计算机审计风险范文1
一、计算机审计存在的风险
(一)具体审计目标扩展带来的风险。计算机审计,对被审计单位各种财务数据真实性、合法性、正确性的认定,就必然包含对其电子数据的载体(网络、信息系统及数据库)的安全性、可靠性的认定。具体审计目标扩展了,审计内容更加宽泛复杂,计算机信息系统的开放性、易被攻击性及网络活动的无痕型、网络交易的虚拟性,都使得计算机审计面临的不确定因素增多、风险加大。
(二)审计对象增加、范围扩大带来的审计风险。计算机审计增加了现行信息系统的审计和电子数据的审计,已突破传统财务审计的范围。以报表评价为主要目标的财务报表审计,因实时网络的存在,往往同业务审计、经营审计和管理审计密不可分。包罗万象的大审计,使审计风险来源增加。被审计单位网络、信息系统及数据库、应用软件的不稳定性,电子数据的易被改变、被复制和被消除性,以及信息系统目前难以实现直接查阅源程序等,必然带来新的审计风险要素。
(三)掌握计算机审计技能的人员不足带来的风险。计算机审计要求审计人员必须熟悉计算机信息系统运作、数据采集与分析、数据挖掘等技术与方法。能够面对海量的数据,寻找到审计线索突破口:随时根据被审计单位的数据接口特征,选择满足需要的数据采集软件类型,编制各种审计模块:针对采集的数据进行筛选、清理和分析,快速准确地找到并验证各种审计疑点。而现阶段,要使审计人员普遍具有较高的计算机审计能力,还需要一个过程。开展计算机审计,倘若人员没有足够的技能,将无从下手:仓促上机,无疑会带来检查风险的增加。
(四)审计准则缺失带来的审计风险。计算机信息技术环境下,对财政收支、财务收支审计,不能仅以出具的纸质资料为依据,还必须对其生成的信息系统及数据库和财务软件的可靠性、电子数据的准确性等进行鉴证,否则,就会形成假数真审。所以非常需要制定新的审计准则,有针对性对计算机审计工作做出全面系统的补充。而眼下。用现行审计准则中界定的具体审计目标,来指导计算机审计就显得比较狭窄,无法涵盖全部待审内容,包括与被审计单位计算机广泛应用不相协调的内部控制,也就无法用其分析审计风险的确切来源。审计准则的缺失会使审计工作失去权威标准,审计风险自然加大。
二、控制计算机审计风险的对策
(一)掌握被审计单位对计算机信息系统的控制情况,制订完整、详细、合理的审计方案。编制审计实施方案的重要部分就是审计重要性水平的确定和可以接受审计风险的评估。计算机审计尤其要通过检查、查询、观察等方法对被审计单位基本情况和计算机信息系统的运行状况、内部控制进行调查。除了了解常规审计中被审计单位业务性质、组织结构、管理者的内部控制、管理措施、以前年度审计情况等外,重点通过与被审计单位有关业务、计算机及管理人员座谈,交流沟通,索取和分析文档资料,对其计算机信息系统硬件设备、系统软件、应用软件、经营管理工作、战略需求与规划等进行审计调查,了解财务系统、业务系统的安全性,确定计算机信息系统层和电子数据层的重要性水平,分析和初步评价可接受的审计风险、审计执行阶段的风险控制责任的落实,编写能够符合被审计单位实际的、全面的审计方案,并分解好审计工作,使各个审计岗位职责明确。
(二)抓住影响财务信息质量的根源,开展计算机信息系统安全性、内部控制符合性测试。审计实施中,要着眼于控制源头,深入分析系统运行、内部控制,评估控制风险要素规模,确定可接受检查风险的大小、计算机审计的重点与范围,符合性测试,需要手工测试与计算机测试相结合。运用询问调查、实地考察方法,检查被审计单位软件文档、程序流程图、编码、运行记录与结果,软件系统中存在那些控制、在哪里控制、如何控制;以信息系统输入程序流程为重心,追踪检查若干业务处理全过程,验证系统关键控制功能在实际执行程序中是否恰当、有效。测试硬件系统设施、与其相连的外部网络之间设施是否安全,确保提供的信息不被泄露;计算机机房等外部设施是否能够保障硬件设备不受损害,足够支撑会计信息系统有效运转,以及移动存储介质是否安全、存放适宜。检测组织管理制度是否做到不相容职责相分离、实现获得安全的信息,针对不同系统故障或灾难是否各有应急处理措施和软硬件更新维护制度,能有效避免因技术落后带来的安全隐患,系统文档管理是否合理、规范、安全。要运用计算机测试软件系统,是否能够提供完整、正确,高效的电子数据,财务信息系统是否有缺陷、实际观察相关内部控制设计是否合理、运行是否正常。经过符合性测试,若系统安全性好、内控制度健全有效,可以减少实质性审查的范围和数量;反之,应扩大之。
计算机审计风险范文2
【关键词】计算机审计 审计风险 因素分析 防范对策
计算机审计是指审计人员以计算机为工具,对被审计单位会计信息系统运行的有效性、数据处理的合法性正确性、最终报表的真实性公允性进行审计的过程。计算机审计是会计电算化的必然要求,也是审计工作紧跟信息时代步伐的必然要求。勿庸置疑,计算机审计技术的应用必然会提高审计工作效率和质量,已有的实践的确向我们展示了其强大的功能和良好的应用前景。但不容忽视的是:计算机技术的复杂性极可能使审计风险复杂化。如何在充分发挥其优势的同时,有效地防范可能的风险?这是一个迫切需要解决的课题,本文力图对计算机审计风险进行分析和探讨,从而提出有意义的防范对策。
一、计算机审计风险的三大构成要素
计算机审计风险是指:由于审计人员未能正确合理地运用计算机审计技术对被审计单位计算机会计信息系统运行的有效性、数据处理的合法性正确性、最终报表的真实性公允性进行审计,从而对被审计单位含有重要错报或漏报的财务报表表示不恰当审计意见的风险。按照国际上通行的审计风险模型:审计风险=固有风险×控制风险×检查风险,计算机审计虽然在审计技术、审计方法等方面与传统审计有很大不同,但仍然可以认为是由以上三大要素构成,以下试对其进行因素分析:
(一)计算机审计的固有风险因素分析
计算机审计固有风险是指:假定未对计算机会计软硬件系统进行安全控制的情况下,系统发生运行失常或数据丢失、错误的风险。其特点包括:①它是由计算机软硬件系统所固有的特点决定的,其风险水平与系统硬件质量、软件稳定性及运行环境紧密相关,审计人员只能评估其风险水平,而无法对其实施控制和影响; ②它的影响因素是多方面的,需要从计算机技术的角度对其进行评判,且不可避免地带有一定主观性和复杂性,难于准确计量;③其风险水平一方面会因为会计业务计算机处理的实时性、正确性而降低,另一方面又可能因为计算机系统的复杂性而增加。
影响计算机审计固有风险的因素包括:①计算机硬件系统的运行环境,不恰当的运行环境,如在防火、防磁、电源等方面达不到要求,可能导致硬件系统运转失常;②计算机硬件系统故障,突然的硬件故障,可能令已完成的操作前功尽弃;③计算机软件系统质量,运行不稳定的软件系统,可能导致不正常中断或数据丢失;④磁性介质保存的会计资料较易被破坏、篡改或窃取,且往往不留痕迹,难以追查。⑤系统的网络连接,与互联网络连接的会计信息系统可能受到网络远程的恶意侵害。
(二)计算机审计的控制风险因素分析
计算机审计的控制风险是指:由于被审计单位内部计算机软硬件系统的应用、操作和管理规范等安全控制制度不够健全、有效,导致无法恰当地防止、发现和及时纠正会计信息系统可能出现的各种错误的风险。其特点包括:①它是由被审计单位有关安全控制制度不够健全、有效所引起的,属于内部控制的范畴,审计人员只能评估其风险水平而不能对其实施控制和影响;②对其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识,因而较为复杂且难以准确计量。
影响计算机审计控制风险的因素包括:①维护计算机软硬件系统的相关安全控制制度不够健全或未能完全贯彻执行;②对会计软件系统的应用测试不够严密,采纳了潜伏某些错误的不合格系统;③会计软件系统的设计存在内部控制考虑不足,包括:a.软件系统中职责权限划分不明,不相容职务没有严格分离, 缺乏相互制约机制,导致系统数据易遭篡改和操纵;b.软件系统数据控制设计不严密,如数据校验纠错措施不足,导致误将错误数据纳入系统;c.系统设计缺乏详细的日志记录,某些非法操作不留痕迹,审计线索丢失,导致对非法篡改数据的扼制力不足;d.软件系统设计中对系统运行故障的事后恢复措施考虑不足或数据备份方案设计不全面,导致数据保存不完整或前后不一致;e.系统没有预留审计接口,导致审计软件的自动运行及采集审计证据困难;④工作人员配备安排欠妥,电算化会计系统要求工作人员尤其是系统管理人员同时具备会计知识和计算机技术相关知识,如二者欠缺其一,必然增加操作管理失误的可能性;⑤系统管理人员对计算机病毒的安全防范意识及措施不足,增加了会计数据遭侵害甚至丢失的可能性;⑥防范网络远程侵害的措施不足,如未设立有效的防火墙、实时监控程序、数据加密程序、电子密钥系统等,无法有效防止网络黑客或敌意方对系统数据、程序的恶意攻击。
(三)计算机审计的检查风险因素分析
计算机审计的检查风险是指:被审计单位内部计算机软硬件系统的相关安全控制措施未能及时防止、发现和纠正会计信息系统出现的错误, 审计人员也未能合理地运用计算机审计的相关技术进行实质性测试以发现该错误的风险。其特点包括:①它是惟一可由审计人员自主确定和控制的风险;②借助计算机的高速处理能力,审计抽样样本将大量增加,抽样风险有望被有效降低,则计算机审计的检查风险将主要表现为非抽样风险;③其风险水平与审计人员的专业胜任能力密切相关。
计算机审计的检查风险既存在降低的趋势也存在增加的可能。其趋于降低是因为:①抽样样本的大量增加,扩大了审计覆盖面;②利用查询、搜索等计算机系统功能可以迅速获得所需信息,提高了取证效率;③只要导入审计软件的初始数据无误,则其后的计算、统计过程交由计算机高效完成,可以有效避免手工审计的某些低级错误。而其风险水平可能增加的原因在于:①它与审计人员运用计算机技术进行审计的能力密切相关,由于目前多数审计人员计算机知识不足,导致审计工作往往局限于对所生成的电子账簿的审查,而对于会计软件系统的设计及运行还无法做到实质性审查;②审计软件的开发应用还未形成较统一的标准,实践中的审计软件或自行开发或委托研制,可能潜伏某些缺陷;③由于审计软件与会计软件的开发商或开发时期不同,二者的系统数据格式可能不相兼容,这为审计软件的自动化应用带来了困难,数据格式转换过程中如发生转换错误或重复录入数据失误,都将直接带来检查风险。
二、计算机审计风险的防范对策
分析计算机审计风险的构成要素,是为了探求防范审计风险的有效对策,从而促进计算机审计技术的推广应用。如前文所述:审计风险=固有风险×控制风险×检查风险,审计人员惟一能够自主确定和控制的只有检查风险,至于固有风险和控制风险则只能对其进行评估。因此,对计算机审计风险的防范应同时从两方面入手:①提高评估计算机审计固有风险和控制风险水平的正确性,从而为符合性测试和实质性测试提供准确的依据;②降低计算机审计的检查风险。
(一)提高评估计算机审计固有风险和控制风险水平正确性的对策
为提高评估计算机审计固有风险和控制风险水平的正确性,应着重考察以下几个方面:1.考察被审计单位计算机硬件系统的运行环境,包括电源供应的稳定性、硬件运行的稳定性以及各项安全控制制度是否健全并是否得到有效贯彻。2.考察被审计单位对计算机软硬件系统的备份情况,包括是否进行了硬件、软件和数据的备份,备份方案是否全面。3.考察被审计单位的会计软件系统是否合格,各项功能设置是否安全可靠,其运行的稳定性及系统内部控制手段如何,包括:①数据处理、报表处理等过程的正确性合法性,是否遵照了相关会计准则、制度及法规;②软件内部控制的有效性,如职责权限是否划分明确,相互制约机制如何;③数据控制是否严密,是否包含了有效的数据校验和纠错措施;④系统能否提供详细的日志记录,以作为有效的审计线索。4.考察被审计单位会计人员的配备、分工及其权限制约的有效性。5.考察被审计单位会计信息系统防范计算机病毒及网络远程侵害的相关措施,如有无设立防火墙、有无必要监控措施等。
计算机审计风险范文3
一、计算机审计面临的风险
(一)内部控制风险。计算机系统中的内部控制风险是指会计电算化系统的内部控制不严密造成的风险。在手工记账条件下,内部财务的控制机制完全是人与人之间的互相监督和控制。实现会计电算化后,这种监督和控制主要表现为人和机器的双重控制,而且以对机器的控制为主。机器控制较之制度控制存在以下几种问题:一是缺少交易轨迹,计算机的指令操作,比手工提供的可见证据少得多。数据可能直接进入计算机系统而没有相应的支持凭证。如某些联机系统中,单个的批准数据输入的书面证据可能被其他计算机程序取代;二是同类交易处理的一致性。计算机处理一律以相同的指令处理类似的经济业务,因此,虽然与手工处理的抄写错误可消除,但程序错误通常导致错误地处理所有的业务;三是缺乏职责分工。许多在手工系统中由多人分工执行的控制程序,在计算机信息系统中都被集中起来。存取计算机程序、数据和信息处理的一个人可能处于执行不可分的多种职责的位置;四是在特定方面发生错误和舞弊行为的可能性较大。由于计算机信息系统的固有限制,在系统开发、维护和执行过程中人为错误的可能性大。在缺少适当控制时,被审单位内部人员未经授权存取或不留证据地改动数据和程序的可能性将提高。此外,由于处理会计信息的人员减少,同时也降低了发现错误和误差的可能性。由于以上这些内部控制风险,造成会计信息系统存在隐患,也加大了计算机审计的难度,促使计算机审计应对被审计单位会计信息系统及计算机系统环境的安全加以检验,并采取措施防范内部控制风险。
(二)文件记录风险。这种风险是指电磁性财务数据有被篡改的可能。在电算化系统中可人为篡改数据而不留痕迹。一是计算机审计是随着会计电算化的发展而产生的,在以往的手工会计核算系统中,从原始凭证到记账凭证,从记账到报表编制,每一步都有文字记载和经办人员签名,审计线索比较清晰。而在会计电算化信息系统中,由于数据存储介质的磁性化和数据处理过程的自动化,业务数据进入计算机系统之后,由计算机按程序自动生成会计报表,即使有篡改也不会留有痕迹,比起手工系统来,电算化系统中的审计线索更隐蔽、更容易引发经济犯罪;二是在电算化系统中,会计账簿是由系统自动登记的,用户能修改的数据主要在凭证和报表中。所谓数据文件的修改,是指对未登账的凭证以及报表数据的修改,已登账的凭证是不能修改。目前电算化系统中使用的会计软件对操作人员的每次操作都有记录,但这样的记录显得过于宽泛,使得有价值的线索隐蔽其中难以发现。由于传统审计追踪审查已不适用,审计入手点更多的是靠审计人员的经验和判断。文件记录风险的产生,使得审计工作加大了工作量,增加了审计成本;也使审计风险增加。
(三)系统安全风险。对系统安全的审计是计算机会计信息系统审计的重要内容,也是审计的难点。主要包括对系统开发和应用程序的功能进行审计测试。对系统开发的审计是事前审计,审计人员要参与系统分析、调试、运行与维护等。而对系统应用程序进行审计,一是要对嵌入应用程序中的控制措施进行测试,看其是否按设计要求运行中;二是通过检查程序运算和逻辑的正确性已达到实质性测试的目的。在财务会计软件中,是通过对系统使用人员的密码和授权设置以及进入系统的身份验证功能实现的。对这些功能的审计,可通过简单的测试得出结论。由于要确定所审计的会计信息系统的安全性需要审计人员有丰富的计算机知识,因而对审计人员的计算机专业性要求很高,这也是审计人员面临的挑战。由此也产生了判断系统安全是否准确地审计风险。
二、对策
(一)针对内部控制风险,审计人员在评价会计电算化系统固有风险和控制风险时,须考虑以下事项:一是被审计单位使用的计算机信息系统是自行开发的而非外部购买,使用者是否有能力改变数据和开发报告;二是一般控制影响财务应用系统的可靠性,其影响程度取决于具体应用的范围和风险水平,计算机信息系统记录内容的性质和范围影响系统环境的复杂性和其面临的固有风险。针对被审计单位的会计信息系统特点和固有或控制风险,应询问被审计单位的主要管理人员,查阅相关文件记录,审察被审计单位的业务活动及其运行情况,考虑以前年度审计过程中所了解的相关情况及其变化,并进行符合性测试。通过加强对与计算机系统相关的内部控制的审计来降低计算机审计中面临的控制风险。
(二)针对文件记录风险,审计人员应当检查会计信息系统是否具有识别错误的功能,对系统拒绝接受的错误数据,是否提供适当的控制措施,对系统拒绝接受的错误数据,是否提供适当的更正程序;复核输入、输出设计,查明是否留有审计线索并进行实质性测试。
计算机审计风险范文4
l、审计线索的缺乏性
在电算化会计信息系统中,原先审计所必须审查的大量书面资料都存储在磁性介质中,数据处理的全过程在计算机内运行,所需的审计线索除少数部分打印出来以外,绝大部分是审计人员不能直接看见的。虽然,管理部门从管理的角度出发,仍然保留一部分肉眼可见的审计线索,但这些有限的审计线索,无论在形式上还是在内容上都和手工系统情况下有很大不同。另外,电算化会计信息系统中的审计线索极易被销毁或修改,但又无明显痕迹,使审计发现错误的机会减少,难度增大。
2、审计内容、范围的广泛性
在对电算化会计信息系统的审计中,除了手工审计的内容外,还必须兼顾系统的开发和运行两个方面,包括系统开发各阶段的审查、系统应用程序的审查,如审查系统应用程序的处理功能是否符合会计制度和财经法纪的规定、能否正确完成各项业务的处理、程序控制是否恰当有效等。另外,除对电算化会计信息系统
进行事后审计、监督其合法性和正确性外,还提倡在系统的设计开发阶段,审计人员要对系统的开发进行事前和事中审计。审计内容、范围的广泛性要求审计人员具备相应的知识和技能,而现有很多审计人员并不具备,计算机审计风险也不可避免。
3、内部控制的巨大局限性
现代审计的一大特征就是以测试被审单位的内容控制为基础的抽样审计,内部控制制度的恰当和否直接影响会计信息的真实性和准确性。在手工会计系统中,内部控制主要从两个方面实施摘要:一是从组织形式上按财务部门经济业务的性质分为几个不同的职能组,并且各职能组的人员只负责某一特定的业务领域,也就是对工作人员进行适当的职责分离,各职能组之间互相牵制,不易出现错误和舞弊;二是在会计帐务处理组织程序上,除了要保证凭证、帐簿、报表按一定程序分由不同人员记录、编制外,还要做到帐帐核对,帐证核对、帐实核对、帐表核对,并保证其一致性。从而在很大程度上保证经济业务处理的合理性、合法性。但在电算化会计信息系统中,由于处理工具、信息载体、会计组织都发生了根本的变化,手工会计系统中原有的很多控制办法都已失去意义。电算化会计和手工会计相比,内部控制环境更复杂,甚至有些环境因素超过制度的有效控制能力;建立严格的内部控制的成本要高得多;对内部控制的评价更为困难。内部控制的更大局限性使计算机舞弊有机可乘,增加了计算机审计风险。 4、会计软件的大理想性
我国会计软件从无到有、从单一业务处理到集成业务处理、从会计核算走向会计管理,确实取得了巨大成就但也有不足,非凡是针对审计,表现在下面二个方面摘要:一是很多会计软件不具备双向查询功能。在对电算化会计信息系统的审计中,会计软件应答应审计人员按照凭证一明细帐(日记帐)一总帐一报表的顺序进行双向查询,同时还应答应分别对日记帐、明细帐、总帐的期初余额、本期发生额和期末余额进行双向查询。但是目前我国绝大多数的会计软件的查询设计都是单向的,可以实现如由总帐查询明细帐,由明细帐查询凭证等过程,但当需要反问查询时往往很困难。二是会计软件不预留审计测试通道。在审计过程中,审计人员为证实业务处理的实际过程。方法,往往需要进行测试,既虚拟一笔业务输入会计软件,检查其结果和预期结果是否相符。这种方法可以有效地验证核算过程是否和设计一致。但是假如审计人员不能及时消除这些测试的影响,就可能导致会计软件系统数据的混乱。恰当的解决方法是在软件设计时为以后的审计测试留下通道,既方便审计人员的随时测试,也不会造成对整个系统数据的影响。但遗憾的是,几乎所有的会计软件都没为审计测试预留通道。会计软件的欠理想性加大了计算机审计风险。
5、审计取证的动态性
在很多大中型企业中,电算化会计信息系统天天都要结算成本和利润,进行生产动态分析,以供管理人员进行决策参考。系统假如停止运行,会给企业带来巨大的损失。因此,对电算化会计信息系统的审计,往往是在系统运行过程中动态取证。审计人员一方面要及时完成审计任务,另一方面又要不防碍和干扰被审系统的正常运行,这给审计工作带来了一定的难度,也增加了计算机审计风险。
6、审计技术的复杂性
计算机审计风险范文5
一、风险的特征
(一)固有风险的特征
固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。具体表现为:
1、电子化会计数据存在被滥用、篡改和丢失的可能性。手工系统中,纸质介质上的信息易于辨认、追溯,而在计算机系统中,由于存贮介质的改变,一旦用户非法透过计算机系统的“防火墙”,极易破坏和修改电子数据,且不留蛛丝马迹。计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也会造成实际数据与电子账面数据不相符,增加了固有审计风险的可能性。
2、电子数据存在易于减少或消失审计线索的可能性。手工系统中,会计处理的每一步都有文字记录和经手人签名,审计线索清晰。但在计算机系统中,从原始数据的录入到报表的自动生成,几乎勿需人工干预,传统的审计线索不复存在,为审计师追查审计线索带来了极大困难。
3、原始数据的录入存在错漏的可能性。计算机系统下,大量的记账凭证仍靠人工录入,表面上机制账、证、表的相互平衡可能掩盖了人工录入的错漏。
(二)控制风险的特征
控制风险是指某一账户、交易类别或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。具体表现为:
1、有意或无意使设置权限密码实现职责分工的约束机制有失效的可能性。手工系统下,通过建立岗位责任中心达到内部控制的目的。在计算机系统下,一是通过划分操作员的责任范围,设置权限和密码实现人员分工;二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于权限设置的重叠或跨责任中心越权设置,使这一控制措施有可能形同虚设。
2、网络传输和数据存贮故障或软件的不完善,会计数据出现异常错误的可能性。手工系统下,这种可能性几乎不存在;而在计算机系统下,这种可能性难以通过有效的内控制度消除,必须靠先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的几率。就多数会计软件看,对数据录入的一致性和正确性控制,会计数据处理的安全性和连续性控制,软件设计还是比较缜密的。但对集成化程度较高的企业级管理软件,数据的共享性和一致性还不尽如人意。另外某些网络平台在实际应用中问题还是不少。
3、会计软件对现金和银行存款的收付业务缺乏实时有效的控制手段。对于企业内部发生的现金和银行存款收付业务,多数软件是通过人工填制记账凭证,从账务系统入口录入到电脑,部分软件虽通过出纳系统实时地录入,但可能与凭证数据不同步。对于银行存款的收付业务,不仅数据难以实时同步,而且存在双方数据不一致的可能性。
(三)检查风险的特征
检查风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报,而未能被实质性测试发现的可能性。具体表现为:
1、会计软件的更新换代,增加了历史文件难以提取的可能性。对账户或交易的重大实质性测试往往离不开企业的历史数据。由于软件版本的更新、平台的迁移,难以从往年账套里提取这些历史数据,迫使审计师不得不从浩如烟海的文档中收集整理历史数据。这不仅降低了审计效率,而且带来了更多的检查风险。
2、内部控制主要依赖软件本身,增加了难以全面检查测试的可能性。手工系统下,对内部控制的测试看得见、摸得着,而在计算机系统下,内部控制融会于软件之中,肉眼无法觉察。这就要求审计师有必要设计一些正常有效的业务数据和一些例外业务数据(不完整、无效的、不合理的、不合逻辑的),来检查测试软件的控制能力。由于多数审计师不是电脑专家,要在有限的审计时间里设计面面俱到的测试数据是不现实的。为此,笔者认为对软件本身的审计检查可纳入软件开发或评审之中,审计师在审计实务中,重点是测试数据的完整性以及操作权限的分配和应用情况。
二、降低审计风险的对策
(一)降低固有风险的对策
可以通过加强内外部安全机制、完善软件功能、必进数据录入技术,降低审计固有风险。
1、加强内外部安全控制机制,降低会计数据被滥用、篡改和丢失的可能性。首先是配备可靠的硬件设备,如增加防火墙设备,增加数据加密及路由加密设备,增加备份硬盘等。其次,获取后续支持软件,如会计软件版本更新支持、加密算法更新的支持等;再次,建立安全的运行环境,为会计系统建立一个相对开放且安全级别较高的专用局域网,合理设置多层加密关口和防火墙;最后是完善管理制度。
2、完善软件的设计,降低减少或消失审计线索的可能性。一是完善操作日记的设计,只有打印存档后才允许删除;二是设置强制备份,如跨期操作必须做备份;三是取消反过账、反结账功能,设计报表与账套数据的关联,并记录报表已打印的次数;四是非经授权不可擅自修改报表的取数公式等。
3、改进数据录入技术,降低数据录入错误的可能性。一是设计磁性单据,尽量采取扫描录入;二是对重要的原始凭证,利用多媒体技术扫描压缩存盘;三是使用自动转账功能,保持数据的正确完整。
(二)降低控制风险的对策
一般来说,控制措施包括制度控制和程序控制,这里主要就权限密码、降低数据异常错误和联网传输问题,谈一些具体措施。
1、分配设置责任中心和操作权限密码,降低约束机制失效的可能性。首先是系统管理员为不同岗位的会计人员设置不同的操作权限和口令;其次是经授权后的各用户应定期修改自己的密码;最后是严格控制跨责任中心设置操作权限。
2、提高网络通信效率和效果,降低软件出现异常错误的可能性。一是选取性能优良的网络操作平台和网络传输配套设备;二是选择基于优良数据库开发平台的会计软件;三是提高软件使用者的计算机应用水平。
3、建立企业与银行之间的网络连接,降低数据不一致的可能性。对企业内部的收付业务借助磁性单据扫描录入,依靠软件的智能化同步自动生成记账凭证;对与银行间的业务,建立广域网连接,实时传送,保证数据同步和一致。
(三)降低检查风险的对策
从被审计单位的角度看,应主动与审计师沟通,统一历史文件的存贮格式;从审计者的角度看,面对新的审计环境,应采取更有效的审计程序和审计方法。
计算机审计风险范文6
(一)医院计算机审计内容 审计是通过审查评价组织内部活动合法性、规范性,促进组织目标实现的一种有效的客观监督活动。医院的内部审计工作包括财务审计、经营审计和专项审计。财务审计,是对医院财务收支、资金运转、债务状况、经营损益等经济活动进行的计量和审查,以报表的形式上交领导,供其了解公司状况和决策之用,以促进经济活动的真实性与合法性。经营审计,是对医院的经济活动等经营业务的监督与评价,负责发现经营和审计中出现的问题并及时提出解决方案,以改善经营管理,提高工作效益。专项审计,即对医院大型设备购置、药品采购等专项业务的专门审计活动,从基础保障审计工作的管理,降低医院审计风险。
(二)医院计算机审计现状 随着信息化的普及和计算机技术的广泛应用,计算机网络系统在医院的运用越来越多,HIS系统也已成为审计现代化基础设施之一而被众多医院采用。传统的手工审计遭到冲击,审计环境发生了深刻的变化。(1)审计线索的变化。审计线索贯穿于整个审计工作,具体包括收集审计数据、审核经济业务、实现审计目标,是审计人员工作开展的依据。传统的审计工作通过书面记录的方式完成。在计算机环境下,数据的生成、传递和存储等方式都发生了巨大改变,需要依靠计算机的硬件和软件设备完成读取工作,在增大数据空间、提高效率的同时也加大了数据窜改、覆盖的风险和查找的难度。(2)内控制度的变化。内控制度是审计工作的控制管理。现代审计是建立在制度基础之上,严重依赖医院内部的控制制度。计算机环境的变化,也导致了审计控制环境、程序和系统的变化,控制风险和风险水平都需要重新评估。(3)审计技术的变化。传统审计一般采用审阅、核对、分析、比较、函证、盘点和面谈、系统文档审阅等方法和技术完成会计资料的审计。而现代信息化审计则运用计算机审计方法,主要有在线连续审计技术(如嵌入审计模块)、测试法、平行模拟法等。这些变化都不断冲击着传统审计工作,使医院审计在计算机环境下的风险加大。
(三)医院计算机审计发展趋势 计算机和信息化的发展,改变了传统的审计系统和结构,不断推动着审计和医院的体制制度改革,以适应时代的需要,与时俱进;同时,审计制度的改变也要求医院管理体制的变革,使其与计算机环境下的审计工作相适应。这种改变使医院审计愈来愈朝着信息化、科学化和现代化的方向发展,计算机的深入运用和科学管理模式成为医院工作的发展趋势。网络的普及也使各医院之间联系加强,一些医院也逐渐由单一实体向集团化经营方向发展。
二、医院计算机审计风险
(一)计算机审计风险的含义 审计风险,是指在审计活动中,因未能发现会计等工作中存在的问题发表了不准确的意见,使审计主体蒙受损失的可能性;计算机审计风险,是指在计算机运用普及的环境下,医院审计工作引进计算机管理而增加的计算机运用与管理风险,以及由此带来的审计主体的损失。目前,计算机审计风险主要是:审计对象的变化,审计意识却相对落后,审计手段和审计人员无法适应信息化需求,影响了计算机审计工作质量和效率;审计数据的存储与管理,现阶段大部分医院建立了HIS(Hospital Information System)管理系统,集中以前分散到各个部门的数据,然后由计算机进行统一控制和管理,原始数据的存储方式也由手工记录转变为电脑存储,档案管理形式由纸质改为磁介质,而审计人员计算机运用水平不高和计算机存在的数据窜改、遗漏、覆盖等问题都增加了审计风险;HIS软件在不断更新,使审计工作变化较大,难以有效实现数据管理的统一,存在以偏概全的风险,等等,这些都是计算机运用后医院审计工作所存在的风险。
(二)固有环境风险 固有环境风险是指传统手工审计中,会计电算化系统、计算机硬件等本身存在的漏洞及其所处的环境引起的风险,包括客观因素和主观因素风险。客观因素风险,即计算机的硬件和软件风险。计算机运用后,医院的数据主要存储在计算机硬件磁性材料上,材料的材质以及温度、湿度、灰尘、电压、震动等外部条件的影响,使其遭到损坏,导致审计数据的窜改、丢失等;HIS系统软件本身程序设计的漏洞以及更新换代速度较快,医院审计工作变动大,稳定性降低。主观因素风险,包括审计人员的计算机运用水平较低和系统控制人员出现的工作纰漏,造成数据记录和输出错误;某些不法分子进行黑客、病毒入侵而造成的数据丢失;HIS信息系统的建立与联合、医院数据库管理的系统化,使审计工作自身及其与其他部门的连接性和开放性增强,而造成的危害也更大,存在的风险更高。对于审计环境的固有风险,审计只能评估大小而无法控制。
(三)控制风险 计算机的运用使医院管理实现了信息化,但制度基础发生了改变,内部控制也发生了变化。医院计算机审计控制风险,是指信息系统本身存在的漏洞以及工作人员的水平不高、对系统的控制能力不强而造成的风险,主要包括对HIS系统的控制、人对计算机系统的监督和传统审计控制中的人对人的监督等;此外,计算机审计的控制风险还包括存在信息系统数据被篡改可能等影响因素。尽管实现计算机管理,但仍是由工作人员进行操作,在电算化系统和HIS信息系统中,对收费项目、收费金额、收费数量等数据的窜改更为容易,且不易察觉。医院对工作人员的管理和人对计算机系统的控制都较传统审计更为困难。
(四)检查风险 医院计算机审计检查风险,是指在审计工作检查中,审计人员未能及时发现有关违规违纪问题可能性的风险。审计人员的工作是依据审计准则进行的,但是在审计实务中,某些审计人员为寻求速度,没有严格按照准则规定的审计程序开展工作。例如,在工作开展前没有按照准则要求制定可行性审计方案;对经营中存在的风险缺乏预测和初步估计;审计人员积极性不高,对工作编制敷衍,格式内容等也没有达到准则的规范要求;计算机数据的准确性核查等,这些都可能影响审计报告的客观性和真实性,而缺乏这些工作的检查则会增加审计风险发生的可能性。
三、医院计算机审计风险产生的原因
(一)审计法律不健全 尽管国家已经出台了相关的审计和会计准则用于指导和规范审计工作,但是法律体系任然存在需要完善的地方。尤其是在经济持续快速发展和计算机普及的环境下,旧有的审计法律法规体系和准则体系已经不能及时反映和解决信息化审计中出现的问题,不能适应信息化环境,无法有效指导和规范医院审计的实践,审计的质量是否合格也有待进一步判断,加大了国家和医院审计工作的难度,信息化环境下医院审计风险加大。信息化本身是虚拟的环境,更新快,开放性强,这些都要求现阶段的法律法规的完善和信息化环境下审计机制的制定。
(二)审计工作的复杂性 审计工作的数据搜集、调查、整体和核实以及与此相关的工作作为一套完整体系,本身就十分复杂。目前,许多医院的财务收支真实性不强,提取费用和摊销费用不及时或不准确,固定资产的购进和报废不合规范等,都给审计工作造成了影响。在计算机运用后,信息数据通过电子介质存储,操作较手工审计更为复杂,舞弊行为更为隐秘,难以发觉;若不加审核,必然会影响报告的准确性,所以检查工作的难度也有所增加。随着国家医疗体制改革的深入,许多医院实行重组或兼并来调整资产结构以适应信息环境,其中就会涉及到国家、集体和个人的复杂利益关系。审计人员在工作中还要考虑此方面,如果未能准确的做出相应的职业判断,就有可能造成医院无形资产的流失,审计风险加大。
(三)信息化基础薄弱 目前,我国的信息系统审计工作还处于探索阶段,信息系统的建立与普及有待加强,专业审计的人才队伍力量薄弱,也缺少医院专业审计软件,信息化薄弱。信息化是在网络运用的基础上实现系统任务的完成,因而具有广泛性、虚拟性、实时性等特点,要求审计以HIS等信息系统为保障,以审计软件进行审计工作的运作。但是目前阶段,医院缺乏切实可行的信息系统,审计软件不匹配或运用不当,计算机审计风险增加,严重阻碍了审计的发展。审计软件有助于审计人员在信息化条件下开展审计工作,是提高审计效率与质量的有效工具。我国审计软件的开发设计起步相对较晚,且从事此工作的公司较少,在审计软件与财会软件、HIS的接口等问题上研究效果并不显著,导致医院的审计软件运用不充分,没有最大限度的发挥其作用;且医院缺乏与审计相配套的管理体制,管理信息化程度不高,限制了审计的信息化发展。
(四)审计人员计算机水平不高 计算机的广泛应用使医院审计不再满足于只会手工书面审计的工作人员,而是要求审计人员具备相当程度的计算机知识和运用水平。但是现阶段,医院审计人员素质参差不齐,专业知识和专业技能缺乏,且运用计算机进行审计的水平较低,数据的输入、判断和修改错误较多,往往出现审计结果与实际经营数据不相符合。此外,许多审计人员职业素质较低,尤其是医院工作人员应有的职业道德缺乏,在审计中不能客观公正完成数据存储分析、公正处理和评审审计项目,或的现象时有发生,造成审计风险。要求审计人员精通计算机知识并不现实,但是计算机依赖专家又会降低审计效率和审计准确度,所以在医院审计中,对审计人员的计算机水平要求不高,但是必须具备数据整合和制作表格等基础操作技术。
四、信息化环境下医院审计风险防范
(一)制定审计信息化法律法规 审计法律法规是审计工作的指导和规范,信息化环境下尤其要加强和完善审计法律准则的制定。现阶段,我国审计工作是根据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》和一些相关的审计准则展开的,在信息化环境下,审计部门要在原有法律准则的基础上增加信息化审计要求,进一步完善医院计算机审计程序。首先,在立法上,加强信息化审计法规的制定,规范医院内部审计工作程序,使审计工作人员和审计检查有法可依;其次,国家和医院机构要严格监管,保证法律法规的切实执行。在医院计算机实际审计工作中,审计人员要严格按照准则所规定的程序步骤开展工作,审计机关严格审计工作的管理和监督;在审计工作的底稿编制上,要先制定可行性方案,反映审计人员的专业判断过程和工作流程,详细记录医院审计工作。最后,要建立严格的审查制度,即指导医院的信息化审计工作,并对医院的审计工作规范与审计人员的职业素质进行监督,及时发现计算机审计中出现的新情况和新问题,要求各医院坚持依法审计,规范审计程序,时刻保持对审计风险必要的警惕性;对审计质量加以严格审查,保证医院工作的有序开展。国家要依据国情加强立法,创建和谐的计算机审计法制环境,推动法制部门对电子合同、电子签名、计算机犯罪等方面的立法工作,为医院信息化审计的合法性和规范性提供制度保障;在制定具体准则时,对计算机系统控制评价、审计人员职业素质等可能增加审计风险的部分有所偏重,以此来推动审计信息化法规的制定。
(二)健全医院审计机制 首先,要进行审前调查,即对医院的基础数据和系统进行调查和收集,包括系统开发状况、软硬件系统、业务流程等,获取必要和充分的信息,从而保证审计数据的完整;然后根据审前调查的内容制定切实可行的审计实施方案和审计方法。在系统控制上,还要建立信息化内控制度,加强数据系统管理。其次,要建立检查机制,及时有效地发现计算机审计工作中出现的问题,并及时寻找解决方案,降低审计风险;还可建立分级复核制度,即挑选一部分审计工作经验丰富、计算机审计运用技能较强的审计人员进行层层审核把关,规范计算机审计工作,提高审计底稿质量,保证和提高审计工作的整体质量。为减少数据篡改现象,应建立对电子数据的真实性、完整性负责的承诺制。在审计人员培养机制上,要将人才使用与干部培养,学历培养和实务培养、培养效果和工作奖惩以及内部培养和外部引进相结合,通过层层选拔和培训,提高审计部门、审计人员的计算机审计整体水平。
(三)开发HIS与审计软件 HIS是现阶段医院计算机审计常用的方法,也是未来一段时间内医院审计较为有效的应用系统,所以要加强HIS的开发和审查HIS的内部控制审计,通过检测样本数据法,将原始审计数据转换为标准格式,增强数据的可行性,然后按照要求进行核对、分析和综合归纳。重复测试法和模拟程序法在实际相互结合使用,实现HIS对各项业务处理的合法性、正确性和可追索性,减小HIS数据被篡改的可能性,有效达到审计目标。当一个HIS系统已经完成并投人使用后,要对它进行改进,审计人员应当积极参与HIS系统的开发、设计,在事前和事中都进行相应的审计工作,及早发现并改进审计中出现的问题。此外,还应加快专业审计软件的开发。专业审计软件是针对审计这一特定工作的内容与规范要求,将计算机系统特定化的软件,利用转换工具,更为有效的完成原始数据输入和输出,增强业务数据处理过程中的可见性,并可运用审计常用的工具盒数据资料,将计算机与审计工作有效结合,不仅提高了审计工作的效率,还使审计的独立性得到了有效保障。审计软件的运用有助于审计人员提高工作效率,有效完成大量数据的验算、筛选、分类及汇总等工作,并能按审计人员指定的标准查找记录,更能有效地控制和降低审计风险,所以要积极推动审计软件的更新换代,开发适合审计部门使用的通用审计软件和专业审计软件。
(四)提高审计人员专业水平 新的审计形势对医院审计人员提出了更高的职业素质要求,审计人员不仅要能够运用基本的计算机审计技术工具,还应充分关注数据得以产生的会计信息系统和业务管理信息系统;不仅要具备医疗、会计和审计等多方面的知识技能,而且要掌握电算会计和计算机运用管理方面的基本方法和技术,并能灵活运用;既要有专业背景,又要有把握国家和医院动态的宏观分析能力;还要求审计人员采用计算机审计方法进行审计工作,是一种复合型人才。因此,国家和医院对提高信息化环境下审计人员的素质责任重大,要加强审计人员计算和能力的培训,通过短期培训长期培训、基础培训和中高层培训,及时更新信息化和专业知识;同时要建立建立审计联合机制,即组建由审计人员、计算机专家、信息系统与电子商务专家构成的团队,结合各审计单位和医院部门,由专家对审计人员进行计算机知识技能的教授与培训,加强后续职业教育,激励审计人员学习业务和信息化知识,吸收经验提高计算机水平。其次,新的形势要求审计人员具备高的职业素质和道德素质增强防范计算机审计风险的意识,从而保证审计质量,规范我国审计工作和医院体制。
五、结论
审计法制的不健全,审计人员计算机运用和信息化基础的薄弱以及审计工作本身存在的复杂性,都使得医院审计工作存在着风险;随着科学技术的发展,计算机网络和现代管理技术得到广泛应用,医院计算机审计工作也将面临更多的风险和挑战。在信息化环境下,无论是审计的内控制度、审计工具,还是审计的重点、审计的覆盖面,相较于手工环境下的审计工作更具难度。现代信息技术的运用,数据的安全性、可靠性以及对医院审计人员的素质要求都有所提高。因此必须深化医疗体制的改革,制定和完善计算机审计标准和程序,防范和降低医院计算机审计工作的风险。
参考文献:
