掃碼下載APP
及時接收最新考試資訊及
備考信息
摘要:現(xiàn)代企業(yè)的業(yè)務(wù)運作更加依賴于計算機網(wǎng)絡(luò)信息系統(tǒng),但由于信息系統(tǒng)本身特點所具有的脆弱性,將使審計遇到風(fēng)險。審計風(fēng)險因客戶的會計系統(tǒng)和內(nèi)部控制使用計算機而呈現(xiàn)出新的特征。
關(guān)鍵詞:信息系統(tǒng);審計風(fēng)險;風(fēng)險特征;風(fēng)險評估
國際會計師聯(lián)合會(IFAC)的國際審計與保證準(zhǔn)則委員會(IAASB)為提高審計質(zhì)量,于2003年10月發(fā)布了新準(zhǔn)則,對審計風(fēng)險模型作出重大改動。其中ISA200準(zhǔn)則把審計風(fēng)險模型改為:審計風(fēng)險=重大錯報風(fēng)險×檢查風(fēng)險。審計風(fēng)險模型的變化從某種意義上減少了審計的責(zé)任,縮小了審計風(fēng)險的范疇,本文對審計風(fēng)險的理解并不局限于社會審計,也包括內(nèi)部審計和國家審計,所以在這里仍采用“審計風(fēng)險AR=固有風(fēng)險IR×控制風(fēng)險CR×檢查風(fēng)險DR”風(fēng)險模型進行分析。
一、信息系統(tǒng)環(huán)境下審計風(fēng)險的特征
?。ㄒ唬┬畔⑾到y(tǒng)環(huán)境下固有風(fēng)險的特征
1存在電子數(shù)據(jù)被濫用、篡改和丟失的可能性。手工系統(tǒng)中,紙質(zhì)介質(zhì)上的信息易于辨認(rèn)、追溯。而在計算機信息系統(tǒng)環(huán)境下,由于存儲介質(zhì)的改變,信息高度集中于計算機信息系統(tǒng),信息系統(tǒng)應(yīng)用程序被惡意篡改,或非法入侵信息系統(tǒng)造成經(jīng)濟損失的可能性致使審計的固有風(fēng)險增大。一旦用戶非法透過計算機系統(tǒng)的“防火墻”,數(shù)據(jù)被不法分子拷貝,甚至可能被進行非法篡改而不留下任何痕跡。計算機病毒、電源故障、操作失誤、程序處理錯誤和網(wǎng)絡(luò)傳輸故障也極易破壞和修改電子數(shù)據(jù),會造成實際數(shù)據(jù)與電子賬面數(shù)據(jù)不相符,增加固有審計風(fēng)險的可能性。
2存在審計線索被減少或消除的可能性。手工環(huán)境中,會計處理的每一個步驟都有文字記錄和經(jīng)手人簽名,審計線索清晰。但在信息系統(tǒng)環(huán)境中,從原始數(shù)據(jù)錄入到報表的自動生成,傳統(tǒng)的審計線索不復(fù)存在,利用信息技術(shù)也難以實現(xiàn)如簽名、蓋章等這些使審計線索證據(jù)化的操作,對審計人員查找審計線索帶來了較大困難。
3存在原始數(shù)據(jù)被錄入錯漏的可能性。計算機信息系統(tǒng)環(huán)境下,大量的記賬憑證仍靠人工錄入,機制證賬表表面上的相互平衡,可能掩蓋人工錄入時發(fā)生的錯漏。系統(tǒng)的二次開發(fā)工作,有可能會削弱之前在計算機信息系統(tǒng)中已經(jīng)設(shè)置好的控制,從而可能產(chǎn)生新的審計風(fēng)險因素。
?。ǘ┬畔⑾到y(tǒng)環(huán)境下控制風(fēng)險的特征
1存在約束機制失效的可能性。手工系統(tǒng)下通過建立崗位責(zé)任中心達到內(nèi)部控制的目的,在計算機系統(tǒng)下,一是通過劃分操作員的責(zé)任范圍,設(shè)置權(quán)限和密碼實現(xiàn)人員職責(zé)分工;二是通過軟件設(shè)計劃分若干子系統(tǒng)或功能模塊設(shè)置不同的責(zé)任中心。由于在計算機信息系統(tǒng)中許多不相容職責(zé)相對集中,可能因為不恰當(dāng)?shù)氖跈?quán)而加大舞弊的風(fēng)險,權(quán)限設(shè)置的重疊或跨責(zé)任中心越權(quán)設(shè)置,使這一控制措施有可能形同虛設(shè)。
2存在會計數(shù)據(jù)異常的可能性。手工系統(tǒng)下,會計數(shù)據(jù)異常的可能性幾乎不存在;而在計算機系統(tǒng)下,這種可能性難以通過有效的內(nèi)控制度消除,必須以先進的硬、軟件平臺以及會計軟件本身的自我保護,減少出現(xiàn)異常錯誤的機率。就多數(shù)會計軟件看,對數(shù)據(jù)錄入的一致性和正確性控制,會計數(shù)據(jù)處理的安全性和連續(xù)性控制,軟件設(shè)計還是比較慎密的。但對集成化程度較高的企業(yè)級管理軟件,數(shù)據(jù)的共享性和一致性還不完善,系統(tǒng)設(shè)計時可能沒有考慮到審計工作的需要,沒有留下充分的審計線索,如:修改功能將導(dǎo)致無會計軌跡。計算機信息系統(tǒng)主要以磁盤、磁帶、光盤等磁性存儲介質(zhì)作為信息載體,記錄于這些存儲介質(zhì)上的信息是肉眼不可見的,必須借助于計算機的“翻譯”,才能以人可以理解的形式表現(xiàn)出來,但不同的軟件對同一信息可能被“翻譯”成不同的形式。
3存在實時控制失控的可能性。會計軟件對現(xiàn)金和銀行存款的收付業(yè)務(wù)缺乏實時有效的控制手段。對于企業(yè)內(nèi)部發(fā)生的經(jīng)濟業(yè)務(wù),多數(shù)軟件是通過人工填制記賬憑證,從各系統(tǒng)入口錄入到電腦,部分軟件雖通過系統(tǒng)實時地錄入,但可能與憑證數(shù)據(jù)不同步;對于現(xiàn)金和銀行存款收付業(yè)務(wù),不僅數(shù)據(jù)難以實時同步,而且存在雙方數(shù)據(jù)不一致的可能性。
(三)信息系統(tǒng)環(huán)境下檢查風(fēng)險的特征
1存在難以查找歷史資料的可能性。對賬戶或交易的重大實質(zhì)性測試往往離不開企業(yè)的歷史數(shù)據(jù),由于軟件版本的升級、平臺的遷移等被審計軟件的更新?lián)Q代,可能導(dǎo)致難以從往年賬套里讀取歷史數(shù)據(jù),迫使審計人員不得不從浩如煙海的文檔中手工收集和整理歷史數(shù)據(jù),這不僅降低了審計效率,而且還將帶來更多的檢查風(fēng)險。
2存在難以全面檢查測試的可能性。手工系統(tǒng)下,內(nèi)部控制的情況看得見、摸得著,都有據(jù)可查;而在計算機信息系統(tǒng)環(huán)境下,內(nèi)部控制主要依賴于軟件本身,內(nèi)部控制融于系統(tǒng)軟件之中使審計人員無法通過傳統(tǒng)方法覺察,這就要求審計人員設(shè)計一套正常有效的業(yè)務(wù)數(shù)據(jù)和一套例外(如不完整的、無效的、不合理的、不合邏輯的等)的業(yè)務(wù)數(shù)據(jù),以檢查測試應(yīng)用軟件的控制能力。如果在進行計算機信息系統(tǒng)設(shè)計時考慮不周,計算機信息系統(tǒng)可能無法判斷出某類數(shù)據(jù)是否符合邏輯,對不合理的數(shù)據(jù)可能也會進行日常處理。并且對錯誤數(shù)據(jù)的處理還具有重復(fù)性和連續(xù)性,從而可能導(dǎo)致審計人員誤認(rèn)為是正常處理。由于多數(shù)審計人員并非電腦專家,要在有限的審計時間里設(shè)計完善的測試數(shù)據(jù)是不現(xiàn)實的。為此,我們認(rèn)為對系統(tǒng)軟件本身的審計檢查可納入軟件開發(fā)或評審之中,審計人員在審計實務(wù)中,重點是測試數(shù)據(jù)的完整性以及操作權(quán)限的分配和應(yīng)用情況。
3存在難以控制技術(shù)風(fēng)險的可能性。對網(wǎng)絡(luò)交易而言,當(dāng)在交易環(huán)節(jié)中人工干涉變得越來越少時,對控制信息技術(shù)是否有效進行的檢查將更具實際意義。信息技術(shù)控制包括數(shù)據(jù)存儲控制和數(shù)據(jù)處理控制等,如對程序變化的檢查確保以系統(tǒng)程序按管理層的意圖運行;在網(wǎng)絡(luò)災(zāi)難導(dǎo)致數(shù)據(jù)存儲平臺或數(shù)據(jù)處理平臺癱瘓時,災(zāi)難防御計劃能使信息處理功能迅速恢復(fù),這些都是任何信息化交易需要加以關(guān)注的基本審計風(fēng)險。隨著網(wǎng)絡(luò)交易越來越廣泛,圍繞顧客為特征的、并基于計算機或因特網(wǎng)的信息處理過程,對審計人員而言,降低這種檢查風(fēng)險將比任何時候都更具重要意義。
綜上所述,計算機信息系統(tǒng)環(huán)境下審計風(fēng)險有其特有的表現(xiàn)形式,審計人員面臨著新的風(fēng)險。然而審計環(huán)境的變化并不能改變審計責(zé)任,審計人員仍應(yīng)保持應(yīng)有的執(zhí)業(yè)謹(jǐn)慎,并采取適當(dāng)?shù)膶徲嫵绦蚴癸L(fēng)險控制在可接受的水平上。
二、信息系統(tǒng)環(huán)境下的審計風(fēng)險評估
一般來說,在計算機網(wǎng)絡(luò)信息系統(tǒng)覆蓋了一個企業(yè)的營銷、計劃、生產(chǎn)、采購、倉儲、財務(wù)、人力資源等企業(yè)運營管理的各個層面,如果對每個流程和控制點都進行評估,在資源的利用上是非常不經(jīng)濟的,我們可以通過以下方式來降低審計風(fēng)險:對于建立了長期業(yè)務(wù)關(guān)系的被審計單位,可以通過要求其加強內(nèi)外部安全機制、完善軟件功能、改進數(shù)據(jù)錄入技術(shù);可以通過要求其統(tǒng)一文件存貯的格式,降低歷史文件難以打開閱讀的可能性。如,對不同時期版本的會計軟件,采取統(tǒng)一的文件格式存貯,以便于審計師使用輔助審計軟件打開審查;制定會計軟件行業(yè)標(biāo)準(zhǔn),統(tǒng)一數(shù)據(jù)格式和外部接口。
(一)檢查風(fēng)險評估
設(shè)計一套有針對性的審計檢查程序,一是檢查被審計單位的權(quán)限設(shè)置,審查操作日志,發(fā)現(xiàn)疑點;二是檢查被審單位的報表取數(shù)公式,重新生成一次并與被審計單位提供的比較;三是查閱銷售的原始合同,或利用輔助審計軟件整理匯總,并與會計賬面數(shù)據(jù)進行核對;四是檢查賬實是否相符,這里既包括手工環(huán)境下的賬實相符,也包括計算機信息系統(tǒng)環(huán)境下的各子系統(tǒng)之間的數(shù)據(jù)相符;五是檢查憑證記錄的真實性、資產(chǎn)及負(fù)債的合理性、期末交易的歸屬期、內(nèi)部管理控制制度的完備性和會計政策的一貫性。
(二)控制風(fēng)險評估
計算機網(wǎng)絡(luò)信息系統(tǒng)的控制評估必須基于風(fēng)險管理的原則,通過風(fēng)險評估尋找對主要業(yè)務(wù)運作中影響最大的領(lǐng)域。我們可以從企業(yè)整個業(yè)務(wù)風(fēng)險域中尋找對與財務(wù)報表有關(guān)的風(fēng)險的業(yè)務(wù)流程,從而進一步確定系統(tǒng)模塊對業(yè)務(wù)流程的支持,在實際工作中,一般是通過對業(yè)務(wù)流程所使用系統(tǒng)模塊的頻繁程度來確定評估范圍。
在進行調(diào)研和風(fēng)險評估中,如果發(fā)現(xiàn)計算機網(wǎng)絡(luò)信息系統(tǒng)中涉及到企業(yè)收入業(yè)務(wù)、支出業(yè)務(wù)和庫存業(yè)務(wù)的系統(tǒng)控制流程對企業(yè)的業(yè)務(wù)能否順利運轉(zhuǎn)影響比較大。由于業(yè)務(wù)控制的削弱,這種影響導(dǎo)致企業(yè)出現(xiàn)違規(guī)問題的可能性增加。例如,企業(yè)管理層非常關(guān)注財務(wù)控制內(nèi)部和外部流程,因為這些流程決定了財務(wù)數(shù)據(jù)的準(zhǔn)確性,是反映企業(yè)運作是否健康的“脈搏”。因此,在審計中通常就要更關(guān)注收入業(yè)務(wù),它包括主數(shù)據(jù)維護、銷售訂單處理、發(fā)運、開票、退貨和收款等控制內(nèi)容。
對于可能客觀存在的審計風(fēng)險,審計人員必須保持職業(yè)謹(jǐn)慎,運用專業(yè)判斷,對被審計單位的審計風(fēng)險各要素進行全面的評估,確定可接受的審計風(fēng)險水平。
參考文獻:
[1] Warren,J Donald,Lynnw EdelsonandXeniaLeyParker HandbookofITAuditing[M] Boston:War renGorham&Lamont 1997
[2]張金城計算機信息系統(tǒng)控制與審計[M]北京:北京大學(xué)出版社,2002
[3] Casarin,Paul UsingDataMiningTechniquesinAuditing[J] TheISAudit&ControlJournal 1997,(9)
安卓版本:8.7.20 蘋果版本:8.7.20
開發(fā)者:北京正保會計科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點擊下載>
官方公眾號
微信掃一掃
官方視頻號
微信掃一掃
官方抖音號
抖音掃一掃
Copyright © 2000 - m.jnjuyue.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有
京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號