网络环境下审计风险及其防范(1)
[摘 要] 本文诠释审计风险的基本含义,考察网络环境下中计风险要素的新特征,阐述防范审计风险的具体策略,以期人们能够对网络环境下审计风险有一个比较清晰的认识。
[关键词] 审计风险;固有风险;控制风险;检查风险
一、审计风险基本理论
狭义的审计风险指审计人员在审计过程中采用了并没有意识到的不恰当审计程序和方法,错误地估计和判断了审计事项,乃至发表了与事实相悖的审计报告而受到有关关系人指控并遭受某种损失的可能性。审计实务中大量产生的正是这一类审计风险。
产生审计风险的因素是审计要素,审计风险(AR)可以表现为固有风险(IR)、控制风险(CR)和检查风险(DR)三个要素的关系,审计风险模型为AR=IR×CR×DR。
固有风险是指未考虑内部控制结构时由于企业个体及环境特征而产生的风险。它只与被审计单位及所处环境有关,审计人员无法降低固有风险的水平。控制风险是指内部控制结构未能及时预防或发现主要差错和不法行为,致使财务报告失真的概率。它主要与内部控制结构有关,其实际水平审计人员也无法改变。检查风险是指运用审计程序未能发现财务报表中重大错误的可能性。其水平高低与审计程序的有效性直接相关。
在一定的期望审计风险水平下,固有风险和控制风险估计水平越低,检查风险可接受水平就越高。审计人员可根据自己所确定的固有风险和控制风险的估计水平来调整检查风险,进而控制检查风险,把审计风险降低到社会可接受的水平上。
二、网络环境下审计风险的特征
网络会计信息系统不断发展,如果在具体审计过程中仍然采用传统审计方法和技术,无疑会给审计工作带来更多的风险。
(一)网络环境下审计的固有风险特征
1.电子化会计数据容易被滥用、篡改和丢失。手工系统中,纸质介质上的信息易于辨认、追溯。而在网络环境下,由于存贮介质的改变,一旦用户非法透过计算机系统的“防火墙”,极易破坏和修改电子数据。计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也会造成实际数据与电子账面数据不相符,网络软件程序自身的BUG、后门程序、通信线路不稳定等因素增加了固有审计风险。
2.网络环境下审计线索稀缺。手工系统中,会计处理的每一步都有文字记录和经手人签名,审计线索清晰,但在计算机系统中,从原始数据的录入到报表的自动生成,几乎不用人工干预,传统的审计线索不复存在,这为审计师追查审计线索带来了极大困难。
(二)网络环境下审计的控制风险特征
1.职责分工的约束机制有可能失效。手工系统下,通过建立岗位责任中心达到内部控制的目的.在计算机系统下,往往通过划分操作员的责任范围,设置权限密码实现人员分工,或通过软件设计划分若干子系统或功能模块设置不同的责任中心,而常常出现的权限设置重叠和跨责任中心越权设置情况会使内部控制措施失效。
2.网络传输和数据存贮故障或软件的不完善,有使会计数据出现异常错误的可能性。手工系统下,这种可能性几乎不存在,而在计算机系统下,这种可能性难以通过有效的内控制度消除,必须靠先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的几率。就多数会计软件看,对数据录入的一致性和正确性控制,会计数据处理的安全性和连续性控制,软件设计还是比较缜密的。但对集成化程度较高的企业级管理软件,数据的共享性和一致性还不尽人意。另外某些网络平台在实际应用中问题还是不少。
3.会计软件对现金和银行存款的收付业务缺乏实时有效的控制手段。对于企业内部发生的现金和银行存款收付业务,多数软件是通过人工填制记账凭证,从账务系统入口录入到电脑,部分软件虽通过出纳系统实时地录入,但可能与凭证数据不同步。
(三)网络环境下审计检查风险的特征
1.会计软件的更新换代,增加了历史文件难以提取的可能性.对账户或交易的重大实质性测试往往离不开企业的历史数据。由于软件版本的更新、平台的迁移,难以从往年账套里提取这些历史数据,迫使审计师不得不从浩如烟海的文档中收集整理历史数据。这不仅降低了审计效率,而且带来了更多的检查风险。
2.内部控制主要依赖软件本身,增加了难以全面检查测试的可能性。手工系统下,对内部控制的测试看得见、摸得着,而在网络环境下,内部控制融于软件之中,肉眼无法觉察,这就要求审计师有必要设计一些正常有效的业务数据和一些不完整的、无效的、不合理的、不合逻辑的例外业务数据,来检查测试软件的控制能力。由于多数审计师不可能完全掌握计算机网络技术,要在有限的审计时间里设计面面俱到的测试数据是不现实的。
综上所述,网络环境下审计风险有其新特征,然而审计环境的变化并不能改变注册会计师的审计责任,注册会计师仍应保持应有的执业谨慎,并采取适当的审计程序使风险控制在可接受的水平上。
三、网络环境下防范审计风险的策略
(一)降低固有风险的策略
1.加强内外部安全控制机制,防止会计数据被滥用、篡改和丢失。首先是配备可靠的硬件设备,如增加防火墙设备,增加数据加密及路由器设备,增加备份硬盘等,其次是获取后续支持软件,如会计软件版本更新的支持、加密算法更新的支持等,再次是建立安全的运行环境,为会计系统建立一个相对开放且安全级别较高的专用局域网,合理设置多层加密关口和防火墙。
2.完善软件的设计,努力增加审计线索。一是完善操作日记的设计,只有打印存档后才允许删除,二是设置强制备份,如跨期操作必须做备份,三是设计报表与账套数据的关联,并记录报表已打印的次数,四是非经授权不可擅自修改报表的取数公式。
3.改进数据录入技术,减少数据录入错误。一是设计磁性单据,尽量采取扫描录入,二是对重要的原始凭证,利用多媒体技术扫描压缩存盘,便于事后查阅,三是尽量使用自动转账功能,保持数据的正确完整。
(二)降低控制风险的策略
1.分配设置责任中心和操作权限密码,降低约束机制失效可能性。首先是系统管理员为不同岗位的会计人员设置不同的操作权限和口令,其次是经授权后的各用户应定期修改自己的密码,最后是严格控制跨责任中心设置操作权限。
2.提高网络通信效率和效果,避免软件出现异常错误。一是选取性能优良的网络操作平台和网络传输配套设备,二是选择基于优良数据库开发平台的会计软件,三是提高软件使用者的计算机应用水平。
3.建立企业与银行之间的网络连接,降低数据不一致的可能性。对企业内部的收付业务借助磁性单据扫描录入,依靠软件的智能化同步自动生成记账凭证;对与银行间的业务,建立广域网连接,实时传送,保证数据同步和一致。
(三)降低检查风险的策略
1.统一文件存贮的格式,降低历史文件难以打开阅读的可能性。一是对不同时期版本的会计软件,采取统一的文件格式存贮,以便于审计师使用辅助审计软件打开审查,二是制定会计软件行业标准,统一数据格式和外部接口。
2.设计一套有针对性的审计检查程序,使检查风险降到最低。一是将软件本身的审计检查纳入软件开发或评审之中,审计师在审计实务中,重点是测试数据的完整性以及操作权限的分配和应用情况,二是检查被审计单位的权限设置,审查操作日志,三是检查被审计单位的报表取数公式,重新生成一次并与被审计单位提供的比较,四是查阅销售的原始合同,或利用辅助审计软件整理汇总,并与电子账面数据核对,五是检查网络会计信息系统各子系统之间的数据是否相符,六是检查凭证记录的真实性、资产及负债的合理性、期末交易的归属期、内部控制制度的完备性和会计政策的一贯性。
主要参考文献
[1]张瑞君.计算机审计对会计电算化发展的影响[J].中国财经报,1997,
(7).
[2]甄阜铬.网络环境下会计信息系统内部控制的探讨[J].财会通讯,2000,
(10).