信息系统环境下审计风险的特征及评估
摘要:现代企业的业务运作更加依赖于计算机网络信息系统,但由于信息系统本身特点所具有的脆弱性,将使审计遇到风险。审计风险因客户的会计系统和内部控制使用计算机而呈现出新的特征。
关键词:信息系统;审计风险;风险特征;风险评估
国际会计师联合会(IFAC)的国际审计与保证准则委员会(IAASB)为提高审计质量,于2003年10月发布了新准则,对审计风险模型作出重大改动。其中ISA200准则把审计风险模型改为:审计风险=重大错报风险×检查风险。审计风险模型的变化从某种意义上减少了审计的责任,缩小了审计风险的范畴,本文对审计风险的理解并不局限于社会审计,也包括内部审计和国家审计,所以在这里仍采用“审计风险AR=固有风险IR×控制风险CR×检查风险DR”风险模型进行分析。
一、信息系统环境下审计风险的特征
(一)信息系统环境下固有风险的特征
1存在电子数据被滥用、篡改和丢失的可能性。手工系统中,纸质介质上的信息易于辨认、追溯。而在计算机信息系统环境下,由于存储介质的改变,信息高度集中于计算机信息系统,信息系统应用程序被恶意篡改,或非法入侵信息系统造成经济损失的可能性致使审计的固有风险增大。一旦用户非法透过计算机系统的“防火墙”,数据被不法分子拷贝,甚至可能被进行非法篡改而不留下任何痕迹。计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也极易破坏和修改电子数据,会造成实际数据与电子账面数据不相符,增加固有审计风险的可能性。
2存在审计线索被减少或消除的可能性。手工环境中,会计处理的每一个步骤都有文字记录和经手人签名,审计线索清晰。但在信息系统环境中,从原始数据录入到报表的自动生成,传统的审计线索不复存在,利用信息技术也难以实现如签名、盖章等这些使审计线索证据化的操作,对审计人员查找审计线索带来了较大困难。
3存在原始数据被录入错漏的可能性。计算机信息系统环境下,大量的记账凭证仍靠人工录入,机制证账表表面上的相互平衡,可能掩盖人工录入时发生的错漏。系统的二次开发工作,有可能会削弱之前在计算机信息系统中已经设置好的控制,从而可能产生新的审计风险因素。
(二)信息系统环境下控制风险的特征
1存在约束机制失效的可能性。手工系统下通过建立岗位责任中心达到内部控制的目的,在计算机系统下,一是通过划分操作员的责任范围,设置权限和密码实现人员职责分工;二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于在计算机信息系统中许多不相容职责相对集中,可能因为不恰当的授权而加大舞弊的风险,权限设置的重叠或跨责任中心越权设置,使这一控制措施有可能形同虚设。
2存在会计数据异常的可能性。手工系统下,会计数据异常的可能性几乎不存在;而在计算机系统下,这种可能性难以通过有效的内控制度消除,必须以先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的机率。就多数会计软件看,对数据录入的一致性和正确性控制,会计数据处理的安全性和连续性控制,软件设计还是比较慎密的。但对集成化程度较高的企业级管理软件,数据的共享性和一致性还不完善,系统设计时可能没有考虑到审计工作的需要,没有留下充分的审计线索,如:修改功能将导致无会计轨迹。计算机信息系统主要以磁盘、磁带、光盘等磁性存储介质作为信息载体,记录于这些存储介质上的信息是肉眼不可见的,必须借助于计算机的“翻译”,才能以人可以理解的形式表现出来,但不同的软件对同一信息可能被“翻译”成不同的形式。
3存在实时控制失控的可能性。会计软件对现金和银行存款的收付业务缺乏实时有效的控制手段。对于企业内部发生的经济业务,多数软件是通过人工填制记账凭证,从各系统入口录入到电脑,部分软件虽通过系统实时地录入,但可能与凭证数据不同步;对于现金和银行存款收付业务,不仅数据难以实时同步,而且存在双方数据不一致的可能性。
(三)信息系统环境下检查风险的特征
1存在难以查找历史资料的可能性。对账户或交易的重大实质性测试往往离不开企业的历史数据,由于软件版本的升级、平台的迁移等被审计软件的更新换代,可能导致难以从往年账套里读取历史数据,迫使审计人员不得不从浩如烟海的文档中手工收集和整理历史数据,这不仅降低了审计效率,而且还将带来更多的检查风险。
2存在难以全面检查测试的可能性。手工系统下,内部控制的情况看得见、摸得着,都有据可查;而在计算机信息系统环境下,内部控制主要依赖于软件本身,内部控制融于系统软件之中使审计人员无法通过传统方法觉察,这就要求审计人员设计一套正常有效的业务数据和一套例外(如不完整的、无效的、不合理的、不合逻辑的等)的业务数据,以检查测试应用软件的控制能力。如果在进行计算机信息系统设计时考虑不周,计算机信息系统可能无法判断出某类数据是否符合逻辑,对不合理的数据可能也会进行日常处理。并且对错误数据的处理还具有重复性和连续性,从而可能导致审计人员误认为是正常处理。由于多数审计人员并非电脑专家,要在有限的审计时间里设计完善的测试数据是不现实的。为此,我们认为对系统软件本身的审计检查可纳入软件开发或评审之中,审计人员在审计实务中,重点是测试数据的完整性以及操作权限的分配和应用情况。
3存在难以控制技术风险的可能性。对网络交易而言,当在交易环节中人工干涉变得越来越少时,对控制信息技术是否有效进行的检查将更具实际意义。信息技术控制包括数据存储控制和数据处理控制等,如对程序变化的检查确保以系统程序按管理层的意图运行;在网络灾难导致数据存储平台或数据处理平台瘫痪时,灾难防御计划能使信息处理功能迅速恢复,这些都是任何信息化交易需要加以关注的基本审计风险。随着网络交易越来越广泛,围绕顾客为特征的、并基于计算机或因特网的信息处理过程,对审计人员而言,降低这种检查风险将比任何时候都更具重要意义。
综上所述,计算机信息系统环境下审计风险有其特有的表现形式,审计人员面临着新的风险。然而审计环境的变化并不能改变审计责任,审计人员仍应保持应有的执业谨慎,并采取适当的审计程序使风险控制在可接受的水平上。
二、信息系统环境下的审计风险评估
一般来说,在计算机网络信息系统覆盖了一个企业的营销、计划、生产、采购、仓储、财务、人力资源等企业运营管理的各个层面,如果对每个流程和控制点都进行评估,在资源的利用上是非常不经济的,我们可以通过以下方式来降低审计风险:对于建立了长期业务关系的被审计单位,可以通过要求其加强内外部安全机制、完善软件功能、改进数据录入技术;可以通过要求其统一文件存贮的格式,降低历史文件难以打开阅读的可能性。如,对不同时期版本的会计软件,采取统一的文件格式存贮,以便于审计师使用辅助审计软件打开审查;制定会计软件行业标准,统一数据格式和外部接口。
(一)检查风险评估
设计一套有针对性的审计检查程序,一是检查被审计单位的权限设置,审查操作日志,发现疑点;二是检查被审单位的报表取数公式,重新生成一次并与被审计单位提供的比较;三是查阅销售的原始合同,或利用辅助审计软件整理汇总,并与会计账面数据进行核对;四是检查账实是否相符,这里既包括手工环境下的账实相符,也包括计算机信息系统环境下的各子系统之间的数据相符;五是检查凭证记录的真实性、资产及负债的合理性、期末交易的归属期、内部管理控制制度的完备性和会计政策的一贯性。
(二)控制风险评估
计算机网络信息系统的控制评估必须基于风险管理的原则,通过风险评估寻找对主要业务运作中影响最大的领域。我们可以从企业整个业务风险域中寻找对与财务报表有关的风险的业务流程,从而进一步确定系统模块对业务流程的支持,在实际工作中,一般是通过对业务流程所使用系统模块的频繁程度来确定评估范围。
在进行调研和风险评估中,如果发现计算机网络信息系统中涉及到企业收入业务、支出业务和库存业务的系统控制流程对企业的业务能否顺利运转影响比较大。由于业务控制的削弱,这种影响导致企业出现违规问题的可能性增加。例如,企业管理层非常关注财务控制内部和外部流程,因为这些流程决定了财务数据的准确性,是反映企业运作是否健康的“脉搏”。因此,在审计中通常就要更关注收入业务,它包括主数据维护、销售订单处理、发运、开票、退货和收款等控制内容。
对于可能客观存在的审计风险,审计人员必须保持职业谨慎,运用专业判断,对被审计单位的审计风险各要素进行全面的评估,确定可接受的审计风险水平。
参考文献:
[1] Warren,J Donald,Lynnw EdelsonandXeniaLeyParker HandbookofITAuditing[M] Boston:War renGorham&Lamont 1997
[2]张金城计算机信息系统控制与审计[M]北京:北京大学出版社,2002
[3] Casarin,Paul UsingDataMiningTechniquesinAuditing[J] TheISAudit&ControlJournal 1997,(9)