远程审计的发展与对策
来源:
2004-06-03
普通
所谓远程审计是会计师事务所利用审计数据接口技术通过互联网获得被审单位的原始数据,以计算机为辅助工具,运用审计软件分析判断,并通过互联网传输或在网上公布审计报告的审计方式。随着信息技术的发展,越来越多的企业开始实现会计电算化和网络化,会计信息处理均由会计信息系统完成。由于企业局域网的建立和完善,企业与客户、供应商、金融机构、税务局等外部组织的联系越来越多地通过网络进行。这就要求审计必须伸入“网络空间”,对企业的网络业务进行实时监督,对此只有通过互联网实施远程审计才能实现。另一方面,资本市场的发展和注册会计师行业的激烈竞争也要求实施远程审计。资本市场特别是证券市场的发展使投资主体多元化,并具有易变性和敏感性,投资者要求提供及时、相关、可靠的信息,这就要求事务所提高审计效率和质量,在短时间内处理大量的信息。与此同时,跨行业、跨地区公司的分散状态以及互联网的使用使信息载体高度分散,审计人员只有通过网络审计模式,才能满足投资者的需求。本文拟对远程审计发展中存在的一些问题及相应对策作一探讨。
远程审计发展中存在的问题
1.审计软件与会计软件脱节
目前,在全国范围内可流通的商品化会计软件已有200余个,定点开发的会计软件更是不计其数,而这些软件采用的数据库平台和数据结构各不相同。如果要求计算机审计软件去适应各类通用或企业专门开发的会计软件,对其数据结构进行逐层分析,对其数据含义进行符合确定,其高成本与技术含量是可想而知的。比较可行的是建立公用数据交换标准制度,所有的通用软件均以此为标准进行规范化开发。同时,现有的会计软件必须进一步改善,以实现与审计软件配合使用,实现会计审计一体化。如必须规范会计软件数据库结构、提供数据接口、在会计软件中设计相应的内部审计监控子系统,提供数据修改日志以保证清晰有效的审计线索等。
2.网络安全
远程审计必须借助网络获取原始数据,对网上经济活动及其记录进行审计,必然对网络的安全性、可靠性、准确性产生依赖。目前计算机病毒通过网络传播的现象已十分普遍,“黑客”随时可能侵袭信息系统,加上计算机故障或被审单位舞弊等原因,使网络审计风险比传统审计风险更复杂。另外,网络环境下,企业的内部控制也出现了新的内容,如软件程序正确性控制、操作权限控制、网络登录控制等。因此必须加强企业的内部控制,以保护企业资产的安全,保证会计信息的准确性和可靠性,有效地减轻审计风险。因而,远程审计要建立新的安全控制,不仅包括企业内部管理制度和企业信息系统的程序控制,还包括外部网络及网上交易等业务活动的安全控制。
3.审计人员操作权限的授权
实施远程审计,审计人员应可以随时进入被审计单位的信息系统获取其会计信息的原始资料,并对其业务活动进行监督,因此被审计单位必须赋予审计人员操作权限。但是,鉴于安全考虑,审计人员并不是随便可以入网,而必须通过身份验证。被审计单位可告知审计人员登录密码,或将审计人员的虹膜、指纹或面貌输入到信息系统中。审计人员进入被审计单位信息系统时,系统首先将其与存储在档案中的资料相比较,若符合,审计人员便可操作该系统。
4.现场审计
传统手工审计中,不论是符合性测试还是实质性测试,都离不开审计人员的现场审计。而远程审计中,审计人员可通过互联网电子数据传输获取审计证据,在事务所完成大部分审计工作。但是,大部分企业仍拥有固定资产、原材料、产成品等有形资产,获取审计证据的现场监盘就不可避免。当然,随着物流技术的发展,“零库存”将为大多数企业所利用。在这种情况下,现场监盘的程序就有望被省略,但这需要一个长期的过程。另一个解决的办法便是建立为会计师事务所服务的机构。这些机构专门负责事务所到现场取证,事务所也可以免掉现场奔波的劳累。但这将会引起会计师事务所的一次大变革,要付诸实践也并非易事。
5.观念制约和成本效益
远程审计的实施要求事务所从硬件设施到审计人员知识结构作一次大变革。部分审计人员可能已经习惯传统审计模式,对信息系统、网络知识、计算机知识了解不多,因此会对远程审计产生抵触情绪。而且事务所面临的风险并不能被准确评估,不能保证其获得的信息的准确度,加上开发程序、培训和熟悉软件操作等成本费用也比较高,有些事务所可能会拒绝实施远程审计。另外,远程审计需要被审单位的主动配合方可完成,如果客户不合作,同样会阻碍远程审计的实施。
远程审计的发展对策
1.适应审计环境变化,加快审计网络建设
信息技术环境下,审计面临的不再是传统的交易模式和经营管理观念,而是全新的网上空间,审计人员只有通过互联网进行远程审计,才能随时捕捉信息,即时提供审计信息,这就必须加强审计网络的建设。要高度重视事务所网络环境建设,事务所的内部网建设及其与Internet的资源共享,可为审计人员营造一个良好的现代化工作环境。
2.开发审计信息系统
远程审计的实施要求开发一个可以实现审计计划到报告全过程的信息系统。这一系统的建设要求突出先进性,可采用网络技术、数字技术的先进手段,采取安全可靠的措施,配置先进实用的计算机设备和功能强、可兼容的系统软件。首先要开发通用审计软件。可以是自主开发也可以由财务软件开发公司完成。开发通用审计软件有一个前提便是会计软件数据接口标准的制定。要实现远程审计,事务所需从被审单位获取数据,按照会计软件数据接口标准来开发通用审计软件以便于其实施。其次,要建立审计服务信息库。审计人员可以将被审单位的有关信息通过网络建立一个完善的大容量的信息库,以便在审计时可以随时调阅和使用。这样可以大大减少工作时间,提高审计效率。再次,建立审计程序管理功能。事务所可依据审计准则要求和审计经验制定适合本所的审计程序库,这样既有利于指导审计人员的工作,也有利于事务所审计工作的规范化。
3.审计风险防范
信息技术环境下,审计面临的不仅仅是企业内部控制风险,网络的安全性为审计带来新的风险,因此,远程审计中,企业的信息系统控制和网络信息的安全可靠性成为审计风险防范和控制的重点。针对这一情况,审计人员可采取以下措施进行防范:首先,参与系统开发和财务软件评审工作。如果系统出现漏洞,将造成难以挽回的损失,审计人员参与系统开发和财务软件审计有利于将错误扼杀在萌芽阶段。其次,重点审查系统的安全控制。审计人员要着重对系统的职责分离情况、操作权限设置进行审查,防止越权操作和计算机舞弊行为的发生,检查被审单位的系统安全管理体制和安全保密技术,是否设置外部访问区域,是否建立防火墙和实时监控程序。再次,实施网络咨询和电子商务签证服务。审计人员可就如何选购财务软件,如何实施有效的系统安全控制和如何改进现有的财务管理模式提供咨询服务,并按照标准对网上商业活动的完整性、真实性和可靠性进行全面签证。
4.着力培养IT审计人才
审计人员对信息技术的掌握,是远程审计能否得以实施的关键。目前,审计人员面临的最大问题是缺乏既掌握计算机技术又熟悉审计工作的复合型人才。这就需要在将来的CPA资格考试中适当增加有关信息技术的相关内容,同时要有计划、分层次的在全员培训基础上着力培养复合型专家。
5.加强审计理论研究,制定相关准则和法律法规
远程审计与电算化信息系统和网络系统等密切相关。要实现远程审计,必须针对这些系统的特点,根据其模型研究远程审计模型,才能保证远程审计应用系统的可靠性和有效性。另外,必须制定适合远程审计的标准和准则以指导远程审计工作的实施。同时,为保障远程审计得以正常发展,要积极促进在立足我国国情的基础上参照国际有关法律法规,制定与远程审计有关的法律规章。如应将有关计算机信息安全方面的条文写入法律,以保证计算机系统和信息的安全,并要对电子合同、电子签名认证等的标准及法律效力作出规定;制定网络财务安全法,规范事务所与被审计单位间的法律关系等问题。
远程审计发展中存在的问题
1.审计软件与会计软件脱节
目前,在全国范围内可流通的商品化会计软件已有200余个,定点开发的会计软件更是不计其数,而这些软件采用的数据库平台和数据结构各不相同。如果要求计算机审计软件去适应各类通用或企业专门开发的会计软件,对其数据结构进行逐层分析,对其数据含义进行符合确定,其高成本与技术含量是可想而知的。比较可行的是建立公用数据交换标准制度,所有的通用软件均以此为标准进行规范化开发。同时,现有的会计软件必须进一步改善,以实现与审计软件配合使用,实现会计审计一体化。如必须规范会计软件数据库结构、提供数据接口、在会计软件中设计相应的内部审计监控子系统,提供数据修改日志以保证清晰有效的审计线索等。
2.网络安全
远程审计必须借助网络获取原始数据,对网上经济活动及其记录进行审计,必然对网络的安全性、可靠性、准确性产生依赖。目前计算机病毒通过网络传播的现象已十分普遍,“黑客”随时可能侵袭信息系统,加上计算机故障或被审单位舞弊等原因,使网络审计风险比传统审计风险更复杂。另外,网络环境下,企业的内部控制也出现了新的内容,如软件程序正确性控制、操作权限控制、网络登录控制等。因此必须加强企业的内部控制,以保护企业资产的安全,保证会计信息的准确性和可靠性,有效地减轻审计风险。因而,远程审计要建立新的安全控制,不仅包括企业内部管理制度和企业信息系统的程序控制,还包括外部网络及网上交易等业务活动的安全控制。
3.审计人员操作权限的授权
实施远程审计,审计人员应可以随时进入被审计单位的信息系统获取其会计信息的原始资料,并对其业务活动进行监督,因此被审计单位必须赋予审计人员操作权限。但是,鉴于安全考虑,审计人员并不是随便可以入网,而必须通过身份验证。被审计单位可告知审计人员登录密码,或将审计人员的虹膜、指纹或面貌输入到信息系统中。审计人员进入被审计单位信息系统时,系统首先将其与存储在档案中的资料相比较,若符合,审计人员便可操作该系统。
4.现场审计
传统手工审计中,不论是符合性测试还是实质性测试,都离不开审计人员的现场审计。而远程审计中,审计人员可通过互联网电子数据传输获取审计证据,在事务所完成大部分审计工作。但是,大部分企业仍拥有固定资产、原材料、产成品等有形资产,获取审计证据的现场监盘就不可避免。当然,随着物流技术的发展,“零库存”将为大多数企业所利用。在这种情况下,现场监盘的程序就有望被省略,但这需要一个长期的过程。另一个解决的办法便是建立为会计师事务所服务的机构。这些机构专门负责事务所到现场取证,事务所也可以免掉现场奔波的劳累。但这将会引起会计师事务所的一次大变革,要付诸实践也并非易事。
5.观念制约和成本效益
远程审计的实施要求事务所从硬件设施到审计人员知识结构作一次大变革。部分审计人员可能已经习惯传统审计模式,对信息系统、网络知识、计算机知识了解不多,因此会对远程审计产生抵触情绪。而且事务所面临的风险并不能被准确评估,不能保证其获得的信息的准确度,加上开发程序、培训和熟悉软件操作等成本费用也比较高,有些事务所可能会拒绝实施远程审计。另外,远程审计需要被审单位的主动配合方可完成,如果客户不合作,同样会阻碍远程审计的实施。
远程审计的发展对策
1.适应审计环境变化,加快审计网络建设
信息技术环境下,审计面临的不再是传统的交易模式和经营管理观念,而是全新的网上空间,审计人员只有通过互联网进行远程审计,才能随时捕捉信息,即时提供审计信息,这就必须加强审计网络的建设。要高度重视事务所网络环境建设,事务所的内部网建设及其与Internet的资源共享,可为审计人员营造一个良好的现代化工作环境。
2.开发审计信息系统
远程审计的实施要求开发一个可以实现审计计划到报告全过程的信息系统。这一系统的建设要求突出先进性,可采用网络技术、数字技术的先进手段,采取安全可靠的措施,配置先进实用的计算机设备和功能强、可兼容的系统软件。首先要开发通用审计软件。可以是自主开发也可以由财务软件开发公司完成。开发通用审计软件有一个前提便是会计软件数据接口标准的制定。要实现远程审计,事务所需从被审单位获取数据,按照会计软件数据接口标准来开发通用审计软件以便于其实施。其次,要建立审计服务信息库。审计人员可以将被审单位的有关信息通过网络建立一个完善的大容量的信息库,以便在审计时可以随时调阅和使用。这样可以大大减少工作时间,提高审计效率。再次,建立审计程序管理功能。事务所可依据审计准则要求和审计经验制定适合本所的审计程序库,这样既有利于指导审计人员的工作,也有利于事务所审计工作的规范化。
3.审计风险防范
信息技术环境下,审计面临的不仅仅是企业内部控制风险,网络的安全性为审计带来新的风险,因此,远程审计中,企业的信息系统控制和网络信息的安全可靠性成为审计风险防范和控制的重点。针对这一情况,审计人员可采取以下措施进行防范:首先,参与系统开发和财务软件评审工作。如果系统出现漏洞,将造成难以挽回的损失,审计人员参与系统开发和财务软件审计有利于将错误扼杀在萌芽阶段。其次,重点审查系统的安全控制。审计人员要着重对系统的职责分离情况、操作权限设置进行审查,防止越权操作和计算机舞弊行为的发生,检查被审单位的系统安全管理体制和安全保密技术,是否设置外部访问区域,是否建立防火墙和实时监控程序。再次,实施网络咨询和电子商务签证服务。审计人员可就如何选购财务软件,如何实施有效的系统安全控制和如何改进现有的财务管理模式提供咨询服务,并按照标准对网上商业活动的完整性、真实性和可靠性进行全面签证。
4.着力培养IT审计人才
审计人员对信息技术的掌握,是远程审计能否得以实施的关键。目前,审计人员面临的最大问题是缺乏既掌握计算机技术又熟悉审计工作的复合型人才。这就需要在将来的CPA资格考试中适当增加有关信息技术的相关内容,同时要有计划、分层次的在全员培训基础上着力培养复合型专家。
5.加强审计理论研究,制定相关准则和法律法规
远程审计与电算化信息系统和网络系统等密切相关。要实现远程审计,必须针对这些系统的特点,根据其模型研究远程审计模型,才能保证远程审计应用系统的可靠性和有效性。另外,必须制定适合远程审计的标准和准则以指导远程审计工作的实施。同时,为保障远程审计得以正常发展,要积极促进在立足我国国情的基础上参照国际有关法律法规,制定与远程审计有关的法律规章。如应将有关计算机信息安全方面的条文写入法律,以保证计算机系统和信息的安全,并要对电子合同、电子签名认证等的标准及法律效力作出规定;制定网络财务安全法,规范事务所与被审计单位间的法律关系等问题。