信息系統環境下審計風險的特徵及評估

審計風險會隨着計算機的使用程度而不斷變化，應屆畢業生小編和大家分享一篇關於審計風險的論文，歡迎大家閲讀學習。

摘要：現代企業的業務運作更加依賴於計算機網絡信息系統，但由於信息系統本身特點所具有的脆弱性，將使審計遇到風險。審計風險因客户的會計系統和內部控制使用計算機而呈現出新的特徵。

關鍵詞：信息系統;審計風險;風險特徵;風險評估

國際會計師聯合會(IFAC)的國際審計與保證準則委員會(IAASB)為提高審計質量，於2003年10月發佈了新準則，對審計風險模型作出重大改動。其中ISA200準則把審計風險模型改為：審計風險=重大錯報風險×檢查風險。審計風險模型的變化從某種意義上減少了審計的責任，縮小了審計風險的範疇，本文對審計風險的理解並不侷限於社會審計，也包括內部審計和國家審計，所以在這裏仍採用“審計風險AR=固有風險IR×控制風險CR×檢查風險DR”風險模型進行分析。

一、信息系統環境下審計風險的特徵

(一)信息系統環境下固有風險的特徵

1存在電子數據被濫用、篡改和丟失的可能性。手工系統中，紙質介質上的信息易於辨認、追溯。而在計算機信息系統環境下，由於存儲介質的改變，信息高度集中於計算機信息系統，信息系統應用程序被惡意篡改，或非法入侵信息系統造成經濟損失的可能性致使審計的固有風險增大。一旦用户非法透過計算機系統的“防火牆”，數據被不法分子拷貝，甚至可能被進行非法篡改而不留下任何痕跡。計算機病毒、電源故障、操作失誤、程序處理錯誤和網絡傳輸故障也極易破壞和修改電子數據，會造成實際數據與電子賬面數據不相符，增加固有審計風險的可能性。

2存在審計線索被減少或消除的可能性。手工環境中，會計處理的每一個步驟都有文字記錄和經手人簽名，審計線索清晰。但在信息系統環境中，從原始數據錄入到報表的自動生成，傳統的審計線索不復存在，利用信息技術也難以實現如簽名、蓋章等這些使審計線索證據化的操作，對審計人員查找審計線索帶來了較大困難。

3存在原始數據被錄入錯漏的可能性。計算機信息系統環境下，大量的記賬憑證仍靠人工錄入，機制證賬表表面上的相互平衡，可能掩蓋人工錄入時發生的錯漏。系統的二次開發工作，有可能會削弱之前在計算機信息系統中已經設置好的控制，從而可能產生新的審計風險因素。

(二)信息系統環境下控制風險的特徵

1存在約束機制失效的可能性。手工系統下通過建立崗位責任中心達到內部控制的目的，在計算機系統下，一是通過劃分操作員的責任範圍，設置權限和密碼實現人員職責分工;二是通過軟件設計劃分若干子系統或功能模塊設置不同的責任中心。由於在計算機信息系統中許多不相容職責相對集中，可能因為不恰當的授權而加大舞弊的風險，權限設置的重疊或跨責任中心越權設置，使這一控制措施有可能形同虛設。

2存在會計數據異常的可能性。手工系統下，會計數據異常的可能性幾乎不存在;而在計算機系統下，這種可能性難以通過有效的內控制度消除，必須以先進的硬、軟件平台以及會計軟件本身的自我保護，減少出現異常錯誤的機率。就多數會計軟件看，對數據錄入的一致性和正確性控制，會計數據處理的安全性和連續性控制，軟件設計還是比較慎密的。但對集成化程度較高的企業級管理軟件，數據的共享性和一致性還不完善，系統設計時可能沒有考慮到審計工作的需要，沒有留下充分的審計線索，如：修改功能將導致無會計軌跡。計算機信息系統主要以磁盤、磁帶、光盤等磁性存儲介質作為信息載體，記錄於這些存儲介質上的信息是肉眼不可見的，必須藉助於計算機的“翻譯”，才能以人可以理解的形式表現出來，但不同的軟件對同一信息可能被“翻譯”成不同的形式。

3存在實時控制失控的可能性。會計軟件對現金和銀行存款的收付業務缺乏實時有效的.控制手段。對於企業內部發生的經濟業務，多數軟件是通過人工填制記賬憑證，從各系統錄入到電腦，部分軟件雖通過系統實時地錄入，但可能與憑證數據不同步;對於現金和銀行存款收付業務，不僅數據難以實時同步，而且存在雙方數據不一致的可能性。

(三)信息系統環境下檢查風險的特徵

1存在難以查找歷史資料的可能性。對賬户或交易的重大實質性測試往往離不開企業的歷史數據，由於軟件版本的升級、平台的遷移等被審計軟件的更新換代，可能導致難以從往年賬套裏讀取歷史數據，迫使審計人員不得不從浩如煙海的文檔中手工收集和整理歷史數據，這不僅降低了審計效率，而且還將帶來更多的檢查風險。

2存在難以全面檢查測試的可能性。手工系統下，內部控制的情況看得見、摸得着，都有據可查;而在計算機信息系統環境下，內部控制主要依賴於軟件本身，內部控制融於系統軟件之中使審計人員無法通過傳統方法覺察，這就要求審計人員設計一套正常有效的業務數據和一套例外(如不完整的、無效的、不合理的、不合邏輯的等)的業務數據，以檢查測試應用軟件的控制能力。如果在進行計算機信息系統設計時考慮不周，計算機信息系統可能無法判斷出某類數據是否符合邏輯，對不合理的數據可能也會進行日常處理。並且對錯誤數據的處理還具有重複性和連續性，從而可能導致審計人員誤認為是正常處理。由於多數審計人員並非電腦專家，要在有限的審計時間裏設計完善的測試數據是不現實的。為此，我們認為對系統軟件本身的審計檢查可納入軟件開發或評審之中，審計人員在審計實務中，重點是測試數據的完整性以及操作權限的分配和應用情況。

3存在難以控制技術風險的可能性。對網絡交易而言，當在交易環節中人工干涉變得越來越少時，對控制信息技術是否有效進行的檢查將更具實際意義。信息技術控制包括數據存儲控制和數據處理控制等，如對程序變化的檢查確保以系統程序按管理層的意圖運行;在網絡災難導致數據存儲平台或數據處理平台癱瘓時，災難防禦計劃能使信息處理功能迅速恢復，這些都是任何信息化交易需要加以關注的基本審計風險。隨着網絡交易越來越廣泛，圍繞顧客為特徵的、並基於計算機或因特網的信息處理過程，對審計人員而言，降低這種檢查風險將比任何時候都更具重要意義。

綜上所述，計算機信息系統環境下審計風險有其特有的表現形式，審計人員面臨着新的風險。然而審計環境的變化並不能改變審計責任，審計人員仍應保持應有的執業謹慎，並採取適當的審計程序使風險控制在可接受的水平上。

二、信息系統環境下的審計風險評估

一般來説，在計算機網絡信息系統覆蓋了一個企業的營銷、計劃、生產、採購、倉儲、財務、人力資源等企業運營管理的各個層面，如果對每個流程和控制點都進行評估，在資源的利用上是非常不經濟的，我們可以通過以下方式來降低審計風險：對於建立了長期業務關係的被審計單位，可以通過要求其加強內外部安全機制、完善軟件功能、改進數據錄入技術;可以通過要求其統一文件存貯的格式，降低歷史文件難以打開閲讀的可能性。如，對不同時期版本的會計軟件，採取統一的文件格式存貯，以便於審計師使用輔助審計軟件打開審查;制定會計軟件行業標準，統一數據格式和外部接口。

(一)檢查風險評估

設計一套有針對性的審計檢查程序，一是檢查被審計單位的權限設置，審查操作日誌，發現疑點;二是檢查被審單位的報表取數公式，重新生成一次並與被審計單位提供的比較;三是查閲銷售的原始合同，或利用輔助審計軟件整理彙總，並與會計賬面數據進行核對;四是檢查賬實是否相符，這裏既包括手工環境下的賬實相符，也包括計算機信息系統環境下的各子系統之間的數據相符;五是檢查憑證記錄的真實性、資產及負債的合理性、期末交易的歸屬期、內部管理控制制度的完備性和會計政策的一貫性。

(二)控制風險評估

計算機網絡信息系統的控制評估必須基於風險管理的原則，通過風險評估尋找對主要業務運作中影響最大的領域。我們可以從企業整個業務風險域中尋找對與財務報表有關的風險的業務流程，從而進一步確定系統模塊對業務流程的支持，在實際工作中，一般是通過對業務流程所使用系統模塊的頻繁程度來確定評估範圍。

在進行調研和風險評估中，如果發現計算機網絡信息系統中涉及到企業收入業務、支出業務和庫存業務的系統控制流程對企業的業務能否順利運轉影響比較大。由於業務控制的削弱，這種影響導致企業出現違規問題的可能性增加。例如，企業管理層非常關注財務控制內部和外部流程，因為這些流程決定了財務數據的準確性，是反映企業運作是否健康的“脈搏”。因此，在審計中通常就要更關注收入業務，它包括主數據維護、銷售訂單處理、發運、開票、退貨和收款等控制內容。

對於可能客觀存在的審計風險，審計人員必須保持職業謹慎，運用專業判斷，對被審計單位的審計風險各要素進行全面的評估，確定可接受的審計風險水平。

參考文獻：

[1] Warren，J Donald，Lynnw EdelsonandXeniaLeyParker HandbookofITAuditing[M] Boston：War renGorham&Lamont 1997

[2]張金城計算機信息系統控制與審計[M]北京：北京大學出版社，2002

[3] Casarin，Paul UsingDataMiningTechniquesinAuditing[J] TheISAudit&ControlJournal 1997，(9)