计算机审计作为审计的一个分支,审计的目的和职能与传统审计相比没有本质区别,同样是执行经济监督的职能。随着计算机审计在审计环境、审计线索、审计对象和内容、审计技术和方法改变的同时,带来了新的审计风险。因此分析计算机审计风险的成因及其应对措施是当前审计人员必须深入研究的课题,但在审计内容、审计轨迹、审计技术等方面与传统的手工审计有很大的不同。
就计算机审计的定义而言,目前尚无定论。但一般认为,计算机审计包括两个方面的内容:一是审计人员对计算机会计信息系统进行的审计;二是审计人员利用计算机进行的审计。据此内容,我们可将计算机审计活动设定为:⑴审计人员利用手工审计方法和技术对计算机会计信息系统进行的审计,即绕过计算机审计;⑵审计人员利用计算机审计方法和技术对手工会计信息系统进行的审计,即利用计算机审计;⑶审计人员利用计算机审计方法和技术对计算机会计信息系统所进行的审计,即通过计算机审计。但从发展趋势来看,随着市场经济深入发展和经济业务的日益复杂,审计工作量的不断增加,绕过计算机审计和利用计算机审计将会变得越来越不适用,通过计算机审计必将是计算机审计发展的方向。据此,我们可以将计算机审计风险理解为:会计报表存在重大错报或漏报,而审计人员在利用计算机对被审单位计算机会计信息系统审计后发表不恰当审计意见的可能性。
一、计算机审计固有风险成因分析
固有风险是指假定不存在的相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。计算机的固有风险是计算机会计系统自身带来的风险,审计人员只能评估此风险而不能左右和控制,它的具体表现为:
1.信息化系统的安全保密性差。由于网络自身的一些缺陷,使得网络审计在安全性能上受到极大的挑战。一是人为篡改或破坏数据。在信息化环境下,数据的电子化并以磁性介质为主要存储载体,这使舞弊者或破坏者对数据进行非法修改和删除且不留下审计线索成为可能,这对保证数据的完整性、安全性提出了挑战,给审计监督带来了风险。二是病毒感染易使数据丢失。计算机易感染病毒的脆弱性使审计数据的丢失现象经常发生,从而使出现审计风险的可能性增大。三是黑客入侵导致信息泄露。网络的一大特点就是信息资源的共享性,即网络用户可以通过口令使用其他用户的信息资源。这使得一些计算机黑客为了获取重要的商业秘密,经常利用IP地址进行欺骗,攻击网络系统,进行目标系统的窃取或破坏数据。这使审计人员或审计组织的审计证据和审计结论在保密性方面效果较差。
2.会计电算化系统的多样性导致审计取证困难。目前会计电算化软件有几百种,这些软件基本上符合财政部颁发的《会计核算标准基本功能规范》。但其功能模块的划分、数据库文件的设置、数据处理系统的复杂性、文件记录和系统操作的非规范化,都增加了审计的难度。尤其是用户单位在选择会计电算化软件时,一要考虑保密程度要高,二要考虑自身管理的需要。这都限制了会计信息的透明度,使得内部审计人员在搜集审计证据时十分棘手,极大地增加了审计工作量。
3.会计电算化中审计软件的不完善。一是会计电算化中审计软件种类少。目前我国在审计软件的开发方面正处于起步阶段,各大软件公司在审计软件的研制与开发上投入的人力、物力和财力都很有限。二是审计软件和财务软件的数据接口标准未能得到很好的贯彻执行。中国软件协会财务及企业管理软件分会曾发布了中国财务软件数据接口标准98-001号,其目的就是为了有助于不同的财务软件之间的交流,便于相互之间的数据交换以及适应用户的特殊要求,为二次开发提供数据接口。但是由于种种原因该标准并没有得到很好的落实。各软件开发商以保护数据安全为借口,将数据进行层层保护,使得会计软件与审计软件的数据交换越来越难,这给审计软件的开发和审计工作带来极大的障碍。