[浅谈审计心理学——审计假设]我们知道,学科的分支是因为其研究对象的特殊性所产生的。审计的特殊性在哪里呢?笔者认为,审计的特殊性就在于对所审查对象持有怀疑,验证其经济活动是否真实。这就是审计的特殊性...+阅读
计算机信息系统环境下大大提高了会计信息处理的速度和准确性,从而提高了审计效率,使得全面审计成为可能。同时对手工环境下的会计信息处理和内部控制带来了变革,计算机审计在技术和方法的改变同时,也形成了新的审计风险。审计人员应当采取相应措施有效地化解这些风险,以更好发挥计算机审计的作用。
一、计算机审计面临的
风险
(一)内部控制风险。计算机系统中的内部控制风险是指会计电算化系统的内部控制不严密造成的风险。在手工记账条件下,内部财务的控制机制完全是人与人之间的互相监督和控制。实现会计电算化后,这种监督和控制主要表现为人和机器的双重控制,而且以对机器的控制为主。机器控制较之制度控制存在以下几种问题:一是缺少交易轨迹,计算机的指令操作,比手工提供的可见证据少得多。数据可能直接进入计算机系统而没有相应的支持凭证。如某些联机系统中,单个的批准数据输入的书面证据可能被其他计算机程序取代;二是同类交易处理的一致性。计算机处理一律以相同的指令处理类似的经济业务,因此,虽然与手工处理的抄写错误可消除,但程序错误通常导致错误地处理所有的业务;三是缺乏职责分工。许多在手工系统中由多人分工执行的控制程序,在计算机信息系统中都被集中起来。存取计算机程序、数据和信息处理的一个人可能处于执行不可分的多种职责的位置;四是在特定方面发生错误和舞弊行为的可能性较大。由于计算机信息系统的固有限制,在系统开发、维护和执行过程中人为错误的可能性大。在缺少适当控制时,被审单位内部人员未经授权存取或不留证据地改动数据和程序的可能性将提高。此外,由于处理会计信息的人员减少,同时也降低了发现错误和误差的可能性。由于以上这些内部控制风险,造成会计信息系统存在隐患,也加大了计算机审计的难度,促使计算机审计应对被审计单位会计信息系统及计算机系统环境的安全加以检验,并采取措施防范内部控制风险。
(二)文件记录风险。这种风险是指电磁性财务数据有被篡改的可能。在电算化系统中可人为篡改数据而不留痕迹。一是计算机审计是随着会计电算化的发展而产生的,在以往的手工会计核算系统中,从原始凭证到记账凭证,从记账到报表编制,每一步都有文字记载和经办人员签名,审计线索比较清晰。而在会计电算化信息系统中,由于数据存储介质的磁性化和数据处理过程的自动化,业务数据进入计算机系统之后,由计算机按程序自动生成会计报表,即使有篡改也不会留有痕迹,比起手工系统来,电算化系统中的审计线索更隐蔽、更容易引发经济犯罪;二是在电算化系统中,会计账簿是由系统自动登记的,用户能修改的数据主要在凭证和报表中。所谓数据文件的修改,是指对未登账的凭证以及报表数据的修改,已登账的凭证是不能修改。目前电算化系统中使用的会计软件对操作人员的每次操作都有记录,但这样的记录显得过于宽泛,使得有价值的线索隐蔽其中难以发现。由于传统审计追踪审查已不适用,审计入手点更多的是靠审计人员的经验和判断。文件记录风险的产生,使得审计工作加大了工作量,增加了审计成本;也使审计风险增加。
(三)系统安全风险。对系统安全的审计是计算机会计信息系统审计的重要内容,也是审计的难点。主要包括对系统开发和应用程序的功能进行审计测试。对系统开发的审计是事前审计,审计人员要参与系统分析、调试、运行与维护等。而对系统应用程序进行审计,一是要对嵌入应用程序中的控制措施进行测试,看其是否按设计要求运行中;二是通过检查程序运算和逻辑的正确性已达到实质性测试的目的。在财务会计软件中,是通过对系统使用人员的密码和授权设置以及进入系统的身份验证功能实现的。对这些功能的审计,可通过简单的测试得出结论。由于要确定所审计的会计信息系统的安全性需要审计人员有丰富的计算机知识,因而对审计人员的计算机专业性要求很高,这也是审计人员面临的挑战。由此也产生了判断系统安全是否准确地审计风险。
二、对策
(一)针对内部控制风险,审计人员在评价会计电算化系统固有风险和控制风险时,须考虑以下事项:一是被审计单位使用的计算机信息系统是自行开发的而非外部购买,使用者是否有能力改变数据和开发报告;二是一般控制影响财务应用系统的可靠性,其影响程度取决于具体应用的范围和风险水平,计算机信息系统记录内容的性质和范围影响系统环境的复杂性和其面临的固有风险。针对被审计单位的会计信息系统特点和固有或控制风险,应询问被审计单位的主要管理人员,查阅相关文件记录,审察被审计单位的业务活动及其运行情况,考虑以前年度审计过程中所了解的相关情况及其变化,并进行符合性测试。通过加强对与计算机系统相关的内部控制的审计来降低计算机审计中面临的控制风险。
(二)针对文件记录风险,审计人员应当检查会计信息系统是否具有识别错误的功能,对12全文查看系统拒绝接受的错误数据,是否提供适当的控制措施,对系统拒绝接受的错误数据,是否提供适当的更正程序;复核输入、输出设计,查明是否留有审计线索并进行实质性测试。
此外,审计人员通过程序对实际会计业务的处理进行监控,判别程序处理和控制功能是否按设计要求运行。例如,审计人员可以通过输入错误数据查看更正过程以确定输入控制是
否可靠;也可以通过被审计单位正常业务处理以外的时间里亲自或监督进行,将一批处理过的业务再处理一次,比较两次处理的结果,以确定程序是否被非法篡改、处理和控制功能是否恰当有效。
(三)针对系统安全风险,一方面要检查系统地开发是否可行与恰当,方法是否科学和合理;另一方面还要检查开发过程中是否产生了必要的审计线索,以及这些线索是否规范。对系统开发进行审计,对于保证计算会计信息系统运行以后的处理结果的合法性、正确性、完整性、内部控制的适当性、系统运行的效率,即事后审计的可审性,都具有重要的积极的意义。审计人员应当展开系统实施阶段审计,复核测试数据,查明其是否包括足以检查应有的处理及控制功能的各种类型业务数据。也可考虑自行设计一组测试数据,进行独立测试,检查是否规定由不同人员负责执行业务、输入、处理等工作;按业务处理流程,看其业务处理是否能顺查到原始凭证。在测试结束后,应就系统开发阶段的适当性、系统使用后能否按预期功能运行等方面向相关管理部门提出改进意见。
12全文查看
计算机信息系统环境下大大提高了会计信息处理的速度和准确性,从而提高了审计效率,使得全面审计成为可能。同时对手工环境下的会计信息处理和内部控制带来了变革,计算机审计在技术和方法的改变同时,也形成了新的审计风险。审计人员应当采取相应措施有效地化解这些风险,以更好发挥计算机审计的作用。
一、计算机审计面临的
风险
(一)内部控制风险。计算机系统中的内部控制风险是指会计电算化系统的内部控制不严密造成的风险。在手工记账条件下,内部财务的控制机制完全是人与人之间的互相监督和控制。实现会计电算化后,这种监督和控制主要表现为人和机器的双重控制,而且以对机器的控制为主。机器控制较之制度控制存在以下几种问题:一是缺少交易轨迹,计算机的指令操作,比手工提供的可见证据少得多。数据可能直接进入计算机系统而没有相应的支持凭证。如某些联机系统中,单个的批准数据输入的书面证据可能被其他计算机程序取代;二是同类交易处理的一致性。计算机处理一律以相同的指令处理类似的经济业务,因此,虽然与手工处理的抄写错误可消除,但程序错误通常导致错误地处理所有的业务;三是缺乏职责分工。许多在手工系统中由多人分工执行的控制程序,在计算机信息系统中都被集中起来。存取计算机程序、数据和信息处理的一个人可能处于执行不可分的多种职责的位置;四是在特定方面发生错误和舞弊行为的可能性较大。由于计算机信息系统的固有限制,在系统开发、维护和执行过程中人为错误的可能性大。在缺少适当控制时,被审单位内部人员未经授权存取或不留证据地改动数据和程序的可能性将提高。此外,由于处理会计信息的人员减少,同时也降低了发现错误和误差的可能性。由于以上这些内部控制风险,造成会计信息系统存在隐患,也加大了计算机审计的难度,促使计算机审计应对被审计单位会计信息系统及计算机系统环境的安全加以检验,并采取措施防范内部控制风险。
(二)文件记录风险。这种风险是指电磁性财务数据有被篡改的可能。在电算化系统中可人为篡改数据而不留痕迹。一是计算机审计是随着会计电算化的发展而产生的,在以往的手工会计核算系统中,从原始凭证到记账凭证,从记账到报表编制,每一步都有文字记载和经办人员签名,审计线索比较清晰。而在会计电算化信息系统中,由于数据存储介质的磁性化和数据处理过程的自动化,业务数据进入计算机系统之后,由计算机按程序自动生成会计报表,即使有篡改也不会留有痕迹,比起手工系统来,电算化系统中的审计线索更隐蔽、更容易引发经济犯罪;二是在电算化系统中,会计账簿是由系统自动登记的,用户能修改的数据主要在凭证和报表中。所谓数据文件的修改,是指对未登账的凭证以及报表数据的修改,已登账的凭证是不能修改。目前电算化系统中使用的会计软件对操作人员的每次操作都有记录,但这样的记录显得过于宽泛,使得有价值的线索隐蔽其中难以发现。由于传统审计追踪审查已不适用,审计入手点更多的是靠审计人员的经验和判断。文件记录风险的产生,使得审计工作加大了工作量,增加了审计成本;也使审计风险增加。
(三)系统安全风险。对系统安全的审计是计算机会计信息系统审计的重要内容,也是审计的难点。主要包括对系统开发和应用程序的功能进行审计测试。对系统开发的审计是事前审计,审计人员要参与系统分析、调试、运行与维护等。而对系统应用程序进行审计,一是要对嵌入应用程序中的控制措施进行测试,看其是否按设计要求运行中;二是通过检查程序运算和逻辑的正确性已达到实质性测试的目的。在财务会计软件中,是通过对系统使用人员的密码和授权设置以及进入系统的身份验证功能实现的。对这些功能的审计,可通过简单的测试得出结论。由于要确定所审计的会计信息系统的安全性需要审计人员有丰富的计算机知识,因而对审计人员的计算机专业性要求很高,这也是审计人员面临的挑战。由此也产生了判断系统安全是否准确地审计风险。
二、对策
(一)针对内部控制风险,审计人员在评价会计电算化系统固有风险和控制风险时,须考虑以下事项:一是被审计单位使用的计算机信息系统是自行开发的而非外部购买,使用者是否有能力改变数据和开发报告;二是一般控制影响财务应用系统的可靠性,其影响程度取决于具体应用的范围和风险水平,计算机信息系统记录内容的性质和范围影响系统环境的复杂性和其面临的固有风险。针对被审计单位的会计信息系统特点和固有或控制风险,应询问被审计单位的主要管理人员,查阅相关文件记录,审察被审计单位的业务活动及其运行情况,考虑以前年度审计过程中所了解的相关情况及其变化,并进行符合性测试。通过加强对与计算机系统相关的内部控制的审计来降低计算机审计中面临的控制风险。
(二)针对文件记录风险,审计人员应当检查会计信息系统是否具有识别错误的功能,对[]系统拒绝接受的错误数据,是否提供适当的控制措施,对系统拒绝接受的错误数据,是否提供适当的更正程序;复核输入、输出设计,查明是否留有审计线索并进行实质性测试。
此外,审计人员通过程序对实际会计业务的处理进行监控,判别程序处理和控制功能是否按设计要求运行。例如,审计人员可以通过输入错误数据查看更正过程以确定输入控制是
否可靠;也可以通过被审计单位正常业务处理以外的时间里亲自或监督进行,将一批处理过的业务再处理一次,比较两次处理的结果,以确定程序是否被非法篡改、处理和控制功能是否恰当有效。
(三)针对系统安全风险,一方面要检查系统地开发是否可行与恰当,方法是否科学和合理;另一方面还要检查开发过程中是否产生了必要的审计线索,以及这些线索是否规范。对系统开发进行审计,对于保证计算会计信息系统运行以后的处理结果的合法性、正确性、完整性、内部控制的适当性、系统运行的效率,即事后审计的可审性,都具有重要的积极的意义。审计人员应当展开系统实施阶段审计,复核测试数据,查明其是否包括足以检查应有的处理及控制功能的各种类型业务数据。也可考虑自行设计一组测试数据,进行独立测试,检查是否规定由不同人员负责执行业务、输入、处理等工作;按业务处理流程,看其业务处理是否能顺查到原始凭证。在测试结束后,应就系统开发阶段的适当性、系统使用后能否按预期功能运行等方面向相关管理部门提出改进意见。
延伸阅读:
浅谈保障我国粮食安全的几点对策浅谈保障我国粮食安全的几点对策 粮食安全,是个永恒的话题,尤其是对于我们这样一个拥有着庞大人口的国度,粮食安全问题有着比任何国家都重要的意义。2006年以来的全球粮食市场...
审计作风建设要“廉洁、文明、作为”三管齐下廉洁是基础,文明是保障,作为是关键,审计作风建设必须“廉洁、文明、作为”三管齐下,既有知名度,又有美誉度,才能适应民主法治建设不断深化,政务日益走向公开,政府工作必须接受群众评...
树立科学审计理念提升审计监督效能国家审计“免疫系统”论是科学发展观与我国最新审计实践相结合的产物,是国家审计本质理论的深化和最新发展。从国家审计“免疫系统”论的观点出发,基层审计机关要结合本部门、...
深入学习实践科学发展观推进新一轮审计事业大发展中央决定从2008年9月开始,用一年半左右时间,在全党分批开展深入学习实践科学发展观活动,这是一项意义深远、针对性很强的重大部署,是贯彻落实党的十七大精神,在新的历史起点上,以...
对国家审计是经济社会运行“免疫系统”的认识与思考刘家义审计长在去年全国审计工作会议结束时的总结讲话中首次提出,“现代国家审计是经济社会运行的一个免疫系统”的科学命题。国家审计是经济社会运行的“免疫系统”的论点是...
浅析审计工作中的谨慎原则对于任何一个行业来说,质量都是它的生命线。而对于审计,则尤其如此。提高审计质量,防范审计风险,充分发挥审计“免疫系统”功能,要求审计机关和审计人员在工作中必须坚持谨慎原则...
实践科学发展观促进畜牧业发展对策及建议一、我市畜牧业发展现状 畜牧业是支撑农村经济、对县城经济发展拉动力较强的重要产业。近年来,我市紧紧围绕牧民定居、饲草料地建设、牲畜品种改良、动物疫病防治等工作,按照...
试析提升审计机关公信力的基本路径国务院总理温家宝3月5日在十一届全国人大二次会议上作政府工作报告时说,“要紧紧围绕保增长、保民生、保稳定这个大局,加强政府自身建设。实行科学民主决策。各级政府都要强化...
详谈如何建设审计线索数据库2009年4月8日,笔者在审计署网站发表了《加强基础数据库建设 促进审计资源共享》一文,文中提到审计线索数据库的建设,但限于篇幅,并未做详细论述,现结合工作实际和参照目前部分审...
