質上的資訊是肉眼不可見的,必須藉助於計算機的“翻譯”,才能以人可以理解的形式表現出來,但不同的軟體對同一資訊可能被“翻譯”成不同的形式。
3存在實時控制失控的可能性。會計軟體對現金和銀行存款的收付業務缺乏實時有效的控制手段。對於企業內部發生的經濟業務,多數軟體是通過人工填制記賬憑證,從各系統錄入到電腦,部分軟體雖通過系統實時地錄入,但可能與憑證資料不同步;對於現金和銀行存款收付業務,不僅資料難以實時同步,而且存在雙方資料不一致的可能性。
(三)資訊系統環境下檢查風險的特徵
1存在難以查詢歷史資料的可能性。對賬戶或交易的重大實質性測試往往離不開企業的歷史資料,由於軟體版本的升級、平臺的遷移等被審計軟體的更新換代,可能導致難以從往年賬套裡讀取歷史資料,迫使審計人員不得不從浩如煙海的文件中手工收集和整理歷史資料,這不僅降低了審計效率,而且還將帶來更多的檢查風險。
2存在難以全面檢查測試的可能性。手工系統下,內部控制的情況看得見、摸得著,都有據可查;而在計算機資訊系統環境下,內部控制主要依賴於軟體本身,內部控制融於系統軟體之中使審計人員無法通過傳統方法覺察,這就要求審計人員設計一套正常有效的業務資料和一套例外(如不完整的、無效的、不合理的、不合邏輯的等)的業務資料,以檢查測試應用軟體的控制能力。如果在進行計算機資訊系統設計時考慮不周,計算機資訊系統可能無法判斷出某類資料是否符合邏輯,對不合理的資料可能也會進行日常處理。並且對錯誤資料的處理還具有重複性和連續性,從而可能導致審計人員誤認為是正常處理。由於多數審計人員並非電腦專家,要在有限的審計時間裡設計完善的測試資料是不現實的。為此,我們認為對系統軟體本身的審計檢查可納入軟體開發或評審之中,審計人員在審計實務中,重點是測試資料的完整性以及操作許可權的分配和應用情況。
3存在難以控制技術風險的可能性。對網路交易而言,當在交易環節中人工干涉變得越來越少時,對控制資訊科技是否有效進行的檢查將更具實際意義。資訊科技控制包括資料儲存控制和資料處理控制等,如對程式變化的檢查確保以系統程式按管理層的意圖執行;在網路災難導致資料儲存平臺或資料處理平臺癱瘓時,災難防禦計劃能使資訊處理功能迅速恢復,這些都是任何資訊化交易需要加以關注的基本審計風險。隨著網路交易越來越廣泛,圍繞顧客為特徵的、並基於計算機或因特網的資訊處理過程,對審計人員而言,降低這種檢查風險將比任何時候都更具重要意義。
綜上所述,計算機資訊系統環境下審計風險有其特有的表現形式,審計人員面臨著新的風險。然而審計環境的變化並不能改變審計責任,審計人員仍應保持應有的執業謹慎,並採取適當的審計程式使風險控制在可接受的水平上。
二、資訊系統環境下的審計風險評估
一般來說,在計算機網路資訊系統覆蓋了一個企業的.營銷、計劃、生產、採購、倉儲、財務、人力資源等企業運營管理的各個層面,如果對每個流程和控制點都進行評估,在資源的利用上是非常不經濟的,我們可以通過以下方式來降低審計風險:對於建立了長期業務關係的被審計單位,可以通過要求其加強內外部安全機制、完善軟體功能、改進資料錄入技術;可以通過要求其統一檔案存貯的格式,降低歷史檔案難以開啟閱讀的可能性。如,對不同時期版本的會計軟體,採取統一的檔案格式存貯,以便於審計師使用輔助審計軟體開啟審查;制定會計軟體行業標準,統一資料格式和外部介面。
(一)檢查風險評估
設計一套有針對性的審計檢查程式,一是檢查被審計單位的許可權設定,審查操作日誌,發現疑點;二是檢查被審單位的報表取數公式,重新生成一次並與被審計單位提供的比較;三是查閱銷售的原始合同,或利用輔助審計軟體整理彙總,並與會計賬面資料進行核對;四是檢查賬實是否相符,這裡既包括手工環境下的賬實相符,也包括計算機資訊系統環境下的各子系統之間的資料相符;五是檢查憑證記錄的真實性、資產及負債的合理性、期末交易的歸屬期、內部管理控制制度的完備性和會計政策的一貫性。
(二)控制風險評估
計算機網路資訊系統的控制評估必須基於風險管理的原則,通過風險評估尋找對主要業務運作中影響最大的領域。我們可以從企業整個業務風險域中尋找對與財務報表有關的風險的業務流程,從而進一步確定系統模組對業務流程的支援,在實際工作中,一般是通過對業務流程所使用系統模組的頻繁程度來確定評估範圍。
在進行調研和風險評估中,如果發現計算機網路資訊系統中涉及到企業收入業務、支出業務和庫存業務的系統控制流程對企業的業務能否順利運轉影響比較大。由於業務控制的削弱,這種影響導致企業出現違規問題的可能性增加。例如,企業管理層非常關注財務控制內部和外部流程,因為這些流程決定了財務資料的準確性,是反映企業運作是否健康的“脈搏”。因此,在審計中通常就要更關注收入業務,它包括主資料維護、銷售訂單處理、發運、開票、退貨和收款等控制內容。
對於可能客觀存在的審計風險,審計人員必須保持職業謹慎,運用專業判斷,對被審計單位的審計風險各要素進行全面的評估,確定可接受的審計風險水平。
參考文獻:
[1] Warren,J Donald,Lynnw EdelsonandXeniaLeyParker HandbookofITAuditing[M] Boston:War renGorham&Lamont 1997
[2]張金城計算機資訊系統控制與審計[M]北京:北京大學出版社,2002
[3] Casarin,Paul UsingDataMiningTechniquesinAuditing[J] TheISAudit&ControlJournal 1997,(9)