浅析如何防范计算机审计的风险
计算 机审计风险是指审计人员在对被审计单位 会计 电算化系统进行审计后作出的审计结论与被审计事项实际情况相背离的可能性。也可以理解为审计人员不能正确合理地运用计算机审计技术,从而导致审计结果与事实不相符,发表不恰当的审计意见。
一、形成计算机审计风险的原因
1.传统审计线索逐渐消失。在手工会计系统中,从原始凭证到记账凭证、账簿记录以及财务报表的编制,每一步都有文字记录,都有不同的经手人签字,审计线索十分清晰。但在会计电算化系统中,传统的帐簿没有了,绝大部分的文字记录消失了,会计信息大都存储在磁盘或磁带上,因此,肉眼所见的线索减少了。况且,存储在磁盘上的数据很容易被修改、删除、隐匿、转移,又无明显的痕迹,因此,审计人员发现错误的可能性就减少了,而审计风险就增加了。
2.审计技术、 方法 日趋复杂。实行会计电算化后,审计技术和方法有了很大的变化,由于被审计单位采用的会计 应用 软件有的是商品化软件,有的是自行 研究 开发的软件,在功能、程序处理上都有着一定的差别,其要求运用的 审计技术和方法也不一样,从而给审计人员的审计增加了复杂性,审计人员如果对软件不熟悉或采用了不当的审计技术和方法,必然会带来审计风险。
3.在动态中进行审计取证较难。在某些大型 企业 ,计算机会计信息系统是一个很大的 网络 系统,每一天都要进行成本和利润的结算,进行生产动态 分析 ,供管理层次决策 参考 ,因此,系统必须处于运作当中,一旦停止工作,将会给被审计单位造成很大的 经济 损失。而审计人员一方面要完成审计任务,一方面又不能妨碍和终止被审计单位会计信息系统的运做,这样就只能在系统运作过程中进行取证,难度较高,也存在一定的审计风险。
4.被审计单位内控制度的不完善。在手工系统中,内部控制的测试是看得见、摸得着的,但在会计电算化信息系统中,内部控制的技术和方法发生了很大的变化,使得手工系统中的许多原有的控制措施都已不适合了,大部分控制措施都是以程序的形式建立在计算机会计信息系统中,肉眼无法觉察,在很大程度上依赖于计算机处理。而计算机会计信息系统的内控功能是否恰当有效会直接 影响 系统输出信息的真实和准确,内控环境的复杂性以及内部控制的局限性也使舞弊行为有机可乘,从而增加了审计风险。
5.审计人员计算机知识的缺乏。 目前 ,大部分审计人员对于计算机知识普遍缺乏,而随着会计电算化的实行,审计的对象也更多更复杂了。因此,审计人员除了要有专业的审计、会计知识外,还必须掌握一定的计算机知识和应用技术,否则,审计人员作出的审计结论有可能偏离被审计单位会计信息系统的实际,从而造成审计风险。
6.缺少 科学 的计算机会计信息系统审计的标准和准则。对于以往手工系统的审计有诸多的审计标准和准则加以参考,但是对于会计电算化信息系统进行审计时,由于审计对象和审计线索等发生了变化,审计的技术和手段也相应地发生了变化,原来的一些标准和准则就显得不适用了,新的适用于会计电算化信息系统审计方面的标准和准则尚未出台,因此,也容易产生审计风险。
7.现行会计软件评审机制存在缺陷。现行会计软件的评审主要侧重于软件功能的"构成要素及会计处理方法的合理性,忽视了审计线索的保全性;评审侧重于会计软件运行的结果与手工一致,忽略了对软件开发过程内部控制系统的评价;评审依赖于会计电算化专家小组及部分用户的意见,忽视了软件的审计特征;评审的结果可能同审计人员的意见产生冲突。这些都给审计人员的工作带来了一定的困难和风险。
二、 计算 机审计风险的种类
1.人员操作风险。人员操作风险是指审计恩怨在对 会计 电算化信息系统进行审计时,由于过分依赖计算机运行所得出的结果,而没有对各种疑点线索进行必要的复查所产生的风险。
2.财务数据风险。财务数据风险是由于财会人员在对财务数据录入时采用虚假、修改、延迟等手段造成虚假财务数据而产生的风险。
3.软件管理风险。软件管理风险是指对计算机辅助审计软件的使用和管理不完善、不健全而引起的风险。
三、计算机审计风险的防范
1.保证审计数据的完整性。为保证审计数据的完整和准确,审计人员在审计时必须认真检查被审计单位所提供的数据是否真实、是否属审计时间范围内的财务数据,是否属结帐后的数据,财务数据是否有纸质帐册、报表相配套。同时,审计人员获得的财务数据,应该是被审计单位财务人员对财务数据作现场备份所得的。
2.选择恰当的审计发与技术。审计人员可以根据被审计单位不同的系统而采取不同的审计 方法 和技术,从而有效地降低审计风险。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时,则可采用绕过计算机的审计方法,用核对、复核、 分析 等审计技术;当被审计单位采用实时处理,纸质的审计线索较少且输入输出不能直接核对时,则可采用计算机审计的方法,当被审计单位采用每时每刻都在运行,审计过程中不能终止工作时,则可采用制度基础法,首先对被审计单位计算机会计信息系统的一般控制和 应用 控制进行审查,根据一般控制和应用控制审查的结果决定抽查的重点、范围和方法,这样,既可以降低审计风险,又可以减少被审计系统正常工作的 影响 。
3.选择合理的审计方式。由于要审计的 内容 大都存储在磁性介质中,而磁性介质很容易被篡改、删除而不留下任何痕迹。因此,对于计算机会计信息系统审计一般应采用就地审计或突击审计的方式。在进行审计时,可以采用事先不通知操作员或程序员的情况下,把系统中正在运行的数据拷贝出来进行审查,以防操作员把数据篡改、删除等,只有这样,才能保证被审程序和数据的正确、完整性,也才能有效地降低审计风险。
4.积极取得被审计单位的支持和配合。在进行计算机审计时,如果被审计单位的财务人员、操作人员不予配合,把存在磁性介质当中以及会计信息系统中的财务数据进行加密、修改、删除、隐匿等,则审计人员很难进行审查,因此,审计时应积极取得被审计单位的支持和配合,来降低审计风险。
5.建立健全会计电算化信息系统审计的标准和准则。原有的标准和准则有的已经不适用于会计电算化信息系统审计,这给会计电算化信息系统审计带来了一定的风险,有关部门应采取有关措施,大力加强对计算机审计的研究,尽快制定出适用于会计电算化信息系统审计的标准和准则,来降低计算机审计风险。
6.改进会计软件的评审机制。财政部门对会计软件独家评审的纵向评审机制,给会计电算化信息系统审计工作带来了一定的困难和风险。因此,需要对会计软件评审机制进行改进,在会计软件通过财政评审前,由审计机关组织专家对软件开发商进行软件开发审计,并作出审计结论,财政部门 参考 审计结论,最终作出是否通过评审的决定,基层的审计人寰也只需参照审计结论来审查、评价基层用户的会计软件系统。这样就使审计人员和财政部门评审人员共同分担了评审责任和风险。
7.积极开发和使用电算化审计软件。随着会计电算化的普及, 网络 化的不断升级,审计的难度也越来越大,开发和使用优秀的电算化审计软件,一方面可以提高审计的效率,另一方面也能够有效地控制和降低审计风险。
