计算机审计风险研究
近几年,有条件的地方已经不局限于计算机辅助审计,开始了计算机审计。计算机审计是依托计算机系统对被审计单位运用计算机管理财政收支、财务收支及其相关经济业务活动的信息系统以及其存储、处理电子数据的审计。审计工作依靠计算机信息系统可以实现实时审计,使单一的事后审计转变为事后审计与事中审计相结合、单一的静态审计转变为静态审计与动态审计相结合、单一的现场审计转变为现场审计与远程审计相结合;可以实现详细审计、全面审计,拓宽审计视野,提高审计效率。然而,审计活动属于高风险职业领域。这种高风险既来自于社会对审计工作质量愈来愈高的厚望和要求,也来自于日益复杂的审计工作环境。计算机信息系统如同双刃剑,在给审计工作带来正面影响的同时,也带来了风险。
一、计算机审计存在的风险
(一)具体审计目标扩展带来的风险。计算机审计,对被审计单位各种财务数据真实性、合法性、正确性的认定,就必然包含对其电子数据的载体(网络、信息系统及数据库)的安全性、可靠性的认定。具体审计目标扩展了,审计内容更加宽泛复杂,计算机信息系统的开放性、易被攻击性及网络活动的无痕型、网络交易的虚拟性,都使得计算机审计面临的不确定因素增多、风险加大。
(二)审计对象增加、范围扩大带来的审计风险。计算机审计增加了现行信息系统的审计和电子数据的审计,已突破传统财务审计的范围。以报表评价为主要目标的财务报表审计,因实时网络的存在,往往同业务审计、经营审计和管理审计密不可分。包罗万象的大审计,使审计风险来源增加。被审计单位网络、信息系统及数据库、应用软件的不稳定性,电子数据的易被改变、被复制和被消除性,以及信息系统目前难以实现直接查阅源程序等,必然带来新的审计风险要素。
(三)掌握计算机审计技能的人员不足带来的风险。计算机审计要求审计人员必须熟悉计算机信息系统运作、数据采集与分析、数据挖掘等技术与方法。能够面对海量的数据,寻找到审计线索突破口:随时根据被审计单位的数据接口特征,选择满足需要的数据采集软件类型,编制各种审计模块:针对采集的数据进行筛选、清理和分析,快速准确地找到并验证各种审计疑点。而现阶段,要使审计人员普遍具有较高的计算机审计能力,还需要一个过程。开展计算机审计,倘若人员没有足够的技能,将无从下手:仓促上机,无疑会带来检查风险的增加。
(四)审计准则缺失带来的审计风险。计算机信息技术环境下,对财政收支、财务收支审计,不能仅以出具的纸质资料为依据,还必须对其生成的信息系统及数据库和财务软件的可靠性、电子数据的准确性等进行鉴证,否则,就会形成假数真审。所以非常需要制定新的审计准则,有针对性对计算机审计工作做出全面系统的补充。而眼下。用现行审计准则中界定的具体审计目标,来指导计算机审计就显得比较狭窄,无法涵盖全部待审内容,包括与被审计单位计算机广泛应用不相协调的内部控制,也就无法用其分析审计风险的确切来源。审计准则的缺失会使审计工作失去权威标准,审计风险自然加大。
二、控制计算机审计风险的对策
(一)掌握被审计单位对计算机信息系统的控制情况,制订完整、详细、合理的审计方案。编制审计实施方案的重要部分就是审计重要性水平的确定和可以接受审计风险的评估。计算机审计尤其要通过检查、查询、观察等方法对被审计单位基本情况和计算机信息系统的运行状况、内部控制进行调查。除了了解常规审计中被审计单位业务性质、组织结构、管理者的内部控制、管理措施、以前年度审计情况等外,重点通过与被审计单位有关业务、计算机及管理人员座谈,交流沟通,索取和分析文档资料,对其计算机信息系统硬件设备、系统软件、应用软件、经营管理工作、战略需求与规划等进行审计调查,了解财务系统、业务系统的安全性,确定计算机信息系统层和电子数据层的重要性水平,分析和初步评价可接受的审计风险、审计执行阶段的风险控制责任的落实,编写能够符合被审计单位实际的、全面的审计方案,并分解好审计工作,使各个审计岗位职责明确。
(二)抓住影响财务信息质量的根源,开展计算机信息系统安全性、内部控制符合性测试。审计实施中,要着眼于控制源头,深入分析系统运行、内部控制,评估控制风险要素规模,确定可接受检查风险的大小、计算机审计的重点与范围,符合性测试,需要手工测试与计算机测试相结合。运用询问调查、实地考察方法,检查被审计单位软件文档、程序流程图、编码、运行记录与结果,软件系统中存在那些控制、在哪里控制、如何控制;以信息系统输入程序流程为重心,追踪检查若干业务处理全过程,验证系统关键控制功能在实际执行程序中是否恰当、有效。测试硬件系统设施、与其相连的外部网络之间设施是否安全,确保提供的信息不被泄露;计算机机房等外部设施是否能够保障硬件设备不受损害,足够支撑会计信息系统有效运转,以及移动存储介质是否安全、存放适宜。检测组织管理制度是否做到不相容职责相分离、实现获得安全的信息,针对不同系统故障或灾难是否各有应急处理措施和软硬件更新维护制度,能有效避免因技术落后带来的安全隐患,系统文档管理是否合理、规范、安全。要运用计算机测试软件系统,是否能够提供完整、正确,高效的电子数据,财务信息系统是否有缺陷、实际观察相关内部控制设计是否合理、运行是否正常。经过符合性测试,若系统安全性好、内控制度健全有效,可以减少实质性审查的范围和数量;反之,应扩大之。
(三)确立电子数据完整性、准确性目标,全面详细对电子数据进行实质性测试。审计实施中,要掌握被审计单位计算机系统的分布和应用,采取直接拷贝和直接读取的方式,直接从其信息系统数据存储目录获取数据,或利用已经存在专门的数据接口来采集数据,并做到数据采集到位;对所采集的数据进行清理、转换,生成新的账簿、报表等各种财务资料、业务资料,严防重要数据缺失,按照审计目的加工基础数据,并从中选择审计所需要的数据;运用计算机编辑检验手段,进行账证、账账、账实、账表核对,校检并验证各种财务数据、业务数据是否正确、完整、合理,电子数据与实际业务内容是否一致、与最初的实际输入系统的数据是否一致、与最终生成对外的报表信息是否一致。应根据相关业务处理逻辑、业务数据的钩稽关系、法律法规的规定或审计经验进行具体数据分析,找出薄弱环节,防止程序逻辑错误、用错文件、处理非法数据,保证会计数据处理正确无误;通过应用软件对电子数据进行复算、检查、核对,对某些重要财务数据,如利润、成本、资金等进行各种分析判断,从中发现不正确情况和问题,得出有效性检验结果;在核对电子数据准确性、完整性的同时,对审计过程中发现的问题,分类、归纳、整理,继续采用其他方法,追踪到底,对重要问题要重点核实,材料要齐全、证据要充分,直到确认所有查证错误和无法查证的可能错误合计不超过整体重要性水平,才能将审计风险控制到可接受水平之内。
(四)强化审计复核,保证计算机审计工作质量和审计风险的最终控制。出具审计报告前,必须进行审计复核。认真整理、评价审计证据客观性、相关性、充分性、合法性,重点检查信息系统、电子数据查证的和未查证的累计重大错误总额是否超过各层重要性水平;复核工作底稿,针对被审计单位重要的业务活动、信息系统及数据与相关法规进行核对;与被审计单位管理层沟通,比对重大错误风险是否超过信息系统层重要性水平,复核其业务系统、财务系统及数据中反映出的重大问题,评价审计风险整体性水平是否在可以接受水平之下。复核后。对重要问题未能达成一致,需要对审计结果和审计意见重新调整,甚至追加审计程序,重新收集证据,切实保证计算机审计工作质量。