信息化在风险导向审计中的问题探讨

2010-10-09深圳市光明新区审计局王玉冰

财经界(学术版) 2010年8期

深圳市光明新区审计局王玉冰

风险导向审计也称为风险基础审计。风险基础审计是指以被审计单位的风险评估为基础，综合分析评审影响被审计单位经济活动的各因素，并根据量化风险水平确定实施审计的范围和重点，进而进行实质性审查的一种审计方法。风险导向审计作为一种重要的审计理念和方法，是会计师事务所为应对日益增多的审计诉讼而产生的。它可以大大提高审计的工作效率。它把指导思想建立在“合理的职业怀疑假设”的基础之上，其特点是把风险评价和分析性复核的方法贯穿于整个审计过程之中，体现了现代审计的新思路。

社会发展已经进入到了信息化时代，这也给审计工作带来新的挑战。风险导向审计通过综合评价被审计单位的情况以及战略以确定审计测试的性质、时间和范围，审计的起点为被审计单位的情况以及战略。然而现代审计中的被审计对象无论是从跨国公司，还是国内的机关、企事业单位，均越来越普遍地采用电子技术进行经营管理；无论是原来单一的财务核算软件，还是如今大型企业所采用的ERP、SAP企业资源管理软件，都体现出信息技术在管理上的日趋普及。这就要求审计人员在知识结构和技术方法上能与之同步，才能全面掌握被审计单位可能存在的重大风险。本文主要针对信息化在风险导向审计中的几个问题作出探讨。

一、问题

问题一:网络时代给审计带来新的风险。

（一）电子数据被非法拷贝、篡改和删除。在网络环境中，数据的电子化并以磁介质为主要存储载体，这为舞弊者或攻击者对原始数据进行非法修改和删除，且不留篡改痕迹成为可能，这将无法保证数据的完整性和真实性，给审计监督带来了风险。

（二）审计线索减少或消失。主要有四种原因：一是运行间的断电和死机等故障；二是计算机病毒破坏；三是人为的毁损，四是程序处理错误或网络传输信息故障。

（三）黑客入侵和数据失窃。计算机黑客为了获取重要的商业秘密、数据资源，经常用IP地址欺骗攻击网络系统。黑客伪装为源自内部主机的一个外部站点，利用一定的技术进入目标系统窃取或破坏数据。

（四）权限职责分离不恰当引起内控失灵。在网络环境下，如果对数据维护、系统管理和数据输入、数据核对确认等岗位不作适当的分离，就会有人利用网络的弱点故意修改数据、舞弊或窃取秘密信息从中捞取利益。

问题二：目前企业的管理信息化的建设远远快于审计信息化的建设，这导致了大部分审计人员在进行审查时不能轻松的应对，依赖于被审计的单位的指导，不能独立审计，不易发现隐藏的问题。

（一）目前很多企业采用的ERP，SAP等专业管理软件，过程非常复杂，只有经过专门培训的操作人员才能了解最终数据的生产，很多审计人员必须依赖被审计单位人员的指导才能理解。被审计单位可能会利用这种漏洞，在关键过程上进行错误指导或者忽略，掩盖影响审计风险的重要问题。

（二）很多高级管理软件提供了数据处理的流程定制功能，各个企业可以按照自己的方法进行数据加工，甚至部分企业的管理软件是定制开发的。企业完全可以通过定制错误的流程，或者要求软件在开发的时候进行错误的计算，来掩盖真实财务状况。企业的原始财务数据，经过软件的加工呈现的结果不能完全表现实际的财务状况。企业在自己使用软件的时候可以通过特殊的方法来还原的得到真实的结果，而审计人员看到始终是对被审计单位有利的结果。

据美国斯坦福研究所的调查，美国计算机舞弊犯罪最高的一次就达到50亿美元。目前象ERP、SAP等管理系统主要通过流程控制，实现了绩效的动态监控；通过流程重组，实现了企业的管理变革；通过系统集成，实现了信息的实时共享；通过系统优化，实现了管理的持续改善。另一方面，企业的生产经营业务通过统一的系统平台进行处理后，以往肉眼可见的线索都被掩盖起来，企业及员工的工作习惯、思维方式、信息载体、控制手段和管理模式等都发生了根本变化。所有这一切，都向风险审计提出了新的更高要求，同时也需要通过加强风险导向审计来防范风险，防患于未然。

问题三：审计软件和方法的相对落后。

（一）功能简单不能适应灵活的审计需要。审计软件不可能完全替代人工审计，只能辅助审计，但辅助的内容和程度目前很难界定，通用审计软件的功能定位比较模糊。由于业务流程的多样性和复杂性，通用审计软件功能是否只能定位于辅助基本的财务审计？通用审计软件以适应内部审计为主还是以适应外部审计为主？这些都是困扰软件设计者的现实问题。目前的通用审计软件以简单的查账程序为主，主要是为定期的事后审计服务，无法提供灵活多变的审计方法，各种审计软件相互无法共享数据和审计工具，造成软件的有效性降低。

（二）难以适应开放式审计对象。在内部审计中使用计算机辅助审计相对外部审计比较容易实现，原因是内部审计人员对信息系统结构比较了解，也比较容易获得来源于内部管理信息系统工程师的配合。同时，审计软件对单一模式的信息系统数据结构也容易调整而自动获取审计数据。然而，对大多数国家审计、民间审计、大型集团内部审计等人员而言，他们面对的审计对象大多数是开放性的，各被审计对象使用的管理软件甚至会计软件五花八门，多种多样，采用的系统软件和数据库系统差别很大，即使审计软件提供了灵活的数据接口定义功能，其初始定义的工作量也非常庞大，反而影响审计效率。另外，被审计对象的系统结构经常处于变化调整之中，初始定义随时都可能需要修改。

（三）无法对信息系统程序进行符合性测试。现行的通用审计软件只能提供内部控制的符合性测试的计划编制、调查表设计和对测试结果的评价，还无法对信息系统程序进行符合测试，而对信息系统程序的正确性和数据安全性的测试是对信息系统内部控制评价中无法回避的重要环节。

问题四：审计人员利用信息技术的水平有待提高。

一方面，由于审计人员队伍的老龄化，部分审计人员虽然有丰富的财会、审计知识和经验，但由于历史、客观的原因使他们没有机会接触计算机软件，造成一些知识结构上的欠缺，他们还很难提出符合信息化规律的审计需求，将传统的审计技术方法转换为计算机可以操作的语言还需要有个磨合的过程。另一方面，年轻的审计人员虽然掌握一定的计算机知识，但由于非计算机专业毕业，仅掌握浅层次的计算机基础知识和运用技能，缺乏深层次的计算机系统设计、程序编译检测技能，还不能有效分析系统结构。因此要真正运用计算机软件，完成难度较大的实质性审计程序尚有难度，需依赖专业的计算机技术人员协助，造成审计人员独立性减弱。此外，由于培训时间短，技术掌握不熟练，在审计过程中，还没有将计算机审计真正应用起来。实际运用与软件设计的要求还有一定的差距。

目前审计中面临的尴尬局面是：1.效率低。信息化的特点是数据量大。企业的管理借助计算机，软件和网络技术，管理越来越细化，产生的数据量也与来越大。审计工作基本上停留手工对账，速度慢，容易错误。2.不能自主审计，需要依赖被设计单位的财务软件进行核查。对于企业的刻意舞弊行为很难发现。

二、对策思考

（一）建立健全网络审计的法律环境。作为一个经济服务领域，审计首先要充分利用和维护已有的法律体系来指导审计工作，以维护审计的客观公正性；其次，审计服务还要处处体现其独立性，因此迫切需要建立起规范网络审计的审计准则来规范审计行为。就新的审计准则而言，必须做到既有独创的一面，但又不能离开传统的一面，处理好继承和创新的关系。其独创性，主要表现在规范审计企业的网络信息系统为中心的一整套制度，这些制度具有新经济的网络特色；另外虽然网络审计与传统审计准则具有明显的区别，但其在审计独立性、客观公正以及审计的职业道德等方面仍然类似于传统审计，并且有时还离不开实地审计的参与，所以在制定网络审计准则方面可以适当的沿袭仍适用的传统审计准则。有了上述网络审计法律环境的保证，网络审计的运作将更加规范，更有保障。

（二）加强对网络系统的安全性和保密性进行审计。在传统的审计方式下，只进行财务方面的审计，而风险导向型审计，扩大了审计的范围，只要可能对审计结果进行影响的就需要进行审计，网络当然包括在其中。在网络中运行，信息的安全性即可靠性和保密性构成了审计的风险防范和控制的重点。首先对网络系统职责分离情况进行审查，遵循的原则仍为不相容职责必须分离，但侧重对数据的输入、输出，软件开发和维护及系统程序修改或管理等之间的关系处理进行审查；其次对被审计单位网络结构进行分析与评价，以确认防范黑客侵入的能力；再次对被审计单位的系统容错处理机制，安全管理体制和安全保密技术等作深入的了解，以评价其系统安全性的等级，从而有效地控制审计风险。

（三）提高审计人员的技术水平。

1.审计人员要有部分相应的IT技能。在网络环境下，由于审计环境、审计线索、安全控制、审计内容和技术的改变，要求审计人员不断更新知识和提升综合素质。为了在网络环境下更好地执行审计监督、鉴证和评价任务，审计人员不仅要掌握会计、审计、经济管理、法律等方面的知识，而且还要掌握计算机、网络信息系统、电子商务等方面的知识和技能。审计人员要了解网络环境经营和会计核算的特点与风险，要懂得如何审计计算机管理信息系统的功能和特点，要能够利用计算机网络进行审计。虽然网络审计要求审计人员具备较高的计算机网络水平，但并不是要求他们成为该领域的专家，因此在网络审计过程中，有必要的情况下，计算机网络和电子商务类人才也要参与其中。

2.加强对于机关、企事业单位的常用财务软件甚至管理软件的培训，能够全程判断被审计单位业务处理流程是否存在问题。审计机关应注重从多渠道对现有的审计人员进行培训，加快审计人员的知识更新，以适应会计信息化审计的要求。对审计专业人才的培养，既包括对审计人员计算机专业知识的培养和财务知识、审计知识的更新，也包括对计算机专业人员财务知识和审计知识的培养和计算机知识的更新，促进两者及早合二为一，真正适应信息化审计工作的需要。

3．对审计单位进行细分，合适的人员审查合适的单位。现代企业应用的管理软件种类非常繁多，审计人员了解被审计单位的深度和广度都是前所未有的，大到宏观环境、中到客户所处行业的整个产业链结构、小到一台机器的运作情况，都可能是风险评估和审计测试的范围，审计人员不再只关注与会计报表有关的内部控制，关注的是整个内部控制结构；不但要了解高管的背景，还要了解高管的不良嗜好。审计范围没有边界导致对审计人员的专业能力要求也没有边界，审计人员不可能精通所有的软件，但必须熟练掌握一些常用的分析工具，必须术业有专攻，必须分行业审计，然后根据被审计单位的情况分工合作。

（四）加强审计软件的开发。受利益驱动被审计单位往往不愿意积极配合审计单位进行工作，能进行隐瞒的就隐瞒。只有第三方开发的软件才能独立自主的进行问题发现和跟踪。这也需要在法律方面进行支持，要求财务软件提供原始的数据以便审计软件进行处理。审计软件的发展方向应该是会审一体化。会计支撑审计，审计制约会计。会审一体化不仅可以大幅度提供内部审计和社会审计的工作效率，加强企业的内部控制和风险防范能力，而且也是会计软件和审计软件向深层次开发的新的理念和发展方向。审计软件应该具有强大的工作底稿制作能力和查证功能，为审计人员节省时间；数据可传递，能自动生成和人工输入相结合，产生合并抵销分录；能自动产生勾稽无误的审计报告和会计报表附注；有灵活开放的系统，方便用户进行二次开发等特点。

（五）要加快数据库建设和联网审计研究，为推进计算机审计提供基础性保证。首先要加快建立审计统计资料、审计档案、审计专家经验、审计法规以及被审计单位资料、宏观经济数据等数据库，并不断更新和完善数据库内容，为审计实施提供有效支持。认真研究审计工作对经济类共享信息的需求，采取多种形式组织资源，以开拓审计人员视野，增强宏观意识，为开展效益审计、审计调查服务，为领导决策提供信息支持。