论文部分内容阅读
[摘 要]随着计算机审计技术运用的日益深入,计算机审计风险的防范越来越引起审计人员的重视。本文从审计客体、审计人员素质、审计环境三方面对计算机审计风险的成因进行了分析,并提出防范和降低计算机审计风险的途径。
[关键词]计算机审计;风险防范;电算化信息
[中图分类号]F239 [文献标识码]A [文章编号]1005-6432(2009)31-0040-02
计算机审计技术的运用在我局已近十年,由最初作为审计文稿的辅助处理工具,发展到目前已实现在审计全过程的全方位运用。这几年来的计算机审计工作实践让我们深刻感受到了计算机技术给审计工作带来的高效和便捷,特别在处理一些大型业务审计项目数据,如税收审计、金融审计等项目时,计算机审计技术所独具的“全面审计、突出重点”的优势是手工审计所无可匹敌的。然而,随着计算机审计技术运用的日渐成熟和广泛,如何规范计算机审计、如何规避计算机系统环境下的审计风险,也日益成为摆在我们每位审计工作者面前不得不思考的问题。本文将结合这几年来计算机审计工作的实践,从基层审计人员的角度,对计算机审计风险的防范谈一些拙见。
1 计算机审计风险的成因分析
任何风险的产生都是由于信息不对称引起的,计算机审计风险也不例外,它主要是由于审计人员在运用计算机技术进行审计的过程中,不能全面、准确地获得被审计单位的真实信息而导致得出的审计结论与被审计单位的事实相背离。我们认为计算机审计风险成因可以从审计客体、审计人员素质、审计环境三方面进行分析。
1.1 从审计客体分析
1.1.1 被审计单位电算化信息系统内控制度的缺陷给计算机审计带来的风险
在手工系统中,内部控制的测试是看得见、摸得着的,但在会计电算化信息系统中,内部控制的设置发生了很大的变化,大部分控制措施都是以程序的形式固定在计算机会计信息系统中,肉眼无法觉察,在很大程度上依赖于计算机处理。但计算机程序设置的内控制度执行是否到位,关键还在于人员实际操作时是否执行到位,如果人员操作不规范,内控制度照样形同虚设,存在着较大的风险。近年来,我们在对路桥区镇街道财政组的会计电算化内部控制调查中发现,虽然镇街道所使用的会计电算化系统软件本身都设置有明确的内部分工及授权机制,但在实际操作时,基本上都是由一个会计人员完成电算化会计软件的操作全过程,电算化系统中的各操作人员实际操作过程中没有权限的限制,任何一个操作员都可以不经授权进入电算化系统的任何模块。有的镇街道甚至连前台的操作密码都没有设置,数据库基本上都没有设置密码,一个稍微懂点数据库知识的外人,无须任何授权就能长驱直入地进入到其数据库中,数据库的安全性极差。电算化会计信息系统内控功能的虚设使得舞弊行为有机可乘,从而增加了审计风险。
1.1.2 被审计单位电算化信息系统基础工作的薄弱给计算机审计带来的风险
在对财务数据的审计工作中,我们常发现有些被审计单位的会计人员常将数笔不同类型的原始凭证发生额汇总合并为一笔账输入电算化信息系统中;对通过开立现金支票支付的款项,不通过“现金”科目过渡,在电算化信息系统中反映为“银行存款”科目支出;将一些不合规大额支出,不分款项性质,均罗列在“其他”明细科目等,在这些不规范的记账信息里面,都极有可能隐藏了重要的审计线索。对这些明细反映不全面、不真实的电子会计信息,审计人员如果过分地依赖计算机进行分析处理,而不附加复杂细致的手工审核,就很可能造成审计人员实际所得与被审计单位真实的会计信息存在偏差,从而加大了审计风险。
1.2 从审计人员素质分析
1.2.1 审计人员计算机专业知识深度不够
目前被审计单位电算化信息系统已日益普及,因此,专业审计人员既需要具备丰富的审计专业知识,也需有专业的计算机知识,特别是要掌握数据库的处理技术。不仅要掌握通用审计软件的应用操作,还应当能够根据审计对象的个体差异,及时编写出各种小程序小模块来弥补审计软件的不足。但目前大部分审计人员只掌握了计算机操作系统的初步应用能力,高层次的计算机系统设计、程序编译检测技能普遍缺乏,从而不能有效分析和掌握被审计单位的数据系统结构。因此,在运用计算机审计技术进行取证时,很可能出现审计人员实际所得的会计信息与所预期的存在较大偏差,从而加大了审计风险。
1.2.2 审计人员的计算机审计风险防范意识不强
计算机系统下的审计风险与传统手工审计相比,内容更广、更深,集中表现在计算机审计风险隐蔽性强、可控性差、破坏性大等特点上。审计人员必须对此引起足够的重视,如果仅仅为了完成审计任务,而不考虑审计风险内容及其内涵的变化,对所发现的各项疑点没有进行必要的复查,完全依赖计算机所运行的结果,就很难保证审计工作的质量,从而无法客观真实地评价被审计单位审计期间财务及业务收支情况,加大了审计风险。
1.3 从审计环境分析
1.3.1 被审计单位电算化信息系统软件的多样化
目前,被审计单位所使用的财务及业务数据信息化软件版本不一,在功能、程序处理上都有着一定的差别,其要求运用的审计技术和方法也不一样,从而给审计人员的审计增加了复杂性,审计人员如果对软件不熟悉或采用了不当的审计技术和方法,必然会带来审计风险。在实际工作中,我们发现被审计单位的会计电算化软件大都是自行采购的商品化软件,数据文件结构也各有差异。特别是一些大型的业务数据库,如税收、社保、医院等信息系统,各数据文件的字段及其关联结构极其复杂,即使能够打开被审计单位的数据库,但如果不对其数据结构有相当的熟悉程度,获得的常常只是被审计对象的部分信息,很难掌握被审计单位的业务信息全貌,极易导致形成审计风险。
1.3.2 审计线索隐蔽化
手工方式下的审计线索主要是纸质凭证、账簿和报表等相关资料,审计线索明显可见,而在会计电算化方式下,由于计算工具、存储介质和网络技术的引入,导致审计线索有逐渐减少甚至消失的趋势。这是因为在会计电算化方式下,会计数据一进入凭证系统,就在计算机会计系统内不受人工干预的情况下自动进入下一数据流程。与此同时,机内的日志文件又可删除,保存在磁性介质中的会计数据也可以人为不留痕迹地加以修改或删除,这些都削弱了审计线索,减少了审计过程中发现错误的机会。电子信息存储的隐蔽性导致信息获取的复杂性,必然会加大审计人员的审计风险。
2 防范和降低计算机审计风险的途径
2.1 要加强对电算化信息系统内控制度的审计
被审计单位健全的电算化信息系统内控制度是审计人员能够运用计算机审计技术及防范计算机审计风险的基础和前提。在电算化信息系统中,主要通过建立电算化软硬件管理制度、电算化岗位责任制度、上机操作管理制度以及电算化信息档案管理制度等保证会计信息的真实性与正确性。在利用被审计单位的电算化信息系统时,审计人员要围绕信息系统内部控制的五要素,即控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督五方面对被审计单位的信息系统内部控制的有效性作出评价。这样有助于审计人员在审计过程中对被审计单位固有风险和控制风险作出合理的评估,并以此为基础将计算机审计风险控制在一个可接受的水平上。
2.2 要因地制宜地改进计算机审计方法
由于要审计的内容大都存储在磁性介质中,而磁性介质很容易被篡改、删除而不留下任何痕迹。因此,在对被审计单位计算机会计信息系统审计时应采用就地审计或突击审计的方式。在进行审计时,可以采用事先不通知操作员或程序员的情况下,把系统中正在运行的数据拷贝出来进行审查,以防操作员把数据篡改、删除等。待条件成熟时,可以根据针对各审计对象的不同特征编制审计检查程序进行联网审计,将事后的审计监督与事前事中的监督结合起来,使审计风险降到最低。
2.3 积极取得被审计单位的支持和配合
在进行计算机审计时,如果被审计单位的财务人员、操作人员不予配合,把存在磁性介质中以及会计信息系统中的财务数据进行加密、修改、删除、隐匿等,审计人员很难进行审查,因此,审计时应积极取得被审计单位的支持和配合,降低审计风险。
2.4 积极采取多种措施培养具有复合型知识结构的审计人员
当前,随着被审计对象信息化建设的日益普及,对审计人员计算机审计技术水平的要求也越来越高。因此,在新的审计环境下,审计部门要加强对审计人员计算机应用技术、数据处理技术和网络知识的培训,培养出更多的能将计算机技术与审计专业技术融合于一身的高素质复合型审计人员,这也是提高计算机审计风险防范的人力保障。
[收稿日期]2009-06-30
[作者简介]张玮新(1970—),男,会计师,研究方向:国家审计。
[关键词]计算机审计;风险防范;电算化信息
[中图分类号]F239 [文献标识码]A [文章编号]1005-6432(2009)31-0040-02
计算机审计技术的运用在我局已近十年,由最初作为审计文稿的辅助处理工具,发展到目前已实现在审计全过程的全方位运用。这几年来的计算机审计工作实践让我们深刻感受到了计算机技术给审计工作带来的高效和便捷,特别在处理一些大型业务审计项目数据,如税收审计、金融审计等项目时,计算机审计技术所独具的“全面审计、突出重点”的优势是手工审计所无可匹敌的。然而,随着计算机审计技术运用的日渐成熟和广泛,如何规范计算机审计、如何规避计算机系统环境下的审计风险,也日益成为摆在我们每位审计工作者面前不得不思考的问题。本文将结合这几年来计算机审计工作的实践,从基层审计人员的角度,对计算机审计风险的防范谈一些拙见。
1 计算机审计风险的成因分析
任何风险的产生都是由于信息不对称引起的,计算机审计风险也不例外,它主要是由于审计人员在运用计算机技术进行审计的过程中,不能全面、准确地获得被审计单位的真实信息而导致得出的审计结论与被审计单位的事实相背离。我们认为计算机审计风险成因可以从审计客体、审计人员素质、审计环境三方面进行分析。
1.1 从审计客体分析
1.1.1 被审计单位电算化信息系统内控制度的缺陷给计算机审计带来的风险
在手工系统中,内部控制的测试是看得见、摸得着的,但在会计电算化信息系统中,内部控制的设置发生了很大的变化,大部分控制措施都是以程序的形式固定在计算机会计信息系统中,肉眼无法觉察,在很大程度上依赖于计算机处理。但计算机程序设置的内控制度执行是否到位,关键还在于人员实际操作时是否执行到位,如果人员操作不规范,内控制度照样形同虚设,存在着较大的风险。近年来,我们在对路桥区镇街道财政组的会计电算化内部控制调查中发现,虽然镇街道所使用的会计电算化系统软件本身都设置有明确的内部分工及授权机制,但在实际操作时,基本上都是由一个会计人员完成电算化会计软件的操作全过程,电算化系统中的各操作人员实际操作过程中没有权限的限制,任何一个操作员都可以不经授权进入电算化系统的任何模块。有的镇街道甚至连前台的操作密码都没有设置,数据库基本上都没有设置密码,一个稍微懂点数据库知识的外人,无须任何授权就能长驱直入地进入到其数据库中,数据库的安全性极差。电算化会计信息系统内控功能的虚设使得舞弊行为有机可乘,从而增加了审计风险。
1.1.2 被审计单位电算化信息系统基础工作的薄弱给计算机审计带来的风险
在对财务数据的审计工作中,我们常发现有些被审计单位的会计人员常将数笔不同类型的原始凭证发生额汇总合并为一笔账输入电算化信息系统中;对通过开立现金支票支付的款项,不通过“现金”科目过渡,在电算化信息系统中反映为“银行存款”科目支出;将一些不合规大额支出,不分款项性质,均罗列在“其他”明细科目等,在这些不规范的记账信息里面,都极有可能隐藏了重要的审计线索。对这些明细反映不全面、不真实的电子会计信息,审计人员如果过分地依赖计算机进行分析处理,而不附加复杂细致的手工审核,就很可能造成审计人员实际所得与被审计单位真实的会计信息存在偏差,从而加大了审计风险。
1.2 从审计人员素质分析
1.2.1 审计人员计算机专业知识深度不够
目前被审计单位电算化信息系统已日益普及,因此,专业审计人员既需要具备丰富的审计专业知识,也需有专业的计算机知识,特别是要掌握数据库的处理技术。不仅要掌握通用审计软件的应用操作,还应当能够根据审计对象的个体差异,及时编写出各种小程序小模块来弥补审计软件的不足。但目前大部分审计人员只掌握了计算机操作系统的初步应用能力,高层次的计算机系统设计、程序编译检测技能普遍缺乏,从而不能有效分析和掌握被审计单位的数据系统结构。因此,在运用计算机审计技术进行取证时,很可能出现审计人员实际所得的会计信息与所预期的存在较大偏差,从而加大了审计风险。
1.2.2 审计人员的计算机审计风险防范意识不强
计算机系统下的审计风险与传统手工审计相比,内容更广、更深,集中表现在计算机审计风险隐蔽性强、可控性差、破坏性大等特点上。审计人员必须对此引起足够的重视,如果仅仅为了完成审计任务,而不考虑审计风险内容及其内涵的变化,对所发现的各项疑点没有进行必要的复查,完全依赖计算机所运行的结果,就很难保证审计工作的质量,从而无法客观真实地评价被审计单位审计期间财务及业务收支情况,加大了审计风险。
1.3 从审计环境分析
1.3.1 被审计单位电算化信息系统软件的多样化
目前,被审计单位所使用的财务及业务数据信息化软件版本不一,在功能、程序处理上都有着一定的差别,其要求运用的审计技术和方法也不一样,从而给审计人员的审计增加了复杂性,审计人员如果对软件不熟悉或采用了不当的审计技术和方法,必然会带来审计风险。在实际工作中,我们发现被审计单位的会计电算化软件大都是自行采购的商品化软件,数据文件结构也各有差异。特别是一些大型的业务数据库,如税收、社保、医院等信息系统,各数据文件的字段及其关联结构极其复杂,即使能够打开被审计单位的数据库,但如果不对其数据结构有相当的熟悉程度,获得的常常只是被审计对象的部分信息,很难掌握被审计单位的业务信息全貌,极易导致形成审计风险。
1.3.2 审计线索隐蔽化
手工方式下的审计线索主要是纸质凭证、账簿和报表等相关资料,审计线索明显可见,而在会计电算化方式下,由于计算工具、存储介质和网络技术的引入,导致审计线索有逐渐减少甚至消失的趋势。这是因为在会计电算化方式下,会计数据一进入凭证系统,就在计算机会计系统内不受人工干预的情况下自动进入下一数据流程。与此同时,机内的日志文件又可删除,保存在磁性介质中的会计数据也可以人为不留痕迹地加以修改或删除,这些都削弱了审计线索,减少了审计过程中发现错误的机会。电子信息存储的隐蔽性导致信息获取的复杂性,必然会加大审计人员的审计风险。
2 防范和降低计算机审计风险的途径
2.1 要加强对电算化信息系统内控制度的审计
被审计单位健全的电算化信息系统内控制度是审计人员能够运用计算机审计技术及防范计算机审计风险的基础和前提。在电算化信息系统中,主要通过建立电算化软硬件管理制度、电算化岗位责任制度、上机操作管理制度以及电算化信息档案管理制度等保证会计信息的真实性与正确性。在利用被审计单位的电算化信息系统时,审计人员要围绕信息系统内部控制的五要素,即控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督五方面对被审计单位的信息系统内部控制的有效性作出评价。这样有助于审计人员在审计过程中对被审计单位固有风险和控制风险作出合理的评估,并以此为基础将计算机审计风险控制在一个可接受的水平上。
2.2 要因地制宜地改进计算机审计方法
由于要审计的内容大都存储在磁性介质中,而磁性介质很容易被篡改、删除而不留下任何痕迹。因此,在对被审计单位计算机会计信息系统审计时应采用就地审计或突击审计的方式。在进行审计时,可以采用事先不通知操作员或程序员的情况下,把系统中正在运行的数据拷贝出来进行审查,以防操作员把数据篡改、删除等。待条件成熟时,可以根据针对各审计对象的不同特征编制审计检查程序进行联网审计,将事后的审计监督与事前事中的监督结合起来,使审计风险降到最低。
2.3 积极取得被审计单位的支持和配合
在进行计算机审计时,如果被审计单位的财务人员、操作人员不予配合,把存在磁性介质中以及会计信息系统中的财务数据进行加密、修改、删除、隐匿等,审计人员很难进行审查,因此,审计时应积极取得被审计单位的支持和配合,降低审计风险。
2.4 积极采取多种措施培养具有复合型知识结构的审计人员
当前,随着被审计对象信息化建设的日益普及,对审计人员计算机审计技术水平的要求也越来越高。因此,在新的审计环境下,审计部门要加强对审计人员计算机应用技术、数据处理技术和网络知识的培训,培养出更多的能将计算机技术与审计专业技术融合于一身的高素质复合型审计人员,这也是提高计算机审计风险防范的人力保障。
[收稿日期]2009-06-30
[作者简介]张玮新(1970—),男,会计师,研究方向:国家审计。