计算机审计风险范文

时间:2023-03-15 14:55:33

引言:寻求写作上的突破?我们特意为您精选了4篇计算机审计风险范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。

计算机审计风险

篇1

(一)具体审计目标扩展带来的风险。计算机审计,对被审计单位各种财务数据真实性、合法性、正确性的认定,就必然包含对其电子数据的载体(网络、信息系统及数据库)的安全性、可靠性的认定。具体审计目标扩展了,审计内容更加宽泛复杂,计算机信息系统的开放性、易被攻击性及网络活动的无痕型、网络交易的虚拟性,都使得计算机审计面临的不确定因素增多、风险加大。

(二)审计对象增加、范围扩大带来的审计风险。计算机审计增加了现行信息系统的审计和电子数据的审计,已突破传统财务审计的范围。以报表评价为主要目标的财务报表审计,因实时网络的存在,往往同业务审计、经营审计和管理审计密不可分。包罗万象的大审计,使审计风险来源增加。被审计单位网络、信息系统及数据库、应用软件的不稳定性,电子数据的易被改变、被复制和被消除性,以及信息系统目前难以实现直接查阅源程序等,必然带来新的审计风险要素。

(三)掌握计算机审计技能的人员不足带来的风险。计算机审计要求审计人员必须熟悉计算机信息系统运作、数据采集与分析、数据挖掘等技术与方法。能够面对海量的数据,寻找到审计线索突破口:随时根据被审计单位的数据接口特征,选择满足需要的数据采集软件类型,编制各种审计模块:针对采集的数据进行筛选、清理和分析,快速准确地找到并验证各种审计疑点。而现阶段,要使审计人员普遍具有较高的计算机审计能力,还需要一个过程。开展计算机审计,倘若人员没有足够的技能,将无从下手:仓促上机,无疑会带来检查风险的增加。

(四)审计准则缺失带来的审计风险。计算机信息技术环境下,对财政收支、财务收支审计,不能仅以出具的纸质资料为依据,还必须对其生成的信息系统及数据库和财务软件的可靠性、电子数据的准确性等进行鉴证,否则,就会形成假数真审。所以非常需要制定新的审计准则,有针对性对计算机审计工作做出全面系统的补充。而眼下。用现行审计准则中界定的具体审计目标,来指导计算机审计就显得比较狭窄,无法涵盖全部待审内容,包括与被审计单位计算机广泛应用不相协调的内部控制,也就无法用其分析审计风险的确切来源。审计准则的缺失会使审计工作失去权威标准,审计风险自然加大。

二、控制计算机审计风险的对策

(一)掌握被审计单位对计算机信息系统的控制情况,制订完整、详细、合理的审计方案。编制审计实施方案的重要部分就是审计重要性水平的确定和可以接受审计风险的评估。计算机审计尤其要通过检查、查询、观察等方法对被审计单位基本情况和计算机信息系统的运行状况、内部控制进行调查。除了了解常规审计中被审计单位业务性质、组织结构、管理者的内部控制、管理措施、以前年度审计情况等外,重点通过与被审计单位有关业务、计算机及管理人员座谈,交流沟通,索取和分析文档资料,对其计算机信息系统硬件设备、系统软件、应用软件、经营管理工作、战略需求与规划等进行审计调查,了解财务系统、业务系统的安全性,确定计算机信息系统层和电子数据层的重要性水平,分析和初步评价可接受的审计风险、审计执行阶段的风险控制责任的落实,编写能够符合被审计单位实际的、全面的审计方案,并分解好审计工作,使各个审计岗位职责明确。

篇2

系统风险的范围十分广,也是计算机审计最致命的风险。系统风险分为软件环境风险和硬件环境风险。计算机系统是非常复杂的,在文件的记录或操作中由于规范、标准等不统一,进而产生了风险。计算机网络系统是一个开放的系统,其通过互联网及数据库管理系统进行管理,这样就有可能受到外部网络影响,如病毒、黑客的入侵,这些都严重威胁着计算机审计系统的安全。

1.2系统控制风险

系统控制风险是因为审计系统控制不严密造成的。我们知道,传统的审计工作是人与人之间的监督与控制,而在实施电算化以后这种情况就发生了变化,主要表现为人和机器的双重控制,且以对机器的控制为主。审计对象的变化使审计风险发生了转移,审计人员需要对软件开发商在设计软件时嵌入到程序中的内部控制软件方面的内容进行测试,而这些对审计人员而言是一件难度极大的任务。

1.3数据风险

数据风险主要指数据为人为破坏的风险。传统的审计资料是纸质的,人为修改后会留下痕迹,所以篡改的可能性不大。而在运用电算化系统以后,人为篡改数据就不会留下痕迹。特别是系统内的计算公式,被篡改后将导致财务报表的严重失真。由于财务人员并不了解系统如何计算的,所以即便是产生了很大误差也难以发现。对此,审计人员只能靠自己的判断力和经验了。

1.4审计软件风险

审计软件风险是指软件自身的缺陷引起的风险。审计软件没有经过权威部门评审或没有定期升级更新,都会造成软件的不稳定,进而内部的审计核算方法与会计核算不一致的情况。在软件开发中,审计人员不懂软件开发,所以无法将使用需求表达清楚;开发人员不懂审计业务,开发起来同样面临着巨大困难,这两点因素会造成软件在开发之初就存在缺陷,进而影响审计计算、分析。

2、审计风险的规避策略

2.1审前调查,获取充分、准确的信息

在开展审计工作前,应对被审计单位的组织结构进行一系列的详细的调查,对计算机审计系统的软件及硬件有一个大致的了解。针对系统做出详细的评估,如软硬件、技术文档、开况、数据等。据此提出可行的、能满足审计需要的数据采集对象及采集方法。采集的数据必须保证是审计期间的财务数据且都是“结账”后的数据。对纸质凭证等数据进行核对,电子数据应制定责任承诺书,确保提供的电子数据是真实的,数据失真将受到相关责任制度的处罚。

2.2开发和使用计算机审计软件

开发专业的审计软件,通过审计软件来直接房问被审计单位数据,进而完成数据的复核,减少数据索取的繁琐环节,提高工作效率。为给计算机审计打开通道,就必须根据实际需求开发审计软件。尤其是数据采集上,审计软件要有非常的兼容功能,能够访问不同介质、不同编码、不同类型的数据库,进而消除“瓶颈”。在审计软件的应用,要建立完善的应用责任机制,提高审计的威慑力,进而降低审计风险。

2.3加大审计培训力度

大多计算机审计人员是由传统审计转换过来的,审计专业知识较扎实,计算机能力欠缺,所以在计算机审计风险防范上不足。随着计算机技术的广泛应用,审计线索、审计内容、审计技术等都发生了改变,这就对审计人员提出更高的要求。一名高素质的审计人员,不仅要具有扎实的理论知识基础,还要计算机及计算机网络有一定了解,能够熟练操作计算机。因此,加强审计人员应用计算机能力的培训,是当前亟待解决的控制计算机检查风险的首要任务。

2.4加强审计网络的建设工作

网络是计算机审计的前提条件,所以应该有健全的计算机网络。由于我国计算机网络及软件开发较晚,计算机审计的开展存在一定的限制。计算机审计必然要以审计软件为工具,所以必须加快审计软件的研究与开发。有自主研发和委托开发两种模式,其开发中要注重审计软件与会计软件的结合,这样就可以把两个网络联系起来,以便更迅速地获取审计数据,节省工作时间,提高工作效率。

篇3

随着信息技术和网络通信技术应用范围的不断扩展,计算机对审计的影响越来越大。然而,计算机在给审计带来方便、快捷、高效的同时,也带来了新的审计风险。只有做好审计风险的防范,才能使计算机辅助审计工作得以顺利地开展。

一、审计风险的主要研究模型分析

1、传统审计风险模型分析

长期以来,审计职业界一直使用的审计风险模型是:审计风险=固有风险(IR)×控制风险(CIZ)×检查风险(Dlk),并要求根据该模型来计划和执行财务报表审计工作,以最终将审计风险降至可接受的低水平。该模型从理论上解决了注册会计师以制度为基础采用抽样审计的随意性,又解决了审计资源的分配问题,要求注册会计师将审计资源分配到最容易导致财务报表出现重大错报的领域。

从理论上看,该模型不存在明显的不妥,但在长期的实务操作中却面临很大的问题和困难:第一,直接设定固有风险为100%。第二,评估控制风险不认真,有走过场的嫌疑,实务中控制风险(CR)评估为最高时只要求记结论,不记理由,问题很大。第三,原先将“了解被审计单位情况”和“风险评估与内部控制”单独作为两个准则,使了解被审计单位情况没有跟风险评估有机结合,使了解没有明确的目的性,不被重视。第四,原风险模型侧重于指引认定层次的实质性审计测试工作,对财务报表层次重大错报风险的评估和应对重视不够,导致实质性测试没有目的性、方向感和针对性,进而必然会影响对认定层次重大错报的检查效果。第五,没有抓住财务报表审计工作的“关键点”。

2、现代风险导向审计下的新风险模型

由于传统审计风险模型在识别、评估和应对重大错报风险方面存在问题,国际准则以及我国审计相关准则都进行了修订。原审计准则规定:审计风险倡导以客户风险为导向,但实际未落实。新审计准则规定:以财务报表重大错报风险为导向的审计,强调重大错报风险评估和实质性程序并重。也就是说,新风险准则和风险模型以识别、评估和应对重大错报风险为导向、以控制总审计风险至可接受低水平为目标的最新风险导向审计理念。

现代风险导向审计下的新风险模型为:审计风险=重大错报风险(RMM)×检查风险(DR)。其审计风险包括两个层面,一是财务报表层次,二是交易、账户和列报与披露的认定层次。审计实务中,新审计风险模型下的风险评估包括三个阶段:了解客户及其环境包括内部控制,评估报表层的重大错报风险和认定层的重大错报风险;针对报表层重大错报风险,制定“总体应对措施”;针对认定层重大错报风险,展开“进一步审计程序”,具体包括:实施控制测试,再评估认定层的重大错报风险;实施实质性程序,其目的是为了降低认定层的检查风险。应该看到,新审计风险模型与原审计风险模型相比有显著的理论进步,对CPA的要求更高、更严、更细。

二、计算机辅助审计下的审计风险分析

所谓计算机辅助审计风险,就是指审计人员利用计算机辅助审计技术对运用了信息技术的被审计单位进行审计,当被审计单位的财务报表未能公允揭示被审计单位财务状况、经营成果和现金流量情况,审计人员的不恰当审计意见的可能性。本文按照现代风险导向下的新的审计风险模型,就从重大错报风险和检查风险两个方面来尝试进行分析。

1、计算机辅助审计中的重大错报风险分析

现代风险导向模式下的重大错报风险是指被审计单位财务报表审计前存在重大错报的可能性。这种可能性来自于两个层面:一是财务报表整体层次,二是交易、账户和列报与披露的认定层次。这样,我们可以认为计算机辅助审计下的重大错报风险受两方面因素的影响:一方面是信息系统对企业财务报表总体层次的影响,另一方面是信息系统对产生财务报表的认定层次的影响。

信息系统固然能提高企业财务处理的效率,但是它自身的一些特性却会产生新的经营风险或增加管理层舞弊的可能性。其主要原因是:第一,电子数据的“无形”特性使得记录在存储介质上的数据相对于纸质信息更加容易被滥用、篡改、丢失或破坏。这就使得企业的经营过程中风险增大,管理层通过信息系统舞弊的可行^生和可能新更大,使得总体层次的错报风险增加。第二,电子数据的存储集中程度高,数据处理速度快。因为数据高度集中的存储和快速的处理对错误或疏忽造成的损失产生了放大作用,一旦出现问题极易造成巨大的损失。这也会在一定程度上增加经营风险,从而增大了财务报表总体层次的错报风险。第三,信息化系统中软件及硬件自身的所存在的风险也会随着信息技术的运用而成经营风险的一部分,此外信息化的会计核算环境为凭借计算机手段的非法接入提供了可能。所以总体层次和认定层次的经营风险都会因此而有所增加。第四,信息化环境下的权限控制问题。在手工环境下,职责分离授权、批准是最常用的内部控制手段。虽然在信息化环境下仍然可以设置授权、批准功能,但是由于在信息化环境下的业务人员可以同过的盗用授权文件或口令,而是控制失效。增大了经营风险和管理层舞弊风险使得总体层次的重大错报风险增加。第五,信息完整性异常的情况导致的风险。信息完整性异常的表现常见的有以下两种:信息处理数据和业务传递资料的不一致,导致的管理层决策失误;信息修改功能引发的数据缺失。这些都会进一步加大认定层次的重大错报风险。

2、计算机辅助审计中的检查风险分析

通常的检查风险是指审计人员由于采取了不恰当的测试程序,未能发现已存在的重大(实质上)错误的风险。在计算机辅助审计的情况下检查风险的产生主要有以下原因:第一,由审计软件的应用产生的检查风险。信息技术的发展极大地加快了会计软件的更新换代,因而审计软件的更新速度与会计软件的适配程度,审计软件自身的完善程度和运行的稳定状况都会影响到审计计算分析正确性。第二,历史数据查找困难增加的检查风险。由于信息系统使用的软件升级,平台迁移,导致了账套不能够兼容使得查找历史数据的难度增加,从而检查风险增大。第三,审计线索减少导致检查困难,从而引发的检查风险上升。信息化的被审计单位中很多传统环境下的一些传递环节所涉及的审计线索大大减少,或者甚至在经济业务发生后自动消失导致取证的难度加大,并由此产生检查风险。第四,审计信息资源浪费严重,导致的检查风险增加。在现有的审计实务中许多审计信息资料与数据储存在各审计人员的独立的电脑中,审

计信息资料没有有效地与局域网络进行链接,审计信息与数据不能互通或者说交流效率低下,导致检查风险增加。

三、计算机辅助审计风险的防范

1、降低计算机辅助审计中重大错报风险的措施

首先,制定针对重大错报风险的总体层次的错报风险防范措施。要对计算机辅助审计下总体层次的错报风险进行控制就要求审计人员能够与管理层进行积极、有效地沟通,在审计工作开展之前就应该对被审计单位的信息化程度和信息系统深入了解。对被审计单位的信息系统要详细了解是指对其使用的财务软件要熟悉它的版本、业务处理流程等;针对信息系统则要在可能发生舞弊的环节注意管理人员尤其是信息系统的管理人员有没有对信息系统或财务系统施加不良影响,从而便于开展对重大错报风险的评估工作。如果被审计单位信息系统庞大,系统结构复杂,审计人员就应当考虑要先对被审计单位的信息系统做一个专门的IT审计,或者邀请计算机方面的人才以专家身份加入到审计团队中,以确保审计工作开展时计算机辅助审计对象系统的可靠性、稳定信和有效性。对管理层和整个信息系统我们需要关注和防范的就是系统的稳定性和可以信赖程度,以及对管理层在信息系统下舞弊风险的评估。此外,被审计单位信息系统自身的特性会对被审计单位的经营风险产生影响,所以当审计人员在考察被审计单位的信息系统时,同时也应当考虑使用该信息系统对企业的经营风险的影响。

篇4

一、计算机审计风险概述

1、相关概念的定义

计算机审计,在国内外学术界有多种叫法,例如EDP审计、电算化审计、信息系统审计等等。尽管叫法不同,但其含义基本相同。计算机审计是指审计人员把计算机作为审计的对象或工具,对经济信息系统所进行的审查。它包括计算机经济信息系统审计和计算机辅助审计。

计算机审计风险,是指审计人员不能正确合理地运用计算机审计技术,从而导致审计结果与事实不相符,发表不恰当的审计意见而给审计主体带来损失的可能性。

2、计算机审计风险的种类

⑴系统环境风险。系统环境风险是指电算化经济信息系统本身所处的环境引起的风险,分为软件环境风险和硬件环境风险。

⑵系统控制风险。所谓系统控制风险是指电算化经济信息系统的内部控制不严密造成的风险。

⑶财务数据风险。财务数据风险是由于财会人员在对财务数据录入时采用虚假、修改、延迟等手段造成虚假财务数据而产生的风险。这种风险是指电子财务数据被篡改的可能。

⑷审计软件风险。审计软件风险是指计算机审计软件本身缺陷原因造成的风险。

⑸人员操作风险。这种风险是指计算机审计系统的操作人员和开发人员等在工作中由于主观或客观原因造成的风险。

二、计算机审计风险的成因

1、计算机数据处理系统日趋复杂

目前已经通过评审的电算化软件有很多种,这些软件基本上符合财政部颁发的《会计核算标准基本功能规范》,但从基本功能模块的划分到数据库文件的设置,从采用工作平台到使用的计算机开发语言,从单项开发到系统开发,从单纯使用关系型数据结构到应用大型数据库资源等,可以说是千姿百态,各有千秋。正是由于计算机数据处理系统的复杂性,使得文件记录和系统操作都缺乏标准和规范,这就给审计人员的操作增加了难度,对审计结果产生错误的可能性也就大大增加了,因而产生了系统环境风险。另外随着信息技术的高速发展,电算化经济信息系统不再是孤立的和独立的,病毒、黑客的入侵随时可以威胁系统的安全。因此,审计的系统环境风险增大。再由于计算机硬件设备的千差万别,对电算化经济信息系统的运行带来影响增加,审计人员在操作中出现差错的可能性也随之增加,因而也容易产生审计风险。

2、审计方法、方式日趋复杂

经济信息系统电算化后,审计方法和方式有了很大的变化,由于被审计单位采用的应用软件有的是商品化软件,有的是自行研究开发的软件,在功能、程序处理上都有着一定的差别,并且根据审计要素和对象的不同,其要求运用的审计方法和方式也不一样,从而增加了审计人员工作的复杂性,审计人员如果对软件不熟悉或采用了不当的审计方法或方式就容易做出错误的审计结论,必然会带来审计风险。

3、内部控制方法发生了改变

在手工系统中,内部控制的测试是看得见、摸得着的,但在电算化经济信息系统中,内部控制的方法发生了很大的变化,这时传统的手工控制措施已经不能达到其控制目的了。经济信息系统电算化以后内部控制方法的改变主要表现在:一是内部控制措施由手工控制为主转向以计算机控制为主;二是手工条件下的控制措施在电算条件下已经失效,代之以新的手工控制措施,如电算部门与各职能部门之间,电算部门内部各类人员之间的职责分离等控制措施。这些改变使得内部控制环境的复杂性增加,于是让舞弊者有机可乘,从而产生审计的控制风险。

4、传统审计线索逐渐消失

审计线索对审计人员是极为重要的,审计人员正是跟踪审计线索,审核经济业务,收集审计证据,从而完成审计任务的。在手工会计系统中,从原始凭证到记账凭证、账簿以及财务报表的编制,每一步都有文字记录,都有不同的经手人签字,审计线索十分清晰。但在电算化经济信息系统中,经济信息大都存储在磁盘或磁带上,因此,肉眼所见的线索减少了。况且,存储在磁盘上的数据很容易被修改、删除、隐匿、转移,又无明显的痕迹,因此,审计人员发现错误的可能性就减少了,而审计风险就增加了。

5、审计软件存在缺陷

早期,我国会计软件的编制基本上用的是Dbase系列数据库,以后又改进为使用FoxBASE、Visual FoxPro等,随着新的编程工具的出现以及会计软件的进一步成熟和深化,软件有了更多选择,如Microsoft ACCESS、 Informix Sybase等。会计软件在不断升级,而审计软件不能跟上形势,采取的相应升级措施相对滞后,影响了审计效率和质量。审计软件风险还表现在软件的开发过程中,由于计算机人员对审计、会计业务不熟,造成软件自身的不完善,运行不稳定或审计计算、分析的偏差。审计软件存在的缺陷风险已成为影响计算机审计检查风险的重要因素。

6、审计人员计算机知识缺乏

目前,大部分审计人员对于计算机知识普遍缺乏。不懂得计算机的审计人员,会因为审计线索的改变而无法实施审计;会因为不懂得电算系统的特点和风险而不能识别和审查其内部控制;会因为不懂得计算机而无法对电算系统进行审查或利用计算机进行审计。因此,审计人员必须掌握计算机与电算化经济信息系统方面的知识和技能,否则,审计人员做出的审计结论有可能偏离被审计单位电算化经济信息系统的实际,从而造成审计风险。

三、计算机审计风险的防范

1、完善计算机审计准则

目前审计准则有:国际会计师协会于1984年公布的《国际审计准则15――电子数据处理环境下的审计》和《国际审计准则16――计算机辅助审计技术》、1996年审计署的《审计机关计算机辅助审计方法》、1999年施行的中国独立审计具体准则第20号《计算机信息系统环境下的审计》等。面对日益发展的计算机审计,需要针对新的形势建立一系列与新情况相适应的审计准则,应加强计算机审计人员考核培训准则、电算化经济信息系统开发审计准则、电算化经济信息系统内部控制审计准则、审计应用软件准则,以此来规范计算机审计业务的发展,将审计风险降低到可以接受的水平。

2、选择恰当的审计方式与方法

审计中,审计人员可以根据被审计单位不同的系统而采取不同的审计方法和技术,从而有效地降低审计风险。例如:当打印文件充分且与被审计单位输入输出联系比较密切,能直接核对时,可采用绕过计算机,用核对、复核、分析等审计技术;当被审计单位采用实时处理,纸质的审计线索较少且输入输出不能直接核对时,则可采用通过计算机审计的方法。其次,选择合理的审计方式。对于电算化经济信息系统审计一般应采用就地审计或突击审计的方式。在进行审计时,可以采用事先不通知操作员或程序员的情况下,把系统中正在运行的数据拷贝出来进行审查,以防操作员把数据篡改、删除等,只有这样,才能保证被审程序和数据的正确、完整性,也才能有效地降低审计风险。

3、加强内部控制制度的审查

内部控制制度是审计的基础,为了确定这个基础是否扎实,即内部控制制度是否健全、有效,审计人员就必须对被审计单位的内部控制制度进行审查。在分析和评价被审计单位电算系统内部控制制度时,应遵循以下步骤:一是调查分析系统可能存在的错误类型和非法行为;二是明确预防或发现错误应有的内部控制;三是分析被审计单位现有的内部控制是否充分;四是分析被审单位现有的内部控制措施是否有效。只有充分审查以保证内部控制制度的完善和有效,才能减少审计中的控制风险。

4、保证财务数据的完整性

为保证财务数据的完整性,审计人员在审计时必须认真检查被审计单位所提供的数据是否真实、是否属审计时间范围内的财务数据。同时,审计人员获得的财务数据,应该是被审计单位财务人员对财务数据作现场备份所得的。审计人员只有从这几方面把握才能较好的保证财务数据的完整性,减少因审计线索的改变所带来的审计风险。

5、努力开发实用高效的审计软件

为了给计算机审计打开通道,就必须不断研究开发审计软件。在数据采集方面,要求这种软件能够容易访问被审计单位不同介质、不同编码、不同数据类型的数据库,从中采集审计所需的原始数据。在数据分析方面,在现有审计软件功能的基础上进一步开发新的分析工具。例如:针对企业审计领域的固定资产折旧审计工具和产品利润情况分析工具等,针对金融审计领域的利率检查工具等。在增加面向特定领域的分析同时,还要增加一些基于特定方法的分析工具,如账户分析、比较分析等。只有开发出实用高效的审计软件,才能解决因审计软件本身的缺陷所带来的审计风险。

6、提高审计人员的计算机素质

目前提高审计人员计算机素质可以采取以下措施:一是大力加强审计人员计算机技能的培训力度。在此基础上进行中级、高级的培训,将培训的内容深化并拓宽。二是将计算机知识和审计知识融会贯通,计算机技能与审计思路的结合,培养既懂计算机又懂会计和审计的复合型知识结构的审计人员。三是要建立各类培训的跟踪反馈机制,分析通过培训后在实际业务中发挥的效用,及时检验培训的效果。四是建立计算机审计的激励机制,对计算机应用中有创新的人员和对利用计算机审查出问题的人员予以奖励。

四、结论

经济信息系统电算化的发展不仅是向审计工作提出新的挑战,同时也为审计人员提供了新的用武之地,为审计带来发展的新机遇。开展计算机审计时,审计人员只有做到全面分析计算机审计风险的形成原因并认真落实其防范措施才能够提高审计的工作效率和质量,促使电算化经济信息系统向更高目标迈进。因此,从事审计工作的人员除了要有审计专业知识,还要具备和熟练掌握过硬的计算机知识及丰富的实践经验,才能开创审计工作的新局面。

【参考文献】

[1] 肖文八:审计学原理,第1版,北京,中国审计出版社,1996年。

[2] 陈婉玲:计算机审计,第1版,广州,广东人民出版社,2002年。

友情链接