您好, 访客   登录/注册

会计信息系统审计的风险及防范

来源:用户上传      作者: 谢晓兰

  一、会计信息系统审计的风险
  
  近几年来,随着我国信息化的高速发展,审计风险在会计信息化环境下而呈现出新的特征:
  1.重大错报风险。
  (1)手工系统中,纸质介质上的信息易于辨认、追溯。而在会计信息系统中,由于存贮介质的改变,一旦用户非法透过计算机系统的访问控制措施,如通过窃取口令、防火墙,极易破坏和修改电子数据,且不留蛛丝马迹;计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也会造成实际数据与电子账面数据不相符,从而增加重大风险错报的可能性。
  (2)手工系统中,会计处理的每一步都有文字记录和经手人签名,审计线索包括会计凭证、账簿、报表等会计资料,审计线索清晰,会计人员对各项经济业务的会计记录都是以纸质形式存放,审计人员可以通过这些书面记录加以审计。而在会计信息系统中,从原始数据的录入到报表的自动生成,几乎勿需人工干预,纸面信息变成了只有计算机才能识别的磁性介质上的代码,并且这些代码是为会计人员服务的,对审计人员而言,磁质代码无异于在审计对象面前增加了一道无形的墙,看不见,摸不着,传统的审计线索不复存在,为审计人员追查审计线索带来了极大困难。
  (3)在手工系统中,内部控制一般表现为对人的控制,采取的手段主要是利用纸面信息进行手工核对和检查,责任容易明确,结果也比较直观。可是,在会计信息化条件下,内部控制转变为对人和机器的双重控制,且以对计算机控制为主。若被审计单位内部控制度不健全,计算机数据和程序的修改完全可以不留痕迹地进行,同时计算机容易受到“黑客”的入侵和“病毒”的侵袭,特别是近几年国内外利用计算机犯罪的案例越来越多,更说明了会计信息化条件下内部控制的难度,这对审计工作而言,无疑加大了审计重大错报风险。
  2.检查风险。
  (1)会计软件的更新换代,增加了历史文件难以提取的可能性。对重要账户或交易的实质性测试往往离不开企业的历史数据,由于软件版本的更新、平台的迁移,难以从往年账套里提取这些历史数据,迫使审计人员不得不从浩如烟海的文档中收集整理历史数据。这不仅降低了审计效率,而且带来了更多的审计检查风险。而且随着新的编程工具的出现以及会计软件在不断的深化,会计软件在不断升级,而审计软件跟不上形势,采取的相应升级措施相对滞后,这也影响审计效率和审计质量。
  (2)企业内部控制的程序化,增加难以全面检查测试的可能性。手工系统下,对内部控制的测试看得见、摸得着;而在计算机系统下,内部控制融汇于财务软件之中,肉眼无法觉察,这就要求审计人员有必要设计一些正常有效的业务数据和一些例外业务数据(不完整的、无效的、不合理的、不合逻辑的),来检查测试软件的控制能力。由于多数审计人员计算机知识非常有限,而要在有限的审计期限内设计面面俱到的测试数据是不现实的,因而增加审计检查风险。
  (3)会计软件接口不统一。目前大部分会计软件没有统一的标准数据接口。虽然《信息技术会计核算软件数据接口》已于2004年9月20日经国家质检总局和国家标准委员会批准发布,并于2005年1月1日在全国范围内实施。但是由于种种原因该标准和规范没有得到很好的落实,各个会计软件厂商以保护数据安全为借口,将数据层层“保护”,目前各被审计单位所采用的会计软件大多基于不同数据库平台和数据库结构,生成的数据结构不尽相同,较难整理和分析,必然会给审计人员带来检查风险。
  根据以上讨论,会计信息系统审计的风险有其特有的表现形式,然而审计环境的变化并不能改变审计人员的审计责任。审计人员应保持应有的执业谨慎,并采取适当的审计技术和方法使风险控制在可接受的水平上。
  
  二、降低审计风险的对策
  
  1.对被审单位的情况进行深入了解。
  在会计信息化环境下,应当更加注重被审计单位情况的了解,只有如此,才能大致确定被审单位的风险因素和总体风险水平。审计人员可以查阅以前年度的工作底稿、行业资料、业务情况,或者询问内审人员,管理部门和企业员工进行调查了解。必须要进行的调查工作至少包括以下三项:
  (1)了解被审单位使用的会计软件,弄清版本,业务处理流程,从而发现可能存在错弊和风险的环节。
  (2)应当对被审财务人员尤其是会计信息系统管理人员、操作人员、维护人员的职业操守进行详细调查,因为他们能对信息系统施加重要影响。
  (3)建立审计信息库,将被审单位的有关信息通过网络建立一个完善的大量信息库。这些信息包括被审单位的背景资料,最新动态和以前年度审计的档案资料。这样可以大大减少工作时间,提高工作效率,同时也降低了审计风险。
  2.提高现有审计人员的业务素质,改善审计部门的人员组成结构。
  随着信息技术的发展,为了保持审计的独立性,提高审计效率和审计效果,增加了对审计人员有较高的计算机业务知识的要求。目前我国审计部门引进的人才除了掌握审计人员所要求财经知识还要求具备以下技能:
  (1)熟练掌握会计信息系统的运行、数据处理和数据库管理系统相关知识。
  (2)必须掌握计算机高级语言和开发审计软件的技能。
  (3)熟悉计算机网络技术,无纸化办公、贸易系统和其他先进的信息技术等。
  3.完善计算机审计标准与准则。
  随着会计信息系统的日益普及,审计手段由传统的手工审计逐步走向计算机审计。计算机审计可以使审计人员及时地审查企业的各种信息,对内部财务信息系统及会计工作实施有效监控与评价,对企业资金、各种资产进行密切跟踪,从而有利于评估风险以及实现事前、事中、事后审计。对会计信息系统审计,难度更高,审计风险更大,过去手工会计系统的审计标准和准则中部分内容已不适应。因此,在制定计算机审计标准和准则时要在考虑我国国情的前提下吸收、借鉴国外先进经验。在制定具体审计准则时应侧重于对计算机系统内部控制的评价、对审计人员应具备的资格、信息化审计过程和相关的审计技术以及证据收集等方面做出规范。建立一系列与新情况相适应的审计准则,包括系统设计、开发、运行、维护等标准,以及相适应的内部控制制度,规范计算机审计业务的发展,并逐步向国际审计准则靠拢,将审计风险降低到最低的水平。
  4.统一会计软件数据接口。
  为了避免会计软件数据接口不统一带来的审计风险,目前,我们迫切需要有一个权威的行业公认的会计信息技术标准――会计管理及核算系统的标准数据接口规范。所谓标准数据接口规范,是一种数据信息在磁介质中存储的统一形式,它对所有正在使用的会计软件规定统一的数据输入输出格式,以便全面、快捷、准确的获取企业经营活动的信息。制定标准数据接口规范有利于规范信息领域的各种数据信息,有利于税务部门的数据统计,有利于审计部门进行审计时审计软件去迎合各单位的会计软件,有利于企业实施内部审计和内部监督。而且审计人员在审计时只需要将会计软件中的输入文件调入审计软件即可,不需要把各种各样的数据文件转化为同一格式再进行输入,降低了审计风险。因此,财政部需要修订会计软件基本的功能规范,要将数据接口的标准写入规范中,并在审批时严格把关,以加强各会计软件开发商对数据接口的重视。
  5.开发、应用计算机审计软件。
  由于审计软件可直接访问被审单位会计信息系统的数据文件,故有助于审计人员对整个数据文件或经选定的数据项目进行复核,有效地执行大量数据的验算、重新分类及汇总等工作,并能按审计人员指定的标准查找记录,详细检查数据文件的内容。为给计算机审计打开通道,就必须不断研究开发、升级审计软件。
  在数据采集方面,特别需要专门从事数据采集的软件,更易访问被审计单位不同介质、不同编码、不同数据库类型的数据库,从中采集审计所需的原始数据,打通“瓶颈”。
  在数据分析方面,面向特定的领域,开发新的分析工具,如针对企业审计领域的产品生产成本情况分析工具和产品销售利润情况分析工具,针对金融审计领域的利率检查工具等。同时,还要增加一些基于特定方法的分析工具,如存货账户分析等。
  审计工作的特点是三分查证、七分整理。开发、应用审计软件,不仅能够减少工作量,审计小组成员可共享审计工作中发现的疑点与问题,减少重复劳动,探讨审计问题,方便审计人员应用操作,同时审计部门领导通过局域网、广域网可实时了解及协调审计工作进程,查看共享底稿和报表,指导审计小组审计工作,加快审计工作进度,降低审计工作风险。
  6.加强对内部控制的审计。
  一般来说,控制措施包括制度控制和程序控制,可以通过加强内外部安全机制、权限密码、完善软件功能、改进数据录入技术和联网传输问题,降低审计固有风险。审计人员在调查被审计单位会计信息系统内部控制情况时,应检查被审计单位会计信息系统的错弊,避免“假账真查”。可采用抽查原始凭证与机内凭证相对比,抽查打印日记账和机内日记账相核对,检查被审单位的报表取数公式,重新生成一次并与被审计单位提供的比较等方法,进行凭证准确性校验、账户平衡性校验、总账明细账校验、年度间结转校验和被审计单位账表一致性测试,更准确地判断财务数据的真实性和可靠性。加强被审计单位会计信息系统内部控制的审计,主要注意内部控制的以下特征:
  (1)缺乏交易轨迹;(2)同类交易处理的一致性;(3)缺乏职责分工;(4)在特定方面发生错误和舞弊行为的可能性较大;(5)交易授权执行与手工处理存在差异。
  综上所述,目前审计人员要很好地研究会计信息系统审计的风险特征,提高对审计风险的认识,才能最大限度地降低审计风险、提高控制审计风险的水平,以更好地发挥审计的作用,完善我国的审计体系,促进社会经济更快、更健康的发展。(作者单位:峡江县审计局)


转载注明来源:https://www.xzbu.com/3/view-785891.htm