信息系统审计风险(精选12篇)
信息系统审计风险 篇1
一、前言
在社会经济及医疗改革的发展下, 患者对医院的管理要求越来越高。医院的经营管理水平与其长期稳定发展有重要的联系, 内部审计是医院经济管理的重要部门, 对医院的财产安全起着关键的保护作用, 信息化管理有效地降低了医院的成本, 提高了医院的经济效益与社会效益, 进一步推进了医院的长期发展。在医院快速发展及信息化系统的应用过程中也增大了内部审计的风险, 医院应加强对内部审计工作的监督力度, 避免出现违纪行为而造成医院的损失。面对医院内部审计风险, 应该采取积极有效的对策, 提高医院管理水平, 促进医院的长期稳定发展, 进一步推进我国医疗事业的发展。
二、内部审计存在的风险
(一) 规范的滞后性
在信息系统下, 医院内部审计的方式、审计对象及审计线索都发生了很大的改变, 传统的方式已经不适用了, 审计标准与方式也应该跟上发展的需求, 然而传统审计标准与方式还没有完全适应发展的需求, 具有一定的滞后性。
(二) 审计线索缺乏
在医院内部审计工作中, 内部审计人员主要是通过跟踪审计线索来搜集审计证据, 内部审计的过程实际上就是不断收集、鉴定及综合运用审计证据的整个过程。在传统的审计方式中, 所有的数据处理都是通过纸质表现出来的, 内部审计线索是可以看见的, 而在信息系统下, 内部审计数据的处理主要是通过计算机系统中的特定程序实现的, 数据的保留时间较短, 可以看见的审计线索也很少。此外, 数据的处理对系统的依赖性较强, 当程序准确运行时才能确保数据处理的准确性, 然而当程序出现错误时, 数据也会跟着出现错误, 加大了审计数据错误的风险。
(三) 审计手段的落后性
由于内部审计中的证据大部分存储于不可见的磁性介质中, 医院内部审计人员需要采用专业的计算机技术进行检查。此外, 由于信息系统处于持续运作中, 单机系统的审计方式已经不适用信息化要求, 医院内部审计人员需要在信息系统运行的同时进行审计。在信息化环境下, 对审计人员的审计方式及计算机操作技术提出了更高的要求, 但是内部审计人员的计算机操作技术及其掌握的网络知识并不全面, 审计手段较为落后。
(四) 信息化审计系统的局限性
当前已经有很多医院摒弃了传统的审计方式, 不断引进了信息化系统。内部审计中完备的信息系统是确保审计工作有效性的重要保障, 然而, 由于信息化系统本身存在一定的虚拟性、实时性等特性, 而医院信息系统中的审计软件受到医院传统管理模式及信息系统等多方面的限制, 目前还没有开发出确实可行的审计软件, 在很大程度上增大了审计工作的难度, 增大了审计风险。
(五) 审计风险的潜在性
目前信息系统已经被广泛应用于医院各个领域, 但是由于信息系统的应用处于初步阶段, 医院领导并不重视信息系统在医院内部审计工作中的应用。信息系统在我国医院中的应用处于初期, 医院审计信息化建设较为落后, 在很大程度上增大了审计风险的潜在性。在信息系统的应用过程中, 审计风险具有的潜在性特点也存在审计人员的日常工作中, 当审计人员在工作过程中出现差错时, 并没有相应的责任落实制度, 存在了潜在的审计风险。
三、防范内部审计风险的具体对策
(一) 制定和完善相关的法律法规
在医院的内部审计工作中, 业务记录是最为有效的审计证据。在信息化前提下, 电子信息已经代替了传统的纸质信息, 但是电子信息是否能作为有效的审计证据已经成为国际上有待解决的问题, 这一问题的解决需要依靠法律法规, 确保审计工作的有效进行。
为了确保医院内部审计工作有效性, 需要完善内部审计信息化法律法规。随着计算机信息技术的快速发展, 先进的信息化技术也广泛应用于内部审计制度中, 传统的控制管理检查技术部收到了新的挑战, 需要制定相关的风险防范规章制度以规避风险, 通过强化内部审计控制制度确保会计信息的准确性与可靠性。
(二) 建立风险防范制度
在医院信息系统的不断发展与应用下, 传统的纸质信息已经转变为磁性介质的电子信息, 因此对电子信息数据的长期保存提出了更高的要求。由于电子信息容易受温度、磁性物质及剧烈震动等多方面因素的影响, 加大了审计资料、数据保存的整体风险。此外, 采用新型的信息技术而存储下来的数据存储的信息很容易被访问及滥用, 甚至会被网络黑客攻击, 将数据盗取并将其用到非法用途上, 在很大程度上增加了内部审计风险。因此, 必须加强对风险防范措施的探索。比如可以建立严格的信息监督制度及信息存档制度, 以免造成财务信息泄露。此外, 还要建立网络管理规定、信息系统安全运行保密制度、系统软件运行管理细则及系统应用软件开发等风险防范规章制度, 通过建立这些科学合理的规章制度以提高内部审计风险的防范能力。
(三) 加强内部审计监督
信息化系统下内部审计风险的有效防范需要充分利用审计监督制度, 通过建立并完善内部审计监督制度, 对审计工作的完成情况、内部审计中违纪问题重复发生率、问题处理有效率及审计人员的工作能力等相关因素进行全面评价与考核, 并对内部审计工作取得的成效进行考核, 实现对内部审计工作的有效监督, 充分发挥内部审计工作在医院管理中的重要作用。
(四) 促进审计软件与数据库的开发与建设
信息系统中审计软件综合了大量的审计方法与审计技术, 系统软件中包含了内部控制评价、数据转换、抽样审计、会计报表生成及审计报告生成等多种的功能。在信息系统下, 需要提高审计软件的开发速度, 开发专门审计软件与通用的审计软件。
具备高新技术的专业审计软件能使所获取的数据更具可靠性, 采用信息技术将不可见的数据转化为可见数据, 并按照审计标准实现审计软件的查询功能、结果生成功能等, 对数据进行归纳与总结, 从而提高审计软件的使用效率, 使审计软件中的数据更具专业性与准确性, 降低审计风险。信息系统中的数据库建设是实现数据智能化处理的关键, 是系统平台建设的重点。这就需要加快审计统计资料、审计档案、审计法规及相关经济数据等数据库的建设。此外, 还要采用多个途径不断采集及更新数据, 实现内部审计信息化系统的数据库建设。
(五) 提高审计人员整体素质
在信息化系统下, 内部审计人员的整体素质在很大程度上影响了信息化系统作用的有效发挥。医院审计部门应加强对审计人员的培训, 定期对审计人员进行培训, 以财务理论知识、审计知识培训作为培训基础, 此外还要不定期进行实践操作演练, 使审计人员在掌握理论知识的同时提高自身操作技能。培养审计能力及计算机操作能力较强的综合型人才非常有必要, 通过对审计人员进行有计划、有层次的培训, 以提高审计部门的整体审计水平, 促进医院管理水平的有效提高。
四、结语
在医院管理信息化大环境下, 医院内部审计管理越来越趋向信息化, 然而在信息系统投入使用的过程中还存在较多审计风险, 医院可以通过制定和完善相关的法律法规及风险防范制度, 加强内部审计监督, 促进审计软件及数据库的开发与建设, 提高审计人员的整体素质等策略以规避风险, 促进信息化系统在内部审计管理中的作用。
参考文献
[1]玄志军.医院内部审计风险及其防范和控制[J].行政事业资产与财务, 2011 (19) .
[2]宋延海.医院内部审计风险问题分析[J].中国外资, 2011 (03) .
[3]赵玲.刍议医院内部审计现状对审计风险的影响及防范建议[J].经济师, 2010 (13) .
[4]方锦洲.浅析医院内部审计的现状和对策[J].时代金融, 2010 (17) .
[5]陈泽媛.信息化环境下内部审计风险与防范对策[J].通信企业管理, 2010 (16) .
信息系统审计风险 篇2
(一)数据误报
会计审计以信息化的模式操作中,其中的过程可能存在数据的误报。
信息化审计都是通过计算机操作的数据报表,这种非人为的处理方式可能会导致部分数据的遗漏。
比如,在信息输入时,由于计算机代码的失误,可能出现信息的混淆和错报。
所以,信息化的会计审计,必须加强对人为参与计算机程序控制的过程。
能够通过信息的修改或运行错误的检查,避免信息的输送错误。
另外数据通过移动设备的存储中,由于设备的损坏,也可能导致数据的丢失或者无法读取,再加上磁盘数据在非保护模式下的人为修改概率,使得审计工作中存在很大的误报风险。
(二)信息检查风险
对于会计审计工作来说,无论是信息化还是人工形式,都必须要有全面的风险检查,来有效的提升数据的准确性,减少虚假及错误信息的出现。
这就要求信息化审计的具体操作人员必须有熟练的计算机审计操作能力。
能够熟悉软件的实际操作和理论知识。
但实际的信息化审计工作,很容易出现工作人员疏忽大意不进行检查的情况。
同时在信息化不断进步的同时,存在因软件升级导致历史数据提取困难的现象。
对于依赖历史数据的单位来说,就造成了一定的会计审计难度。
但由于纸质数据的准确性和可靠性不如电子数据,是的会计审计工作形成对电子数据的依赖,也提升了信息化审计工作的风险。
二、导致会计审计风险的相关因素
(一)企业之间的竞争
在市场化经济体制的不断发展下,会计审计工作也面临着很大的竞争,当国家的经济体制不断的在完善的同时,对应的信息化审计政策却没有得到有效的落实,这就极大的提升了风险隐患。
企业发展的主要目的就是不断的追求自身利润的提升,会计审计信息化出现后,依赖计算机模式的审计模式有效的降低了审计不正规行为的出现,规范了行业经济行为。
但这种信息化的设计模式却有悖于企业的发展需求,部分企业为了追逐经济利润和提升子自身的竞争优势,很经常的出现对审计数据的篡改,这就极大的提升了审计的风险。
(二)审计范围的扩展
随着经济的发展,我国的经济呈现了全球一体化的发展趋势。
在国际及国内竞争不断频繁的当前经营环境中,企业的经济实务的扩充极大的活跃了企业发展。
这就要求审计范围也必须进行拓展,同时设计的精确度也必须有更高的提升。
一旦审计范围和内容进一步扩大,自然就可能会随之产生一些不良的风险因素。
(三)审计人员的素质问题
信息化审计的出现,不但是传统会计审计模式的改变,还对审计从业人员提出了新的要求,从业人员不仅要熟知审计相关理论知识和技能,还要熟练的掌握信息化审计的操作软件,才能符合信息化审计工作的发展需求。
但实际的审计工作,具备很强审计能力和经验的人员可能在计算机操作能力上欠缺,对于计算机操作能力强的人员可能缺乏过硬的基础审计理论。
甚至部分设计人员可能连审计从业资格都不符合要求。
另外加上审计人员如果缺乏较高的职业素养,在于公于私方面不能准确衡量,也会导致企业经济损失的出现。
三、关于优化信息化审计的几点策略
(一)明确信息化会计审计原则
信息化的会计审计工作必须符合当前的经济发展趋势。
市场化经济的变化和信息化技术的发展之间是相互推动的。
在发展信息化审计的过程中,必须对两者之间的相互关系形成明确的认识,并充分发挥政府部门的主导作用。
通过信息化会计审计原则的准确定位,来形成审计工作标准。
另外,国家还要充分的发挥对信息化审计的监督作用,充分的确保审计原则的执行力度,并注意执行过程中的信息反馈和总结。
能够对审计原则中的欠妥地方进行继续修缮和调整,确保审计原则的准确性和市场适用性。
(二)加强信息化审计方面的人才培养
信息化审计工作在理论和操作方面的新要求,促使从事审计的工作人员必须强化自身的专业审计能力。
信息系统审计风险 篇3
【关键词】会计审计风险因素;信息化审计;策略解析
计算机通过对于既定程序的编写,可以高效率的进行重复行劳动,对于现代的会计审计而言,计算机这一特点可以成功应用于现代的会计审计之中,一方面可以通过电脑不知疲惫的重复劳动;另一方面计算机的计算速度和准确度都可以对现代的审计进行帮助。所以减小会计审计之中风险因素的影响,对于现代社会来说也就是一个必然结果。
一、会计信息化审计的概念和特征
1.会计信息化的概念
通过计算机技术进行数据库的建立,方便企业进行各种会计审计时可以快捷计算和快速查找,为企业的发展带来会计上的帮助。
2.信息化审计的特征
信息化审计具有更加快速和更加效率的特征,对于现代审计工作而言,计算机的应用成功的帮助审计工作提高了工作效率,改善了业务核算和财务处理。作为现代化的产物,信息化审计区别于传统的会计审计模式,具有普遍性、集成性、动态性、渐进性的特征。
二、导致会计审计工作出现风险的原因
在信息技术不断发展的新环境下,审计工作中出现的风险有的是可以控制的,有的是不可控制的。不管是可控的风险还是不可控的风险,它们的产生都有着深层的因素。
1.企业之间的恶性竞争
现代企业之间的竞争越来越走入了白热化时代,一些管理者为了提高自身企业财务报表的财务能力和盈利能力,有可能会对一些数据进行更改,这就导致了现代审计工作可能出现风险。
2.会计审计部门的相关制度不够完善
审计部门的相关制度不够完善,这就代表了一方面审计工作没有相关的标准规范;另一方面代表了考核制度存在漏洞。制度的不完善如同大环境缺失一样,是一种基本措施的缺失。现代审计人员一些自身综合素质不足,对于风险的意识不足,这也就加大了审计风险出现的可能性。
3.审计工作对象的交叉融合
因为审计对象的变化,可能造成重叠,造成审计工作出现融合交叉的现象。这就导致了审计工作的效率不高,而且因为不同审计工作的交叉,可能会导致工作出现新的情况,也就加大了审计工作出现风险的可能。
4.会计审计人员自身的素质能力不够
现阶段会计审计人员的综合素质不够,这就导致了他们不能进行新鲜血液的接收,作为审计工作的执行部分,审计人员的自身职业道德决定了审计工作的质量,现阶段的审计人员在这一方面普遍不足,这样一方面增加了审计工作发展的难度;另一方面也增加了审计工作当下的风险发生性。
5.相关法律法规仍存有漏洞
对于审计工作,相关的法律法规仍不完善,对于已经出现的审计问题,不能进行及时处理,这也就让很多人感觉有空子可钻,笔者坚信,随着时代的进步,相关的法律法规完善,肯定不会让这些人进而逃脱法律的制裁。
三、寻求会计信息化下审计工作快速发展的策略措施
1.完善相关管理制度原则
有关部门应该和相关企业相结合,共同建立有效的会计审计原则,对于一些人为的对于企业造成损害的审计失误,应该对于相关人员进行责任认定,追究法律责任。随着时代的发展,相关法律规定的完善可以有效的改善审计环境,制定切实有效的会计审计原则:第一,坚持诚实守信,实事求是的工作态度。第二,对于审计工作进行周密计划。第三,审计工作作为企业之中的独立工作。第四,确保审计工作的质量优先,并兼顾其效率。有关部门进行相关规定的完善,一方面可以帮助现代企业在发展过程中进行自我发展;另一方面可以对当代的审计工作进行整顿,帮助现代审计工作进行自我的蜕变,提高工作的效率。
2.提高审计人员自身的安全意识
提高审计工作的安全防范意识,强化审计工作人员的风险意识。审计工作之中难免会出现失误,但是失误轻微,對应的结果也不会过于严重,但是一些重大失误和人为的误导会导致会计信息使用者的决策失误,从而必须承担一定的法律责任。因此,提高相关工作人员的防范一时,降低风险的发生机率。在实际的工作中,不仅要追求工作效率和企业的利益,也要考虑到审计风险的时刻存在,采取有效的措施合理地避免风险,这样才能使整个会计审计工作得到正常的发展。
3.对于现有审计人员进行业务培训,建立审计人才梯队
作为审计工作的执行部分,人才永远是行业发展的根基。对于审计工作现代的情势来看,定期组织对于审计人员的培训,可以有效的帮助审计人员急性自我发展,帮助自我目标的实现。另外一方面注重培训,可以有效的培训梯队的审计人才,这些人才可以帮助审计工作更好的开展,也可以促进审计工作的发展。
4.加强信息化审计的宣传
会计信息化审计已经走上了一条相当好的发展道路,但是仍然应该加强会计信息化审计的宣传。传统的会计审计模式慢慢因为自身的不足退出历史舞台,要加大对会计信息化审计工作的宣传力度,推广信息化审计的技术,使会计信息化审计走上一条良性的发展道路。
四、总结
现代的审计工作之中,审计工作出现风险的原因更加多样化,当风险出现时,无论对审计工作人员或是企业都绝不是一个好消息,所以需要审计人员从自身做起,掌握相关能力,帮助审计工作更快更好的完成。
参考文献:
[1] 王瑞华. 基于会计审计风险原因与会计信息化审计对策的分析[J].商场现代化, 2014(27):232-233
[2] 李宁. 会计审计风险因素与信息化审计策略研究[J]. 知识经济, 2015(5):155-155
信息系统审计风险 篇4
关键词:风险导向,审计,会计信息系统
一、风险导向审计面临的新问题
(一)新的审计风险审计人员将风险导向审计运用于会计信息系统时,应当充分认识会计信息系统的风险,估计其可能产生后果的严重性。在会计信息系统环境下应用风险导向审计,必须将各种风险统一纳入审计风险的框架内,审计人员在考虑控制审计风险时需要加以注意。目前各种会计核算软件中的数据结构不尽相同,缺乏标准化、规范化,增加了审计难度,使审计人员在分析评估审计风险时感到棘手。尽管这些软件基本上符合财政部发布的《会计核算软件基本功能规范》,但从系统功能模块的划分到数据库文件的设置,从采用的工作平台到使用的计算机语言,从单机到网络环境,从单纯使用关系型数据库到应用大型数据库资源等,都十分复杂。
(二)新的审计线索在手工审计条件下,账、表、证每一步的审计线索都很清楚,但在会计信息系统环境下,账务处理全部由系统按照一定的程序指令来完成,手工审计线索基本消失。在某些系统中,传统的原始凭证可能不复存在;在主文件中可能看不出计算汇总所依据的明细数据,而明细数据作为过程文件已不存在;数据处理过程不一定提供业务的日常记录,若要提供需要采用专门的程序;系统不一定或不可能打印出全部的原始资料,一般只打印汇总结果。会计信息系统对审计线索的这些影响,使得数据输入、处理和输出的控制以及计算机操作过程成为审计的重要内容。审计人员应当加强对会计信息系统应用控制及上机日志的审查,追踪审计线索。其中,应用控制是指会计信息系统中具体数据处理功能的控制,应用控制有其特殊性,不同的系统有不同的应用控制,但一般都包括数据输入、处理和输出,审计人员应当重视对应用控制的审查,从中发现审计线索。
(三)新的证据形式审计证据是审计人员在执行审计业务过程中,为了形成审计意见获取的证据。一般而言,审计证据可以分为书面证据、实物证据、口头证据和环境证据等,其中书面证据是主要的证据形式。企业会计信息系统发展到内部联网、模块集成阶段时,企业内部传递的各种单据文证将逐渐减少,取而代之的是磁记录。随着企业会计信息系统的发展,电子记录形式的审计证据将成为与书面证据并重的一种审计证据。
二、ABC 企业审计案例
(一)审计准备阶段
(1)审计背景。在审计实务中经常遇到部分企业在年中年末应该公布会计报表时,运用多种手法做假账的现象。其中虚构交易事实,增加销售收入、其他收益,或者使用不当的收入、费用确认方法是其调节利润的主要方法。2013年在对ABC企业审计中,运用风险导向审计方式,在对该单位会计信息系统内部控制评价的基础上,通过ODBC连接下载该企业会计核算系统数据,运用SQL语句进行分析性复核,发现该企业存在虚构销售对象、成本不实等问题。
(2)ABC公司基本情况:ABC公司是一家生产化工原料的大型企业,在行业内具有一定的知名度,该企业产品比较单一,执行《企业会计制度》和《企业财务制度》。
(3)会计核算系统。企业使用的会计软件系该单位委托外单位开发的,包括总账系统、固定资产系统、工资系统、应收款项系统、应付款项系统、成本管理系统、库存商品系统、资金管理系统、现金流量表系统、报表系统、财务分析系统,使用Microsoft SQL Server数据库,系统采用Client/Server结构,每年产生的数据量较大,数据于后台存放。
(4)审计风险的确定。根据通常约定,审计人员将审计风险定为中等,为5%,考虑到这是第一次对该单位进行审计,审计人员对该行业的情况不熟悉,为谨慎起见,审计人员将固定风险确定为最高(100%),为了进一步降低实质性测试的工作量,审计人员决定对该单位的内部控制进行测试和评价。
(二)对会计信息系统内部控制的评价审计过程中,审计人员首先对被审计单位的会计信息系统一般控制和应用控制进行了了解,并进行了符合性测试。
(1)审计人员使用的审计方法和实用工具。
内控调查表。审计人员设计了一系列关于会计信息系统一般控制、应用控制方面的调查表格,发放给系统设计、使用、维护部门人员填写,与他们座谈了解软件概况,并与他们一同观察系统运行使用情况。
检查流程图。分别就部分文本流程图、数据流图、系统流程图和程序流程图,查阅了解软件系统中存在哪些控制、在哪里控制、如何控制等方面的信息,抽查选定个别输入程序流程,追踪检查输入的样本业务,验证有关控制措施在实际执行的程序中是否有效。
审计数据检测。审计组制定了详尽的测试计划,对程序模块处理功能进行数据检测。测试数据项包括正常、有效的交易数据,不正常、无效的交易数据,破坏性数据。最后,将程序运行结果与手工计算结果、预期结果进行比对,判断有关程序的控制与处理功能是否恰当、有效(如表1)。
(2)审计人员在符合测试中发现的问题。
第一,系统使用管理与控制不够有力。存在的问题主要包括:访问控制不强,口令未定期更新;系统未及时更新防杀病毒软件。
第二,业务设计尚有欠缺。系统对系统内的子系统数据未提供自动转换功能。审计人员对库存商品进行分析检查时发现,财务会计系统销售收入金额与库存商品系统的出库金额不等,原因是系统没有提供对财务会计系统与库存商品系统之间的自动转换功能,被审计单位可以进行人为调节。
第三,系统功能不完善,部分功能模块存在漏洞与缺陷。系统参数管理及控制功能薄弱,部分参数设置、使用违规。检查该单位固定资产表文件,发现部分交易参数设置违反了国家关于固定资产提取折旧的管理规定。如系统中建筑物的使用年限为15年,而国家税务总局规定:房屋、建筑物类固定资产计提折旧的最低年限为20年。
(3)对会计信息系统内部控制的评价。通过对会计信息系统的了解和符合性测试,认为该单位的会计信息系统是一套相对完整的管理、核算系统,但该软件系统的开发、设计和使用方面不够规范,部分功能模块存在缺陷与隐患,有的参数设置违反了国家法律、法规,影响系统软件的合法、安全运行和数据的正确处理,不利于企业经营损益的真实反映。根据会计信息系统内部控制的评价结果,审计人员将ABC公司的内部控制风险评价为35%(如表2)。
为降低审计风险,根据审计风险模型,确定检查风险为14%。审计人员认为需要在数据文件审计阶段执行更多的实质性测试。同时,根据符合性测试结果,审计人员将实质性测试的重点放在销售收入业务和生产成本确定两方面。
(三)数据文件审计阶段
(1)下载数据。审计组进点后,考虑到该企业会计信息系统是数据量大,数据后台存放的网络数据库系统,审计人员认为可以通过ODBC来连接该企业的会计信息系统数据库,获取2013年该企业会计信息系统完整的数据,具体方法如下:
首先,在被审计单位的网络管理人员配合下,配置审计人员使用计算机的网络参数,使计算机能够与被审计单位的会计信息系统正确相连,主要的配置参数包括:IP地址、掩码、网关。
然后,创建一个SQL Server数据库系统数据源。在控制面扳中打开管理工具,选择ODBC数据源图标,双击图标,打开ODBC数据源管理器选择系统数据源页面,并按添加按钮,在弹出的页面中选择“SQL Server”条目后,在弹出的窗口中填入相应的内容,在“名称”一栏中填入要创建的数据源名称,在“你想连接哪一个SQL Server服务器”中填入SQL数据库服务器的名称,按下一步到出现“更改默认的数据库为”后,选择会计信息系统的数据库,完成后按下一步按钮,测试完数据连接后,就完成了ODBC配置。
再然后,使用ODBC获取数据。打开Access建立一个新的数据库,在文件菜单下的获取外部数据栏的子菜单中选择导入菜单,在弹出的窗口中选择文件类型为ODBC数据库文件类型后,将弹出选定数据库窗口,选择机器数据源选项,这里选择已建立的系统数据源。选择好数据源后,Access将显示可以导入的数据对象,选择要导入的数据表后按确定,数据库中的数据就导入到Access中了。
(2)分析数据结构。审计人员通过积累的审计经验,并积极和被审计单位的相关部门沟通,确定了审计人员必需掌握的三张数据表和商品销售表,同时标识出每张表及其字段的经济含义。由于本案例中企业运用的是自主开发的软件,对数据表的结构分析主要依赖审计人员的计算机审计知识以及与被审计单位财务人员的沟通。审计人员在审计中主要需要以下表KMFILE(科目代码表)、PZFILE(凭证库)、YEFILE(科目余额表)、SPFILE(商品销售表)。
第一步,打开数据库文件,选择PZFILE.DBF(凭证库)表,打开数据表设计视图,选取该表中DATE(日期)、IPE(凭证号)、DIGEST(摘要)、AMOUNT(数量)、MONEY(金额)、DC(借贷方)、MONTH(月份)、DFKMBH(对方科目)等字段,对各字段重新命名,保存结果,同时将新表重新命名为“凭证表”。
第二步,选择KMFILE (科目代码表),选择该表中CODE(科目代码)、NAME(科目名称),对各字段重新命名,同时将新表重新命名为“科目代码表”。
第三步,选择YEFILE (科目余额表),选择该表中CODE(科目代码)、MB(科目年初余额),对各字段重新命名,同时将新表重新命名为“科目余额表”。
第四步,选择SPFILE(商品销售表),选择该表中DATE(入账日期)、DCCODE(单位代码)、SPCODE(商品代码)和AMOUNT(数量),对各字段重新命名,并将新表重新命名为“商品销售表”。
(3)数据整理和清洗。在取得的电子数据中,存在不符合审计要求的数据,需要进行处理。
数据库中的空值(NULL)不等于0,会影响数据的汇总和正确比较大小。发现凭证库表中的AMOUNT (数量)、MONEY(金额)数值型字存在空值(NULL),审计人员编写SQL语句将空值记录替换成0,SQL语句为:update凭证库set数量 =0 where数量is null;update凭证库set金额 =0where金额is null。
数据类型转换。在凭证库中,月份是文本型文件,为审计的要求,需要将其转换为数值型文件update凭证库表setint(月份)as月份。
(四)审计发现的主要问题及审计方法
(1)企业虚构销售对象、虚增销售收入问题的审计。
提出审计需求。根据审计人员经验,企业的销售数量如果在会计期末有巨额的增长,则有可能是虚假的销售,虚增利润的行为,审计人员应当筛选出符合上述条件的记录加以详细审查。
打开数据表、选取字段。打开数据库,选择商品销售表,根据审计需求选取“商品销售表”表中的入账日期、单位代码、商品代码和数量等字段。
分组汇总并排序。按照入账日期、单位代码、商品代码进行分组,按照数量进行汇总,并按数量进行降序排列。
分析结果。按照排序结果分析。从查询结果中可见,该单位2013年第一条记录发货数量远远高于其他数量(12月30日,发货1万多件),应作为重点进行调查。审计人员将分组排序后的数据转换为EXCEL格式的文件,运用EXCEL软件中统计功能对数据进行统计分析,由分析结果可见,在99%的置信区间下,该企业产品销售数量主要集中在(-70.68~5808.779)的水平。而销售给某单位数量1万件的某品种产品为异常情况,远远超过排序第二的5027件的数量,审计人员据此判断,应当将第一条记录作为调查重点。
审计结果。通过检查该项业务的原始附件发现,一是该笔业务没有相应的购货合同;二是提货单显示该笔销售的1万多产品竟在一天内全部由购货方用卡车提货运走,审计人员认为这不符合常规,不太可能。经进一步调查后查明,被审计单位为了完成利税指标,在2013年12月30日虚构销售对象,虚增销售收入7000多万元。
(2)企业成本核算不实问题的审计。
提出审计需求。审计人员根据企业的生产特点,选择具有固定单耗定额的辅料如包装箱、包装盒、辅材A等作为分析对象,对各辅料的定额消耗和账面消耗进行对比分析,查找审计疑点。
包装箱、包装盒、辅材A与企业产成品在数量上的关系如下:
产成品=包装箱×5=包装盒×250=辅材A×2500
生成材料结转辅助表。打开数据表,选取凭证表,根据审计需求选取科目代码、借贷方、数量、月份、对方科目代码等字段。
在凭证库查找科目代码字段以123开头(材料的科目代码)并且借贷方字段为-1(贷方值)并且对方科目代码字段以401(生产成本的科目代码)开头的所有记录。
查询结果生成后,可以看出当年所有记入成本的材料明细记录,将查询结果保存为“材料结转辅助表”。
生成产量统计表。打开数据表,选取凭证表,根据审计需求选取科目对方、数量、月份、对方科目代码等字段。
在凭证库查找科目代码字段以137开头(产成品的科目代码)并且借贷方字段为1(借方值)并且对方科目代码字段以401(生产成本的科目代码)开头的所有记录。以月份分组、对数量字段求和。Group By凭证表·月份查询结果生成后,可以看出每月从成本结转的产品数量汇总记录,将结果保存为“产量统计表”。
计算产品材料单耗。打开数据表,选取材料结转辅助表、产量统计表、科目代码表。建立数据表之间的关联关系:科目代码表·科目代码=材料结转辅助表·科目代码;材料结转辅助表·月份=产量统计表·月份。根据审计需求选取材料结转辅助表中的月份、数量字段;产品统计表中的数量字段;科目表中的科目名称字段。
审计结果。在得到该企业产品材料单耗表后,通过与企业产品单耗的定额进行对比分析来查找异常。在本案例中,一箱产品消耗的包装盒定额应至少为250个加上正常的损耗,而实际上从产品单耗表上可得知该企业1~11月份包装盒的消耗量小于250个,明显出现异常。在发现该审计线索后,经审计人员查明,ABC企业年初未将上年结余辅料退库处理,造成本年账面的辅料消耗量小于实际消耗量,由此造成当年成本不实3000多万元。
四、会计信息系统环境下风险导向审计建议
(一)积极探索会计信息系统环境下新的风险评价办法会计信息系统内部控制是单位内部控制系统的重要组成部分,在会计信息系统环境下出现了许多新风险,审计人员必须对内部控制制度实施符合性测试,识别会计信息系统中风险的情况,了解内部控制在多大程度上确保系统中会计记录的正确性和可靠性,并据此确定实质性测试的程度和范围,目前对风险的评价主要还是定性分析的方法,能被大家广泛接受的定量计算方法几乎没有,建议探索新的风险评价方法。
(二)完善相关标准和准则目前国内有关计算机审计的审计标准和准则有:1996年审计署发布的《审计机关计算机辅助审计方法》、1999年实行的《独立审计具体准则第20号———计算机信息系统环境下的审计》等。面对日益发展的会计信息系统审计,以前制定的各种审计准则已不适合要求,需要针对新的形势,完善有关会计信息系统的审计标准和准则,建立与新情况相适应的审计准则,规范审计业务的发展,降低审计风险。
信息系统审计风险 篇5
张 鹏
摘要:在医院信息化的环境下如何规避计算机审计风险,是每个审计人所关注的课题。本文通过将医院计算机审计风险分类,提出切实可行的防范措施,使审计人员更好的运用计算机技术,提高审计效率,规避审计风险。
关键词:审计、医院、信息化、风险
随着计算机和数据库技术的广泛应用,医院信息系统(以下简称:HIS系统)已成为现代化医院的基础设施之一。几乎所有的医院业务核算都实现了HIS系统管理。审计对象发生重大变化,审计对象的信息化使得计算机审计成为必然,审计机关改变传统审计技术和方法的同时面临着计算机辅助审计下的新的审计风险。总结审计工作中产生风险的原因、找出相应对策,在以后的医院审计工作中有效规避风险、提高审计质量,是审计人员必须思考的问题之一。
一、医院计算机审计风险分类(一)医院计算机审计固有环境风险 固有环境风险是指会计电算化系统本身所处的环境引起的风险,它是从计算机信息系统的角度分析的,也是被审计单位的信息系统本身固有的,审计只能评估风险的大小,而无法控制固有环境风险,它包括软件环境风险和硬件环境风险。影响计算机审计的固有风险因素除传统审计的固有风险影响因素外还包括:(1)医院会计资料存储在计算机硬件磁性材料上,由于温度、湿度、灰尘、电压、震动造成的故障、损坏,导致审计资料改变、丢失,稳定性、安全性和保密性较差;(2)HIS系统软件本身程序设计的漏洞以及系统管理人员的技术水平达不到管理系统所必需的水平,导致的数据处理和应用错误;(3)计算机病毒的侵害,造成数据丢失。HIS信息系统的联机和数据库管理系统化,使信息系统不再是封闭的系统,病毒、黑客的入侵随时可以威胁信息系统的安全。
(二)医院计算机审计控制风险
医院计算机审计控制风险是指信息系统的内部控制不严密造成的风险。它属于审计的控制风险。实现信息化管理后,内部控制主要表现为人对人的监督、人对计算机系统的监督,而且以对HIS系统的控制为主。影响计算机审计的控制风险因素除传统审计的控制风险影响因素外还存在信息系统数据被篡改的可能。以上这些因素导致审计人员面临的环境比以往任何时候都复杂。由于审计资料的改变,在电算化系统中可人为篡改数据而不留痕迹。在HIS信息系统中,审计人员检查的数据资料,如会计凭证、收费项目、收费金额、收费数量及汇总报表大都存储在磁性介质上,且这部分信息既容易被更改、隐匿,也容易被转移、销毁或伪造。如果HIS系统被人为篡改或嵌入一些非法的程序,则计算机只会按设定程序以错误的方法处理所有业务,这样很难判定数据的正确与真实性。传统审计追踪审查已不适用,审计入手点更多的是靠自己的判断和经验。
(三)医院计算机审计检查风险
医院计算机审计检查风险是指是某审计员未能查出有关违规违纪问题可能性的风险。一是审计操作程序不规范。在审计实务中,审计人员没有严格遵循审计准则开展审计工作。譬如,审计进点以前没有对被审计单位包括内部控制制度、所处经营环境、经营状况、业务活动的性质与管理水平等基本情况做充分调查了解;没有利用分析性复核等方法对经营中存在的风险做出初步估计;没有按照审计项目计划的要求和了解到的基本情况制定可行周密的审计方案;搜集的审计证据与审计目的缺乏充分性、相关性和可靠性,并且对一些异常事项没有引起足够重视;编制的审计工作底稿格式不规范,内容不完整,记录、数据勾稽关系不清晰,结论不明确,复核工作不严密等。致使撰写的审计报告不能客观反映被审计医院的财务状况和经营成果,从而埋下了审计风险的隐患。二是审计技术方法落后造成的审计风险。医院HIS系统的数据库多为大型数据库如oracle等,这对审计人员的数据库操作技术要求较高。如果审计人员不提高自己的审计技术,仍然按照传统的审计实务操作,面对大量繁杂的会计记录,采取逐一审查凭证和账簿的方法,不仅费时费力,而且难免有所疏漏。在审计资源相对紧张的情况下,深入调查取证的过程还涉及到审计成本昂贵的问题。另一方面,在目前信息化的背景之下,信息数据通过电子介质存储,舞弊行为更为隐秘,若审计人员坚持使用对传统手工记账的查询方法,势必影响审计效率,留下风险隐患。三是审计人员的素质参差不齐造成的审计风险。审计人员不具备相应的专业知识和业务技能,在分析判断等方面出现误差,造成审计结论与事实不符。审计人员缺乏应有的敬业精神和职业道德,或由于认知上的偏见,在审计过程中不能客观公正处理和评判审计事项、或滥用职权、徇私舞弊、玩忽职守,不能如实反映或汇报问题。
二、医院计算机审计风险的防范措施(一)规范医院计算机审计程序
根据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》等一些相关的法律法规,进一步完善医院计算机审计程序,从立法上规范内部审计工作程序。审计机关和审计人员在医院计算机审计实务中必须做到确保审计实施方案所定的审计步骤、审计内容实施到位,针对被审计单位的信息系统特点编制合理的、可行的审计实施方案。规范审计工作底稿的编制,要求审计人员在工作底稿上反映其专业判断的过程和工作轨迹,也就是说既要像一般审计一样记录清楚审计事项同时要详细记录医院计算机审计涉及的相关查询语句。建立指导、检查与监督制度,及时确定计算机审计工作中出现的新情况、新问题;建立分级复核制度,由审计组长或具有较高技能的审计人员对计算机审计工作底稿进行严密的层层复核。各内部审计机构和审计人员要在审计实践中积极贯彻落实,坚持依法审计,规范审计程序,时刻保持对审计风险必要的警惕性。
(二)重视审前调查的作用
审前调查,获取必要和充分的信息,保证审计数据的完整性审计实施前,应在对被审计医院进行传统调查的基础上,掌握了解HIS系统在被审计单位内的应用总体情况。然后,根据审计目标和重要性水平确定深入调查的子系统,进行全面、详细的了解。内容应包括软硬件系统、应用系统的开发情况、信息系统涉及的业务流程、有关技术文档、系统管理员的配置和系统的功能、数据库等情况。根据审前调查的内容制定切实可行的审计实施方案,提出可行的、能满足审计需要的数据采集对象及采集方法。为保证数据的准确与完整,一是获取数据时必须由被审计单位财务人员和系统管理员现场提供,并尽可能由被审计单位系统管理员操作备份导出数据,防止因审计人员不慎造成的被审计单位信息系统受损。因为被审计医院数据通常涉及被审计医院、患者的秘密或个人隐私,所以审计人员要注意保密,需用专用设备存储,专用计算机恢复、分析数据。二是检查这些数据是否有与之相配套的纸质凭证、账册和报表。同时,针对电子资料比纸质资料更容易篡改,并且难以发现篡改痕迹的实际,为降低计算机审计风险,必须建立被审计医院对所提供的电子数据的真实性、完整性负责的承诺制。
(三)完善审计软件的开发
开发和使用针对医院的专门审计软件可规范审计程序,完善审计方法。由于审计软件可按固定程序检查审计事项,可按统一方法查询被审计医院的数据库文件,故有助于审计人员对整个数据文件或选定的数据项目进行复核,有效地执行大量数据的验算、筛选、分类及汇总等工作,并能按审计人员指定的标准查找记录。在数据采集方面,特别需要专门从事数据采集的软件,以便更易访问被审计单位不同介质、不同编码、不同数据库类型的数据库,从中采集审计所需的原始数据,解决各种软件系统互不兼容的问题。在数据分析方面,面向特定的领域,开发新的更贴近审计工作实际应用的分析工具。最终将采集、整理、分析、汇总、备份等功能整理在一个软件系统中,达到完善软件的目的。所以审计软件的应用,一方面改进了审计的方法,提高了审计的效率,另一方面也有效地控制和降低了审计风险。
(四)提高审计人员素质
提高审计人员运用计算机开展医院计算机审计工作能力,增强防范计算机审计风险的意识。在被审计医院业务管理信息化的条件下,随着审计方法的改变、内部控制的改变、审计内容的改变和审计技术的改变,决定了对审计人员审计能力要求的提高。为了在信息化条件下能更好的实现医院审计监督的职能,审计人员不仅要有会计、医疗、审计理论和实务方面的知识,而且要掌握计算机数据库和电算会计方面的知识和技能,对审计人员提出了更高的要求。因此,加强审计人员应用计算机能力的培训,是解决的计算机审计风险的重要任务。优秀的审计人员必须具备良好的职业道德素质和较强的专业胜任能力,必须是综合性、复合型人才,除了具备基本的专业背景以外,还要有宏观分析能力,以及坚持不懈的后续教育。各部门、各单位、各审计协会组织应经常性地对审计人员进行职业后续教育,重视审计人员业务知识的学习和更新,不断提高审计人员综合素质,以适应审计工作发展的需要,减少人为的审计风险。
随着技术的发展,计算机、数据库和网络得到广泛应用,计算机审计工作将面临着越来越大的挑战和风险,必须通过制订完善的计算机审计标准和程序、运用先进的计算机审计技术,以及建立—支高素质的审计队伍,最大限度地防范和降低审计风险。
参考文献: 〔1〕陈哲.吉林省经济管理干部学院学报.试论我国计算机辅助审计所面临的问题及对策,2003(6)〔2〕许华.时代经贸.医院审计风险及防范对策探析,2008(6)
信息系统审计风险 篇6
一、审计质量控制概述
(一)审计质量控制的一般涵义
在传统的手工审计环境下,对审计质量的认识主要有两种观点:第一种观点认为,审计质量最终反映在审计报告的质量上,因而审计质量就是审计报告的质量。第二种观点认为,审计是包括了审计计划、取证、判断和报告的一个系统过程,因而审计质量是整个审计活动过程的优劣程度。综合以上两种观点,审计质量控制是审计机关为实现审计目标,规范审计行为,明确审计责任,确保审计质量符合国家审计准则的要求而建立和实施的控制政策和控制程序的总称。
(二)审计质量控制的重要性
审计质量是审计工作的生命线,犹如产品质量是企业的生命一样。审计质量的高低不仅影响着审计报告使用者的利益,影响着社会公众的利益,更事关审计部门的切身利益。控制审计质量已经成为当前审计机关的一项核心工作。
二、信息化条件下审计质量控制的新内涵
(一)信息化条件为在审计质量控制中引入风险管理理论提供了技术基础
1.风险管理理论。所谓风险是未来结果的不确定性,对风险进行管理的理论即风险管理理论。
根据Otway & Pahne(1976)的研究,风险管理的程序可分为三个步骤,即风险识别和分类、风险评价与估测、风险防范与控制。风险管理的过程其实就是为了降低未来结果发生的不确定性,从而保障结果的质量。
2.风险控制理论改变审计质量控制的内涵。
目前风险控制理论已在各个经济领域得到广泛而有效的应用。根据风险控制理论,审计质量事实上是对各类审计风险进行有效控制的结果,审计质量控制就是对审计风险进行控制的政策和程序的总称。
(二)在信息化条件下,审计风险呈现出新的特征
1.存在转型风险。传统的审计理念、审计方法、审计手段已经成为制约审计工作发展的“瓶颈”。比如在信息化条件下,被审计单位的手工明细账、日记账不存在了,记账凭证数据存储在磁性介质上,财务处理过程由软件自动完成,肉眼可见的审计线索大大减少,这无疑给审计人员带来了转型风险。
2.存在系统风险。比如电子化会计数据可能被滥用、篡改和丢失,电子化的审计线索易于减少或消失,原始数据的录入可能存在错漏以及不可预计的突发灾害、软硬件故障等都会给系统的可靠性造成严重危害。
3.存在控制风险。比如权限设置或职责分工导致约束机制失效、网络传输和数据存贮故障会使审计数据出现异常错误、审计软件对业务缺乏实时有效的控制手段等。
三、利用信息化技术,强化“五环节”审计风险的控制
(一)加强审计立项环节的风险控制
在审计项目立项时,要以审计对象信息资源库为基础,对被审计单位组织结构和业务流程,信息系统的软硬件等情况作深入调查,获取充分的信息。以防止到现场实施审计阶段,因被审计单位的会计软件与审计软件不兼容,数据采集第一关就无法实现,致使后续审计计划的指导、规范和控制作用无法发挥。
(二)加强审前调查环节的风险控制
在信息化条件下,我们可以通过在审计软件中预设评估模型、评估方法、评估标准等,来指导规范审计人员在审前调查阶段的工作。首先要按照审计署《审计机关审计项目质量控制办法》中规定的范围和内容进行审前调查;其次执行初步分析性复核,运用计算机的自动筛选、汇总、分析等功能,对审计对象进行定性和定量分析,迅速发现审计重点,并选择符合实际情况的审计策略和步骤;第三要运用审计软件科学评价被审计单位内部控制制度,合理确定重要性水平。
(三)加强审计现场实施环节的风险控制
1.数据采集环节。审计人员应在被审计单位的配合下,自主地获取被审计单位财务和业务等方面的完整数据。为排除被审计单位有意识隐瞒、修改部分数据的可能性,审计人员应检查数据是否发生遗漏、是否为审计时间范围的电子数据、是否是“结账”后的数据、并从核对总金额、借贷是否平衡、凭证是否断、重号、钩稽关系等方面检查其是否与相配套的纸质账册和报表一致。
2.数据预处理环节。由于被审计单位数据来源复杂、数据格式不统一、信息表示代码化等诸多影响,对采集到的原始数据必须进行预处理。这个环节要求计算机审计人员在处理过程中确保数据不失真。
3.数据分析环节。在审计数据的分析阶段,要注意选择合理的数据分析方法,首先从不同层次、不同角度对电子数据进行分析,从总体上把握情况,找准薄弱环节,选择审计重点,深化实施审计方案,避免审计的片面性、盲目性。在对选择的重点问题进行的进一步分析中,审计人员应建立分析模型,针对性地进行分析和检查。在此过程中,要注意借助AO和OA系统,充分利用已有的审计数据分析方法和审计专家经验。
参考文献:
[1]王鲁泉.論信息化条件下审计项目质量控制.商场现代化.2008.
[2]张晓琼.信息化时代审前调查的标准化思考.中国乡镇企业会计.
信息系统审计风险 篇7
1. 1误报风险
信息化审计工作依赖于信息化技术的发展,因此其应用过程中存在着误报风险,信息化审计由计算机进行数据处理后生成财务报表,实现了会计数据无人化处理方式,但是会计人员不参与数据处理容易造成错报或者误报的现象,例如计算机识别磁性代码出现错误,就会导致会计信息的混淆和错报。信息化审计工具应当采用会计人员和机器设备双重控制,会计工作人员应当参与计算机程序的升级和监控,及时发现程序软件运行错误,避免恶意信息盗窃或者修改现象的发生,这也是存在的风险之一。信息化审计资料的存储形式主要采用磁盘、硬盘等介质,一旦存储介质出现了损坏,就会造成其内部数据信息无法读取,从而影响审计工作的准确性,同时磁盘数据被人为修改的概率较大,引发会计审计工作误报风险。
1. 2检查风险
信息化会计审计工作存在检查风险,信息检查工作可以提高会计信息的准确性,减少虚假、错误信息对审计工作的影响,信息化审计对工作人员的计算机操作能力提出了更高的要求,这就要求审计人员熟悉软件操作和理论知识,而在实际的信息化审计工作中,容易出现工作人员检查工作的失察。随着信息技术的发展,会计软件不断升级,但是也存在着历史文件提取困难的问题,很多账户检测必须依赖于单位的历史数据,从而影响了会计审计工作效率。纸质数据证据的减少是信息化审计的特点,但是纸质数据的缺失更加依赖于电子数据的可靠性和准确性,这也是信息化审计工作中的风险之一。
2会计审计风险因素分析
2. 1企业竞争
随着会计审计行业的发展,其市场竞争日益加剧,当前我国正处于市场经济体制的完善过程,但是相应的信息化审计政策却没有落实,从而带来了较大的隐患风险。企业发展的目的是壮大自我,而会计信息化审计的实行摆脱了人为因素对审计工作的影响,这种完全依赖于计算机软件的审计方式降低了不法会计行为发生的概率,净化了会计行业的风气,但是这种信息化的审计不符合企业的需求,部分企业为了谋取优势竞争位置,会人为去更改审计数据,从而增加了会计审计工作的风险。
2. 2 审计对象及内容的扩展
随着改革开放的发展,我国的经济呈现出一体化、全球化的发展趋势,国内之间、国内外之间的经济往来频繁,在这种开放的经营环境下,企业的经济实务不断增加,为企业的发展注入动力。同时审计对象和审计内容也不断扩展,对审计工作的精细化程度提出了更高要求,因此开放经济环境下审计对象和内容扩展也是不良风险因素之一。
2. 3 审计人员素质
信息化审计工作不但改变了传统会计审计工作模式,同时对审计工作人员提出了更高的要求,审计人员不但熟悉审计工作,同时能够熟练地操作计算机软件,这种多元化的业务模式是信息化审计工作的发展趋势。但是在实际的审计工作中,兼备扎实审计知识、会计知识、计算机技能的审计人员少之又少,尤其是审计人员的专业能力不足,甚至有些审计人员不具备审计资格就从事会计审计工作,从而增加了会计审计风险。再者,部分审计工作人员的思维模式僵化,对会计审计把握不清,给企业的会计工作带来不良影响,甚至会造成企业经济损失,此外部分审计人员也存在着职业道德缺失,为了追求利益而忽视审计工作风险。
3信息化审计策略
3. 1 构建信息化会计审计原则
信息化的会计审计方式符合审计工作的发展趋势,而审计市场的变化也推动了信息化会计审计的发展,当前信息技术是其发展的推动因素,为了实现扩展信息化审计的应用空间,政府部门应当发挥其主导作用,构建信息化会计审计适用原则,同时根据审计部门的需求颁布工作准则。再者,国家要发挥信息化审计的监督作用,推动审计原则的践行,同时在应用过程中注重信息的反馈,对实施会计审计原则中不完善的地方进行政策和条款的调整,确保审计原则的适用性。此外,会计行业要秉承持续发展的思维模式,提高主观认知,在会计审计工作中积极应用信息化审计原则,从而全面提升信息化审计工作的有效性。
3. 2加强信息化审计人才培养
信息化会计审计工作对硬件和软件提出了更高的要求,硬件方面体现在信息化设备的应用,而软件方面则体现在审计人员的基本素质,审计人员的基本素质和工作能力是影响信息化审计工作的主要因素之一。因此,首先要加强审计人才的培养,尤其是对专业审计知识、会计知识、计算机能力的培养,全面提高现有会计审计人员的专业能力。其次,企业要重视和部门的战略合作,把高校作为战略人员储备选择点,通过专业人才的联合培养来提升审计部门的人才能力,增强对高校专业人才的吸引力,增强审计工作的活力。最后,要加强审计人员的管理,规范其工作流程和工作制度,提升会计审计人员的职业道德,从而确保会计信息化的推行顺利。
3. 3强化信息化审计风险意识
会计审计工作风险给企业的发展带来了安全隐患,甚至会给企业造成严重的经济损失,因此会计审计人员应当提高风险意识,加强对会计审计工作的认知,从而提高信息化审计策略的普及程度。在实际会计审计工作中,企业要对信息化审计有科学认识,把审计风险放在工作的首位,维持生产、经营、审计工作的平衡性,同时要摒弃效率和利益为先的发展思维,从而实现信息化审计工作的全面推行。当前网络技术发展改变了业务往来和交易模式,因此信息化审计应当注重网络信息的提取,并规避网络技术的风险,减少网络和审计工作的双重风险因素干扰。
4结 论
信息系统审计风险 篇8
关键词:审计信息化,风险,企业,独立审计
随着网络技术的发展与计算机的普及应用,信息化已经成为各大行业争相运用的新宠,信息化在企业审计工作中的应用尤为常见,企业的业务运行、财务报表制作、会计审计工作都对信息化产生了巨大的依赖性。然而信息化在审计工作中起到重大作用的同时,也存在着一系列的问题、不足,如存在安全漏洞、数据信息作假、审计过程变得更加复杂致使监督管理困难等。
一、审计信息化背景下独立审计风险内容
1.审计目标增加所带来的审计风险。通常来说,企业进行审计工作时,只需要对于财务报表内容进行审查,只要不存在财务问题就可以接受,审计目标非常明确,同时注册会计师的主要工作内容也仅仅是对于待审计的企业各项财务报表以及其他相关资料的真实性进行审查并就此发表意见。但是在实施审计信息化之后,企业的财务大环境变得更加开放,财务报表数据资料载体变得更加多元化,因此企业的审计工作内容也就相应增加了很多,注册会计师不但要对于财务报表资料进行审查,同时还要对网络系统、信息技术、数据库等各种信息载体的安全与否加以判断,致使审计目标有所拓展,由此带来的审计风险也增加不少。
2.审计对象增加所带来的审计风险。在信息化背景下,企业审计目标的增加间接使得审计对象变得更加复杂,在没有运用信息化技术之前,企业的审计对象仅仅为“账、证、表”三者是否统一,而在实施信息化之后,就需要对这三者的载体进行判断,主要有数据信息库的安全性、可靠性等,即便是在企业的财务审计中实时网络传输的运用极大地方便了审计工作,提高了审计效率,注册会计师也要对企业经营、管理、业务往来等一系列内容进行审计,因此信息化技术的运用使得企业审计对象极大地增加了,而由审计对象所附加的审计风险类型与内容都无形之中变得更加复杂[1]。
3.信息化背景下审计人才的缺失所带来的审计风险。信息化技术的运用,使得传统审计中所采用的审看、查阅等应用于纸质资料的方法已经难以继续运用于电子数据资料,同时也无法保证数据资料审计的准确性与真实性。在网络审计中,数据资料的收集与处理、数据挖掘与模拟等方法的运用都要求有更高质量的审计人才,审计人员既要具备扎实的审计知识,同时还要具有熟练的计算机操作能力与基本的计算机知识。审计信息化技术的运用也使得审计数据资料变得更加复杂,审计人员在进行审计工作时还要查阅相关的各种文献资料与技术标准,从而找到审计线索,同时还要根据不同的审计数据类型来选择合理的数据处理模型,并对于所收集到的数据加以筛选处理。但是目前来看,我国的审计师整体综合能力较弱,审计人才不足,长时间内我国的信息化审计因人才问题而存在风险。
4.审计准则欠缺所带来的审计风险。我国当前的企业审计工作依据准则尽管对电子商务有专门的规定,详对注册会计师在电子商务业务中要承担的审计责任与风险有详细论述,然而这远远无法达到信息化背景下审计工作的新要求与标准。所以信息化技术的发展对于企业审计准则也提出了更为严格的要求,审计准则不能与时俱进就会致使审计内容难以有权威性,审计风险也无法得到有效控制。
二、审计信息化背景下独立审计风险控制措施
1.完善相关法律体系与内部控制制度。在国家方面,要不断完善已有的法律法规,同时还要根据审计信息化的特点出台相应的法律制度,不断推进企业审计信息化工作的开展。各行各业要有针对性地进行审计工作,促进我国的整体审计信息化发展。
2.提高企业内部控制审计系统的风险预防能力。随着全球化进程的不断推动,企业间的竞争日趋激烈,同时企业面临的整体环境形势也非常严峻,之前仅仅考虑企业内在运营环境的运营模式显然已不能再适用于新环境下的企业发展,企业要想跟上时代发展潮流,在同行业竞争中脱颖而出,就需要提高信息化技术的运用水平,强化内部控制审计系统的风险预防与识别能力,预测经济的整体发展趋势,有效避免各种潜在风险,提高企业的全面预防管理能力,从而有效推动企业内部控制审计信息化发展[2]。
3.加强审计信息化方面的人才培训工作。在企业审计信息化发展过程中,人才的缺失是造成审计风险不断提升的重要原因,因此需要强化审计人员的综合能力,不但让他们掌握扎实的审计专业知识,同时还要加强信息技术的培训工作。企业与高校以及科研院所之间也要加强交流与合作,为社会培养出高质量的复合型审计人才。在企业内部还要引入激励措施,促使相关的审计工作人员不断提升自身职业技能,争取将审计风险控制在最小范围内。
三、结论
在企业运营中实行审计信息化已成为适应社会潮流的必然趋势,同时也是企业审计工作不断趋于规范、完善的必由之路。审计信息化不是完美无缺的,它使企业的审计风险有所增加,因此引起相关方面的重视。相信随着我国企业审计信息化系统的不断完善,社会各界的重视程度不断增强,企业的审计信息化发展定会取得新的辉煌。
参考文献
[1]潘国辉.信息化环境下企业内部审计风险评估与控制措施[J].胜利油田党校学报,2015,02):96~98.
审计信息化的风险应对研究 篇9
关键词:审计,信息化,风险,研究
在我国经济全球化发展的今天, 各种大信息、大数据承载着企业的正常运营。进行信息化审计是企业在新形势下稳定脚跟的重要途径, 也是企业实现自我壮大、发展跨地区、跨行业发展的决定性因素。基于计算机的信息化审计通过对大量电子数据和信息的直接应用, 可以快捷有效的实现海量数据的处理, 大大满足了企业和社会的发展需求。但不可否认, 在新型信息化审计中也存在许多新的问题和风险, 一旦操作不善, 将会给企业带来巨大的损失。因此, 深入分析信息化审计中存在的风险, 并探究各种风险的应对措施是十分必要的。
一、审计信息化
审计信息化是指利用一切现代化、信息化的手段进行企业内部的审计工作, 有多种表述方式, 如计算机审计、网络审计等, 因此, 审计信息化是一个广泛而统括的概念。目前, 审计信息化是指具备专业知识的审计人员, 基于计算机网络, 利用相关的审计软件, 对企业的网络会计数据、信息等进行收集、统计和审计。
与传统审计相比, 审计信息化具有信息化时代独有的特点。首先, 审计对象更加繁杂化。这主要是因为随着市场经济的国际化和信息化发展, 企业的经营业务和规模不断复杂化和扩大化, 使得信息化审计所包含的经济活动和相关的经济控制体制等越来越多样化。其次, 审计范围的扩大化。由于信息化审计是基于信息网络, 因此在进行基本业务审计的同时, 还要进行审计系统的控制和管理, 确保审计系统的正常运行和安全。另外, 基于信息网络的审计方式更加注重信息和数据的安全问题。最后, 审计信息化的技术和方法多样化。审计信息化依托于计算机网络和各种处理软件, 远远不同于传统审计中依托于纸笔的审计方式, 审计手段和方法也不再仅限于人工, 更加依赖于网络和软件的开发, 审计结果的科学性、准确性和可靠性都大幅提高, 这也是审计信息化最主要的特点。
二、审计信息化的潜在风险及其成因
审计风险是指企业在审计过程中, 由于各种主观或客观因素的影响, 使得审计结果出现偏颇或给企业带来政治、经济等各种损失的可能性。从审计过程开始的那一刻起, 每个审计流程都可能引入风险, 因此, 审计风险具有普遍性。
1.审计信息化的物理风险。信息化审计依托于计算机网络和各种处理软件, 由此而引入的物理风险是主要的。首先是审计系统存在的固有风险。计算机系统是企业进行内部审计的平台, 各种处理软件时企业进行内部审计的重要手段, 因此计算机系统和软件的环境安全是影响审计安全的重要因素。在信息化时代背景下, 网络平台本身在开发过程中可能存在某种缺陷或漏洞, 信息系统的设计、测试等技术也不完善, 再加上各种黑客操作着的、不断更新换代的病毒和木马等都对网络平台的安全造成严重威胁。其次, 完成审计过程, 需要销售、人力、市场等各个部门的协同参与, 在审计数据的传输和交流过程中, 可能由于各子程序不兼容或兼容性差等出现数据对接不完全或数据外漏等问题。另外, 信息化时代下的网络平台在不断的更新, 相关处理软件而在不断的完善升级, 这些新旧软件在对接过程中也容易发生数据信息被盗或被篡改等问题。这些因素使得审计信息化的物理风险不可避免。
2.审计信息化的操作风险。审计信息化的操作风险归根结底是由于各种人为因素而引入的审计风险。首先是审计工作人员自身的风险意识较弱。在传统的企业内部审计中, 审计工作只是对相关财务工作的核对和总结, 这就造成审计人员难以全面理解审计信息化的概念, 不能建立强烈的风险意识。其次, 跟多企业在进行内部审计时, 由于没有健全的规章制度, 使得审计工作人员在工作过程不能按章办事, 导致漏洞百出, 严重影响了审计结果。另外, 审计人员的理论专业知识和操作专业技能严重不协调。一般的企业在聘用审计工作人员时, 都会进行简单的业务培训, 帮助其成功掌握基础的审计知识, 但对于审计中要用的专业软件等, 往往不够熟悉, 而对于审计软件操作熟练的人员, 又多是计算机工作或开发人员, 不直接参与审计工作。这不仅造成软件功能的不良发挥, 同时也大大降低了工作效率提高了审计风险。
三、审计信息化的风险应对举措
1.完善信息网络平台, 降低物理风险。企业的经营者和管理者要重视由于网络和软件引入的物理风险, 应加大财力和人力投资信息技术的开发和完善。对新建网络平台要进行安全测试, 各处理软件要进行运行安全、对接安全等检测, 确保新投入信息化处理手段的安全性, 同时要定时对网络平台进行安全维护, 检查可能存在的安全隐患并及时处理, 确保物理风险最低化。
2.提高审计人员水平, 减小操作风险。企业的审计人员在审计工作中发挥着主观能动性的作用, 要特别重视相关人员的审计水平。首先要加强审计人员的岗位培养。在审计人员进行审计工作前, 要确保审计人员不仅具备专业的、完善的审计理论知识, 同时还要熟悉计算机系统, 可以熟练操作相关的处理软件和系统。其次, 审计工作人员应转变工作观念, 正确认识企业内部审计过程中可能存在的风险, 审计人员要树立严格的风险意识。另外, 企业的管理者要建立健全企业的相关规章制度, 确保审计工作可以做到有章可循、有法可依。对审计工作要进行明确的职责分工, 确保责任到部门或责任到人, 从客观上督促审计风险意识的建立。
四、总结
总而言之, 加强审计信息化的风险防范意识, 做好相关风险控制、管理和应对工作, 不仅是企业自身壮大的内在关键, 也是整个经济市场发展繁荣的客观需要。
参考文献
[1]陈力生.审计风险管理研究[M].立信会计出版社, 2005.
[2]薛富平.信息系统审计风险[J].财会研究, 2007 (3) :65-66.
[3]陈泽媛.信息化环境下内部审计风险与防范对策[J].通信企业管理, 2010 (4) :84-85.
[4]赵婕.信息化系统下内部审计风险及对策研究[J].会计师, 2014 (2) :47-48.
[5]杨健.基于信息化环境的企业内部审计风险防范研究[J].商业会计, 2010 (9) :46-47.
信息系统审计风险 篇10
一、审计风险产生的主要原因
单位审计风险, 主要是指单位审计应该承担的相应责任, 即在审计过程中存在的未知危险。审计风险主要有固有、控制、检查风险三大类, 其中前两类是审计人员很难控制的风险。检查风险可控制, 其主要是由于审计的主体出现问题而存在的, 可以由相关的审计部门和人员采取相应的措施进行防范和控制。审计风险产生的主要原因有:
1. 审计部门内部的制度不完善
审计部门的内部制度不完善, 在工作的过程中并未完全按照审计的要求进行审计, 审计的复核没有按照要求做到位;审核工作的相关考核制度出现漏洞, 对于审核索要进行的工作目标模糊;一些审核人员的思想政治觉悟低, 专业素质不高, 对审计风险的认识不够全面, 无风险意识;在工作当中, 没有工作热情和责任心, 对审计工作的结果不重视;这些问题都导致审计出现风险。
2. 审计外部环境的不良影响
一些单位的负责人法律意识淡薄, 单位内部的监督机制缺失, 导致单位账务的丢失。一些单位内部人员无视法律, 私自设有外部账务和所谓的“小金库”, 制造假账, 使单位的会计信息缺乏真实性和可靠性, 单位的收支情况与实际不符, 财务非法进行调整。这些问题均影响审计的公平、公正、正确, 并埋下了许多隐患, 从而引发了审计风险。
3. 审计的内容与对象的变化
随着社会经济的飞速发展, 一些单位的经济业务变得越来越复杂, 业务的项目也日趋频繁, 需要审计的内容越来越多。审计工作面临着新的困难和挑战, 审计风险也相应的增加。
4. 相关法律法规的缺失
随着社会经济的发展, 国家的政治和相关政策的不断变化, 各种各样的情况和问题纷纷涌出, 而相关的法律法规的建设速度相对缓慢, 无法真正的做到有法可依。在审计过程中遇到的一些新问题没有可以依靠的法律法规而难以解决, 很容易引发审计风险。
二、会计信息化审计对策
1. 建立和健全会计信息化审计机构
为了能适应我国审计发展, 降低审计风险, 应根据我国的情况建立和健全相应的会计信息化审计机构, 并按照会计信息化审计的具体要求, 协调和规划相应的审计工作。政府在信息审计方面应加强宏观调控, 在技术、资金上给予会计信息化审计以支持, 有计划、有目标、科学部署我国的会计信息化审计工作。
2. 加强会计信息化审计实践
理论指导实践, 实践是检验真理的唯一标准。会计信息化审计应积极运用到实际的审计当中, 通过实践, 才能得出理论是否存在瑕疵, 并进行及时的更正。在实践的过程中, 对于会计信息化审计运用的每一个步骤都应该详细的记录, 定时进行总结, 有利于会计信息化审计理论的提高。国内的审计学术界、政府部门应该加强对会计信息化审计课题的研究, 开展一系列的学术交流活动, 并且时刻关注国际会计信息化审计的动态, 对本国的会计信息化审计工作进行不断的更新和完善, 丰富会计信息化审计理论的内涵, 为会计信息化审计工作提供更多更好的理论依据, 从而推动我国的会计信息化审计工作又好又快的发展。
3. 建立和规范相应的会计信息化审计规章制度
会计信息化审计与传统的会计审计有所不同, 其审计的对象、目标、内容都有很大的差别。所以, 为能够使会计信息化审计更好的得到利用, 提高审计的水平和效率, 必须建立和规范相应的会计信息化审计规章制度, 对审计的对象、目标、内容都做详细的说明, 对如何实际操作也制定一系列的标准。在会计信息化审计运用到一定的阶段时, 必须进行相应的经验总结, 将相关的理论与实践情况进行综合对比, 找出其中存在的问题, 并进行合理的调整, 将操作的流程和技术与理论结合起来, 使会计信息化审计更加科学和人性化, 逐渐成为审计行业的规范。
4. 加强企业领导的财务管理意识
会计信息化审计的进行需要相关的企事业单位的积极配合, 单位的会计账务的准确性是审计工作顺利进行的一大影响因素。所以, 相关企事业单位的主管部门必须加强企业会计信息化系统的管理工作, 从企事业单位的长远发展出发, 正确认识会计信息化对企业的重要作用, 重视会计信息化审计工作, 积极配合会计信息化审计工作。
5. 加强会计信息化审计的人才培养和管理
会计信息化审计工作需要大量的人才引进, 所以, 对审计人员应进行强化训练。不同地区的审计机关都应建立有较为完整的会计信息化审计信息基地, 根据本地的需要加强不同岗位的培训。审计机关应挑选出能力突出的审计人员, 进行重点的人才培养, 可送入高校进行进一步的深造, 使他们接受新的知识和技能, 对会计信息化审计的理论和操作技能进行不断的更新, 并与国际会计信息化审计进行接轨, 不断的增强其自身专业素质。要善于挖掘审计人员的潜在能力, 建立相应的激励机制激发审计人员的工作积极性和主动性, 培养他们的事业心和责任心, 更好更快的进行会计信息化审计工作。
6. 加强会计信息化审计工作的宣传力度
很多企业和个人对会计信息化审计工作不够了解, 一些企业和个人甚至对会计信息化审计产生偏见, 不利于审计工作的顺利进行。所以, 应加大会计信息化审计工作的宣传力度。如在网络上积极宣传会计信息化审计的重要性, 会计信息化审计能够对降低在审计风险等。让更多的企事业单位的负责人对会计信息化审计有正确的了解, 了解其重要性、必要性, 才能在日后的审计工作中积极配合。
三、注意事项
控制审计风险需要主动的防范审计风险, 在审计的过程中, 每一个步骤均按照相关的规定进行。对于一些具有代表性的审计案例, 要进行积极的探讨和研究, 不定时的召开相应的审计大会, 进行经验总结, 提高风险意识。对于审计风险中的技术技巧上存在的问题, 应对审计的每一个环节进行深挖并进行分析, 找出问题存在的根本原因, 并采取相应的措施予以解决, 尽量避免类似的问题再次发生。在审计工作过程中遇到问题, 应积极主动的去解决, 而不是以回避的态度, 忽略问题的重要性。
四、结束语
审计风险的存在, 是由多方面的问题而引起的。在进行审计工作中, 运用会计信息化审计进行工作, 可以最大限度的规避相应的审计风险, 提高审计的质量。然而, 先进的审计方法需要相应的人才和技术的支持, 相应的审计机关应重视人才的培养, 加强人才的培训力度;引进先进的技术和设备, 重视审计技术的更新;制定相应的会计信息化审计规章制度, 对其理论和操作流程等进行详细的阐述。注重会计信息化审计的宣传力度, 才能更好的推进会计信息化审计的工作, 降低审计风险, 才能更好的进行审计工作, 保证审计的质量。增强企业的内控建设, 落实会计监督;通过会计审计的信息化平台, 加强会计监督, 提升会计审计质量;完善规章制度建设, 提升会计监督的地位。
参考文献
[1]王兴华.注册会计师审计风险及其防范措施[J].中国集体经济, 2013, 13:137-138.
[2]李林红.注册会计师审计风险的成因分析与防范[J].滁州职业技术学院学报, 2012, 04:54-56.
基于COBIT的信息系统审计 篇11
【关键词】COBIT;信息系统审计;信息技术
中图分类号:TP18 文献标识码:A 文章编号:1009-8283(2009)05-0108-01
进入信息时代后,信息技术成为当今企业环境中最重要的资源之一,也成为促进审计工作高效完成的重要工具之一,信息系统审计已成为审计发展的新动力和新方向。自1997年以来, 国际信息系统审计与控制协会( ISACA) 以COB IT为依据, 逐步建立起的一套相对完善的信息系统审计准则体系,指导着全世界100多个国家的重要组织与企业有效利用信息资源,有效管理与信息相关的风险,对于我国的信息系统审计来说是一大亮点。
1 COBIT的介绍
COB IT (Control Objectives for Information and Related Technology, 信息及相关技术控制目标) 是目前国际上普遍采用的IT治理框架标准, 它提供了一套权威的、全球通用的公认准则, 旨在规范并提高IT治理水平、有效防范控制风险以及增加信息技术价值等。目前已经更新到了第四版,新的版本面向公司董事会和各级管理层适用的四个部分(管理人员概述、框架、核心内容和附录),此外,COBIT4.0还能够分析如何将具体的控制目标划入五项IT管理领域以识别潜在缺口、阐述关键目标指标和关键绩效指标之间的关系、令COBIT标准与其它的标准协调一致以说明关键绩效指标如何推动实现关键目标指标等,可见新版本更注重帮助董事会和员工应对不断增加的职责。COBIT标准不仅为我们提供了信息系统控制目标和IT标准,而且提供了信息系统的审计指南。
2 研究和应用COBIT的必要性
随着企业对信息系统依赖性的日益增加,越来越多的管理者意识到了信息系统审计的价值和地位。现代审计是以风险为导向的审计,特别重视对审计风险的控制。审计风险包括重大错报风险和检查风险。审计人员通过对重大错报风险的高低做出评估确定是执行程序的性质、时间和范围,以将审计风险降低至可接受的水平。由COBIT标准所提供的控制矩阵、管理明确诊断表等科学手段,让信息系统审计师合理评估审计风险,从而大大降低审计风险,提高审计质量。COBIT标准对我国开展信息系统审计有很好的启示和指导作用,我国应大力推行COBIT的信息系统审计。
3 我国信息系统审计现状
3.1 法律环境
目前,我国在信息系统审计方面的规定或准则很不完善,在1993年发布的《审计署关于计算机审计的暂行规定》以及2001年《关于利用计算机信息系统开展审计工作有关问题的通知》等几个规范中,主要还是将计算机视为审计的一种辅助工具,对于信息系统自身的审计和相关审计准则目前还十分缺乏,没有形成系统性和结构性,还没有具体的指南来指导信息系统审计人员的探索与实践。
3.2 人力资源
信息系统审计要求审计人员具有复合型的知识结构,不仅掌握财会、审计知识,还要掌握信息系统、网络技术。我国现在大多数的审计人员在财会、审计方面的知识和经验都比较丰富,但是面对计算机的时候,只能从事简单的记录与运算,并不能够利用计算机信息系统进行审计或利用网络技术进行审计。另外,开发实用性和通用性较强的审计软件所需的高水平人员也很缺乏。
3.3 技术水平
在信息时代,企业的交易事项有一大部分是通过信息系统以及网络自动化终端来完成,没有留下人工轨迹,而在我国信息系统的设计与开发中,尚不具备充分的保留和提供审计线索的功能。审计人员难以获取充分适当的证据以支持其审计结论,难以保证信息系统环境下的审计质量。
4 基于COBIT的信息系统审计的推进建议
4.1 构建和完善信息系统审计的准则体系
COBIT准则体系由基本准则、审计准则和作业程序这三个层次构成,截至2007年2月已制定并发布执行的有14项基本准则、36项审计指南和11个工作程序, 另有若干个征求意见稿,整个信息系统审计准则体系的构建和不断完善, 这样一个发展思路和轨迹是十分值得我国学习和借鉴的。建立起一套符合我国实际的IT标准, 并在此基础上结合信息系统控制与审计工作的实务, 构建我国的信息系统审计准则框架并在实践中不断完善, 这将是一个不断学习、借鉴、探索并提高的过程。
4.2 加强从业人员的专业胜任能力
COBIT定位于信息及相关技术的控制和管理,意味着运用COBIT标准实施信息系统审计的从业人员应该具备更高层次的专业胜任能力,既要掌握现代审计理论与实务,也要精通计算机信息系统与网络技术。可以增加IT和电子商务等专业内容,将重心放在信息系统的开发审计、系统的功能或应用程序审计和审计软件的开发等方面。
此外,注重审计软件的开发,建立相应的数据库,在现有的软件基础上开发新的适用信息系统审计的分析工具,加强联网审计以使COBIT标准的运用变得更加方便快捷等,都能够更好地推进我们的信息系统审计工作。
参考文献:
[1]陈婉玲,杨文杰. ISACA 信息系统管理准则及其启示[J] .审计研究,2006(增刊) .
信息系统审计风险 篇12
(一)系统风险
1. 硬件风险,即硬件设备自身物理性能方面
存在的不安全因素。比如:硬件设备自身老化,耐用性降低;设备自身阻燃防潮性能不佳;设备电线短路、漏电;发生碰撞、击打,使设备损坏等。硬件风险使电子数据存在被篡改、破坏和丢失的可能性。信息环境下的审计主要依托于电子数据,因此增加了固有审计风险的可能性。
2. 软件风险,主要是软件设计方面的问题。比
如:设计上的安全漏洞;不必要的功能及软件过长过大;开发中不按要求进行模块化设计,达不到规定的安全等级;软件系统内部逻辑混乱,导致垃圾软件等。目前人民银行业务软件数据接口不统一,存在电子数据难于转换及分析的可能性。人行不同的业务主管部门开发的业务软件大多采取了不同的数据库平台和数据库结构,使得审计人员较难整理、分析各类数据,这必然会带来审计风险。
3. 灾害风险,自然灾害即地震、火灾、水灾、风
暴、雷击等可能使系统陷于瘫痪,形成重大损失风险。人为攻击,即未经授权或超出授权范围、以非法手段或通过非法途径进入系统,使系统陷于瘫痪。比较典型的攻击方式有:蓄意破坏、非法访问、截收和侦测、恶意代码、信息技术犯罪等。灾害发生后,内部审计将失去部分原始数据,影响工作的展开。
(二)内控风险
在信息环境下,内控制度是否健全有效,直接影响系统输出信息的真实性。内控环境的复杂性以及内部控制的局限性也使舞弊行为有机可乘,从而增加了审计风险。手工操作环境下,纸性介质上的信息易于辨认、追溯。而在信息技术系统中,人为修改、删除、隐匿和破坏电子数据很容易,审计风险在信息技术环境下被放大。同时数据和程序可能在多处被存取,由于计算机数据处理系统的操作可以在不同的终端(甚至是远程终端)上进行,如果没有相应的控制措施,数据和程序就有可能被内部或外部人员非法利用和篡改。
(三)操作风险
它是指操作人员对信息技术系统无恶意的操作失误,在某些情况下,这种失误可能给系统造成无可挽救的损失,如:误输入、误删除、误设置等。同时,对于一个庞大的信息系统,审计组很难制定出相应的审计技术、方法和测试指标,对系统的安全性、稳定性、逻辑处理正确性难以做出准确的判断。审计人员做出的审计方案和审计结论有可能偏离审计对象信息系统的真实情况,从而形成审计风险。
(四)制度风险
目前缺少科学的信息技术辅助审计准则和操作指南。对高度信息化的业务系统进行审计时,审计的技术和手段发生了变化,必将导致审计的基础理论产生相应的变化和发展。信息技术审计与传统审计相比可谓新生事物,在法律法规还未更新的情况下,审计过程中的责权利关系尚待重新规范。
二、防范信息技术辅助审计风险的措施
(一)定期检测信息网络,保证数据真实完整
重要业务系统的配置应当定期检测,对于老化或故障过多的硬件应及时更新;及时完善业务软件的不足,确保数据真实完整。
在审计时应当询问审计对象在审计期限内是否发生过信息系统异常或错误,网络与系统采取何种安全措施。为保证审计数据的完整、准确、连贯,审计人员在审计时必须认真检查被审计单位所提供的数据是否真实、是否属审计时间范围内的业务数据,各个业务期间的电子数据是否连贯,并需要对数据进行复核。
审计方式多采用就地审计或突击审计,在审前调查或进行审计时,事先不通知审计对象,取得审计对象对电子数据所作的现场备份数据,以防操作人员将数据篡改、删除等。
(二)不断健全内控制度,提高审计科技含量
完善的内控制度,审计人员具有较高的科技素质,是防范信息技术辅助审计风险的关键环节之一。计算机数据处理系统的采用,使得参与处理业务信息的人员大大减少,这种人员的减少和知识的集中将会导致控制风险的增加。处理业务信息的人员将会更加了解信息的处理机制,包括数据来源、数据处理方法和输出结果的去向,以及程序内的内部控制措施。同时,各种不相容职责,如授权、记录和保管,可能会更加集中在某个业务部门或某个业务主管。在这种情况下,业务操作人员可能同时兼任不相容的职责,这为舞弊提供了机会。并且这种舞弊可能不易被内部控制系统和审计人员所发现,从而加大了审计风险。因此必须不断加强内控建设,提高防范风险的内部免疫能力。
信息技术的广泛应用使得审计人员需要不断更新知识,不仅需要会计、财务、审计、计算机知识和技能、熟悉审计法规及其他审计规范和准则外,还须掌握一定的计算机数据处理知识,掌握系统分析设计和业务系统评审技术,业务审计软件的开发使用和维护技术。
审计时应当检查审计对象信息系统内控制度的完善程度,操作人员科技素质的高低,确定信息技术审计重点及电子数据可信度。现场审计时首先检查业务信息系统的人员分工、权限设置是否合理、严密、明确、完善;考察密码管理机制是否安全、完善;检查系统各个功能模块设计是否符合内控制度要求。其次,检查业务信息系统本身是否具有合理的安全保护措施,是否有一定的容错及系统恢复机制,各个管理信息系统之间是否能够保证数据实时性、一致性等。
(三)尽快完善审计准则,适应技术升级换代
应认真总结以往经验和做法,研究信息技术对传统审计的影响,开拓理论研究的新领域,加强对审计对象、审计方法、审计线索、审计技术的研究。大力加强对信息技术审计、信息系统审计和联网审计的研究,尽快制定出适用于信息系统审计的标准和准则。同时完善信息技术辅助审计的质量,不断适应技术科学的发展。
在制定具体准则时应侧重于对计算机系统内部控制的评价,应对以下几方面进行规范:审计人员应具备的资格;审计证据的收集;信息技术辅助审计过程及相关的审计技术;审计工作的质量控制;审计责任及整改等。
(四)加强开发审计力度,提高软件兼容能力
建议在信息系统的开发和设计阶段应有审计人员参加,对控制过程存在的问题及时提出建议,使信息处理环境建立充分有效的内部控制,提高软件兼容能力。
人民银行系统应加强开发审计的力度,统一业务软件数据接口,提高软件的兼容能力,为信息技术审计的有效开展提供保证。审计软件的功能应具有针对业务程序本身合法性、正确性的审查功能;具有对机内业务数据文件的一致性、正确性的检查功能;具有验证业务报告的可信程度及业务软件内部控制措施的可靠性功能;具有审查审计报告、审计文书自动编制整理功能等。我们应解决审计信息化滞后的实际问题,做到审计技术与信息技术同步发展,从而有效防范审计风险。
参考文献
[1]董化礼.计算机审计数据采集与分析技术[M].北京:清华大学出版社,2002.
[2]林文彬.试论审计对计算机会计信息系统的要求[J].现代审计,2001.
[3]李志军.手工系统和电算化系统条件下审计的比较[J].财会月刊,2003.
【信息系统审计风险】推荐阅读:
审计信息化信息系统05-11
网络信息审计系统08-07
信息系统审计规范08-20
信息系统审计发展10-04
环境信息系统审计11-01
持续审计信息系统12-08
内部信息系统审计08-22
信息系统审计期末考试11-25
信息系统审计工作制度09-03
信息系统风险管理办法07-06