信息技术环境下审计风险研究
来源: 陈侃劳
2004-07-13
普通
信息技术环境下审计风险特征
在信息技术环境下,随着审计工作效率和审计质量提高,以及审计信息披露的更加及时,审计风险也变得更加复杂,其相应的危害性也更加严重。具体表现在:就固有风险而言,一方面,信息技术的广泛应用和普及,使得日常账务处理的实时性、正确性和可靠性提高,人为干预因素大大降低;另一方面,由于计算机网络本身存在着自身的脆弱性,如容易感染病毒、易受到侵害、攻击,以及软件、硬件、网络等方面出现的错误等等,使得固有风险又急剧增加。
就控制风险而言,信息技术的广泛使用,使得控制环境、风险评估、控制活动、信息与沟通、监控等控制风险基本要素均发生了变化,审计师在评估审计风险时必须充分考虑这些变化,否则将不得不面临巨大的审计风险。
就检查风险而言,信息技术的使用,一方面提高了审计的覆盖面、审计证据采集的独立性、分析处理的可靠性等等,极大地提高了审计工作的效率;另一方面,由于审计人员缺乏对信息系统的全面认识和理解、审计证据的可靠性问题、审计信息技术本身的不成熟性、以及审计人员对于技术的过分依赖性,也大大增加了审计检查风险。
信息技术环境下审计风险国际经验
美国IT审计风险现状。美国的ISACA(信息系统审计与控制协会)是计算机审计的主要推动者。这个由从事信息系统审计人员(即IS审计师)组成的国际性专业组织,一直致力于探讨和研究控制信息技术的开放性标准,从而为从事信息系统审计的人员提供一个一般适用的公认标准,以辅助管理者进行信息技术管理。2001年此项认证开始被国家审计署干部培训中心引入我国。在过去的十几年间,美国注册会计师协会( AICPA)也一直关注IT对独立审计的影响,尤其是其下属的审计准则委员会(ASB)于2001年4月所发布的第94号准则《财务报表审计中IT对审计师评价内部控制的影响》,这个准则是对第55号准则《财务报表审计中内部控制评价》的“补丁公告”。该准则于20 01年6月1日开始执行,主要内容包括三个方面:IT对企业内部控制的影响;IT对CPA了解企业内部控制的影响;IT对CPA评价审计风险的影响。
国际审计准则现状。2001年在北京召开的国家审计实务委员会(IAPC)第70次会议,其中与计算机信息系统环境有关的内容有:
1.关于IT国家审计实务公告(IAPS)的修订。具体内容包括四项:独立危急系统;在线计算机系统;数据库系统;计算机辅助审计技术。上述四项内容在经过了计算机信息系统(CIS)分委员会的详细讨论,征求了IT委员会、专业编辑的意见以及考虑世界各地同行提出的修改意见的基础上,发布了这四项IAPS的修订稿。
2.电子商务。2000年6月IAPC通过了关于电子商务的项目计划,并成立了电子商务分委员会,其成立的宗旨是制定IAPS,以帮助审计人员在客户存在电子商务活动的情况下实施会计报表的法定审计。同时电子商务分委员会与审计风险模型分委员会、IT分委员会之间保持着密切的联系,并建立了定期相互通报信息的联系协议。
3.关于舞弊的最新进展。2001年3月的会议上,IAPC通过了ISA240《舞弊与错误》,并接受邀请参加美国的舞弊特别工作组,以考虑制定一些共同的基本原则和必要程序。2001年6月5日,舞弊特别工作组向美国审计准则委员会(ASB)提交了SAS82的修改稿,并考虑将一些必要的实质性测试程序和对中期的程序指南作为增加内容。
全面实施实时审计的框架设计
国内外审计实践证明,有效的实时审计必须是持续的、全过程的审计,这既是各国审计发展的趋势,也是防范和化解审计风险的重要途径。实时审计就是指审计部门通过电子网络系统实时、动态、全面收集被审计单位在业务处理过程中的资产负债表、损益表、现金流量表等主要报表所包含各项指标的变动情况及相关信息,对被审计单位日常运营进行动态、实时、持续全过程的监管。整个实时审计系统的组成由与实时审计有关的业务应用信息进行系统集成,形成具有辅助决策支持的综合性管理信息系统。该系统应由下列子系统组成:
1.审计信息数据采集子系统:主要负责实时采集被审计单位各项经济业务现场数据信息,并按有关数据交换的格式汇集到审计部门网络中心的数据中心机;
2.审计署网络中心数据处理子系统:主要负责进行数据交换处理,向上传输数据,向下或同级接收和反馈数据,并进行数据分类汇总处理等,并建立起完备的历史数据库和实时数据库站;
3.会计指标监控子系统:通过该子系统的实现,被审计单位财务状况的基本情况可以一览无遗的在网上展现,审计监管的力度将大为增加;
4.审计风险分析预警子系统:建立起一套敏感性强的实时监控指标和风险预警指标,通过网络系统对现场检查和非现场监控取得的数据进行计算、对比和衡量,分析被审计单位财务状况、现金流量、会计风险状况,客观评价被审计单位的信誉等级,自动生成检查报告,对可能出现的会计风险起到应有预警作用;
5.监管监督指标体系子系统:有关的监管监督指标包括关键指标、审计风险检测指标、实时监控指标、日报指标、旬报指标、月报指标、季报指标、年报指标、审计风险评价标准以及国际上公认的各种量化监督指标;
6、实时审计综合信息查询子系统:主要负责实时采集与实时审计有关业务应用系统的动态信息,供有关人员进行综合查询,为辅助决策提供可靠的信息和科学依据。
在信息技术环境下,随着审计工作效率和审计质量提高,以及审计信息披露的更加及时,审计风险也变得更加复杂,其相应的危害性也更加严重。具体表现在:就固有风险而言,一方面,信息技术的广泛应用和普及,使得日常账务处理的实时性、正确性和可靠性提高,人为干预因素大大降低;另一方面,由于计算机网络本身存在着自身的脆弱性,如容易感染病毒、易受到侵害、攻击,以及软件、硬件、网络等方面出现的错误等等,使得固有风险又急剧增加。
就控制风险而言,信息技术的广泛使用,使得控制环境、风险评估、控制活动、信息与沟通、监控等控制风险基本要素均发生了变化,审计师在评估审计风险时必须充分考虑这些变化,否则将不得不面临巨大的审计风险。
就检查风险而言,信息技术的使用,一方面提高了审计的覆盖面、审计证据采集的独立性、分析处理的可靠性等等,极大地提高了审计工作的效率;另一方面,由于审计人员缺乏对信息系统的全面认识和理解、审计证据的可靠性问题、审计信息技术本身的不成熟性、以及审计人员对于技术的过分依赖性,也大大增加了审计检查风险。
信息技术环境下审计风险国际经验
美国IT审计风险现状。美国的ISACA(信息系统审计与控制协会)是计算机审计的主要推动者。这个由从事信息系统审计人员(即IS审计师)组成的国际性专业组织,一直致力于探讨和研究控制信息技术的开放性标准,从而为从事信息系统审计的人员提供一个一般适用的公认标准,以辅助管理者进行信息技术管理。2001年此项认证开始被国家审计署干部培训中心引入我国。在过去的十几年间,美国注册会计师协会( AICPA)也一直关注IT对独立审计的影响,尤其是其下属的审计准则委员会(ASB)于2001年4月所发布的第94号准则《财务报表审计中IT对审计师评价内部控制的影响》,这个准则是对第55号准则《财务报表审计中内部控制评价》的“补丁公告”。该准则于20 01年6月1日开始执行,主要内容包括三个方面:IT对企业内部控制的影响;IT对CPA了解企业内部控制的影响;IT对CPA评价审计风险的影响。
国际审计准则现状。2001年在北京召开的国家审计实务委员会(IAPC)第70次会议,其中与计算机信息系统环境有关的内容有:
1.关于IT国家审计实务公告(IAPS)的修订。具体内容包括四项:独立危急系统;在线计算机系统;数据库系统;计算机辅助审计技术。上述四项内容在经过了计算机信息系统(CIS)分委员会的详细讨论,征求了IT委员会、专业编辑的意见以及考虑世界各地同行提出的修改意见的基础上,发布了这四项IAPS的修订稿。
2.电子商务。2000年6月IAPC通过了关于电子商务的项目计划,并成立了电子商务分委员会,其成立的宗旨是制定IAPS,以帮助审计人员在客户存在电子商务活动的情况下实施会计报表的法定审计。同时电子商务分委员会与审计风险模型分委员会、IT分委员会之间保持着密切的联系,并建立了定期相互通报信息的联系协议。
3.关于舞弊的最新进展。2001年3月的会议上,IAPC通过了ISA240《舞弊与错误》,并接受邀请参加美国的舞弊特别工作组,以考虑制定一些共同的基本原则和必要程序。2001年6月5日,舞弊特别工作组向美国审计准则委员会(ASB)提交了SAS82的修改稿,并考虑将一些必要的实质性测试程序和对中期的程序指南作为增加内容。
全面实施实时审计的框架设计
国内外审计实践证明,有效的实时审计必须是持续的、全过程的审计,这既是各国审计发展的趋势,也是防范和化解审计风险的重要途径。实时审计就是指审计部门通过电子网络系统实时、动态、全面收集被审计单位在业务处理过程中的资产负债表、损益表、现金流量表等主要报表所包含各项指标的变动情况及相关信息,对被审计单位日常运营进行动态、实时、持续全过程的监管。整个实时审计系统的组成由与实时审计有关的业务应用信息进行系统集成,形成具有辅助决策支持的综合性管理信息系统。该系统应由下列子系统组成:
1.审计信息数据采集子系统:主要负责实时采集被审计单位各项经济业务现场数据信息,并按有关数据交换的格式汇集到审计部门网络中心的数据中心机;
2.审计署网络中心数据处理子系统:主要负责进行数据交换处理,向上传输数据,向下或同级接收和反馈数据,并进行数据分类汇总处理等,并建立起完备的历史数据库和实时数据库站;
3.会计指标监控子系统:通过该子系统的实现,被审计单位财务状况的基本情况可以一览无遗的在网上展现,审计监管的力度将大为增加;
4.审计风险分析预警子系统:建立起一套敏感性强的实时监控指标和风险预警指标,通过网络系统对现场检查和非现场监控取得的数据进行计算、对比和衡量,分析被审计单位财务状况、现金流量、会计风险状况,客观评价被审计单位的信誉等级,自动生成检查报告,对可能出现的会计风险起到应有预警作用;
5.监管监督指标体系子系统:有关的监管监督指标包括关键指标、审计风险检测指标、实时监控指标、日报指标、旬报指标、月报指标、季报指标、年报指标、审计风险评价标准以及国际上公认的各种量化监督指标;
6、实时审计综合信息查询子系统:主要负责实时采集与实时审计有关业务应用系统的动态信息,供有关人员进行综合查询,为辅助决策提供可靠的信息和科学依据。