有关计算机审计风险论文
将计算机引入审计领域不仅简化了审计人员的工作,保证了审计工作的质量,而且有效提高了审计工作的效率,但同时也给审计工作带来了新的挑战和风险。下面是学习啦小编为大家推荐的有关计算机审计风险论文,欢迎浏览。
有关计算机审计风险论文篇一
《 计算机审计风险的成因 》
计算 机 审计作为审计的一个分支,审计的目的和职能与传统审计相比没有本质区别,同样是执行 经济 监督的职能。随着 计算机审计在审计 环境、审计线索、审计对象和内容、审计技术和方法改变的同时,带来了新的审计风险。因此分析及其应对措施是当前审计人员必须深入研究的课题,但在审计内容、审计轨迹、审计技术等方面与传统的手工审计有很大的不同。
就计算机审计的定义而言,目前尚无定论。但一般认为,计算机审计包括两个方面的内容:一是审计人员对计算机 会计 信息系统进行的审计;二是审计人员利用计算机进行的审计。据此内容,我们可将计算机审计活动设定为:⑴审计人员利用手工审计方法和技术对计算机会计信息系统进行的审计,即绕过计算机审计;⑵审计人员利用计算机审计方法和技术对手工会计信息系统进行的审计,即利用计算机审计;⑶审计人员利用计算机审计方法和技术对计算机会计信息系统所进行的审计,即通过计算机审计。但从 发展 趋势来看,随着市场经济深入发展和经济业务的日益复杂,审计 工作量的不断增加,绕过计算机审计和利用计算机审计将会变得越来越不适用,通过计算机审计必将是计算机审计发展的方向。据此,我们可以将计算机审计风险理解为:会计报表存在重大错报或漏报,而审计人员在利用计算机对被审单位计算机会计信息系统审计后 发表不恰当审计意见的可能性。
一、计算机审计固有风险成因分析
固有风险是指假定不存在的相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。计算机的固有风险是计算机会计系统自身带来的风险,审计人员只能评估此风险而不能左右和控制,它的具体表现为:
1.信息化系统的安全保密性差。由于 网络 自身的一些缺陷,使得网络审计在安全性能上受到极大的挑战。一是人为篡改或破坏数据。在信息化环境下,数据的 电子 化并以磁性介质为主要存储载体,这使舞弊者或破坏者对数据进行非法修改和删除且不留下审计线索成为可能,这对保证数据的完整性、安全性提出了挑战,给审计监督带来了风险。二是病毒感染易使数据丢失。计算机易感染病毒的脆弱性使审计数据的丢失现象经常发生,从而使出现审计风险的可能性增大。三是黑客入侵导致信息泄露。网络的一大特点就是信息资源的共享性,即网络用户可以通过口令使用其他用户的信息资源。这使得一些计算机黑客为了获取重要的商业秘密,经常利用IP地址进行欺骗,攻击网络系统,进行目标系统的窃取或破坏数据。这使审计人员或审计 组织的审计证据和审计结论在保密性方面效果较差。
2.会计电算化系统的多样性导致审计取证困难。目前会计电算化 软件有几百种,这些软件基本上符合 财政部颁发的《会计核算标准基本功能规范》。但其功能模块的划分、数据库文件的设置、数据处理系统的复杂性、文件记录和系统操作的非规范化,都增加了审计的难度。尤其是用户单位在选择会计电算化软件时,一要考虑保密程度要高,二要考虑自身 管理的需要。这都限制了会计信息的透明度,使得内部审计人员在搜集审计证据时十分棘手,极大地增加了审计工作量。
3.会计电算化中审计软件的不完善。一是会计电算化中审计软件种类少。目前我国在审计软件的开发方面正处于起步阶段,各大软件公司在审计软件的研制与开发上投入的人力、物力和财力都很有限。二是审计软件和财务软件的数据接口标准未能得到很好的贯彻执行。 中国 软件协会财务及 企业 管理软件分会曾发布了中国财务软件数据接口标准98-001号,其目的就是为了有助于不同的财务软件之间的交流,便于相互之间的数据交换以及适 应用户的特殊要求,为二次开发提供数据接口。但是由于种种原因该标准并没有得到很好的落实。各软件开发商以保护数据安全为借口,将数据进行层层保护,使得会计软件与审计软件的数据交换越来越难,这给审计软件的开发和审计工作带来极大的障碍。
二、计算机审计检查风险成因分析
1.内部审计人员素质不高,缺乏审计、计算机、网络的综合知识。信息化环境下的内部审计主要包括两个方面的含义:一是对被审计单位信息系统的审计;二是利用信息技术手段进行辅助审计。对会计核算系统的审计不仅包括对会计软件模式的审计,而且还包括系统的安全性、合法性审计及系统是否保留审计线索的功能评价。这些都要求内部审计人员具有综合的素质,即既要懂计算机知识,又要精通审计理论,而且还要熟悉电算化审计软件的开发和设计过程,只有这样的内部审计人员才能对会计核算系统作出正确的评价。然而,目前我国的内部审计人员整体素质偏低,复合型的高级审计人才不足,导致审计人员对会计核算系统审计时常常作出错误的 职业判断,这无疑给审计增加了更多的检查风险。
2. 会计 软件的更新换代,增加了 历史 文件提取的难度。会计软件的更新换代。增加了历史文件难以提取的可能性。对账户或交易的重大实质性测试往往离不开 企业 的历史数据。由于软件版本的更新,所以从往年账簿里提取这些历史数据,就迫使 审计人员不得不从浩如烟海的文档中历史数据。这不仅降低了审计效率,而且带来了更多的检查风险。另一方面,世界上没有哪一家软件公司会和盘托出其软件设计过程、程序文件和数据结构。相反,他们为了维护公司利益,保守其技术秘密和商业秘密,只会采用愈来愈严格的防范与保密措施,这更增大了审计取证的困难。
有关计算机审计风险论文篇二
《 计算机辅助审计风险及防范 》
[摘要]在全球信息化进程日益加深的今天,信息技术的应用对企业会计核算模式产生了巨大的影响,计算机辅助审计作为信息化环境下的一种崭新的审计方式应运而生。但是,信息技术的应用在给企业会计核算系统巨大便捷的同时,也带来了新的风险;从而也相应地提高了计算机辅助审计的审计难度和审计风险。文章论述了计算机辅助审计下可能存在的一些风险并提出相应的防范措施。
[关键词]计算机辅助审计 审计风险 防范
随着信息技术和网络通信技术应用范围的不断扩展,计算机对审计的影响越来越大。然而,计算机在给审计带来方便、快捷、高效的同时,也带来了新的审计风险。只有做好审计风险的防范,才能使计算机辅助审计工作得以顺利地开展。
一、审计风险的主要研究模型分析
1、传统审计风险模型分析
长期以来,审计职业界一直使用的审计风险模型是:审计风险=固有风险(IR)×控制风险(CIZ)×检查风险(Dlk),并要求根据该模型来计划和执行财务报表审计工作,以最终将审计风险降至可接受的低水平。该模型从理论上解决了注册会计师以制度为基础采用抽样审计的随意性,又解决了审计资源的分配问题,要求注册会计师将审计资源分配到最容易导致财务报表出现重大错报的领域。
从理论上看,该模型不存在明显的不妥,但在长期的实务操作中却面临很大的问题和困难:第一,直接设定固有风险为100%。第二,评估控制风险不认真,有走过场的嫌疑,实务中控制风险(CR)评估为最高时只要求记结论,不记理由,问题很大。第三,原先将“了解被审计单位情况”和“风险评估与内部控制”单独作为两个准则,使了解被审计单位情况没有跟风险评估有机结合,使了解没有明确的目的性,不被重视。第四,原风险模型侧重于指引认定层次的实质性审计测试工作,对财务报表层次重大错报风险的评估和应对重视不够,导致实质性测试没有目的性、方向感和针对性,进而必然会影响对认定层次重大错报的检查效果。第五,没有抓住财务报表审计工作的“关键点”。
2、现代风险导向审计下的新风险模型
由于传统审计风险模型在识别、评估和应对重大错报风险方面存在问题,国际准则以及我国审计相关准则都进行了修订。原审计准则规定:审计风险倡导以客户风险为导向,但实际未落实。新审计准则规定:以财务报表重大错报风险为导向的审计,强调重大错报风险评估和实质性程序并重。也就是说,新风险准则和风险模型以识别、评估和应对重大错报风险为导向、以控制总审计风险至可接受低水平为目标的最新风险导向审计理念。
现代风险导向审计下的新风险模型为:审计风险=重大错报风险(RMM)×检查风险(DR)。其审计风险包括两个层面,一是财务报表层次,二是交易、账户和列报与披露的认定层次。审计实务中,新审计风险模型下的风险评估包括三个阶段:了解客户及其环境包括内部控制,评估报表层的重大错报风险和认定层的重大错报风险;针对报表层重大错报风险,制定“总体应对措施”;针对认定层重大错报风险,展开“进一步审计程序”,具体包括:实施控制测试,再评估认定层的重大错报风险;实施实质性程序,其目的是为了降低认定层的检查风险。应该看到,新审计风险模型与原审计风险模型相比有显著的理论进步,对CPA的要求更高、更严、更细。
二、计算机辅助审计下的审计风险分析
所谓计算机辅助审计风险,就是指审计人员利用计算机辅助审计技术对运用了信息技术的被审计单位进行审计,当被审计单位的财务报表未能公允揭示被审计单位财务状况、经营成果和现金流量情况,审计人员发布的不恰当审计意见的可能性。本文按照现代风险导向下的新的审计风险模型,就从重大错报风险和检查风险两个方面来尝试进行分析。
1、计算机辅助审计中的重大错报风险分析
现代风险导向模式下的重大错报风险是指被审计单位财务报表审计前存在重大错报的可能性。这种可能性来自于两个层面:一是财务报表整体层次,二是交易、账户和列报与披露的认定层次。这样,我们可以认为计算机辅助审计下的重大错报风险受两方面因素的影响:一方面是信息系统对企业财务报表总体层次的影响,另一方面是信息系统对产生财务报表的认定层次的影响。
信息系统固然能提高企业财务处理的效率,但是它自身的一些特性却会产生新的经营风险或增加管理层舞弊的可能性。其主要原因是:第一,电子数据的“无形”特性使得记录在存储介质上的数据相对于纸质信息更加容易被滥用、篡改、丢失或破坏。这就使得企业的经营过程中风险增大,管理层通过信息系统舞弊的可行^生和可能新更大,使得总体层次的错报风险增加。第二,电子数据的存储集中程度高,数据处理速度快。
因为数据高度集中的存储和快速的处理对错误或疏忽造成的损失产生了放大作用,一旦出现问题极易造成巨大的损失。这也会在一定程度上增加经营风险,从而增大了财务报表总体层次的错报风险。第三,信息化系统中软件及硬件自身的所存在的风险也会随着信息技术的运用而成经营风险的一部分,此外信息化的会计核算环境为凭借计算机手段的非法接入提供了可能。所以总体层次和认定层次的经营风险都会因此而有所增加。第四,信息化环境下的权限控制问题。在手工环境下,职责分离授权、批准是最常用的内部控制手段。
虽然在信息化环境下仍然可以设置授权、批准功能,但是由于在信息化环境下的业务人员可以同过的盗用授权文件或口令,而是控制失效。增大了经营风险和管理层舞弊风险使得总体层次的重大错报风险增加。第五,信息完整性异常的情况导致的风险。信息完整性异常的表现常见的有以下两种:信息处理数据和业务传递资料的不一致,导致的管理层决策失误;信息修改功能引发的数据缺失。这些都会进一步加大认定层次的重大错报风险。
2、计算机辅助审计中的检查风险分析
通常的检查风险是指审计人员由于采取了不恰当的测试程序,未能发现已存在的重大(实质上)错误的风险。在计算机辅助审计的情况下检查风险的产生主要有以下原因:第一,由审计软件的应用产生的检查风险。信息技术的发展极大地加快了会计软件的更新换代,因而审计软件的更新速度与会计软件的适配程度,审计软件自身的完善程度和运行的稳定状况都会影响到审计计算分析正确性。第二,历史数据查找困难增加的检查风险。
由于信息系统使用的软件升级,平台迁移,导致了账套不能够兼容使得查找历史数据的难度增加,从而检查风险增大。第三,审计线索减少导致检查困难,从而引发的检查风险上升。信息化的被审计单位中很多传统环境下的一些传递环节所涉及的审计线索大大减少,或者甚至在经济业务发生后自动消失导致取证的难度加大,并由此产生检查风险。第四,审计信息资源浪费严重,导致的检查风险增加。在现有的审计实务中许多审计信息资料与数据储存在各审计人员的独立的电脑中,审
计信息资料没有有效地与局域网络进行链接,审计信息与数据不能互通或者说交流效率低下,导致检查风险增加。
三、计算机辅助审计风险的防范
1、降低计算机辅助审计中重大错报风险的措施
首先,制定针对重大错报风险的总体层次的错报风险防范措施。要对计算机辅助审计下总体层次的错报风险进行控制就要求审计人员能够与管理层进行积极、有效地沟通,在审计工作开展之前就应该对被审计单位的信息化程度和信息系统深入了解。对被审计单位的信息系统要详细了解是指对其使用的财务软件要熟悉它的版本、业务处理流程等;针对信息系统则要在可能发生舞弊的环节注意管理人员尤其是信息系统的管理人员有没有对信息系统或财务系统施加不良影响,从而便于开展对重大错报风险的评估工作。
如果被审计单位信息系统庞大,系统结构复杂,审计人员就应当考虑要先对被审计单位的信息系统做一个专门的IT审计,或者邀请计算机方面的人才以专家身份加入到审计团队中,以确保审计工作开展时计算机辅助审计对象系统的可靠性、稳定信和有效性。对管理层和整个信息系统我们需要关注和防范的就是系统的稳定性和可以信赖程度,以及对管理层在信息系统下舞弊风险的评估。此外,被审计单位信息系统自身的特性会对被审计单位的经营风险产生影响,所以当审计人员在考察被审计单位的信息系统时,同时也应当考虑使用该信息系统对企业的经营风险的影响。
其次,制定针对认定层次的错报风险防范措施。制定认定层次的错报风险防范措施可以从降低计算机辅助审计下的固有风险和控制风险两方面来着手。管理层对固有风险的认识和重视是降低固有风险的关键,因此为了降低被审计单位的固有风险,审计人员只有通过和被审计单位的管理层切实沟通,增强他们对计算机辅助审计下固有风险的认识。使管理层认识到在信息系统环境下固有风险仍然存在,信息系统的存在并不会使得固有风险消失,需要管理层给予足够重视。
要降低计算机辅助审计下的控制风险,审计人员要对被审计单位内部控制情况有所了解。同时要注意结合计算机辅助审计情况中内部控制的新特征,例如经济活动的中间记录可能会在交易完成之后就消失掉,这种情况我们称之为缺乏交易轨迹。除此之外职责分工的特殊性,同类处理的一致性都要纳入考虑,并在此基础上设计一套有针对性的审计检查程序。在观察被审计单位的业务活动和内部控制的运行情况之外,选择若干具有代表性的交易和事项来进行测试,争取有效地降低认定层次错报的风险。
2、降低计算机辅助审计中检查风险的措施
降低计算机辅助审计中的检查风险可以从宏观和微观两方面着手寻找应对措施。宏观上,首要措施是加强审计人员计算机知识的培训,提高审计人员计算机审计的专业胜任能力。因为计算机辅助审计知识专业性强,而且内容多,不能仅仅靠短期的突击学习达到熟练运用的效果。因此注册会计师的行业管理机构应制定相关规定强制每位注册会计师长期不懈地加强对计算机知识的学习和培训。另外,加强审计软件的建设是降低计算机辅助审计中检查风险的另一有效措施。
计算机辅助审计软件的审计要服务于审计实务,在开发和编制计算机辅助审计软件时除了要符合审计原理、准则外还要考虑审计人员的工作方式和工作习惯,更重要的是要注重与被审计单位信息系统的适配性和兼容性,要尽量减少因为软件问题引发的检查风险。
微观上来看,有效控制检查风险的水平关键在于合理设计和实施数据文件的实质性测试。审计人员在确定数据文件的实质性测试范围时要考虑:对被测试数据文件的选择;对抽取的样本量的选择。在设计数据文件实质性测试的时间时,审计人员应关注:数据文件的保留时间;系统变化的时间。随着信息系统的日益复杂化,数据文件保留的时间越来越短。要全面控制检查风险水平,被审计人员应在扎实掌握计算机辅助审计技术的基础上,合理运用高效的审计软件切实的做好实质性测试工作,降低检查风险。
有关有关计算机审计风险论文推荐:
4.浅谈审计风险论文
5.审计风险论文范文
7.内部审计风险论文