信息系統(tǒng)環(huán)境下審計(jì)風(fēng)險(xiǎn)的特征及評(píng)估

信息系統(tǒng)環(huán)境下審計(jì)風(fēng)險(xiǎn)的特征及評(píng)估

摘要：現(xiàn)代企業(yè)的業(yè)務(wù)運(yùn)作更加依賴于計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)，但由于信息系統(tǒng)本身特點(diǎn)所具有的脆弱性，將使審計(jì)遇到風(fēng)險(xiǎn)。審計(jì)風(fēng)險(xiǎn)因客戶的會(huì)計(jì)系統(tǒng)和內(nèi)部控制使用計(jì)算機(jī)而呈現(xiàn)出新的特征。

關(guān)鍵詞：信息系統(tǒng)；審計(jì)風(fēng)險(xiǎn)；風(fēng)險(xiǎn)特征；風(fēng)險(xiǎn)評(píng)估

國(guó)際會(huì)計(jì)師聯(lián)合會(huì)的國(guó)際審計(jì)與保證準(zhǔn)則委員會(huì)為提高審計(jì)質(zhì)量，于2003年10月發(fā)布了新準(zhǔn)則，對(duì)審計(jì)風(fēng)險(xiǎn)模型作出重大改動(dòng)。其中ISA200準(zhǔn)則把審計(jì)風(fēng)險(xiǎn)模型改為：審計(jì)風(fēng)險(xiǎn)=重大錯(cuò)報(bào)風(fēng)險(xiǎn)×檢查風(fēng)險(xiǎn)。審計(jì)風(fēng)險(xiǎn)模型的變化從某種意義上減少了審計(jì)的責(zé)任，縮小了審計(jì)風(fēng)險(xiǎn)的范疇，本文對(duì)審計(jì)風(fēng)險(xiǎn)的理解并不局限于社會(huì)審計(jì)，也包括內(nèi)部審計(jì)和國(guó)家審計(jì)，所以在這里仍采用“審計(jì)風(fēng)險(xiǎn)AR=固有風(fēng)險(xiǎn)IR×控制風(fēng)險(xiǎn)CR×檢查風(fēng)險(xiǎn)DR”風(fēng)險(xiǎn)模型進(jìn)行分析。

一、信息系統(tǒng)環(huán)境下審計(jì)風(fēng)險(xiǎn)的特征

信息系統(tǒng)環(huán)境下固有風(fēng)險(xiǎn)的特征

1存在電子數(shù)據(jù)被濫用、篡改和丟失的可能性。手工系統(tǒng)中，紙質(zhì)介質(zhì)上的信息易于辨認(rèn)、追溯。而在計(jì)算機(jī)信息系統(tǒng)環(huán)境下，由于存儲(chǔ)介質(zhì)的改變，信息高度集中于計(jì)算機(jī)信息系統(tǒng)，信息系統(tǒng)應(yīng)用程序被惡意篡改，或非法入侵信息系統(tǒng)造成經(jīng)濟(jì)損失的可能性致使審計(jì)的固有風(fēng)險(xiǎn)增大。一旦用戶非法透過(guò)計(jì)算機(jī)系統(tǒng)的“防火墻”，數(shù)據(jù)被不法分子拷貝，甚至可能被進(jìn)行非法篡改而不留下任何痕跡。計(jì)算機(jī)病毒、電源故障、操作失誤、程序處理錯(cuò)誤和網(wǎng)絡(luò)傳輸故障也極易破壞和修改電子數(shù)據(jù)，會(huì)造成實(shí)際數(shù)據(jù)與電子賬面數(shù)據(jù)不相符，增加固有審計(jì)風(fēng)險(xiǎn)的可能性。

2存在審計(jì)線索被減少或消除的可能性。手工環(huán)境中，會(huì)計(jì)處理的每一個(gè)步驟都有文字記錄和經(jīng)手人簽名，審計(jì)線索清晰。但在信息系統(tǒng)環(huán)境中，從原始數(shù)據(jù)錄入到報(bào)表的自動(dòng)生成，傳統(tǒng)的審計(jì)線索不復(fù)存在，利用信息技術(shù)也難以實(shí)現(xiàn)如簽名、蓋章等這些使審計(jì)線索證據(jù)化的操作，對(duì)審計(jì)人員查找審計(jì)線索帶來(lái)了較大困難。

3存在原始數(shù)據(jù)被錄入錯(cuò)漏的可能性。計(jì)算機(jī)信息系統(tǒng)環(huán)境下，大量的記賬憑證仍靠人工錄入，機(jī)制證賬表表面上的相互平衡，可能掩蓋人工錄入時(shí)發(fā)生的錯(cuò)漏。系統(tǒng)的二次開(kāi)發(fā)工作，有可能會(huì)削弱之前在計(jì)算機(jī)信息系統(tǒng)中已經(jīng)設(shè)置好的控制，從而可能產(chǎn)生新的審計(jì)風(fēng)險(xiǎn)因素。

信息系統(tǒng)環(huán)境下控制風(fēng)險(xiǎn)的特征

1存在約束機(jī)制失效的可能性。手工系統(tǒng)下通過(guò)建立崗位責(zé)任中心達(dá)到內(nèi)部控制的目的，在計(jì)算機(jī)系統(tǒng)下，一是通過(guò)劃分操作員的責(zé)任范圍，設(shè)置權(quán)限和密碼實(shí)現(xiàn)人員職責(zé)分工；二是通過(guò)軟件設(shè)計(jì)劃分若干子系統(tǒng)或功能模塊設(shè)置不同的責(zé)任中心。由于在計(jì)算機(jī)信息系統(tǒng)中許多不相容職責(zé)相對(duì)集中，可能因?yàn)椴磺‘?dāng)?shù)氖跈?quán)而加大舞弊的風(fēng)險(xiǎn)，權(quán)限設(shè)置的重疊或跨責(zé)任中心越權(quán)設(shè)置，使這一控制措施有可能形同虛設(shè)。

2存在會(huì)計(jì)數(shù)據(jù)異常的可能性。手工系統(tǒng)下，會(huì)計(jì)數(shù)據(jù)異常的可能性幾乎不存在；而在計(jì)算機(jī)系統(tǒng)下，這種可能性難以通過(guò)有效的內(nèi)控制度消除，必須以先進(jìn)的硬、軟件平臺(tái)以及會(huì)計(jì)軟件本身的自我保護(hù)，減少出現(xiàn)異常錯(cuò)誤的機(jī)率。就多數(shù)會(huì)計(jì)軟件看，對(duì)數(shù)據(jù)錄入的一致性和正確性控制，會(huì)計(jì)數(shù)據(jù)處理的安全性和連續(xù)性控制，軟件設(shè)計(jì)還是比較慎密的。但對(duì)集成化程度較高的企業(yè)級(jí)管理軟件，數(shù)據(jù)的共享性和一致性還不完善，系統(tǒng)設(shè)計(jì)時(shí)可能沒(méi)有考慮到審計(jì)工作的需要，沒(méi)有留下充分的審計(jì)線索，如：修改功能將導(dǎo)致無(wú)會(huì)計(jì)軌跡。計(jì)算機(jī)信息系統(tǒng)主要以磁盤、磁帶、光盤等磁性存儲(chǔ)介質(zhì)作為信息載體，記錄于這些存儲(chǔ)介質(zhì)上的信息是肉眼不可見(jiàn)的，必須借助于計(jì)算機(jī)的“翻譯”，才能以人可以理解的形式表現(xiàn)出來(lái)，但不同的軟件對(duì)同一信息可能被“翻譯”成不同的形式。

3存在實(shí)時(shí)控制失控的可能性。會(huì)計(jì)軟件對(duì)現(xiàn)金和銀行存款的收付業(yè)務(wù)缺乏實(shí)時(shí)有效的控制手段。對(duì)于企業(yè)內(nèi)部發(fā)生的經(jīng)濟(jì)業(yè)務(wù)，多數(shù)軟件是通過(guò)人工填制記賬憑證，從各系統(tǒng)入口錄入到電腦，部分軟件雖通過(guò)系統(tǒng)實(shí)時(shí)地錄入，但可能與憑證數(shù)據(jù)不同步；對(duì)于現(xiàn)金和銀行存款收付業(yè)務(wù)，不僅數(shù)據(jù)難以實(shí)時(shí)同步，而且存在雙方數(shù)據(jù)不一致的可能性。

信息系統(tǒng)環(huán)境下檢查風(fēng)險(xiǎn)的特征

1存在難以查找歷史資料的可能性。對(duì)賬戶或交易的重大實(shí)質(zhì)性測(cè)試往往離不開(kāi)企業(yè)的歷史數(shù)據(jù)，由于軟件版本的升級(jí)、平臺(tái)的遷移等被審計(jì)軟件的更新?lián)Q代，可能導(dǎo)致難以從往年賬套里讀取歷史數(shù)據(jù)，迫使審計(jì)人員不得不從浩如煙海的文檔中手工收集和整理歷史數(shù)據(jù)，這不僅降低了審計(jì)效率，而且還將帶來(lái)更多的檢查風(fēng)險(xiǎn)。

2存在難以全面檢查測(cè)試的可能性。手工系統(tǒng)下，內(nèi)部控制的情況看得見(jiàn)、摸得著，都有據(jù)可查；而在計(jì)算機(jī)信息系統(tǒng)環(huán)境下，內(nèi)部控制主要依賴于軟件本身，內(nèi)部控制融于系統(tǒng)軟件之中使審計(jì)人員無(wú)法通過(guò)傳統(tǒng)方法覺(jué)察，這就要求審計(jì)人員設(shè)計(jì)一套正常有效的業(yè)務(wù)數(shù)據(jù)和一套例外的業(yè)務(wù)數(shù)據(jù)，以檢查測(cè)試應(yīng)用軟件的控制能力。如果在進(jìn)行計(jì)算機(jī)信息系統(tǒng)設(shè)計(jì)時(shí)考慮不周，計(jì)算機(jī)信息系統(tǒng)可能無(wú)法判斷出某類數(shù)據(jù)是否符合邏輯，對(duì)不合理的數(shù)據(jù)可能也會(huì)進(jìn)行日常處理。并且對(duì)錯(cuò)誤數(shù)據(jù)的處理還具有重復(fù)性和連續(xù)性，從而可能導(dǎo)致審計(jì)人員誤認(rèn)為是正常處理。由于多數(shù)審計(jì)人員并非電腦專家，要在有限的審計(jì)時(shí)間里設(shè)計(jì)完善的測(cè)試數(shù)據(jù)是不現(xiàn)實(shí)的。為此，我們認(rèn)為對(duì)系統(tǒng)軟件本身的審計(jì)檢查可納入軟件開(kāi)發(fā)或評(píng)審之中，審計(jì)人員在審計(jì)實(shí)務(wù)中，重點(diǎn)是測(cè)試數(shù)據(jù)的完整性以及操作權(quán)限的分配和應(yīng)用情況。

3存在難以控制技術(shù)風(fēng)險(xiǎn)的可能性。對(duì)網(wǎng)絡(luò)交易而言，當(dāng)在交易環(huán)節(jié)中人工干涉變得越來(lái)越少時(shí)，對(duì)控制信息技術(shù)是否有效進(jìn)行的檢查將更具實(shí)際意義。信息技術(shù)控制包括數(shù)據(jù)存儲(chǔ)控制和數(shù)據(jù)處理控制等，如對(duì)程序變化的檢查確保以系統(tǒng)程序按管理層的意圖運(yùn)行；在網(wǎng)絡(luò)災(zāi)難導(dǎo)致數(shù)據(jù)存儲(chǔ)平臺(tái)或數(shù)據(jù)處理平臺(tái)癱瘓時(shí)，災(zāi)難防御計(jì)劃能使信息處理功能迅速恢復(fù)，這些都是任何信息化交易需要加以關(guān)注的基本審計(jì)風(fēng)險(xiǎn)。隨著網(wǎng)絡(luò)交易越來(lái)越廣泛，圍繞顧客為特征的、并基于計(jì)算機(jī)或因特網(wǎng)的信息處理過(guò)程，對(duì)審計(jì)人員而言，降低這種檢查風(fēng)險(xiǎn)將比任何時(shí)候都更具重要意義。

綜上所述，計(jì)算機(jī)信息系統(tǒng)環(huán)境下審計(jì)風(fēng)險(xiǎn)有其特有的表現(xiàn)形式，審計(jì)人員面臨著新的風(fēng)險(xiǎn)。然而審計(jì)環(huán)境的變化并不能改變審計(jì)責(zé)任，審計(jì)人員仍應(yīng)保持應(yīng)有的執(zhí)業(yè)謹(jǐn)慎，并采取適當(dāng)?shù)膶徲?jì)程序使風(fēng)險(xiǎn)控制在可接受的水平上。

二、信息系統(tǒng)環(huán)境下的審計(jì)風(fēng)險(xiǎn)評(píng)估

一般來(lái)說(shuō)，在計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)覆蓋了一個(gè)企業(yè)的營(yíng)銷、計(jì)劃、生產(chǎn)、采購(gòu)、倉(cāng)儲(chǔ)、財(cái)務(wù)、人力資源等企業(yè)運(yùn)營(yíng)管理的各個(gè)層面，如果對(duì)每個(gè)流程和控制點(diǎn)都進(jìn)行評(píng)估，在資源的利用上是非常不經(jīng)濟(jì)的，我們可以通過(guò)以下方式來(lái)降低審計(jì)風(fēng)險(xiǎn)：對(duì)于建立了長(zhǎng)期業(yè)務(wù)關(guān)系的被審計(jì)單位，可以通過(guò)要求其加強(qiáng)內(nèi)外部安全機(jī)制、完善軟件功能、改進(jìn)數(shù)據(jù)錄入技術(shù)；可以通過(guò)要求其統(tǒng)一文件存貯的格式，降低歷史文件難以打開(kāi)閱讀的可能性。如，對(duì)不同時(shí)期版本的會(huì)計(jì)軟件，采取統(tǒng)一的文件格式存貯，以便于審計(jì)師使用輔助審計(jì)軟件打開(kāi)審查；制定會(huì)計(jì)軟件行業(yè)標(biāo)準(zhǔn)，統(tǒng)一數(shù)據(jù)格式和外部接口。

檢查風(fēng)險(xiǎn)評(píng)估

設(shè)計(jì)一套有針對(duì)性的審計(jì)檢查程序，一是檢查被審計(jì)單位的權(quán)限設(shè)置，審查操作日志，發(fā)現(xiàn)疑點(diǎn)；二是檢查被審單位的報(bào)表取數(shù)公式，重新生成一次并與被審計(jì)單位提供的比較；三是查閱銷售的原始合同，或利用輔助審計(jì)軟件整理匯總，并與會(huì)計(jì)賬面數(shù)據(jù)進(jìn)行核對(duì)；四是檢查賬實(shí)是否相符，這里既包括手工環(huán)境下的賬實(shí)相符，也包括計(jì)算機(jī)信息系統(tǒng)環(huán)境下的各子系統(tǒng)之間的數(shù)據(jù)相符；五是檢查憑證記錄的真實(shí)性、資產(chǎn)及負(fù)債的合理性、期末交易的歸屬期、內(nèi)部管理控制制度的完備性和會(huì)計(jì)政策的一貫性。

控制風(fēng)險(xiǎn)評(píng)估

計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的控制評(píng)估必須基于風(fēng)險(xiǎn)管理的原則，通過(guò)風(fēng)險(xiǎn)評(píng)估尋找對(duì)主要業(yè)務(wù)運(yùn)作中影響最大的領(lǐng)域。我們可以從企業(yè)整個(gè)業(yè)務(wù)風(fēng)險(xiǎn)域中尋找對(duì)與財(cái)務(wù)報(bào)表有關(guān)的風(fēng)險(xiǎn)的業(yè)務(wù)流程，從而進(jìn)一步確定系統(tǒng)模塊對(duì)業(yè)務(wù)流程的支持，在實(shí)際工作中，一般是通過(guò)對(duì)業(yè)務(wù)流程所使用系統(tǒng)模塊的頻繁程度來(lái)確定評(píng)估范圍。

在進(jìn)行調(diào)研和風(fēng)險(xiǎn)評(píng)估中，如果發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中涉及到企業(yè)收入業(yè)務(wù)、支出業(yè)務(wù)和庫(kù)存業(yè)務(wù)的系統(tǒng)控制流程對(duì)企業(yè)的業(yè)務(wù)能否順利運(yùn)轉(zhuǎn)影響比較大。由于業(yè)務(wù)控制的削弱，這種影響導(dǎo)致企業(yè)出現(xiàn)違規(guī)問(wèn)題的可能性增加。例如，企業(yè)管理層非常關(guān)注財(cái)務(wù)控制內(nèi)部和外部流程，因?yàn)檫@些流程決定了財(cái)務(wù)數(shù)據(jù)的準(zhǔn)確性，是反映企業(yè)運(yùn)作是否健康的“脈搏”。因此，在審計(jì)中通常就要更關(guān)注收入業(yè)務(wù)，它包括主數(shù)據(jù)維護(hù)、銷售訂單處理、發(fā)運(yùn)、開(kāi)票、退貨和收款等控制內(nèi)容。

對(duì)于可能客觀存在的審計(jì)風(fēng)險(xiǎn)，審計(jì)人員必須保持職業(yè)謹(jǐn)慎，運(yùn)用專業(yè)判斷，對(duì)被審計(jì)單位的審計(jì)風(fēng)險(xiǎn)各要素進(jìn)行全面的評(píng)估，確定可接受的審計(jì)風(fēng)險(xiǎn)水平。

參考文獻(xiàn)：

[1]Warren，JDonald，LynnwEdelsonandXeniaLeyP