计费系统收入风险审计(精选9篇)
计费系统收入风险审计 篇1
国家审计署审计长刘家义在总结我国审计工作经验的基础上,提出审计的本质就是国家经济社会运行的免疫系统的重要理论观点,这是中国特色社会主义制度下国家审计的一次重新定位,是审计本质的理论创新。免疫论的提出意味着国家审计将在保证国家经济健康运行和持续发展方面承担更大的责任,发挥更大的功能。
一、审计免疫系统论的内涵及理论创新
审计免疫系统论利用仿生学原理,提出审计作为一个国家经济运行安全的免疫系统,也应具有生物肌体中免疫系统的三种基本功能,即免疫防御、免疫自稳、免疫监视功能。免疫防御功能是指审计应该具有使经济社会免于内、外部组织和个人侵犯的能力;免疫自稳功能是指通过审计,能够不断健全、完善经济社会的各项管理机制,通过机制自动发现和清理不法分子和违法违纪问题;免疫监视功能是指对经济社会存在的共性问题进行预测分析,提出预警建议,避免危害加重的能力。
免疫系统论告诉人们,审计监督的本质不仅仅是对国有财产的守卫,更重要的是要能够尽早地感受到病害侵蚀的风险,更早地揭示病害侵蚀带来的危害,更快地去抵御、查处这些病害,及时建议政府或相应的权力机关,运用各种资源去消灭这些病害,从而健全制度,保护国家安全。审计免疫系统论,立足经济社会发展与审计发展的内在联系来把握审计的本质,从维护经济社会系统运行的健康和安全角度,提出了审计免疫系统本质观,实现了在多学科思想理论基础上的综合创新。
传统审计学关注的是某个具体的受托责任关系,而审计免疫系统论不仅可以使某一具体的受托责任关系得以正常维系,而且可以促进整个社会受托责任关系按既定规则有序运行。审计免疫系统论的确立,进一步拓展了审计的工作外延,为审计提供了新视野、新目标、新要求、新思路,并赋予国家审计新的内涵。
二、免疫系统论——国家审计未来发展新定位的必要性
首先,从国内的经济发展形势分析,我国经济社会发展已经进入人均GDP从1 000美元向3 000美元跨越的时期。国际经验表明,这一阶段既是加快发展的“黄金期”,又是各种社会矛盾的“凸显期”。胡锦涛总书记将和谐社会的内涵概括为:“民主法治、公平正义、诚信友爱、充满活力、安定有序、人与自然和谐”。从审计角度去思考这些概括,即社会需要规则,需要健全完善的体制、制度、机制,以此作为社会安全的免疫系统。作为高层次专职经济监督的审计部门理应担当起这个历史重任,把维护国家经济社会系统运行的安全作为审计工作的“第一要务”,通过自己的工作,构筑健康、良性、能抵御风险的免疫系统。
其次,从国际经济形势分析,我国的对外开放在给国家带来大量机遇的同时,也伴随着越来越大的不确定性和风险。如:国外对我国的直接投资、国外跨国公司对我国企业的控股或收购、由地区间发生的招商引资而引发的恶性竞争以及近来发生的全球性金融危机,都对我国经济社会发展造成极大的影响和不确定性。作为审计部门应该提早对这些情况进行调查并提出预警措施。
三、如何运用风险导向审计技术发挥审计的免疫系统功能
笔者认为审计免疫系统论的实质是要求审计人员在审计实践中要做到两点:一是审计人员在审计时要从宏观再到微观去评估被审计单位(项目)所面临的重大风险,从而查出重大的问题,或及早提出预警措施,使免疫系统发挥防御、监视的功能。二是审计人员在审计过程中,不仅仅要发现问题,更重要的是要分析问题所产生的根源,从而不断修复机制、体制、制度,达到治标又治本,使免疫系统具备自稳的功能。笔者认为,风险导向审计技术与审计免疫系统论关注风险,提前预警,注重治标又治本有相关之处,将二者结合,必然对发挥好审计免疫系统功能有极大的帮助。但风险导向审计提出以来主要在民间审计中运用,对国家审计中如何运用此项审计技术,各国中还没有明确的准则说明。为此,本文提出了运用风险导向审计来发挥国家审计发挥免疫系统功能的基本思路。
第一步,确定国家审计的具体目标。因为国家审计的领域广、项目多,每个具体审计项目都有不同的审计目标,不同的审计目标决定了不同的审计思路、范围、重点。审计人员必须要确定具体的审计目标,比如政府绩效审计的具体目标是对公共资金的经济性、效率性、效果性进行评价;财政、财务收支审计是对资金的合规性、合法性、真实性进行评价等等(为说明问题,本文以政府绩效审计为例)。
第二步,评估重大风险领域。在对具体目标进行实质性审计之前,先评估与具体评价目标(比如政府绩效审计中的经济性、效率性、效果性)相关的外部环境因素,主要包括宏观经济环境、法律环境、监管环境、所在行业环境,被审计单位(项目)的性质、会计政策的选择和运用、被审计单位(项目)的目标、战略以及相关经营风险、财务业绩的衡量和评价;再评估微观因素,主要是评估被审计单位控制环境、风险评估、控制活动、监督与检查、信息与沟通等,只要这些因素中有可能引起审计评价目标出现风险,就应该将这些风险信号确定为重大错报风险领域,将其确定为实质性审计重点,并将这种风险评估程序贯穿于审计全过程,随时锁定重大错报风险领域,修改实质性审计工作。
评估重大风险领域是审计的重点和难点,也是审计能否发挥免疫系统功能的关键。审计人员要善于捕捉敏感信息,从普通的信息中发现信息背后隐藏的重大问题和深层次矛盾。
比如,在政府绩效审计中,我们可以这样从宏观角度来评估风险领域:当前,我国政府在应对全球金融危机中,采取了一揽子经济刺激规划,作为审计人员就应该去思考在这些投资领域中容易存在哪些风险,包括经济周期、技术、法律、金融、宏观景气度、利率、汇率、国际经济环境等因素,判断哪个因素有可能会影响政府投资的绩效。又如,政府部门的特点是:使用的是公共资源,不以利润最大化为追求目标,收入来源于税收,与提供的公共物品的质量无关,因此我们就要怀疑相关部门可能会存在缺乏降低成本的动力,存在不经济的现象。因此,在绩效实质性审计时要将这一方面作为审计重点,看其是否以高于市场最低价的资金采购物品;资源使用过程中是否存在跑、冒、低、漏现象;是否存在人、财、物闲置等。同时,由于政府担当着发展经济、社会稳定、教育科技、生活质量、生态环境的宏观受托责任,在对政府官员业绩进行考核、评价时,我们就要对其宏观的、长远的绩效保持职业怀疑,如对人口、生态、教育、重大社会问题、深层次社会矛盾等,如果发现相关部门对这些问题认识不足,关注不够,不能识别其重大隐患,就要作为审计问题提出,并对于涉及长远绩效的项目进行跟踪审计,持续审计。
我们还要从微观角度去评估与审计目标相关联的风险领域,比如在政府绩效审计中,审计人员应该首先了解政府机构的整体氛围(环境),是否崇尚求真务实、踏实肯干、敬业进取,是否存在不思进取、工作推诿扯皮、官僚主义、形式主义、投机冒险,虚报浮夸、报喜不报忧等工作作风。要了解领导的个人素质、胜任能力、价值取向、经营理念,如果存在某种不良倾向,审计人员应将其列为重大错报风险的信号,并对其经手的经济业务扩大测试范围。
此外,还要去评估政府机构是否建立了与政府绩效(经济性、效率性、效果性)相关的内部控制制度,评价其内控制度是否设置合理、有效,是否能够防止不经济、无效率、无效果现象的发生。如果存在缺陷,要将其涉及到的绩效问题作为审计的重点。在评估与绩效相关的内部控制制度时,要从授权、业绩评价、信息处理、实物控制、职责分离等角度去把握。比如业绩考核制度的缺陷会导致畸形业绩观、形式主义,既浪费了国家资源,又无效果;比如办事缺乏科学的决策程序和明确的决策标准、授权,就会导致工程项目有违成本效益原则,造成社会资源的浪费。
运用风险导向审计理论,还要求审计人员要改变传统的思维方式,要保持职业怀疑,比如,如果政府部门强调完成了工作量指标并制定规章制度,那么,在审计中就要反向去思考这些规章制度的作用等。
第三步,审计人员要针对所评估的重大错报风险领域和实质性审计结果查出的问题,帮助被审计单位提出预警措施,完善被审计单位(项目)现有机制、体制、制度建设,从而构筑免疫系统。这一步是体现政府审计免疫系统功能的关键环节,是从现象到本质,从量变到质变的升华。比如,通过绩效审计,可以帮助被审计单位完善绩效考评制度;通过预算审计,可能会提出细化部门预算,提高预算编制的准确性,建立健全资金管理制度等建议;通过项目工程审计,可能会提出加强项目投资管理体系、招投标管理、妥善处理发展地方经济与控制项目投资矛盾等建议;通过三鹿奶粉事件,废除了食品免检制度;为了防止决策失误,审计可能会提出社会公示制度、社会听证制度、专家咨询制度等;为减少政府官员决策的随意性,审计可能提出建立问责制度和责任追踪制度等等。
审计免疫系统论是我国关于审计本质理论的创新,风险导向审计技术是20世纪末世界关于审计技术的创新,本文将理论和技术相结合,用于审计实践,操作性强,不仅提高了审计效率,而且使审计充分关注国家经济运行中的宏观、微观风险,进而给政府提出预警措施,不断修复体制、机制、制度中的问题,使我们的审计工作能够以全新的视角、更高的层次,发挥免疫系统的功能。(本论文系2009年度河北省审计厅重点研究课题。课题编号:0906)
摘要:国家审计免疫系统论的提出,是我国关于国家审计本质的最新观点,也是对我国未来国家审计发展方向的重新定位。本文通过对审计免疫系统论的内涵及理论创新分析,探讨了运用风险导向审计技术发挥好国家审计免疫系统功能的基本思路。
计费系统收入风险审计 篇2
介绍一种收入的审计方法--收入票据核销表审计方法简介
收入的审计是审计工作中的一个极为重要的内容,收入是否真实、准确、完整及时地入账,是否有少计收入、贪污舞弊等现象存在,也是审计人员必须查清的一个问题.当今社会经济生活中贪污腐败现象的发生,无不与少计收入有关,“小金库”现象的大量存在,已成为滋生贪污腐败问题的`温床,使审计风险大为增加.如何从收入的角度强化审计监督,防犯审计风险,本文想就此谈点自己的观点,看法和做法.
作 者:党潘利 作者单位:刊 名:陕西审计英文刊名:SHAANXI AUDIT年,卷(期):2001“”(3)分类号:F2关键词:
计费系统收入风险审计 篇3
【关键词】防范;金融风险;提升;审计系统
当前,互联网正在深刻和广泛地影响着银行的经营管理模式。随着各银行数据大集中的完成,IT风险也越来越集中。美国近日破获的“本世纪银行大劫案”,震惊了世界,也给世界金融业敲响了警钟。在这个信息化飞速发展的时代,信息系统故障和安全事件给企业带来了巨大的经济损失和严重的声誉影响,控制IT风险、保证信息系统稳定运行已成为银行最紧迫的任务。此外,随着金融监管力度的加大,银行信息披露制的实施也是当务之急。信息系统的稳定可靠运行、应用系统中敏感业务信息的保护,已成为业界内外关注的焦点。这些都要求银行加大对信息系统的审计力度。只有建立IT审计机制,由独立的IT审计师进行信息系统审计,才能形成对信息系统安全的客观评价。由于信息技术在银行经营管理领域各个层面的广泛运用,IT审计也已贯穿在各种审计之中,成为时下银行业最关注的重要课题。
1.最为突出的三种信息科技风险
因技术问题引发的金融风险问题由来已久,且在各个国家普遍存在。在因技术问题引发的金融风险中,有三类表现最为突出:
①宕机的风险。
2013年6月23日上午,北京、上海等多个地方的中国工行用户反映该行系统出现故障而暂停业务。工行回应称,这是由于部分地区计算机系统升级原因造成柜面和电子渠道业务办理缓慢。这一风波刚平息,中国银行再次“中招”:6月24日上午,中国银行银期转账前置系统一度出现交易缓慢,影响客户银期转账交易。尽管工行、中行两家银行发布公告称为系统升级引起,且经紧急处置后系统已恢复正常,但是,频繁的系统故障依然引发了市场关于“钱荒”的猜疑,银行股的集体暴跌,带动A股市场出现2008年国际金融危机后罕见的大幅下挫,跌幅超过5%。
2003年1月,美国银行(Bank of America)13000台ATM机因病毒瞬间宕机,该行客户无法通过ATM完成存取款交易。
2005年2月,美国银行备用客户信息磁盘在空运过程中失窃,约120万客户信息泄,丢失的信息包括社保号码和私人帐户信息,全部是电子银行诈骗的必备资料。
2010年新加坡的星辰银行和2011年的美国银行都出现过大型机宕机的事件。
……
系统故障是计划内的系统升级还是“计划外”的,都反映出银行在系统质量和安全方面存在漏洞。信息化高度发展和银行业数据大集中背景下,业务系统中断已经成为银行难以接受的风险,每次银行信息系统宕机都会导致严重损失,并对银行声誉带来很大负面影响。中国银行业监督管理委员会业务创新监管协作部副主任王岩岫认为,如果银行系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2-3天以上不能恢复,将直接危及其他银行乃至整个融系统的稳定。
而调研机构Qualix Group曾有一组数字说明不同行业关键业务中断带来的金钱损失:服务器宕机1分钟,平均会使运输业损失15万美元,银行业损失27万美元,通信业损失35万美元,制造业损失42万美元,证券业损失45万美元……这从直接经济效益的角度解释了关键业务平台对于稳定性和可靠性的要求。对于以上行业的关键业务来说,都需要遵循“5个9”(99、999)、“6个9”(99、9999%)甚至“7个9”(99、99999%)的标准来加以评估,而这些标准代表的,就是一台服务器每年的非计划停机时间分别只有5分钟、30秒和3秒钟。由此我们可以想象本次4小时宕机的时间是多么漫长,所造成的损失又是多么巨大。
②金融欺诈的风险。
来自金融内部的票据、金融凭证诈骗,以及来自外部的信用卡、保险、信贷诈骗等,都不同程度地令金融业不寒而栗。近年,不断出现的银行钓鱼网站、银行卡盗刷案件,更令客户对银行的安全性产生质疑。
③黑客侵袭的风险。
2009年1月8日,美国万事达公司宣布,有黑客侵入了“信用卡第三方付款处理器”的网络系统,造成包括万事达、Visa、AmericanExpress和Discover在内各种信用卡多达4000多万用户的数据资料被窃;2009年2月5日,ANZ银行向消费者发出警告,“一种计算机病毒入侵了银行系统”,假冒网站要求用户输入用户名、密码和个人身份号码;2007年08月18日,荷兰银行有部分客户账号中的资金被网络犯罪分子利用电脑病毒盗走,这些客户的损失将得到银行的补偿,但是银行方面并没有透露被盗账户和资金的具体情况;2009年08月17日,一名迈阿密居民因盗取1、3亿张信用卡和借记卡数据被起诉。嫌疑人通过入侵零售商电脑,盗取银行卡信息,其中包括哈特兰支付系统,零售连锁7/11公司和汉纳福德兄弟公司等。
2009年10月26日,我国福建省厦门市法院审理了一起“黑客”入侵银行系统窃取储户信息案件作出判决,被告人楼家渊利用自编的“黑客”程序和网上下载的任务自动加载程序,入侵多家商业银行网站,非法获取755名网上银行客户资料,并利用其中的部分信息复制银行卡。其行为构成非法获取计算机信息系统数据罪,依法判处有期徒刑7个月。
2009年11月10日,美国司法部起诉一个由俄罗斯和东欧人组成的黑客集团,指他们涉嫌入侵苏格兰皇家银行(RBS)旗下信用卡公司的计算机网络,伪造假卡,在不足12小时内,于全球至少280个城市合共2,100部提款机提取逾900万美元现金,香港警方去年亦参与联合行动,拘捕两名提款人士。
近年来,世界多国的银行遭遇黑客攻击,并蒙受巨额经济损失。银行、金融机构已成为网络黑客攻击的重点,网络黑客已从最初的个人行为,发展为有组织的犯罪。黑客犯罪,全球已形成“黑色产业链”。我国每年因遭受网络攻击造成的损失就多达70多亿元,信息系统故障和安全事件给企业带来了巨大的经济损失和严重的声誉影响。
2.通过IT审计准确计量风险
目前,信息系统的正常运行已经成为银行业务正常运营的最基本条件之一,信息科技在有力提升银行核心竞争力的同时,信息科技风险也愈发突出和集中,信息科技风险控制已成为银行业风险管理的重要内容,而IT审计作为银行业风险管理体系的重要组成部分,其重要性和必要性已经日益得到银行业管理层的关注。作为商业银行信息科技风险管理的第三道防线——信息系统审计(简称“IT审计”)在银行内部控制建设过程中扮演了更为重要的角色。金融信息化使审计信息、审计方法、审计技术发生了根本性变化,金融风险管理和IT审计机制的建立已经势在必行。利用信息化技术促使内审和风险管理高效、可控将对金融机构产生积极影响,并将成为企业风险管理不可缺少的重要平台。
通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性,也成为银行业实施IT审计的重要目的之一。
3.优化审计平台
随着互联网金融信息科技应用的推广、银行业务正在发生的重大的变革,IT审计部门只有紧跟信息化建设步伐,加快审计信息化建设,不断改进审计手段和技术方法,才能提高内部审计的生产力。
4.结束语
计费系统收入风险审计 篇4
随着时代发展和社会进步,各类委托人对独立审计结果的要求越来越严格,对审计报告的需求也日趋“多元化”,使独立审计处境十分艰难,风险也越来越大。审计报告是审计最终成果的反映,同时也是审计风险的最终储备库。但国际国内审计相关准则系统却“格式化”了这类重要风险变量因素,仅认定会计报表重大错报风险和检查风险两个变量指标。这虽明确了注册会计师(以下简称CPA)识别风险的主攻方向,但却无助于中国CPA开展风险导向审计,也妨碍了中国CPA全面风险意识的提高和强化。为此,必须立足CPA执业实践,全面分析审计风险体系,研究风险要素指标更加健全的审计风险模型。
一、审计风险模型及意义
随着现代风险导向审计的全面推行,财政部于2010年11月1日以“财会[2010]21号”发布了《中国注册会计师审计准则(CSA)第1101号——注册会计师的总体目标和审计基本要求》等38项审计准则,规定从2012年开始实施。CSA第1101号第13条规定:“审计风险,是指当财务报表存在重大错报时,注册会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险。”表明新修订的CSA完全认同国际审计和保证准则委员会(IAASB)规定并从2004年12月15日起实施的新审计模型:
审计风险=财务报表重大错报风险×检查风险
该模型系依照审计重要性原则架构而成,因此可称之为“重要性审计风险模型”。式中,重大错报风险和检查风险均同审计风险正相关。但同作为自变量的重大错报风险与检查风险之间,则在既定的审计风险水平下,可接受的检查风险水平与认定层次重大错报风险的评估结果成反向关系:评估的重大错报风险越高,可接受的检查风险就越低;评估的重大错报风险越低,可接受的检查风险就越高。
审计准则强调了重大错报风险是财务报表在审计前存在重大错报的可能性。可见,重大错报风险是由于被审计单位控制环境(管理层诚信缺失、治理层监管虚弱)或其他因素(经济萧条、行业寿命周期短等)影响而发生的“会计风险”。但是,如CPA没有预先评估和识别报表错报风险,采取审计程序就难免盲目,而且会违背审计的重要性原则,从而增加检查风险。所以,将财务报表重大错报风险设为审计风险变量,表面看并不符合审计风险内涵逻辑,但实质是指导CPA不能仅注重“查账”技能训练以防范技术性的检查风险,还须将风险导向前移到被审计单位的经营风险影响层次,注重对审计对象的财务环境评估,让审计任务和范围逆向拓展到会计报表形成的内部控制背景、治理结构、管理责任、账户余额真实性、会计核算资产处理方法正确性、报表内容完整性等,采取恰当的审计程序进行有针对性的测试和评估,确保做到有备无患,检查有的放矢。
二、审计风险类型体系
审计风险伴随审计全过程,可谓无时无处不客观存在。因此,其种类繁杂,形式多样。为便于开展理论研究和便于实践中识别,应根据审计风险存在的不同标准进行划分。
1.按审计风险源泉,分为外源性风险和内源性风险
外源性风险即源自审计之外的风险,应涵盖源自被审方面的财务报表重大错报风险、行政干预风险、审计报告使用风险等。其中,行政干预风险属于不可控风险,审计注意运用规避手段防范;而重大错报风险和审计报告使用风险,均具有可控性。因为它是一种可以预见的客观实在,只要承认了经济事实的合理性,就意味着接受了该种风险。CPA应特别注重重大错报风险,应认真遵循CSA1211号一—通过了解被审计单位及其环境识别和评估重大错报风险,评估财务报表层次和认定层次的重大错报风险,并根据既定的审计风险水平和评估的认定层次重大错报风险,确定可接受的检查风险水平。
内源性风险是审计过程中因工作疏忽和检查程序、测试方法失当而承担不良后果的可能性。通常包括审计签约风险、检查风险、报告风险等。内部风险均属可控风险,审计应加强自身文化修养和执业涵养,不断提升职业评断能力和查账技术水平,增强审计服务意识和责任思想,防微杜渐。
2.按审计风险存在形态,可分为固有风险、控制风险和检查风险等三种,或综合为财务报表重大错报风险和检查风险两种
固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户或交易类别产生重大错报或漏报的可能性;控制风险是指某一账户或交易类别单独或连同账户或交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性;检查风险是指某一账户或交易类别单独或连同账户或交易类别产生错报或漏报,而未能被实质性程序发现的可能性。前两种风险也可合并称为被审计单位的财务报表重大错报风险,这也是国际国内审计准则确立审计风险模型的理论依据。
3.按审计风险管理,分为可控风险和不可控风险
可控风险是指由审计机构或审计人员可控制的因素导致的审计风险。例如,由于审计人员的素质、审计人员工作态度、审计方法选用、审计机构对审计工作的管理等因素导致的审计风险;不可控风险是指由审计机构或审计人员不能直接加以控制的不确定性因素所引发的审计风险,包括被审计单位内外两种因素,外部因素如国家经济形势的变化,内部因素如被审计单位内部控制健全程度等。
4.按风险对审计程序的依赖,可分为审计准备阶段风险、实施阶段风险和终结阶段风险
审计风险贯穿于准备、实施、终结等各个审计程序环节。基于风险导向审计,审前准备阶段隐含的风险主要是审计业务约定书订立风险即“签约风险”和财务报表重大错报风险,其中签约风险指因审计谈判忽略意外不确定事项而发生无法按时保质完成审计任务或发生审计纠纷的可能性;实施阶段风险即检查风险;审计终结阶段风险包括审计报告类型选择、撰写、复核和使用四环节的风险。
此外,还可按审计风险表现形式,分为显性审计风险和隐性审计风险;按风险承担主体,可分为审计组织风险和审计人员风险;按风险成因,分为主观风险和客观风险;按风险后果,分为法律风险、行政风险、财产风险等。
总之,审计风险不仅局限于国际国内准则规定的财务报表重大错报风险和检查风险两种。
三、基于审计风险体系的审计风险模型架构
(一)健全性审计风险模型体系结构
设计健全性审计风险模型,既要遵守审计理论要求,又要符合国际国内审计准则,更要考虑本国审计实践的客观需要。
1. 审计签约风险
签约风险是审计的基础风险,是指事务所及授权CPA在签订业务约定书过程中,因关键要约含混不清或有疏漏而履行后产生责任危害的可能性。比如CPA未能认真填写委托目标、范围、报告类型及用途限定等关键条款,就可能潜存风险。同时,在功利时代,企业违背商业规则司空见惯,讨价还价、斤斤计较同样存在于审计市场。失衡的价格必然影响到审计效率和质量,也会埋下风险隐患。但不论怎样,合同风险都属于可控风险。CPA应依据个人专业素质和风险驾驭能力等因素,设定风险度的强弱。
2. 财务报表重大错报风险
财务报表重大错报风险,具体包括环境风险、战略经营风险、财务风险、治理结构风险、内部控制风险和会计错弊风险等。需说明,上述各风险虽有不可分割的内部联系,但都在各自领域内保持相对独立,其对财务报表重大错报风险形成,并不能产生严格意义上的乘积因子关系,而是简单的叠加关系。本文主张将财务报表重大错报风险评估置于审计约定书签订之前,作为评估审计风险的基础和判定审计师是否接受审计任务的客观依据。但CSA1211号更关注审计师的行为责任风险危害,因此第7条将注册会计师审计目标定位于通过了解被审计单位及其环境,识别和评估财务报表层次和认定层次的重大错报风险(无论该错报由于舞弊或错误导致)。在CSA1231号第4条进一步强调CPA的目标是针对评估的重大错报风险,通过设计和实施恰当的应对措施,获取充分、适当的审计证据。并针对评估的认定层次重大错报风险,考虑形成某类交易、账户余额和披露的认定层次重大错报风险评估结果的依据以及评估风险程度对证据的要求,设计和实施进一步审计程序。显然,从审计理论看,重大错报风险识别是在审计约定书签订之后。换言之,审计准则对独立法人事务所在行权中存在的签约风险要求其自觉控制,CPA可不予考虑。
3. 审计检查风险
是指审计报表存在重大错报、漏报而CPA未予发现的可能性。如CPA履行程序不慎或遗漏必要的调查测试环节而造成证据采集不足,或报表审计方法运用不当抑或检查粗枝大叶而不能发现会计报表存在的错误和舞弊,等于间接地掩盖了事实,助推报表对外错报或漏报,造成阅误读误判甚至错误决策。所以,检查风险堪称为审计的“内源性风险”或称之为“实质性风险”,应由执行程序风险、测试方法风险、证据效力风险和职业道德风险四个要素构成,各种相互联系的风险因素叠加为检查风险。用公式表示为:
检查风险=职业道德风险+执行程序风险+测试方法风险+证据效力风险
其中职业道德风险是指因执业审计师玩忽职守或为谋取私利导致事实真相被隐瞒,或故意出具虚假审计报告导致相关责任后果的可能性。职业道德是独立审计的质量基石,也是独立审计风险的第一道防线。如CPA忽略职业道德修养,将背弃审计工作守则和准则要求,玩忽职守,至审计生命于不顾地谋取局部或个人私利,从而瓦解个人业务技术和工作能力。此项风险应由CPA事务所综合考虑承担审计任务人员的具体情况设定;程序风险是由于采取了与检查重大错报、漏报不相适应的程序或程序追加取舍程序不当的可能性,是检查风险中影响力较弱的因素;测试风险又可称为“技术风险”、“方法风险”和“能力风险”等,是CPA实施审计测试中抽样等技术方法选择失当、缺少必要的专业性判断或判断偏误等的可能性。它对检查风险具有显著的直接影响,并且将延伸到证据风险;证据风险是最为关键要素,指实施审计过程中未获得有价值证据、取证量不足或没有经过认真分析和缜密筛选而综合成严密证据链的可能性。这三种风险类型均决定于审计过程中的技术性把握和执业能力控制,因此又可将之统称为“技术能力控制风险”。这样,审计检查风险公式即演变为:
检查风险=技术能力控制风险+职业道德风险
4. 审计报告风险
特指CPA审计报告出具时发表了不当审计意见和对审计报告使用失察,导致委托人误判事实、产生使用纠纷等并被追究相关责任的可能性。审计报告既承载着撰写过程中发表审计意见风险、措辞不当风险,又汇集了审计事项约定不慎风险、完善审计程序风险、补充审计证据风险,还要牵连到审计报告使用跟踪监测风险等。审计报告风险具有“多元性”:一是审计报告类型选择风险。如应出具有保留意见的审计报告,而CPA却选择出具了无保留意见的审计报告。虽然该风险属于小概率事件,但也客观存在且不容忽视;二是审计报告撰写风险。因执笔人文化修养和写作能力局限而列举问题与描述事实不清、审计依据运用欠妥、审计评价措辞或语法错误、行文不规范等,造成委托人误读误用产生不良审计责任和后果的可能性;三是审计报告质量复核风险。审计报告汇集了所有的“审计过程风险”,即其固有着审前“合同风险”和审中“检查风险”,如事务所未对审计评价内容、措辞等实施专门复核程序,就会使问题遗留并形成“质量复核风险”;四是审计报告使用风险。当委托人超范围使用或不慎使用审计报告,而事务所没有执行跟踪回访和后续服务监控而引发危害的可能性。这四种风险因素叠加,即形成审计报告风险:
审计报告风险=选择风险+撰写风险+质量复核风险+使用风险
综上,审计风险除了审计准则规定的财务报表重大错风险和检查风险之外,还客观地存在着一系列的审计签约风险和审计报告风险。只是从审计理论角度分析,这些风险是事务所固有的“经营风险”,归于审计事务所的管理控制范畴,不在审计行为规范之列;同时,这类风险通常不具有较大的直接危害性,是依靠民间审计组织和审计师自觉把握控制基本可以消除的风险弱项。所以,审计准则对审计风险模型设计上通常是不予考虑或可以忽略不计的。
(二)以审计准则为基础的系统性审计风险模型架构
如前所述,事务所在审前谈判协商的核心关注点绝非合理收费问题,而是了解被审计单位经营政策、管理控制和财务状况等,以识别和评估审计签约风险和财务报表重大错报风险;进而,针对委派CPA执业能力、专业水平、职业道德、执行程序、实质性程序手段与方法、证据证明力等要素,全面系统地识别检查风险;最后,需针对审计报告的类型选择、撰写能力、复核措施、使用跟踪回访等因素,识别审计报告风险。审计前期的签约风险和重大错报风险将直接辐射给审计检查风险,并形成对审计道德、审计程序、审计测试和审计证据等四种检查风险的强烈干扰;而检查风险将直接传导到审计报告并影响其类型选择和评价方向以及使用反应,即检查风险越高,审计报告风险相应越大;反之亦然。由此可见,审计签约风险和审计报告风险,属于同重大错报风险和检查风险具有直接相关性的两个自变量因素,它们的相互独立又彼此紧密联系,共同构成了审计风险因变量,公式表示为:
审计风险=审计签约风险×财务报表重大错报风险×检查风险×审计报告风险
该模型保留了审计准则模型即“重要性审计风险模型”的风险要素及全部内涵特征,并完善了相关的风险变量,使审计风险因素更加全面、系统,故此称为“系统性审计风险模型”。模型公式中,审计签约风险同财务报表重大错报风险存在着非线性函数关系,二者具有交叉存在的相容性,在审计业务约定书签订之前的调查谈判阶段,审计就需要对被审计单位经营风险和财务环境等进行了解测试,这其中一个重要方面就涉及到重大错报风险识别,测试的签约风险越高,说明重大错报风险也越大;反之亦然。同样,审计报告风险与审计检查风险之间也存在着非线性关系,二者存在不确定性的交互影响:检查风险对报告风险具有正向传递性影响,即检查风险越高,审计报告风险越大;审计报告风险越高,检查风险会因其反向辐射而趋于扩大。
(三)健全性审计风险模型的应用
1. 正确认识结构审计风险模型的全面风险体系链路
CPA主要是对授权委托方承担对被审计单位审计的风险责任。随着审计业务约定书签订,CPA即进入审计程序(准备、实施、终结)。由于审计风险无时无处不在,并沿着审计程序各个节点依次单向递延和逐步传递,形成了可以支撑健全性审计风险模型的审计风险体系链,并最终汇集成单项审计的“风险库”,记入审计风险档案。如图1所示。
CPA应全面掌握审计风险要素结构体系,时刻注意风险导向,认真思索审计风险信息传递路径,坚持职业怀疑态度,培养敏感的执业风险嗅觉,用“全面风险观”理念指导审计工作,养成风险识别环节前移(出表单位内控和经营)和后延(委托单位使用审计报告),扩大审计风险识别范围。
2. 灵活运用健全性审计风险模型
在具体审计任务中,并非链路图中的每个风险要素都会出现,即使同时出现也不可能都产生严重审计危害。为此,要求CPA在全面梳理风险导向思想前提下,要善于对识别的各项风险按其风险评估值做取大舍小、避轻就重的甄选,以避免模型运用僵化,测度风险指标过细过杂而影响审计工作效率和信心。比如,公司董事局委托开展应收款账龄审计,签约风险和报告风险均属于可以忽略不计的轻度风险。此时,沿用审计准则规定的重要性审计风险模型就足以保证风险评估需要;再如,许多中小事务所业务范围局限于验资、鉴定、内控、咨询和代理等,从不接受会计报表审计业务。这样,两种审计风险模型都对之无用。
3. 加强审计风险模型应用培训
中国CPA由“官方机构”——财政部下设的中注协(CICPA)按“高考”教育模式进行认证和管理。考试环节注重专业知识(理论知识和应用技能知识),所以中国CPA大都靠拼记忆力和理解力考取资格;执业资格获取环节依然是参加CPA全国统成绩考试及格并执业审计二年以上,即可由省级注协注册批准。于是,出现在校大学生、失业会计纷纷考证和事务所“挂证”保执业阅历等乱象。这批CPA进入审计队伍开展风险导向审计难度极大。所以,应全面开展专题培训,强化审计合伙人和CPA队伍的审计风险意识,指导其按采用风险导向审计方法执业。重点辅导CPA深刻认识、正确理解和科学应用审计风险模型,并让其知道审计风险模型作为审计工作指南,绝非强制使用,也不是所有审计业务都“一刀切”地运用,而是要因事、因人制宜,区别对待。如承担上市公司报表审计,务须进行审计风险识别评估,对非上市公司报表审计则尽量开展风险识别评估;同时,根据委托审计范围和目的,确定风险分布环节、概率和程度并依次识别风险因素种类和评估风险度,据以选择审计风险模型种类和应用操作方式等。
四、结论
计费系统收入风险审计 篇5
一般认为, 柔性是系统对未知变化的战略反应, 系统所具有的快速而经济地适应环境变化或处理由环境引起的不确定性的能力。系统面临的环境错综复杂、瞬息万变, 当这些环境与系统的组成元素发生相互影响、相互作用, 就会出现各种不确定性, 系统就必须具有一定的适应环境变化和处理各种不确定性的能力。
二、柔性的基本特征
从柔性的定义可以演绎出柔性的基本特征, 包括以下方面:一是相对性。柔性相对性是指柔性是相对刚性而言的, 刚性是指系统应遵循的法律、法规、规章与制度等内容;柔性是指企业适应环境变化时自身调整变革的能力。二是多维性。柔性本身作为一个系统, 是由范围维、成本维、时间维构成, 其具有多维性的特征。三是系统性。柔性的系统性是指柔性其本身构成一个系统, 由多个要素构成, 且各要素之间相互联系、相互依赖、相互制约, 呈现系统的特征。四是时效性。柔性是注重快速且经济地处理环境变化。当环境变化时一个系统能快速地做出反应, 发展有利局势, 则能获得重大价值;否则, 时过境迁, 很可能失去良机, 造成重大损失。因此, 柔性具有很强的时效性。
三、公司内部审计系统及其特征
公司内部审计系统是为了达到一定的目的 (即增加公司价值和改善组织营“人员流”, 即由公司内部审计系统所涉及的所有人员汇成的流动;“资源流”, 即由公司内部审计的各类资源汇合而成的流动;“信息流”, 即由任务和信息资料汇合而成的指导公司内部审计过程的信息流动。“信息流”对“资源流”的有序运行起到主导作用, “人员流”是“信息流”和“资源流”畅通的保证。公司内部审计这一复杂系统的基本功能就是增加公司价值和改善组织营运, 承担帮助公司实现整体目标的责任。其特征主要包括整体性、相关性、环境适应性。
四、公司内部审计系统柔性、刚性的内涵以及互动关系
(一) 柔性的内涵
公司内部审计系统柔性是内部审计系统有效适应环境、控制审计风险及实现目标的一种内在行为调控能力。内部审计系统柔性从根本上讲就是公司内部审计系统所拥有的实际与潜在能力的多样性及其反应速度和资源利用的有效性。在公司内部审计柔性架构内, 公司可以更好地识别环境的变化并做出审计战略调整, 从而快速并且经济地确立需要关注的重点项目和制定相应的审计实施方案。
(二) 刚性的内涵
内部审计系统刚性是与柔性相对的概念, 它是内部审计部门在执行内部审计活动中必须严格遵循的各项法律、法规和制度的总和。内部审计基本准则中的一般准则、作业准则、报告准则和内部管理准则都对公司内部审计工作提出了一系列的要求。另外, 公司内部审计过程包括确立目标、监测环境、评价自身能力、寻找和评价备选行动以及建立用于可实现内部审计目标的整体计划等一系列活动。在这个有序的过程中, 这些策略在一定程度上都有其刚性的一面, 它们必须保证内部审计系统的设计能够达到各相法律、法规和规章制度的要求, 当然, 在实际中可以通过柔性的执行和管理来实现。
(三) 柔性与刚性的互动关系
公司内部审计系统柔性与刚性具有对立统一性。当环境发生变化时, 公司的内部审计必然要发生变化, 需要重新制定方案、配置资源等等, 是否能够顺利做出调整, 就取决于该系统的柔性, 同时这种调整也必须受到约束与引导, 必须将公司内部审计系统的刚性作为其调整与转变的边界。公司内部审计系统柔性与刚性具有互补性。公司内部审计系统的刚性需要柔性的填充, 公司内部审计系统的柔性需要刚性作为支撑。公司内部审计系统应当制定一套健全的制度体系作为实现柔性的支撑, 这是一项重要的制度保证。
五、基于审计系统柔性视角下公司治理和完善内部审计的对策
一是改善内部审计机构设置, 增强内部审计的权威性和独立性。
二是改革传统审计方法, 注重有效的风险管理机制和健全的公司治理结构。
三是遵循成本-效益约束原则来实现公司内部审计系统柔性动力。
四是引入全面风险管理机制和公司内部审计系统柔性相机管理机制。
摘要:审计系统柔性作为应对审计环境的变化, 控制审计风险, 确保审计质量及提高审计决策效率是一种有效的、重要的方法。内部审计不仅是公司治理结构的重要组成部分, 也是完善公司治理的有效途径之一。文章基于审计系统柔性, 探讨审计系统柔性在审计系统中的作用, 详细分析了公司内部审计系统柔性的基本特征及内涵, 进而提出基于公司治理的完善内部审计的对策, 以降低审计风险。
关键词:系统柔性,公司治理,内部审计,审计风险
参考文献
[1]、赵华, 束继东.公司内部审计系统柔性动力:机理与策略[J].长沙理工大学学报, 2007 (2) .
[2]、刘仲英, 吴冰, 徐德华, 张新武.企业知识管理系统柔性与环境的战略匹配[J].同济大学学报, 2004 (6) .
计费系统收入风险审计 篇6
在社会经济及医疗改革的发展下, 患者对医院的管理要求越来越高。医院的经营管理水平与其长期稳定发展有重要的联系, 内部审计是医院经济管理的重要部门, 对医院的财产安全起着关键的保护作用, 信息化管理有效地降低了医院的成本, 提高了医院的经济效益与社会效益, 进一步推进了医院的长期发展。在医院快速发展及信息化系统的应用过程中也增大了内部审计的风险, 医院应加强对内部审计工作的监督力度, 避免出现违纪行为而造成医院的损失。面对医院内部审计风险, 应该采取积极有效的对策, 提高医院管理水平, 促进医院的长期稳定发展, 进一步推进我国医疗事业的发展。
二、内部审计存在的风险
(一) 规范的滞后性
在信息系统下, 医院内部审计的方式、审计对象及审计线索都发生了很大的改变, 传统的方式已经不适用了, 审计标准与方式也应该跟上发展的需求, 然而传统审计标准与方式还没有完全适应发展的需求, 具有一定的滞后性。
(二) 审计线索缺乏
在医院内部审计工作中, 内部审计人员主要是通过跟踪审计线索来搜集审计证据, 内部审计的过程实际上就是不断收集、鉴定及综合运用审计证据的整个过程。在传统的审计方式中, 所有的数据处理都是通过纸质表现出来的, 内部审计线索是可以看见的, 而在信息系统下, 内部审计数据的处理主要是通过计算机系统中的特定程序实现的, 数据的保留时间较短, 可以看见的审计线索也很少。此外, 数据的处理对系统的依赖性较强, 当程序准确运行时才能确保数据处理的准确性, 然而当程序出现错误时, 数据也会跟着出现错误, 加大了审计数据错误的风险。
(三) 审计手段的落后性
由于内部审计中的证据大部分存储于不可见的磁性介质中, 医院内部审计人员需要采用专业的计算机技术进行检查。此外, 由于信息系统处于持续运作中, 单机系统的审计方式已经不适用信息化要求, 医院内部审计人员需要在信息系统运行的同时进行审计。在信息化环境下, 对审计人员的审计方式及计算机操作技术提出了更高的要求, 但是内部审计人员的计算机操作技术及其掌握的网络知识并不全面, 审计手段较为落后。
(四) 信息化审计系统的局限性
当前已经有很多医院摒弃了传统的审计方式, 不断引进了信息化系统。内部审计中完备的信息系统是确保审计工作有效性的重要保障, 然而, 由于信息化系统本身存在一定的虚拟性、实时性等特性, 而医院信息系统中的审计软件受到医院传统管理模式及信息系统等多方面的限制, 目前还没有开发出确实可行的审计软件, 在很大程度上增大了审计工作的难度, 增大了审计风险。
(五) 审计风险的潜在性
目前信息系统已经被广泛应用于医院各个领域, 但是由于信息系统的应用处于初步阶段, 医院领导并不重视信息系统在医院内部审计工作中的应用。信息系统在我国医院中的应用处于初期, 医院审计信息化建设较为落后, 在很大程度上增大了审计风险的潜在性。在信息系统的应用过程中, 审计风险具有的潜在性特点也存在审计人员的日常工作中, 当审计人员在工作过程中出现差错时, 并没有相应的责任落实制度, 存在了潜在的审计风险。
三、防范内部审计风险的具体对策
(一) 制定和完善相关的法律法规
在医院的内部审计工作中, 业务记录是最为有效的审计证据。在信息化前提下, 电子信息已经代替了传统的纸质信息, 但是电子信息是否能作为有效的审计证据已经成为国际上有待解决的问题, 这一问题的解决需要依靠法律法规, 确保审计工作的有效进行。
为了确保医院内部审计工作有效性, 需要完善内部审计信息化法律法规。随着计算机信息技术的快速发展, 先进的信息化技术也广泛应用于内部审计制度中, 传统的控制管理检查技术部收到了新的挑战, 需要制定相关的风险防范规章制度以规避风险, 通过强化内部审计控制制度确保会计信息的准确性与可靠性。
(二) 建立风险防范制度
在医院信息系统的不断发展与应用下, 传统的纸质信息已经转变为磁性介质的电子信息, 因此对电子信息数据的长期保存提出了更高的要求。由于电子信息容易受温度、磁性物质及剧烈震动等多方面因素的影响, 加大了审计资料、数据保存的整体风险。此外, 采用新型的信息技术而存储下来的数据存储的信息很容易被访问及滥用, 甚至会被网络黑客攻击, 将数据盗取并将其用到非法用途上, 在很大程度上增加了内部审计风险。因此, 必须加强对风险防范措施的探索。比如可以建立严格的信息监督制度及信息存档制度, 以免造成财务信息泄露。此外, 还要建立网络管理规定、信息系统安全运行保密制度、系统软件运行管理细则及系统应用软件开发等风险防范规章制度, 通过建立这些科学合理的规章制度以提高内部审计风险的防范能力。
(三) 加强内部审计监督
信息化系统下内部审计风险的有效防范需要充分利用审计监督制度, 通过建立并完善内部审计监督制度, 对审计工作的完成情况、内部审计中违纪问题重复发生率、问题处理有效率及审计人员的工作能力等相关因素进行全面评价与考核, 并对内部审计工作取得的成效进行考核, 实现对内部审计工作的有效监督, 充分发挥内部审计工作在医院管理中的重要作用。
(四) 促进审计软件与数据库的开发与建设
信息系统中审计软件综合了大量的审计方法与审计技术, 系统软件中包含了内部控制评价、数据转换、抽样审计、会计报表生成及审计报告生成等多种的功能。在信息系统下, 需要提高审计软件的开发速度, 开发专门审计软件与通用的审计软件。
具备高新技术的专业审计软件能使所获取的数据更具可靠性, 采用信息技术将不可见的数据转化为可见数据, 并按照审计标准实现审计软件的查询功能、结果生成功能等, 对数据进行归纳与总结, 从而提高审计软件的使用效率, 使审计软件中的数据更具专业性与准确性, 降低审计风险。信息系统中的数据库建设是实现数据智能化处理的关键, 是系统平台建设的重点。这就需要加快审计统计资料、审计档案、审计法规及相关经济数据等数据库的建设。此外, 还要采用多个途径不断采集及更新数据, 实现内部审计信息化系统的数据库建设。
(五) 提高审计人员整体素质
在信息化系统下, 内部审计人员的整体素质在很大程度上影响了信息化系统作用的有效发挥。医院审计部门应加强对审计人员的培训, 定期对审计人员进行培训, 以财务理论知识、审计知识培训作为培训基础, 此外还要不定期进行实践操作演练, 使审计人员在掌握理论知识的同时提高自身操作技能。培养审计能力及计算机操作能力较强的综合型人才非常有必要, 通过对审计人员进行有计划、有层次的培训, 以提高审计部门的整体审计水平, 促进医院管理水平的有效提高。
四、结语
在医院管理信息化大环境下, 医院内部审计管理越来越趋向信息化, 然而在信息系统投入使用的过程中还存在较多审计风险, 医院可以通过制定和完善相关的法律法规及风险防范制度, 加强内部审计监督, 促进审计软件及数据库的开发与建设, 提高审计人员的整体素质等策略以规避风险, 促进信息化系统在内部审计管理中的作用。
参考文献
[1]玄志军.医院内部审计风险及其防范和控制[J].行政事业资产与财务, 2011 (19) .
[2]宋延海.医院内部审计风险问题分析[J].中国外资, 2011 (03) .
[3]赵玲.刍议医院内部审计现状对审计风险的影响及防范建议[J].经济师, 2010 (13) .
[4]方锦洲.浅析医院内部审计的现状和对策[J].时代金融, 2010 (17) .
计费系统收入风险审计 篇7
企业内部审计是通过检查企业内部控制制度的建立健全情况和内部控制措施的执行情况,对企业内部控制体系是否完整、有效提出评价意见,并就进一步完善内部控制体系提出审计建议等一系列独立、客观的评价和咨询活动,以评价和增强风险管理、控制过程的有效性,从而增加企业价值和组织经营效益的过程。内部审计在保障企业依法经营、完善公司治理机制、提高企业运营效率和促进企业可持续发展方面具有重要的意义。
2008年3月,审计署刘家义审计长在中国审计学会五届三次理事会上首次提出了审计“免疫系统”理论,而后,学术界对审计“免疫系统”的本质、内涵、功能以及定位等进行了多角度的研究。但我们发现,目前针对内部审计“免疫系统”的研究大多局限于对概念内涵的解释,对审计“免疫系统”应用的研究比较肤浅和表象,更鲜见针对免疫机制的研究文献。总体而言,现行对内部审计“免疫系统”的研究处于起步阶段。
免疫学中,免疫应答是生物体对抗原刺激所产生的以排除抗原为目的的生理过程,包括抗原提呈、特异性识别、免疫效应(抗原清除)和免疫反馈等过程。如果把企业看作一个生物体,企业在生产经营活动中所遭遇的各种风险看作“抗原”,由于内部审计具有预防、揭示、抵御企业经济运行中各种风险的功能,因此,内部审计本质上是企业的“免疫系统”,发挥着“经济卫士”的作用。
内部审计“免疫系统”的应答机制则是要弄清企业在面临内外部风险时,内部审计如何运作以及运作的流程等,这对于进一步理解内部审计“免疫系统”的本质,使审计“免疫系统”的相关理论真正服务于企业有着重要的现实意义。鉴于此,本文尝试借鉴免疫学中的免疫应答原理,从风险管理视角,研究企业内部审计“免疫系统”的免疫应答机制,旨在将审计“免疫系统”理论与企业的实际相结合,为拓展审计“免疫系统”理论的研究思路提供参考。
二、企业风险
企业风险是指企业在其生产经营过程中遇到的诸多不确定性或发生危险与损失的可能性。企业风险有多种表现形式,常见的企业风险有:
企业战略风险,表现为不恰当的企业发展规划或行动所导致的风险,如企业并购战略、战略联盟、经济的周期性波动风险等。
决策风险,表现为领导层决策失误或决策不科学,导致经营目标不能达到预期目的的风险,如企业资产质量与财务指标的判断风险、投资判断风险、人力资源配置的判断风险等。
经营风险,表现为不恰当的经营手段所导致的风险,如企业生产经营过程中由于供、产、销等环节的不确定性因素所引起的实际收益与预期收益发生偏离,使企业蒙受损失的可能。
财务风险,表现为企业失去融资能力、资金链断裂或面临无法承受的债务而导致的风险,包括筹资风险、投资风险、现金流风险、利率风险以及汇率风险等。
信息风险,表现为企业不能有效保护自身涉及生产、经营活动的机密信息,或对经济与产业政策不关注,与合作伙伴之间信息传递和交流不通畅等,从而使企业难以实现预定的经济目标,或对其战略实施能力产生负面的影响等。
人力资源管理风险,表现为企业骨干人才流失,对企业而言可能会影响到正常经营秩序、增加培养新人的时间和成本、削弱自身实力等。
环境与法律风险,包括由于战争、自然灾害等不可抗拒的因素所造成的风险等。
三、内部审计“免疫系统”的应答机制
1. 生物体免疫系统与企业内部审计“免疫系统”。
免疫学中,抗原是一类能诱发免疫反应的物质,抗体则是识别、清除生物体内抗原的物质,而免疫系统则是生物体为保护自身健康的一种防御性组织。在免疫系统中,T细胞和B细胞是两种主要的免疫活性细胞,在维持生物体内外环境稳定,消除体内抗原的危害方面起着十分重要的作用。当生物体遭受抗原刺激时,免疫系统能够识别出自体和异体,这个过程被称为免疫识别;然后,免疫系统会产生抗体,并通过一系列复杂的免疫反应,使生物体产生免疫力,这个过程被称为免疫应答。生物体通过一系列免疫效应,最终使异体得到抑制或清除,从而保护自身的健康。
与生物体免疫系统相似,内部审计在企业运营过程中也同样具有“免疫”机制,发挥着“免疫应答”功能。这是因为内部审计作为企业的一个独立组织机构,能时刻关注企业内外部环境变化所导致的风险,并能及时评价应对策略的规范性和有效性。同时,内部审计不仅能在第一时间感知企业运营中存在的问题,还能揭示管理上的薄弱环节。由此可见,内部审计不仅能够尽早感知企业风险,还能及时揭示风险带来的危害,并运用法定权限去抵御、查处风险,同时,建议企业决策层如董事会、审计委员会或风险管理委员会等,运用各种行政资源、经济资源等去消除这些危险,从而保证企业的健康发展。
生物体免疫系统与企业内部审计“免疫系统”的对应关系如表1所示:
企业内部审计“免疫系统”的免疫应答过程本质上是对企业风险的管理和控制过程,本文将内部审计“免疫系统”的免疫应答定义为:当企业在其经营过程中遭遇风险,内部审计“免疫系统”对风险做出适当反应,以消除或抑制企业风险所造成的危害,使企业保持良性发展。
2. 内部审计“免疫系统”的应答机制。
当企业遭遇风险时,内部审计“免疫系统”的应答机制可用图1表示。内部审计“免疫系统”的应答过程分为三个环节:一是免疫识别环节,这个环节相当于生物体免疫系统的免疫识别过程;二是初次免疫应答环节;三是二次应答环节。其中,环节二和环节三相当于生物体免疫系统的免疫反应阶段。具体过程描述如下:
(1)当企业遭遇风险时,审计人员根据风险刺激所产生的现象(症状),对风险进行特征分析,然后进入二次免疫应答过程。这一步类似于生物体免疫系统的“抗原提呈”阶段。
(2)审计人员根据步骤(1)中所提取的风险特征,与初次免疫应答中记忆检测器的记忆规则库(风险的特征库以及审计案例集)进行比对。如果比对成功,说明该风险是以前出现过的,然后,转入对该风险的处理程序,即风险应对处理;如果比对不成功,说明该风险是“可疑”风险(以前未出现过的风险或无关紧要的风险),此时,转入下一步,进入二次免疫应答过程,需要对入侵风险做进一步甄别。
(3)审计人员根据现有的法律法规、知识经验、审计方法和工具等,通过讨论、协商、会诊等专家知识工程机制,对“可疑”风险的特征、危害等做进一步分析。如果确认该“可疑”风险不是新的风险,或虽是一个新的风险,但其危害程度在企业可接受的范围内,则将该风险视为“自体”,此时,不做风险应对处理;如果确认该“可疑”风险是一个新风险(以前未出现过的风险),则该风险被视为“异体”,此时,审计“免疫系统”会通过产生新“抗体”(建立该新风险的响应策略),并实施免疫效应(风险应对处理),最后,形成免疫记忆(建立该类风险的案例库)。
(4)步骤(3)中形成的免疫记忆(风险案例库),通过免疫反馈机制,对初次免疫应答中的记忆规则库以及风险应对规则进行更新,形成持续性免疫记忆,便于今后对类似风险的检测。
内部审计“免疫系统”通过上述循环往复的应答,最终使企业能够适应复杂的内外部环境,提升其抵御风险的能力(获得免疫力)。
四、对内部审计“免疫系统”应答机制的几点说明
1. 免疫识别过程。
按照传统免疫学理论,生物体免疫识别是免疫系统的重要功能之一,也是免疫系统实施免疫应答的前提和基础。由本文前面有关内部审计“免疫系统”应答机制的分析可知,内部审计“免疫系统”的免疫识别也应该是审计“免疫系统”实施应答的基础和前提,在发挥免疫识别功能时,其工作过程如图2所示。
内部审计“免疫系统”的免疫识别过程对当前审计工作有如下启示:
一是要将审计工作中心前移。表现为: (1) 要高度关注企业发展的外部环境,包括宏观经济环境、法律环境、监管环境、所在行业环境等。内部审计要由过去只关注企业内部管理拓展到关注外部环境的变化,并对这些变化进行深入研究,以便及早感知风险,为业务部门和管理层提出建议。 (2) 要高度关注企业在经营中的内部风险。比如企业存在的产品单一、市场定位不清等风险,都将成为阻碍企业可持续发展的障碍。审计人员有必要提前介入、重点关注、及时分析和发现企业经营中的现实风险与潜在风险,积极主动地向决策者提供化解风险的意见和建议,只有这样,才能充分体现免疫识别的意义,才能更好地发挥内部审计“免疫系统”的防御功能。
二是要加强理论学习,不断提高识别风险的能力。免疫识别的核心内容是对企业所面临的各类风险进行有效识别,这要求审计人员要加强理论学习,不断提高识别“自体”和“异体”的能力。为此,要加大对现有审计人员的培训力度,既要加强对审计人员专业知识和相关业务知识的能力训练,又要培养其对企业经营管理情况和风险状况进行综合评价分析的能力。审计人员通过不断学习、调研和交流等,应提高对企业风险中“自体”与“异体”的主动识别能力,使内部审计的免疫识别功能得到充分发挥。
2.“学习—记忆”过程。
生物体免疫系统具有“学习—记忆”功能。当抗原初次入侵生物体时,免疫系统一时无法识别它们,但在抗原的不断刺激下,生物肌体内部会产生新的抗体,最终完成对初次入侵抗原的识别、应答,直至将抗原消除。此后,在生物肌体内总存有一定数量的抗体(记忆细胞),当同类抗原再次入侵肌体的时候,记忆细胞会根据抗原特征进行快速匹配,在比初次识别短得多的时间内对入侵抗原进行有效识别,这就是生物体免疫系统的“学习—记忆”机制。
内部审计“免疫系统”也存在类似的“学习—记忆”功能。由于企业所处的社会、经济环境以及市场情况复杂,新情况、新问题不断出现,内部审计“免疫系统”不可能感知和识别所有的风险。当企业遭遇新风险时,审计人员会花费相当长的时间和精力完成对新风险的识别、应答,直至将其消除或控制在可接受范围内,这个过程就是所谓的审计“二次免疫应答”。在“二次免疫应答”过程中,审计人员通过组织学习、经验交流、观摩和研讨、专家知识工程等形式,最终形成该类风险的若干特征(即图1中记忆检测器的记忆规则),同时,产生该类风险的应对方案(抗体),而且,这些风险特征和风险应对方案(抗体)会被保留在企业组织内部并为整个组织所共享。当企业再次遭遇此类风险时,内部审计“免疫系统”通过比对已有的风险特征(记忆检测器中的记忆规则),会在比初次识别短得多的时间内完成对该风险的识别,并能快速实施风险应对措施(风险处理),这就是内部审计“免疫系统”的“学习—记忆”过程。
内部审计“免疫系统”的“学习—记忆”机制对当前审计工作有如下启示:
一要对企业运营活动中出现的各种复杂情况保持敏感和持续的关注,对出现的新问题、新威胁进行专门研究。为此,首先要做好对已有审计成果的收集整理、加工提炼工作,对典型案例及其危害性应进行认真分析和总结,以固化审计免疫记忆力。其次,要通过组织学习、经验交流、观摩与研讨、专家知识工程等多种形式,对企业运营活动中出现的新问题、新情况进行研究,找出新风险的历史背景、作用条件、对企业的危害形式及影响程度等特征(形成记忆检测器中的新记忆规则),以便制定新风险的应对策略(产生新抗体),形成新的审计免疫记忆力。再次,及时更新记忆检测器中的记忆规则库(风险特征库以及审计案例集),清除与现有政策、法律、法规等不相适应的记忆规则。
二要加强信息沟通,建立有效的免疫反馈机制。审计免疫应答离不开高效的免疫反馈机制,这要求内部审计“免疫系统”在其运作过程中,与包括企业董事会、管理层、企业内部员工在内的成员和部门,建立良好的信息传递与沟通机制。通过沟通与反馈,使企业全面风险管理的理念取得全体成员的支持和配合,确保企业以全面风险管理为导向,在实施审计免疫过程中,各成员和部门各司其职同时又密切合作,以共同应对企业风险,完成内部审计“免疫系统”的学习、记忆、自适应等功能,最终确保企业战略目标的实现。
参考文献
[1].彭臻, 陈丽荣.内部审计是企业的“免疫系统”.商业经济, 2010;5
[2].刘家义.以科学发展观为指导推动审计工作全面发展.审计研究, 2008;3
计费系统收入风险审计 篇8
一、商业银行计算机网络系统的风险
1. 内部操作风险
商业银行计算机系统较为复杂,主要分为用于输入和输出数据的操作系统,用于储存和调出数据的数据库系统,用于维护计算机系统安全的服务系统三大类。系统类型的复杂增加了工作人员的任务量。银行工作人员在实际的银行业务操作过程中难免会因为工作时间过长、劳动强度太大而出现疲劳或体力不支的问题。透支健康的工作极易导致操作失误。举个例子,曾轰动一时的德国某银行工作人员在进行养老金转账时打了会儿瞌睡,导致2亿多欧元被误转。虽然是无意的操作失误,但酿成的悲剧惨不忍睹。
2. 外部入侵风险
计算机技术的发展对商业银行的发展利弊共存,它不仅提高了商业银行处理日常业务的效率,更增加了来自商业银行外部的入侵风险。外部入侵风险可以分为以下几个方面:(1)非法访问。非法访问是指未取得该商业银行计算机系统的操作权限而进行秘密访问的违法行为。这一违法犯罪行为充分利用了银行计算机系统的远程互联性,借助攻击工具从任意终端对银行的主机进行攻击。若主机被攻陷,银行的商业业务将面临严重的安全问题,轻者数据被篡改,重者系统陷入瘫痪;(2)窃取系统内部数据。窃取数据是指对商业银行内部数据的非法获取。不法分子通过修改银行系统程序获取关键数据的加密密钥。加密密钥一旦泄露,银行数据安全将面临严酷的挑战;(3)篡改传输数据。我国商业银行类型和分支机构众多,各银行之间主要依靠计算机网络系统开展业务往来。但是到目前为止,并没有专门的光纤通道用于银行之间的数据传输,这就加剧了不法分子利用这一缺漏篡改传输数据的危害;(4)病毒攻击。病毒攻击是不法分子攻击商业银行系统的主要手段。银行计算机系统一旦感染病毒,程序和数据将被严重破坏,系统功能将丧失。
二、商业银行利用审计控制计算机网络系统风险的探索
商业银行是资金周转的枢纽,接收存款发放贷款,从中赚取差价。每天经过商业银行办理的业务不计其数。由于商业银行计算机网络系统存在内部操作失误和外部入侵的风险,因而进行审计控制管理尤为必要。
1. 审计的内容
审计的内容可以分为三个方面。(1)对计算机网络系统内部控制的审计。商业银行计算机网络系统的内部控制是指银行为使利润最大化而采取的一系列规避风险的办法,如通过对会计日志的跟踪与审查规避资金风险,通过对工作人员的实时监督规避组织风险等等;(2)对计算机网络系统的审计。这一审计过程体现在银行网络系统的开发、运营与维护中。通过审计系统开发的可行性报告和银监会关于系统开发的要求,判断系统的安全性和可操作性;通过审计系统在运营过程中的漏洞,及时弥补漏洞造成的直接或间接损失;通过审计系统有无被黑客攻击或病毒入侵,维护系统的安全;(3)对计算机网络系统数据安全的审计。银行通过对工作人员的管理权限进行审计,确保数据的不被窃取或篡改;银行通过对工作人员输入和输出数据的审计,保证操作的合理和合法性。
2. 审计控制风险的方法
银行控制风险的方法有很多,如加强对设备的维护、改进防火墙技术、完善管理制度等等。其中,进行审计控制是规避风险的主要方法。审计控制不仅能运用在银行计算机网络系统的各个方面,更能提供清楚的审计报告,为管理人员审查业务情况节省时间,降低风险发生的可能性。
(1)健全性测试。
健全性测试是指通过调查、询问等方法,测试计算机网络系统内部控制的规范性和实效性,测试计算机网络系统的系统安全性和健全性,测试计算机网络系统数据的可靠性和完整性。通过健全性测试,可以保证银行系统的安全性和运行的高效性。
(2)符合性测试。
符合性测试是指在计算机网络系统中随机抽取业务进行全过程的操作性测试,将不符合操作规范和规章制度的业务制成反馈报告,及时发现并解决业务风险。对银行业务的符合性测试,可以提高银行的经济效益。
(3)安全性测试。
安全性测试是指通过设置系统权限,进行操作权限的追踪,确保商业银行计算机网络系统未被外界入侵;通过借助审计软件对业务报表进行分析,确保数据的准确性。安全性测试在商业银行中的应用较为普遍,对商业银行进行风险控制,最主要的审计方法是进行安全性测试。
三、结束语
随着计算机网络技术在商业银行业务操作中的普及,网络系统固有的风险增加了银行运作的风险。为提高商业银行运作的安全性,促进经济的高速稳定发展,进行银行风险控制是必要的措施。利用审计的方法进行风险控制是商业银行控制风险的主要手段。通过审计的健全性测试、符合性测试和安全性测试对系统进行内部控制,能确保银行内部控制的合理性与合法性;进行系统的安全维护,能确保系统运作的高效性和可靠性;进行业务数据的整合与审查,能确保银行业务的数据安全,促进我国经济的高速稳定发展。
摘要:商业银行由于其经理的业务资金量庞大、手续复杂,运用计算机网络技术确保商业银行工作流程的准确性、提高商业银行的运作效率尤为必要。但是计算机网络技术本身存在的安全隐患,会对商业银行信息的安全和系统的稳定造成负面影响。本文从对计算机网络系统的风险分析入手,探索维护商业银行计算机网络系统审计安全的办法。
关键词:商业银行,网络系统,风险,审计
参考文献
[1]孟大耿.商业银行信息系统的风险与审计研究[J].中国商界(下半月),2009(08).
[2]宋云.商业银行计算机审计问题研究[J].银行家,2009(04).
计费系统收入风险审计 篇9
关键词:风险导向,审计,会计信息系统
一、风险导向审计面临的新问题
(一)新的审计风险审计人员将风险导向审计运用于会计信息系统时,应当充分认识会计信息系统的风险,估计其可能产生后果的严重性。在会计信息系统环境下应用风险导向审计,必须将各种风险统一纳入审计风险的框架内,审计人员在考虑控制审计风险时需要加以注意。目前各种会计核算软件中的数据结构不尽相同,缺乏标准化、规范化,增加了审计难度,使审计人员在分析评估审计风险时感到棘手。尽管这些软件基本上符合财政部发布的《会计核算软件基本功能规范》,但从系统功能模块的划分到数据库文件的设置,从采用的工作平台到使用的计算机语言,从单机到网络环境,从单纯使用关系型数据库到应用大型数据库资源等,都十分复杂。
(二)新的审计线索在手工审计条件下,账、表、证每一步的审计线索都很清楚,但在会计信息系统环境下,账务处理全部由系统按照一定的程序指令来完成,手工审计线索基本消失。在某些系统中,传统的原始凭证可能不复存在;在主文件中可能看不出计算汇总所依据的明细数据,而明细数据作为过程文件已不存在;数据处理过程不一定提供业务的日常记录,若要提供需要采用专门的程序;系统不一定或不可能打印出全部的原始资料,一般只打印汇总结果。会计信息系统对审计线索的这些影响,使得数据输入、处理和输出的控制以及计算机操作过程成为审计的重要内容。审计人员应当加强对会计信息系统应用控制及上机日志的审查,追踪审计线索。其中,应用控制是指会计信息系统中具体数据处理功能的控制,应用控制有其特殊性,不同的系统有不同的应用控制,但一般都包括数据输入、处理和输出,审计人员应当重视对应用控制的审查,从中发现审计线索。
(三)新的证据形式审计证据是审计人员在执行审计业务过程中,为了形成审计意见获取的证据。一般而言,审计证据可以分为书面证据、实物证据、口头证据和环境证据等,其中书面证据是主要的证据形式。企业会计信息系统发展到内部联网、模块集成阶段时,企业内部传递的各种单据文证将逐渐减少,取而代之的是磁记录。随着企业会计信息系统的发展,电子记录形式的审计证据将成为与书面证据并重的一种审计证据。
二、ABC 企业审计案例
(一)审计准备阶段
(1)审计背景。在审计实务中经常遇到部分企业在年中年末应该公布会计报表时,运用多种手法做假账的现象。其中虚构交易事实,增加销售收入、其他收益,或者使用不当的收入、费用确认方法是其调节利润的主要方法。2013年在对ABC企业审计中,运用风险导向审计方式,在对该单位会计信息系统内部控制评价的基础上,通过ODBC连接下载该企业会计核算系统数据,运用SQL语句进行分析性复核,发现该企业存在虚构销售对象、成本不实等问题。
(2)ABC公司基本情况:ABC公司是一家生产化工原料的大型企业,在行业内具有一定的知名度,该企业产品比较单一,执行《企业会计制度》和《企业财务制度》。
(3)会计核算系统。企业使用的会计软件系该单位委托外单位开发的,包括总账系统、固定资产系统、工资系统、应收款项系统、应付款项系统、成本管理系统、库存商品系统、资金管理系统、现金流量表系统、报表系统、财务分析系统,使用Microsoft SQL Server数据库,系统采用Client/Server结构,每年产生的数据量较大,数据于后台存放。
(4)审计风险的确定。根据通常约定,审计人员将审计风险定为中等,为5%,考虑到这是第一次对该单位进行审计,审计人员对该行业的情况不熟悉,为谨慎起见,审计人员将固定风险确定为最高(100%),为了进一步降低实质性测试的工作量,审计人员决定对该单位的内部控制进行测试和评价。
(二)对会计信息系统内部控制的评价审计过程中,审计人员首先对被审计单位的会计信息系统一般控制和应用控制进行了了解,并进行了符合性测试。
(1)审计人员使用的审计方法和实用工具。
内控调查表。审计人员设计了一系列关于会计信息系统一般控制、应用控制方面的调查表格,发放给系统设计、使用、维护部门人员填写,与他们座谈了解软件概况,并与他们一同观察系统运行使用情况。
检查流程图。分别就部分文本流程图、数据流图、系统流程图和程序流程图,查阅了解软件系统中存在哪些控制、在哪里控制、如何控制等方面的信息,抽查选定个别输入程序流程,追踪检查输入的样本业务,验证有关控制措施在实际执行的程序中是否有效。
审计数据检测。审计组制定了详尽的测试计划,对程序模块处理功能进行数据检测。测试数据项包括正常、有效的交易数据,不正常、无效的交易数据,破坏性数据。最后,将程序运行结果与手工计算结果、预期结果进行比对,判断有关程序的控制与处理功能是否恰当、有效(如表1)。
(2)审计人员在符合测试中发现的问题。
第一,系统使用管理与控制不够有力。存在的问题主要包括:访问控制不强,口令未定期更新;系统未及时更新防杀病毒软件。
第二,业务设计尚有欠缺。系统对系统内的子系统数据未提供自动转换功能。审计人员对库存商品进行分析检查时发现,财务会计系统销售收入金额与库存商品系统的出库金额不等,原因是系统没有提供对财务会计系统与库存商品系统之间的自动转换功能,被审计单位可以进行人为调节。
第三,系统功能不完善,部分功能模块存在漏洞与缺陷。系统参数管理及控制功能薄弱,部分参数设置、使用违规。检查该单位固定资产表文件,发现部分交易参数设置违反了国家关于固定资产提取折旧的管理规定。如系统中建筑物的使用年限为15年,而国家税务总局规定:房屋、建筑物类固定资产计提折旧的最低年限为20年。
(3)对会计信息系统内部控制的评价。通过对会计信息系统的了解和符合性测试,认为该单位的会计信息系统是一套相对完整的管理、核算系统,但该软件系统的开发、设计和使用方面不够规范,部分功能模块存在缺陷与隐患,有的参数设置违反了国家法律、法规,影响系统软件的合法、安全运行和数据的正确处理,不利于企业经营损益的真实反映。根据会计信息系统内部控制的评价结果,审计人员将ABC公司的内部控制风险评价为35%(如表2)。
为降低审计风险,根据审计风险模型,确定检查风险为14%。审计人员认为需要在数据文件审计阶段执行更多的实质性测试。同时,根据符合性测试结果,审计人员将实质性测试的重点放在销售收入业务和生产成本确定两方面。
(三)数据文件审计阶段
(1)下载数据。审计组进点后,考虑到该企业会计信息系统是数据量大,数据后台存放的网络数据库系统,审计人员认为可以通过ODBC来连接该企业的会计信息系统数据库,获取2013年该企业会计信息系统完整的数据,具体方法如下:
首先,在被审计单位的网络管理人员配合下,配置审计人员使用计算机的网络参数,使计算机能够与被审计单位的会计信息系统正确相连,主要的配置参数包括:IP地址、掩码、网关。
然后,创建一个SQL Server数据库系统数据源。在控制面扳中打开管理工具,选择ODBC数据源图标,双击图标,打开ODBC数据源管理器选择系统数据源页面,并按添加按钮,在弹出的页面中选择“SQL Server”条目后,在弹出的窗口中填入相应的内容,在“名称”一栏中填入要创建的数据源名称,在“你想连接哪一个SQL Server服务器”中填入SQL数据库服务器的名称,按下一步到出现“更改默认的数据库为”后,选择会计信息系统的数据库,完成后按下一步按钮,测试完数据连接后,就完成了ODBC配置。
再然后,使用ODBC获取数据。打开Access建立一个新的数据库,在文件菜单下的获取外部数据栏的子菜单中选择导入菜单,在弹出的窗口中选择文件类型为ODBC数据库文件类型后,将弹出选定数据库窗口,选择机器数据源选项,这里选择已建立的系统数据源。选择好数据源后,Access将显示可以导入的数据对象,选择要导入的数据表后按确定,数据库中的数据就导入到Access中了。
(2)分析数据结构。审计人员通过积累的审计经验,并积极和被审计单位的相关部门沟通,确定了审计人员必需掌握的三张数据表和商品销售表,同时标识出每张表及其字段的经济含义。由于本案例中企业运用的是自主开发的软件,对数据表的结构分析主要依赖审计人员的计算机审计知识以及与被审计单位财务人员的沟通。审计人员在审计中主要需要以下表KMFILE(科目代码表)、PZFILE(凭证库)、YEFILE(科目余额表)、SPFILE(商品销售表)。
第一步,打开数据库文件,选择PZFILE.DBF(凭证库)表,打开数据表设计视图,选取该表中DATE(日期)、IPE(凭证号)、DIGEST(摘要)、AMOUNT(数量)、MONEY(金额)、DC(借贷方)、MONTH(月份)、DFKMBH(对方科目)等字段,对各字段重新命名,保存结果,同时将新表重新命名为“凭证表”。
第二步,选择KMFILE (科目代码表),选择该表中CODE(科目代码)、NAME(科目名称),对各字段重新命名,同时将新表重新命名为“科目代码表”。
第三步,选择YEFILE (科目余额表),选择该表中CODE(科目代码)、MB(科目年初余额),对各字段重新命名,同时将新表重新命名为“科目余额表”。
第四步,选择SPFILE(商品销售表),选择该表中DATE(入账日期)、DCCODE(单位代码)、SPCODE(商品代码)和AMOUNT(数量),对各字段重新命名,并将新表重新命名为“商品销售表”。
(3)数据整理和清洗。在取得的电子数据中,存在不符合审计要求的数据,需要进行处理。
数据库中的空值(NULL)不等于0,会影响数据的汇总和正确比较大小。发现凭证库表中的AMOUNT (数量)、MONEY(金额)数值型字存在空值(NULL),审计人员编写SQL语句将空值记录替换成0,SQL语句为:update凭证库set数量 =0 where数量is null;update凭证库set金额 =0where金额is null。
数据类型转换。在凭证库中,月份是文本型文件,为审计的要求,需要将其转换为数值型文件update凭证库表setint(月份)as月份。
(四)审计发现的主要问题及审计方法
(1)企业虚构销售对象、虚增销售收入问题的审计。
提出审计需求。根据审计人员经验,企业的销售数量如果在会计期末有巨额的增长,则有可能是虚假的销售,虚增利润的行为,审计人员应当筛选出符合上述条件的记录加以详细审查。
打开数据表、选取字段。打开数据库,选择商品销售表,根据审计需求选取“商品销售表”表中的入账日期、单位代码、商品代码和数量等字段。
分组汇总并排序。按照入账日期、单位代码、商品代码进行分组,按照数量进行汇总,并按数量进行降序排列。
分析结果。按照排序结果分析。从查询结果中可见,该单位2013年第一条记录发货数量远远高于其他数量(12月30日,发货1万多件),应作为重点进行调查。审计人员将分组排序后的数据转换为EXCEL格式的文件,运用EXCEL软件中统计功能对数据进行统计分析,由分析结果可见,在99%的置信区间下,该企业产品销售数量主要集中在(-70.68~5808.779)的水平。而销售给某单位数量1万件的某品种产品为异常情况,远远超过排序第二的5027件的数量,审计人员据此判断,应当将第一条记录作为调查重点。
审计结果。通过检查该项业务的原始附件发现,一是该笔业务没有相应的购货合同;二是提货单显示该笔销售的1万多产品竟在一天内全部由购货方用卡车提货运走,审计人员认为这不符合常规,不太可能。经进一步调查后查明,被审计单位为了完成利税指标,在2013年12月30日虚构销售对象,虚增销售收入7000多万元。
(2)企业成本核算不实问题的审计。
提出审计需求。审计人员根据企业的生产特点,选择具有固定单耗定额的辅料如包装箱、包装盒、辅材A等作为分析对象,对各辅料的定额消耗和账面消耗进行对比分析,查找审计疑点。
包装箱、包装盒、辅材A与企业产成品在数量上的关系如下:
产成品=包装箱×5=包装盒×250=辅材A×2500
生成材料结转辅助表。打开数据表,选取凭证表,根据审计需求选取科目代码、借贷方、数量、月份、对方科目代码等字段。
在凭证库查找科目代码字段以123开头(材料的科目代码)并且借贷方字段为-1(贷方值)并且对方科目代码字段以401(生产成本的科目代码)开头的所有记录。
查询结果生成后,可以看出当年所有记入成本的材料明细记录,将查询结果保存为“材料结转辅助表”。
生成产量统计表。打开数据表,选取凭证表,根据审计需求选取科目对方、数量、月份、对方科目代码等字段。
在凭证库查找科目代码字段以137开头(产成品的科目代码)并且借贷方字段为1(借方值)并且对方科目代码字段以401(生产成本的科目代码)开头的所有记录。以月份分组、对数量字段求和。Group By凭证表·月份查询结果生成后,可以看出每月从成本结转的产品数量汇总记录,将结果保存为“产量统计表”。
计算产品材料单耗。打开数据表,选取材料结转辅助表、产量统计表、科目代码表。建立数据表之间的关联关系:科目代码表·科目代码=材料结转辅助表·科目代码;材料结转辅助表·月份=产量统计表·月份。根据审计需求选取材料结转辅助表中的月份、数量字段;产品统计表中的数量字段;科目表中的科目名称字段。
审计结果。在得到该企业产品材料单耗表后,通过与企业产品单耗的定额进行对比分析来查找异常。在本案例中,一箱产品消耗的包装盒定额应至少为250个加上正常的损耗,而实际上从产品单耗表上可得知该企业1~11月份包装盒的消耗量小于250个,明显出现异常。在发现该审计线索后,经审计人员查明,ABC企业年初未将上年结余辅料退库处理,造成本年账面的辅料消耗量小于实际消耗量,由此造成当年成本不实3000多万元。
四、会计信息系统环境下风险导向审计建议
(一)积极探索会计信息系统环境下新的风险评价办法会计信息系统内部控制是单位内部控制系统的重要组成部分,在会计信息系统环境下出现了许多新风险,审计人员必须对内部控制制度实施符合性测试,识别会计信息系统中风险的情况,了解内部控制在多大程度上确保系统中会计记录的正确性和可靠性,并据此确定实质性测试的程度和范围,目前对风险的评价主要还是定性分析的方法,能被大家广泛接受的定量计算方法几乎没有,建议探索新的风险评价方法。
(二)完善相关标准和准则目前国内有关计算机审计的审计标准和准则有:1996年审计署发布的《审计机关计算机辅助审计方法》、1999年实行的《独立审计具体准则第20号———计算机信息系统环境下的审计》等。面对日益发展的会计信息系统审计,以前制定的各种审计准则已不适合要求,需要针对新的形势,完善有关会计信息系统的审计标准和准则,建立与新情况相适应的审计准则,规范审计业务的发展,降低审计风险。