24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

信息系統(tǒng)環(huán)境下審計(jì)風(fēng)險的特征及評估

來源: 程安林 編輯: 2008/08/07 16:02:00  字體:

  摘要:現(xiàn)代企業(yè)的業(yè)務(wù)運(yùn)作更加依賴于計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng),但由于信息系統(tǒng)本身特點(diǎn)所具有的脆弱性,將使審計(jì)遇到風(fēng)險。審計(jì)風(fēng)險因客戶的會計(jì)系統(tǒng)和內(nèi)部控制使用計(jì)算機(jī)而呈現(xiàn)出新的特征。

  關(guān)鍵詞:信息系統(tǒng);審計(jì)風(fēng)險;風(fēng)險特征;風(fēng)險評估

  國際會計(jì)師聯(lián)合會(IFAC)的國際審計(jì)與保證準(zhǔn)則委員會(IAASB)為提高審計(jì)質(zhì)量,于2003年10月發(fā)布了新準(zhǔn)則,對審計(jì)風(fēng)險模型作出重大改動。其中ISA200準(zhǔn)則把審計(jì)風(fēng)險模型改為:審計(jì)風(fēng)險=重大錯報(bào)風(fēng)險×檢查風(fēng)險。審計(jì)風(fēng)險模型的變化從某種意義上減少了審計(jì)的責(zé)任,縮小了審計(jì)風(fēng)險的范疇,本文對審計(jì)風(fēng)險的理解并不局限于社會審計(jì),也包括內(nèi)部審計(jì)和國家審計(jì),所以在這里仍采用“審計(jì)風(fēng)險AR=固有風(fēng)險IR×控制風(fēng)險CR×檢查風(fēng)險DR”風(fēng)險模型進(jìn)行分析。

  一、信息系統(tǒng)環(huán)境下審計(jì)風(fēng)險的特征

 ?。ㄒ唬┬畔⑾到y(tǒng)環(huán)境下固有風(fēng)險的特征

  1存在電子數(shù)據(jù)被濫用、篡改和丟失的可能性。手工系統(tǒng)中,紙質(zhì)介質(zhì)上的信息易于辨認(rèn)、追溯。而在計(jì)算機(jī)信息系統(tǒng)環(huán)境下,由于存儲介質(zhì)的改變,信息高度集中于計(jì)算機(jī)信息系統(tǒng),信息系統(tǒng)應(yīng)用程序被惡意篡改,或非法入侵信息系統(tǒng)造成經(jīng)濟(jì)損失的可能性致使審計(jì)的固有風(fēng)險增大。一旦用戶非法透過計(jì)算機(jī)系統(tǒng)的“防火墻”,數(shù)據(jù)被不法分子拷貝,甚至可能被進(jìn)行非法篡改而不留下任何痕跡。計(jì)算機(jī)病毒、電源故障、操作失誤、程序處理錯誤和網(wǎng)絡(luò)傳輸故障也極易破壞和修改電子數(shù)據(jù),會造成實(shí)際數(shù)據(jù)與電子賬面數(shù)據(jù)不相符,增加固有審計(jì)風(fēng)險的可能性。

  2存在審計(jì)線索被減少或消除的可能性。手工環(huán)境中,會計(jì)處理的每一個步驟都有文字記錄和經(jīng)手人簽名,審計(jì)線索清晰。但在信息系統(tǒng)環(huán)境中,從原始數(shù)據(jù)錄入到報(bào)表的自動生成,傳統(tǒng)的審計(jì)線索不復(fù)存在,利用信息技術(shù)也難以實(shí)現(xiàn)如簽名、蓋章等這些使審計(jì)線索證據(jù)化的操作,對審計(jì)人員查找審計(jì)線索帶來了較大困難。

  3存在原始數(shù)據(jù)被錄入錯漏的可能性。計(jì)算機(jī)信息系統(tǒng)環(huán)境下,大量的記賬憑證仍靠人工錄入,機(jī)制證賬表表面上的相互平衡,可能掩蓋人工錄入時發(fā)生的錯漏。系統(tǒng)的二次開發(fā)工作,有可能會削弱之前在計(jì)算機(jī)信息系統(tǒng)中已經(jīng)設(shè)置好的控制,從而可能產(chǎn)生新的審計(jì)風(fēng)險因素。

 ?。ǘ┬畔⑾到y(tǒng)環(huán)境下控制風(fēng)險的特征

  1存在約束機(jī)制失效的可能性。手工系統(tǒng)下通過建立崗位責(zé)任中心達(dá)到內(nèi)部控制的目的,在計(jì)算機(jī)系統(tǒng)下,一是通過劃分操作員的責(zé)任范圍,設(shè)置權(quán)限和密碼實(shí)現(xiàn)人員職責(zé)分工;二是通過軟件設(shè)計(jì)劃分若干子系統(tǒng)或功能模塊設(shè)置不同的責(zé)任中心。由于在計(jì)算機(jī)信息系統(tǒng)中許多不相容職責(zé)相對集中,可能因?yàn)椴磺‘?dāng)?shù)氖跈?quán)而加大舞弊的風(fēng)險,權(quán)限設(shè)置的重疊或跨責(zé)任中心越權(quán)設(shè)置,使這一控制措施有可能形同虛設(shè)。

  2存在會計(jì)數(shù)據(jù)異常的可能性。手工系統(tǒng)下,會計(jì)數(shù)據(jù)異常的可能性幾乎不存在;而在計(jì)算機(jī)系統(tǒng)下,這種可能性難以通過有效的內(nèi)控制度消除,必須以先進(jìn)的硬、軟件平臺以及會計(jì)軟件本身的自我保護(hù),減少出現(xiàn)異常錯誤的機(jī)率。就多數(shù)會計(jì)軟件看,對數(shù)據(jù)錄入的一致性和正確性控制,會計(jì)數(shù)據(jù)處理的安全性和連續(xù)性控制,軟件設(shè)計(jì)還是比較慎密的。但對集成化程度較高的企業(yè)級管理軟件,數(shù)據(jù)的共享性和一致性還不完善,系統(tǒng)設(shè)計(jì)時可能沒有考慮到審計(jì)工作的需要,沒有留下充分的審計(jì)線索,如:修改功能將導(dǎo)致無會計(jì)軌跡。計(jì)算機(jī)信息系統(tǒng)主要以磁盤、磁帶、光盤等磁性存儲介質(zhì)作為信息載體,記錄于這些存儲介質(zhì)上的信息是肉眼不可見的,必須借助于計(jì)算機(jī)的“翻譯”,才能以人可以理解的形式表現(xiàn)出來,但不同的軟件對同一信息可能被“翻譯”成不同的形式。

  3存在實(shí)時控制失控的可能性。會計(jì)軟件對現(xiàn)金和銀行存款的收付業(yè)務(wù)缺乏實(shí)時有效的控制手段。對于企業(yè)內(nèi)部發(fā)生的經(jīng)濟(jì)業(yè)務(wù),多數(shù)軟件是通過人工填制記賬憑證,從各系統(tǒng)入口錄入到電腦,部分軟件雖通過系統(tǒng)實(shí)時地錄入,但可能與憑證數(shù)據(jù)不同步;對于現(xiàn)金和銀行存款收付業(yè)務(wù),不僅數(shù)據(jù)難以實(shí)時同步,而且存在雙方數(shù)據(jù)不一致的可能性。

 ?。ㄈ┬畔⑾到y(tǒng)環(huán)境下檢查風(fēng)險的特征

  1存在難以查找歷史資料的可能性。對賬戶或交易的重大實(shí)質(zhì)性測試往往離不開企業(yè)的歷史數(shù)據(jù),由于軟件版本的升級、平臺的遷移等被審計(jì)軟件的更新?lián)Q代,可能導(dǎo)致難以從往年賬套里讀取歷史數(shù)據(jù),迫使審計(jì)人員不得不從浩如煙海的文檔中手工收集和整理歷史數(shù)據(jù),這不僅降低了審計(jì)效率,而且還將帶來更多的檢查風(fēng)險。

  2存在難以全面檢查測試的可能性。手工系統(tǒng)下,內(nèi)部控制的情況看得見、摸得著,都有據(jù)可查;而在計(jì)算機(jī)信息系統(tǒng)環(huán)境下,內(nèi)部控制主要依賴于軟件本身,內(nèi)部控制融于系統(tǒng)軟件之中使審計(jì)人員無法通過傳統(tǒng)方法覺察,這就要求審計(jì)人員設(shè)計(jì)一套正常有效的業(yè)務(wù)數(shù)據(jù)和一套例外(如不完整的、無效的、不合理的、不合邏輯的等)的業(yè)務(wù)數(shù)據(jù),以檢查測試應(yīng)用軟件的控制能力。如果在進(jìn)行計(jì)算機(jī)信息系統(tǒng)設(shè)計(jì)時考慮不周,計(jì)算機(jī)信息系統(tǒng)可能無法判斷出某類數(shù)據(jù)是否符合邏輯,對不合理的數(shù)據(jù)可能也會進(jìn)行日常處理。并且對錯誤數(shù)據(jù)的處理還具有重復(fù)性和連續(xù)性,從而可能導(dǎo)致審計(jì)人員誤認(rèn)為是正常處理。由于多數(shù)審計(jì)人員并非電腦專家,要在有限的審計(jì)時間里設(shè)計(jì)完善的測試數(shù)據(jù)是不現(xiàn)實(shí)的。為此,我們認(rèn)為對系統(tǒng)軟件本身的審計(jì)檢查可納入軟件開發(fā)或評審之中,審計(jì)人員在審計(jì)實(shí)務(wù)中,重點(diǎn)是測試數(shù)據(jù)的完整性以及操作權(quán)限的分配和應(yīng)用情況。

  3存在難以控制技術(shù)風(fēng)險的可能性。對網(wǎng)絡(luò)交易而言,當(dāng)在交易環(huán)節(jié)中人工干涉變得越來越少時,對控制信息技術(shù)是否有效進(jìn)行的檢查將更具實(shí)際意義。信息技術(shù)控制包括數(shù)據(jù)存儲控制和數(shù)據(jù)處理控制等,如對程序變化的檢查確保以系統(tǒng)程序按管理層的意圖運(yùn)行;在網(wǎng)絡(luò)災(zāi)難導(dǎo)致數(shù)據(jù)存儲平臺或數(shù)據(jù)處理平臺癱瘓時,災(zāi)難防御計(jì)劃能使信息處理功能迅速恢復(fù),這些都是任何信息化交易需要加以關(guān)注的基本審計(jì)風(fēng)險。隨著網(wǎng)絡(luò)交易越來越廣泛,圍繞顧客為特征的、并基于計(jì)算機(jī)或因特網(wǎng)的信息處理過程,對審計(jì)人員而言,降低這種檢查風(fēng)險將比任何時候都更具重要意義。

  綜上所述,計(jì)算機(jī)信息系統(tǒng)環(huán)境下審計(jì)風(fēng)險有其特有的表現(xiàn)形式,審計(jì)人員面臨著新的風(fēng)險。然而審計(jì)環(huán)境的變化并不能改變審計(jì)責(zé)任,審計(jì)人員仍應(yīng)保持應(yīng)有的執(zhí)業(yè)謹(jǐn)慎,并采取適當(dāng)?shù)膶徲?jì)程序使風(fēng)險控制在可接受的水平上。

  二、信息系統(tǒng)環(huán)境下的審計(jì)風(fēng)險評估

  一般來說,在計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)覆蓋了一個企業(yè)的營銷、計(jì)劃、生產(chǎn)、采購、倉儲、財(cái)務(wù)、人力資源等企業(yè)運(yùn)營管理的各個層面,如果對每個流程和控制點(diǎn)都進(jìn)行評估,在資源的利用上是非常不經(jīng)濟(jì)的,我們可以通過以下方式來降低審計(jì)風(fēng)險:對于建立了長期業(yè)務(wù)關(guān)系的被審計(jì)單位,可以通過要求其加強(qiáng)內(nèi)外部安全機(jī)制、完善軟件功能、改進(jìn)數(shù)據(jù)錄入技術(shù);可以通過要求其統(tǒng)一文件存貯的格式,降低歷史文件難以打開閱讀的可能性。如,對不同時期版本的會計(jì)軟件,采取統(tǒng)一的文件格式存貯,以便于審計(jì)師使用輔助審計(jì)軟件打開審查;制定會計(jì)軟件行業(yè)標(biāo)準(zhǔn),統(tǒng)一數(shù)據(jù)格式和外部接口。

  (一)檢查風(fēng)險評估

  設(shè)計(jì)一套有針對性的審計(jì)檢查程序,一是檢查被審計(jì)單位的權(quán)限設(shè)置,審查操作日志,發(fā)現(xiàn)疑點(diǎn);二是檢查被審單位的報(bào)表取數(shù)公式,重新生成一次并與被審計(jì)單位提供的比較;三是查閱銷售的原始合同,或利用輔助審計(jì)軟件整理匯總,并與會計(jì)賬面數(shù)據(jù)進(jìn)行核對;四是檢查賬實(shí)是否相符,這里既包括手工環(huán)境下的賬實(shí)相符,也包括計(jì)算機(jī)信息系統(tǒng)環(huán)境下的各子系統(tǒng)之間的數(shù)據(jù)相符;五是檢查憑證記錄的真實(shí)性、資產(chǎn)及負(fù)債的合理性、期末交易的歸屬期、內(nèi)部管理控制制度的完備性和會計(jì)政策的一貫性。

 ?。ǘ┛刂骑L(fēng)險評估

  計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的控制評估必須基于風(fēng)險管理的原則,通過風(fēng)險評估尋找對主要業(yè)務(wù)運(yùn)作中影響最大的領(lǐng)域。我們可以從企業(yè)整個業(yè)務(wù)風(fēng)險域中尋找對與財(cái)務(wù)報(bào)表有關(guān)的風(fēng)險的業(yè)務(wù)流程,從而進(jìn)一步確定系統(tǒng)模塊對業(yè)務(wù)流程的支持,在實(shí)際工作中,一般是通過對業(yè)務(wù)流程所使用系統(tǒng)模塊的頻繁程度來確定評估范圍。

  在進(jìn)行調(diào)研和風(fēng)險評估中,如果發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中涉及到企業(yè)收入業(yè)務(wù)、支出業(yè)務(wù)和庫存業(yè)務(wù)的系統(tǒng)控制流程對企業(yè)的業(yè)務(wù)能否順利運(yùn)轉(zhuǎn)影響比較大。由于業(yè)務(wù)控制的削弱,這種影響導(dǎo)致企業(yè)出現(xiàn)違規(guī)問題的可能性增加。例如,企業(yè)管理層非常關(guān)注財(cái)務(wù)控制內(nèi)部和外部流程,因?yàn)檫@些流程決定了財(cái)務(wù)數(shù)據(jù)的準(zhǔn)確性,是反映企業(yè)運(yùn)作是否健康的“脈搏”。因此,在審計(jì)中通常就要更關(guān)注收入業(yè)務(wù),它包括主數(shù)據(jù)維護(hù)、銷售訂單處理、發(fā)運(yùn)、開票、退貨和收款等控制內(nèi)容。

  對于可能客觀存在的審計(jì)風(fēng)險,審計(jì)人員必須保持職業(yè)謹(jǐn)慎,運(yùn)用專業(yè)判斷,對被審計(jì)單位的審計(jì)風(fēng)險各要素進(jìn)行全面的評估,確定可接受的審計(jì)風(fēng)險水平。

  參考文獻(xiàn):

  [1] Warren,J Donald,Lynnw EdelsonandXeniaLeyParker HandbookofITAuditing[M] Boston:War renGorham&Lamont 1997

  [2]張金城計(jì)算機(jī)信息系統(tǒng)控制與審計(jì)[M]北京:北京大學(xué)出版社,2002

  [3] Casarin,Paul UsingDataMiningTechniquesinAuditing[J] TheISAudit&ControlJournal 1997,(9)

實(shí)務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - odtgfuq.cn All Rights Reserved. 北京正保會計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號