计算机审计中的风险点与防范策略,本文主要内容关键词为:策略论文,风险论文,计算机论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
计算机审计风险是指审计人员在对被审计单位信息系统及其数据进行审计后作出的审计结论与被审计事项实际情况相背离的可能性,也可以理解为审计人员不能正确合理地运用计算机审计技术,从而导致审计结果与事实不相符,发表不恰当的审计意见。比如审计人员的计算机水平较低、计算机审计过程中的操作不规范、选用的审计方法与技术不恰当以及信息系统本身存在未知缺陷等都可能导致产生的审计结论不可靠。
为了有效规避计算机审计风险,在计算机审计流程各步骤中,必须设置相关的质量控制点,进行风险点防范,才能有效发挥计算机审计的作用,提高审计质量。
一、审前调查中的风险防范
(一)审计组人员组成
信息化环境下的审计项目,要求具有复合型知识的审计人员,即审计人员不仅要精通会计、审计,还要具备较多的计算机方面的知识与技能,审计人员如果不能熟练掌握必要的会计电算化知识、数据库知识、网络知识等,计算机审计过程中就不能根据电子数据迅速、准确地判断是非;如果对数据分析技术掌握不到位,就不能运用合适的计算机技术来揭露隐藏在数据中的问题和线索,导致审计结果与事实不相符,从而产生审计风险。
为此,新审计准则第二十三条明确规定“审计机关应当合理配备审计人员,组成审计组,确保其在整体上具备与审计项目相适应的职业胜任能力。”并且要求“被审计单位的信息技术对实现审计目标有重大影响的,审计组的整体胜任能力应当包括信息技术方面的胜任能力。”
(二)被审计单位信息化基本情况调查
进行计算机审计,首先要取得被审计单位的支持与配合,才能有效降低审计风险。如果对方的相关技术人员不予配合,对系统的程序或数据文件加密、隐匿,或故意删除某些中间文件等,那么审计人员将很难进行后续审查。
其次,应对信息系统进行充分的审前调查,以有利于后续审计工作的顺利开展。审计组应当收集、学习相关政策法规资料。审计组应该在审前调查中发放调查表和调查问卷等收集涉及信息系统基本运行情况的资料。通过开展座谈与讨论等多种方式,深入了解被审计单位内控制度的完善程度,了解审计对象信息系统的硬件与存储的配置状况,了解数据分布及备份策略等。审计组应根据调查情况及对业务的理解,确定审计目标和重点,编制计算机审计实施方案。
(三)审计数据获取
根据审前调查获取的资料,审计组应该确定与审计需求相关的数据采集的合理范围和最佳方式,确保选择出的数据能保证审计方案规定的各项内容。审计组应向被审计单位提出书面的数据需求说明书,指明采集的系统名称、数据库及表的名称、数据传输格式、所需数据的时间段、数据交接方式与交接时间、双方对数据的责任等内容。
采集数据一般采用间接采集方式,由被审计单位按照审计数据需求说明书的要求直接提供数据文件给审计组。审计人员一般不直接操作对方的生产系统,而是在审计人员监督下,由对方技术人员完成实际采集工作,以规避风险。在某些特殊情况下,对方软件为成熟的商业化软件,而对方又没有技术人员可以实施数据采集,则审计技术人员应在有关领导批准后再亲自进行数据采集,并在对方有关人员在场的情况下选择合适时间段,获取备份数据。
数据备份后,如何复制到审计组的移动设备上也是审计人员应重视的问题。移动存储设备一般通过USB接口进行数据传输,风险之一是陌生的移动设备在第一次连接到服务器时,可能需要安装驱动程序并重新启动,而服务器的重启不仅影响被审计单位的日常工作,而且存在硬件瘫痪的风险;风险之二是移动存储设备或服务器上如有病毒,直接连接可能导致相互感染。因此,一般是通过网络共享方式,在另外一台客户机上把数据传输到移动设备上带回。
数据交接时,被审计单位应同时提供对数据真实性和完整性的承诺,并清晰地划分会计责任和审计责任。审计组还应要求被审计单位将交接的数据进行备份,以便在对审计组数据分析结果产生疑义时进行核对。
二、审计实施过程中的风险防范
(一)数据真实性、完整性和准确性验证
首先要检查数据中是否存在不规范的地方。如是否有字段内容缺失,各数据表(或字段)之间是否有不一致或矛盾的地方,同时检查各表字段类型的合规性。
其次,如果是财务数据,审计人员要对审计年度的凭证借贷方发生总额进行计算并求得各科目的年度余额表,与纸质数进行核对,及时发现不正确的数据;同时还要核对科目表与余额表、凭证表中科目代码的一致性。如果是业务数据,则要检查记录总数和记录中的日期是否有缺失,在了解被审计单位主要业务的基础上检查是否缺少某些数据表,整个业务流是否有断点。
(二)电子数据分析
被审计单位存在的问题能不能被发现,发现的问题是不是真实存在,很多时候都有赖于审计人员在数据分析中予以发现或证实。因此,电子数据分析对于控制审计中的检查风险至关重要。
审计分析中的数据分析技术和方法直接影响到审计结果的正确性、可靠性。所运用的审计方法必须在技术上是可行的、合理的,只有这样,才能顺利开展工作,保证审计结果的正确性。审计人员可以利用数据仓库技术,抽象数据模型,确定审计重点和内容,也可以利用数理统计技术,抽取样本进行分析。
在有些情况下,审计人员只对采集到的被审计单位数据进行分析并不能得到想要的结果,而通过对不同来源的数据进行交叉分析印证,或对多年、多来源的数据进行多维分析,可以迅速发现审计线索。比如,在分析低保数据时,审计组可以结合车管所的私家车数据,迅速判断当前领取低保的人员是否符合政策规定的条件。
(三)内控制度与信息系统检查
内控制度检查。信息化环境下内部控制上的弱点没被发现,将会在很大程度上影响审计结果,增加审计风险。审计人员可以从控制环境、风险评估、控制活动、信息与沟通以及对控制的监督等多个方面调查了解被审计单位相关内部控制及其执行情况。
被审计单位的信息系统检查。在审计过程中,审计人员认为存在下列情形之一的,应当检查相关信息系统的有效性、安全性:一是仅审计电子数据不足以为发现重要问题提供适当、充分的审计证据;二是电子数据中频繁出现某类差异。审计人员在检查被审计单位相关信息系统的一般控制与应用控制时,应当避免对被审计单位相关信息系统及其电子数据造成不良影响,减少人为风险。
(四)审计取证
在信息化环境下,审计证据的存在形式、内容、获取的方式等与传统纸质证据有区别。一方面,各种软件(包括会计软件)的更新换代,增加了数据提取的难度。另一方面,软件公司一般不会和盘托出其软件设计过程、程序文件和数据结构,相反,他们为了维护公司利益,保守其技术秘密和商业秘密,只会采用愈来愈严格的防范与保密措施,这更增大了审计取证的困难。
审计人员在取证时,除了传统取证方式外,还可以采取检查、观察、询问、外部调查、重新计算、重新操作、分析等方法向有关单位和个人获取审计证据。还可以根据情况采取如数据分析结果存盘、数码拍摄照片、屏幕拷贝图片等多种电子取证方式。
(五)证据判断与处理处罚意见
错误的判断将导致错误的结论,而证据的准确判断可以迅速锁定重要问题。如财务和非财务数据在分析比对中反映出异常变化,审计人员可以判断可能存在重大违法行为。
计算机审计项目中,审计组对审计发现的问题提出处理处罚意见时,除了应当关注法律法规的条款外,还可以选择“国家和行业的技术标准”作为有关判断的依据。涉及信息系统时,如果发现信息系统存在重大漏洞或者不符合国家规定的,应当责成被审计单位在规定期限内整改。
(六)电子资料的安全保管
审计人员获取的被审计单位的数据经常涉及相关工作秘密或商业秘密等,因此审计组负有保管和保密义务。
一方面,由于信息化环境下,他人只要能访问电脑,就可以用不留明显痕迹的方式对文件进行复制。因此审计组应对相关计算机及移动存储设备采取必要的安全防范措施,落实专人保管,非相关人员不允许接触。如果有服务器放置在被审计单位,则必须设置高强度密码(尤其Administrator账户)以确保安全,而设置密码的便携式电脑应随身携带。另一方面,从被审计单位采集的各类电子数据及技术资料,在审计过程中形成的数据、文件,未经批准,不得向外泄露或向其他人提供。电子资料管理不善,可能给审计人员和被审计单位带来不可弥补的损失,甚至将审计人员自身推上被告席。同时,要注意电子资料(证据、底稿等)的备份,以防由于软硬件故障导致资料丢失而使得前面的工作毁于一旦。
审计结束,各种数据文档等,属归档范围的应及时整理归档(可以刻盘存储),不属归档范围的应定期销毁,切实消除各种不安全隐患。
标签:审计软件论文; 审计质量论文; 会计与审计论文; 相关性分析论文; 审计方法论文; 审计目标论文; 审计准则论文; 审计流程论文; 审计职业论文;