一、信息系统审计风险类型 3
(一)固有风险 3
(二)控制风险 4
(三)检查风险5
二、信息系统审计风险产生的原因 6
(一)客观原因6
(二)主观原因7
三、防范和控制信息系统审计风险的对策9
(一)进一步突出审计的独立性特征9
(二)深入了解被审计单位的情况 10
(三)运用科学的审计方法11
(四)建立和健全信息系统审计法律法规和准则体系12
(五)加强信息系统内部控制建设 12
(六)运用先进的信息系统审计技术方法12
(七)加大信息系统审计人才培养力度13
内 容 摘 要
浅析审计风险的产生原因并提出相关控制措施。 审计风险=固有风险×控制风险×检查风险可见,审计风险是由固有风险、控制风险和检查风险三个要素构成。审计风险识别是审计风险管理的基础,只有全面、正确地识别审计职业所面临的风险,对风险的估测和控制技术的选择才有实际意义。
现代企业的业务运作更加依赖于计算机网络信息系统,但由于信息系统本身特点所具有的脆弱性,将使审计遇到风险。审计风险因客户的会计系统和内部控制使用计算机而呈现出新的特征。
审计风险及其控制研究
在信息大爆炸的今天,随着被审计对象信息化的高速发展,信息系统越来越多地成为被审计单位内部管理与内部控制的关键工具,审计人员面对的资料已不再是单一的手工会计凭证、账簿和报表,而是计算机信息系统木身及其高度集中的大量电子数据。信息系统由于其自身所具有的特点给审计带来了不可避免的冲击与挑战,也使审计面临着新的风险。
浅析审计风险的产生原因并提出相关控制措施。审计风险=固有风险×控制风险×检查风险。可见,审计风险是由固有风险、控制风险和检查风险三个要素构成。审计风险识别是审计风险管理的基础,只有全面、正确地识别审计职业所面临的风险,对风险的估测和控制技术的选择才有实际意义。
一、信息系统审计风险类型
信息系统审计风险包括三个方面:其一是被审计单位信息系统自身潜在的风险,即固有风险;其二是被审计单位内部控制存在缺陷产生的风险,即控制风险;其三是审计人员在信息系统审计过程中产生的风险,即检查风险。下面具体分析面临的审计风险
(一)固有风险
固有风险是在信息系统不存在相关内部控制的前提下,信息系统或其子系统发生重大错误的可能性。当信息系统存在安全漏洞,系统内的相关电子数据或程序遭受破坏时,信息系统存在的固有风险偏高、信息系统审计的固有风险与计算机硬件配置、软件质量以及网络安全有关。
信息系统环境下,下列环节可能导致固有风险增高:1.数据录入环节。信息系统下,大量的数据靠人工录入,由此人工录入时发生的错录和漏录,可能会影响金额的变化而并不影响机制凭证账簿和报表表面上的相互平衡。2.数据存在环节。在信息系统环境下,由于存储介质的改变,信息高度集中于信息系统。一旦用户非法透过计算机系统的“防火墙”,数据被不法分子拷贝,甚至可能被进行非法篡改而不留下任何痕迹。同时,计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也极易破坏和修改电子数据造成账实不符,增加固有审计风险的可能性。3.数据传输转移环节。在信息系统中,数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移,在此过程中可能会出现一此问题,尤其是在需要手工重新录入时。4.介质本身缺乏证明力。在信息系统中,主要以磁盘、u盘等磁介质作为信息载体,对数据和程序修改可不留痕迹,被复制后的数据很难区分正副本,如果仅依靠磁介质载体,可能造成责任不清、真伪难辨,使审计证据缺乏法律效力。
(二)控制风险
控制风险是信息系统或其子系统发生重大错误并且没有被内部控制及时防止或发现纠正而产生的风险。信息系统在处理相关数据时,绝大多数的处理流程和相应的控制程序存在于系统中。在信息系统环境中,其控制范围发生一定的变化,具有其特殊性,包括系统组织操作、安全和数据处理等方面,所以很多一般的控制活动会失效。
主要表现在:1.约束机制失效风险。在信息系统环境下,交易授权直接由电子数据处理功能取得,信息系统中各岗位不相容职责分配较为集中,因不恰当的授权而促使舞弊行为发生
2.系统数据的安全性风险。为保证系统数据的安全性和保密性,防止系统数据被篁改或非法复制,监控和管理信息系统的有效运行,需要对人员权限进行适当有效的控制,对日常电子数据进行维护保障信息系统的安全。
(三)检查风险
检查风险是信息系统审计人员作为独立第三方通过实质性测试程序未能检查出其存在重大错误而产生的风险。信息系统审计的检查风险贯穿于审计过程,是唯一可以通过审计人员控制的风险。在信息系统环境下,审计人员的自身素养以及信息技术水平是影响检查风险的重要因素。
信息系统审计中检查风险主要产生于以下3个方面:1.审计线索难以查找。在手工环境中,会计账务处理的每一个步骤都有文字记录和相关人员签章,审计线索清晰;在信息系统环境中,从原始数据录入到报表的自动生成,忽略了中间处理过程;利用信息技术也难以实现如签名、盖章等这些使审计线索证据化的操作给审计追踪带来了重重困难。同时,由于各类数据文件都存储在磁介质中,设计者如果没有事先考虑审计的需要,在系统中设置跟踪程序的话,也会很难留下有价值的审计线索,加大审计难度。2.控制测试难度增加。手工系统下,内部控制的情况看得见、摸得着,有据可查;而在计算机信息系统环境下,内部控制主要依赖于软件本身,内部控制融于系统软件之中,一方面,审计人员无法通过传统审计方法进行控制测试,另一方面也要求审计人员掌握较高的计算机操作水平。3.技术风险难以控制。在越来越广泛的网络交易中,随着人工干涉越来越少时,对控制信息技术是否有效进行的检查将更具实际意义,降低这种检查风险将比任何时候都更具重要意义。如在网络灾难导致数据存储平台或数据处理平台瘫痪时,灾难防御计划能使信息处理功能迅速恢复,这些都是信息化交易需要加以关注的基本审计风险。
二、信息系统审计风险产生的原因
信息化环境造成了信息系统审计的困难,使审计风险愈发复杂。
(一)客观原因
客观原因是其由信息化环境引起的。信息化环境下,一方面,电子数据易被更改、破坏,影响了审计证据的可靠性。信息网络自身风险较大,出现突发性故障的概率较高,外在不和谐因索如病毒的入侵,黑客破坏随时威胁系统的安全,导致信息系统环境风险增大。同时系统的设计存在缺陷,计算机硬件配置与软件质量较差,使得系统自控较弱,容易造成审计线索缺失;另一方面,行业的信息系统中可能存在功能缺陷、控制缺陷、不恰当授权等风险因素,加大审计风险,影响审计效率和质量。目前我国信息系统审计还处于初步发展阶段,对于信息系统审计没有健全的法律法规和审计准则,相关的法规准则缺失,审计人员在执行审计业务时没有相应的职业规范可循,必然影响审计工作质量,加大了信息系统审计方面的风险。
市场经济是法制经济。审计活动作为经济生活中一个重要组织部分,也毫无例外地接受法律的规范与调整。法律赋予审计部门权利的同时,也让其承担相应的责任。审计责任的扩展是产生审计风险的重要原因。市场经济越发展,国家、社会对审计的要求就越高,审计对象从受托的财务责任扩展到经营责任、管理责任;审计范围从会计记录扩展到经营活动;审计职能从经济监督演变为以监督为基础的经济鉴证和经济评价。审计人员的审计责任从检查帐表的正确性扩展到证明被审查的经营活动是否有重大舞弊行为,是否有重大损失浪费问题等。审计承担的责任越多,审计风险就越大。
目前我国国民经济呈现较快增长,关键领域的改革有所突破,大量外资引入,民营、联营、个体等各种经济成分并存。多种经济组织的经济业务类型繁杂、交易工具多变,承包、租赁、收购、兼并、破产、重组、关联方交易等新问题不断出现,纷繁复杂的审计对象是被审计单位全部或部分的经济活动及载体。而经济活动的载体主要是会计资料及其他相关资料,内容庞杂广泛。社会公众要求审计人员揭示出重大的差错与舞弊,并对企业持续经营能力作出评价,对企业在财务方面是否遵纪守法做出报告。然而有关这方面的信息不确定性很大,信息的风险也很高,审计人员得出结论的正确性难度增加,风险在所难免。另外,企业自身在核算中出现的错误也成为审计结果发生偏差的原因。
(二)主观原因
主观原因主要是由审计人员自身特点引起的。由于信息技术的不断更新和发展,审计证据的难获取性,审计线索的隐蔽性等信息系统审计人员不具备应有的专业能力,审计人员的执业水平与信息系统发展不协调、信息系统中大量的电子数据需要处理此过程都在计算机内进行,审计线索更加隐蔽,审计人员很难发现问题或者错误,所以审计人员必须利用先进的审计技术,从而降低检查风险。审计人员对会计软件和计算机系统知识掌握薄弱,信息技术运用不灵活,必然带来审计风险。信息化环境下存在信息系统安全风险和审计软件风险,当审计人员对审计软件了解不足或对审计业务不够熟悉时,造成审计上的漏洞甚至发生错误。
审计人员应该具有《审计准则》所要求具备的业务能力和职业技能。审计人员的专业知识水平、分析判断能力、工作经验如何,是否做到客观公正、实事求是、认真负责、清正廉洁并保持应有职业关注,对审计工作质量有着重要的影响。现实工作中,审计人员的能力和经验有一定的局限性。审计人员能力的相对有限,使审计所能完成任务的能力难以达到社会的全部期望,因此审计能满足社会需求是相对的,而不是绝对的。另外,审计人员的工作责任心和职业关注状况也不尽相同,审计活动是一种服务性质的工作,审计人员有责任周密计划审查工作,以查出可能对财务报表有重大影响的差错行为,同时审计人员在实施审计过程中应运用专门技术和职业关注。可见,审计人员的责任心和职业关注对审计的结论至关重要。但是,由于各种因素,审计人员并不是人人能达到要求,这也不可避免地会限制审计工作的开展,影响审计工作质量。
审计方法本身隐含审计风险。首先,它过分依赖被审计单位内部控制制度的测试,内部控制系统的建立虽然可以减少经济活动中的错弊,但因内部控制系统本身固有的局限性,使其不能避免所有的错弊。比如企业发生未预料的经营情况,或出现特殊的经济业务,原有的控制措施不适用;本应相互牵制的工作人员串通作弊;管理人员滥用职权或责任心差异致使控制系统失效;受成本费用的制约控制措施所需费用太高,被管理当局废弃等等。这些都会使控制系统失灵,产生控制风险。面对大量的会计资料往往采用的是统计抽样方法,这种方法虽然可以提高审计效率,但由于取证方法不同,加之样本与总体之间存在差异,使得审计结果与客观事实产生一定的差错,由此也会带来审计风险。且现代审计方法采用重要性审计,强调审计成本与审计风险的均衡,所采用的审计程序以允许存在一定审计风险为必要前提。但是具体应用到审计事务中来,审计人员还是没有十分把握所抽取的样本就能代表整体,主观的结论与客观的事实之间的偏差总是存在的。因此也必然产生审计风险。
三、防范和控制信息系统审计风险的对策
审计组织和审计人员可根据中国审计风险现状,采取以下措施,将其控制在一定的可承受的范围之内。通过对信息系统审计风险的分析后,为了降低审计风险,必须采取有效的应对措施,从而保障信息系统审计的内外部环境优化,提升审计质量。
(一)进一步突出审计的独立性特征
独立性是审计的本质特征,是审计区别于其他管理活动的特别之处,审计的独立性具体表现在审计组织机构、业务工作、经济来源及审计人员独立四方面。《注册会计师法》第六条规定:“注册会计师和会计师事务所依法独立、公正执行业务,受法律保护。”据此,应从外部和内部两个方面强化审计的独立性:一是从宏观上确保审计组织地位的独立性;二是内部要确保人员的独立性,保证审计人员不受其他外界影响,保证其做出审计结果的客观公正性。
(二)深入了解被审计单位的情况
在有关经济活动中,被审计单位有履行法定职责、遵守相关法律法规、建立并实施内部控制,保证财务会计资料真实性和完整性的责任,而事实表明审计风险的形成与被审计单位的背景有一定的相关性。因此,审计组织和审计人员在接受委托,执行审计业务之前,应从以下几个方面来深入了解被审计单位:1.了解被审计单位的基本情况。CPA在接受委托之前,必须首先了解被审计单位的基本情况,这些基本情况包括:被审计单位所处行业的特点,被审计单位的财务状况、人员结构、历年的经营状况,被审计单位的内部控制制度制定情况、执行情况等。
2.了解被审计单位管理部门的正直程度。被审计单位的管理部门若具有正直的品格,则出现差错和舞弊行为的可能性就小,固有风险就低;反之,则固有风险就很高。审计组织和审计人员可以与以前审计人员取得联系,了解审计人员被更换的原因,了解以前审计人员与该被审计单位有无法律诉讼发生。要尽量避免与不正直的被审计单位往来。
(三)运用科学的审计方法
随着社会经济的发展以及审计环境的日益复杂,加之审计实践的丰富与审计理论的发展,仅仅使用传统的审计方法已经不能满足审计风险在一定程度上的降低。CPA要运用分析法,如比较分析法、比率分析法、回归分析法、时间序列分析法等,从总体上对相关数据进行分析和比较,以确定经济业务的审查重点,降低审计风险。
(四)建立和健全信息系统审计法律法规和准则体系
在信息化环境下,信息系统审计的审计对象、技术和方法等发生了转变,传统的法律法规和审计准则不能完全适用于该审计,而我国目前尚未制定和出台相关信息系统审计准则和法律。在国际上,国际信息系统审计协会(ISACA)发布的信息系统审计准则是目前国际上通用的信息系统准则,其中包括了审计准则、审计指南和审计程序三个方面①。此外,其他组织如国际会计师联合会和国际内部审计师协会也制定了相关的规范。我国在借鉴国际信息系统审计的实践经验的同时,可以结合国内注册会计师管理情况,制定出我国特色的信息系统审计准则和法律,为降低信息系统审计风险提供有力保障。
(五)加强信息系统内部控制建设
信息系统运行得安全可靠需要健全有效的信息系统内部控制。在高度自动化的信息环境中,信息系统的设计开发者和使用者是系统内部控制及其审计的主要参与人员,其应当全面投入到信息系统的内部控制构建中去。为有效降低审计风险,建立信息系统内部控制体系势在必行。具体表现在:一是要改善内部控制环境并加强风险评估程序,将制定的内控制度落到实处并自行评估和评价,对其有效性进行信息反馈,便于进一步完善信息系统的内部控制;二是强化内部控制的技术应用。只有涉及内部控制相关的技术得到有效运用,才能降低被审计单位对内控的依赖程度。此类技术包括监控系统、综合分析平台、防火墙的建立和权限管理等。
(六)运用先进的信息系统审计技术方法
先进审计技术方法的运用便于提高审计效率和提升审计质量。审计人员获得充分适当的审计证据来实现审计目标需要其具备熟练的技术方法。目前我国信息系统审计技术保持迅速发展的态势,并逐渐缩小与欧美发达国家的差距。先进的信息系统审计技术包括了相关的安全审计技术、数据挖掘技术以及信息系统审计证据生成技术等,我国需要对这些技术领域的研究全面加强,同时在其完善后应及时投入运用,不断推进审计技术的更新,从而使之达到先进水平。
(七)加大信息系统审计人才培养力度
信息系统审计人员的职业能力和专业素养是提升信息系统审计质量的保障。在信息系统环境下,审计人员需要具备全面的知识,包括审计、会计、计算机技术和信息系统管理等,同时这样全方位的审计人才又相当缺乏,所以培养高素质的审计人才,任务显得尤为重要和艰难。我国信息系统的人才培养需要学历教育、社会实践和培训有效结合,各高校开设审计与计算机融合的相关专业和课程,加强信息系统理论知识的学习,审计机构适时提供培训,并安排审计人员真正应用实践,这样才能有力地促进信息系统审计人才的培养。
参 考 文 献
〔1〕闻庆新.浅议审计机关的审计风险及防范问题[J] 2010
〔2〕《信息系统审计实例》 董明灿 华夏文化艺术出版社
〔3〕《信息系统审计内容与方法》 中国时代经济出版社
