论计算机审计风险的成因
计算 机审计风险是指审计人员在对被审计单位的电算化 会计 信息系统进行审计后发表不恰当审计意见的可能性。电算化会计信息系统的广泛 应用 ,一ล方面由于系统本身的无意差错少、会计信息的查询容易等,避免了会计人员因笔误或汇总错误而出现的各种核算错误,减少了审计人员复核的工作量,使审计人员快速地收集资料和获取证据,给审计工作带来了很大的便利,提高了审计的效率和质量;但另一方面也增加了计算机审计的风险。据美国向兰特·艾伦的调查,在158起计算机舞弊案中,由审计人员和内部控制人员发现的不足半数,计算机审计风险可见一斑。计算机审计风险的成因主要有以下几个方面:
l、审计线索的缺乏性
在电算化会计信息系统中,原先审计所必须审查的大量书面资料都存储在磁性介质中,数据处理的全过程在计算机内运行,所需的审计线索除少数部分打印出来以外,绝大部分是审计人员不能直接看见的。虽然,管理部门从管理的角度出发,仍然保留一部分肉眼可见的审计线索,但这些有限的审计线索,无论在形式上还是在 内容 上都与手工系统情况下有很大不同。另外,电算化会计信息系统中的审计线索极易被销毁或修改,但又无明显痕迹,使审计发现错误的机会减少,难度增大。
2、审计内容、范围的广泛性
在对电算化会计信息系统的审计中,除了手工审计的内容外,还必须兼顾系统的开发和运行两个方面,包括系统开发各阶段的审查、系统应用程序的审查,如审查系统应用程序的处理功能是否符合会计制度和财经法纪的规定、能否正确完成各项业务的处理、程序控制是否恰当有效等。另外,除对电算化会计信息系统
进行事后审计、监督其合法性和正确性外,还提倡在系统的设计开发阶段,审计人员要对系统的开发进行事前和事中审计。审计内容、范围的广泛性要求审计人员具备相应的知识和技能,而现有很多审计人员并不具备,计算机审计风险也不可避免。
3、内部控制的巨大局限性
现代 审计的一大特征就是以测试被审单位的内容控制为基础的抽样审计,内部控制制度的恰当与否直接 影响 会计信息的真实性和准ธ确性。在手工会计系统中,内部控制主要从两个方面实施:一是从组织形式上按财务部门 经济 业务的性质分为几个不同的职能组,并且各职能组的人员只负责某一特定的业务领域,也就是对工作人员进行适当的职责分离,各职能组之间互相牵制,不易出现ฬ错误和舞弊;二是在会计帐务处理组织程序上,除了要保证凭证、帐簿、报表按一定程序分由不同人员记录、编制外,还要做☑到帐帐核对,帐证核对、帐实核对、帐表核对,并保证其一致性。从而在很大程度上保证经济业务处理的合理性、合法性。但在电算化会计信息系统中,由于处理工具、信息载体、会计组织都发生了根本的变化,手工会计系统中原有的很多控制措施都已失去意义。电算化会计和手工会计相比,内部控制环境更复杂,甚至有些环境因素超过制度的有效控制能力;建立严格的内部控制的成本要高得多;对内部控制的评价更为困难。内部控制的更大局限性使计算机舞弊有机可乘,增加了计算机审计风险。
4、 会计 软件的大理想性
我国会计软件从无到有、从单一业务处理到集成业务处理、从会计核算走向会计管理,确实取得了巨大成就但也有不足,特别是针对审计,表现在下面二个方面:一是很多会计软件不具备双向查询功能。在对电算化会计信息系统的审计中,会计软件应允许审计人员按照凭证一明细帐(日记帐)一总帐一报表的顺序进行双向查询,同时还应允许分别对日记帐、明细帐、总帐的期初余额、本期发生额和期末余额进行双向查询。但是 目前 我国绝大多数的会计软件的查询设计都是单向的,可以实现如由总帐查询明细帐,由明细帐查询凭证等过程,但当需要反问查询时往往很困难。二是会计软件不预留审计测试通道。在审计过程中,审计人员为证实业务处理的实际过程。 方法 ,往往需要进行测试,既虚拟一笔业务输入会计软件,检查其结果与预期结果是否相符。这种方法可以有效地验证核算过程是否与设计一致。但是如果审计人员不能及时消除这些测试的 影响 ,就可能导致会计软件系统数据的混乱。恰当的解决方法是在软件设计时为以后的审计测试留下通道,既方便审计人员的随时测试,也不会造成对整个系统数据的影响。但遗憾的是,几乎所有的会计软件都没为审计测试预留通道。会计软件的欠理想性加大了 计算 机审计风险。
5、审计取证的动态性
在很多大中型 企业 中,电算化会计信息系统每天都要结算成本和利润,进行生产动态 分析 ,以供管理人员进行决策 参考 。系统如果停止运行,会给企业带来巨大的损失。因此,对电算化会计信息系统的审计,往往是在系统运行过程中动态取证。审计人员一方面要及时完成审计任务,另一方面又要不防碍和干扰被审系统的正常运行,这给审计工作带来了一定的难度,也增加了计算机审计风险。
6、审计技术的复杂性
不同单位的业务规模和性质不同,其电算化会计信息系统所采用的计算机设备不同、会计软件的获得途径不同、功能不同、程序处理的步骤和 内容 不同、数据存储的方式不同……所有这些不同,都决定了审计技术的复杂性,都要求审计人员采用恰当的方法和技术。如果选择不恰当的方法和技术,就必然产生计算机审计风险。
由此可⌚见,计算机审计风险的产生是多方面的,必须采取相应的措施,以降低计算机审计风险。大力加强计算机审计的 研究 (包括 理论 、技术、方法、制度等)和大力培养复合型审计人员是重中之重。