孫晶

[摘要] 隨著整個(gè)社會(huì)信息化進(jìn)程的不斷加速，審計(jì)面對(duì)的已不再是單一的手工會(huì)計(jì)資料，正逐漸被計(jì)算機(jī)信息系統(tǒng)本身及其高度集中的大量電子數(shù)據(jù)所取代。信息系統(tǒng)給審計(jì)帶來了不可避免的沖擊與挑戰(zhàn)，也使審計(jì)面臨著新的風(fēng)險(xiǎn)和控制。

[關(guān)鍵詞] 信息系統(tǒng)審計(jì)；審計(jì)風(fēng)險(xiǎn)；風(fēng)險(xiǎn)控制

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 22. 010

[中圖分類號(hào)]F239[文獻(xiàn)標(biāo)識(shí)碼]A[文章編號(hào)]1673 - 0194（2012）22- 0018- 02

在信息大爆炸的今天，隨著被審計(jì)對(duì)象信息化的高速發(fā)展，信息系統(tǒng)越來越多地成為被審計(jì)單位內(nèi)部管理與內(nèi)部控制的關(guān)鍵工具，審計(jì)人員面對(duì)的資料已不再是單一的手工會(huì)計(jì)憑證、賬簿和報(bào)表，而是計(jì)算機(jī)信息系統(tǒng)本身及其高度集中的大量電子數(shù)據(jù)。信息系統(tǒng)由于其自身所具有的特點(diǎn)給審計(jì)帶來了不可避免的沖擊與挑戰(zhàn)，也使審計(jì)面臨著新的風(fēng)險(xiǎn)。

1信息系統(tǒng)審計(jì)的特點(diǎn)

1.1 審計(jì)的環(huán)境不同

信息系統(tǒng)審計(jì)是否能夠發(fā)揮有效作用，與前期的審計(jì)環(huán)境分析、合理審計(jì)需求提出密切相關(guān)。例如：審計(jì)某施工單位，需要核實(shí)施工材料的領(lǐng)用情況。如果被審計(jì)單位沒有信息系統(tǒng)，也沒有電子數(shù)據(jù)，這種情況下就不具備開展信息系統(tǒng)審計(jì)的條件。如果審計(jì)小組決定將施工材料領(lǐng)用單逐筆輸入數(shù)據(jù)庫中進(jìn)行數(shù)據(jù)挖掘分析，結(jié)果可想而知，浪費(fèi)時(shí)間不說還沒有任何成果。只有從審計(jì)實(shí)際情況出發(fā)，實(shí)事求是，客觀分析，信息系統(tǒng)審計(jì)才能夠發(fā)揮積極的作用。

1.2 審計(jì)的對(duì)象不同

信息系統(tǒng)審計(jì)拓展了傳統(tǒng)審計(jì)的內(nèi)涵，將審計(jì)對(duì)象從財(cái)務(wù)范疇擴(kuò)展到了同經(jīng)營活動(dòng)有關(guān)的一切信息系統(tǒng)，具有綜合性和復(fù)雜性。

1.3 審計(jì)的目標(biāo)不同

信息系統(tǒng)審計(jì)沒有改變審計(jì)的目標(biāo)，但除了上述目標(biāo)外，還包括信息資產(chǎn)的安全性、數(shù)據(jù)的完整性及系統(tǒng)的可靠性、有效性和效率性。

1.4 審計(jì)的方法不同

計(jì)算機(jī)信息系統(tǒng)環(huán)境下審計(jì)技術(shù)方法與手工環(huán)境下傳統(tǒng)的審計(jì)技術(shù)方法相比，相應(yīng)增加了計(jì)算機(jī)技術(shù)的內(nèi)容。

2信息系統(tǒng)審計(jì)面臨的風(fēng)險(xiǎn)

2.1 固有風(fēng)險(xiǎn)

計(jì)算機(jī)信息系統(tǒng)環(huán)境下，下列環(huán)節(jié)可能導(dǎo)致固有風(fēng)險(xiǎn)增高：①數(shù)據(jù)錄入環(huán)節(jié)。計(jì)算機(jī)信息系統(tǒng)下，大量的數(shù)據(jù)靠人工錄入，有些人工錄入時(shí)發(fā)生的錯(cuò)錄和漏錄，可能會(huì)影響金額的變化而并不影響機(jī)制憑證、賬簿和報(bào)表表面上的相互平衡。②數(shù)據(jù)存在環(huán)節(jié)。在計(jì)算機(jī)信息系統(tǒng)環(huán)境下，由于存儲(chǔ)介質(zhì)的改變，信息高度集中于計(jì)算機(jī)信息系統(tǒng)。一旦用戶非法透過計(jì)算機(jī)系統(tǒng)的“防火墻”，數(shù)據(jù)被不法分子拷貝，甚至可能被進(jìn)行非法篡改而不留下任何痕跡。同時(shí)，計(jì)算機(jī)病毒、電源故障、操作失誤、程序處理錯(cuò)誤和網(wǎng)絡(luò)傳輸故障也極易破壞和修改電子數(shù)據(jù)，造成賬實(shí)不符，增加固有審計(jì)風(fēng)險(xiǎn)的可能性。③數(shù)據(jù)傳輸轉(zhuǎn)移環(huán)節(jié)。在信息系統(tǒng)中，有些數(shù)據(jù)需要在兩個(gè)財(cái)務(wù)信息系統(tǒng)或財(cái)務(wù)信息系統(tǒng)與業(yè)務(wù)信息系統(tǒng)之間相互轉(zhuǎn)移，在此過程中可能會(huì)出現(xiàn)一些問題，尤其是在需要手工重新錄入時(shí)。④介質(zhì)本身缺乏證明力。在信息系統(tǒng)中，主要以磁盤、磁帶等磁介質(zhì)作為信息載體，對(duì)數(shù)據(jù)和程序修改可不留痕跡，被復(fù)制后的數(shù)據(jù)很難區(qū)分正副本，如果僅依靠磁介質(zhì)載體，可能造成責(zé)任不清、真?zhèn)坞y辨，使審計(jì)證據(jù)缺乏法律效力。

2.2 控制風(fēng)險(xiǎn)

計(jì)算機(jī)信息系統(tǒng)環(huán)境下，可能導(dǎo)致許多傳統(tǒng)的控制活動(dòng)已經(jīng)失去意義。

①交易授權(quán)。在計(jì)算機(jī)信息系統(tǒng)中，直接由電子數(shù)據(jù)處理功能取得授權(quán)、批準(zhǔn)。②職責(zé)劃分。在計(jì)算機(jī)系統(tǒng)下，一是通過劃分操作員的責(zé)任范圍，設(shè)置權(quán)限和密碼實(shí)現(xiàn)人員職責(zé)分工。二是通過軟件設(shè)計(jì)劃分若干子系統(tǒng)或功能模塊設(shè)置不同的責(zé)任中心。由于在計(jì)算機(jī)信息系統(tǒng)中許多不相容職責(zé)相對(duì)集中，可能因?yàn)椴磺‘?dāng)?shù)氖跈?quán)而加大舞弊的風(fēng)險(xiǎn)，權(quán)限設(shè)置的重疊或跨責(zé)任中心越權(quán)設(shè)置，使這一控制措施有可能形同虛設(shè)。③憑證與記錄控制。在計(jì)算機(jī)信息系統(tǒng)中，終端操作者把業(yè)務(wù)直接輸入計(jì)算機(jī)而沒有留下任何憑證。④資產(chǎn)接觸與記錄控制。在信息環(huán)境下，大部分經(jīng)營數(shù)據(jù)集中于電子數(shù)據(jù)處理部門，如果缺乏適當(dāng)?shù)目刂?，未?jīng)授權(quán)人員可能通過外部指令、甚至遠(yuǎn)程入侵系統(tǒng)，機(jī)密數(shù)據(jù)很可能被非法復(fù)制或篡改。⑤獨(dú)立稽核。在信息系統(tǒng)中，在某個(gè)環(huán)節(jié)發(fā)生錯(cuò)誤很可能在短時(shí)間內(nèi)使得相應(yīng)的文件、賬簿乃至整個(gè)系統(tǒng)的信息失真。如果是應(yīng)用程序產(chǎn)生錯(cuò)誤，計(jì)算機(jī)可能會(huì)反復(fù)產(chǎn)生錯(cuò)誤結(jié)果。

2.3 檢查風(fēng)險(xiǎn)

信息系統(tǒng)審計(jì)中檢查風(fēng)險(xiǎn)主要產(chǎn)生于以下3個(gè)方面：①審計(jì)線索難以查找。在手工環(huán)境中，會(huì)計(jì)賬務(wù)處理的每一個(gè)步都有文字記錄和相關(guān)人員簽章，審計(jì)線索清晰；在信息系統(tǒng)環(huán)境中，從原始數(shù)據(jù)錄入到報(bào)表的自動(dòng)生成，忽略了中間處理過程；利用信息技術(shù)也難以實(shí)現(xiàn)如簽名、蓋章等這些使審計(jì)線索證據(jù)化的操作，給審計(jì)追蹤帶來了重重困難。同時(shí)，由于各類數(shù)據(jù)文件都存儲(chǔ)在磁介質(zhì)中，設(shè)計(jì)者如果沒有事先考慮審計(jì)的需要，在系統(tǒng)中設(shè)置跟蹤程序的話，也會(huì)很難留下有價(jià)值的審計(jì)線索，加大審計(jì)難度。②控制測(cè)試難度增加。手工系統(tǒng)下，內(nèi)部控制的情況看得見、摸得著，有據(jù)可查；而在計(jì)算機(jī)信息系統(tǒng)環(huán)境下，內(nèi)部控制主要依賴于軟件本身，內(nèi)部控制融于系統(tǒng)軟件之中，一方面，審計(jì)人員無法通過傳統(tǒng)審計(jì)方法進(jìn)行控制測(cè)試，另一方面也要求審計(jì)人員掌握較高的計(jì)算機(jī)操作水平。③技術(shù)風(fēng)險(xiǎn)難以控制。在越來越廣泛的網(wǎng)絡(luò)交易中，隨著人工干涉越來越少時(shí)，對(duì)控制信息技術(shù)是否有效進(jìn)行的檢查將更具實(shí)際意義，降低這種檢查風(fēng)險(xiǎn)將比任何時(shí)候都更具重要意義。如在網(wǎng)絡(luò)災(zāi)難導(dǎo)致數(shù)據(jù)存儲(chǔ)平臺(tái)或數(shù)據(jù)處理平臺(tái)癱瘓時(shí)，災(zāi)難防御計(jì)劃能使信息處理功能迅速恢復(fù)，這些都是任何信息化交易需要加以關(guān)注的基本審計(jì)風(fēng)險(xiǎn)。

3信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制

3.1 固有風(fēng)險(xiǎn)控制

①開展詳盡的審前調(diào)查。除了掌握與被審計(jì)單位管理的相關(guān)的法規(guī)及被審計(jì)單位內(nèi)部出臺(tái)各項(xiàng)管理規(guī)定外，重點(diǎn)應(yīng)了解信息系統(tǒng)的技術(shù)文檔和操作手冊(cè)，發(fā)放信息系統(tǒng)調(diào)查表，對(duì)系統(tǒng)模塊框架進(jìn)行實(shí)際觀察，印證各流程業(yè)務(wù)之間的銜接，并掌握待分析的業(yè)務(wù)數(shù)據(jù)表及所需分析字段的屬性含義、掌握信息系統(tǒng)主要模塊功能。同時(shí)要掌握與被審計(jì)單位業(yè)務(wù)管理有關(guān)的操作流程和規(guī)定。②對(duì)計(jì)算機(jī)信息系統(tǒng)的電子資料的真實(shí)性、合法性進(jìn)行評(píng)價(jià)，防止和揭露信息系統(tǒng)失真的固有風(fēng)險(xiǎn)。③了解主要業(yè)務(wù)流程。應(yīng)對(duì)各個(gè)業(yè)務(wù)流程模塊的內(nèi)部邏輯和各個(gè)模塊的大致框架、信息交互，尤其是從數(shù)據(jù)流方面有整體了解。

3.2 控制風(fēng)險(xiǎn)防范

（1）積極開展計(jì)算機(jī)信息系統(tǒng)內(nèi)部控制的事前審計(jì)。對(duì)其嚴(yán)密完善性，系統(tǒng)的合規(guī)合法性以及系統(tǒng)的可審性等進(jìn)行評(píng)價(jià)，保證計(jì)算機(jī)信息系統(tǒng)運(yùn)行以后數(shù)據(jù)處理結(jié)果的真實(shí)性和正確性，防止和減少其失真風(fēng)險(xiǎn)的發(fā)生。

（2）定期對(duì)被審計(jì)系統(tǒng)的內(nèi)部控制制度進(jìn)行審計(jì)。信息系統(tǒng)審計(jì)內(nèi)部控制的目的與會(huì)計(jì)手工系統(tǒng)審計(jì)的目標(biāo)是一致的，但是由于計(jì)算機(jī)特有的自動(dòng)處理功能的存在，使得其內(nèi)部控制的要求更為嚴(yán)格，在控制方式、內(nèi)容、手段等方面均不同于傳統(tǒng)審計(jì)：①運(yùn)行審查。即對(duì)信息系統(tǒng)再輸入、處理、輸出過程中運(yùn)行情況審查。②職權(quán)審查。把重要的任務(wù)功能按用戶或用戶組進(jìn)行分離，以減少無意的誤操作、濫用系統(tǒng)資源和對(duì)數(shù)據(jù)的非授權(quán)修改。③人員素質(zhì)審查。即對(duì)是否有以提高人員素質(zhì)為目的的控制措施的審查。④修改方式審查。應(yīng)該保證財(cái)務(wù)信息系統(tǒng)的所有修改都是經(jīng)過授權(quán)、有文檔記錄、經(jīng)過徹底（獨(dú)立地）測(cè)試的，確認(rèn)最后以一種有控制的方式投入使用。⑤運(yùn)行環(huán)境審查。必須建立一套控制措施，檢測(cè)病毒，防止病毒感染財(cái)務(wù)信息系統(tǒng)。

（3）重視對(duì)信息系統(tǒng)事后審計(jì)。通過事后審計(jì)，對(duì)信息系統(tǒng)的電子賬以及打印輸出資料的真實(shí)性、合法性進(jìn)行評(píng)價(jià)，防止和揭露計(jì)算機(jī)信息失真的風(fēng)險(xiǎn)。

3.3 檢查風(fēng)險(xiǎn)控制

一方面，通過綜合運(yùn)用審計(jì)取證方法來獲取更為充分的審計(jì)證據(jù)，從而達(dá)到降低審計(jì)風(fēng)險(xiǎn)的目的。如在對(duì)系統(tǒng)物理控制審計(jì)時(shí)，要充分運(yùn)用觀察、詢問、檢查等審計(jì)方法；對(duì)信息系統(tǒng)保障產(chǎn)生數(shù)據(jù)真實(shí)性、完整性、可靠性等應(yīng)用控制審計(jì)時(shí)，要靈活運(yùn)用重新計(jì)算、重新操作等審計(jì)方法對(duì)業(yè)務(wù)管理模塊進(jìn)行有效核查等。另一方面應(yīng)不斷提高審計(jì)人員業(yè)務(wù)素質(zhì)和道德素養(yǎng)。這就要求審計(jì)人員不僅要有豐富的會(huì)計(jì)、財(cái)務(wù)、審計(jì)知識(shí)和技能，而且還應(yīng)該掌握計(jì)算機(jī)知識(shí)和應(yīng)用技術(shù)，掌握數(shù)據(jù)處理和管理技術(shù)，不僅要懂得審計(jì)軟件的操作方法，而且也應(yīng)當(dāng)根據(jù)審計(jì)過程中出現(xiàn)的種種問題，及時(shí)編寫各種測(cè)試、審計(jì)程序模塊。

主要參考文獻(xiàn)

[1]劉偉.信息化環(huán)境對(duì)內(nèi)部審計(jì)的影響[J].中國管理信息化，2012（3）：18-19.

[2]黃映芬.信息系統(tǒng)下審計(jì)證據(jù)的可靠性探析[J].審計(jì)月刊，2010（4）：28-29.

[3]中國注冊(cè)會(huì)計(jì)師協(xié)會(huì).審計(jì)[M].北京：經(jīng)濟(jì)科學(xué)出版社，2007.