论ＩＴ环境下的审计风险

2009-06-29潘姗姗张晓丹

合作经济与科技 2009年16期

潘姗姗　张晓丹

提要IT环境下的审计风险主要有来自信息载体、开放的网络技术、审计线索和审计证据、会计信息系统、审计人员知识构成等风险。其成因主要在于信息载体的变化、网络技术的开放性、审计线索的日益电子化与隐蔽性、会计信息系统自身的风险、审计对象的多元化。应当采取开辟独立控制区、加强企业内部控制、完善审计软件的设计、利用先进的审计技术、改变审计人员知识构成等措施加以防范和控制。

关键词：审计领域；审计风险；防范与控制

中图分类号：F239文献标识码：A

随着信息技术的不断发展，越来越多的企业实现了信息化，管理工作，特别是会计工作的计算机信息化，也使审计领域逐渐进行电子信息化。这一方面提高了审计工作的效率，另一方面也给审计工作带来了新的挑战和风险。

一、IT环境下的主要审计风险

审计是社会经济系统的一个子系统，信息技术的发展、IT技术的广泛运用，为其发展带来了契机，但与此同时，审计工作也将面临着来自信息技术的巨大风险。

（一）来自信息载体的风险。这一种风险是指在网络环境下，由于存储介质的改变，即由传统的纸质介质转变为以磁盘、磁带为介质，一旦有用户非法通过系统的防火墙，就极易造成数据的被篡改和窃取，并且不留任何痕迹。

（二）来自审计线索、审计证据的风险。这种风险是指在计算机系统中，从原始数据的录入到报表的自动生成，几乎不用人工干预，使得传统的审计线索不复存在，难以实现诸如签字、盖章等使信息证据化的操作，为审计师追查审计线索带来了极大困难。

（三）来自会计信息系统的风险。这是一种在计算机环境下特有的风险，它包括计算机软件运行、开发错误所带来的风险，计算机硬件毁损、丢失带来的风险，以及计算机操作人员行为失当带来的风险。

（四）审计人员知识构成的风险。在IT环境下，要求审计人员不仅要有丰富的会计、审计知识，还要具备深层次的计算机知识技能，否则，就会带来一定的风险。因而审计人员的知识构成成为新环境下加大审计风险的又一因素。

二、IT环境下审计风险的成因

（一）信息载体的变化。在网络环境下，经济业务的原始凭证电子化，并以磁介作为主要的存储载体，这样虽然减少了纸张处理工作，使企业的管理更有效率，但是会计数据存储于共享、集成的企业信息系统中，极其容易导致机密数据泄露，使舞弊者或攻击者对原始数据进行非法修改或删除，被不法分子拷贝，使不留痕迹的篡改成为可能。

（二）审计线索的日益电子化和隐蔽性。审计工作履行“经济警察”的职责，掌握充分的审计线索、审计证据不仅重要而且必须。但是，在IT环境下，计算机的使用改变了会计记录的存储与处理，主要表现在：原始凭证或记账凭证一经输入机内，就变为以文件形式存入机内的数据文件。随着信息化的发展，对于各业务子系统中自动生成的机制转账凭证，其数据的采集来源于机内分配结转后的记录；总分类账为文件所替代，明细分类账采用满页打印方式，因而导致两类数据之间的核对只能在机内进行。账簿登录时，是通过计算机登账程序自动进行的，其使用的是哪一种程序便难以判断。

（三）会计信息系统自身的风险。ERP环境下会计信息系统必须结合信息技术的特征和优势，围绕会计信息系统的目标体系，以信息技术为重要手段，从会计信息处理的路径、规则、角色等方面进行规划。会计信息系统自身的风险主要有以下几种：由于权限集中，使得数据极易被控制、操纵的风险；程序设计风险；固有的计算机硬件风险和软件风险等。

（四）审计对象的多元化。在信息技术环境下，由于审计对象的多元化，导致审计线索、内部控制、审计内容和审计技术的改变，出现了审计线索的隐秘性、审计证据的难获取性等新特点，要求审计人员必须是掌握多种技能的“多面手”。没有计算机知识或没有会计信息化知识的审计人员会因为审计线索的改变而无法对其进行追踪；也会因为不懂得会计信息化系统的特点、风险及内部控制程序而不能审查和评价其内部控制，尤其是其中的程序化控制情况；因为不能熟练运用计算机而无法对计算机系统的功能进行审查。

三、IT环境下审计风险的防范

（一）开辟独立控制区。开辟独立控制区，对数据实施后台打包管理，可以有效解决不法分子进入系统，非法篡改、窃取数据不留痕迹的问题。使审计人员可以有效地获取软件运行的历史轨迹，获取数据的第一手资料，包括原始数据、数据的更改状况、更改数据的操作人员信息等，以此推测数据更改的目的，判断是正常的数据更正还是数据篡改作假，从而降低审计风险。

（二）加强企业内部控制。加强企业内部控制有利于审计人员获得完整、真实的会计数据，从而降低开放的网络技术带来的审计风险。具体可以采取以下措施：第一，实行识别认证和访问控制技术。为了防止非法用户的入侵，可在因特网内部采用识别认证和访问控制技术。内部网的访问采用入网控制、目录级别安全控制、网络服务器的安全控制等技术；第二，设立防火墙，并在互联网与防火墙之间建立“中转网站”。在企业内部网与互联网之间设立防火墙，其作用在于使内部网与互联网互相隔离。在Internet与防火墙之间建立“中转网站”，并安装监测软件。它可以起到“中转站”的作用，无论是从Intranet一方还是从Internet一方访问会计数据时，均须在“中转站”上登陆。“中转站”是受控网站，当有登陆请求时可报警，这时Intranet的“值班”人员可以对请求者进行身份认证和服务内容审批，请求被批准后，请求者方能通过“中转站”。这样可大大提高系统的安全性，减少风险。

（三）完善审计软件的设计。研究和开发审计软件时，数据采集方面，特别需要专门从事数据采集的软件，以便更易访问被审计单位不同介质、不同编码、不同类型的数据库，从中采集审计所需的原始数据，从而在数据分析方面，面向特定的领域，开发新的分析工具。由于软件本身的错误或由于控制不当被非法篡取或窃取等原因造成的错误，要有审查机内数据文件、软件程序的类似反毒软件的计算机审计软件。软件开发时应征求审计人员的意见，由审计人员自始至终进行跟踪监控，以促进系统软件和网络系统的安全、可靠、稳定、合法。

（四）利用先进的审计技术。由于计算机的使用，使会计信息系统在许多方面发生了变化，审计人员再以传统的审计方法进行审计就难以达到预期的目的，因而审计工作必须借助新的技术和方法：（1）并行审计技术。在应用系统对经济业务进行处理的同时采集审计技术，变事后审计为事中审计，及时取得可靠证据，并针对应用系统运行过程中出现的异常问题，采取措施及时纠正，以防范风险；（2）审计经验数据集成技术。通过建立一个审计经验数据库来辅助进行审计的技术。审计经验数据库主要是收集大量的审计案例，采用多层次的结构（如树结构）来标记所收集的审计案例的属性值，描述审计案例。运用这种技术可以为审计人员积累丰富的审计技术经验，增强审计人员的风险意识，积累一定的识别、控制审计风险的经验。

（五）改变审计人员知识构成。针对审计人员知识构成的现状，一方面应该注重引进IT人才，将引进人才与自主培养结合起来，在重点培养复合型人才的同时，提高审计人员计算机应用的整体水平，通过层层选拔，引进一批高层次技术人才；另一方面还应该完善目前的审计人员从业资格考试的内容，将有关的计算机辅助审计基本技能的要求以及信息系统审计的一般知识（如对企业信息系统内部控制的评价）等作为考核的一个内容，以全面考察信息技术环境下审计人员的从业资格。

四、结束语

经济的发展引起了审计环境的巨大变迁，给审计工作提出了更高的目标和要求，也为审计的实践活动带来了新的审计风险。为了迎接这个挑战，减小审计风险，审计人员知识构成的改变、审计技术与方法的革新势在必行。

（作者单位：黄河水利职业技术学院）

主要参考文献：

[1]姚靠华，周岳婷.现代信息技术下的审计风险研究[J].中国管理信息化，2006.9.2.

[2]陈蕾，李爱华.网络环境下审计风险及防范[J].中国管理信息化（综合版），2006.9.5.

[3]王纯.信息系统审计风险与控制[J].企业经济，2006.8.

[4]刘建民，周咏梅.网络审计发展中的问题与建议[J].财会通讯（综合版），2005.5.

[5]孙丽红.网络审计的十四大变化[J].财会月刊（综合），2006.10.

[6]马烈.影响审计风险的宏观环境因素[J].合作经济与科技，2006.4.

[7]王晓茜.信息系统审计探析[J].财会通讯（综合版），2004.6.

[8]胡春元.审计风险研究[M].东北财经大学出版社，2002.