24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋(píng)果版本:8.7.50

開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

信息系統(tǒng)環(huán)境下審計(jì)風(fēng)險(xiǎn)的特征及評(píng)估

來(lái)源: 程安林 編輯: 2008/08/07 16:02:00  字體:

  摘要:現(xiàn)代企業(yè)的業(yè)務(wù)運(yùn)作更加依賴于計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng),但由于信息系統(tǒng)本身特點(diǎn)所具有的脆弱性,將使審計(jì)遇到風(fēng)險(xiǎn)。審計(jì)風(fēng)險(xiǎn)因客戶的會(huì)計(jì)系統(tǒng)和內(nèi)部控制使用計(jì)算機(jī)而呈現(xiàn)出新的特征。

  關(guān)鍵詞:信息系統(tǒng);審計(jì)風(fēng)險(xiǎn);風(fēng)險(xiǎn)特征;風(fēng)險(xiǎn)評(píng)估

  國(guó)際會(huì)計(jì)師聯(lián)合會(huì)(IFAC)的國(guó)際審計(jì)與保證準(zhǔn)則委員會(huì)(IAASB)為提高審計(jì)質(zhì)量,于2003年10月發(fā)布了新準(zhǔn)則,對(duì)審計(jì)風(fēng)險(xiǎn)模型作出重大改動(dòng)。其中ISA200準(zhǔn)則把審計(jì)風(fēng)險(xiǎn)模型改為:審計(jì)風(fēng)險(xiǎn)=重大錯(cuò)報(bào)風(fēng)險(xiǎn)×檢查風(fēng)險(xiǎn)。審計(jì)風(fēng)險(xiǎn)模型的變化從某種意義上減少了審計(jì)的責(zé)任,縮小了審計(jì)風(fēng)險(xiǎn)的范疇,本文對(duì)審計(jì)風(fēng)險(xiǎn)的理解并不局限于社會(huì)審計(jì),也包括內(nèi)部審計(jì)和國(guó)家審計(jì),所以在這里仍采用“審計(jì)風(fēng)險(xiǎn)AR=固有風(fēng)險(xiǎn)IR×控制風(fēng)險(xiǎn)CR×檢查風(fēng)險(xiǎn)DR”風(fēng)險(xiǎn)模型進(jìn)行分析。

  一、信息系統(tǒng)環(huán)境下審計(jì)風(fēng)險(xiǎn)的特征

 ?。ㄒ唬┬畔⑾到y(tǒng)環(huán)境下固有風(fēng)險(xiǎn)的特征

  1存在電子數(shù)據(jù)被濫用、篡改和丟失的可能性。手工系統(tǒng)中,紙質(zhì)介質(zhì)上的信息易于辨認(rèn)、追溯。而在計(jì)算機(jī)信息系統(tǒng)環(huán)境下,由于存儲(chǔ)介質(zhì)的改變,信息高度集中于計(jì)算機(jī)信息系統(tǒng),信息系統(tǒng)應(yīng)用程序被惡意篡改,或非法入侵信息系統(tǒng)造成經(jīng)濟(jì)損失的可能性致使審計(jì)的固有風(fēng)險(xiǎn)增大。一旦用戶非法透過(guò)計(jì)算機(jī)系統(tǒng)的“防火墻”,數(shù)據(jù)被不法分子拷貝,甚至可能被進(jìn)行非法篡改而不留下任何痕跡。計(jì)算機(jī)病毒、電源故障、操作失誤、程序處理錯(cuò)誤和網(wǎng)絡(luò)傳輸故障也極易破壞和修改電子數(shù)據(jù),會(huì)造成實(shí)際數(shù)據(jù)與電子賬面數(shù)據(jù)不相符,增加固有審計(jì)風(fēng)險(xiǎn)的可能性。

  2存在審計(jì)線索被減少或消除的可能性。手工環(huán)境中,會(huì)計(jì)處理的每一個(gè)步驟都有文字記錄和經(jīng)手人簽名,審計(jì)線索清晰。但在信息系統(tǒng)環(huán)境中,從原始數(shù)據(jù)錄入到報(bào)表的自動(dòng)生成,傳統(tǒng)的審計(jì)線索不復(fù)存在,利用信息技術(shù)也難以實(shí)現(xiàn)如簽名、蓋章等這些使審計(jì)線索證據(jù)化的操作,對(duì)審計(jì)人員查找審計(jì)線索帶來(lái)了較大困難。

  3存在原始數(shù)據(jù)被錄入錯(cuò)漏的可能性。計(jì)算機(jī)信息系統(tǒng)環(huán)境下,大量的記賬憑證仍靠人工錄入,機(jī)制證賬表表面上的相互平衡,可能掩蓋人工錄入時(shí)發(fā)生的錯(cuò)漏。系統(tǒng)的二次開(kāi)發(fā)工作,有可能會(huì)削弱之前在計(jì)算機(jī)信息系統(tǒng)中已經(jīng)設(shè)置好的控制,從而可能產(chǎn)生新的審計(jì)風(fēng)險(xiǎn)因素。

  (二)信息系統(tǒng)環(huán)境下控制風(fēng)險(xiǎn)的特征

  1存在約束機(jī)制失效的可能性。手工系統(tǒng)下通過(guò)建立崗位責(zé)任中心達(dá)到內(nèi)部控制的目的,在計(jì)算機(jī)系統(tǒng)下,一是通過(guò)劃分操作員的責(zé)任范圍,設(shè)置權(quán)限和密碼實(shí)現(xiàn)人員職責(zé)分工;二是通過(guò)軟件設(shè)計(jì)劃分若干子系統(tǒng)或功能模塊設(shè)置不同的責(zé)任中心。由于在計(jì)算機(jī)信息系統(tǒng)中許多不相容職責(zé)相對(duì)集中,可能因?yàn)椴磺‘?dāng)?shù)氖跈?quán)而加大舞弊的風(fēng)險(xiǎn),權(quán)限設(shè)置的重疊或跨責(zé)任中心越權(quán)設(shè)置,使這一控制措施有可能形同虛設(shè)。

  2存在會(huì)計(jì)數(shù)據(jù)異常的可能性。手工系統(tǒng)下,會(huì)計(jì)數(shù)據(jù)異常的可能性幾乎不存在;而在計(jì)算機(jī)系統(tǒng)下,這種可能性難以通過(guò)有效的內(nèi)控制度消除,必須以先進(jìn)的硬、軟件平臺(tái)以及會(huì)計(jì)軟件本身的自我保護(hù),減少出現(xiàn)異常錯(cuò)誤的機(jī)率。就多數(shù)會(huì)計(jì)軟件看,對(duì)數(shù)據(jù)錄入的一致性和正確性控制,會(huì)計(jì)數(shù)據(jù)處理的安全性和連續(xù)性控制,軟件設(shè)計(jì)還是比較慎密的。但對(duì)集成化程度較高的企業(yè)級(jí)管理軟件,數(shù)據(jù)的共享性和一致性還不完善,系統(tǒng)設(shè)計(jì)時(shí)可能沒(méi)有考慮到審計(jì)工作的需要,沒(méi)有留下充分的審計(jì)線索,如:修改功能將導(dǎo)致無(wú)會(huì)計(jì)軌跡。計(jì)算機(jī)信息系統(tǒng)主要以磁盤、磁帶、光盤等磁性存儲(chǔ)介質(zhì)作為信息載體,記錄于這些存儲(chǔ)介質(zhì)上的信息是肉眼不可見(jiàn)的,必須借助于計(jì)算機(jī)的“翻譯”,才能以人可以理解的形式表現(xiàn)出來(lái),但不同的軟件對(duì)同一信息可能被“翻譯”成不同的形式。

  3存在實(shí)時(shí)控制失控的可能性。會(huì)計(jì)軟件對(duì)現(xiàn)金和銀行存款的收付業(yè)務(wù)缺乏實(shí)時(shí)有效的控制手段。對(duì)于企業(yè)內(nèi)部發(fā)生的經(jīng)濟(jì)業(yè)務(wù),多數(shù)軟件是通過(guò)人工填制記賬憑證,從各系統(tǒng)入口錄入到電腦,部分軟件雖通過(guò)系統(tǒng)實(shí)時(shí)地錄入,但可能與憑證數(shù)據(jù)不同步;對(duì)于現(xiàn)金和銀行存款收付業(yè)務(wù),不僅數(shù)據(jù)難以實(shí)時(shí)同步,而且存在雙方數(shù)據(jù)不一致的可能性。

 ?。ㄈ┬畔⑾到y(tǒng)環(huán)境下檢查風(fēng)險(xiǎn)的特征

  1存在難以查找歷史資料的可能性。對(duì)賬戶或交易的重大實(shí)質(zhì)性測(cè)試往往離不開(kāi)企業(yè)的歷史數(shù)據(jù),由于軟件版本的升級(jí)、平臺(tái)的遷移等被審計(jì)軟件的更新?lián)Q代,可能導(dǎo)致難以從往年賬套里讀取歷史數(shù)據(jù),迫使審計(jì)人員不得不從浩如煙海的文檔中手工收集和整理歷史數(shù)據(jù),這不僅降低了審計(jì)效率,而且還將帶來(lái)更多的檢查風(fēng)險(xiǎn)。

  2存在難以全面檢查測(cè)試的可能性。手工系統(tǒng)下,內(nèi)部控制的情況看得見(jiàn)、摸得著,都有據(jù)可查;而在計(jì)算機(jī)信息系統(tǒng)環(huán)境下,內(nèi)部控制主要依賴于軟件本身,內(nèi)部控制融于系統(tǒng)軟件之中使審計(jì)人員無(wú)法通過(guò)傳統(tǒng)方法覺(jué)察,這就要求審計(jì)人員設(shè)計(jì)一套正常有效的業(yè)務(wù)數(shù)據(jù)和一套例外(如不完整的、無(wú)效的、不合理的、不合邏輯的等)的業(yè)務(wù)數(shù)據(jù),以檢查測(cè)試應(yīng)用軟件的控制能力。如果在進(jìn)行計(jì)算機(jī)信息系統(tǒng)設(shè)計(jì)時(shí)考慮不周,計(jì)算機(jī)信息系統(tǒng)可能無(wú)法判斷出某類數(shù)據(jù)是否符合邏輯,對(duì)不合理的數(shù)據(jù)可能也會(huì)進(jìn)行日常處理。并且對(duì)錯(cuò)誤數(shù)據(jù)的處理還具有重復(fù)性和連續(xù)性,從而可能導(dǎo)致審計(jì)人員誤認(rèn)為是正常處理。由于多數(shù)審計(jì)人員并非電腦專家,要在有限的審計(jì)時(shí)間里設(shè)計(jì)完善的測(cè)試數(shù)據(jù)是不現(xiàn)實(shí)的。為此,我們認(rèn)為對(duì)系統(tǒng)軟件本身的審計(jì)檢查可納入軟件開(kāi)發(fā)或評(píng)審之中,審計(jì)人員在審計(jì)實(shí)務(wù)中,重點(diǎn)是測(cè)試數(shù)據(jù)的完整性以及操作權(quán)限的分配和應(yīng)用情況。

  3存在難以控制技術(shù)風(fēng)險(xiǎn)的可能性。對(duì)網(wǎng)絡(luò)交易而言,當(dāng)在交易環(huán)節(jié)中人工干涉變得越來(lái)越少時(shí),對(duì)控制信息技術(shù)是否有效進(jìn)行的檢查將更具實(shí)際意義。信息技術(shù)控制包括數(shù)據(jù)存儲(chǔ)控制和數(shù)據(jù)處理控制等,如對(duì)程序變化的檢查確保以系統(tǒng)程序按管理層的意圖運(yùn)行;在網(wǎng)絡(luò)災(zāi)難導(dǎo)致數(shù)據(jù)存儲(chǔ)平臺(tái)或數(shù)據(jù)處理平臺(tái)癱瘓時(shí),災(zāi)難防御計(jì)劃能使信息處理功能迅速恢復(fù),這些都是任何信息化交易需要加以關(guān)注的基本審計(jì)風(fēng)險(xiǎn)。隨著網(wǎng)絡(luò)交易越來(lái)越廣泛,圍繞顧客為特征的、并基于計(jì)算機(jī)或因特網(wǎng)的信息處理過(guò)程,對(duì)審計(jì)人員而言,降低這種檢查風(fēng)險(xiǎn)將比任何時(shí)候都更具重要意義。

  綜上所述,計(jì)算機(jī)信息系統(tǒng)環(huán)境下審計(jì)風(fēng)險(xiǎn)有其特有的表現(xiàn)形式,審計(jì)人員面臨著新的風(fēng)險(xiǎn)。然而審計(jì)環(huán)境的變化并不能改變審計(jì)責(zé)任,審計(jì)人員仍應(yīng)保持應(yīng)有的執(zhí)業(yè)謹(jǐn)慎,并采取適當(dāng)?shù)膶徲?jì)程序使風(fēng)險(xiǎn)控制在可接受的水平上。

  二、信息系統(tǒng)環(huán)境下的審計(jì)風(fēng)險(xiǎn)評(píng)估

  一般來(lái)說(shuō),在計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)覆蓋了一個(gè)企業(yè)的營(yíng)銷、計(jì)劃、生產(chǎn)、采購(gòu)、倉(cāng)儲(chǔ)、財(cái)務(wù)、人力資源等企業(yè)運(yùn)營(yíng)管理的各個(gè)層面,如果對(duì)每個(gè)流程和控制點(diǎn)都進(jìn)行評(píng)估,在資源的利用上是非常不經(jīng)濟(jì)的,我們可以通過(guò)以下方式來(lái)降低審計(jì)風(fēng)險(xiǎn):對(duì)于建立了長(zhǎng)期業(yè)務(wù)關(guān)系的被審計(jì)單位,可以通過(guò)要求其加強(qiáng)內(nèi)外部安全機(jī)制、完善軟件功能、改進(jìn)數(shù)據(jù)錄入技術(shù);可以通過(guò)要求其統(tǒng)一文件存貯的格式,降低歷史文件難以打開(kāi)閱讀的可能性。如,對(duì)不同時(shí)期版本的會(huì)計(jì)軟件,采取統(tǒng)一的文件格式存貯,以便于審計(jì)師使用輔助審計(jì)軟件打開(kāi)審查;制定會(huì)計(jì)軟件行業(yè)標(biāo)準(zhǔn),統(tǒng)一數(shù)據(jù)格式和外部接口。

 ?。ㄒ唬z查風(fēng)險(xiǎn)評(píng)估

  設(shè)計(jì)一套有針對(duì)性的審計(jì)檢查程序,一是檢查被審計(jì)單位的權(quán)限設(shè)置,審查操作日志,發(fā)現(xiàn)疑點(diǎn);二是檢查被審單位的報(bào)表取數(shù)公式,重新生成一次并與被審計(jì)單位提供的比較;三是查閱銷售的原始合同,或利用輔助審計(jì)軟件整理匯總,并與會(huì)計(jì)賬面數(shù)據(jù)進(jìn)行核對(duì);四是檢查賬實(shí)是否相符,這里既包括手工環(huán)境下的賬實(shí)相符,也包括計(jì)算機(jī)信息系統(tǒng)環(huán)境下的各子系統(tǒng)之間的數(shù)據(jù)相符;五是檢查憑證記錄的真實(shí)性、資產(chǎn)及負(fù)債的合理性、期末交易的歸屬期、內(nèi)部管理控制制度的完備性和會(huì)計(jì)政策的一貫性。

 ?。ǘ┛刂骑L(fēng)險(xiǎn)評(píng)估

  計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的控制評(píng)估必須基于風(fēng)險(xiǎn)管理的原則,通過(guò)風(fēng)險(xiǎn)評(píng)估尋找對(duì)主要業(yè)務(wù)運(yùn)作中影響最大的領(lǐng)域。我們可以從企業(yè)整個(gè)業(yè)務(wù)風(fēng)險(xiǎn)域中尋找對(duì)與財(cái)務(wù)報(bào)表有關(guān)的風(fēng)險(xiǎn)的業(yè)務(wù)流程,從而進(jìn)一步確定系統(tǒng)模塊對(duì)業(yè)務(wù)流程的支持,在實(shí)際工作中,一般是通過(guò)對(duì)業(yè)務(wù)流程所使用系統(tǒng)模塊的頻繁程度來(lái)確定評(píng)估范圍。

  在進(jìn)行調(diào)研和風(fēng)險(xiǎn)評(píng)估中,如果發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中涉及到企業(yè)收入業(yè)務(wù)、支出業(yè)務(wù)和庫(kù)存業(yè)務(wù)的系統(tǒng)控制流程對(duì)企業(yè)的業(yè)務(wù)能否順利運(yùn)轉(zhuǎn)影響比較大。由于業(yè)務(wù)控制的削弱,這種影響導(dǎo)致企業(yè)出現(xiàn)違規(guī)問(wèn)題的可能性增加。例如,企業(yè)管理層非常關(guān)注財(cái)務(wù)控制內(nèi)部和外部流程,因?yàn)檫@些流程決定了財(cái)務(wù)數(shù)據(jù)的準(zhǔn)確性,是反映企業(yè)運(yùn)作是否健康的“脈搏”。因此,在審計(jì)中通常就要更關(guān)注收入業(yè)務(wù),它包括主數(shù)據(jù)維護(hù)、銷售訂單處理、發(fā)運(yùn)、開(kāi)票、退貨和收款等控制內(nèi)容。

  對(duì)于可能客觀存在的審計(jì)風(fēng)險(xiǎn),審計(jì)人員必須保持職業(yè)謹(jǐn)慎,運(yùn)用專業(yè)判斷,對(duì)被審計(jì)單位的審計(jì)風(fēng)險(xiǎn)各要素進(jìn)行全面的評(píng)估,確定可接受的審計(jì)風(fēng)險(xiǎn)水平。

  參考文獻(xiàn):

  [1] Warren,J Donald,Lynnw EdelsonandXeniaLeyParker HandbookofITAuditing[M] Boston:War renGorham&Lamont 1997

  [2]張金城計(jì)算機(jī)信息系統(tǒng)控制與審計(jì)[M]北京:北京大學(xué)出版社,2002

  [3] Casarin,Paul UsingDataMiningTechniquesinAuditing[J] TheISAudit&ControlJournal 1997,(9)

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.8riaszlp.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)