近幾年,有條件的地方已經不侷限於計算機輔助審計,開始了計算機審計。計算機審計是依託計算機系統對被審計單位運用計算機管理財政收支、財務收支及其相關經濟業務活動的信息系統以及其存儲、處理電子數據的審計。審計工作依靠計算機信息系統可以實現實時審計,使單一的事後審計轉變爲事後審計與事中審計相結合、單一的靜態審計轉變爲靜態審計與動態審計相結合、單一的現場審計轉變爲現場審計與遠程審計相結合;可以實現詳細審計、全面審計,拓寬審計視野,提高審計效率。然而,審計活動屬於高風險職業領域。這種高風險既來自於社會對審計工作質量愈來愈高的厚望和要求,也來自於日益複雜的審計工作環境。計算機信息系統如同雙刃劍,在給審計工作帶來正面影響的同時,也帶來了風險。
一、計算機審計存在的風險
(一)具體審計目標擴展帶來的風險。計算機審計,對被審計單位各種財務數據真實性、合法性、正確性的認定,就必然包含對其電子數據的載體(網絡、信息系統及數據庫)的安全性、可靠性的認定。具體審計目標擴展了,審計內容更加寬泛複雜,計算機信息系統的開放性、易被攻擊性及網絡活動的無痕型、網絡交易的虛擬性,都使得計算機審計面臨的.不確定因素增多、風險加大。
(二)審計對象增加、範圍擴大帶來的審計風險。計算機審計增加了現行信息系統的審計和電子數據的審計,已突破傳統財務審計的範圍。以報表評價爲主要目標的財務報表審計,因實時網絡的存在,往往同業務審計、經營審計和管理審計密不可分。包羅萬象的大審計,使審計風險來源增加。被審計單位網絡、信息系統及數據庫、應用軟件的不穩定性,電子數據的易被改變、被複制和被消除性,以及信息系統目前難以實現直接查閱源程序等,必然帶來新的審計風險要素。
(三)掌握計算機審計技能的人員不足帶來的風險。計算機審計要求審計人員必須熟悉計算機信息系統運作、數據採集與分析、數據挖掘等技術與方法。能夠面對海量的數據,尋找到審計線索突破口:隨時根據被審計單位的數據接口特徵,選擇滿足需要的數據採集軟件類型,編制各種審計模塊:針對採集的數據進行篩選、清理和分析,快速準確地找到並驗證各種審計疑點。而現階段,要使審計人員普遍具有較高的計算機審計能力,還需要一個過程。開展計算機審計,倘若人員沒有足夠的技能,將無從下手:倉促上機,無疑會帶來檢查風險的增加。
(四)審計準則缺失帶來的審計風險。計算機信息技術環境下,對財政收支、財務收支審計,不能僅以出具的紙質資料爲依據,還必須對其生成的信息系統及數據庫和財務軟件的可靠性、電子數據的準確性等進行鑑證,否則,就會形成假數真審。所以非常需要制定新的審計準則,有針對性對計算機審計工作做出全面系統的補充。而眼下。用現行審計準則中界定的具體審計目標,來指導計算機審計就顯得比較狹窄,無法涵蓋全部待審內容,包括與被審計單位計算機廣泛應用不相協調的內部控制,也就無法用其分析審計風險的確切來源。審計準則的缺失會使審計工作失去權威標準,審計風險自然加大。
二、控制計算機審計風險的對策
(一)掌握被審計單位對計算機信息系統的控制情況,制訂完整、詳細、合理的審計方案。編制審計實施方案的重要部分就是審計重要性水平的確定和可以接受審計風險的評估。計算機審計尤其要通過檢查、查詢、觀察等方法對被審計單位基本情況和計算機信息系統的運行狀況、內部控制進行調查。除了瞭解常規審計中被審計單位業務性質、組織結構、管理者的內部控制、管理措施、以前年度審計情況等外,重點通過與被審計單位有關業務、計算機及管理人員座談,交流溝通,索取和分析文檔資料,對其計算機信息系統硬件設備、系統軟件、應用軟件、經營管理工作、戰略需求與規劃等進行審計調查,瞭解財務系統、業務系統的安全性,確定計算機信息系統層和電子數據層的重要性水平,分析和初步評價可接受的審計風險、審計執行階段的風險控制責任的落實,編寫能夠符合被審計單位實際的、全面的審計方案,並分解好審計工作,使各個審計崗位職責明確。
(二)抓住影響財務信息質量的根源,開展計算機信息系統安全性、內部控制符合性測試。審計實施中,要着眼於控制源頭,深入分析系統運行、內部控制,評估控制風險要素規模,確定可接受檢查風險的大小、計算機審計的重點與範圍,符合性測試,需要手工測試與計算機測試相結合。運用詢問調查、實地考察方法,檢查被審計單位軟件文檔、程序流程圖、編碼、運行記錄與結果,軟件系統中存在那些控制、在哪裏控制、如何控制;以信息系統輸入程序流程爲重心,追蹤檢查若干業務處理全過程,驗證系統關鍵控制功能在實際執行程序中是否恰當、有效。測試硬件系統設施、與其相連的外部網絡之間設施是否安全,確保提供的信息不被泄露;計算機機房等外部設施是否能夠保障硬件設備不受損害,足夠支撐會計信息系統有效運轉,以及移動存儲介質是否安全、存放適宜。檢測組織管理制度是否做到不相容職責相分離、實現獲得安全的信息,針對不同系統故障或災難是否各有應急處理措施和軟硬件更新維護制度,能有效避免因技術落後帶來的安全隱患,系統文檔管理是否合理、規範、安全。要運用計算機測試軟件系統,是否能夠提供完整、正確,高效的電子數據,財務信息系統是否有缺陷、實際觀察相關內部控制設計是否合理、運行是否正常。經過符合性測試,若系統安全性好、內控制度健全有效,可以減少實質性審查的範圍和數量;反之,應擴大之。
(三)確立電子數據完整性、準確性目標,全面詳細對電子數據進行實質性測試。審計實施中,要掌握被審計單位計算機系統的分佈和應用,採取直接拷貝和直接讀取的方式,直接從其信息系統數據存儲目錄獲取數據,或利用已經存在專門的數據接口來採集數據,並做到數據採集到位;對所採集的數據進行清理、轉換,生成新的賬簿、報表等各種財務資料、業務資料,嚴防重要數據缺失,按照審計目的加工基礎數據,並從中選擇審計所需要的數據;運用計算機編輯檢驗手段,進行賬證、賬賬、賬實、賬表覈對,校檢並驗證各種財務數據、業務數據是否正確、完整、合理,電子數據與實際業務內容是否一致、與最初的實際輸入系統的數據是否一致、與最終生成對外的報表信息是否一致。應根據相關業務處理邏輯、業務數據的鉤稽關係、法律法規的規定或審計經驗進行具體數據分析,找出薄弱環節,防止程序邏輯錯誤、用錯文件、處理非法數據,保證會計數據處理正確無誤;通過應用軟件對電子數據進行復算、檢查、覈對,對某些重要財務數據,如利潤、成本、資金等進行各種分析判斷,從中發現不正確情況和問題,得出有效性檢驗結果;在覈對電子數據準確性、完整性的同時,對審計過程中發現的問題,分類、歸納、整理,繼續採用其他方法,追蹤到底,對重要問題要重點核實,材料要齊全、證據要充分,直到確認所有查證錯誤和無法查證的可能錯誤合計不超過整體重要性水平,才能將審計風險控制到可接受水平之內。
(四)強化審計複覈,保證計算機審計工作質量和審計風險的最終控制。出具審計報告前,必須進行審計複覈。認真整理、評價審計證據客觀性、相關性、充分性、合法性,重點檢查信息系統、電子數據查證的和未查證的累計重大錯誤總額是否超過各層重要性水平;複覈工作底稿,針對被審計單位重要的業務活動、信息系統及數據與相關法規進行覈對;與被審計單位管理層溝通,比對重大錯誤風險是否超過信息系統層重要性水平,複覈其業務系統、財務系統及數據中反映出的重大問題,評價審計風險整體性水平是否在可以接受水平之下。複覈後。對重要問題未能達成一致,需要對審計結果和審計意見重新調整,甚至追加審計程序,重新收集證據,切實保證計算機審計工作質量。
