什么是计算机审计风险
计算机审计风险是指审计人员在对被审计单位会计电算化系统进行审计后作出的审计结论与被审计事项实际情况相背离的可能性,也可以理解为审计人员不能正确合理地运用计算机审计技术,从而导致审计结果与事实不相符,发表不恰当的审计意见。
计算机审计风险的分类
(一) 人员操作风险
人员操作风险是指审计人员在对会计电算化信息系统进行审计时,由于过分依赖计算机运行所得出的结果,而没有对各种疑点线索进行必要的复查所产生的风险。
(二) 财务数据风险
财务数据风险是由于财会人员在对财务数据录入时采用虚假、修改、延迟等手段造成虚假财务数据而产生的风险。
(三) 审计软件风险
审计软件风险是指审计软件在设计开发过程中,由于本身的不完善等原因而造成的风险。主要因素有: 研究开发人员对审计、会计业务不熟悉,致使开发的软件达不到审计的要求; 所使用的审计软件没有经过有关部门的鉴定、评审就投入使用,造成软件本身运行不稳定;审计软件与会计电算化软件之间的接口不完全一致,数据不能完全导出。
计算机审计风险产生的原因
计算机审计风险产生的原因具体表现在以下几个主要方面:
1.审计人员的业务素质较低
进行计算机审计,要求具有复合蛋知识的审计人员,即要求审计人员不仅要具备会计、审计方面的知识与技能,还要具备计算机方面的知识与技能。如果审计人员不具备这样的技能,做出的审计结论就有可能偏离被审系统的实际情况,从而产生审计风险
2.映少科学的计算机会计信息系统审计标准和准则
对于手工会计信息系统的审计,可以有诸多审计标准和准则遵照执行,但是,在对计算机会计信息系统进行审计时,由于审计的对象、审计线索、审计方法与技术等都发生了变化,过去手工操作会计信息系统的审计标准和准剐中的某些内容已经不适用。另一方面叉缺乏与计算机会计信息系统审计相适应的新的审计标准和准剐,同样也会增加计算机审计的风险。
3.选用的审计方法与技术不恰当
目前,被审单位根据自身的业务规模和性质,可以购买商品化软件,也可根据企业特点自行开发或聘请外单位开发计算机会计信息系统。软件多种多样。各具特色。所采用的数据处理及存储方式不尽相同,因此。审计所采用的方法与技术也不尽相同。此外。不同软件的开发方式。软件开发所采用的程序设计语言也有差异。不同的开发方式以及用不同的程序设计语言开发的应用软件,其所运用的审计方法与技术也不一样。在对计算机会计信息系统进行审计时,如果审计人员没有对被审系统进行充分的调查与了解,不熟悉软件设计所采用的程序设计语言,就有可能选择不恰当的审计方法与技术.从而产生审计风险。
4.被审单位的系统内部控制制度不健全
在计算机会计信息系统中,内部控制的方法和技术与手工系统相比发生了很大的变化。除了一些规章制度外,大部分控制措施都是以程序的形式建立在计算机会计信息系统中。因此,计算机会计信息系统的内部控制功能是否恰当有效直接影响系统输出信息的真实性和正确性。另外,由于计算机会计信息系统运行的高速性、处理的重复性和连续性,如果程序中的控制不当或无效,将会比手工操作会计信息系统产生更为严重的后果,而对这方面的审计具有一定的难度。因此,如果被审计的计算机会计信息系统的内部控制不健全,则其审计风险会比手工操作会计信息系统的审计风险更大。
5.被审系统的审计线翥较难把握
审计线索对审计单位来说是极为重要的。审计中审计人员正是在跟踪审计线索,审计有关的经薪业务,收集审计证据的。在计算机会计信息系统中,审计需要跟踪的审计线索,大部分存储在电、磁性介质上,这些线索是肉眼不可见的,可以不留痕迹地进行修改、删除、隐匿、转移和伪造。又由于数据存储在计算机中,有的数据只存放于暂存文件中,审计时可能已被删除。使审计发现错误的机会减少,难度增大,则必然会增加审计风险。
6.磁性介质存储数据缺乏证据力
在手工会计信息系统中,信息被记录于凭证、帐簿等纸张七面。这些信息以纸张作为载体。而在计算机会计信息系统中,则主要以软硬盘等磁性介质作为信息载体。而磁性介质存储数据映乏证据力,因为:(1)利用磁性介质报容易通过拷贝进行数回据复制,因而无法区分正本和副本;(2n已录于磁性介质上的信息是肉眼不可见的,对计算机程序的依赖较高,如果计算机程序发生问题,通过磁性介质上的信息将很难发现错误;(3)对磁性介质上的信息进行修改不会留下任何痕迹 因此,在对计算机会计信息系统审计中,如果单纯依赖磁性介质这种信息载体,则可能造成责任不清、真伪难辨,使审计缺乏具有法律效力的证据等不良后果.从而增加了审计的风险。
7.动态中进行审计取证较难
大中型企业中,计算机会计信息系统是一个完整的网络系统,如果系统停止工作。必然会直接影响单位的生产经营活动。例如,有的企业的计算机会计信息系统每天都要结算成本和利润,进行经营动态分析,供企业领导进行决策时使用。在这些企业中,如果计算机会计信息系统停止运行,会给企业带来经济损失,因此,对计算机会计信息系统进行审计, 往往是在系统运行过程中进行审计取证.审计人员一方面要及时完成审计任务,另一方面又不能妨碍和终止被审系统的正常经营工作,这就给审计工作带来了一定的难度,同时也增加了审计风险。
8 抽样审计中样本难以代表审计总体
现代审计的一个主要特征,就是在评审被审单位内部控制制度的基础上进行抽样审计。计算机审计也不倒外,由于计算机会计信息系统运行的高速性、处理的重复性与连续性、审计取证的动态性等,计算机审计更加注意以内部控制制度为基础的抽样审计。但因计算机会计信息系统的复杂性,抽取的样本不一定能代表审计总体,从而产生误拒风险或误受风险。
计算机审计风险的控制
为了降低计算机审计风险,必须采取相应的控制措施。计算机审计风险的控制方法主要有以下几种:
l.提高审计人员的素质
目前,应积报培养复合型人才,采用各种培训方式让审计人员尽快胜任对计算机会计信息系统审计的要求。同时,高校会计、审计专业应加强计算机课程的教育和学习。
2.合理组建审计小组
在组建审计小组时,最好全部选择会计、审计、计算机厦计算机会计信息系统都很精通的人才。还要根据系坑的性质选择主要人员 如果被审计计算机会计信息系统是自行开发的,则应着重对被审计系统应用程序的处理和控制功船进行审计,这时配备的审计人员中要有精通计算机软件开发的专业技术人员。必要时,要聘请计算机专家进行审计。如果被审计计算机会计信息系统的会计核算软件是商品化的通用会计软件,由于这些会计软件开发的技术力量较强, 又经过了严格的评审和多年的运行,其应用程序的赴理和控制功船都比较可靠。因此,应着重对被审计算机会计信息系统的内部控制制度以及输人输出信息进行审计。这时.组成的审计人员中,不一定要有非常精通计算机软件的技术人员,只要能掌握计算机的基本知识及操作技能即可。
3 选择恰当的审计方法与技术
审计人员可以根据植审系统会计数据处理的特点以及审计的目的等选择台适的审计方法与技术,从而有效地降低审计风险。当被审计算机会计信息系统采用批处理且输^与输出能直接核对时.则可采用绕过计算机的审计方法,用核对、复核、分析等审计技术;当被审计算机会计信息系统采用实时处理,纸性的审计线索较少且输^与输出不能直接核对时,则必须采用通过或利用计算机的审计方法,如:模拟检测数据法、平行模拟法、整体检潮法等具体审计方法;当被审计算机会计信息系统每时每刻都在运行,审计过程中不能终止工作时,则可采用制度基础审计法,首先对被审计算机会计信息系统的一般控制和应用控制进行审查.根据一般控制和应用控制审查的结果决定抽查的重点、范围和方法,这样,既可以降低审计风险,又可以减少对被审系统正常工作的影响。
4 积极开展系统开发审计
审计人员开展系统开发审计,可以保证系统如实记录充分的审计线索,也可在被审系统设计中嵌 审计模块或在被审系统中留有适当的审计接口 同时,审计人员通过系统开发审计可以对系统中的控制措施及处理功能有较全面的丁解,便于事后审计时选择适当的审计方法与技术。这样,就会明显降低事后审计的风险。
5.积极开发和使用通用审计软件
开发和使用通用审计软件, 一方面可以提高审计的效率,另一方面,在目前计算机审计继续发展的情况下,对于普及计算机会计信息系统审计,降低审计风险具有重要的意义。
6.多方面收集审计证据
在计算机会计信息系统中,由人工输^原始数据,随后由计算机按程序自动进行处理,中间一般不再经过人工的干预 这样,系统的台法性、效益性系统输出结果的真实性、正确性不仅取决于输人数据系统的工作人员,还取决于计算机的硬件、系统软件、应用程序和数据文件等。因此.收集审计证据时,要多方位进行收集,以降低审计风险。
7.合理选择审计方式
由于计算机会计信息系统的审计内容大部分存储在醋性介质上,磁性介质容易被复制、篡改而不留下任何痕迹 因此,对计算机会计信息系统审计,一般应采用就地审计和突击审计的方式。在对被审系统的应用程序和数据文件进行审计时.可以采用在事先不通知操作员和程序员的情况下.将被审系统中正在运行的应用程序和数据文件拷衄出来进行审查,以防程序员对被审系统的应用程序加以篡改或更按程序版本,防止操作员对被审系统的数据文件进行增、删.改等。只有这样,才能保证被审程序和数据文件是系统实际运行的程序,也才能有效地降低审计风险。
8.积极取得被审单位的支持与配合
进行计算机会计信息系统审计,必须要接触被审单位的计算机会计信息系统。如果被审单位的计算机技术人员或操作人员不予配台,将被审系统的程序或数据文件加密、隐匿, 或故意删除某些中间文件等,则审计人员就程难进行审查。因此,只有取得被审单位的支持与配台,才能有效地降低审计风险。