澳门永利平台投注

當前位置:首頁 > 公共服務 > 審計信息化

淺談信息化環境下審計面臨的風險及防範對策
2018-05-28
  宜都市审计局   彭艳妮
    

  隨著社會信息化進程的迅速推進,信息系統成爲不少被審單位內部管理與控制的關鍵工具,審計人員面臨的原始資料不再僅僅是手工的憑證、賬簿和報表,而是計算機信息系統本身及其高度集中的大量電子數據。在這種情況下,以審查真實性、合法性和效益性爲目的的國家審計,不可避免地受到審計對象信息化高速發展所帶來的沖擊與挑戰,信息系統的可靠性、安全性已經直接影響著審計工作效率和質量。由于信息系統本身特點所具有的脆弱性,將使審計面臨風險,如何降低風險,怎樣防範風險,已成爲各級審計機關面臨的新課題。

  一、信息化環境對審計的影響

  (一)手工會計系統中嚴格的控制制度在信息化環境下逐漸減弱或消失。憑證要客觀反映經濟業務的實質,如發現錯弊,憑證會成爲追查責任的依據。在信息化環境下,終端操作者把業務直接輸入計算機而沒有留下任何憑證。

  (二)手工會計系統所具有的分工功能逐漸被歸並。在手工會計系統中,不相容崗位職責分離,如記錄總帳和記錄明細帳的職責要分工。在信息系統中,這些分工逐漸被並入電子數據處理系統中。

  (三)信息系統可以自動授權、批准。在手工會計系統中,一項經濟業務都要經過相關的人員簽名(或蓋章),但在信息系統中,直接由電子數據處理功能取得授權、批准。

  (四)信息化環境下數據容易丟失、被盜竊和被篡改。在手工會計系統中,由于各項經濟業務以書面記錄,如果控制適當,不易丟失或被複制,即使舞弊人員篡改帳表單證也會留下痕迹。但在信息系統中,各項經濟業務存儲于磁介質,是肉眼不可見的,而且這些磁介質在受熱、受潮或強電磁場下都會損壞。因此,存儲于磁介質的信息有較大的滅失風險。

  (五)磁介質的信息缺乏證明力。在手工會計系統中,信息被記錄于憑證、賬簿,以紙作爲載體,如果改動會留下痕迹。在信息系統中,主要以磁盤、磁帶等作爲信息載體,如前所述,對磁介質的數據和程序修改可不留痕迹,被複制後的數據很難區分正副本,如果僅依靠磁介質載體,可能造成責任不清、真僞難辨,使審計證據缺乏法律效力。

  (六)數據與責任高度集中。在手工會計系統中,許多資料被分散保存,未經授權人員很難浏覽所有數據。但在信息環境下,大部分經營數據集中于電子數據處理部門,如果缺乏適當的控制,未經授權人員可能通過外部指令、甚至遠程入侵系統,機密數據很可能被非法複制或篡改。數據高度集中的主要風險是責任高度集中。在信息環境下,原始數據一經輸入計算機,就由計算機按程序指令自動處理,主要責任都高度集中于電子數據處理系統。

  (七)差錯反複發生。在手工會計系統中,數據處理由多個人完成,一個部門或人員的差錯大部分可以在下一個環節被發現並改正。在信息系統中,在某個環節發生錯誤很可能在短時間內使得相應的文件、賬簿乃至整個系統的信息失真。如果是應用程序産生錯誤,計算機會反複産生錯誤結果。

  (八)信息系統沒有留下充分的審計線索。在信息化環境下,各類數據文件都存儲在磁介質中,設計者如果沒有考慮審計的需要,在系統中設置跟蹤程序的話,很難留下有價值的審計線索,加大審計難度。

  二、信息化環境下審計面臨的主要風險

  (一)信息化環境下審計的固有風險

  1.存在電子數據被濫用、篡改和丟失的可能性。手工系統中,紙質介質上的信息易于辨認、追溯。而在計算機信息系統環境下,由于存儲介質的改變,信息高度集中于計算機信息系統,信息系統應用程序被惡意篡改,或非法入侵信息系統造成經濟損失的可能性致使審計的固有風險增大。一旦用戶非法透過計算機系統的“防火牆”,數據被不法分子拷貝,甚至可能被進行非法篡改而不留下任何痕迹。計算機病毒、電源故障、操作失誤、程序處理錯誤和網絡傳輸故障也極易破壞和修改電子數據,會造成實際數據與電子賬面數據不相符,增加固有審計風險的可能性。

  2.存在審計線索被減少或消除的可能性。手工環境中,會計處理的每一個步驟都有文字記錄和經手人簽名,審計線索清晰。但在信息系統環境中,從原始數據錄入到報表的自動生成,傳統的審計線索不複存在,利用信息技術也難以實現如簽名、蓋章等這些使審計線索證據化的操作,對審計人員查找審計線索帶來了較大困難。

  3.存在原始數據被錄入錯漏的可能性。計算機信息系統環境下,大量的記賬憑證仍靠人工錄入,機制證賬表表面上的相互平衡,可能掩蓋人工錄入時發生的錯漏。系統的二次開發工作,有可能會削弱之前在計算機信息系統中已經設置好的控制,從而可能産生新的審計風險因素。

  (二)信息化環境下審計的控制風險

  1.存在約束機制失效的可能性。手工系統下通過建立崗位責任中心達到內部控制的目的,在計算機系統下,一是通過劃分操作員的責任範圍,設置權限和密碼實現人員職責分工;二是通過軟件設計劃分若幹子系統或功能模塊設置不同的責任中心。由于在計算機信息系統中許多不相容職責相對集中,可能因爲不恰當的授權而加大舞弊的風險,權限設置的重疊或跨責任中心越權設置,使這一控制措施有可能形同虛設。

  2.存在會計數據異常的可能性。手工系統下,會計數據異常的可能性幾乎不存在;而在計算機系統下,這種可能性難以通過有效的內控制度消除,必須以先進的硬、軟件平台以及會計軟件本身的自我保護,減少出現異常錯誤的機率。就多數會計軟件看,對數據錄入的一致性和正確性控制,會計數據處理的安全性和連續性控制,軟件設計還是比較慎密的。但對集成化程度較高的管理軟件,數據的共享性和一致性還不完善,系統設計時可能沒有考慮到審計工作的需要,沒有留下充分的審計線索,如:修改功能將導致無會計軌迹。計算機信息系統主要以磁盤、磁帶、光盤等磁性存儲介質作爲信息載體,記錄于這些存儲介質上的信息是肉眼不可見的,必須借助于計算機的“翻譯”,才能以人可以理解的形式表現出來,但不同的軟件對同一信息可能被“翻譯”成不同的形式。

  3.存在實時控制失控的可能性。會計軟件對現金和銀行存款的收付業務缺乏實時有效的控制手段。對于單位內部發生的經濟業務,多數軟件是通過人工填制記賬憑證,從各系統入口錄入到電腦,部分軟件雖通過系統實時地錄入,但可能與憑證數據不同步;對于現金和銀行存款收付業務,不僅數據難以實時同步,而且存在雙方數據不一致的可能性。

  (三)信息化環境下審計的檢查風險

  1.存在難以查找曆史資料的可能性。對賬戶或交易的重大實質性測試往往離不開企業的曆史數據,由于軟件版本的升級、平台的遷移等被審計軟件的更新換代,可能導致難以從往年賬套裏讀取曆史數據,迫使審計人員不得不從浩如煙海的文檔中手工收集和整理曆史數據,這不僅降低了審計效率,而且還將帶來更多的檢查風險。

  2.存在難以全面檢查測試的可能性。手工系統下,內部控制的情況看得見、摸得著,都有據可查;而在計算機信息系統環境下,內部控制主要依賴于軟件本身,內部控制融于系統軟件之中使審計人員無法通過傳統方法覺察,這就要求審計人員設計一套正常有效的業務數據和一套例外(如不完整的、無效的、不合理的、不合邏輯的等)的業務數據,以檢查測試應用軟件的控制能力。如果在進行計算機信息系統設計時考慮不周,計算機信息系統可能無法判斷出某類數據是否符合邏輯,對不合理的數據可能也會進行日常處理。並且對錯誤數據的處理還具有重複性和連續性,從而可能導致審計人員誤認爲是正常處理。由于多數審計人員並非電腦專家,要在有限的審計時間裏設計完善的測試數據是不現實的。爲此,我們認爲對系統軟件本身的審計檢查可納入軟件開發或評審之中,審計人員在審計實務中,重點是測試數據的完整性以及操作權限的分配和應用情況。

  3.存在難以控制技術風險的可能性。對網絡交易而言,當在交易環節中人工幹涉變得越來越少時,對控制信息技術是否有效進行的檢查將更具實際意義。信息技術控制包括數據存儲控制和數據處理控制等,如對程序變化的檢查確保以系統程序按管理層的意圖運行;在網絡災難導致數據存儲平台或數據處理平台癱瘓時,災難防禦計劃能使信息處理功能迅速恢複,這些都是任何信息化交易需要加以關注的基本審計風險。隨著網絡交易越來越廣泛,圍繞顧客爲特征的、並基于計算機或因特網的信息處理過程,對審計人員而言,降低這種檢查風險將比任何時候都更具重要意義。

  三、信息化環境下審計風險的防範對策

  (一)加強教育培訓提高審計人員業務素質和道德素養

  審計人員是審計的主體,其素質的高低與審計風險的大小直接相關。因此,提高審計人員的政治、業務素質是防範審計風險的有效途徑。在信息系統審計中,需要大量應用數據庫更新、子查詢、左聯結、函數運用、彙總統計、內聯結、數值轉換等分析技術,這就要求審計人員必須熟練掌握數據庫分析技術。爲了防範審計報告中未能窮盡所有查出問題,無論是二級複核還是三級複核人員,都必須掌握相關分析技術。因此,審計人員應樹立全球的視野,研究當今信息系統審計的總體狀況、發展趨勢,在充分吸收國內外成熟理念和做法的基礎上開展審計實務。在信息系統審計實踐中不斷提煉總結,加強信息系統審計方法體系研究。在審計活動中要始終保持獨立性,規範自身行爲,嚴格履行職責和權力;及時了解國家政策法規,避免對現行政策不理解而做出不適當審計結論,構成審計風險;不斷提高對會計、審計、計算機、信息系統等專業理論水平;定期接受職業培訓和繼續教育,從自身素質的提高上來防範審計風險。

  (二)詳細審查審計對象的固有風險和控制風險

  一是對計算機信息系統的電子資料的真實性、合法性進行評價,防止和揭露信息系統失真的固有風險和控制風險。首先,開展詳盡的審前調查,除了掌握與被審計單位管理的相關的法規及被審計單位內部出台各項管理規定外,重點在了解信息系統的技術文檔和操作手冊,發放信息系統調查表如內控制度調查表、系統前台和數據庫操作員姓名、角色權限調查表、系統數據庫版本結構和數據終端調查表、系統安全備份調查表、系統用戶崗位職責調查表、被審計單位人員名單及人員性質調查表等。對系統模塊框架進行了實際觀察,印證各流程業務之間的銜接,並掌握待分析的業務數據表及所需分析字段的屬性含義、掌握信息系統主要模塊功能。同時要掌握與被審計單位業務管理有關的操作流程和規定。其次,了解主要業務流程。應對各個業務流程模塊的內部邏輯和各個模塊的大致框架、信息交互,尤其是從數據流方面有整體了解。再次,重點關注信息系統內部控制。信息系統的內部控制包括一般控制和應用控制,在進行一般控制的審計時應考慮組織與管理控制,應用系統開發和系統控制、計算機操作控制、系統軟件控制、數據和程序控制。在進行應用控制審計時應考慮輸入控制、計算機處理與數據文件控制、輸出控制。在加強對信息系統內部控制的審計,還應考慮信息系統內部控制的缺乏交易軌迹、同類交易處理的一致性、缺乏職責分工、在特定方面發生錯誤與舞弊行爲的可能性較大、與手工處理存在差異、內部控制依賴于計算機處理等特征。

  二是積極開展信息系統的事前、事中控制。通過事前審計監督,對計算機信息系統建立的內部控制的嚴密完善性、系統的合規合法性以及系統的可審性等進行評價,保證計算機信息系統運行以後數據處理結果的真實性和正確性,防止和減少信息系統固有風險和控制風險的發生。定期對被審系統的內部控制制度進行審查和評價是提高計算機信息系統環境下審計質量的有效措施之一。通過對被審計系統內部控制制度的健全性調查和實際執行情況的符合性測試,找出控制的弱點,提出強化內部控制措施,督促被審計單位完善內部控制系統,也可以防止和減少信息系統固有風險和控制風險的發生。對于可能客觀存在的審計風險,審計人員必須保持職業謹慎,運用專業判斷,對被審計單位的審計風險各要素進行全面的評估,確定可接受的審計風險水平。

  (三)運用科學有效的審計方法減少檢查風險

  目前,審計人員所采用的審計方法尤其是對信息系統審計的方法離有效控制審計風險還有相當的距離,所以審計人員要根據科技發展要求掌握先進的信息系統審計技術與審計方法。《中華人民共和國國家審計准則》(8號令)第九十二條對審計取證方法進行了規範,主要有檢查、觀察、詢問、外部調查、重新計算、重新操作、分析等方法。對信息系統審計而言,運用上述方法主要體現在對系統物理控制審計上,要充分運用觀察、詢問、檢查等審計方法,在對信息系統保障産生數據真實性、完整性、可靠性等應用控制審計上,要靈活運用重新計算、重新操作等審計方法對業務管理模塊進行有效核查,在對系統保障正常運行的穩定性、有效性、安全性等一般控制審計上,要靈活運用詢問、外部調查、分析等審計方法對系統管理模塊進行有效核查,通過綜合運用上述方法來獲取審計證據,所獲得審計證據無論從數量上還是從質量上都顯得更充分,從而達到降低審計風險的目的。

  (四)加強被審計單位的內部控制制度建設

  信息系統運行的重要保障前提是相關內部控制制度的有效執行,只有相關業務操作流程規範、操作結果可核查、相關牽制有效,信息系統業務管理模塊中的差錯才會相對較少,審計風險水平才會可控。審計機關和人員要從如何加強信息系統業務管理、建立和完善內部牽制控制制度等方面提出合理化審計建議,以期保證審計風險可控。

  (五)取得信息系統數據庫管理員的大力支持

  對信息系統審計某種程度上是對信息系統數據庫管理員工作的檢查,特別是對系統用戶授權管理的審計,更是直接對管理員工作的複查,審計人員要解釋對授權管理的檢查的最終目的是爲了檢查有無因用戶授權不當問題,該問題是否給系統管理的資金形成重大損失。審計人員必須取得被審計單位數據管理員的支持,求得其對審計的理解。

  (六)健全各項法律制度完善審計准則

  法律法規、審計准則是審計人員判斷是非的標准和適度。法律的健全程度直接影響審計風險的大小。信息系統審計有別于傳統審計業務,它的特殊性和進行審計所需的專門技術要求制定出信息系統審計准則。相關部門應盡早出台適合我國國家審計的信息系統審計准則,以解決當前信息系統審計目標不明,內容不清的現狀。

主办单位:澳门永利平台投注 办公地址:荆门市掇刀区龙井大道86号 網站地圖

备案号:鄂ICP备05016447号-1 鄂公网安备 42080202000103号 网站标识码:4208000039

电话:0724-6075331 传真:0724-6075349 邮编:448000 邮箱:jmsjj330@163.com