计算机审计风险(精选12篇)
计算机审计风险 篇1
一、前言
计算机审计是随着信息系统和信息技术的发展而不断发展的, 计算机审计的实践经过一个由低级到高级的历史进程。从1968年美国会计师协会发表了《电子数据处理系统与审计》一书来详细地探讨了审计和电子数据处理系统的关系, 提出了一些计算机辅助审计的方法, 计算机审计开始了它的发展历程。1983年, 美国EDP审计人员协会发布了一套EDP控制标准—《EDP控制目标》, 提出了电算化系统的一系列总的控制标准, 这套标准的颁布和实施则说明计算机审计的实务发展已处于成熟阶段。我国的计算机审计从20世纪80年代末至今有二十多年的历史, 计算机审计从无到有、从简单到复杂、从局部探讨到逐步走向成熟。
计算机审计的初衷是要应对迅猛发展的企业会计管理信息化, 是为了解决审计风险加大, 审计工作效率和效果低下的难题, 然而, 在计算机审计广泛应用的近十几年里, 审计失败和审计诉讼案件却在急剧增加。一些会计师事务所因诉讼而陷入困境甚至倒闭。这些事件给我国会计师事务所和审计人员带来了沉重的甚至是毁灭性的打击。上述的事件表明, 审计风险无时不在, 而且愈演愈烈。如何在计算机环境下有效地控制不确定因素引发的审计风险及其不良后果, 期望以最大限度的安全保障, 达到最理想的审计结果, 己成为了审计理论界和实务界极为关注的课题。
传统审计风险研究己经相对成熟。而随着信息时代的到来, 传统的审计理念和方法都受到了重大的冲击, 审计风险随之加大, 特别是计算机环境下的审计风险问题越来越受到人们的关注。而与计算机审计相对应的审计准则还没有完全建立起来, 其风险研究的理论体系尚未成熟, 因此, 对计算机环境下的审计风险进行研究是十分必要和迫切的。
二、计算机审计风险
(一) 计算机审计的概念
计算机审计是在信息化环境下, 计算机科学与技术、传统审计学、管理学、行为科学、系统论、数理统计等科学相互融合、渗透而产生的一门新的审计学科。随着计算机审计在实践中的发展, 我们对它的认识也起来越深刻了:计算机审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点, 在对信息系统进行检查测评的基础上, 通过对底层数据的采集、转换、清理、验证, 形成审计中间表, 并且运用查询分析、多维分析、数据挖掘等多种技术方法构建模型进行数据分析, 发现趋势、异常和错误, 把握总体、突出重点、精确延伸, 从而收集审计证据, 实现审计目标的审计方式。
计算机审计主要包括下列两个方面的内容: (1) 对包括会计电算化在内的信息系统的设计进行审计, 以及对包括在会计电算化在内的信息系统的数据处理过程和处理结果进行审计。 (2) 是审计人员利用计算机辅助审计, 即是把计算机作为工具, 将计算机及网络技术等各种手段引入审计工作, 建立审计信息系统, 帮助审计人员完成部分审计工作, 实现审计工作的办公自动化。
(二) 计算机审计风险
1、计算机审计风险的定义。
计算机审计风险是指审计人员在对被审计单位会计电算化系统进行审计后作出的审计结论与被审计事项实际情况相背离的可能性。也可以理解为审计人员不能正确合理地运用计算机审计技术, 从而导致审计结果与事实不相符, 发表不恰当的审计意见。对计算机环境下的审计风险进行研究的意义与作用主要表现在以下几个方面:
一个方面, 对建立和规范计算机审计准则提供重要的参考依据。传统审计准则已经相对完善, 而在计算机环境下, 我国目前计算机应用于经济管理的法律法规体系有欠完善, 有关计算机审计实施和控制的具体标准尚未出台, 给实际审计工作带来实质性困难和风险, 因此研究计算机审计风险很有意义。
另一个方面, 有利于审计工作者开展审计工作, 降低其审计风险。企业引进计算机信息系统和网络技术参与会计管理工作和审计人员利用计算机辅助审计工作, 改变了传统的审计工作模式, 同时也增大了审计工作者的审计风险, 因此对计算机环境下审计风险的分析和研究对规避风险十分重要。
最后, 有效地提高审计工作的质量和效率。现代审计是风险导向审计的时代, 审计工作人员在审计过程中的每一个步骤和具体程序要会考虑到风险因素, 判断其风险是否超过可容忍范围, 进而决定之后的步骤和程序, 最终达到提高审计工作质量和效率的目的。因此, 计算机环境下审计风险正确的识别和分析是提高审计工作的质量和效率的重要武器。
2、计算机审计条件下新的审计风险。
审计风险取决于重大错报风险和检查风险, 注册会计师应当实施审计程序, 评估重大错报风险, 并根据评估结果设计和实施进一步审计程序, 以控制检查风险。重大报错风险是指财务报表在审计前存在重大错报的可能性。检查风险是指某一认定存在错报, 该错报单独或连同其他错报是重大的, 但注册会计师未能发现这种错报的可能性。
在计算机审计条件下, 由于信息技术的应用, 电子化会计数据存在被滥用、篡改和丢失的可能, 手工系统中纸面上的信息易于辨认、追溯, 而在电算化系统中, 由于存储介质的改变, 一旦非法用户透过计算机系统的“防火墙”, 极易破坏和修改电子数据, 且不留痕迹;计算机病毒、电源故障、操作失误、数据处理错误和网络传输错误也会造成实际数据和电子账面数据不相符, 这些都增加了重大错报风险。
而在计算机审计条件下, 也增加了一定的检查风险。会计软件的更新换代, 使历史文件难以提取。由于软件的更新, 难以从往年账套里提取历史数据, 迫使审计师不得不从大量的文档中收集整理历史数据, 既降低了审计效率又带来了更多的检查风险。
3、计算机审计风险的成因分析
(1) 传统审计线索逐渐消失。在手工会计系统中, 从原始凭证到记账凭证、账簿记录以及财务报表的编制, 每一步都有文字记录, 都有不同的经手人签字, 审计线索十分清晰。但在会计电算化系统中, 传统的账簿没有了, 绝大部分的文字记录消失了, 会计信息大都存储在磁盘或磁带上, 因此, 肉眼所见的线索减少了。况且, 存储在磁盘上的数据很容易被修改、删除、隐匿、转移, 又无明显的痕迹, 因此, 审计人员发现错误的可能性就减少了, 而审计风险就增加了。
(2) 审计技术、方法日趋复杂。实行会计电算化后, 审计技术和方法有了很大的变化, 由于被审计单位采用的会计应用软件有的是商品化软件, 有的是自行研究开发的软件, 在功能、程序处理上都有着一定的差别, 其要求运用的审计技术和方法也不一样, 从而给审计人员的审计增加了复杂性, 审计人员如果对软件不熟悉或采用了不恰当的审计技术和方法, 必然会带来审计风险。
审计人员计算机知识的缺乏。目前, 大部分审计人员对于计算机知识普遍缺乏, 而随着会计电算化的实行, 审计的对象也更多更复杂了。因此, 审计人员除了要有专业的审计、会计知识外, 还必须掌握一定的计算机知识和应用技术, 否则, 审计人员得出的审计结论有可能偏离被审计单位会计信息系统的实际, 从而造成审计风险。
(3) 在动态中进行审计取证较难。在某些大型企业, 计算机会计信息系统是一个很大的网络系统, 每天都要进行成本和利润的结算, 进行生产动态分析, 供管理层决策参考, 因此, 系统必须一直都处于运作当中, 一旦停止工作, 将会给被审计单位造成很大的经济损失。而计人员一方面要完成审计任务, 一方面又不能妨碍和终止被审计单位会计信息系统的运作, 这样就只能在系统运作过程当中进行取证, 难度较高, 也存在着一定的审计风险。
(4) 被审计单位内控制度的不完善。在手工系统中, 内部控制测试是看得见、摸得着的, 但在经济信息系统计算机化后, 内部控制的技术和方法发生了变化, 主要表现在:一是内部控制措施由手工控制转向以计算机控制 (包括硬件和软件控制) 为主;二是计算机条件下的手工控制的内容发生了改变, 主要指手工条件下的手工控制措施在计算机条件下已经失效, 代之以新的手工措施。因此, 内部控制的技术和方法的变化使得原有的控制措施都已不适合了, 大部分控制措施都是以程序的形式建立在计算机会计信息系统中, 肉眼无法觉察, 在很大程度上依赖于计算机处理。而计算机会计信息系统的内控功能是否恰当有效会直接影响系统输出信息的真实和准确, 内控环境的复杂性以及内部控制的局限性也使舞弊行为有机可乘, 从而增加了审计风险。
(5) 缺少科学的计算机会计信息系统审计的标准和准则。对于以往手工系统的审计有诸多的审计标准和准则加以参考, 但是对于会计电算化信息系统进行审计时, 由于审计对象和审计线索等发生了变化, 审计的技术和手段也相应地发生了变化, 原来的一些标准和准则显得不适用了, 新的适用于会计电算化信息系统审计方面的标准和准则尚未出台, 因此, 也容易产生审计风险。
(6) 现行会计软件评审机制存在缺陷。现行会计软件的评审主要侧重于软件功能的构成要素及会计处理方法的合理性, 忽视了审计线索的保全性;评审侧重于会计软件运行的结果与手工一致, 忽略了对软件开发过程内部控制系统的评价;评审依赖于会计电算化专家小组及部分用户的意见, 忽视了软件的审计特征;评审的结果可能同审计人员的意见产生冲突。这些都给审计人员的工作带来了一定的困难和风险。
三、计算机环境下的审计风险的控制
只有弄清风险形成原因, 才能控制。我们可以针对上述形成风险的原因, 制定相应的控制措施, 有效地预测和控制风险, 提高计算机审计的效率。
(一) 注重计算机审计的事前和事中审计
加强计算机审计的事前和事中审计是降低计算机审计风险的有效途径之一。由于在计算机环境下审计文件的消失, 使审计风险加大, 要求审计人员对计算机审计软件数据库的设计理念和方式有深入的了解;同时, 也要对计算机处理原始数据所形成的审计线索有较好的把握, 应对事中、事前的审计文档进行深入的研究和清查。不但要注意文档的审计, 还要对计算机审计软件的设计和评估进行事前和事中审计。
由于要审计的内容大都存储在磁性介质中, 而磁性介质很容易被篡改、删除而不留下任何痕迹。因此, 对于计算机会计信息系统审计一般应采用就地审计或突击审计的方式。在进行审计时, 可以采用事先不通知操作员或程序员的情况下, 把系统中正在运行的数据拷贝出来进行审查, 以防操作员把数据篡改、删除等, 只有这样, 才能保证被审程序和数据的正确、完整性, 也才能有效地降低审计风险。
建立必要的上机操作控制和系统运行日志。建立健全上机的规章管理制度, 对系统的用户身份、操作参数和运行状态、事故类型等进行实时监控和记录, 并定期检查、评比, 做到奖罚分明。
(二) 选择恰当的审计方法与技术
审计人员可以根据被审计单位不同的会计信息系统而采取不同的审计方法和技术, 从而有效地降低审计风险。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时, 则可采用绕过计算机的审计方法, 用核对、复核、分析等审计技术当被审计单位采用实时处理, 纸质的审计线索较少且输入输出不能直接核对时, 则可采用计算机审计的方法;当被审计单位采用每时每刻都在运行的会计信息系统, 审计过程中不能终止工作时, 则可采用制度基础法, 首先对被审计单位计算机会计信息系统的一般控制和应用控制进行审查, 根据一般控制和应用控制审查的结果决定抽查的重点、范围和方法。这样, 既可以降低审计风险, 又可以减少对被审计系统正常工作的影响。
(三) 建立统一审计通用数据标准和设立审计测试预留通道
由于被审单位各操作部门计算机审计软件设计目的侧重点不同、原理不同、数据传输格式不同、语言环境不同等因素, 使所形成的电子数据格式不一, 审计难度加大。相关职能部门应尽快制定出相应的操作规范设计标准, 使会计软件的审计数据有统一的格式。同时, 审计的实时性要求在对审计软件进行测试时, 应设置审计测试预留通道, 更好维护审计数据库, 并且能直接与会计电算化软件进行数据调用, 拓展审计软件应用范围;但要注意电子数据标准和测试预留通道一定要适合本部门的计算机审计水平和业务管理的需要, 不一定强求一致, 也不可以急功近利。
(四) 积极取得被审计单位的支持和配合
在进行计算机审计时, 如果被审计单位的财务人员、操作人员不予配合, 把存在磁性介质当中以及会计信息系统中的财务数据进行加密、修改、删除、隐匿等, 则审计人员很难进行审查, 因此, 审计时应积极取得被审计单位的支持和配合, 来降低审计风险。
加强内部控制制度的审查。内部控制制度是审计的基础, 为了确定这个基础是否扎实, 即内部控制制度是否健全、有效, 审计人员就必须对被审计单位的内部控制制度进行审查。在分析和评价被审计单位电算系统内部控制制度时, 应遵循以下步骤:一是调查分析系统可能存在的错误类型和非法行为;二是明确预防或发现错误应有的内部控制;三是分析被审计单位现有的内部控制是否充分;四是分析被审单位现有的内部控制措施是否有效。只有充分审查以保证内部控制制度的完善和有效, 才能减少审计中的控制风险。
(五) 建立继续教育机制
通过教育的方法来改善目前审计从业人员的知识构成可以从根本上防范审计的内在风险。而针对审计人员知识构成的现状, 一方面应该注重引进人才, 将引进人才与自主培养结合起来, 逐步建成审计人才队伍的“金字塔”结构。另一方面, 应该完善目前的审计人员从业资格考试 (注册会计师考试) 的内容, 将有关的计算机辅助审计基本技能的要求以及信息系统审计的一般知识 (如对企业信息系统内部控制的评价) 等作为考核的一个内容, 以全面考察信息技术环境下审计人员的从业资格。
(六) 建立健全会计电算化信息系统审计的标准和准则
目前国内审计标准和准则有:1996年审计署发布的《审计机关计算机辅助审计方法》、1999年施行的中国独立审计具体准则第20号《计算机信息系统环境下的审计》、2001年国务院办公厅发布的《关于利用计算机信息系统开展审计工作有关问题的通知》、2004年审计署发布的《审计信息化工作指导意见》等。面对日益发展的计算机审计, 人们以前建立的各种计算机审计准则, 有的已不适用于会计电算化信息系统审计, 这给会计电算化信息系统审计带来了一定的风险, 需要针对新的形势制定相应的工作标准。大力加强对计算机审计的研究, 完善有关计算机审计标准和准则, 建立一系列适用于会计电算化信息系统审计的标准和准则, 它包括系统设计、开发、运行、维护等标准, 以及与其相适应的内部控制制度, 来规范计算机审计业务的发展, 降低计算机审计风险。
(七) 改进会计软件的评审机制
财政部门对会计软件独家评审的纵向评审机制, 给会计电算化信息系统审计工作带来了一定的困难和风险。因此, 需要对会计软件评审机制进行改进, 在会计软件通过财政部门评审前, 由审计机关组织专家对软件开发商进行软件开发审计, 并做出审计结论, 财政部门参考审计结论, 最终做出是否通过评审的决定。基层的审计人员只需参照审计结论来审查、评价基层用户的会计软件系统。这样就使审计人员和财政部门评审人员共同分担了评审责任和风险。
(八) 积极开发和使用电算化审计软件
随着会计电算化的普及和网络化的不断升级, 审计的难度也越来越大, 开发和使用优秀的电算化审计软件, 一方面可以提高审计的效率, 另一方面也能够有效地控制和降低审计风险。
社会的进步、技术的提高使软件要不断更新, 用旧有技术设计的软件是导致审计风险形成的主要原因。应根据新的计算机和互联网技术来提高软件的现实性和实用性, 同时要及时更换审计所需硬件设备。
(九) 加强审计主体的风险控制
实行用户分级授权管理。按照网络化审计系统需要设置审计岗位, 建立健全岗位责任制, 并通过每个用户的安全级别和身份标识来落实其职责与权限, 做到奖勤罚懒。
定期调整内部控制人员的监管权限, 避免少数人钻内控制度不严的空隙, 防止内部人的合谋串联作弊。
总之, 经济信息系统电算化的发展不仅是向审计工作提出新的挑战, 同时也为审计人员提供了新的用武之地, 为审计带来发展的新机遇。开展计算机审计时, 审计人员只有做到全面分析计算机审计风险的形成原因并认真落实其防范措施才能够提高审计的工作效率和质量, 促使电算化经济信息系统向更高目标迈进。因此, 从事审计工作的人员除了要有审计专业知识, 还要具备和熟练掌握过硬的计算机知识及丰富的实践经验, 才能开创审计工作的新局面。
摘要:随着信息时代的到来, 传统的审计理念和方法都受到了重大的冲击, 审计风险随之加大, 特别是计算机环境下的审计风险问题越来越受到人们的关注。而与计算机审计相对应的审计准则还没有完全建立起来, 其风险研究的理论体系尚未成熟, 因此, 对计算机环境下的审计风险进行研究是十分必要和迫切的。本文主要通过介绍风险和计算机环境下审计风险的概念, 成因和防范, 更深入的了解计算机环境下的审计风险问题, 并且通过加强对审计风险优化管理, 提高计算机审计对重大错报风险的评估水平, 降低计算机审计的检查风险, 从而降低计算机环境下的审计风险。
关键词:计算机环境,审计风险,控制
参考文献
[1]、李学柔, 秦荣生:《国际审计》, 中国时代经济出版社2002版。
[2]、胡明军:《浅谈如何防范计算机审计风险》, 载《中国高新技术企业》2007年第6期。
[3]、张海霞:《计算机审计风险的形成与规范》, 载《湘潮》2007第8期。
[4]、赵军: 《信息时代计算机审计的风险与防范》, 载《商业会计》2007第2期。
[5]、冯书霞, 裔传斌:《计算机审计风险的成因及对策》, 载《中国管理信息化》2006第11期。
[6]、林琳:《计算机审计风险分析及其防范对策》, 载《中国管理信息化》2005第7期 。
[7]、黄冰, 阳杰, 黄昌勇:《计算机审计风险的定量化评估模型》, 载《统计与决策》2007第4期。
[8]、庄明来、林宝玉:《会计信息化教程》, 北京师范大学出版社2007年版。
[9]、黄正健: 《计算机环境下的审计风险及防范》, 载《广东审计》2006第6期。
[10]、王新建:《计算机审计风险防范研究》, 载《科技资讯》2006第31期 。
[11]、JIA Cheng-ha“i.Computer Audit Risk:Cause and Countermeasures ”, Third Edition, Journal of Anhui Business College of Voca-tional Technology in 2007.
计算机审计风险 篇2
张 鹏
摘要:在医院信息化的环境下如何规避计算机审计风险,是每个审计人所关注的课题。本文通过将医院计算机审计风险分类,提出切实可行的防范措施,使审计人员更好的运用计算机技术,提高审计效率,规避审计风险。
关键词:审计、医院、信息化、风险
随着计算机和数据库技术的广泛应用,医院信息系统(以下简称:HIS系统)已成为现代化医院的基础设施之一。几乎所有的医院业务核算都实现了HIS系统管理。审计对象发生重大变化,审计对象的信息化使得计算机审计成为必然,审计机关改变传统审计技术和方法的同时面临着计算机辅助审计下的新的审计风险。总结审计工作中产生风险的原因、找出相应对策,在以后的医院审计工作中有效规避风险、提高审计质量,是审计人员必须思考的问题之一。
一、医院计算机审计风险分类(一)医院计算机审计固有环境风险 固有环境风险是指会计电算化系统本身所处的环境引起的风险,它是从计算机信息系统的角度分析的,也是被审计单位的信息系统本身固有的,审计只能评估风险的大小,而无法控制固有环境风险,它包括软件环境风险和硬件环境风险。影响计算机审计的固有风险因素除传统审计的固有风险影响因素外还包括:(1)医院会计资料存储在计算机硬件磁性材料上,由于温度、湿度、灰尘、电压、震动造成的故障、损坏,导致审计资料改变、丢失,稳定性、安全性和保密性较差;(2)HIS系统软件本身程序设计的漏洞以及系统管理人员的技术水平达不到管理系统所必需的水平,导致的数据处理和应用错误;(3)计算机病毒的侵害,造成数据丢失。HIS信息系统的联机和数据库管理系统化,使信息系统不再是封闭的系统,病毒、黑客的入侵随时可以威胁信息系统的安全。
(二)医院计算机审计控制风险
医院计算机审计控制风险是指信息系统的内部控制不严密造成的风险。它属于审计的控制风险。实现信息化管理后,内部控制主要表现为人对人的监督、人对计算机系统的监督,而且以对HIS系统的控制为主。影响计算机审计的控制风险因素除传统审计的控制风险影响因素外还存在信息系统数据被篡改的可能。以上这些因素导致审计人员面临的环境比以往任何时候都复杂。由于审计资料的改变,在电算化系统中可人为篡改数据而不留痕迹。在HIS信息系统中,审计人员检查的数据资料,如会计凭证、收费项目、收费金额、收费数量及汇总报表大都存储在磁性介质上,且这部分信息既容易被更改、隐匿,也容易被转移、销毁或伪造。如果HIS系统被人为篡改或嵌入一些非法的程序,则计算机只会按设定程序以错误的方法处理所有业务,这样很难判定数据的正确与真实性。传统审计追踪审查已不适用,审计入手点更多的是靠自己的判断和经验。
(三)医院计算机审计检查风险
医院计算机审计检查风险是指是某审计员未能查出有关违规违纪问题可能性的风险。一是审计操作程序不规范。在审计实务中,审计人员没有严格遵循审计准则开展审计工作。譬如,审计进点以前没有对被审计单位包括内部控制制度、所处经营环境、经营状况、业务活动的性质与管理水平等基本情况做充分调查了解;没有利用分析性复核等方法对经营中存在的风险做出初步估计;没有按照审计项目计划的要求和了解到的基本情况制定可行周密的审计方案;搜集的审计证据与审计目的缺乏充分性、相关性和可靠性,并且对一些异常事项没有引起足够重视;编制的审计工作底稿格式不规范,内容不完整,记录、数据勾稽关系不清晰,结论不明确,复核工作不严密等。致使撰写的审计报告不能客观反映被审计医院的财务状况和经营成果,从而埋下了审计风险的隐患。二是审计技术方法落后造成的审计风险。医院HIS系统的数据库多为大型数据库如oracle等,这对审计人员的数据库操作技术要求较高。如果审计人员不提高自己的审计技术,仍然按照传统的审计实务操作,面对大量繁杂的会计记录,采取逐一审查凭证和账簿的方法,不仅费时费力,而且难免有所疏漏。在审计资源相对紧张的情况下,深入调查取证的过程还涉及到审计成本昂贵的问题。另一方面,在目前信息化的背景之下,信息数据通过电子介质存储,舞弊行为更为隐秘,若审计人员坚持使用对传统手工记账的查询方法,势必影响审计效率,留下风险隐患。三是审计人员的素质参差不齐造成的审计风险。审计人员不具备相应的专业知识和业务技能,在分析判断等方面出现误差,造成审计结论与事实不符。审计人员缺乏应有的敬业精神和职业道德,或由于认知上的偏见,在审计过程中不能客观公正处理和评判审计事项、或滥用职权、徇私舞弊、玩忽职守,不能如实反映或汇报问题。
二、医院计算机审计风险的防范措施(一)规范医院计算机审计程序
根据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》等一些相关的法律法规,进一步完善医院计算机审计程序,从立法上规范内部审计工作程序。审计机关和审计人员在医院计算机审计实务中必须做到确保审计实施方案所定的审计步骤、审计内容实施到位,针对被审计单位的信息系统特点编制合理的、可行的审计实施方案。规范审计工作底稿的编制,要求审计人员在工作底稿上反映其专业判断的过程和工作轨迹,也就是说既要像一般审计一样记录清楚审计事项同时要详细记录医院计算机审计涉及的相关查询语句。建立指导、检查与监督制度,及时确定计算机审计工作中出现的新情况、新问题;建立分级复核制度,由审计组长或具有较高技能的审计人员对计算机审计工作底稿进行严密的层层复核。各内部审计机构和审计人员要在审计实践中积极贯彻落实,坚持依法审计,规范审计程序,时刻保持对审计风险必要的警惕性。
(二)重视审前调查的作用
审前调查,获取必要和充分的信息,保证审计数据的完整性审计实施前,应在对被审计医院进行传统调查的基础上,掌握了解HIS系统在被审计单位内的应用总体情况。然后,根据审计目标和重要性水平确定深入调查的子系统,进行全面、详细的了解。内容应包括软硬件系统、应用系统的开发情况、信息系统涉及的业务流程、有关技术文档、系统管理员的配置和系统的功能、数据库等情况。根据审前调查的内容制定切实可行的审计实施方案,提出可行的、能满足审计需要的数据采集对象及采集方法。为保证数据的准确与完整,一是获取数据时必须由被审计单位财务人员和系统管理员现场提供,并尽可能由被审计单位系统管理员操作备份导出数据,防止因审计人员不慎造成的被审计单位信息系统受损。因为被审计医院数据通常涉及被审计医院、患者的秘密或个人隐私,所以审计人员要注意保密,需用专用设备存储,专用计算机恢复、分析数据。二是检查这些数据是否有与之相配套的纸质凭证、账册和报表。同时,针对电子资料比纸质资料更容易篡改,并且难以发现篡改痕迹的实际,为降低计算机审计风险,必须建立被审计医院对所提供的电子数据的真实性、完整性负责的承诺制。
(三)完善审计软件的开发
开发和使用针对医院的专门审计软件可规范审计程序,完善审计方法。由于审计软件可按固定程序检查审计事项,可按统一方法查询被审计医院的数据库文件,故有助于审计人员对整个数据文件或选定的数据项目进行复核,有效地执行大量数据的验算、筛选、分类及汇总等工作,并能按审计人员指定的标准查找记录。在数据采集方面,特别需要专门从事数据采集的软件,以便更易访问被审计单位不同介质、不同编码、不同数据库类型的数据库,从中采集审计所需的原始数据,解决各种软件系统互不兼容的问题。在数据分析方面,面向特定的领域,开发新的更贴近审计工作实际应用的分析工具。最终将采集、整理、分析、汇总、备份等功能整理在一个软件系统中,达到完善软件的目的。所以审计软件的应用,一方面改进了审计的方法,提高了审计的效率,另一方面也有效地控制和降低了审计风险。
(四)提高审计人员素质
提高审计人员运用计算机开展医院计算机审计工作能力,增强防范计算机审计风险的意识。在被审计医院业务管理信息化的条件下,随着审计方法的改变、内部控制的改变、审计内容的改变和审计技术的改变,决定了对审计人员审计能力要求的提高。为了在信息化条件下能更好的实现医院审计监督的职能,审计人员不仅要有会计、医疗、审计理论和实务方面的知识,而且要掌握计算机数据库和电算会计方面的知识和技能,对审计人员提出了更高的要求。因此,加强审计人员应用计算机能力的培训,是解决的计算机审计风险的重要任务。优秀的审计人员必须具备良好的职业道德素质和较强的专业胜任能力,必须是综合性、复合型人才,除了具备基本的专业背景以外,还要有宏观分析能力,以及坚持不懈的后续教育。各部门、各单位、各审计协会组织应经常性地对审计人员进行职业后续教育,重视审计人员业务知识的学习和更新,不断提高审计人员综合素质,以适应审计工作发展的需要,减少人为的审计风险。
随着技术的发展,计算机、数据库和网络得到广泛应用,计算机审计工作将面临着越来越大的挑战和风险,必须通过制订完善的计算机审计标准和程序、运用先进的计算机审计技术,以及建立—支高素质的审计队伍,最大限度地防范和降低审计风险。
参考文献: 〔1〕陈哲.吉林省经济管理干部学院学报.试论我国计算机辅助审计所面临的问题及对策,2003(6)〔2〕许华.时代经贸.医院审计风险及防范对策探析,2008(6)
计算机审计风险 篇3
关键字:风险导向审计;风险管理;风险管理审计
一、风险导向审计的相关概念及在工作中的初浅应用
笔者面对更多的审计任务为施工建设项目的审计,在实际工作中总结出了自己的一些审计思路与方法。随着企业规模的不断扩大和经营范围的不断拓宽,施工任务在逐年上升,这样被审项目就增加了。由于人力不足,每年不可能对所有的项目都进行审计。首先,将所有项目按业务板块分类,根据不同板块的行业特点、产业政策和单位在该板块的施工技术难度系数及管理经验,以板块为单位按重要性排序。其次,在每个板块中按照项目的投资性质和施工产值及利润空间大小进行排序,并结合企业所确定的战略规划,处于施工中前期的品牌项目、国家重点建设项目加大比重系数。最后,在重点系数排在前15位的项目中再按照项目经理的管理经验、能力、责任感及项目的人员配备并结合基层各方职工所反映的情况确定审计对象。
根据平时所掌握的一些情况,通过职业判断设计有针对性、技巧性的调查问卷,在进驻工作点开见面布置会时,按照职工花名册按业务性质随机抽取一部分职工以无记名形式填写调查问卷。后来为了缓解紧张情绪,获取职工个人邮箱名单后以邮件的形式发出,反馈的问卷真实性、全面性都有了很大提高,实践证明效果很好,为风险的确定及测评获得第一手证据提高了效率及准确度。
二、风险管理的概念及内部审计在风险管理中应发挥的作用及风险规避
IIA在其《内部审计实务标准》工作标准2100—工作性质中规定,内部审计活动评价并帮助改进组织的风险管理、控制和治理体系。具体而言,内部审计要监督、评价机构风险管理体系的有效性。内部审计师在开发和管理风险管理过程中所起的积极作用有别于在“风险归属”问题上起的作用。为了避免参与“风险归属”问题,内部审计师应该要求管理层证实其在确定、防范、监测风险及决定风险“归属”方面的责任。
总之,内部审计师可以促进风险管理过程的建立或使风险管理过程的建立成为可能,但是,不应该“拥有”已确认的风险或负责对这些风险的管理。
随着总公司的整体上市,对全系统的规范管理提出了更为严格的要求,机遇与挑战并存,企业的风险管理也将逐步提到议事日程上来,同时内部审计也面临风险审计的挑战。由于我们所在的企业为国有企业,在公司治理方面还存在很多没有解决的问题,这些都将加大对内部审计的风险。下面就现阶段国有企业风险审计的既有风险与本系统将面临的风险发表一下个人见解。
三、现阶段国有企业风险审计的既有风险与本系统所面临的风险
1.国有企业风险审计的既有风险。现阶段尽管国有企业的公司治理已经取得了一定的成绩,但我们必须清醒地看到,国有企业规范治理,特别是对经营者的有效制衡,还没有得到实质性的解决。(1)所有权“虚置”(2)国有股“一股独大”,对中小股东利益保护不足(3)内部人控制(4)监事会监督不力(5)公司接管市场的形成环境不理想(6)信息披露存在严重漏洞(7)经理人市场不健全(8)经营者的激励机制不足(9)经营者考核指标体系不健全。
2.基于以上国有企业的管理现状,市场化进程的加剧给企业的管理带来了机遇,同时也使企业更加的公开化、透明化,当然企业所面临的风险自然就增加了。像我们这样的大型国有企业经过上市后除了具有如上所说的既有风险外,其自身的一些个性特点在市场经济环境下所面临的风险更应该引起重视。
(1)由于施工企业自身所存在的地域广、人员多的特点,管理难度大,往往存在上面的制度执行不到位的现象,上面风声大、下面基层的雨点小,信息传递的结果不断弱化。这种信息化管理水平低下的后果就存在有令不行管理空缺的风险。
(2)从集团的角度即要遵循总公司一定的战略规划,从资源的整合、优化重组中要走总公司做大做强跨国大企业的路线,这样企业所面临的战略风险的弹性相对就小了。在市场经济中所遵循的竞争规则便是“弱肉强食”,使资源向“强者”中云集,实现资源的优化配置。所以有些集团在总公司的发展壮大过程中就有被“强食”的风险。
(3)从整个总公司系统的角度以纵向来看,即使要求实现扁平化管理,但现在至少还有四级管理,甚至有的地方还存在五级管理,尤其是四五级管理层认为大利益难以裨益于其自家的“小利益”,从而强调自己的小集团利益而不执行上层的指令,并且有些制度不具有强制约束力,从而“各自为政”,很难形成合力。这势必会出现管理执行的弱化,管理失控的风险。
(4)对风险理念的认识程度不足。由于历史的原因,在一些国有企业尤其是中央大型国有企业中长期形成的“瘦死的骆驼比马大”,再怎么着那也是国家的,不会让我们饿死。“春风”不渡“玉门关”,鞭长莫及,再大的风险有上层顶着呢。
(5)管理职责与权限不明晰,责任追究不到位。出了问题造成项目亏损资产流失后给点罚款、来个降职,转随其后换个地方或换个职位仍然大行其道或安然无事。
四、企业风险审计应注意的事项
1.制定审计计划时以被审计单位风险为导向
内部审计机构在制定长期审计规划、年度审计计划时,首先应该识别企业在长期、短期发展中面临的各种风险,包括主要、次要风险;经营风险;财务风险;法律风险等,在此基础上来实行未来审计的规划以及年度计划。
2.审计人员要从更高层次关注风险
内部审计在风险管理的过程中,要纵观全局,有的放矢。不仅要仔细审视企业经营过程中每个风险的节点,更要理清关键性的风险和风险的关键性环节,对风险的估计要有整体的把握,要考虑风险管理对组织的价值具有的前瞻性。
3.风险审计的直接服务对象是企业高级管理层和决策机构
作为市场经济最基本组织,现代企业都是风险自担的实体,风险管理水平将是关系企业成败的最重要的因素,尤其是我国企业今后要面对国内国外两个市场,竞争对手更多的是那些管理科学、机制相对健全的跨国公司,所以企业的风险管理事项一般都是企业最高管理层和决策层需要必须考虑的。
4.企业风险审计要与内审职责匹配
风险管理作为内部审计一个新的涉及领域,内部审计人员要想成为风险管理专家,不仅要懂得财务会计及相关法律法规,熟练地运用内部审计标准、程序和技术,还必须具备相应的风险管理素质和技能。在全球经济一体化,信息化技术飞速展的今天,内部审计人员除了要扎实专业技能外,更应丰富专业风险管理的知识和技能,精通现代管理信息技术和先进的管理技术手段。通过精湛娴熟的专业胜任能力来协助组织预防和减少的风险,改进管理和提高效率。
5.风险审计要求内部审计更多地发挥咨询职能
风险管理是一项事前性的预防工作,风险审计要真正发挥作用也必须走在前面,在监督、评价、咨询职能中,内部审计的咨询职能在风险审计中显得尤为重要。而要发挥好咨询功能,内部审计就需置身于风险管理之中,内部审计在风险管理中扮演的角色对组织机构整体成功至关重要。内部审计要作为风险管理过程的参与者、协调者、要真正融入到企业管理体系中,要真正置身于公司的治理和风险管理过程之中。
6.及时沟通至关重要
风险的不确定性,要求内部审计在风险管理过程中,加强沟通的力度,拓宽沟通的层面,丰富沟通的渠道,更新沟通的手段,加快沟通的进程。内部审计机构与被审计单位、组织管理层之间,应积极沟通彼此意见,充分体现参与式内部审计“以人为本”的理念。
8.分清组织可接受风险和个人可接受风险
内部审计在风险审计中必须关注一个问题是企业所能够接受的风险是否与职员个人风险喜好程度有明确的界限划分。对于那些风险偏好高的个人而言,当其可以控制的资产不是个人资产的时候,如果没有很有效的内部控制来约束,就很有可能其自身的风险投资行为导致企业的毁灭。如中航油巨亏陈久霖事件就是非常典型的,所以内审人员对此应该密切关注,对可疑或相关审计发现要及时向更高机构报告或者披露。
经过以上论理论与实际工作经验的论述得出三者之间的关系:
参考文献:
[1]中国内部审计协会编译《内部审计实务标准》(2001年修订本),中国时代经济出版社.
[2]尹维喆:《现代企业内部审计精要》,中信出版社.
[3]李金华:《审计理论研究》,中国时代经济出版社.
[4]李三喜:《内部审计规范精要与案例分析》,中国市场出版社.
[5]《审计文摘》2007年第八期、2008年第二期.
计算机辅助审计风险及防范分析 篇4
关键词:计算机辅助审计,审计风险,系统环境,系统控制,内部控制
1 计算机辅助审计风险的基本模型
1.1 相关概念
1) 计算机辅助审计与手工审计一样, 同样是执行经济监督、鉴证和评价职能。其特殊性主要体现在两个方面:一是对计算机系统进行审计, 即将计算机系统作为审计的对象, 二是利用计算机辅助审计, 即将计算机作为审计的工具。概括的讲, 计算机辅助审计包括对计算机承载的数据进行检查并对承载数据的计算机进行检查。
2) 风险是指在某一特定环境下, 在某一特定时间段内, 某种损失发生的可能性。
3) 由上述计算机辅助审计与风险的定义, 我们可以这样描述计算机辅助审计风险, 即审计人员对计算机进行审计以及利用计算机进行审计时, 对实质上误报的财务数据提供不适当意见的可能性。
1.2 计算机辅助审计风险模型
按国际通用的审计风险模型, 计算机辅助审计风险可表示为
审计风险=固有风险 (IR) ×控制风险 (CR) ×检查风险 (DR) .
只是在信息化环境下, 各种风险的影响因素发生了变化。
1) 固有风险 (IR) 。
固有风险是指在不考虑计算机会计信息系统规范的前提下, 计算机会计信息系统处理数据发生错误的可能性。它包括计算机硬件环境、计算机软件环境、会计信息的保密性、会计信息的完整性、系统运行的非人为因素干扰等5个方面。
2) 控制风险 (CR) 。
控制风险是指由于被审计单位内部计算机硬件系统的应用、操作和管理规范等安全控制制度不够健全、有效, 导致无法恰当地防止、发现和及时纠正会计信息系统可能出现的各种错误风险。它包括与计算机软硬件相关的安全控制制度不健全或未能完全贯彻执行、对会计软件系统的应用测试不够严密, 采纳了潜伏某些错误的不合格系统、会计软件相应的内部控制不严密、会计电算化工作人员业务水平低、系统管理人员系统安全意识薄弱等5个方面。
3) 检查风险 (DR) 。
检查风险是指被审计单位内部计算机软硬件系统的相关安全措施未能及时防止、发现和纠正会计信息系统出现的错误, 审计人员也未能合理地运用计算机辅助审计的相关技术进行实质性测试以发现该错误的风险。它包括计算机辅助审计人员业务水平低、风险意识淡薄, 审计软件本身有缺陷、审计软件与会计软件数据格式不兼容造成数据转换风险, 审计软件不能正常升级, 计算机辅助审计软件的使用和管理制度不完善, 不健全5个方面。模型结构如图1所示。
2 计算机辅助审计风险影响因素分析
引发计算机辅助审计风险的因素众多, 主要可概括为3个方面:审计主体方面的因素, 审计客体方面的因素和审计环境方面的因素。
2.1 审计主体方面的因素
1) 审计人员的素质有待提高。计算机辅助审计是一项综合性审计, 涉及的知识面较广, 只依靠审计人员过去的知识和技能是难以胜任的。此时, 审计人员不仅要掌握审计、会计、财务方面的知识, 还需要掌握计算机硬件、会计软件、信息处理技术及网络等方面的知识。如果审计人员不同时具备这些知识, 则在审计取证的过程中, 在进行人机对话时, 很可能会出现审计人员所得与所想的会计信息存在偏差, 而这当中也可能隐藏了重要的审计线索, 从而加大了审计风险。
2) 审计人员的风险意识薄弱。与传统手工审计相比, 计算机系统下的审计风险的内容或被赋予了新的内涵, 或得到了进一步的补充, 集中表现在计算机审计风险隐蔽性强、可控性差、破坏性大等特点上。审计人员必须对此引起足够的重视。如果仅仅为了完成审计任务, 而不考虑审计风险内容及其内涵的变化, 必然会导致审计质量不高或降低审计效率。从而无法客观、公正地评价被审单位审计期间的会计报表的真实性、公允性, 加大了审计风险。
2.2 审计客体方面的因素
1) 被审单位内部控制制度不健全。在传统手工会计系统中, 内部控制通常表现为手工控制, 这种控制形式责任明确也便于审计人员的调查并做出客观评价。而在计算机系统环境下, 内部控制的内容发生了变化, 控制的方式由手工控制转变为手工控制和计算机控制相结合。手工控制主要通过设置不同人员的权限来实现, 由于现行会计软件多为商品化软件, 被审单位对程序设计缺乏足够的参与与认识, 在一定程度上会影响到被审单位在人员权限设置上的科学性。另一方面。计算机控制又受到程序设计的影响。程序审计的科学与否直接影响到计算机控制的效果。不法分子也可能通过篡改程序或嵌入非法程序来影响计算机控制的效果。企业的组织形式也会由于环境的变化而不同程度地调整。在手工会计系统中, 被审单位可以根据需要适时地、轻易地实现对内部控制制度进行修改与完善, 而在计算机系统环境下, 就难以满足这样的要求。
2) 被审单位故意隐瞒审计所需信息。审计是审计人员运用专业知识和技能, 依据审计准则对被审单位相关资料进行鉴证的过程, 因此, 在审计过程中审计人员必须取得被审单位的配合才能更好地完成审计任务, 实现审计目标。在审计取证过程中, 如果被审单位不积极提供充分的资料或隐瞒一些重要的变更事项, 如会计程序的变更、人员权限的变更等, 势必会影响到审计人员取得审计证据及对审计证据评价的客观性, 从而加大了审计风险。
2.3 审计环境方面的因素
1) 审计的内容和范围扩大。在计算机辅助审计中, 审计的内容不仅包括传统手工审计环境下的内容, 还包括对会计软件运行的评估和审核及对程序中安全控制措施的审查, 如人员权限的设置等。审计内容和范围的扩大对审计人员提出了更高的要求。
2) 审计线索隐蔽化。在传统手工审计环境下, 审计线索都是以纸介质形式存储的。其中所包含的信息是可见的, 需要时取得也较为便捷。而在计算机环境下, 会计信息中有相当一部分是存储在磁性介质中的, 它们是看不见、摸不着的, 需要时必须通过人机对话, 从计算机信息系统中调出所需会计信息, 才能加以阅读。会计信息存储的隐蔽性导致信息取得的复杂性必然会加大审计人员的审计风险。
3) 会计软件的多样化。市场中会计软件的品牌、版本众多, 审计人员不可能完全熟练地操作所有的会计软件。同时会计软件的升级, 也会影响审计人员对历史数据的提取。软件公司基于保密的考虑, 一般也不会轻易地向审计或其他外部人员透露其软件设计程序。这又会影响到审计人员对企业会计信息的生成与传递及内部控制的评估。
3 防范计算机辅助审计风险的基本对策
3.1 完善有关计算机辅助审计的标准和准则
目前审计标准和准则有:国际会计师协会于1984年公布的《国际审计准则15——电子数据处理环境下的审计》和《国际审计准则16——计算机辅助审计技术》、1996年审计署发布的《审计机关计算机辅助审计方法》、1999年施行的中国独立审计具体准则第20号《计算机信息系统环境下的审计》等。面对日益发展的计算机辅助审计, 人们以前建立的各种计算机辅助审计准则已不适合要求, 需要针对新的形势制定相应的工作标准。完善有关计算机辅助审计标准和准则, 建立一系列与新情况相适应的审计准则, 它包括系统设计、开发、运行、维护等标准, 以及相适应的内部控制制度, 来规范计算机辅助审计业务的发展, 将审计风险降低到可以接受的水平。
3.2 努力开发实用高效的审计软件
为了给计算机辅助审计打开通道, 就必须不断研究开发审计软件。在数据采集方面, 特别需要有一种专门从事数据采集的软件, 要求这种软件能够容易访问被审计单位不同介质、不同编码、不同数据库类型的数据库, 从中采集审计所需的原始数据, 打通“瓶颈”。在数据分析方面, 在现有审计软件的功能基础上进一步开发新的分析工具。这些分析工具将面向特定的领域, 例如:针对企业审计领域的固定资产折旧审计工具和产品利润情况分析工具, 针对金融审计领域的利率检查工具等。在增加面向特定领域的分析同时, 还要增加一些基于特定方法的分析工具, 如账户分析、比较分析等。通过软件的开发和利用, 建立起自己的计算机辅助审计信息系统
3.3 提高审计人员的计算机素质
随着“金审工程”的实施, 审计署高度重视计算机辅助审计的发展和计算机辅助审计人员的培养。目前提高审计人员计算机素质可以采取以下措施:一是加强对在职人员计算机应用水平的培训;二是加快和财经类高校联合办班, 专门培养既懂计算机又懂会计和审计的复合型知识结构审计系统开发人员, 择优录取到审计队伍当中, 使他们成为计算机辅助审计的专业技术人员。
3.4 合理配置审计人员
计算机辅助审计要求高, 技术性强, 在组织审计组时, 一定要注重审计人员的合理配置, 考虑到审计专家和计算机专家的合理搭配, 选择适当数量的、能真正胜任该项审计工作的审计人员组成审计组。审计人员和计算机人员应达成以下共识:一是内部控制的程序;二是固有风险及控制风险的考虑;三是符合性测试及实质性测试程序的设计与执行。
3.5 加强对内部控制制度的审计
会计电算化与它的内部控制系统是相互作用和相互影响的。审计人员要对系统中业务事项的流向、电子数据处理用于特定的业务处理范围以及业务控制的基本结构进行审查, 同时必须识别特定的业务与内部控制关系, 了解内部控制在多大程度上确保系统中业务记录的正确性和可靠性。要对内部控制制度实施符合性测试, 主要查明内部控制制度是否制定必要的制约手续、如何办理必须的手续、由谁实施, 从而了解内部控制中可能发生的薄弱环节。
4 结 论
计算机辅助审计风险的产生是多方面的, 必须采取相应的措施, 以降低审计风险。大力加强计算机辅助审计的研究 (包括理论、技术、方法、制度等) 并大力培养复合型审计人员。
参考文献
[1]鲍钟萍.计算机审计风险的成因及应对措施[J].当代经济, 2007 (7) :122-123.
[2]黄冰, 阳杰, 黄昌勇.计算机审计风险的定量化评估模型[J].统计与决策, 2007 (4) :139-141.
[3]殷旭红.计算机审计风险的成因与防范[J].内蒙古煤炭经济, 2006 (4) :44-45.
[4]肖明.试论计算机审计风险与防范[J].会计之友, 2008 (1) :59-60.
[5]马献科.计算机环境下审计风险研究[D].广州:广东外语外贸大学, 2007.
[6]冯淑霞, 裔传斌.计算机审计风险的成因及对策[J].中国管理信息化, 2006 (11) :46-47.
计算机审计风险 篇5
一、传统风险导向审计和现代风险导向审计涵义(一)传统风险导向审计传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法之中,进而获取审计证据,形成审计结论的一种审计取证模式。传统风险导向审计在制度导向审计模式的基础上更加注重风险评估和风险管理,引入审计风险模型,通过该模型把从各种渠道收集的证据联系起来,并在此基础上对审计风险进行定量评估,将审计资源相对合理地分配到高风险领域。(二)现代风险导向审计现代风险导向审计是审计技术方法在系统理论和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过“战略分析→流程分析→经营业绩评价→财务报表剩余风险分析”,将会计报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念。现代风险导向审计针对传统风险导向审计风险评估不到位、未能有效发现高风险审计领域造成审计过量或审计不足的缺点,大大加强了风险评估程序,实现以风险评估为中心。
二、现代风险导向审计与传统风险导向审计的比较(一)审计思路不同。传统风险导向审计的思路是从分析客户会计报表的固有风险和内部控制风险着手,了解内部控制、实施控制测试,根据内部控制测试的结果决定实质性测试的性质、时间和范围。其中评估被审计单位的控制风险,往往需要审计人员大量的专业判断。而现代风险导向审计是以客户的经营风险为导向,借助于“战略分析?经营环节分析?剩余风险分析”的基本思路,将客户会计报表重大错报风险与企业经营风险之间的关系紧密联系起来。其引入企业战略管理分析工具,对客户会计报表重大错报风险进行专业判断,进而大大提高注册会计师发现客户会计报表中重大错报的能力。(二)对“风险”的认识不同。传统风险导向审计对审计风险模式中固有风险和控制风险的认识仅是从会计的视角予以分析,因而大都只分析会计报表项目本身的固有风险和控制风险,并以此为基础来分析控制财务报表的风险。而现代风险导向审计对“固有风险”的认识除了包括会计报表项目本身的风险外,更多地考虑企业的战略风险和经营风险,并成为控制财务报表风险的最重要手段。国际审计风险准则引入“重大错报风险”概念,要求从多方面来了解客户及其环境并评估重大错报风险,其中包括了解客户的目标和战略以及可能导致财务报表重大错报的相关而非全部经营风险。(三)审计风险模型不同。.现代
楚都宜城网 iyd
计算机审计风险 篇6
一、固定资产投资审计面临的风险
1.政府投资审计任务重、审计人员少、知识面窄。
由于县级政府投资审计工作正处于刚刚起步的阶段,目前我县审计机关工作人员不到20人,而从事政府投资审计的人员仅有3人,与此同时县级政府投资工程项目每年至少有100多个项目。显然审计量与人力配备不成比例。为按时完成任务审计人员不得不背道而进、快马加鞭,而所谓欲速则不达,过于失调的人员配备比例将势必降低政府投资审计的质量。
另外,政府投资审计涉及的审计事项复杂,涉及面广、专业性强,从事政府投资审计工作需要很强的专业技能,需要像企、事业单位的技术人员一样有相应的执业资格水平,但是审计机关目前具备工程、计算机、法律知识的人员较少,甚至可谓大量缺乏此类具有专业素质的优秀人才。
2.缺乏对政府投资项目的全程审计跟踪。
目前我们的投资审计大多是事后审计,只在工程竣工后进行结算和财务收支事后监督,缺乏必要的事前预防和事中监控。建设方、施工方和设计方往往通过签证单、工程变更的形式,在基础超深、现场土石方、砼路面厚度的隐蔽工程方面增加大量的工程量,在使用建筑材料上提高标准,从而在政府投资工程上获取更多利润,仅仅只在竣工后进行政府投资审计结算和事后监督对投资立项决策、设计、施工过程难以施加影响,不能全面有效的起到监督作用,使审计的目标得不到落实。
3.送审的结算工程中,签证单盲目签证,事后补签,签证表述不清、准确度不够及时间性不强。
决算审核时工程量的计算依据主要是施工图和监理签证,而负责竣工决算审核的政府投资审计工作人员在工程施工时很少亲临现场,这就为隐蔽工程偷工减料提供了可能,行使了便利。
设计变更不规范,很多设计变更是事后签证。有的建设单位不重视设计变更,不办理审计变更的审批手续,没有正式的设计变更通知书,没有设计变更引起的工程量和投资增减的记录,这就为审计工作造成极大的不便,难以确定实际费用的支出。
4.工程量计算不按国家统一规定,结算单价随意高套。
送审的工程项目经常不按国家统一规定的计算规则和竣工图尺寸计算。工程量少扣重叠交叉多算的现象频繁出现,由此造成竣工结算工程量增加而达到某些人多报工程价款的目的。
审计过程发现,部分施工方故意不执行规定的或合同约定的单价,随意高套。取费计算多加少扣。间接费和利润的计算,经常出现规定应扣减的项目少扣或不扣,而规定不允许增加的项目又尽量增加。在有些工程中主材的型号、材质在设计中不明确,除去规定的材料价格外,还有大部分采用的市场价,市场价和信息价一般都有一定的浮动,比如在一月份的《江西省造价信息》中,南丰42.5#水泥价格是460元/吨,而实际市场价格为420元/吨。甚至有一些材料价格是本地信息价上找不到的,这也给工程结算的高套提供了可能。
二、规避政府投资审计风险的措施和方法
要做好政府投资审计工作,首先要引进政府投资审计所需的工程技术人才,尤其是既要有懂工程技术人才、水利电力方面技术人才,最好是工程复合型人才。其次在不断提高现有投资审计人员的专业素质的同时注重对其进行职业道德培养,使审计人员坚守政治信念,严格遵守审计人员“八不准”廉洁从审;要加强竣工结算的审核工作,规避政府投资审计风险应从以下几方面努力:
1.多到施工现场,对工程的施工进度进行跟踪,所有隐蔽工程均需政府投资审计的工作人员参与验收,两人以上签证,实行工程监理的项目应该经过监理工程师的签证确认。审核竣工结算时只有看到隐蔽工程施工记录和验收签证等手续完整、工程量与竣工图一致后方可列入结算。设计修改应由原设计单位出具设计变更通知书和修改图纸,设计、校审人员签字并加盖公章,经建设单位和监理工程师审查同意签证,重大设计变更应该经原审批部门审批,否则不列入结算。
2.竣工结算的工程量计算应依据竣工图、设计变更和现场签证等进行核算,并按国家统一规定的计算规则结算工程量。招标工程按工程量清单发包的,需一一核对实际完成的工程量,然后对工程量清单以外的部分按合同约定的结算办法和要求进行结算。
3.对于结算单价随意高套,在审核时要严格执行定额单价。除投资包干的部分外,结算单价应按合同约定或招投标规定的计价定额与计价原则执行,一般执行当地当时的建筑安装工程预算定额单价。定额单价没有的项目应按类似定额进行分析换算,不可高套、不得随意乱估或重复计算。
4.注意对各项费用的计取,建筑安装工程的取费标准应当按合同要求或项目建设期间与计价定额配套使用的建筑安装工程费用定额及有关规定执行,先审核各项费率、价格指数或换算系数是否准确,价差调整计算是否符合要求,后再核实特殊费用和计算程序。要注意各项费用的计取基数,如安装工程以人工费为基数,这个人工费是定额人工费与人工费调整部分之和。建筑工程按工程类别取费,计取基数不同的应分别计算。
5.材料价格的取定及材料价差的计算是否准确,对工程造价的影响是很大的,在工程结算的审核中占有重要的位置。审核的重点首先是核查工程材料的规格、型号和数量是否按设计施工图规定,建筑工程材料的数量是否按定额工料分析出来的材料数量计取;其次,材料的预算价格是否按合同规定的数量计取;再次材料市场价格的取定是否符合当时的市场行情,特别应该注意的是当地定额站公布的材料市场预算价格是否已包含安装费、管理费等费用,若已包括则不应计取任何其他费用:对于工程复杂,施工期长的工程,当材料的价格随着市场供求情况波动较大时,应考虑是否按材料的价格情况进行综合加权平均计算;而对于本地建材市场没有或在信息价上找不到价格的材料,也应多到材料的发货地调查后再做核定。
实践证明,在基层开展政府投资审计意义十分重大,不仅有利于有效地规范建筑市场的秩序、提高工程项目质量和资金使用效益,而且可以为政府节约投资、防止腐败现象的发生。因此,县级政府投资审计在做好工程竣工结算的同时,也应进一步加大政府投资项目的审计力度,对建设项目进行全程审计监督,确保政府投资项目监督到位,充分发挥政府投资审计在纠正损失浪费、节约建设资金、提高投资效益、防止腐败发生等方面的作用。
(作者单位:彭泽县审计局)
云计算对审计风险的影响 篇7
一、云计算和云审计
云计算是一种按使用量多少付费的服务模式,用户根据与服务供应商事先签订的协议,按需使用。当用户有需要时,即可通过网络进入所需的计算资源池,接入所需的资源(服务、软件、网络、服务器等),“云”中的资源能够快速地被获取和扩展,且只需投入很少的管理工作。秦荣生(2013)认为云计算是一种计算模式,拥有广泛的网络接入功能和计算资源池,具有快速伸缩性和提供可计量服务的特征。云计算本质是智联互联网,它以用户为中心,面向任务,能共享信息、协同工作的平台。云计算促进审计技术与审计方法的重大变革,不仅是因为云计算集先进的计算机和互联网技术于一身,最重要的是云计算可以让注册会计师摆脱对计算机硬软件和程序的依赖, 全身心投入于审计信息的获取、分析与报告等与审计任务相关的事项上来。周迟(2015)认为大数据时代的到来使得云审计的出现成为必要,我国目前会计、审计信息化建设进程使得实施云审计成为可能。
文峰(2011)认为云审计就是将云计算概念、云计算技术运用到审计中去,通过云来存储数据资源,通过云来协同各种参与审计的资源(包括参与审计的人员、程序、 相关的硬件设施),审计人员在审计过程中只需关注审计任务本身,从而使得审计过程更有效率,更加科学,审计结果更可靠。秦荣生(2014)认为在云计算技术下,能实施持续审计、总体审计模式,审计成果将被综合应用,采用相关关系证据,实现高效数据审计。彭启发(2015)认为在抽查风险一定的情况下,云计算环境下的审计系统可以降低固有风险和控制风险。但随着云计算技术给传统商业模式带来的重大变革,传统的固有风险、控制风险和检查风险等审计风险将会发生重大变化。且目前我国云计算技术尚不成熟,对云审计的研究与运用也处于初始阶段,所以在云计算环境下实施审计程序将面临许多新的审计风险问题。
二、云计算对审计风险的影响
审计风险与审计程序密切相关。牛艳芳(2014)认为基于云计算的云审计业务模式将会是未来审计模式发展的必然趋势。审计业务模式是指为完成审计任务、实现审计目标所采取的审计作业方式、方法和程序,显然云计算在审计中的应用会对审计风险产生重大影响。
(一)云计算对审计风险的控制与防范作用
云计算促进了审计技术和审计方法的发展革新,这对审计风险具有一定的控制和防范作用,具体表现在以下几个方面:
1. 云计算下的总体审计模式能有效地规避抽样审计模式带来的审计风险。抽样审计由于只抽取有限的部分样本进行审计,再据此推断整体审计对象的情况,从而不能有效发现和揭露被审计单位所有重大的舞弊行为,因而隐藏着巨大的审计风险。云计算下的总体审计模式通过分析审计对象所有相关的数据与资源,能够看到更细微、更深入、更全面的信息,能够对数据与资源进行深层次、多角度的分析,从而能够发现抽样审计模式所不能发现的问题,有效地规避抽样审计模式带来的审计风险。
2. 云计算下的审计更具客观性。云计算环境下,审计软件是由云服务供应商针对全体会计师事务所设计的独立审计软件,这比由会计师事务所自行开发的审计软件更全面,同时云审计中的审计软件不会让客户主观删减程序,从而使审计程序更具独立性,审计更加客观。
3. 云计算下“多对一”的审计模式更为客户信赖。云计算使得审计项目小组成员不再局限于单个会计师事务所,往往是来自全行业的精英。客户可以委托多个会计师事务所对其进行审计。这种“多对一”的审计模式是审计过程的最优化处理,它整合了全行业的审计经验,能极大地提高被审计单位审计报告的质量。相较于“一对一”审计模式,“多对一”审计模式信息处理更公开、更透明,同时可以避免“一对一”审计模式下会计师事务所由于利益驱动趋向于与被审计单位同一立场,增加审计的独立性, 更为客户所信赖。
4. 云计算使注册会计师只需关注审计任务本身,控制审计风险。云计算下的审计人员将不需关注计算机硬软件及程序,不需分心于数据的存储、共享和工作的时效性,只需全身心投入审计任务本身。因此,云计算下注册会计师将更注重被审计单位的内部控制分析、重要性水平确定和风险控制。这与现实审计相比,能更有效地防范和控制审计风险。
(二)云计算下的云审计风险
云审计风险指在云计算环境下,云计算技术的有效性、安全性和可靠性存在严重的问题,审计人员进行审计后发表不恰当审计意见的可能性。云计算由于自身的特点和优势,在一定程度上有利于审计风险的防范和控制, 但我们也应该看到随着云技术在审计上的运用所带来的云审计风险。
1. 数据保密性及安全性。存储在云上的数据无论是审计单位的还是被审计单位的,保密性和安全性都是首要考虑的问题。云计算技术下,审计单位和被审计单位所有数据的存储、传输、处理都由云服务供应商管理,审计单位和被审计单位对数据的控制变弱,发生安全漏洞的可能性变大。云服务供应商未经授权就披露审计单位敏感信息的风险也变大。同时,云服务供应商对云技术的掌握程度、控制环境的稳定性及数据存储控制的安全性和合规性,其他云租户使用云技术的稳定性和其敏感数据被攻击的可能性都将在一定程度上对数据的保密性和安全性产生影响。审计单位和被审计单位的数据保密性和安全性潜在的隐患,隐藏着巨大的云审计风险。
2. 云计算内部控制风险。随着云计算在企业的广泛运用,企业内部控制内容和方式发生了重大变化。云计算环境下企业内部控制有效,毫无疑问对企业开展云审计及控制云审计风险、提高云审计治理具有重要的作用。目前在云建设过程中,存在重视硬件和业务流程建设而忽视内部控制建设的问题,导致严重的数据丢失与泄露、资源的滥用和非法使用、恶意的内部使用用户、云租户间的安全隔离等具有风险态势问题的发生,带来云审计风险。 同时,由于云计算技术下多租户共享云设施,云审计很难对单个企业的内部控制进行评估,很难对每个企业内部控制的有效性作出判断,这也将增加云审计风险。最后, 云计算对企业内部控制的职责分离要求提出了挑战,将进一步影响企业内部控制的有效性。
3. 云审计程序风险。在云审计过程中,注册会计师能否实施有效的审计程序,从而在云系统中获得充分适当的审计证据,是导致云审计风险产生的重要因素。在云计算模式下,被审计单位的数据存储在云上,其运行、计算、 交付也是通过互联网进行。所以审计证据也只能在互联网中收集,且获取的审计证据也是电子证据。云中存储的数据具有高度流动性,往往无法确定其具体存储位置,并且由于数据存储云环境是多租户共享的云环境,以致云服务供应商不能提供完整的数据。同时,因为数据在全球范围内的流动,使经济业务流程难以追踪,即云计算模式下的审计线索具有不可见性、网络性、流动性。云计算环境下的电子审计证据难以收集,云审计线索不明显、轨迹不清晰,这都会产生云审计风险。
三、防范与控制云审计风险的措施
云审计是未来审计发展的必然趋势,但同时伴随着云审计而来的云审计风险必将制约云审计的发展与应用,所以研究云审计风险的防范与控制措施具有重要的意义。
1. 建设云审计平台。要实施云审计,控制云审计风险,应建设云审计平台。云审计平台以审计大数据为中心,可依托云计算的基础设施层(Iass)、平台服务(Pass)、软件服务(Sass)三大服务模式,以及云计算的专业技术,以审计业务为核心,通过云来协同各种审计资源,构建各级审计机关硬软件资源与服务共享的云审计平台。
云审计平台应建有安全保障层,对云审计平台的设施安全、数据安全和应用安全提供保障。在安全保障层可对云服务供应商进行信息审计,对其云技术的掌握程度、 控制环境的稳定性和数据存储控制的安全性和合规性进行审计,对其他云租户使用云技术的稳定性进行审计,提高云系统的数据安全保护能力和业务持续性保证能力。 同时又可为云服务用户提供信息监管审计,确保云中数据存储和使用过程的保密性和安全性,消除云用户对云服务安全性、合规性、稳定性、持续性等方面质疑和担忧, 增加用户的信赖。魏建祥(2014)认为可以在云审计平台下实行云协同审计模式。在平台服务层中建立资源服务平台,通过资源服务平台中的信息服务、专家经验和资源调度,针对某个审计任务,可以充分利用专家经验和参考协同资源库相同或类似案例,提高审计质量和效率,有效控制云审计风险。
2. 制定云审计准则与规范。任何新事物的产生与发展,都应该有科学的指引,这样才能降低相应的风险。随着云计算在审计行业的运用,应在现有审计准则与规范的基础上,结合云计算的特点,制定合适的云审计准则与规范,规范云审计工作,确立云计算在审计领域应用的法律地位。
制定云审计准则与规范,应规范数据的存储、传输和处理,使其制度化和规范化,使数据分析结果和电子审计证据具有合法性。同时应明确与云审计程序相关的概念与规则,如云过程、云责任的概念,数据安全准则,风险控制准则。特别应明确界定云责任,注册会计师在云审计的每步程序中都有对应的云责任,如果云责任划分不明确, 可能会导致一些注册会计师在实施云审计时钻法律的空子。所以云审计准则与规范应给云过程一个权威性、明确的概念,则有利于云责任的界定,有利于追究云审计过程中的法律问题,进而在一定程度上防范云审计风险。
3. 构建风险导向云审计模型。随着云计算技术在各行业的广泛使用,各行业的经营状态越来越复杂,云审计风险比传统审计风险范围更广、更复杂,从而要求注册会计师从更多的角度、更深的层次、更广的范围对云审计风险进行分析防范。构建基于云计算的风险导向云审计模型,对海量数据进行持续分析、深入挖掘,从更高层面、更广范围和综合视角对云审计风险进行全方位评估,同时对可能产生云审计风险的各个因素进行分析,以确定实质性的测试范围和重点,使云审计风险和整个云审计过程联系起来,进而有效防范与控制云审计风险。
风险导向云审计模型可以包括八个阶段(如上图所示):标准审计、即时数据查询、数据多维分析、发现问题警报、进行统计分析、预报、预测性建模、优化目标。在标准审计阶段进行云审计风险评估,确定审计重点领域和范围;即时数据查询阶段应注重实时、系统、全面处理;数据多维分析包括时间维度、空间维度、纵横分析、深度广度分析、相关性分析;预报阶段应假设持续发展、研究应对方案;预测性建模应评估未来影响,建立预测模型;最后优化目标阶段需兼顾资源需求,实现目标最大化。
4. 提高审计人员的综合素质。审计人员道德素质和业务素质的高低,关系着云审计风险的高低,影响着云审计质量的好坏。在云审计过程中,审计人员只需关注审计任务本身,所以其数据分析能力、风险预见能力、问题发现能力将成为降低云审计风险的关键因素。云审计工作将更多地依赖审计人员的职业判断,所以应加大对审计人员的培养力度,使其不仅熟悉相关政策法律法规,掌握审计专业知识和具备计算机能力,而且了解云计算知识、 熟悉云审计软件的操作过程与环境,同时注重提高其数据分析能力、风险预见能力、问题发现能力。在总体上提高审计人员的综合素质,防范与控制云审计风险,还应注重对审计人员进行道德素质教育,使其树立正确的道德观、价值观。提高审计人员的道德素质有利于抵抗一些人为的不良因素的影响,保证云审计工作的正常运行,审计报告的正常出具。
5. 加大云审计技术的研发与创新。在云审计模式下, 审计人员实现了从依靠自身判断做决定到依靠数据判断做决定的转变,增加了审计的客观性。加大云审计技术的研发是审计人员能够在具有不可见性、网络性、流动性的审计线索下,从海量大数据中获得充分、适当的审计证据的重要保障,是能对存储在云中的数据进行相关性分析, 对非结构化数据进行审计分析的前提条件。
加大云审计技术的研发与创新,应加强大数据审计分析模型和审计软件的研发。审计数据分析一般分为查询分析、多维分析、挖掘型分析等。由于审计数据涵盖面广、内容复杂,所涉及的数据可能是地理、生态、社会网络、统计等各种领域,所以大数据审计分析模型应能根据不同领域的特点对其数据进行具体相关性分析。同时,由于审计线索具有不可见性、网络性、流动性等特点,所以应加强云计算环境下数据挖掘技术、比较分析技术、转换技术等新型审计技术的研发,从而获得充分、适当的审计证据,降低审计风险,保障审计质量。
摘要:云计算的产生和发展,对审计技术和审计方法具有重大影响。云计算在审计上的运用能在一定程度上防范和控制审计风险,但同时也会产生云审计风险。正确认识云审计风险,探索防范与控制风险的措施,能有效降低审计风险、提高审计工作质量,促进云审计的发展与应用。
关键词:云计算,云审计,审计风险
参考文献
秦荣生.云计算的发展及其对会计、审计的挑战[J].当代财经,2013(1).
周迟.云审计在社会审计中的运用研究--基于风险导向审计的视角[J].中国内部审计,2015(1).
秦荣生.大数据、云计算技术对审计的影响研究[J].审计研究,2014(6).
彭启发,艾如巧.云计算环境下的ERP审计应对措施探讨[J].会计之友,2015(10).
牛艳芳,薛岩,孟祥雨.云计算环境下的审计业务模式变革研究[J].南京审计学院学报,2014(4).
计算机审计风险 篇8
一、商业银行计算机网络系统的风险
1. 内部操作风险
商业银行计算机系统较为复杂,主要分为用于输入和输出数据的操作系统,用于储存和调出数据的数据库系统,用于维护计算机系统安全的服务系统三大类。系统类型的复杂增加了工作人员的任务量。银行工作人员在实际的银行业务操作过程中难免会因为工作时间过长、劳动强度太大而出现疲劳或体力不支的问题。透支健康的工作极易导致操作失误。举个例子,曾轰动一时的德国某银行工作人员在进行养老金转账时打了会儿瞌睡,导致2亿多欧元被误转。虽然是无意的操作失误,但酿成的悲剧惨不忍睹。
2. 外部入侵风险
计算机技术的发展对商业银行的发展利弊共存,它不仅提高了商业银行处理日常业务的效率,更增加了来自商业银行外部的入侵风险。外部入侵风险可以分为以下几个方面:(1)非法访问。非法访问是指未取得该商业银行计算机系统的操作权限而进行秘密访问的违法行为。这一违法犯罪行为充分利用了银行计算机系统的远程互联性,借助攻击工具从任意终端对银行的主机进行攻击。若主机被攻陷,银行的商业业务将面临严重的安全问题,轻者数据被篡改,重者系统陷入瘫痪;(2)窃取系统内部数据。窃取数据是指对商业银行内部数据的非法获取。不法分子通过修改银行系统程序获取关键数据的加密密钥。加密密钥一旦泄露,银行数据安全将面临严酷的挑战;(3)篡改传输数据。我国商业银行类型和分支机构众多,各银行之间主要依靠计算机网络系统开展业务往来。但是到目前为止,并没有专门的光纤通道用于银行之间的数据传输,这就加剧了不法分子利用这一缺漏篡改传输数据的危害;(4)病毒攻击。病毒攻击是不法分子攻击商业银行系统的主要手段。银行计算机系统一旦感染病毒,程序和数据将被严重破坏,系统功能将丧失。
二、商业银行利用审计控制计算机网络系统风险的探索
商业银行是资金周转的枢纽,接收存款发放贷款,从中赚取差价。每天经过商业银行办理的业务不计其数。由于商业银行计算机网络系统存在内部操作失误和外部入侵的风险,因而进行审计控制管理尤为必要。
1. 审计的内容
审计的内容可以分为三个方面。(1)对计算机网络系统内部控制的审计。商业银行计算机网络系统的内部控制是指银行为使利润最大化而采取的一系列规避风险的办法,如通过对会计日志的跟踪与审查规避资金风险,通过对工作人员的实时监督规避组织风险等等;(2)对计算机网络系统的审计。这一审计过程体现在银行网络系统的开发、运营与维护中。通过审计系统开发的可行性报告和银监会关于系统开发的要求,判断系统的安全性和可操作性;通过审计系统在运营过程中的漏洞,及时弥补漏洞造成的直接或间接损失;通过审计系统有无被黑客攻击或病毒入侵,维护系统的安全;(3)对计算机网络系统数据安全的审计。银行通过对工作人员的管理权限进行审计,确保数据的不被窃取或篡改;银行通过对工作人员输入和输出数据的审计,保证操作的合理和合法性。
2. 审计控制风险的方法
银行控制风险的方法有很多,如加强对设备的维护、改进防火墙技术、完善管理制度等等。其中,进行审计控制是规避风险的主要方法。审计控制不仅能运用在银行计算机网络系统的各个方面,更能提供清楚的审计报告,为管理人员审查业务情况节省时间,降低风险发生的可能性。
(1)健全性测试。
健全性测试是指通过调查、询问等方法,测试计算机网络系统内部控制的规范性和实效性,测试计算机网络系统的系统安全性和健全性,测试计算机网络系统数据的可靠性和完整性。通过健全性测试,可以保证银行系统的安全性和运行的高效性。
(2)符合性测试。
符合性测试是指在计算机网络系统中随机抽取业务进行全过程的操作性测试,将不符合操作规范和规章制度的业务制成反馈报告,及时发现并解决业务风险。对银行业务的符合性测试,可以提高银行的经济效益。
(3)安全性测试。
安全性测试是指通过设置系统权限,进行操作权限的追踪,确保商业银行计算机网络系统未被外界入侵;通过借助审计软件对业务报表进行分析,确保数据的准确性。安全性测试在商业银行中的应用较为普遍,对商业银行进行风险控制,最主要的审计方法是进行安全性测试。
三、结束语
随着计算机网络技术在商业银行业务操作中的普及,网络系统固有的风险增加了银行运作的风险。为提高商业银行运作的安全性,促进经济的高速稳定发展,进行银行风险控制是必要的措施。利用审计的方法进行风险控制是商业银行控制风险的主要手段。通过审计的健全性测试、符合性测试和安全性测试对系统进行内部控制,能确保银行内部控制的合理性与合法性;进行系统的安全维护,能确保系统运作的高效性和可靠性;进行业务数据的整合与审查,能确保银行业务的数据安全,促进我国经济的高速稳定发展。
摘要:商业银行由于其经理的业务资金量庞大、手续复杂,运用计算机网络技术确保商业银行工作流程的准确性、提高商业银行的运作效率尤为必要。但是计算机网络技术本身存在的安全隐患,会对商业银行信息的安全和系统的稳定造成负面影响。本文从对计算机网络系统的风险分析入手,探索维护商业银行计算机网络系统审计安全的办法。
关键词:商业银行,网络系统,风险,审计
参考文献
[1]孟大耿.商业银行信息系统的风险与审计研究[J].中国商界(下半月),2009(08).
[2]宋云.商业银行计算机审计问题研究[J].银行家,2009(04).
审计风险内涵界定及审计风险应对 篇9
2006年财政部发布了中国注册会计师执业准则体系, 其中的审计准则部分尤其强调风险导向审计思想。《中国注册会计师审计准则第1101号———财务报表审计的目标和一般原则》第十八条指出, 审计风险取决于重大错报风险和检查风险, 并提出新的审计风险理论模型, 即“审计风险=重大错报风险×检查风险”, 该模型中的审计风险被界定为“财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性”。由该定义可以看出, 此处的审计风险是狭义的审计风险, 特指审计技术层面的风险, 即注册会计师采用审计技术手段, 比如执行充分、恰当的审计程序, 就可以控制的审计风险。
但是, 注册会计师审计面临的风险绝不仅仅只有技术层面的风险, 如企业经营失败或者破产导致注册会计师成为民事诉讼的被告之一, 注册会计师在此类业务中可能已经充分、恰当地执行了审计程序, 并发表了恰当的审计意见, 但是由于“深口袋”效应, 注册会计师也可能被财务报表利益相关人起诉到法庭, 注册会计师就会面临民事赔偿、声誉严重受损等风险。
二、广义审计风险的界定
审计准则与审计学术研究中所指的审计风险, 其内涵往往是不一致的, 国内外都是如此。国外审计学术界对于审计风险的认识一直在变化, 比较具有代表性的观点来自于Simunic (1980) 、Houston等 (1999、2005) 。Simunic (1980) 认为, 由于审定财务报告导致第三方受损从而注册会计师可能承担赔偿责任的可能性就是审计风险。同时, 审计资源的投入会降低审计风险, 但审计资源投入的边际效率递减, 所以控制审计风险不能完全依赖审计资源的投入。Houston等 (1999) 将审计风险分解为所审定财务报告存在重大错报而引起的诉讼风险以及与重大错报无关的诉讼风险。他们也认为审计资源投入的效率是递减的, 注册会计师无法依靠审计资源的投入化解全部风险。其后, Houston等 (2005) 进一步对审计风险做了分类, 他们认为审计风险包括财务报表存在重大错报引起的诉讼风险、由与重大错报无关的因素如经营失败引起的诉讼风险以及非诉讼风险, 其中的非诉讼风险主要指未来从该客户处可获得收入的减少、因卷入客户诚信危机给注册会计师声誉带来的损害等。
由以上论述可以看出, 注册会计师在审计活动中面临的现实风险绝不仅仅限于“财务报表存在重大错报而注册会计师发表了不恰当的审计意见”这一纯粹技术层面的风险。注册会计师接受某一审计业务后可能承担的一切不利后果, 都属于审计风险, 可将其称之为广义的审计风险。
国内学术界对于审计风险的认识也没有停留在审计技术层面的风险上, 更多时候采用了广义的审计风险概念, 如张继勋等 (2005) 注意到我国上市公司为大股东或关联方提供担保的风险影响了审计定价, 李爽等 (2004) 认识到监管风险对审计定价也具有影响。
三、审计准则对审计风险作狭义界定的原因
既然注册会计师在审计活动中面临的风险远远不限于技术层面的狭义的审计风险, 那么为什么审计风险模型以及现行注册会计师审计准则将审计风险限定在技术范畴呢?这要从注册会计师审计准则的目标界定谈起。
制定注册会计师审计准则的基本目的在于规范注册会计师执行鉴证业务, 包括执行风险评估程序、针对风险领域制订周密的审计计划、按照审计计划执行恰当的审计程序、正确评价审计证据等, 最终目的在于揭示财务报表存在的重大错报。如《中国注册会计师审计准则第1101号———财务报表审计的目标和一般原则》第二十二条指出:注册会计师应当获取认定层次充分、适当的审计证据, 以便能够在审计工作完成时, 以可接受的低审计风险对财务报表整体发表审计意见;对于各类交易、账户余额、列报认定层次的重大错报风险, 注册会计师可以通过控制检查风险将审计风险降至可接受的低水平。现行审计准则以风险导向审计思想为基调, 强调审计风险模型的运用。注册会计师通过风险评估程序识别财务报表及各类交易、账户余额、列报认定层次的重大错报风险后, 为了降低财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性, 注册会计师只能采用执行检查程序等技术手段。
既然如此, 严格执行审计准则也难以化解非重大错报引起的诉讼风险以及非诉讼风险等广义的审计风险, 因此审计准则中的审计风险只能界定在狭义范畴。
四、注册会计师审计风险应对策略
显然, 注册会计师仅仅通过遵循审计准则、安排周密的审计程序是难以化解全部审计风险的。第一, 执行审计程序难以百分之百地揭示重大错报风险。原因在于, 注册会计师审计风险评估程序可能难以有效识别、评估重大错报风险, 因而审计计划的安排可能不当。即使审计计划安排得当, 也难以保证得到有效实施。另外, 注册会计师对审计证据的解读、判断有可能出错。第二, 审计程序或审计技术本身难以化解非重大错报引起的诉讼风险或非诉讼风险。那么注册会计师应该如何降低审计风险呢?
第一, 加强对被审计单位及其环境的了解, 尤其注重对被审计单位环境信息和行业信息的了解, 这样才能提升注册会计师的风险评估能力, 使之能够识别重大错报风险, 这也是安排审计程序、控制检查风险进而降低审计风险的基础性工作。在这方面, 注册会计师首先应该注重收集客户所在行业的资料、长期跟踪客户的动态信息, 并在业务承接以及客户保持上做到应有的谨慎。其次, 注册会计师协会也应该积极帮助会计师事务所以及注册会计师增强风险评估和应对能力, 针对经济政策、法律监管、政治环境等的变化, 提醒会计师事务所和注册会计师注意相应的审计风险变动, 并尽量帮助注册会计师识别环境变动可能造成什么影响、客户可能在哪些环节出现重大错报等。
第二, 伴随着独立审计行政监管和法律制度的完善, 以及投资者法律意识的增强, 上市公司经营失败、股票价格异常波动都可能导致注册会计师遭到起诉, 注册会计师面临的非重大错报引起的诉讼风险以及非诉讼风险加大。为此, 在现行注册会计师执业准则体系及强调风险导向审计模式的背景下, 注册会计师需要增强风险意识, 在业务承接、审计定价过程中更多地关注各种风险因素, 并采取谨慎选择客户、加大审计投入、索取风险溢价等手段加以应对。Houston等 (1999、2005) 的实证研究已经证实, 在西方成熟的审计市场上, 注册会计师对于增加审计资源投入无法化解的审计风险, 如非重大错报诉讼风险、非诉讼风险等, 就采取了索取风险溢价的手段来应对。
摘要:本文分析了狭义和广义审计风险的涵义, 并指出注册会计师审计准则将独立审计风险界定为狭义风险的原因。注册会计师为了防范审计风险, 除了安排并执行充分、恰当的审计程序, 还应该慎重选择客户, 并在审计定价环节充分考虑风险因素, 索取风险溢价。
关键词:独立审计,风险导向审计模式,审计风险,风险溢价
参考文献
[1].蔡吉甫.公司治理、审计风险与审计费用的关系.审计研究, 2007;3
[2].中国注册会计师协会拟订, 财政部发布.中国注册会计师执业准则2006.北京:经济科学出版社, 2006
[3].李爽, 吴溪.监管信号、风险评价与审计定价:来自审计师变更的证据.审计研究, 2004;1
财务审计风险与风险导向审计 篇10
1.有助于效率的提高。在保证质量的基础上,风险导向审计有利于效率的提高。注册会计师通过评估和识别重大错报风险是风险导向审计的主要工作主线,这有助于提高审计的效果和效率。为了有效地降低审计风险和去除一些效率较低的影响工作的许多细节,许多高效的审计手段常常需要注册会计师了解,如:风险评估程序、信息来源途径、对内部的分析与评估以及项目的内部讨论等方法;这些方法和措施有助于审计风险的降低和提高工作效率。
2.有助于审计人员提高对审计单位的认识程度。风险导向审计有助于审计人员加强对于审计单位的认识程度和了解程度,因为审计过程有助于加强审计人员对审计单位的过程认识,审计人员对审计单位的某种认定为出发点,通过调查和了解、收集相应的证据、从不同的角度和方面来验证这种认定,以此来比较这项认定结果是否合理是否存在着不合理的现象,并针对不合理的方面提出相应的审计意见。总而言之,审计人员对审计单位的认识过程是一个由简单到复杂、由外表至内在的过程、由个体到整体的逐渐深入的过程,审计模型的建立正是这个过程的有效体现,审计模型正是减少审计风险的主要方法。
3.风险导向审计方法对于审计水平权重的分析具有着重要的意义。在一定的模拟条件和范围之内,重大的错误风险中期望的审计风险与检查风险呈现出一定的正相关关系。当期望的审计风险值较低时,较低的检查风险水平就要被检查接受,这就要求追加的审计程序和接受检查的样本数必须要得到更大的扩展。换句话说,审计风险较低的期望必须要确定较低的重要性水平与之相匹配;当审计人员确定较大的重要性水平时,这就要求存在错报过大的风险,则要承受的审计风险水平过高。审计人员在对重要性的水平进行确定时,要以审计风险与重要性之间的关系为依据,并通过审计风险的评估和实际情况的考虑来确保评估的质量,同时可以接受的审计风险和所期望的风险水平有利于审计效率的提高。
二、风险导向审计在我国存在的问题分析
1.要求审计人员必须具有较高的专业能力和素质(CPA的知识框架存在着很大的差异)。注册会计师必须要对所审计的单位有着很深入的了解、其它的外部影响因素、大的行业监管环境、审计单位的经营理念和经营方式以及经营风险、客户的相关营业分析和衡量指标、内部管理手段等,是风险导向的审计风险的评估程序。这些要求对审计人员提出了很高的要求,审计人员必须是高素质的复合型的有用人才,审计人员不仅要有着公司业绩的评价方法、薪酬福利制度、企业战略、人才资源的高效利用等管理知识,还要有着审计管理相关知识和会计的相关理论。结合我国目前现状而言,我国的会计事务所业务主要包括会计业务和审计业务,这两大业务占据了总业务的90%以上的业务水平,这种业务模式较为单调并未有着法律方面和经济方面的相关多元化的业务背景。审计人员倘若不了解相关的行业状况、企业的有关经营情况和模式以及战略管理模式等各方面的相关知识,就不具备数据管理统计的相关能力,这些不足和劣势都使得风险导向方法的实施受到一定程度上的限制和制约。
2.法律、法规相关制度的欠缺和司法执法机关以及政府的监管力度等方面存在的问题。法律诉讼风险的加大是风险导向产生的直接原因。然而在我国,《注册会计师法》《证券法》等一系列相应的法律法规的出台,有助于加强CPA的法律责任和有利于CPA的执业环境的完善。然而,这些法律和法规还存在着很多漏洞和不足,如相关的法律可操作性比较差、内容较为空洞和宽泛、不具体,相关的民事赔偿方案还不够完善,法律风险对于CPA所承担的结果来说还很小。法律风险对于我国的CPA来说承担的责任仍然较小,要使CPA受到较大的约束就必须要CPA承担着较大的法律风险。反过来说,假如法律风险较低,这不仅不利于限制CPA离开风险较高的客户,还会促使CPA对审计的风险不够重视,这必然会对审计的质量产生很大的影响,这于现代导向审计风险的初衷是背道而驰的。
3.辅助审计的相关软件和有关的数据库系统建设严重滞后,所需的信息系统存在着很大的欠缺。在进行现代风险导向审计的过程中,注册会计师要在进行计划时对客户的行业情况有着充分的理解和认识,这就要求会计师要从外界了解到大量的相关信息,然后对不同的风险客户和不同客户存在的不同的风险领域,设计和提出有针对性的个性化审计程序。因此,会计师事务所就要建立起强大的信息库和数据库,使注册会计师能够全面的了解企业的风险管理、流程和相关的衡量业绩等信息,以确保注册会计师能够有充分的途径来对企业进行认识和分析。这正是国内许多事务所所缺乏的资料和平台,会使得对企业的经营状况、行业风险、经营风险等缺乏足够的认识,相关数据积累缺乏,现有的信息庫还无法满足风险导向审计的需求。
4.会计事务所的经济效益与运营成本的分析。会计事务所是以成本与效益之间的关系为基础的,会计事务所只有在充足的盈利情况下,才会寻求新的审计模式。审计运营成本的增加和工作时间的延长是采取风险导向审计模式的直接结果。在目前会计市场竞争逐渐激烈的前提下,运营成本的增加往往无法与收费标准进行同等的提高。
三、我国风险导向审计应对策略分析
1.完善被审计单位的相关信息建设。通过现代的审计理论我们知道,CPA的审计全过程应包含了解测试,然而在现实的审计过程中,这项工作却几乎在审计证据的收集时被忽略被无视。风险导向审计的应用,则要求注册会计师通过加强对了解测试的认识,综合管理风险、经营风险、财务风险和经营风险等作出全面综合的评价,根据审计风险,而制定出有针对性的审计程序。
2.要加强相关法律法规的建设,对注册审计师的法律责任进行明确。法律风险是风险导向审计应用的一个基础,相应的法律责任越大,对注册审计师相应的约束能力越强。而我国在一方面相关的法律体系还存在着很多漏洞,相关的法律制度也不够完善,不能遏制相关的中介机制组织和许多上市公司触犯法律的风险,这就对我国完善法律制度提出了较为迫切的需求。完善法律法规的建设就要求针对现代导向审计的新的趋势和要求完善补充一些新的法律法规,同时对许多不合适宜的法律法规进行修改。
3.对会计事务所的内部控制进行完善和健全。全面的质量控制系统必须要建立在以工作底稿为基础之上,对审计控制质量体系进行充分的评价,并对职业情况进行定期的复查,并对员工进行定期的培训与培养。借鉴先进的管理经验、拟定以风险管理为中心的管理制度和会计律师事务所的各项审计准则等是风险导向审计能否在实务中得以执行的重要保障。对审计人员定期的培训制度、绩效考察制度也有利于提高风险导向人员在导向审计时的自觉程度。
4.完善注册会计师的综合素质和建立新型的律师事务所。新型完善的会计律师事务所有利于提高注册会计师的风险意识和相关的责任意识。以下几种方略可以提高注册会计师的综合能力和素质:采用会计律师事务所股份制和合伙制的形式、提高注册会计师对职业的准确定位、加强职业会计师自身综合素质能力的提高和完善会计律师事务所内部的结构机制。
参考文献
[1]财政部注册会计师考试委员会.审计[M].北京:中国财政经济出版社,2005.1~193.
[2]谢荣,吴建友.现代风险导向审计理论研究与实务发展[J].会计研究,2004,(4):47~51.
[3]秦荣生.审计风险与风险导向审计[J].当代财经,2003,(7):83~88.
[4]李学柔,秦荣生.国际审计[M].北京:中国时代经济出版社,2002.
[5]王广明,谭宪才,雷光勇.中国独立审计[M].长沙:湖南人民出版社,2002:35~38.
[6]刘金星.我国经济责任审计问题评析与对策研究[J].中国审计,2007,(8).
试论审计风险 篇11
1.按审计人员对风险的影响程度可分为可控风险和不可控风险。
造成审计风险的因素很多,一般分为内部因素和外部因素两大类。外部因素是指影响审计工作质量的社会背景、法律和法规等外部环境。这类因素所产生的风险是审计人员不能控制的称为不可控风险。内部因素是指审计人员本身的政治、业务素质和职业、道德修养。这类因素可经审计人员自身努力、提高责任心和加强职业修养来加以控制和防范。它所产生的风险称为可控风险。
2.按审计人员对风险发生的内外环境可分为固有风险、控制风险和检查风险。
固有风险是假定被审计单位在没有任何相关内部控制结构或程序的情况下、其财务报表、会计账务、凭证中某项认定产生重大错报的可能性。控制风险是被审计单位的内部控制结构或程序不能及时防止或发现某项认定性重大错报的可能性。固有风险和控制风险的实际水平是审计人员无法改变的,但审计人员可通过努力准确地估计固有风险和控制风险的水平,并做出正确的审计决策。检查风险是指在开展审计时,审计人员未能检查出某项认定中存在的重大错误的可能性。
3.按审计结论可分为绝对风险、相对风险和零风险。
绝对风险是指审计人员颠倒是非,把正确的事项错误化,把错误的事项正确化,严重违法乱纪。相对风险指审计人员确定努力了,仍不可避免的风险。零风险是指审计人员依照法律法规、客观公正的处理审计事项,明确是非,把审计风险尽力降到零。
二、造成审计风险的原因
1.客观原因。
(1)审计内容的复杂性。任何一项审计业务都是在特定的环境下进行的,受到被审情况的熟悉程度、审计对象的配合程度,受到送审的会计资料涉及的时间跨度、连续性、完备程度,受到会计资料多而广、内容多而杂等多种因素的影响。审计人员在有限的时间内很难全面掌握、分析每个细节存在的问题,有可能会降低审计质量,审计风险因此而增大。
(2)审计资料的不完整性。在审计实务中,有的被审计单位由于财务管理不够规范,提供的审计资料就有可能不够完整和准确;有的会计资料,在其形成过程中经历多个会计人员,也给查询带来诸多不便;还有的送审资料的附件遗失等原因。这既增加了审计难度,同时也增加了审计风险。
(3)审计对象内外环境的不确定性。被审计对象内部管理不完善和外部环境对审计质量有重大影响,直接影响到审计风险水平。
(4)审计工作的干扰性。在现实生活中,不正之风的干扰是客观存在的,它将直接干扰审计工作,影响审计风险水平。如:在审计进程中,有的被审单位通过各种途径找关系,甚至通过审计人员上级、亲属说情,或采取种种手段施加压力;有的被审单位通过请客、送礼、拉拢、贿赂意志不坚定、政治素质不高的审计人员等,迫使审计工作走过场,达到掩盖违法违纪行为或牟取不正当利益的行为。
2.主观原因。
(1)审计人员业务素质的局限性。审计人员业务水平低,不善于辨别被审资料的真伪,也很难得出正确的审计结论。因此,不能保证审计质量,从而增大了审计风险。
(2)审计人员职业道德的不规范性。审计人员要有崇高的道德修养和判断是非的能力,否则,就会影响审计质量,增大了审计风险。
(3)审计人员工作中的盲目性。审计人员在开展工作时,不明确审计目的,走弯路,忽视了审计成本与效率,从而导致了审计风险的增加。
(4)审计工作组织实施缺陷性。在审计工作中,若组织协调不当,分工不科学、不合理,就易造成审计工作的效率低下,直接增大了审计风险。
三、降低审计风险的主要途径
1.从主观层面降低审计风险。
(1)增强审计人员的风险意识。审计人员的风险意识是指审计人员在审计过程中,分析审计风险因素,评估审计风险水平,控制与处理审计风险损失的自觉性及决策能力。显然,审计人员的风险意识强,就能在审计活动中,采取有效措施降低审计风险发生的机率,从而有效地避免或降低审计风险损失。
(2)加强审计人员的职业道德修养。审计人员不仅要有过硬的业务技能,更要有过硬的政治素质,还要有崇高的职业道德修养。审计人员崇高的职业道德,是避免或减少审计风险的基本保证。
(3)提高审计人员的业务素质。审计人员的业务技能,直接关系到审计质量的优劣。没有过硬的审计业务素质,就难以保证审计质量,从而难以或减少审计风险。
(4)强化审计机构的内部管理。审计部门要制订符合实际便于操作的各类审计规范,要有较完善的内部管理制度,要有较健全的奖罚措施。如:廉政建设规定、考勤考核制度和审计质量标准等。还应引进市场经济的竞争、平等机制,将审计风险损失与个人利益挂钩,有利于提高审计人员的责任心。
2.从实施层面降低审计风险。
(1)业务承接层面。当前事务所普遍提倡开展整合营销或全员营销,即全体员工都扑向市场承接业务,任何业务的承接,都应该由出资人把关。非出资人为了挣钱,可能任何业务都会承接,不管风险大小,也不管有没有亏损。而出资人不一样,他要全盘考虑事务所的发展问题,他会在承接业务时考虑风险,衡量盈亏。笔者认为,在实践中,业务联系可以全员承揽,但涉及到收费及风险评估时,出资人则应一道前往。
(2)审计实施层面。审计实施过程中,要严格按照三级复核制来做,层层把关,层层落实责任,哪一环节出了质量问题,就得由哪一道环节的人员承担相应责任。
(3)报告签发层面。报告签发权一定要集中在事务所出资人手中。在程序上,一定要完善,包括起草、打印、加盖印章等,而且签发人只能是一个人,不能同时存在两个人签发。
3.从技术层面降低审计风险。
(1)严格按照执业准则开展工作。执业准则是社会衡量注册会计师工作的“尺子”,在一定程度上它也是注册会计师的一把保护伞。按照准则执业,可能出现的失误是过失责任;不按准则执业,就可能是故意欺诈行为。
(2)重视符合性测试工作。注册会计师不仅要做符合性测试,而且要做好做深入,要仔细调查企业背景和经营状况,把握被审计单位的内控制度建立及运作情况。在测试工作中,如果确定风险过高,宁可不接该项业务。
(3)建立和使用事务所自身的“风险库”。这里的风险库包括基本审计风险点和审计案例两方面。基本审计风险点就是会计中容易出现舞弊而导致注册会计师风险增加的地方。审计人员可以在实践中不断积累和总结,将这些风险点存入风险库,并且在审计计划中单独列出一个“风险关注计划”,将这些风险点作为重要关注对象。审计案例则应主要作为培训使用,通过案例分析,可以提高注册会计师的专业判断能力。
(4)在出具报告或征求意见稿之前召开内部会审会议。该会议应该由项目经理、审计实施人员和质量监控人员共同参加,对审计中涉及到的重要方面逐一会审,对遗漏的重要方面提示出来,并且做好补充程序的实施,将审计风险降至最低。
随着经济的发展,审计在经济活动中越来越显得特别重要。审计风险伴随着审计活动而客观存在。为此,审计人员应该认真研究审计风险,提高风险意识,从而避免或减少在审计工作中造成的损失,为经济建设服务。
(作者单位:南昌市烟草公司)
计算机审计风险 篇12
关键词:传统风险导向审计,现代风险导向审计
一、两者的定义
战略风险是审计风险的一个高层次构成要素, 是财务报表整体不能反映企业经营实际情况的风险。这种风险来源于客观的经营风险或企业高层通同舞弊、虚构交易。现代审计风险模型解决的是企业经营过程中管理层串通舞弊、虚构交易或事项而导致财务报表存在错报怎样进行审计的问题。
传统审计风险模型解决的是企业的交易和事项在本身真实的基础上, 怎样发现财务报表存在的错报, 将审计重点放在各类交易和账户余额层次, 而不从宏观层面考虑财务报表可能存在的重大错报风险, 这很可能只发现企业小的错误, 却忽略大的问题。
二、传统审计风险模型的局限性
传统风险导向审计主要是通过对会计报表固有风险和控制风险的定量评估, 从而确定检查风险, 进而确定实质性测试的性质、时间和范围。传统风险导向审计实质上是制度基础审计方法的发展, 它还不是一种新的审计基本方法。虽然它使审计效率与效果有了实质性的提高, 但它在理论与实务两方面都存在固有的缺陷。
(一) 从理论层面分析。
传统风险导向审计采用的依然是简化主义, 认为审计师通过对管理层关于会计报表账户层面各个不同认定的审计, 就可以自下而上地为审计师对整个会计报表发表意见提供充分、适当的证据。这就要求审计师以系统的整体观点, 结合简化、分析、综合, 并进行适当的平衡, 才能够对被审计单位取得深入的理解。虽然传统风险导向审计的理论与实务已经在一定程度上认识到自下而上、由点到面审计思路的缺陷, 要求审计师对企业经营环境做一定程度的了解, 但它仅作为一种参考, 没有将会计报表错报风险与经营风险紧密联系起来。20世纪八十年代后, 随着企业与内外部环境之间的联系以及企业内部组成部分之间的联系越来越紧密, 传统风险导向审计简化主义的缺陷越来越明显。
(二) 从实务层面分析。
传统风险导向审计因为采用简化主义的观点, 假设审计师通过对各个账户层面的认定进行审计就可以获得充分、适当的证据, 所以审计师只需要关注企业的内部控制。因此, 在传统风险导向审计模式下, 一般认为审计师发现不了上下串通的蓄意造假。也就是说, 在这种情况下发现重要错报的概率等于零。这样, 审计的价值也就大打折扣, 客观上削弱了审计在社会公众心目中的价值。
审计风险 (AR) =固有风险 (IR) ×控制风险 (CR) ×检查风险 (DR)
经深入研究发现, 上述审计风险定义及审计风险模型存在许多不足:第一, 该定义认为审计风险是注册会计师对于存在重大错误的财务报表未能适当地发表审计意见的风险。它忽略了这样一个事实:即使财务报表没有重大错误, 注册会计师也会因各种原因而发表不恰当的审计意见的可能性;第二, 传统审计风险模型仅从审计的过程上把审计风险划分成固有风险、控制风险、检查风险三个因素, 未能从审计过程之外分析审计风险产生的深层次社会原因。而实际上, 审计风险是审计内环境与审计外环境综合作用的结果;第三, 传统审计风险定义及审计风险模型不能够解释如下矛盾的现象:一方面审计实务界普遍认为, 审计风险在明显增加;另一方面审计理论界普遍认为, 审计质量在普遍提高。
同时, 运用传统审计风险模型进行审计所依据的审计手法是以“以证实性为主”, 无法将“应有的职业怀疑”观念落到实处。
从制度基础审计到20世纪八十年代西方国家建立起来的风险导向审计, 审计的手法一直都是以证实性为主。审计人员所进行的控制测试是为了减少实质性测试的工作量。虽然我们在一些准则中也强调“注册会计师应当根据独立审计准则的要求, 充分考虑审计风险, 实施适当的审计程序, 以合理确信能够发现可能导致会计报表严重失实的错误与舞弊”。但同时我们的准则也强调“注册会计师对会计报表的审计, 并非专为发现错误或舞弊”。因此, 迄今为止, 包括传统的风险导向审计在内的审计手法还都是在“以证实性为主”, 奉行的是“无反证假设”和“无错推定”, 只不过要求注册会计师在实施证实性审计的过程中去关注可能导致会计报表严重失实的错误与舞弊。这样的模式是与传统的审计风险模型相吻合的, 但其不足之处也是很明显的。一方面这种模式不利于缩小审计期望差;另一方面“应有的职业怀疑”在这种模式下难以落到实处, 很容易成为一句空话。
三、现代审计风险模型的具体优势
考虑到传统风险导向审计模式的局限性, 现代审计风险模型:审计风险=重大错报风险×检查风险, 重大错报风险评估是通过“了解被审计单位及其环境并评估重大错报风险”来实现的。这一思想将风险评估的范围拓展了, 要求将被审单位的各种风险, 包括控制风险、账户及交易层次风险以及其他如经营风险、行业风险、舞弊风险等都考虑进去。总体来说, 现代风险导向审计是一种新的审计基本方法, 它以被审计单位的经营风险分析为导向, 以审计理论、系统理论和战略管理理论为指导, 通过自上而下和自下而上相结合的审计思路完成审计工作。其具体优势体现在以下方面:
第一, 运用现代审计风险模型进行审计可以更有效地发现经营风险和舞弊风险。现代审计风险模型将固有风险与控制风险综合为重大错报风险, 审计人员在审计过程中通过风险评估程序, 对重大错报风险存在的可能性进行评估, 不仅评估被审计单位的内部控制, 同时对企业经营环境、经营战略以及管理层是否诚信等做出风险评估, 根据评估结果和可接受的审计风险, 进而确定检查风险, 确定实质性测试的时间、性质和范围, 并且对于各类重大交易、重要账户余额和重要披露, 无论内部控制是否存在及有效, 必须进行详细审计, 这是对传统风险导向审计方法的重大改进。
第二, 运用现代审计风险模型进行审计采用的是一种全新审计技术。其基本程序包括:战略风险分析、经营环节问题分析、经营业绩评价、剩余风险评估、实质性审计测试时间、性质和范围的确定。
第三, 现代风险导向审计模式是一种“自上而下”的审计模式。独立审计师可以在合理评估剩余风险的基础上有效实施实质性测试程序, 然后采用“自下而上”的审计模式, 汇总审计情况, 最后在评价被审计客户会计报表中的整体错报水平的基础上发表恰当的审计意见。因此, 现代风险导向审计程序是一种科学化的系统分析过程。这种模式的优势在于它既可以从整体上把握审计风险因素, 简化审计手续, 提高审计效率, 又可以合理整合审计资源, 抓住主要矛盾, 提高审计效果。
第四, 运用现代审计风险模型进行审计是实施“以侦察性为先导、以证实性为补充”的审计战略。现代企业的特点是规模大、业务繁杂、会计普遍实现电算化、内部控制比较健全。企业会计电算化的普及大大减少了会计上一般错误发生的可能性, 管理当局舞弊成为当前会计报表审计中最主要的矛盾。在这种情况下, 实施“以侦察性为先导, 以证实性为补充”的审计战略可以有效地降低审计风险, 并能将“应有的职业怀疑”从一开始就落到实处, 从而有效地减少审计期望差。将主要精力转移到关注和控制管理当局舞弊风险, 必然要求由原来对管理当局“中性”的看法转变到对管理当局实行“有错推定”, 使“应有的职业怀疑”不再是一句空话。舞弊是现代注册会计师进行审计时所面临的主要矛盾, 而管理当局舞弊又是矛盾的主要方面, 风险导向审计将战略调整到将主要精力转向关注管理当局舞弊风险, 充分体现了注册会计师在审计中抓主要矛盾, 抓矛盾的主要方面这样一种哲学思想。
总之, 现代审计风险模型解决的是企业经营过程中管理层通同舞弊、虚构交易或事项而导致会计报表存在错报怎样进行审计的问题。相应的, 现代风险导向审计按照战略管理论和系统论, 将由于企业的整体经营风险、战略经营风险所带来的重大错报风险作为审计风险的一个重要构成要素进行评估, 是评估审计风险观念范围的扩大与延伸, 是传统风险导向审计的继承和发展。
四、现代风险导向审计模型的作用
在现代风险导向审计中运用修订后的审计风险模型, 克服了原模型的局限性, 强化了审计风险管理。在现阶段, 审计人员是用测试和抽查的方法进行审计取证的, 所以审计风险无可避免。随着审计结果使用者日益注重维权, 一旦不当的审计意见对会计报表使用者造成损失, 审计人员就有可能承担赔偿等审计责任, 在固有风险与控制风险不易区分的情况下, 重大错报风险能更综合地反映被审计单位的风险情况, 从而让审计人员有章可循, 并在涉及诉讼的时候处于有利的申辩位置。从理论上分析, 重大错报风险与固有风险和控制风险乘积差别不应很大, 在实际操作中外部风险较容易被认识, 而潜在风险具有很大的隐蔽性;单纯的风险容易发现, 多种因素交织而成的风险具有复杂性, 如国际经济影响, 外汇汇率变动, 国内经济波动, 政治、战争因素的影响, 由于新模型将风险因素归为重大错报风险, 因此新模型的可操作性比原模型要强得多。同时, 新模型的出台对审计人员的理念将会产生重大影响, 审计将始终针对重大错报风险的识别与评估;对于审计人员所需承担的责任, 也能以对重大错报风险评估结果和审计人员工作形成记录的基础上, 再评估为检查标准。
(作者单位:安徽财贸职业学院大位会计学院)
参考文献
[1]马春静.新编审计原理与实务 (第三版) [M].大连理工大学出版社, 2008.
[2]中国注册会计师协会.审计[M].2009.