|
刍议信息化环境下内部审计的
风险评估与控制
呼和浩特铁路局审计处 武 婷
审计风险有狭义和广义之分,狭义的审计风险是指被审计事项存在重大的错误、舞弊等,而审计人员没有发现并出具了不恰当的审计意见的可能性。广义的审计风险是指审计主体遭受损失或不利的可能性,不仅包括审计过程中的缺陷导致审计结果与实际不符而产生损失或不利的风险,而且包括被审计单位的经营失败可能导致的审计主体遭受损失或不利的风险。因此从广义上理解审计风险,有助于审计人员更好地对其加以评估和控制。
一、信息化环境下审计风险要素的变化
传统的审计风险要素包括固有风险、控制风险和检查风险。其中固有风险和控制风险分别是评价被审计单位在没有或存在相关内部控制制度的情况下发生错误和舞弊的可能性,并在此基础上对检查风险进行评估与测算。目的是在可接受的风险水平的前提下,对审计对象发表恰当的审计意见。
信息化环境使得审计目标不再是单一的对财务会计资料发表意见而呈目标多元化趋势,既包括常规的财务收支审计、经济责任审计等,又需要对网络信息系统的安全性和可靠性进行鉴证等多重审计目标,多重审计目标对审计工作提出了更高的要求,内部审计面临全新审计工作环境,审计对象复杂、审计手段也发生了改变,这些均说明信息化环境下,审计人员面临的不确定因素更多,审计风险加大了。在面临诸多风险因素的情况下,审计工作应该也只能根据每次审计的特定目标,充分考虑各种风险因素,确定审计工作方式和重点,以期达到合理保证所审事项符合既定标准。当然,对信息化环境下审计风险要素的评估离不开信息技术的发展状况,离不开信息技术对审计环境的影响程度等,现在探讨的风险因素会随着信息技术的变化不断发生变化。
二、信息化环境下审计风险的评估
在面对多元复杂的审计风险要素,内部审计工作应如何评估可接受的风险呢?
(一)固有风险的评估。在信息化环境下,审计人员评估固有风险时,应特别注意影响固有风险中管理人员的品行、素质、能力,尤其是随着电子商务的开展,被审计单位的信息系统管理人员熟悉系统的设计和运行,一旦他们作弊将会给单位及社会造成重大损失。另外,在手工操作系统中,纸质信息易于辨认和追溯,而在信息化系统中,由于存储介质的改变,一旦非法用户透过计算机系统的“防火墙”,极易破坏和修改电子数据,且不留痕迹;计算机病毒、电源故障、操作失误、数据处理错误和网络传输错误等也会造成实际数据和电子账面数据的不相符,从而增加固有风险。
(二)控制风险的评估。信息化环境下,内部控制转变为对人和机两方面的控制,而且以对机的控制为主,内部控制由一般控制和应用控制构成。一般控制也称管理控制,是指对信息系统的组织、开发、应用环境等方面进行的控制,主要包括组织与管理控制、系统开发与维护控制、系统操作控制、系统安全及文档控制等。应用控制是指对计算机信息系统中具体的数据处理功能的控制。应用控制有特殊性,不同的应用系统有不同的控制要求,但应用系统一般都包括数据的输入控制、处理控制和输出控制。一般控制的弱点产生的危害极大,并且会影响应用控制的有效性,这是由一般控制的地位所决定的。例如,系统开发过程中,设计者将不符合会计准则的会计处理方法编入应用程序,这为舞弊者留下了可乘之机;会计部门与用户部门、会计部门内部的职责分工不清,致使操作人员也参与程序的编制与修改,设计人员通过维护程序来修改或者直接通过终端来修改文件中的数据,这些都增加了控制风险评估的难度。另外,新的计算机系统技术的应用,如微机与主机连接系统、分散的数据库系统、终端处理系统及直接提供信息给可见系统的企业管理系统等,增加了信息化环境下系统整体的复杂性和它们所影响的具体应用的复杂性。结果也增加了相应的控制风险。
(三)检查风险的评估。首先,会计软件的更新换代,使得历史数据文件难于提取。对重要账户或交易的实质性测试往往离不开被审计单位的历史数据,由于软件版本的更换、平台的迁移,难以从往年账套里提取这些历史数据,迫使审计人员从大量的文档中收集整理历史数据,这不仅降低了审计效率,而且还会带来更多的检查风险。其次,内部控制的程序化,增加了实质性测试的难度。由于内部控制融于软件之中,这就要求审计人员设计一些正常有效的业务数据和一些例外数据(不完整的、无效的、不合理的、不合逻辑的)来检查测试软件的控制功能。由于多数审计人员不是电脑专家,要在有限的时间里设计面面俱到的测试数据是不现实的,因而增加了检查风险。再次,利用计算机辅助审计对审计人员电子数据处理能力要求较高,不恰当地使用电子数据和不正确的使用方法可能加大检查风险。
二、信息化环境下内部审计风险的控制
(一)提高内审人员的素质和技能。无论信息化在内部控制审计中发展到哪个阶段,计算机辅助审计如何先进,信息系统的审计仍然要靠审计人员来执行。因此,面对新环境、新风险,迫切要求内审人员掌握计算机在审计中的应用技术。
(二)审计覆盖面扩大了。在信息化审计环境下,业务处理过程包括了手工处理、计算机系统处理、人与计算机进行交互处理,单位内部控制的重点变成了对人和机两方面的控制,内部审计工作的对象和范围因此得到了扩展。会计信息系统、其他计算机信息处理系统(企业资源计划ERP中的人力资源管理子系统、销售与分发管理子系统、物料管理子系统、生产计划子系统、质量管理子系统等),甚至包括从互联网下载的所有管理信息都成为审计的对象。
(三)注重对被审计单位的基本情况和内部控制的了解。在了解被审计单位和事项的基本情况时,审计人员应特别注意对被审计单位管理人员尤其是系统管理人员品质的了解,同时还应该考虑信息化环境下内部控制缺乏交易轨迹、同类交易处理的一致性、缺乏职责分工、在特定方面发生错误与舞弊行为的可能性较大、交易授权、执行与手工处理存在差异、内部控制程序化等新特征。
(四)合理设计和实施数据文件的实质性测试。由于风险评估以评估和测度电子数据的重大错误风险为核心,因此,审计人员应注意打印输出的是否为真实的数据文件。同时,审计人员在确定实质性测试的范围时要考虑:一是测试哪些数据文件;二是对需要测试的数据文件应抽取多大的样本量。在审计数据文件实质性测试的时间时,审计人员应关注:一是测试数据文件的保留时间,应在数据文件被清理前进行测试;二是系统的变化时间,应在系统变化前完成审计。
|
