信息環(huán)境下的審計風險

【摘要】：20世紀90年代后期至今，會計電算化已逐步走向成熟，而企業(yè)的信息化建設并沒有就此止步，企業(yè)信息系統(tǒng)的高度集成逐漸開始興起。這時的企業(yè)信息系統(tǒng)不僅僅是一個孤立的系統(tǒng)，而是集財務、人事、供銷、生產(chǎn)為一體的綜合性的信息系統(tǒng)，財務信息只是這個系統(tǒng)所處理信息的一部分，單獨的財務系統(tǒng)已不存在。在這種情況下，審計人員只有對整個系統(tǒng)進行全面了解，才能把握審計對象的總體情況，避免審計風險，將審計成果最大化。隨著計算機技術(shù)、信息技術(shù)和網(wǎng)絡技術(shù)的廣泛應用與普及，企業(yè)的經(jīng)營、管理和核算模式正在發(fā)生較大的變化，企業(yè)會計信息系統(tǒng)和經(jīng)營管理系統(tǒng)的構(gòu)成要素的變革使審計人員面臨的原始資料不再僅僅是手工的憑證、賬簿和報表，而是計算機信息系統(tǒng)本身及其高度集中的大量電子數(shù)據(jù)。

【關(guān)鍵詞】： 會計；審計；信息技術(shù)；風險

一、信息系統(tǒng)環(huán)境下的風險評估

信息系統(tǒng)不是單純的機器，不能用單一的眼光來看待信息系統(tǒng)，而是人機相互配合、相互協(xié)作的系統(tǒng)，就必須把信息系統(tǒng)放到整個企業(yè)中，將其視為一個相互協(xié)調(diào)、相互配合、相互進化的生態(tài)環(huán)境。對于任何一個經(jīng)濟組織，建設信息系統(tǒng)的目的就是要有助于增強應用對象的競爭力。信息系統(tǒng)的核心內(nèi)容就是對信息的利用，這種利用不僅包括信息采集、傳輸、存儲、顯示、利用，還包括對信息置信度的評價、信息的綜合、信息的壓縮、信息的饋入等內(nèi)容。

一般來說，在計算機網(wǎng)絡信息系統(tǒng)覆蓋了一個企業(yè)的營銷、計劃、生產(chǎn)、采購、倉儲、財務、人力資源等企業(yè)運營管理的各個層面，如果對每個流程和控制點都進行評估，在資源的利用上是非常不經(jīng)濟的，我們可以通過以下方式來降低審計風險：對于建立了長期業(yè)務關(guān)系的被審計單位，可以通過要求其加強內(nèi)外部安全機制、完善軟件功能、改進數(shù)據(jù)錄入技術(shù)；可以通過要求其統(tǒng)一文件存貯的格式，降低歷史文件難以打開閱讀的可能性。

計算機網(wǎng)絡信息系統(tǒng)的控制評估必須基于風險管理的原則，通過風險評估尋找對主要業(yè)務運作中影響最大的領(lǐng)域。我們可以從企業(yè)整個業(yè)務風險域中尋找對與財務報表有關(guān)的風險的業(yè)務流程，從而進一步確定系統(tǒng)模塊對業(yè)務流程的支持，在實際工作中，一般是通過對業(yè)務流程所使用系統(tǒng)模塊的頻繁程度來確定評估范圍。

在進行調(diào)研和風險評估中，如果發(fā)現(xiàn)計算機網(wǎng)絡信息系統(tǒng)中涉及到企業(yè)收入業(yè)務、支出業(yè)務和庫存業(yè)務的系統(tǒng)控制流程對企業(yè)的業(yè)務能否順利運轉(zhuǎn)影響比較大。由于業(yè)務控制的削弱，這種影響導致企業(yè)出現(xiàn)違規(guī)問題的可能性增加。例如，企業(yè)管理層非常關(guān)注財務控制內(nèi)部和外部流程，因為這些流程決定了財務數(shù)據(jù)的準確性，是反映企業(yè)運作是否健康的“脈搏”。因此，在審計中通常就要更關(guān)注收入業(yè)務，它包括主數(shù)據(jù)維護、銷售訂單處理、發(fā)運、開票、退貨和收款等控制內(nèi)容

二、信息系統(tǒng)審計范圍

信息系統(tǒng)審計范圍包括與信息系統(tǒng)有關(guān)的所有領(lǐng)域，例如對組織的信息系統(tǒng)審計（主要集中在對信息技術(shù)的管理控制）、技術(shù)方面的信息系統(tǒng)審計（包括架構(gòu)、數(shù)據(jù)中心、數(shù)據(jù)通信等）、應用的信息系統(tǒng)審計（包括經(jīng)營、財務）、開發(fā)實施信息系統(tǒng)審計（包括需求識別、設計、開發(fā)以及實施后階段）和信息系統(tǒng)是否符合國家或國際標準的審計等。

三、信息系統(tǒng)審計檢查風險的特征

1、存在難以查找歷史資料的可能性。對賬戶或交易的重大實質(zhì)性測試往往離不開企業(yè)的歷史數(shù)據(jù)，由于軟件版本的升級、平臺的遷移等被審計軟件的更新?lián)Q代，可能導致難以從往年賬套里讀取歷史數(shù)據(jù)，迫使審計人員不得不從浩如煙海的文檔中手工收集和整理歷史數(shù)據(jù)，這不僅降低了審計效率，而且還將帶來更多的檢查風險。

2、存在難以全面檢查測試的可能性。手工系統(tǒng)下，內(nèi)部控制的情況看得見、摸得著，都有據(jù)可查；而在計算機信息系統(tǒng)環(huán)境下，內(nèi)部控制主要依賴于軟件本身，內(nèi)部控制融于系統(tǒng)軟件之中使審計人員無法通過傳統(tǒng)方法覺察，這就要求審計人員設計測試數(shù)據(jù)來測試軟件的控制能力。如果在進行計算機信息系統(tǒng)設計時考慮不周，計算機信息系統(tǒng)可能無法判斷出某類數(shù)據(jù)是否符合邏輯，對不合理的數(shù)據(jù)可能也會進行日常處理。并且對錯誤數(shù)據(jù)的處理還具有重復性和連續(xù)性，從而可能導致審計人員誤認為是正常處理。由于多數(shù)審計人員并非電腦專家，要在有限的審計時間里設計完善的測試數(shù)據(jù)是不現(xiàn)實的。

3、存在難以取得全面資料風險的可能性。在機信息系統(tǒng)環(huán)境下，審計人員進行審計的依據(jù)是信息系統(tǒng)的輸出信息，審計對象在此受到計算機操作人員的限制。后者完全可以只提供他們愿意被審計的信息，其他敏感性信息則極有可能被人為掩藏。這樣，審計人員處于被動地位，難以獲取充足的審計證據(jù)支持其審計結(jié)論，加大了信息系統(tǒng)審計的檢查風險。

4、存在難以控制技術(shù)風險的可能性。對網(wǎng)絡交易而言，當在交易環(huán)節(jié)中人工干涉變得越來越少時，對控制信息技術(shù)是否有效進行的檢查將更具實際意義。信息技術(shù)控制包括數(shù)據(jù)存儲控制和數(shù)據(jù)處理控制等，如對程序變化的檢查確保以系統(tǒng)程序按管理層的意圖運行；在網(wǎng)絡災難導致數(shù)據(jù)存儲平臺或數(shù)據(jù)處理平臺癱瘓時，災難防御計劃能使信息處理功能迅速恢復，這些都是任何信息化交易需要加以關(guān)注的基本審計風險。隨著網(wǎng)絡交易越來越廣泛，圍繞顧客為特征的、并基于計算機或因特網(wǎng)的信息處理過程，對審計人員而言，降低這種檢查風險將比任何時候都更具重要意義。

三、信息系統(tǒng)審計風險的控制措施

在信息系統(tǒng)審計風險的三個要素中，固有風險和控制風險與被審計單位內(nèi)部控制是否存在、是否有效有關(guān)，審計人員對此無法控制，審計人員所能控制的只有檢查風險。審計人員可以通過研究和評價信息系統(tǒng)內(nèi)部控制，對信息系統(tǒng)固有風險和控制風險的高低做出評價，在此基礎上便可確定實質(zhì)性審計的內(nèi)容范圍，以便將檢查風險以及總體信息系統(tǒng)審計風險降低至可接受的水平。具體的控制措施如下：

（一）提高審計主體的素質(zhì)。

審計主體廣義上就是具體審計組織。作為承載著促進國家計劃的實現(xiàn)，合理利用資源，保護社會主義財產(chǎn)，維護財經(jīng)法紀，提高經(jīng)濟效益在極其重要的作用的審計機關(guān)，審計人員知識結(jié)構(gòu)、道德修養(yǎng)的組成決定了其水平的高低。因此審計機關(guān)應該注重審計人員知識結(jié)構(gòu)的合理搭配，改善人員知識結(jié)構(gòu)，同時加強政治思想教育，提高審計機關(guān)整體水平。

從審計工作的具體實施來看，審計人員是審計的主體，其素質(zhì)的高低與審計風險的大小直接相關(guān)。因此，提高審計人員的政治、業(yè)務素質(zhì)是防范審計風險的有效途徑。審計人員應樹立全球的視野，研究當今信息系統(tǒng)審計的總體狀況、發(fā)展趨勢，在充分吸收國內(nèi)外成熟理念和做法的基礎上開展審計實務。在信息系統(tǒng)審計實踐中不斷提煉總結(jié)，加強信息系統(tǒng)審計方法體系研究。在審計活動中要始終保持獨立性，規(guī)范自身行為，嚴格履行職責和權(quán)力；及時了解國家政策法規(guī)，避免對現(xiàn)行政策不理解而做出不適當審計結(jié)論，構(gòu)成審計風險；不斷提高對會計、審計、計算機、信息系統(tǒng)等專業(yè)理論水平；定期接受職業(yè)培訓和繼續(xù)教育，從自身素質(zhì)的提高上來防范審計風險。

參考文獻：

[1]張金城計算機信息系統(tǒng)控制與審計[M].北京：北京大學出版社，2002.

[2]《國務院辦公廳關(guān)利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》（國辦發(fā)「2001」88號）.

作者簡介：潘婷（1995—），女，漢族，浙江湖州人，學生，本科，單位：浙江師范大學行知學院商學分院，專業(yè)：會計學。