孫晶

[摘要] 隨著整個社會信息化進(jìn)程的不斷加速，審計面對的已不再是單一的手工會計資料，正逐漸被計算機(jī)信息系統(tǒng)本身及其高度集中的大量電子數(shù)據(jù)所取代。信息系統(tǒng)給審計帶來了不可避免的沖擊與挑戰(zhàn)，也使審計面臨著新的風(fēng)險和控制。

[關(guān)鍵詞] 信息系統(tǒng)審計；審計風(fēng)險；風(fēng)險控制

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 22. 010

[中圖分類號]F239[文獻(xiàn)標(biāo)識碼]A[文章編號]1673 - 0194（2012）22- 0018- 02

在信息大爆炸的今天，隨著被審計對象信息化的高速發(fā)展，信息系統(tǒng)越來越多地成為被審計單位內(nèi)部管理與內(nèi)部控制的關(guān)鍵工具，審計人員面對的資料已不再是單一的手工會計憑證、賬簿和報表，而是計算機(jī)信息系統(tǒng)本身及其高度集中的大量電子數(shù)據(jù)。信息系統(tǒng)由于其自身所具有的特點(diǎn)給審計帶來了不可避免的沖擊與挑戰(zhàn)，也使審計面臨著新的風(fēng)險。

1信息系統(tǒng)審計的特點(diǎn)

1.1 審計的環(huán)境不同

信息系統(tǒng)審計是否能夠發(fā)揮有效作用，與前期的審計環(huán)境分析、合理審計需求提出密切相關(guān)。例如：審計某施工單位，需要核實(shí)施工材料的領(lǐng)用情況。如果被審計單位沒有信息系統(tǒng)，也沒有電子數(shù)據(jù)，這種情況下就不具備開展信息系統(tǒng)審計的條件。如果審計小組決定將施工材料領(lǐng)用單逐筆輸入數(shù)據(jù)庫中進(jìn)行數(shù)據(jù)挖掘分析，結(jié)果可想而知，浪費(fèi)時間不說還沒有任何成果。只有從審計實(shí)際情況出發(fā)，實(shí)事求是，客觀分析，信息系統(tǒng)審計才能夠發(fā)揮積極的作用。

1.2 審計的對象不同

信息系統(tǒng)審計拓展了傳統(tǒng)審計的內(nèi)涵，將審計對象從財務(wù)范疇擴(kuò)展到了同經(jīng)營活動有關(guān)的一切信息系統(tǒng)，具有綜合性和復(fù)雜性。

1.3 審計的目標(biāo)不同

信息系統(tǒng)審計沒有改變審計的目標(biāo)，但除了上述目標(biāo)外，還包括信息資產(chǎn)的安全性、數(shù)據(jù)的完整性及系統(tǒng)的可靠性、有效性和效率性。

1.4 審計的方法不同

計算機(jī)信息系統(tǒng)環(huán)境下審計技術(shù)方法與手工環(huán)境下傳統(tǒng)的審計技術(shù)方法相比，相應(yīng)增加了計算機(jī)技術(shù)的內(nèi)容。

2信息系統(tǒng)審計面臨的風(fēng)險

2.1 固有風(fēng)險

計算機(jī)信息系統(tǒng)環(huán)境下，下列環(huán)節(jié)可能導(dǎo)致固有風(fēng)險增高：①數(shù)據(jù)錄入環(huán)節(jié)。計算機(jī)信息系統(tǒng)下，大量的數(shù)據(jù)靠人工錄入，有些人工錄入時發(fā)生的錯錄和漏錄，可能會影響金額的變化而并不影響機(jī)制憑證、賬簿和報表表面上的相互平衡。②數(shù)據(jù)存在環(huán)節(jié)。在計算機(jī)信息系統(tǒng)環(huán)境下，由于存儲介質(zhì)的改變，信息高度集中于計算機(jī)信息系統(tǒng)。一旦用戶非法透過計算機(jī)系統(tǒng)的“防火墻”，數(shù)據(jù)被不法分子拷貝，甚至可能被進(jìn)行非法篡改而不留下任何痕跡。同時，計算機(jī)病毒、電源故障、操作失誤、程序處理錯誤和網(wǎng)絡(luò)傳輸故障也極易破壞和修改電子數(shù)據(jù)，造成賬實(shí)不符，增加固有審計風(fēng)險的可能性。③數(shù)據(jù)傳輸轉(zhuǎn)移環(huán)節(jié)。在信息系統(tǒng)中，有些數(shù)據(jù)需要在兩個財務(wù)信息系統(tǒng)或財務(wù)信息系統(tǒng)與業(yè)務(wù)信息系統(tǒng)之間相互轉(zhuǎn)移，在此過程中可能會出現(xiàn)一些問題，尤其是在需要手工重新錄入時。④介質(zhì)本身缺乏證明力。在信息系統(tǒng)中，主要以磁盤、磁帶等磁介質(zhì)作為信息載體，對數(shù)據(jù)和程序修改可不留痕跡，被復(fù)制后的數(shù)據(jù)很難區(qū)分正副本，如果僅依靠磁介質(zhì)載體，可能造成責(zé)任不清、真?zhèn)坞y辨，使審計證據(jù)缺乏法律效力。

2.2 控制風(fēng)險

計算機(jī)信息系統(tǒng)環(huán)境下，可能導(dǎo)致許多傳統(tǒng)的控制活動已經(jīng)失去意義。

①交易授權(quán)。在計算機(jī)信息系統(tǒng)中，直接由電子數(shù)據(jù)處理功能取得授權(quán)、批準(zhǔn)。②職責(zé)劃分。在計算機(jī)系統(tǒng)下，一是通過劃分操作員的責(zé)任范圍，設(shè)置權(quán)限和密碼實(shí)現(xiàn)人員職責(zé)分工。二是通過軟件設(shè)計劃分若干子系統(tǒng)或功能模塊設(shè)置不同的責(zé)任中心。由于在計算機(jī)信息系統(tǒng)中許多不相容職責(zé)相對集中，可能因?yàn)椴磺‘?dāng)?shù)氖跈?quán)而加大舞弊的風(fēng)險，權(quán)限設(shè)置的重疊或跨責(zé)任中心越權(quán)設(shè)置，使這一控制措施有可能形同虛設(shè)。③憑證與記錄控制。在計算機(jī)信息系統(tǒng)中，終端操作者把業(yè)務(wù)直接輸入計算機(jī)而沒有留下任何憑證。④資產(chǎn)接觸與記錄控制。在信息環(huán)境下，大部分經(jīng)營數(shù)據(jù)集中于電子數(shù)據(jù)處理部門，如果缺乏適當(dāng)?shù)目刂?，未?jīng)授權(quán)人員可能通過外部指令、甚至遠(yuǎn)程入侵系統(tǒng)，機(jī)密數(shù)據(jù)很可能被非法復(fù)制或篡改。⑤獨(dú)立稽核。在信息系統(tǒng)中，在某個環(huán)節(jié)發(fā)生錯誤很可能在短時間內(nèi)使得相應(yīng)的文件、賬簿乃至整個系統(tǒng)的信息失真。如果是應(yīng)用程序產(chǎn)生錯誤，計算機(jī)可能會反復(fù)產(chǎn)生錯誤結(jié)果。

2.3 檢查風(fēng)險

信息系統(tǒng)審計中檢查風(fēng)險主要產(chǎn)生于以下3個方面：①審計線索難以查找。在手工環(huán)境中，會計賬務(wù)處理的每一個步都有文字記錄和相關(guān)人員簽章，審計線索清晰；在信息系統(tǒng)環(huán)境中，從原始數(shù)據(jù)錄入到報表的自動生成，忽略了中間處理過程；利用信息技術(shù)也難以實(shí)現(xiàn)如簽名、蓋章等這些使審計線索證據(jù)化的操作，給審計追蹤帶來了重重困難。同時，由于各類數(shù)據(jù)文件都存儲在磁介質(zhì)中，設(shè)計者如果沒有事先考慮審計的需要，在系統(tǒng)中設(shè)置跟蹤程序的話，也會很難留下有價值的審計線索，加大審計難度。②控制測試難度增加。手工系統(tǒng)下，內(nèi)部控制的情況看得見、摸得著，有據(jù)可查；而在計算機(jī)信息系統(tǒng)環(huán)境下，內(nèi)部控制主要依賴于軟件本身，內(nèi)部控制融于系統(tǒng)軟件之中，一方面，審計人員無法通過傳統(tǒng)審計方法進(jìn)行控制測試，另一方面也要求審計人員掌握較高的計算機(jī)操作水平。③技術(shù)風(fēng)險難以控制。在越來越廣泛的網(wǎng)絡(luò)交易中，隨著人工干涉越來越少時，對控制信息技術(shù)是否有效進(jìn)行的檢查將更具實(shí)際意義，降低這種檢查風(fēng)險將比任何時候都更具重要意義。如在網(wǎng)絡(luò)災(zāi)難導(dǎo)致數(shù)據(jù)存儲平臺或數(shù)據(jù)處理平臺癱瘓時，災(zāi)難防御計劃能使信息處理功能迅速恢復(fù)，這些都是任何信息化交易需要加以關(guān)注的基本審計風(fēng)險。

3信息系統(tǒng)審計風(fēng)險控制

3.1 固有風(fēng)險控制

①開展詳盡的審前調(diào)查。除了掌握與被審計單位管理的相關(guān)的法規(guī)及被審計單位內(nèi)部出臺各項(xiàng)管理規(guī)定外，重點(diǎn)應(yīng)了解信息系統(tǒng)的技術(shù)文檔和操作手冊，發(fā)放信息系統(tǒng)調(diào)查表，對系統(tǒng)模塊框架進(jìn)行實(shí)際觀察，印證各流程業(yè)務(wù)之間的銜接，并掌握待分析的業(yè)務(wù)數(shù)據(jù)表及所需分析字段的屬性含義、掌握信息系統(tǒng)主要模塊功能。同時要掌握與被審計單位業(yè)務(wù)管理有關(guān)的操作流程和規(guī)定。②對計算機(jī)信息系統(tǒng)的電子資料的真實(shí)性、合法性進(jìn)行評價，防止和揭露信息系統(tǒng)失真的固有風(fēng)險。③了解主要業(yè)務(wù)流程。應(yīng)對各個業(yè)務(wù)流程模塊的內(nèi)部邏輯和各個模塊的大致框架、信息交互，尤其是從數(shù)據(jù)流方面有整體了解。

3.2 控制風(fēng)險防范

（1）積極開展計算機(jī)信息系統(tǒng)內(nèi)部控制的事前審計。對其嚴(yán)密完善性，系統(tǒng)的合規(guī)合法性以及系統(tǒng)的可審性等進(jìn)行評價，保證計算機(jī)信息系統(tǒng)運(yùn)行以后數(shù)據(jù)處理結(jié)果的真實(shí)性和正確性，防止和減少其失真風(fēng)險的發(fā)生。

（2）定期對被審計系統(tǒng)的內(nèi)部控制制度進(jìn)行審計。信息系統(tǒng)審計內(nèi)部控制的目的與會計手工系統(tǒng)審計的目標(biāo)是一致的，但是由于計算機(jī)特有的自動處理功能的存在，使得其內(nèi)部控制的要求更為嚴(yán)格，在控制方式、內(nèi)容、手段等方面均不同于傳統(tǒng)審計：①運(yùn)行審查。即對信息系統(tǒng)再輸入、處理、輸出過程中運(yùn)行情況審查。②職權(quán)審查。把重要的任務(wù)功能按用戶或用戶組進(jìn)行分離，以減少無意的誤操作、濫用系統(tǒng)資源和對數(shù)據(jù)的非授權(quán)修改。③人員素質(zhì)審查。即對是否有以提高人員素質(zhì)為目的的控制措施的審查。④修改方式審查。應(yīng)該保證財務(wù)信息系統(tǒng)的所有修改都是經(jīng)過授權(quán)、有文檔記錄、經(jīng)過徹底（獨(dú)立地）測試的，確認(rèn)最后以一種有控制的方式投入使用。⑤運(yùn)行環(huán)境審查。必須建立一套控制措施，檢測病毒，防止病毒感染財務(wù)信息系統(tǒng)。

（3）重視對信息系統(tǒng)事后審計。通過事后審計，對信息系統(tǒng)的電子賬以及打印輸出資料的真實(shí)性、合法性進(jìn)行評價，防止和揭露計算機(jī)信息失真的風(fēng)險。

3.3 檢查風(fēng)險控制

一方面，通過綜合運(yùn)用審計取證方法來獲取更為充分的審計證據(jù)，從而達(dá)到降低審計風(fēng)險的目的。如在對系統(tǒng)物理控制審計時，要充分運(yùn)用觀察、詢問、檢查等審計方法；對信息系統(tǒng)保障產(chǎn)生數(shù)據(jù)真實(shí)性、完整性、可靠性等應(yīng)用控制審計時，要靈活運(yùn)用重新計算、重新操作等審計方法對業(yè)務(wù)管理模塊進(jìn)行有效核查等。另一方面應(yīng)不斷提高審計人員業(yè)務(wù)素質(zhì)和道德素養(yǎng)。這就要求審計人員不僅要有豐富的會計、財務(wù)、審計知識和技能，而且還應(yīng)該掌握計算機(jī)知識和應(yīng)用技術(shù)，掌握數(shù)據(jù)處理和管理技術(shù)，不僅要懂得審計軟件的操作方法，而且也應(yīng)當(dāng)根據(jù)審計過程中出現(xiàn)的種種問題，及時編寫各種測試、審計程序模塊。

主要參考文獻(xiàn)

[1]劉偉.信息化環(huán)境對內(nèi)部審計的影響[J].中國管理信息化，2012（3）：18-19.

[2]黃映芬.信息系統(tǒng)下審計證據(jù)的可靠性探析[J].審計月刊，2010（4）：28-29.

[3]中國注冊會計師協(xié)會.審計[M].北京：經(jīng)濟(jì)科學(xué)出版社，2007.