【摘要】 計算機審計是會計電算化的必然要求,也是審計發展的必然趨勢。計算機審計技術的應用必然帶來審計工作效率和質量的提高,但計算機審計風險也存在複雜化的趨勢。本文從固有風險、控制風險和檢查風險三個角度對計算機審計風險進行了分析,並在此基礎上提出了具體的防範對策。
【關鍵詞】計算機審計 審計風險 因素分析 防範對策
計算機審計是指審計人員以計算機為工具,對被審計單位會計資訊系統執行的有效性、資料處理的合法性正確性、最終報表的真實性公允性進行審計的過程。計算機審計是會計電算化的必然要求,也是審計工作緊跟資訊時代步伐的必然要求。勿庸置疑,計算機審計技術的應用必然會提高審計工作效率和質量,已有的實踐的確向我們展示了其強大的功能和良好的應用前景。但不容忽視的是:計算機技術的複雜性極可能使審計風險複雜化。如何在充分發揮其優勢的同時,有效地防範可能的風險?這是一個迫切需要解決的課題,本文力圖對計算機審計風險進行分析和探討,從而提出有意義的防範對策。
一、計算機審計風險的三大構成要素
計算機審計風險是指:由於審計人員未能正確合理地運用計算機審計技術對被審計單位計算機會計資訊系統執行的有效性、資料處理的合法性正確性、最終報表的真實性公允性進行審計,從而對被審計單位含有重要錯報或漏報的財務報表表示不恰當審計意見的風險。按照國際上通行的審計風險模型:審計風險=固有風險×控制風險×檢查風險,計算機審計雖然在審計技術、審計方法等方面與傳統審計有很大不同,但仍然可以認為是由以上三大要素構成,以下試對其進行因素分析:
(一)計算機審計的固有風險因素分析
計算機審計固有風險是指:假定未對計算機會計軟硬體系統進行安全控制的情況下,系統發生執行失常或資料丟失、錯誤的風險。其特點包括:①它是由計算機軟硬體系統所固有的特點決定的,其風險水平與系統硬體質量、軟體穩定性及執行環境緊密相關,審計人員只能評估其風險水平,而無法對其實施控制和影響; ②它的影響因素是多方面的,需要從計算機技術的角度對其進行評判,且不可避免地帶有一定主觀性和複雜性,難於準確計量;③其風險水平一方面會因為會計業務計算機處理的實時性、正確性而降低,另一方面又可能因為計算機系統的複雜性而增加。
影響計算機審計固有風險的因素包括:①計算機硬體系統的執行環境,不恰當的執行環境,如在防火、防磁、電源等方面達不到要求,可能導致硬體系統運轉失常;②計算機硬體系統故障,突然的硬體故障,可能令已完成的操作前功盡棄;③計算機軟體系統質量,執行不穩定的軟體系統,可能導致不正常中斷或資料丟失;④磁性介質儲存的會計資料較易被破壞、篡改或竊取,且往往不留痕跡,難以追查。⑤系統的網路連線,與網際網路絡連線的會計資訊系統可能受到網路遠端的惡意侵害。
(二)計算機審計的控制風險因素分析
計算機審計的控制風險是指:由於被審計單位內部計算機軟硬體系統的應用、操作和管理規範等安全控制制度不夠健全、有效,導致無法恰當地防止、發現和及時糾正會計資訊系統可能出現的各種錯誤的風險。其特點包括:①它是由被審計單位有關安全控制制度不夠健全、有效所引起的,屬於內部控制的範疇,審計人員只能評估其風險水平而不能對其實施控制和影響;②對其風險水平的衡量由於需要兼顧傳統內部控制的思想和計算機系統管理的知識,因而較為複雜且難以準確計量。
影響計算機審計控制風險的因素包括:①維護計算機軟硬體系統的相關安全控制制度不夠健全或未能完全貫徹執行;②對會計軟體系統的應用測試不夠嚴密,採納了潛伏某些錯誤的不合格系統;③會計軟體系統的設計存在內部控制考慮不足,包括:a.軟體系統中職責許可權劃分不明,不相容職務沒有嚴格分離, 缺乏相互制約機制,導致系統資料易遭篡改和操縱;b.軟體系統資料控制設計不嚴密,如資料校驗糾錯措施不足,導致誤將錯誤資料納入系統;c.系統設計缺乏詳細的日誌記錄,某些非法操作不留痕跡,審計線索丟失,導致對非法篡改資料的扼制力不足;d.軟體系統設計中對系統執行故障的事後恢復措施考慮不足或資料備份方案設計不全面,導致資料儲存不完整或前後不一致;e.系統沒有預留審計介面,導致審計軟體的自動執行及採集審計證據困難;④工作人員配備安排欠妥,電算化會計系統要求工作人員尤其是系統管理人員同時具備會計知識和計算機技術相關知識,如二者欠缺其一,必然增加操作管理失誤的可能性;⑤系統管理人員對計算機病毒的安全防範意識及措施不足,增加了會計資料遭侵害甚至丟失的可能性;⑥防範網路遠端侵害的'措施不足,如未設立有效的防火牆、實時監控程式、資料加密程式、電子金鑰系統等,無法有效防止網路黑客或敵意方對系統資料、程式的惡意攻擊。
(三)計算機審計的檢查風險因素分析
計算機審計的檢查風險是指:被審計單位內部計算機軟硬體系統的相關安全控制措施未能及時防止、發現和糾正會計資訊系統出現的錯誤, 審計人員也未能合理地運用計算機審計的相關技術進行實質性測試以發現該錯誤的風險。其特點包括:①它是惟一可由審計人員自主確定和控制的風險;②藉助計算機的高速處理能力,審計抽樣樣本將大量增加,抽樣風險有望被有效降低,則計算機審計的檢查風險將主要表現為非抽樣風險;③其風險水平與審計人員的專業勝任能力密切相關。
計算機審計的檢查風險既存在降低的趨勢也存在增加的可能。其趨於降低是因為:①抽樣樣本的大量增加,擴大了審計覆蓋面;②利用查詢、搜尋等計算機系統功能可以迅速獲得所需資訊,提高了取證效率;③只要匯入審計軟體的初始資料無誤,則其後的計算、統計過程交由計算機高效完成,可以有效避免手工審計的某些低階錯誤。而其風險水平可能增加的原因在於:①它與審計人員運用計算機技術進行審計的能力密切相關,由於目前多數審計人員計算機知識不足,導致審計工作往往侷限於對所生成的電子賬簿的審查,而對於會計軟體系統的設計及執行還無法做到實質性審查;②審計軟體的開發應用還未形成較統一的標準,實踐中的審計軟體或自行開發或委託研製,可能潛伏某些缺陷;③由於審計軟體與會計軟體的開發商或開發時期不同,二者的系統資料格式可能不相相容,這為審計軟體的自動化應用帶來了困難,資料格式轉換過程中如發生轉換錯誤或重複錄入資料失誤,都將直接帶來檢查風險。
二、計算機審計風險的防範對策
分析計算機審計風險的構成要素,是為了探求防範審計風險的有效對策,從而促進計算機審計技術的推廣應用。如前文所述:審計風險=固有風險×控制風險×檢查風險,審計人員惟一能夠自主確定和控制的只有檢查風險,至於固有風險和控制風險則只能對其進行評估。因此,對計算機審計風險的防範應同時從兩方面入手:①提高評估計算機審計固有風險和控制風險水平的正確性,從而為符合性測試和實質性測試提供準確的依據;②降低計算機審計的檢查風險。
(一)提高評估計算機審計固有風險和控制風險水平正確性的對策
為提高評估計算機審計固有風險和控制風險水平的正確性,應著重考察以下幾個方面:1.考察被審計單位計算機硬體系統的執行環境,包括電源供應的穩定性、硬體執行的穩定性以及各項安全控制制度是否健全並是否得到有效貫徹。2.考察被審計單位對計算機軟硬體系統的備份情況,包括是否進行了硬體、軟體和資料的備份,備份方案是否全面。3.考察被審計單位的會計軟體系統是否合格,各項功能設定是否安全可靠,其執行的穩定性及系統內部控制手段如何,包括:①資料處理、報表處理等過程的正確性合法性,是否遵照了相關會計準則、制度及法規;②軟體內部控制的有效性,如職責許可權是否劃分明確,相互制約機制如何;③資料控制是否嚴密,是否包含了有效的資料校驗和糾錯措施;④系統能否提供詳細的日誌記錄,以作為有效的審計線索。4.考察被審計單位會計人員的配備、分工及其權限制約的有效性。5.考察被審計單位會計資訊系統防範計算機病毒及網路遠端侵害的相關措施,如有無設立防火牆、有無必要監控措施等。
(二)降低計算機審計檢查風險的對策
1.儘可能吸納同時具備會計審計知識和計算機技術知識的人員進入審計隊伍,並加大對審計人員計算機知識的培訓力度,以提高審計人員開展計算機審計工作的能力。2.儘量採用較成熟或已獲認可的審計軟體。3.國家有關部門應積極完善現有的計算機審計準則,我國於1996年釋出《審計機關計算機輔助審計方法》,亦於1999年施行中國獨立審計具體準則第20號《計算機資訊系統環境下的審計》,但近年來電算化會計發展迅速,有必要完善現有的準則,以使相關實踐有章可循,從整體上降低風險水平。4.審計行業應加強與計算機軟體專家的橫向聯合,促進功能完備的高效能通用型審計軟體的推廣和應用,降低審計軟體存在缺陷的可能性。5.審計行業應加強與會計行業的溝通,提倡採用統一的會計電算化軟體,建議會計軟體的設計應儘可能考慮審計需求,保留審計線索並預留審計介面,最重要的是統一儲存資料的格式標準,避免資料格式轉換或重複錄入的非效率和可能的錯誤。目前,XBRL技術在國外已得到初步應用,該技術致力於促進會計資料格式的統一和資訊的便捷交換,可能對計算機審計工作產生深遠的影響,我們應該予以關注。6.審計人員仍應保持合理的職業謹慎,提高風險防範意識,制定詳細的審計計劃,恰當評估被審計單位的固有風險和控制風險水平,選用適當的審計方法,不過份依賴計算機審計軟體,現場取證和對計算機審計成果的適當複核仍然十分必要。
