
隨著計算機技術(shù)在審計領(lǐng)域的廣泛應(yīng)用和發(fā)展,教育系統(tǒng)計算機審計工作的效率和質(zhì)量得到了提高,但與此同時,計算機系統(tǒng)控制和技術(shù)的復(fù)雜性也加大了審計風(fēng)險。如何防范計算機審計風(fēng)險已成為當(dāng)前教育內(nèi)審迫切需要解決的問題。
一、計算機審計風(fēng)險的定義計算機審計風(fēng)險是指審計人員未能正確合理地運用計算計審計技術(shù)對被審計單位會計信息系統(tǒng)運行的有效性、數(shù)據(jù)處理的合法性正確性、最終報表的真實性公允性進行審計,從而對被審計單位含有重要錯報或漏報的財務(wù)報表表示不恰當(dāng)審計意見的風(fēng)險。傳統(tǒng)的審計風(fēng)險模型為:審計風(fēng)險=固有風(fēng)險×控制風(fēng)險×檢查風(fēng)險。2003年,國際審計和鑒證準(zhǔn)則委員會(IAASB)發(fā)布了新《審計風(fēng)險準(zhǔn)則》,將審計風(fēng)險模型重新描述為:審計風(fēng)險=重大錯報風(fēng)險×檢查風(fēng)險。計算機審計中的重大錯報風(fēng)險是指財務(wù)報表在計算機審計前存在重大錯報的可能性,計算機審計中的檢查風(fēng)險是指被審計單位計算機軟硬件系統(tǒng)存在錯誤,審計人員未能運用計算機審計技術(shù)發(fā)現(xiàn)該錯誤的風(fēng)險。
二、教育系統(tǒng)計算機審計風(fēng)險因素分析在教育系統(tǒng)計算機審計中,審計風(fēng)險可按照風(fēng)險度量模型的定義分成兩個部分來分析,如圖1所示:圖1 計算機審計風(fēng)險簡圖(一)重大錯報風(fēng)險重大錯報風(fēng)險是審計人員可以評估、認定但沒有辦法人為改變的風(fēng)險水平。在教育系統(tǒng)計算機審計中,教育內(nèi)審人員評估重大錯報風(fēng)險時,應(yīng)注意兩個方面的因素:1. 固有風(fēng)險因素教育系統(tǒng)計算機審計中的固有風(fēng)險因素是指在教育系統(tǒng)計算機審計中,不考慮計算機統(tǒng)內(nèi)部控制可靠性的情況下,因系統(tǒng)中存在的難以消除的各種因素導(dǎo)致計算機系統(tǒng)出錯、中斷或資源毀損等的風(fēng)險。固有風(fēng)險因素的特點是:第一、其風(fēng)險水平取決于信息技術(shù)發(fā)展水平及被審計單位采用的技術(shù)水平,可能會因計算機處理的實時性、正確性降低,也可能會因計算機系統(tǒng)的復(fù)雜性而增加;第二、固有風(fēng)險的產(chǎn)生與審計人員無關(guān)。它由計算機軟硬件系統(tǒng)所固有的特點決定,審計人員只能通過必要的審計流程來分析、判斷、評估風(fēng)險水平,無法對其實施控制和影響;第三、固有風(fēng)險具有多方面的影響因素,不可避免地帶有一定的主觀性和復(fù)雜性,難于準(zhǔn)確計量。影響教育系統(tǒng)計算機審計固有風(fēng)險的因素主要有以下幾方面:第一,計算機硬件系統(tǒng)的質(zhì)量和運行環(huán)境。若計算機硬件系統(tǒng)質(zhì)量不過關(guān),導(dǎo)致硬件系統(tǒng)故障,便會加大固有風(fēng)險水平。另外,若計算機硬件系統(tǒng)擺放的周邊環(huán)境如防水、防火、防磁、電源等方面達不到要求,可能導(dǎo)致計算機硬件系統(tǒng)運轉(zhuǎn)失常,進而加大審計的固有風(fēng)險。第二,計算機軟件系統(tǒng)的質(zhì)量。在審計過程中,若運行質(zhì)量不過關(guān)、不穩(wěn)定的軟件系統(tǒng),可能導(dǎo)致系統(tǒng)不正常中斷或數(shù)據(jù)丟失,加大固有風(fēng)險水平,降低審計工作效率。第三,電子數(shù)據(jù)的審計線索易于減少或消失。手工環(huán)境中,由于會計處理的每一個步驟都有文字記錄和相關(guān)人員簽字,審計線索較為清晰,但在計算機系統(tǒng)中,存儲介質(zhì)只記錄最終處理結(jié)果,忽略中間處理過程,傳統(tǒng)的審計線索不復(fù)存在,利用計算機技術(shù)難以實現(xiàn)如簽名等使審計線索證據(jù)化的操作,給審計人員追查審計線索帶來了困難,從而導(dǎo)致計算機審計固有風(fēng)險的加大。第四,原始數(shù)據(jù)的錄入和存儲。在原始數(shù)據(jù)錄入環(huán)節(jié),人員操作失誤或人員舞弊會造成實際數(shù)據(jù)和電子數(shù)據(jù)不符;磁性介質(zhì)保存的電子數(shù)據(jù)存在被盜竊、篡改和丟失的可能性,會計信息系統(tǒng)的網(wǎng)絡(luò)連接可能會收到網(wǎng)絡(luò)遠程的惡意侵害,如非法用戶通過竊取口令破壞修改電子數(shù)據(jù)往往不留痕跡。這些都影響計算機審計的固有風(fēng)險水平。2. 控制風(fēng)險因素教育系統(tǒng)計算機審計的控制風(fēng)險是指在教育系統(tǒng)計算機審計中,因內(nèi)部控制不能預(yù)防、檢測和糾正可能出現(xiàn)的各種錯誤的風(fēng)險??刂骑L(fēng)險因素的特點是:第一、控制風(fēng)險水平與被審計單位的內(nèi)控水平有關(guān)。如果被審計單位的內(nèi)控制度存在缺陷或不能有效工作,就會增加由于人為因素和技術(shù)缺陷等原因?qū)е碌南到y(tǒng)出錯或中斷的可能性。第二、控制風(fēng)險與內(nèi)審人員無關(guān)??刂骑L(fēng)險屬于內(nèi)部控制范疇,審計可以根據(jù)被審計單位相關(guān)部分內(nèi)部控制的健全性和有效性情況設(shè)定一定控制風(fēng)險的估計水平,但無法對其實施控制。第三、控制風(fēng)險水平的衡量涉及計算機系統(tǒng)管理知識,較為復(fù)雜,難以準(zhǔn)確計量。影響計算機審計控制風(fēng)險的因素主要包括:第一,計算機系統(tǒng)內(nèi)部控制是否得力。如:對軟件系統(tǒng)的應(yīng)用測試不嚴(yán)密,使用了隱藏錯誤的不合格系統(tǒng),會導(dǎo)致系統(tǒng)出錯;在計算機系統(tǒng)下,人員分工權(quán)限設(shè)置的重疊容易導(dǎo)致系統(tǒng)數(shù)據(jù)被篡改;對輸入數(shù)據(jù)的復(fù)核工作不到位或糾錯措施不得力,會導(dǎo)致數(shù)據(jù)輸入不準(zhǔn)確;計算機系統(tǒng)運行故障的恢復(fù)措施不及時會導(dǎo)致數(shù)據(jù)不完整等。這些都會導(dǎo)致計算機審計控制風(fēng)險的加大。第二,軟件是否完善。若計算機硬件、軟件平臺不夠先進或軟件本身不完善,也會增加異常和錯誤的概率。第三,人員配備是否合適。若計算機系統(tǒng)操作人員不懂得計算機技術(shù)相關(guān)知識或會計審計方面的知識,都會增加操作的失誤。第四,系統(tǒng)開發(fā)和維護是否完善。若系統(tǒng)開發(fā)過程中編入的應(yīng)用程序不符合會計準(zhǔn)則,或在系統(tǒng)日常維護中,維護人員惡意修改電子數(shù)據(jù),都會導(dǎo)致控制風(fēng)險的加大。第五,系統(tǒng)管理人員的安全防范意識及措施。若系統(tǒng)管理人員安全防范意識不強,防范系統(tǒng)被侵害的措施不足,將會增加電子數(shù)據(jù)遭受侵害或丟失的可能性,增加控制風(fēng)險。如:未設(shè)立有效的實時監(jiān)控程序、電子密鑰系統(tǒng)等來9范網(wǎng)絡(luò)遠程侵害,預(yù)防黑客的惡意攻擊等。(二)檢查風(fēng)險教育系統(tǒng)計算機審計的檢查風(fēng)險是指在教育系統(tǒng)計算機審計中,審計人員通過預(yù)定的審計流程未能發(fā)現(xiàn)各種錯誤的風(fēng)險。檢查風(fēng)險因素的特點是:第一、檢查風(fēng)險獨立存在于整個審計過程中,不受固有風(fēng)險和控制風(fēng)險的影響;第二、檢查風(fēng)險是唯一可由審計人員自主控制的風(fēng)險;第三、檢查風(fēng)險與審計人員的工作直接相關(guān),其實際水平與審計人員的專業(yè)勝任能力有關(guān),直接影響最終的審計風(fēng)險。第四、計算機審計中的檢查風(fēng)險主要表現(xiàn)為非抽樣風(fēng)險。影響計算機審計檢查風(fēng)險的因素主要包括:第一,計算機審計標(biāo)準(zhǔn)和準(zhǔn)則的完善程度。審計標(biāo)準(zhǔn)和準(zhǔn)則是審計人員判斷是非的標(biāo)準(zhǔn),其完善程度直接影響審計檢查風(fēng)險的大小。
目前,我國與計算機審計有關(guān)的標(biāo)準(zhǔn)和準(zhǔn)則有:1996年審計署發(fā)布的《審計機關(guān)計算機輔助審計辦法》,1999年中國獨立審計具體準(zhǔn)則第20號《計算機信息系統(tǒng)環(huán)境下的審計》。隨著網(wǎng)絡(luò)化的不斷升級,審計面對的情況日趨復(fù)雜,現(xiàn)有的審計標(biāo)準(zhǔn)和準(zhǔn)則的細化程度已不能滿足當(dāng)前計算機審計發(fā)展的需要,容易帶來檢查風(fēng)險。第二,會計軟件的更新、平臺遷移。一方面,由于對重要交易的實質(zhì)性測試離不開歷史數(shù)據(jù),因此,軟件的更換和平臺的遷移會導(dǎo)致難以從往年帳套提取歷史數(shù)據(jù),增加檢查風(fēng)險。另一方面,會計軟件不斷升級,而審計軟件的升級相對滯后,也影響審計質(zhì)量和效率,帶來審計檢查風(fēng)險。第三,審計客體的配合程度。在計算機審計中,審計人員能否獲得充足準(zhǔn)確的審計證據(jù)跟被審計單位提供的信息系統(tǒng)的輸出信息是否全面有著很大關(guān)系。若被審計單位將不愿接受審計的部分信息隱藏,計算機審計人員的審計證據(jù)獲取不充足,便會影響審計判斷和結(jié)論的準(zhǔn)確性,加大檢查風(fēng)險。第四,計算機審計方法是否恰當(dāng)。在計算機審計中,由于被審計單位采用的會計軟件多樣,在功能和程序上會有一定差別,要求運用的審計方法也不同,這就增加了審計工作的復(fù)雜性。如果審計人員在審計過程中采用的審計方法不當(dāng),就不能獲取充分、合理的審計證據(jù),難以確保審計結(jié)論的科學(xué)性和準(zhǔn)確性,導(dǎo)致檢查風(fēng)險的加大。第五,計算機審計人員的素質(zhì)。審計人員是審計的主體,其素質(zhì)的高低與審計風(fēng)險的大小直接相關(guān)。計算機審計人員的素質(zhì)越強,檢查風(fēng)險降低的可能性越大,反之越小。信息系統(tǒng)審計對審計人員的素質(zhì)要求很高,不僅要有較高的道德素質(zhì),還要有較高的業(yè)務(wù)素質(zhì),不僅要有一定的會計、審計專業(yè)知識,還要具有一定的計算機審計知識和實踐操作技能。若審計人員在工作中業(yè)務(wù)能力缺乏,態(tài)度不認真,缺乏責(zé)任心,未收集充分的審計證據(jù),審計質(zhì)量必定大打折扣,增加檢查風(fēng)險,如:在對計算機信息系統(tǒng)內(nèi)部控制的測試中,由于計算機內(nèi)部控制融于軟件之中,若審計人員計算機專業(yè)知識和實踐操作能力不夠,不能設(shè)計出完善的測試數(shù)據(jù),就會增加實質(zhì)性測試的難度,加大檢查風(fēng)險。
三、教育系統(tǒng)計算機審計風(fēng)險具體防范措施(一)完善計算機審計標(biāo)準(zhǔn)和準(zhǔn)則,提供法制依據(jù)近年來,電算化信息系統(tǒng)發(fā)展迅速,現(xiàn)有的計算機審計標(biāo)準(zhǔn)和準(zhǔn)則必須進一步完善才能更好地適應(yīng)計算機審計發(fā)展的需要。教育系統(tǒng)內(nèi)部審計機構(gòu)應(yīng)進一步加強對教育系統(tǒng)計算機審計實踐的分析研究,總結(jié)審計工作中遇到的新情況新問題,為有關(guān)部門制定標(biāo)準(zhǔn)準(zhǔn)則提供參考依據(jù)。有關(guān)部門應(yīng)加強對計算機審計工作的研究,盡快制定出與新情況相適應(yīng)的包括系統(tǒng)設(shè)計、開發(fā)、運行、維護等方面的計算機審計標(biāo)準(zhǔn),制定包括對計算機系統(tǒng)內(nèi)控評價、審計內(nèi)容、審計證據(jù)收集等方面的準(zhǔn)則,進一步規(guī)范指導(dǎo)審計工作,降低審計風(fēng)險。(二)構(gòu)建審計項目質(zhì)量控制體系,強化項目管理質(zhì)量是審計工作的生命,審計質(zhì)量提高了,審計風(fēng)險必然降低。根據(jù)以往南京市教育系統(tǒng)計算機審計工作實踐,筆者認為可通過構(gòu)建如圖2分層控制的計算機審計項目質(zhì)量控制體系10內(nèi)審信息化來強化審計項目管理,達到控制或降低審計風(fēng)險的目的,即在制定好年度計算機審計項目計劃的基礎(chǔ)上,從計算機審計項目業(yè)務(wù)過程的各個環(huán)節(jié)入手,抓住審計準(zhǔn)備階段、實施階段和終結(jié)階段的關(guān)鍵點,落實好質(zhì)量控制責(zé)任,制定有效質(zhì)量控制措施,從而達到全方位控制審計項目質(zhì)量,降低審計風(fēng)險的目的。1. 審計準(zhǔn)備審計準(zhǔn)備以審前調(diào)查為基礎(chǔ),充分了解被審計單位的基本情況,大致確定被審計單位的風(fēng)險因素和總體風(fēng)險水平。可通過查閱資料、詢問有關(guān)人員等調(diào)查方式了解被審計單位的計算機應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和電子數(shù)據(jù)的有關(guān)情況、主要的業(yè)務(wù)流程、信息系統(tǒng)的內(nèi)部控制、財務(wù)人員、系統(tǒng)管理人員、操作人員和維護人員的職業(yè)操守情況等;在制定審計工作方案時,要考慮風(fēng)險因素,結(jié)合實際情況確定審計內(nèi)容、重點和人員分工,并認真復(fù)核審計工作方案,確保適用于實際審計項目。2. 審計實施審計實施階段可通過對系統(tǒng)審計和數(shù)據(jù)審計兩方面來進行,如果經(jīng)過對計算機系統(tǒng)的評估,得出系統(tǒng)可靠的結(jié)論,可直接進行數(shù)據(jù)審計。數(shù)據(jù)審計可通過基礎(chǔ)數(shù)據(jù)準(zhǔn)備、分析數(shù)據(jù)準(zhǔn)備和數(shù)據(jù)分析三大流程進行,其中,基礎(chǔ)數(shù)據(jù)準(zhǔn)備包括數(shù)據(jù)采集和數(shù)據(jù)轉(zhuǎn)換,分析數(shù)據(jù)準(zhǔn)備包括數(shù)據(jù)清理和整理、建立審計中間表等。在計算機審計中,要注意抓住數(shù)據(jù)審計流程的關(guān)鍵控制點,利用相關(guān)的技術(shù)方法在業(yè)務(wù)標(biāo)準(zhǔn)和目標(biāo)的規(guī)范下進行作業(yè),并對審計業(yè)務(wù)活動按照標(biāo)準(zhǔn)和目標(biāo)進行復(fù)核,及時糾正不符合業(yè)務(wù)標(biāo)準(zhǔn)和目標(biāo)的活動,以達到控制質(zhì)量降低風(fēng)險的目的。在數(shù)據(jù)審計過程中,應(yīng)交叉使用各種審計方法,降低因方法單一而誘發(fā)的審計風(fēng)險,在整個基礎(chǔ)數(shù)據(jù)準(zhǔn)備和分析數(shù)據(jù)準(zhǔn)備過程中必須貫穿進行數(shù)據(jù)驗證工作。如:在開展教育系統(tǒng)經(jīng)濟責(zé)任審計過程中,在計算機審計數(shù)據(jù)采集環(huán)節(jié),應(yīng)驗證數(shù)據(jù)的真實性和完整性,一可采取驗證數(shù)據(jù)庫創(chuàng)建日期的方法來查看被審計單位數(shù)據(jù)庫的創(chuàng)建日期是否與預(yù)計的相同或接近,若相差很大,則說明被審計單位提供的數(shù)據(jù)有可能不真實;二可通過查看數(shù)據(jù)庫中全部基本表所包含的數(shù)據(jù)行數(shù)是否與審計人員估算的行數(shù)圖2 計算機審計項目質(zhì)量控制體系11內(nèi)審信息化相同,判斷被審計單位所提供數(shù)據(jù)是不是原始的真實數(shù)據(jù);三審計人員在確定導(dǎo)出所需要的表中數(shù)據(jù)之前,可先在被審計單位的數(shù)據(jù)庫服務(wù)器上判斷一下其提供的數(shù)據(jù)表是基本表還是視圖,若是基本表還需驗證下表的創(chuàng)建日期。在計算機審計數(shù)據(jù)清理驗證環(huán)節(jié),一可通過采用金額核對法,計算核對清理前后的數(shù)據(jù)某些對應(yīng)指標(biāo)的金額,保證清理后的數(shù)據(jù)的準(zhǔn)確性,若在清理過程中進行了冗余記錄的刪除,要注意將刪除記錄的金額計入;二可通過采用記錄數(shù)驗證法,對比數(shù)據(jù)清理前后數(shù)據(jù)表的記錄條數(shù),檢查有無數(shù)據(jù)丟失,確保數(shù)據(jù)完整;三可通過采用借貸平衡法,驗算復(fù)式記賬規(guī)則產(chǎn)生的電子賬目的科目借貸方金額是否一致,以確保數(shù)據(jù)準(zhǔn)確。3. 審計終結(jié)審計終結(jié)階段由出具報告、項目歸檔和后續(xù)審計三個流程組成。在出具報告環(huán)節(jié),在審計報告送交被審計單位征求意見后,不得因被審計單位或個人對報告提出異議,未經(jīng)查實而隨便更改審計報告或工作底稿的內(nèi)容,否則就不能樹立審計權(quán)威;在項目歸檔環(huán)節(jié),教育內(nèi)審機構(gòu)要確定專門檔案保管人員,責(zé)任到人,及時將審計工作底稿、審計報告及相關(guān)資料規(guī)范歸檔,確保審計檔案完整;在后續(xù)審計環(huán)節(jié),在正式審計報告下達被審計單位后,教育內(nèi)審機構(gòu)應(yīng)對被審計單位審計意見實際執(zhí)行情況進行后續(xù)審計,檢查審計意見是否真正得到落實,督促被審計單位整改到位,確保審計的質(zhì)量和效果。(三)加強計算機審計隊伍建設(shè),提供人力保障第一,加強計算機審計人員配備。事業(yè)發(fā)展,人才是關(guān)鍵。教育系統(tǒng)內(nèi)審機構(gòu)應(yīng)注重加強計算機審計人員的配備,盡可能吸納兼?zhèn)鋾媽徲媽I(yè)知識和計算機技術(shù)知識的人員充實審計隊伍,改善人員知識結(jié)構(gòu),必要時可聘請專門的計算機專家參與審計項目,以確保計算機審計任務(wù)的高質(zhì)高效完成。第二,提高計算機審計風(fēng)險意識。提高計算機系統(tǒng)管理人員的風(fēng)險意識和安全防范意識,在計算機實際操作中,要設(shè)立有效的實時監(jiān)控程序、電子密鑰系統(tǒng)等安全防范措施來防范網(wǎng)絡(luò)遠程侵害,預(yù)防黑客的惡意攻擊等,以減少電子數(shù)據(jù)遭受侵害或丟失的可能性,減少計算機審計控制風(fēng)險;計算機審計人員應(yīng)進一步提高計算機審計風(fēng)險防范意識,保持應(yīng)有的職業(yè)謹(jǐn)慎,堅守審計職業(yè)道德,做到依法、客觀、盡責(zé),嚴(yán)謹(jǐn)細致、高質(zhì)高效,不斷打造計算機審計成果“精品”和“高端產(chǎn)品”。第三,提高計算機審計人員素質(zhì)。首先,在提高審計人員道德素質(zhì)方面,教育系統(tǒng)內(nèi)審機構(gòu)要加強對計算機審計人員的政治思想教育,大力弘揚“責(zé)任、忠誠、清廉、依法、獨立、奉獻”的審計人員核心價值觀,堅定正確的政治方向;計算機審計人員要及時了解國家法律法規(guī)政策,規(guī)范自身行為,嚴(yán)格履職,將審計職業(yè)操守內(nèi)化于心、外化于行,樹立良好的職業(yè)道德形象。其次,在提高審計人員業(yè)務(wù)素質(zhì)方面,教育系統(tǒng)及有關(guān)部門應(yīng)加大對審計人員的知識培訓(xùn)力度,可采取分層次培訓(xùn)的方式進行:第一層次是普及培訓(xùn),要求審計人員通過學(xué)習(xí)能掌握計算機系統(tǒng)的基本知識,第二層次是骨干培訓(xùn),培養(yǎng)出具有充分的計算機審計知識、熟練掌握電算化系統(tǒng)功能、應(yīng)用程序、網(wǎng)絡(luò)安全等技術(shù)方法,能幫助其他審計人員解決計算機審計難題的骨干人員;第三層次是專家培訓(xùn),從計算機骨干中選拔出更優(yōu)秀的人才,通過深層次的培訓(xùn)學(xué)習(xí),培養(yǎng)能進行計算機審計軟件開發(fā)、模型構(gòu)建、開拓計算機審計新技術(shù)新方法的專家型人才。(四)積極爭取被審計對象的支持,優(yōu)化審計環(huán)境教育系統(tǒng)計算機審計是手段不是目的,最終是為了加強教育財經(jīng)管理,促進教育事業(yè)永續(xù)發(fā)展。因此,教育系統(tǒng)內(nèi)審機構(gòu)要加強審計宣傳,提高被審計單位對計算機審計工作的認識,教育系統(tǒng)計算機審計人員要增強服務(wù)意識,以嚴(yán)謹(jǐn)扎實的工作作風(fēng)、高質(zhì)高效的審計成果、有效合理的審計建議來使被審計單位真正認識到內(nèi)部審計是自己的參謀和助手,從而進一步取得被審計單位的理解和支持,促使其更好地配合審計工作的開展,以減少審計風(fēng)險的發(fā)生。