[摘要]在全球信息化進程日益加深的今天,信息技術的應用對企業會計核算模式產生了巨大的影響,計算機輔助審計作為信息化環境下的一種嶄新的審計方式應運而生。但是,信息技術的應用在給企業會計核算系統巨大便捷的同時,也帶來了新的風險;從而也相應地提高了計算機輔助審計的審計難度和審計風險。文章論述了計算機輔助審計下可能存在的一些風險并提出相應的防范措施。
[關鍵詞]計算機輔助審計 審計風險 防范
隨著信息技術和網絡通信技術應用范圍的不斷擴展,計算機對審計的影響越來越大。然而,計算機在給審計帶來方便、快捷、高效的同時,也帶來了新的審計風險。只有做好審計風險的防范,才能使計算機輔助審計工作得以順利地開展。
一、審計風險的主要研究模型分析
1、傳統審計風險模型分析
長期以來,審計職業界一直使用的審計風險模型是:審計風險=固有風險(IR)×控制風險(CIZ)×檢查風險(Dlk),并要求根據該模型來計劃和執行財務報表審計工作,以最終將審計風險降至可接受的低水平。該模型從理論上解決了注冊會計師以制度為基礎采用抽樣審計的隨意性,又解決了審計資源的分配問題,要求注冊會計師將審計資源分配到最容易導致財務報表出現重大錯報的領域。
從理論上看,該模型不存在明顯的不妥,但在長期的實務操作中卻面臨很大的問題和困難:第一,直接設定固有風險為100%。第二,評估控制風險不認真,有走過場的嫌疑,實務中控制風險(CR)評估為最高時只要求記結論,不記理由,問題很大。第三,原先將“了解被審計單位情況”和“風險評估與內部控制”單獨作為兩個準則,使了解被審計單位情況沒有跟風險評估有機結合,使了解沒有明確的目的性,不被重視。第四,原風險模型側重于指引認定層次的實質性審計測試工作,對財務報表層次重大錯報風險的評估和應對重視不夠,導致實質性測試沒有目的性、方向感和針對性,進而必然會影響對認定層次重大錯報的檢查效果。第五,沒有抓住財務報表審計工作的“關鍵點”。
2、現代風險導向審計下的新風險模型
由于傳統審計風險模型在識別、評估和應對重大錯報風險方面存在問題,國際準則以及我國審計相關準則都進行了修訂。原審計準則規定:審計風險倡導以客戶風險為導向,但實際未落實。新審計準則規定:以財務報表重大錯報風險為導向的審計,強調重大錯報風險評估和實質性程序并重。也就是說,新風險準則和風險模型以識別、評估和應對重大錯報風險為導向、以控制總審計風險至可接受低水平為目標的最新風險導向審計理念。
現代風險導向審計下的新風險模型為:審計風險=重大錯報風險(RMM)×檢查風險(DR)。其審計風險包括兩個層面,一是財務報表層次,二是交易、賬戶和列報與披露的認定層次。審計實務中,新審計風險模型下的風險評估包括三個階段:了解客戶及其環境包括內部控制,評估報表層的重大錯報風險和認定層的重大錯報風險;針對報表層重大錯報風險,制定“總體應對措施”;針對認定層重大錯報風險,展開“進一步審計程序”,具體包括:實施控制測試,再評估認定層的重大錯報風險;實施實質性程序,其目的是為了降低認定層的檢查風險。應該看到,新審計風險模型與原審計風險模型相比有顯著的理論進步,對CPA的要求更高、更嚴、更細。
二、計算機輔助審計下的審計風險分析
所謂計算機輔助審計風險,就是指審計人員利用計算機輔助審計技術對運用了信息技術的被審計單位進行審計,當被審計單位的財務報表未能公允揭示被審計單位財務狀況、經營成果和現金流量情況,審計人員發布的不恰當審計意見的可能性。本文按照現代風險導向下的新的審計風險模型,就從重大錯報風險和檢查風險兩個方面來嘗試進行分析。
1、計算機輔助審計中的重大錯報風險分析
現代風險導向模式下的重大錯報風險是指被審計單位財務報表審計前存在重大錯報的可能性。這種可能性來自于兩個層面:一是財務報表整體層次,二是交易、賬戶和列報與披露的認定層次。這樣,我們可以認為計算機輔助審計下的重大錯報風險受兩方面因素的影響:一方面是信息系統對企業財務報表總體層次的影響,另一方面是信息系統對產生財務報表的認定層次的影響。
信息系統固然能提高企業財務處理的效率,但是它自身的一些特性卻會產生新的經營風險或增加管理層舞弊的可能性。其主要原因是:第一,電子數據的“無形”特性使得記錄在存儲介質上的數據相對于紙質信息更加容易被濫用、篡改、丟失或破壞。這就使得企業的經營過程中風險增大,管理層通過信息系統舞弊的可行^生和可能新更大,使得總體層次的錯報風險增加。第二,電子數據的存儲集中程度高,數據處理速度快。因為數據高度集中的存儲和快速的處理對錯誤或疏忽造成的損失產生了放大作用,一旦出現問題極易造成巨大的損失。這也會在一定程度上增加經營風險,從而增大了財務報表總體層次的錯報風險。第三,信息化系統中軟件及硬件自身的所存在的風險也會隨著信息技術的運用而成經營風險的一部分,此外信息化的會計核算環境為憑借計算機手段的非法接入提供了可能。所以總體層次和認定層次的經營風險都會因此而有所增加。第四,信息化環境下的權限控制問題。在手工環境下,職責分離授權、批準是最常用的內部控制手段。雖然在信息化環境下仍然可以設置授權、批準功能,但是由于在信息化環境下的業務人員可以同過的盜用授權文件或口令,而是控制失效。增大了經營風險和管理層舞弊風險使得總體層次的重大錯報風險增加。第五,信息完整性異常的情況導致的風險。信息完整性異常的表現常見的有以下兩種:信息處理數據和業務傳遞資料的不一致,導致的管理層決策失誤;信息修改功能引發的數據缺失。這些都會進一步加大認定層次的重大錯報風險。 2、計算機輔助審計中的檢查風險分析
通常的檢查風險是指審計人員由于采取了不恰當的測試程序,未能發現已存在的重大(實質上)錯誤的風險。在計算機輔助審計的情況下檢查風險的產生主要有以下原因:第一,由審計軟件的應用產生的檢查風險。信息技術的發展極大地加快了會計軟件的更新換代,因而審計軟件的更新速度與會計軟件的適配程度,審計軟件自身的完善程度和運行的穩定狀況都會影響到審計計算分析正確性。第二,歷史數據查找困難增加的檢查風險。由于信息系統使用的軟件升級,平臺遷移,導致了賬套不能夠兼容使得查找歷史數據的難度增加,從而檢查風險增大。第三,審計線索減少導致檢查困難,從而引發的檢查風險上升。信息化的被審計單位中很多傳統環境下的一些傳遞環節所涉及的審計線索大大減少,或者甚至在經濟業務發生后自動消失導致取證的難度加大,并由此產生檢查風險。第四,審計信息資源浪費嚴重,導致的檢查風險增加。在現有的審計實務中許多審計信息資料與數據儲存在各審計人員的獨立的電腦中,審計信息資料沒有有效地與局域網絡進行鏈接,審計信息與數據不能互通或者說交流效率低下,導致檢查風險增加。
三、計算機輔助審計風險的防范
1、降低計算機輔助審計中重大錯報風險的措施
首先,制定針對重大錯報風險的總體層次的錯報風險防范措施。要對計算機輔助審計下總體層次的錯報風險進行控制就要求審計人員能夠與管理層進行積極、有效地溝通,在審計工作開展之前就應該對被審計單位的信息化程度和信息系統深入了解。對被審計單位的信息系統要詳細了解是指對其使用的財務軟件要熟悉它的版本、業務處理流程等;針對信息系統則要在可能發生舞弊的環節注意管理人員尤其是信息系統的管理人員有沒有對信息系統或財務系統施加不良影響,從而便于開展對重大錯報風險的評估工作。如果被審計單位信息系統龐大,系統結構復雜,審計人員就應當考慮要先對被審計單位的信息系統做一個專門的IT審計,或者邀請計算機方面的人才以專家身份加入到審計團隊中,以確保審計工作開展時計算機輔助審計對象系統的可靠性、穩定信和有效性。對管理層和整個信息系統我們需要關注和防范的就是系統的穩定性和可以信賴程度,以及對管理層在信息系統下舞弊風險的評估。此外,被審計單位信息系統自身的特性會對被審計單位的經營風險產生影響,所以當審計人員在考察被審計單位的信息系統時,同時也應當考慮使用該信息系統對企業的經營風險的影響。
其次,制定針對認定層次的錯報風險防范措施。制定認定層次的錯報風險防范措施可以從降低計算機輔助審計下的固有風險和控制風險兩方面來著手。管理層對固有風險的認識和重視是降低固有風險的關鍵,因此為了降低被審計單位的固有風險,審計人員只有通過和被審計單位的管理層切實溝通,增強他們對計算機輔助審計下固有風險的認識。使管理層認識到在信息系統環境下固有風險仍然存在,信息系統的存在并不會使得固有風險消失,需要管理層給予足夠重視。要降低計算機輔助審計下的控制風險,審計人員要對被審計單位內部控制情況有所了解。同時要注意結合計算機輔助審計情況中內部控制的新特征,例如經濟活動的中間記錄可能會在交易完成之后就消失掉,這種情況我們稱之為缺乏交易軌跡。除此之外職責分工的特殊性,同類處理的一致性都要納入考慮,并在此基礎上設計一套有針對性的審計檢查程序。在觀察被審計單位的業務活動和內部控制的運行情況之外,選擇若干具有代表性的交易和事項來進行測試,爭取有效地降低認定層次錯報的風險。
2、降低計算機輔助審計中檢查風險的措施
降低計算機輔助審計中的檢查風險可以從宏觀和微觀兩方面著手尋找應對措施。宏觀上,首要措施是加強審計人員計算機知識的培訓,提高審計人員計算機審計的專業勝任能力。因為計算機輔助審計知識專業性強,而且內容多,不能僅僅靠短期的突擊學習達到熟練運用的效果。因此注冊會計師的行業管理機構應制定相關規定強制每位注冊會計師長期不懈地加強對計算機知識的學習和培訓。另外,加強審計軟件的建設是降低計算機輔助審計中檢查風險的另一有效措施。計算機輔助審計軟件的審計要服務于審計實務,在開發和編制計算機輔助審計軟件時除了要符合審計原理、準則外還要考慮審計人員的工作方式和工作習慣,更重要的是要注重與被審計單位信息系統的適配性和兼容性,要盡量減少因為軟件問題引發的檢查風險。微觀上來看,有效控制檢查風險的水平關鍵在于合理設計和實施數據文件的實質性測試。審計人員在確定數據文件的實質性測試范圍時要考慮:對被測試數據文件的選擇;對抽取的樣本量的選擇。在設計數據文件實質性測試的時間時,審計人員應關注:數據文件的保留時間;系統變化的時間。隨著信息系統的日益復雜化,數據文件保留的時間越來越短。要全面控制檢查風險水平,被審計人員應在扎實掌握計算機輔助審計技術的基礎上,合理運用高效的審計軟件切實的做好實質性測試工作,降低檢查風險。
