【摘要】 随着 计算 机在 会计 工作和审计实务中的广泛 应用 ,给审计工作带来的风险不断加大。本文在简要 分析 计算机系统的特征基础上,着重透析了计算机系统的审计风险,并提出防范对策。
【关键词】 计算机系统;审计风险;防范
计算机技术在会计领域的广泛应用和不断 发展 ,打破了原有的手工会计的格局,使传统的手工会计核算手段和账务处理程序发生了巨大的变革,对以凭证、账簿、报表及其他可见的审计线索为主要审计对象的传统审计在审计技术 方法 、审计档案保管以及审计人员知识技能等方面都产生了深刻的 影响 。
一、计算机系统与计算机系统审计风险
计算机系统环境相对于手工会计环境,由于其数据处理的集中程度高、处理速度快、信息储存方式、储存媒介特殊,给审计工作带来了独特的风险。
(一) 计算机系统的特征
1.计算机环境下,信息处理过程中的错误有短时间内重复出现的可能。较之手工会计,会计电算化系统处理的集中化,加之计算机运算的高速性,计算机会计信息系统的输入过程比手工系统多了将人可读的数据转换为机器可读代码形式,使得其处理结果发生错误的可能性大大提高,而一旦发生错误,就往往在短时间内产生连锁反应,使得多种文件、账簿,以至整个系统失真。如果发生错误的原因在于系统受到攻击或系统程序、应用软件出现差错,则计算机就会连续重复执行同一错误操作,而不易被察觉。
2.计算机环境下,内部控制的功能发生改变。计算机环境改变了会计凭证的形式。在电算化会计系统中,会计和财务的业务处理方法和处理程序发生了很大的变化,各类会计凭证和报表的生成方式、会计信息的储存方式和储存媒介也发生了很大的变化。原先反映会计和财务处理过程的各种记账凭证、汇总表等书面形式的资料减少了。由于网上办公、无纸化办公等的推行,每一项业务的有关信息由业务人员直接输入计算机,并自动记录,原来在核算过程中进行的各种必要的核对、审核等工作,有相当一部分变为由计算机自动完成了。原来书面形式的各类会计凭证转变为以文件、记录形式储存在磁性介质上。因此,电算化会计系统的内部控制与手工会计系统的内部控制制度有着很大的不同,控制的重点由对人的控制为主转变为对人、机控制为主,控制的程序也应当与计算机处理程序相一致。
3.计算机环境下,信息的安全性要求更高。手工条件下,可以将重要的数据文件或记录在纸上的重要信息,保存在安全性较高的物理场所,如 企业 的保险柜里,以保证数据的安全。在计算机环境下所有的信息都存储在磁、光或计算机硬盘中,而这些存储介质发生损坏的可能性较之账簿等纸质工具发生损坏的可能性大大增加。
4.计算机环境下,舞弊的防范更难。计算机运行速度快、精度高,但同时使系统丧失了人类所具有的对不合逻辑、不合理的以及例外事项的判断和处理能力,因此,要求在数据处理过程中增加多种检查控制。在计算机环境下,数据被擅自篡改也不易留下线索。
(二)计算机系统的审计风险
1983年美国注册会计师协会发布的第47号《审计准则说明书》 、《审计风险和重要性》中将审计风险模型确定为:审计风险(AR)=固有风险(IR)×控制风险(CR)×检查风险(DR)。这一观点被世界会计师联合会及包括我国在内的世界多数国家的审计职业界所接受。
审计风险会因客户的会计电算化和内部控制的程序化而呈现出新的特征,审计师就应重新规划审计程序,采取相应的对策和辅助审计软件进行审计。
1.计算机系统的固有风险。固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。具体表现为:
一方面,计算机系统的安全性是影响固有风险的根本因素。大部分电算化系统设计成客户服务系统,它有巨大的容量和信息存储量。这些系统一般整体性很强,利用企业资源规划系统保证程序的连续性。如果系统失败,整个公司也很有可能面临破产的命运。如果没有一套包括计算机系统在内的完整的风险管理系统,公司就要承担高风险。主要包含: 计算机系统的物理安全;计算机程序的合理性; 网络 信息通讯的安全性三方面。
另外, 电子 化会计数据的安全性 问题 是影响审计固有风险的关键因素。手工条件下,可以将重要的数据文件或记录在纸上的重要信息保存在安全性较高的物理场所,如企业的保险柜里,或者通过不相容职务的内部牵制保证数据的安全。在计算机环境下所有的信息都存储在磁、光或计算机硬盘中,要确保硬件遭到破坏时信息的安全,防止未经授权的侵入破坏或篡改计算机应用程序。
2.计算机系统的控制风险。控制风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。具体表现为:
首先,访问权控制的不严密有可能导致虚假的会计数据。访问权控制的功能是在数据信息和非法访问者之间建立一道安全屏障。未经授权的访问计算机系统,工作人员的访问密码泄露,越权访问、修改或删除会计数据等情况如果不能被置于访问权控制之下,都会极大地损害会计数据的安全性、真实性。
其次,网络传输和数据存贮故障或软件的不完善,有使会计数据出现异常错误的可能性。相对手工系统,计算机系统下这种风险难以通过有效的内部控制制度消除,必须靠先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的几率。大多数会计软件能对数据录入的一致性和正确性以及会计数据处理的安全性和连续性进行控制,但对于集成化程度较高的企业级管理软件来说,数据的共享性和一致性还不尽人意。
计算机系统下,内部控制包括对人和机器两方面的控制,而且以对机器控制为主。计算机内部控制的框架如图1:
从图1可以看出,计算机系统内部控制由一般控制和应用控制构成。其中,一般控制是指对计算机会计信息系统的组织、开发、应用环境等方面进行的控制,主要包括组织与管理控制、系统开发与维护控制、系统操作控制、系统安全及文档控制等。应用控制,是指对计算机会计信息系统中具体的数据处理功能的控制。应用控制有特殊性,不同的应用系统有不同的控制要求,但应用系统一般都包括会计数据的输入控制、处理控制和输出控制三个方面。一般控制的缺陷产生的危害极大,会影响应用控制的有效性,这是由一般控制的基础地位所决定的。另外,新的计算机信息系统技术的应用,如微机——主机连接系统、分散的数据库系统、终端处理系统及直接提供信息给可见系统的企业管理系统等,增加了计算机信息系统整体复杂性和它们所影响的具体应用的复杂性。
3.计算机系统的检查风险。检查风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报,而未能被实质性测试发现的可能性。检查风险是审计人员唯一可以自主确定和控制的风险。
对账户或交易的重大实质性测试往往离不开企业的 历史 数据,随着会计法规的完善和计算机技术的发展,会计软件在不断的更新,历史数据取得的难度将会加大。由于软件版本的更新、平台的迁移,难以从往年帐套里提取这些历史数据,迫使审计师不得不转向大量的历史文档中收集整理数据。这一方面降低了审计效率,更重要的是带来了更高的检查风险。
另外,由于 目前 大多数审计人员只是会计、审计方面的专家,要求审计人员在有限的时间设计很全面的测试数据是不现实的。再加上审计软件设计中本身的缺陷也会增大检查风险。
二、计算机系统审计风险的防范
(一)准确评价 计算 机系统的固有风险
1.评估计算机设备的物理安全性。对于计算机系统的控制,审计人员应了解系统设置是如何依赖这些硬件控制的;操作系统如何利用这些硬件控制;系统如何报告检查出的错误,以及纠正错误的程序。了解计算机系统环境存在的潜在威胁,如 企业 对水、火灾的防范措施,有没有配备合适的稳压器,不间断电源(UPS)等降低电源波动带来的 影响 ,对所有的访问尤其是非法入侵是否都记录在计算机日志里,管理人员采取了什么措施应对非法入侵,计算机系统是如何防范计算机病毒,有没有具体的应急措施应对意外情况的发生等。
2.评价 电子 数据的安全性。为了保证信息的安全性,一方面要注意计算机硬件的安全,更主要的是要防止未经授权更改或删除电子数据。所以,要做到:信息的访问权只给单位中指定的人;对 会计 数据修改或删除的权力只赋予被授权的人;计算机系统能够辨认访问者的访问权限;单位的信息安全部门应密切监视来自外部的恶意攻击,然后定期以报告的形式向信息安全的负责人报告;电子数据要有备份,备份数据能得到妥善保管。
3.检查信息通讯的安全性。为保证一台计算机与其它的设备,如终端或其他的计算机系统之间信息传输信息的完整性与真实性,被审计单位至少要对传输的信息加密;接收信息的 应用 程序与发送信息的线路分开; 接收到信息后有信息反馈检查,特殊信息要依靠调制解调器解调传输;企业的内部信息通讯系统与国际互联网之间要有防火墙,以防来自互联网上的恶意攻击。
(二)合理评估计算机系统的控制风险
对于控制风险的评估主要应集中于对组织管理控制风险,访问权控制风险,程序开发、数据修改控制风险的合理估计。
1.组织管理控制风险的识别。组织控制的关键在于职责的分工。审计人员应检查被审计单位的组织结构、职权和责任的分配情况,如程序与开发系统、计算机操作、输入数据的控制等职责,在可行的情况下是否予以分离,职工定期轮换工作岗位制度是否完善等。目的在于确定职责分工是否能够提供有力的内部控制。注册会计师应判断组织管理控制的强弱,对由于职责分工不够而产生的风险作出合理评价。
2.电算化系统开发控制。对于首次接受审计的企业,对电算化系统开发控制的审计,审计人员应主要了解系统开发前是否有计划,开发系统是否得到授权,是否有相应的程序加以控制等。
3.计算机设备、信息和程序访问权控制可能的缺陷。审计人员要分两个层次了解访问控制:访问控制的程序整体执行情况及人事和工资管理部门执行内部控制的情况。具体要了解公司是否使用了访问控制软件,其能够提供哪些功能,公司有没有专门负责数据安全的部门,对工资水平修改的程序、员工花名册的变化是否只是由人事部门决定,人员变动是否得到了及时记录等。
(三)努力控制检查风险
检查风险是审计人员唯一可控风险,在这个阶段,审计的任务是在准备阶段初步风险评估的基础上,对内部控制进行测试,评价控制风险,决定可以接受的检查风险。将检查风险控制在可接受范围之内。对于内部控制的测试主要包括对数据输入控制的测试、数据通讯和数据处理控制的测试和数据输出控制的测试。
1.数据输入控制的审计。审计人员在对数据输入控制进行审计时,应注意检查 经济 业务的发生是否有适当的批准文件,以保证数据输入的合规性;同时应注意检查所输入数据的正确性,完整性,数据是否被不正确地添加、复制或修改等情况。主要进行输入有效性测试,包括字符域控制的测试,信息合理性测试,数据范围控制的测试,信息有用性的测试,信息完整性的测试等。
2.数据通讯和数据处理控制的审计。审计人员对输入过程控制进行审计时,应注意检查经济业务数据的来源是否可靠,资料是否完整、准确,有没有可能被篡改过;检查数据的处理 方法 是否正确,处理的步骤、使用的程序、结果的保存是否正确无误,等等。主要进行数据处理的有效性测试,采用的技术方法有综合抽查设备法(ITF),标签与跟踪法或借助审计软件。
3.数据输出控制的审计。审计人员应注意审查输出的计算机处理结果是否准确无误,输出的结果是否被及时、按照规定提供给有关的人员或部门,是否有必要的手续和记录,等等。主要进行控制总数,数据的勾稽关系和输出的合理性检验。
在以上审计程序中,输入有效性测试、处理有效性测试、控制总数,数据的勾稽关系和输出的合理性检验任何一项存在重大缺陷,审计人员要评估控制风险为高风险。
(四)综合运用适当的审计方法
一般来说,审计人员所采用的审计方法主要有:面谈法、问卷调查法、审阅法、流程图法、测试法等。为了有效防范计算机系统的审计风险,结合计算机审计的特点,应用合理的方法或方法的组合,才能取得实效。
1.面谈法。面谈法具有简单方便之优点,在内部控制审计中经常被采用。审计师为了获得一次高效的面谈,应该与被访问者相互配合和信任。在对一般控制审计时,可以通过与被审单位的领导与职工交谈,向电算部门及各业务部门的人员询问了解有关的职责分离的控制是否得到执行。在对系统开发控制和程序修改控制审计时,向有关参与系统开发人员了解有无用户代表和内审人员参加,参加了哪些工作,现有的信息系统能否符合用户的要求等。另外还可以通过面谈了解内部控制的经济性,重大的错误是否得到及时、恰当的纠正,输出的资料是如何处置的,有无健全的检查、保管、分发制度等。
2.问卷调查法。问卷调查法节省时间,调查面广。审计人员可以根据需要调查的情况设计好调查问卷,获取信息,以判断有关的内部控制是否存在、可靠,有无得到执行。在内部控制审计的各个程序都可以使用。使用这种方法要注意问卷调查表中 问题 的性质、提问技巧、度量的尺寸或调查表的布局设计。
3.审阅法。审阅法是指审计人员通过仔细审查和翻阅有关的书面文件或记录,借以查明资料及所反映的记录是否公允、正确、合法、合规,从中发现错弊或疑点。审计人员在一般控制审计时,通过审阅内部审计人员留下的系统开发的工作底稿,了解系统开发的控制。通过审阅系统测试的数据及结果,检查系统在试运行阶段的运行情况,有无被修改,系统在正式投入使用前是否经过了最后批准。通过审阅有关系统访问控制的计算机日志,了解是否只有被授权人才可以访问特定程序或信息,对使用错误密码企图进入系统的情况,系统都作了记录并有专人调查。
4.流程图法。流程图在审计活动中发挥着越来越重要的作用。利用流程图,可以对被审计的信息系统结构有更深刻的理解,从而更有效地 分析 系统的运行过程。在计算机审计中,流程图可能是现成的,审计人员应该确定被审计单位提供的流程图是否正确,防止被审计单位造假。有时被审计单位提供的流程图不够详细或者没有现成的流程图,审计人员应要求被审计单位提供源程序,据此得到流程图,确定源程序中设置了哪些控制措施。对内部控制审计时,使用流程图法可以帮助审计人员分析和设计内部控制。审计人员还可以利用流程图找出系统中的薄弱环节。
5.测试法。测试贯穿于计算机审计的整个过程,是计算机审计的重要方法。是审计人员收集证据的重要技术。测试法是从计算机输入开始,跟踪某项业务直至计算机输出,以检验计算机应用程序、控制程序和系统可靠性的一种方法。在计算机环境下内部控制的审计中,使用测试法检查访问权控制的有效性,使用测试法检查输入有效性控制的执行情况,如对工资处理应用程序中输入数据的数据类型、数据有效性、数据范围、逻辑关系、数据加工的内部控制的测试。
【主要 参考 文献 】 [2] 杨占芳. “计算机信息系统的内部控制”. 中州审计,2004年第8期.
[3]肖忠. “浅谈计算机系统审计的证据收集方法”. 计算机与 现代 化,2004年第8期.
[4] 刘汝焯等. 《计算机审计技术和方法》. 清华大学出版社, 2004.
[5] 叶陈刚,李相志. 《审计 理论 与实务》. 中信出版社. 2005.
[6]丁瑞玲. 计算机处理系统下的内部控制及审计. 广西会计,2002年第7期.
[7] 王奇杰. 浅析计算机审计下审计风险的控制. 财会通讯,2004年第5期.
[8] 张金城. 《计算机信息系统控制与审计》. 北京大学出版社, 2002.
