浅谈计算机辅助审计存在的风险及对策,本文主要内容关键词为:浅谈论文,对策论文,风险论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
审计风险可能因客户的会计系统使用计算机和内部控制电脑化而呈现出新的特征,主要如下:
1、固有风险的特征。固有风险是指假定不存在的相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。具体表现为:(1)电子化会计数据存在被滥用、篡改和丢失的可能性。手工系统中,纸质介质上的信息易于辨认、追溯。而在计算机系统中,由于存贮介质的改变,一旦用户非法透过计算机系统的“防火墙”,极易破坏和修改电子数据,且不留蛛丝马迹;计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也会造成实际数据与电子账面数据不相符,增加了固有审计风险的可能性。(2)电子数据存在易于减少或消失审计线索的可能性。手工系统中,会计处理的每一步都有文字记录和经手人签名,审计线索清晰;但在计算机系统中,从原始数据的录入到报表的自动生成,几乎勿需人工干预,传统的审计线索不复存在,为审计人员追查审计线索带来了极大困难。(3)原始数据的录入存在的错漏的可能性。计算机系统下,大量的记账凭证仍靠人工录入,表面上机制账、证、表的相互平衡,可能掩盖了人工录入的错漏。
2、控制风险的特征。控制风险是指某一账户或交易类别或连同其他的账户,交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。具体表现为:(1)有意或无意使设置权限密码实现职责分工的约束机制有失效的可能性。手工系统下,通过建立岗位责任中心达到内部控制的目的。在计算机系统下,一是通过划分操作员的责任范围,设置权限和密码实现人员分工;二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于权限设置的重叠或跨责任中心越权设置,使这一控制措施有可能形同虚设。(2)网络传输和数据存贮故障或软件的不完善,有会计数据出现异常错误的可能性。手工系统下,这种可能性几乎不存在;而在计算机系统下,这种可能性难以通过有效的内控制度消除,必须靠先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的机率。就多数会计软件看,对数据录入的一致性和正确性控制,会计数据处理的安全性和连续性控制,软件设计还是比较缜密的。但对集成化程度较高企业级管理软件,数据的共享性一致性还不尽人意。另外某些网络平台在实际应用中问题还是不少。(3)会计软件对现金和银行存款的收付业务缺乏有效的控制手段。对于企业内部的现金和银行存款收付业务,多数软件是通过人工填制记账凭证业务,再录入电脑,部分软件虽通过出纳系统实时地录入,但可能与凭证数据不同步;对银行存款的收付业务,不仅难以实时同步,而且存在双方数据不一致的可能性。
3、检查风险的特征。检查风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报,而未能被实质性测试发现的可能性。具体再现为:(1)会计软件的更新换代,增加了历史文件难以提取的可能性。对账户或交易的重大实质性测试往往离不开企业的历史数据。由于软件版本的更新、平台的迁移,难以从往年账套里提取这些历史数据。这不仅降低审计效率,而且带来了更多的检查风险。(2)内部控制主要依赖软件本身,增加了难以全面检查测试的可能性。手工系统下,对内部控制的测试看得见、摸得着;而在计算机系统下,内部控制融汇于软件之中,肉眼无法觉察,这就要求审计人员有必要设计一些正常有效的业务数据的一些例外业务数据(不完整的、无效的、不合理的、不全逻辑的),来检查测试软件的控制能力。由于多数审计人员不是电脑专家,要在有限的审计时间里设计面面俱到的测试数据是不现实的。为此,笔者认为对软件本身的审计检查可纳入软件开发或评审之中,审计人员在审计实务中,重点是测试数据的完整性以及操作权限的分配和应用情况。
根据以上讨论,计算机系统下审计风险有其特有的表现形式,审计人员面临着新的风险。然而审计环境的变化并不能改变审计的责任,审计人员仍应保持应有的工作谨慎,并采取适当的审计程序使风险控制在可接受的水平之下。具体采取如下对策:
1.计算机审计人员介入审计项目的时间要早。计算机专业人员应在审前调查阶段加入审计项目,而以往的项目审计,计算机人员通常是在审计组正式进点时参与进来,出现软件开发滞后于审计工作的现象,达不到预期的效果。被审计单位的计算机系统是对业务工作的计算机管理,计算机人员不仅要了解被审计对象的计算机系统,还需了解相应的业务流程,把实际业务情况与计算机系统数据结构对应起来。只有这样才能按审计人员的要求挑选出需要的数据表,进行准确的数据采集、转换和分析,这些都需要大量的时间,并应在审前调查阶段完成。
2.由具有不同知识结构的人员组成计算机审计小组。计算机审计小组的成员应包括计算机专业人员、项目主审、业务处的计算机中级骨干。工作的目的是由具备专业知识的计算机人员根据审计人员提出的需求采集、分析被审计单位的电子数据,运用计算机技术高效、便捷地实现审计需求,因此计算机专业人员、审计业务人员的参与是必不可少的,业务处的计算机中级骨干是计算机人员和业务人员沟通的桥梁,这种复合型人才的参与是保证小组工作质量的关键。
3.计算机审计小组应制定严格的工作进度表,在规定的时间段完成相应的工作。
①首先了解被审计对象的业务系统和计算机系统。计算机审计小组到达被审计单位后收集一些必要的技术资料,如计算机系统需求分析报告、数据结构设计报告、用户使用手册等,通过这些资料了解被审计单位计算机系统的功能和结构,为下步采集、分析数据做好准备,同时调查被审计单位计算机应用情况,可事前设计好应用情况调查表,以便对被审计单位计算机应用水平有个全面系统的掌握。
②编写计算机审计方案。在了解被审计单位计算机系统的基础上,根据审计方案的要求,编写计算机审计方案,用于指导计算机小组的工作。
③分析电子数据、建立审计模型、编制审计模块。根据审计人员提出的需求,从被审计单位计算机系统众多的数据表中挑选出审计需要的数据表进行数据转换、清理,并集中力量对转换的数据进行分析,建立审计模型,由计算机专业人员按照审计模型编制审计模块。
④进行审前电子数据使用方法培训。计算机小组在审前调查阶段应完成上述三项工作,在审计组进点前,集中对审计组的成员进行一次电子数据使用方法的培训,以便审计组的其他同志能较快进入角色,掌握数据分析、审计模块使用的方法。
⑤帮助审计人员实现审计设想。随着审计工作的深入,审计人员的思路和设想越来越明晰,计算机小组应按审计人员的要求编写一些小程序,帮助审计人员实现一些审计设想。对前一段工作进行补充和完善。
⑥撰写计算机审计报告、编写审计案例、建立计算机审计工作备忘录。审计工作结束后,计算机小组应将计算机辅助审计工作开展情况,运用计算机审计查出的问题写成审计报告,同时将应用计算机取得的成果编写成计算机审计案例,形成审计专家经验库,将没有实现的审计思路、工作中存在的问题和不足写到备忘录中,以便将来改进。