计算机审计风险与防范措施,本文主要内容关键词为:防范措施论文,风险论文,计算机论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
计算机审计风险是指审计人员在对被审单位的计算机系统进行审计时,未能发现其中隐藏的重大错报或漏报而发表不恰当审计意见的可能性。目前,计算机审计主要包括信息系统审计和计算机辅助审计两种类型。
(一)信息系统审计的风险
1.信息系统内部控制导致的审计风险。在传统会计环境下,内部控制主要通过不同人员之间的权限设置来实现,但在信息系统中,由于处理工具、信息载体、会计组织等内控环境发生了变化,内控内容、范围、对象变得更加复杂,传统内控中的职权管理转变为信息系统中的权限管理,使审计人员对内部控制的审查更困难。此外,在取证过程中,如果被审计单位隐瞒一些重要的变更事项,也会影响审计证据的获取或客观评价,从而加大审计风险。
2.审计人员计算机知识的缺失导致的审计风险。信息化条件下,审计人员既要了解计算机硬件、软件和处理系统,也要了解业务流程对信息化的依赖程度,分析业务系统和财务软件的勾稽关系。所以审计人员还必须掌握计算机知识和信息处理应用技能。审计技术方法的日趋复杂可能使审计人员很难完全把握被审计单位信息系统,从而增加审计风险。
3.审计线索的隐蔽化导致的审计风险。传统的手工会计系统,审计线索都是以纸质形式存储的。而在计算机审计环境下,必须从计算机信息系统中调出所需会计信息,才能加以阅读。另外,存储数据很容易被销毁或修改,又无明显痕迹,信息存储的隐蔽性导致信息取得的复杂性,这必然会导致审计风险的加大。除此之外,由于会计软件版本的更新、平台的迁移,往往很难从往年的账套里提取完整准确的历史数据,审计人员不得不根据需要收集整理历史数据,不仅降低了审计效率,而且增加了检查风险。
(二)计算机辅助审计的风险
1.由审计技术的复杂性导致的审计风险。在计算机辅助审计的条件下,被审计单位采用的财务软件类型众多,功能各异,在功能、程序处理上都存在差别,因而要求运用的审计技术和方法也不一样,如果不能采取适当的审计技术和方法,就必然会带来审计风险。
2.由人员操作不当导致的审计风险。在计算机系统下,大量的记账凭证仍靠人工录入,如果审计人员由于操作失误,未能发现被审计单位人工录入的错、漏、重,将会影响审计判断和检查,从而增加了审计风险。
3.由多样化的会计电算化系统导致的审计风险。不同行业有不同管理模式,所使用的管理型软件不仅具备核算功能,还设置了许多为管理服务的数据库、知识库、模型库、方法库和用户接口等,各种数据错综复杂,数据结构不尽相同。但由于缺乏标准化、规范化,在增加审计难度的同时,也增加了审计风险。
4.由审计软件的缺陷导致的审计风险。软件风险是指由于审计软件本身在设计、制作过程中的缺陷等原因造成的审计风险。主要因素有:审计软件没有通过有关部门的评审就投入使用;审计软件的升级相对滞后,造成审计与会计核算方法不一致等。
(三)防范计算机审计风险采取的对策
1.完善信息系统内部控制。在审查时应注重以下内容:(1)系统开发与数据处理的职能应分离,不仅在组织上分离,最好在空间上也能分开。(2)数据处理小组的职责要分离,并进行相应的补偿控制。首先,对于计算机处理过程的完整操作,应尽量安排两人以上;其次,数据、文件的保管工作应独立设置,以防止越权存取、使用数据或文件;最后,电算化系统部门内应设置独立的控制、监督职能,防止遗失疏漏或处理不当。(3)数据库管理员与其他人员的职责应分离。管理员的职责包括建立数据库模式、分配用户权限、监督数据库的使用等。为了数据库的安全,应有专职人员负责。健全的内部控制制度可以有效维护信息系统的安全,审计人员对此应形成一套完整的检查程序。
2.提高审计人员计算机审计技能。审计机关应注重从多渠道加快审计人员的知识更新和审计专业人才的培养。(1)加强计算机审计技能培训,将计算机知识和审计知识融会贯通,实现计算机审计技能与传统审计思路的有效结合。(2)建立各类培训跟踪反馈机制,充分地发挥通过培训后在实际审计业务中的效用。(3)建立相应的激励机制,对利用计算机审计取得实质性审计成果的人员予以奖励。
3.改变审计工作模式和方法。审计时可采用就地审计或突击审计的方式,把系统中正在运行的数据拷贝出来进行审查,以防操作员把数据篡改、删除等,同时记录下采集和处理的过程。在采集过程中,应针对审计对象的特点,采取不同的审计技术。如果被审单位的会计系统是自行开发的,审计人员可以复制它的数据库,直接用计算机语言或采用计算机语言编制的辅助审计程序访问数据库。如果系统是直接购置的,由于软件公司对其软件的设计过程、数据结构采取严格的防范和保密措施,直接打开其数据库的困难较大。但较完整的会计电算化系统一般都建立了查询、对账、统计或财务分析、通用报表等功能,审计人员可利用这些功能完成部分审计任务。例如利用查询模块可实现对指定条件的数据文件进行查找,这样就能针对不同的情况,实施不同的措施来降低审计风险。