信息系統環(huán)境下審計風(fēng)險的特征及評估

　　審計風(fēng)險會(huì )隨著(zhù)計算機的使用程度而不斷變化，應屆畢業(yè)生小編和大家分享一篇關(guān)于審計風(fēng)險的論文，歡迎大家閱讀學(xué)習。

　　摘要：現代企業(yè)的業(yè)務(wù)運作更加依賴(lài)于計算機網(wǎng)絡(luò )信息系統，但由于信息系統本身特點(diǎn)所具有的脆弱性，將使審計遇到風(fēng)險。審計風(fēng)險因客戶(hù)的會(huì )計系統和內部控制使用計算機而呈現出新的特征。

　　關(guān)鍵詞：信息系統;審計風(fēng)險;風(fēng)險特征;風(fēng)險評估

　　國際會(huì )計師聯(lián)合會(huì )(IFAC)的國際審計與保證準則委員會(huì )(IAASB)為提高審計質(zhì)量，于2003年10月發(fā)布了新準則，對審計風(fēng)險模型作出重大改動(dòng)。其中ISA200準則把審計風(fēng)險模型改為：審計風(fēng)險=重大錯報風(fēng)險×檢查風(fēng)險。審計風(fēng)險模型的變化從某種意義上減少了審計的責任，縮小了審計風(fēng)險的范疇，本文對審計風(fēng)險的理解并不局限于社會(huì )審計，也包括內部審計和國家審計，所以在這里仍采用“審計風(fēng)險AR=固有風(fēng)險IR×控制風(fēng)險CR×檢查風(fēng)險DR”風(fēng)險模型進(jìn)行分析。

　　一、信息系統環(huán)境下審計風(fēng)險的特征

　　(一)信息系統環(huán)境下固有風(fēng)險的特征

　　1存在電子數據被濫用、篡改和丟失的可能性。手工系統中，紙質(zhì)介質(zhì)上的信息易于辨認、追溯。而在計算機信息系統環(huán)境下，由于存儲介質(zhì)的改變，信息高度集中于計算機信息系統，信息系統應用程序被惡意篡改，或非法入侵信息系統造成經(jīng)濟損失的可能性致使審計的固有風(fēng)險增大。一旦用戶(hù)非法透過(guò)計算機系統的“防火墻”，數據被不法分子拷貝，甚至可能被進(jìn)行非法篡改而不留下任何痕跡。計算機病毒、電源故障、操作失誤、程序處理錯誤和網(wǎng)絡(luò )傳輸故障也極易破壞和修改電子數據，會(huì )造成實(shí)際數據與電子賬面數據不相符，增加固有審計風(fēng)險的可能性。

　　2存在審計線(xiàn)索被減少或消除的可能性。手工環(huán)境中，會(huì )計處理的每一個(gè)步驟都有文字記錄和經(jīng)手人簽名，審計線(xiàn)索清晰。但在信息系統環(huán)境中，從原始數據錄入到報表的自動(dòng)生成，傳統的審計線(xiàn)索不復存在，利用信息技術(shù)也難以實(shí)現如簽名、蓋章等這些使審計線(xiàn)索證據化的操作，對審計人員查找審計線(xiàn)索帶來(lái)了較大困難。

　　3存在原始數據被錄入錯漏的可能性。計算機信息系統環(huán)境下，大量的記賬憑證仍靠人工錄入，機制證賬表表面上的相互平衡，可能掩蓋人工錄入時(shí)發(fā)生的錯漏。系統的二次開(kāi)發(fā)工作，有可能會(huì )削弱之前在計算機信息系統中已經(jīng)設置好的控制，從而可能產(chǎn)生新的審計風(fēng)險因素。

　　(二)信息系統環(huán)境下控制風(fēng)險的特征

　　1存在約束機制失效的可能性。手工系統下通過(guò)建立崗位責任中心達到內部控制的目的，在計算機系統下，一是通過(guò)劃分操作員的責任范圍，設置權限和密碼實(shí)現人員職責分工;二是通過(guò)軟件設計劃分若干子系統或功能模塊設置不同的責任中心。由于在計算機信息系統中許多不相容職責相對集中，可能因為不恰當的授權而加大舞弊的風(fēng)險，權限設置的重疊或跨責任中心越權設置，使這一控制措施有可能形同虛設。

　　2存在會(huì )計數據異常的可能性。手工系統下，會(huì )計數據異常的可能性幾乎不存在;而在計算機系統下，這種可能性難以通過(guò)有效的內控制度消除，必須以先進(jìn)的硬、軟件平臺以及會(huì )計軟件本身的自我保護，減少出現異常錯誤的機率。就多數會(huì )計軟件看，對數據錄入的一致性和正確性控制，會(huì )計數據處理的安全性和連續性控制，軟件設計還是比較慎密的。但對集成化程度較高的企業(yè)級管理軟件，數據的共享性和一致性還不完善，系統設計時(shí)可能沒(méi)有考慮到審計工作的需要，沒(méi)有留下充分的審計線(xiàn)索，如：修改功能將導致無(wú)會(huì )計軌跡。計算機信息系統主要以磁盤(pán)、磁帶、光盤(pán)等磁性存儲介質(zhì)作為信息載體，記錄于這些存儲介質(zhì)上的信息是肉眼不可見(jiàn)的，必須借助于計算機的“翻譯”，才能以人可以理解的形式表現出來(lái)，但不同的軟件對同一信息可能被“翻譯”成不同的形式。

　　3存在實(shí)時(shí)控制失控的可能性。會(huì )計軟件對現金和銀行存款的收付業(yè)務(wù)缺乏實(shí)時(shí)有效的控制手段。對于企業(yè)內部發(fā)生的經(jīng)濟業(yè)務(wù)，多數軟件是通過(guò)人工填制記賬憑證，從各系統錄入到電腦，部分軟件雖通過(guò)系統實(shí)時(shí)地錄入，但可能與憑證數據不同步;對于現金和銀行存款收付業(yè)務(wù)，不僅數據難以實(shí)時(shí)同步，而且存在雙方數據不一致的可能性。

　　(三)信息系統環(huán)境下檢查風(fēng)險的特征

　　1存在難以查找歷史資料的可能性。對賬戶(hù)或交易的重大實(shí)質(zhì)性測試往往離不開(kāi)企業(yè)的歷史數據，由于軟件版本的升級、平臺的遷移等被審計軟件的更新?lián)Q代，可能導致難以從往年賬套里讀取歷史數據，迫使審計人員不得不從浩如煙海的文檔中手工收集和整理歷史數據，這不僅降低了審計效率，而且還將帶來(lái)更多的檢查風(fēng)險。

　　2存在難以全面檢查測試的可能性。手工系統下，內部控制的情況看得見(jiàn)、摸得著(zhù)，都有據可查;而在計算機信息系統環(huán)境下，內部控制主要依賴(lài)于軟件本身，內部控制融于系統軟件之中使審計人員無(wú)法通過(guò)傳統方法覺(jué)察，這就要求審計人員設計一套正常有效的業(yè)務(wù)數據和一套例外(如不完整的、無(wú)效的、不合理的、不合邏輯的等)的業(yè)務(wù)數據，以檢查測試應用軟件的控制能力。如果在進(jìn)行計算機信息系統設計時(shí)考慮不周，計算機信息系統可能無(wú)法判斷出某類(lèi)數據是否符合邏輯，對不合理的數據可能也會(huì )進(jìn)行日常處理。并且對錯誤數據的處理還具有重復性和連續性，從而可能導致審計人員誤認為是正常處理。由于多數審計人員并非電腦專(zhuān)家，要在有限的審計時(shí)間里設計完善的測試數據是不現實(shí)的。為此，我們認為對系統軟件本身的審計檢查可納入軟件開(kāi)發(fā)或評審之中，審計人員在審計實(shí)務(wù)中，重點(diǎn)是測試數據的完整性以及操作權限的分配和應用情況。

　　3存在難以控制技術(shù)風(fēng)險的可能性。對網(wǎng)絡(luò )交易而言，當在交易環(huán)節中人工干涉變得越來(lái)越少時(shí)，對控制信息技術(shù)是否有效進(jìn)行的檢查將更具實(shí)際意義。信息技術(shù)控制包括數據存儲控制和數據處理控制等，如對程序變化的檢查確保以系統程序按管理層的意圖運行;在網(wǎng)絡(luò )災難導致數據存儲平臺或數據處理平臺癱瘓時(shí)，災難防御計劃能使信息處理功能迅速恢復，這些都是任何信息化交易需要加以關(guān)注的基本審計風(fēng)險。隨著(zhù)網(wǎng)絡(luò )交易越來(lái)越廣泛，圍繞顧客為特征的、并基于計算機或因特網(wǎng)的信息處理過(guò)程，對審計人員而言，降低這種檢查風(fēng)險將比任何時(shí)候都更具重要意義。

　　綜上所述，計算機信息系統環(huán)境下審計風(fēng)險有其特有的表現形式，審計人員面臨著(zhù)新的風(fēng)險。然而審計環(huán)境的變化并不能改變審計責任，審計人員仍應保持應有的執業(yè)謹慎，并采取適當的審計程序使風(fēng)險控制在可接受的水平上。

　　二、信息系統環(huán)境下的審計風(fēng)險評估

　　一般來(lái)說(shuō)，在計算機網(wǎng)絡(luò )信息系統覆蓋了一個(gè)企業(yè)的營(yíng)銷(xiāo)、計劃、生產(chǎn)、采購、倉儲、財務(wù)、人力資源等企業(yè)運營(yíng)管理的各個(gè)層面，如果對每個(gè)流程和控制點(diǎn)都進(jìn)行評估，在資源的利用上是非常不經(jīng)濟的，我們可以通過(guò)以下方式來(lái)降低審計風(fēng)險：對于建立了長(cháng)期業(yè)務(wù)關(guān)系的被審計單位，可以通過(guò)要求其加強內外部安全機制、完善軟件功能、改進(jìn)數據錄入技術(shù);可以通過(guò)要求其統一文件存貯的格式，降低歷史文件難以打開(kāi)閱讀的可能性。如，對不同時(shí)期版本的會(huì )計軟件，采取統一的文件格式存貯，以便于審計師使用輔助審計軟件打開(kāi)審查;制定會(huì )計軟件行業(yè)標準，統一數據格式和外部接口。

　　(一)檢查風(fēng)險評估

　　設計一套有針對性的審計檢查程序，一是檢查被審計單位的權限設置，審查操作日志，發(fā)現疑點(diǎn);二是檢查被審單位的報表取數公式，重新生成一次并與被審計單位提供的比較;三是查閱銷(xiāo)售的原始合同，或利用輔助審計軟件整理匯總，并與會(huì )計賬面數據進(jìn)行核對;四是檢查賬實(shí)是否相符，這里既包括手工環(huán)境下的賬實(shí)相符，也包括計算機信息系統環(huán)境下的各子系統之間的數據相符;五是檢查憑證記錄的真實(shí)性、資產(chǎn)及負債的合理性、期末交易的歸屬期、內部管理控制制度的完備性和會(huì )計政策的一貫性。

　　(二)控制風(fēng)險評估

　　計算機網(wǎng)絡(luò )信息系統的控制評估必須基于風(fēng)險管理的原則，通過(guò)風(fēng)險評估尋找對主要業(yè)務(wù)運作中影響最大的領(lǐng)域。我們可以從企業(yè)整個(gè)業(yè)務(wù)風(fēng)險域中尋找對與財務(wù)報表有關(guān)的風(fēng)險的業(yè)務(wù)流程，從而進(jìn)一步確定系統模塊對業(yè)務(wù)流程的支持，在實(shí)際工作中，一般是通過(guò)對業(yè)務(wù)流程所使用系統模塊的頻繁程度來(lái)確定評估范圍。

　　在進(jìn)行調研和風(fēng)險評估中，如果發(fā)現計算機網(wǎng)絡(luò )信息系統中涉及到企業(yè)收入業(yè)務(wù)、支出業(yè)務(wù)和庫存業(yè)務(wù)的系統控制流程對企業(yè)的業(yè)務(wù)能否順利運轉影響比較大。由于業(yè)務(wù)控制的削弱，這種影響導致企業(yè)出現違規問(wèn)題的可能性增加。例如，企業(yè)管理層非常關(guān)注財務(wù)控制內部和外部流程，因為這些流程決定了財務(wù)數據的準確性，是反映企業(yè)運作是否健康的“脈搏”。因此，在審計中通常就要更關(guān)注收入業(yè)務(wù)，它包括主數據維護、銷(xiāo)售訂單處理、發(fā)運、開(kāi)票、退貨和收款等控制內容。

　　對于可能客觀(guān)存在的審計風(fēng)險，審計人員必須保持職業(yè)謹慎，運用專(zhuān)業(yè)判斷，對被審計單位的審計風(fēng)險各要素進(jìn)行全面的評估，確定可接受的審計風(fēng)險水平。

　　參考文獻：

　　[1] Warren，J Donald，Lynnw EdelsonandXeniaLeyParker HandbookofITAuditing[M] Boston：War renGorham&Lamont 1997

　　[2]張金城計算機信息系統控制與審計[M]北京：北京大學(xué)出版社，2002

　　[3] Casarin，Paul UsingDataMiningTechniquesinAuditing[J] TheISAudit&ControlJournal 1997，(9)

【信息系統環(huán)境下審計風(fēng)險的特征及評估】相關(guān)文章：

審計風(fēng)險評估的方法10-03

評估審計風(fēng)險的概念10-17

信息技術(shù)環(huán)境下審計風(fēng)險該如何控制06-07

大數據環(huán)境下審計風(fēng)險及防控分析「最新」11-05

關(guān)于戰略審計的風(fēng)險評估與對策討論05-21

審計師應如何評估重大錯報風(fēng)險10-30

審計師應如何評估重大錯報風(fēng)險201710-02

資產(chǎn)評估風(fēng)險及防范05-30

什么是審計風(fēng)險06-09

資產(chǎn)評估風(fēng)險形成的原因06-27