计算机审计风险的成因及对策

(整期优先)网络出版时间:2010-10-20
/ 3

计算机审计风险的成因及对策

张英

张英(神马股份有限公司河南平顶山467000)

中图分类号:F239文献标识码:A

摘要:计算机技术的进步和信息管理系统电算化、会计信息系统电算化的迅速发展,即向审计人员提出了挑战,又为审计人员提供了接受挑战、解决新问题的有力武器。计算机审计手段已经较为广泛地应用于审计工作中,这不仅可以帮助审计人员减轻繁重的审计文书处理负担,加快审查速度,提高审计效率,又可以利用审计电算化信息系统应用程序和数据文件,扩大审计范围,提高审计质量。随着计算机审计准则和规范的建立,计算机审计成果渐丰,优势日趋明显。但是,与此同时不可避免的是,计算机审计风险也存在复杂化的趋势。本文对计算机审计风险形成的原因进行了分析,并在此基础上提出了具体的防范对策。

关键词:计算机审计审计风险因素分析防范对策

计算机审计是指审计人员以计算机为工具,对被审计单位会计信息系统运行的有效性、数据处理的合法性正确性、最终报表的真实性公允性进行审计的过程。计算机审计是会计电算化的必然要求,也是审计工作紧跟信息时代步伐的必然要求。勿庸置疑,计算机审计技术的应用必然会提高审计工作效率和质量,已有的实践的确向我们展示了其强大的功能和良好的应用前景。但不容忽视的是:计算机技术的复杂性极可能使审计风险复杂化。如何在充分发挥其优势的同时,有效地防范可能的风险?这是一个迫切需要解决的课题,本文力图对计算机审计风险进行分析和探讨,从而提出有意义的防范对策。

一、计算机审计的几种风险

计算机审计风险是指:由于审计人员未能正确合理地运用计算机审计技术对被审计单位计算机会计信息系统运行的有效性、数据处理的合法性正确性、最终报表的真实性公允性进行审计,从而对被审计单位含有重要错报或漏报的财务报表表示不恰当审计意见的风险。无论计算机辅助审计软件多么全面,但它终究是一种工具,最终还需要审计人员做出判断。开展计算机辅助审计,主要有以下几种风险。

(一)审计软硬件风险

软硬件风险是指由于计算机审计软件本身在设计、制作过程中的缺陷等原因造成的风险。

1、所使用的审计软件没有通过有关部门的评审,也没有进行使用前的试运行就匆忙投入使用,可能造成软件运行不稳定。

2、随着会计软件的不断升级,而没有采取相应的升级措施,使其出现内部的审计核算方法与会计核算不一致的情况。

3、在软件的开发过程中,一方面由于财会人员对计算机技术不够了解,尤其是对于开发工具更难以准确表达其需求;另一方面,技术人员对审计、会计业务不熟悉,没有全面、深刻了解用户要求,造成软件自身的不完善或审计计算、分析偏差。

(二)人员操作风险

这种风险是由于审计人员在软件的操作过程中,违反操作规程,或者过分依赖计算机所运行的结果,对所发现的各项疑点没有进行必要的复查。

(三)财务数据风险

由于被审计单位非法修改财务系统,系统内部质量控制遭到破坏,或者在财务数据录入过程中,采用虚假、修改、省略、延迟录入等手段造成虚假财务数据。

(四)管理风险

所谓管理风险是指对计算机辅助审计软件的使用和管理制度不完善、不健全而引起的风险。要充分发挥计算机审计的效率,必须建立健全一系列管理制度,否则不但不能很好地发挥计算机审计的高效作用,反而还会带来新的审计风险。

会计系统电脑化的趋势,促使传统审计方法和技术做出相应的变革,但由于目前注册会计师对计算机会计系统的认识有限,在具体审计过程中往往仍然采用传统的审计方法实施审计,这无疑给审计工作带来了更多的风险。

二、计算机审计风险形成的原因

按照国际上通行的审计风险模型:审计风险=固有风险×控制风险×检查风险,计算机审计虽然在审计技术、审计方法等方面与传统审计有很大不同,但仍然可以认为是由以上三大要素构成,以下试对其进行因素分析:

(一)传统审计线索逐渐消失

在手工系统中,由原始凭证到记账凭证,由账簿登记到财务报表的编制,每一步都有文字记录,都有经手人签字,审计线索十分清楚。审计人员进行审计,完全可以根据需要进行顺查、逆查或抽查。但在电算化会计系统中,原先审计所必须审查的大量书面资料都存储在磁性介质中,数据处理的全过程在计算机内运行,从原始数据进入计算机,到财务报表的输出,这中间的全部会计处理集中由计算机按程序指令自动完成,传统的账簿没有了,绝大部分的文字记录消失了,传统的审计线索在这里中断了、消失了,所需的审计线索除少数部分打印出来以外,绝大部分是审计人员不能直接看见的。虽然,管理部门从管理的角度出发,仍然保留一部分肉眼可见的审计线索,但这些有限的审计线索,无论在形式上还是在内容上都与手工系统情况下有很大不同。这些磁性介质上的信息是以机器可读的形式存在的,肉眼不能识别。存储在磁盘上的数据很容易被修改、删除、隐匿、转移,又无明显的痕迹,使审计发现错误的机会减少,难度增大。因此,审计人员发现错误的可能性减少了,而审计风险增加了。

(二)会计系统内控制度的改变

现代审计的一大特征就是以测试被审单位的内部控制为基础的抽样审计,内部控制制度的恰当与否直接影响会计信息的真实性和准确性。在手工会计系统中,内部控制主要从两个方面实施:一是从组织形式上按财务部门经济业务的性质分为几个不同的职能组,并且各职能组的人员只负责某一特定的业务领域,也就是对工作人员进行适当的职责分离,各职能组之间互相牵制,不易出现错误和舞弊;二是在会计帐务处理组织程序上,除了要保证凭证、帐簿、报表按一定程序分由不同人员记录、编制外,还要做到帐帐核对,帐证核对、帐实核对、帐表核对,并保证其一致性。从而在很大程度上保证经济业务处理的合理性、合法性。内部控制的测试是看得见、摸得着的。但在会计电算化信息系统中,由于处理工具、信息载体、会计组织都发生了根本的变化,手工会计系统中原有的很多控制措施都已失去意义。电算化会计和手工会计相比,内部控制环境更复杂,甚至有些环境因素超过制度的有效控制能力;建立严格的内部控制的成本要高得多;对内部控制的评价更为困难。内部控制的技术和方法随之也有了很大的变化,使得手工系统中的许多原有的控制措施都已不适合了。例如,在电算化会计系统中,会计信息的处理和存储高度集中于计算机,会使手工会计系统中的某些职责分离、互相牵制的控制失效。大部分控制措施都是以程序的形式建立在计算机会计信息系统中,肉眼无法觉察,在很大程度上依赖于计算机处理。而计算机会计信息系统的内控功能是否恰当有效会直接影响系统输出信息的真实和准确,内部控制的更大局限性和内控环境的复杂性使舞弊行为有机可乘,从而增加了审计风险。

(三)审计内容的改变

在会计电算化条件下,审计的监督职能虽然没有改变,但审计内容却发生了变化。在电算化会计信息系统中,会计事项由计算机按程序自动进行处理,如果系统的应用程序出错或被非法篡改,则计算机只会按给定的程序以同样错误的方法处理所有的有关会计事项,系统就可能被神不知、鬼不觉地嵌入非法的舞弊程序,不法分子可以利用这些舞弊程序大量侵吞企业的财物。在对电算化会计信息系统的审计中,除了手工审计的内容外,还必须兼顾系统的开发和运行两个方面,包括系统开发各阶段的审查、系统应用程序的审查,如审查系统应用程序的处理功能是否符合会计制度和财经法纪的规定、能否正确完成各项业务的处理、程序控制是否恰当有效等。另外,除对电算化会计信息系统进行事后审计、监督其合法性和正确性外,还提倡在系统的设计开发阶段,审计人员要对系统的开发进行事前和事中审计。审计内容、范围的广泛性要求审计人员具备相应的知识和技能,而现有很多审计人员并不具备,计算机审计风险也不可避免。

(四)审计技术、方法日趋复杂

在手工会计处理的条件下,审计可根据具体情况进行顺查、逆查或抽查。审查一般采用审阅、核对、分析、比较、调查和证实等方法,所有审查工作都是由人工完成的。在会计电算化条件下,会计的特点决定了审计的内容和技术的改变。虽然人工的各种审查技术仍是很重要的,但计算机辅助审计是必不可少的审计技术。因为即使系统的全部账表都要硬盘拷贝,利用计算机还是可以比手工更迅速、更有效地完成审阅、核对、分析、比较等各项审查工作。例如,计算机可以帮助审计人员审阅账务文件,找出满足指定条件的会计记录:可以对众多的会计事项进行统计抽样,以便审计员对抽出样本进一步审查;还可以根据系统所记录的会计资料计算出各种财务比率、变化率和进行各种分析比较等等。审计人员如果不熟悉电算化会计软件的特点和风险而不能识别和审查其内部控制,如果不懂得利用计算机审计技术和方法进行审计,就必然会带来审计风险。

(五)审计人员计算机知识的缺乏

目前,大部分审计人员对于计算机知识普遍缺乏,而随着会计电算化的实行,审计的对象也更多更复杂了。因此,审计人员除了要有专业的审计、会计知识外,还必须掌握一定的计算机知识和应用技术,否则,审计人员做出的审计结论有可能偏离被审计单位会计信息系统的实际,从而造成审计风险。

(六)现行会计软件评审机制存在缺陷

现行会计软件的评审主要侧重于软件功能的构成要素及会计处理方法的合理性,忽视了审计线索的保全性;评审侧重于会计软件运行的结果与手工一致,忽略了对软件开发过程内部控制系统的评价;评审依赖于会计电算化专家小组及部分用户的意见,忽视了软件的审计特征;评审的结果可能同审计人员的意见产生冲突。这些都给审计人员的工作带来了一定的困难和风险。

三、计算机审计风险的防范对策

分析计算机审计风险的构成要素,是为了探求防范审计风险的有效对策,从而促进计算机审计技术的推广应用。如前文所述:审计风险=固有风险×控制风险×检查风险,审计人员惟一能够自主确定和控制的只有检查风险,至于固有风险和控制风险则只能对其进行评估。因此,对计算机审计风险的防范应同时从以下七个方面入手:

(一)保证审计数据的完整性

为保证审计数据的完整和准确,审计人员在审计时必须认真检查被审计单位的会计软件系统是否合格,各项功能设置是否安全可靠,其运行的稳定性及系统内部控制手段如何,包括:①数据处理、报表处理等过程的正确性合法性,是否遵照了相关会计准则、制度及法规;②软件内部控制的有效性,如职责权限是否划分明确,相互制约机制如何;③数据控制是否严密,是否包含了有效的数据校验和纠错措施;④被审计单位所提供的数据是否真实、是否属审计时间范围内的财务数据,是否属结账后的数据,财务数据是否有纸质账册、报表相配套。同时,审计人员获得的财务数据,应该是被审计单位财务人员对财务数据作现场备份所得的。

(二)选择恰当的审计方法与技术

审计人员可以根据被审计单位不同的会计信息系统而采取不同的审计方法和技术,从而有效地降低审计风险。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时,则可采用绕过计算机的审计方法,用核对、复核、分析等审计技术;当被审计单位采用实时处理,纸质的审计线索较少且输入输出不能直接核对时,则可采用计算机审计的方法;当被审计单位采用每时每刻都在运行的会计信息系统,审计过程中不能终止工作时,则可采用制度基础法,首先对被审计单位计算机会计信息系统的一般控制和应用控制进行审查,根据一般控制和应用控制审查的结果决定抽查的重点、范围和方法,这样,既可以降低审计风险,又可以减少对被审计系统正常工作的影响。

(三)选择合理的审计方式

由于要审计的内容大都存储在磁性介质中,而磁性介质很容易被篡改、删除而不留下任何痕迹。因此,对于计算机会计信息系统审计一般应采用就地审计或突击审计的方式。在进行审计时,可以采用事先不通知操作员或程序员的情况下,把系统中正在运行的数据拷贝出来进行审查,以防操作员把数据篡改、删除等,只有这样,才能保证被审程序和数据的正确、完整性,也才能有效地降低审计风险。

(四)积极取得被审计单位的支持和配合

在进行计算机审计时,如果被审计单位的财务人员、操作人员不予配合,把存在磁性介质当中以及会计信息系统中的财务数据进行加密、修改、删除、隐匿等,则审计人员很难进行审查,因此,审计时应积极取得被审计单位的支持和配合,来降低审计风险。

(五)建立健全会计电算化信息系统审计的标准和准则

原有的标准和准则有的已经不适用于会计电算化信息系统审计,这给会计电算化信息系统审计带来了一定的风险,有关部门应采取必要措施,大力加强对计算机审计的研究,尽快制定出适用于会计电算化信息系统审计的标准和准则,来降低计算机审计风险。

(六)改进会计软件的评审机制

财政部门对会计软件独家评审的纵向评审机制,给会计电算化信息系统审计工作带来了一定的困难和风险。因此,需要对会计软件评审机制进行改进,在会计软件通过财政部门评审前,由审计机关组织专家对软件开发商进行软件开发审计,并做出审计结论,财政部门参考审计结论,最终做出是否通过评审的决定。基层的审计人员只需参照审计结论来审查、评价基层用户的会计软件系统。这样就使审计人员和财政部门评审人员共同分担了评审责任和风险。

(七)标准会计电算化软件积极开发和使用电算化审计软件

随着会计电算化的普及和网络化的不断升级,审计的难度也越来越大,审计行业应加强与会计行业的沟通,提倡采用统一的会计电算化软件,建议会计软件的设计应尽可能考虑审计需求,保留审计线索并预留审计接口,最重要的是统一存储数据的格式标准,避免数据格式转换或重复录入的非效率和可能的错误。并且要积极开发和使用优秀的电算化审计软件,一方面可以提高审计的效率,另一方面也能够有效地控制和降低审计风险。

参考文献:

1.刘汝焯。计算机审计概念、框架与规则。清华大学出版社。2007。

2.吴红霞。论计算机辅助审计存在的问题及对策。《理财》2008年(6)。

3.史宁安。国家审计项目全面质量管理。中国时代经济出版社。2008。

4.冯淑霞。计算机审计风险的成因及对策。中国管理信息化,2006(11)