論ＩＴ環(huán)境下的審計(jì)風(fēng)險(xiǎn)

潘姍姍　張曉丹

提要IT環(huán)境下的審計(jì)風(fēng)險(xiǎn)主要有來(lái)自信息載體、開(kāi)放的網(wǎng)絡(luò)技術(shù)、審計(jì)線(xiàn)索和審計(jì)證據(jù)、會(huì)計(jì)信息系統(tǒng)、審計(jì)人員知識(shí)構(gòu)成等風(fēng)險(xiǎn)。其成因主要在于信息載體的變化、網(wǎng)絡(luò)技術(shù)的開(kāi)放性、審計(jì)線(xiàn)索的日益電子化與隱蔽性、會(huì)計(jì)信息系統(tǒng)自身的風(fēng)險(xiǎn)、審計(jì)對(duì)象的多元化。應(yīng)當(dāng)采取開(kāi)辟獨(dú)立控制區(qū)、加強(qiáng)企業(yè)內(nèi)部控制、完善審計(jì)軟件的設(shè)計(jì)、利用先進(jìn)的審計(jì)技術(shù)、改變審計(jì)人員知識(shí)構(gòu)成等措施加以防范和控制。

關(guān)鍵詞：審計(jì)領(lǐng)域；審計(jì)風(fēng)險(xiǎn)；防范與控制

中圖分類(lèi)號(hào)：F239文獻(xiàn)標(biāo)識(shí)碼：A

隨著信息技術(shù)的不斷發(fā)展，越來(lái)越多的企業(yè)實(shí)現(xiàn)了信息化，管理工作，特別是會(huì)計(jì)工作的計(jì)算機(jī)信息化，也使審計(jì)領(lǐng)域逐漸進(jìn)行電子信息化。這一方面提高了審計(jì)工作的效率，另一方面也給審計(jì)工作帶來(lái)了新的挑戰(zhàn)和風(fēng)險(xiǎn)。

一、IT環(huán)境下的主要審計(jì)風(fēng)險(xiǎn)

審計(jì)是社會(huì)經(jīng)濟(jì)系統(tǒng)的一個(gè)子系統(tǒng)，信息技術(shù)的發(fā)展、IT技術(shù)的廣泛運(yùn)用，為其發(fā)展帶來(lái)了契機(jī)，但與此同時(shí)，審計(jì)工作也將面臨著來(lái)自信息技術(shù)的巨大風(fēng)險(xiǎn)。

（一）來(lái)自信息載體的風(fēng)險(xiǎn)。這一種風(fēng)險(xiǎn)是指在網(wǎng)絡(luò)環(huán)境下，由于存儲(chǔ)介質(zhì)的改變，即由傳統(tǒng)的紙質(zhì)介質(zhì)轉(zhuǎn)變?yōu)橐源疟P(pán)、磁帶為介質(zhì)，一旦有用戶(hù)非法通過(guò)系統(tǒng)的防火墻，就極易造成數(shù)據(jù)的被篡改和竊取，并且不留任何痕跡。

（二）來(lái)自審計(jì)線(xiàn)索、審計(jì)證據(jù)的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)是指在計(jì)算機(jī)系統(tǒng)中，從原始數(shù)據(jù)的錄入到報(bào)表的自動(dòng)生成，幾乎不用人工干預(yù)，使得傳統(tǒng)的審計(jì)線(xiàn)索不復(fù)存在，難以實(shí)現(xiàn)諸如簽字、蓋章等使信息證據(jù)化的操作，為審計(jì)師追查審計(jì)線(xiàn)索帶來(lái)了極大困難。

（三）來(lái)自會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)。這是一種在計(jì)算機(jī)環(huán)境下特有的風(fēng)險(xiǎn)，它包括計(jì)算機(jī)軟件運(yùn)行、開(kāi)發(fā)錯(cuò)誤所帶來(lái)的風(fēng)險(xiǎn)，計(jì)算機(jī)硬件毀損、丟失帶來(lái)的風(fēng)險(xiǎn)，以及計(jì)算機(jī)操作人員行為失當(dāng)帶來(lái)的風(fēng)險(xiǎn)。

（四）審計(jì)人員知識(shí)構(gòu)成的風(fēng)險(xiǎn)。在IT環(huán)境下，要求審計(jì)人員不僅要有豐富的會(huì)計(jì)、審計(jì)知識(shí)，還要具備深層次的計(jì)算機(jī)知識(shí)技能，否則，就會(huì)帶來(lái)一定的風(fēng)險(xiǎn)。因而審計(jì)人員的知識(shí)構(gòu)成成為新環(huán)境下加大審計(jì)風(fēng)險(xiǎn)的又一因素。

二、IT環(huán)境下審計(jì)風(fēng)險(xiǎn)的成因

（一）信息載體的變化。在網(wǎng)絡(luò)環(huán)境下，經(jīng)濟(jì)業(yè)務(wù)的原始憑證電子化，并以磁介作為主要的存儲(chǔ)載體，這樣雖然減少了紙張?zhí)幚砉ぷ?，使企業(yè)的管理更有效率，但是會(huì)計(jì)數(shù)據(jù)存儲(chǔ)于共享、集成的企業(yè)信息系統(tǒng)中，極其容易導(dǎo)致機(jī)密數(shù)據(jù)泄露，使舞弊者或攻擊者對(duì)原始數(shù)據(jù)進(jìn)行非法修改或刪除，被不法分子拷貝，使不留痕跡的篡改成為可能。

（二）審計(jì)線(xiàn)索的日益電子化和隱蔽性。審計(jì)工作履行“經(jīng)濟(jì)警察”的職責(zé)，掌握充分的審計(jì)線(xiàn)索、審計(jì)證據(jù)不僅重要而且必須。但是，在IT環(huán)境下，計(jì)算機(jī)的使用改變了會(huì)計(jì)記錄的存儲(chǔ)與處理，主要表現(xiàn)在：原始憑證或記賬憑證一經(jīng)輸入機(jī)內(nèi)，就變?yōu)橐晕募问酱嫒霗C(jī)內(nèi)的數(shù)據(jù)文件。隨著信息化的發(fā)展，對(duì)于各業(yè)務(wù)子系統(tǒng)中自動(dòng)生成的機(jī)制轉(zhuǎn)賬憑證，其數(shù)據(jù)的采集來(lái)源于機(jī)內(nèi)分配結(jié)轉(zhuǎn)后的記錄；總分類(lèi)賬為文件所替代，明細(xì)分類(lèi)賬采用滿(mǎn)頁(yè)打印方式，因而導(dǎo)致兩類(lèi)數(shù)據(jù)之間的核對(duì)只能在機(jī)內(nèi)進(jìn)行。賬簿登錄時(shí)，是通過(guò)計(jì)算機(jī)登賬程序自動(dòng)進(jìn)行的，其使用的是哪一種程序便難以判斷。

（三）會(huì)計(jì)信息系統(tǒng)自身的風(fēng)險(xiǎn)。ERP環(huán)境下會(huì)計(jì)信息系統(tǒng)必須結(jié)合信息技術(shù)的特征和優(yōu)勢(shì)，圍繞會(huì)計(jì)信息系統(tǒng)的目標(biāo)體系，以信息技術(shù)為重要手段，從會(huì)計(jì)信息處理的路徑、規(guī)則、角色等方面進(jìn)行規(guī)劃。會(huì)計(jì)信息系統(tǒng)自身的風(fēng)險(xiǎn)主要有以下幾種：由于權(quán)限集中，使得數(shù)據(jù)極易被控制、操縱的風(fēng)險(xiǎn)；程序設(shè)計(jì)風(fēng)險(xiǎn)；固有的計(jì)算機(jī)硬件風(fēng)險(xiǎn)和軟件風(fēng)險(xiǎn)等。

（四）審計(jì)對(duì)象的多元化。在信息技術(shù)環(huán)境下，由于審計(jì)對(duì)象的多元化，導(dǎo)致審計(jì)線(xiàn)索、內(nèi)部控制、審計(jì)內(nèi)容和審計(jì)技術(shù)的改變，出現(xiàn)了審計(jì)線(xiàn)索的隱秘性、審計(jì)證據(jù)的難獲取性等新特點(diǎn)，要求審計(jì)人員必須是掌握多種技能的“多面手”。沒(méi)有計(jì)算機(jī)知識(shí)或沒(méi)有會(huì)計(jì)信息化知識(shí)的審計(jì)人員會(huì)因?yàn)閷徲?jì)線(xiàn)索的改變而無(wú)法對(duì)其進(jìn)行追蹤；也會(huì)因?yàn)椴欢脮?huì)計(jì)信息化系統(tǒng)的特點(diǎn)、風(fēng)險(xiǎn)及內(nèi)部控制程序而不能審查和評(píng)價(jià)其內(nèi)部控制，尤其是其中的程序化控制情況；因?yàn)椴荒苁炀氝\(yùn)用計(jì)算機(jī)而無(wú)法對(duì)計(jì)算機(jī)系統(tǒng)的功能進(jìn)行審查。

三、IT環(huán)境下審計(jì)風(fēng)險(xiǎn)的防范

（一）開(kāi)辟獨(dú)立控制區(qū)。開(kāi)辟獨(dú)立控制區(qū)，對(duì)數(shù)據(jù)實(shí)施后臺(tái)打包管理，可以有效解決不法分子進(jìn)入系統(tǒng)，非法篡改、竊取數(shù)據(jù)不留痕跡的問(wèn)題。使審計(jì)人員可以有效地獲取軟件運(yùn)行的歷史軌跡，獲取數(shù)據(jù)的第一手資料，包括原始數(shù)據(jù)、數(shù)據(jù)的更改狀況、更改數(shù)據(jù)的操作人員信息等，以此推測(cè)數(shù)據(jù)更改的目的，判斷是正常的數(shù)據(jù)更正還是數(shù)據(jù)篡改作假，從而降低審計(jì)風(fēng)險(xiǎn)。

（二）加強(qiáng)企業(yè)內(nèi)部控制。加強(qiáng)企業(yè)內(nèi)部控制有利于審計(jì)人員獲得完整、真實(shí)的會(huì)計(jì)數(shù)據(jù)，從而降低開(kāi)放的網(wǎng)絡(luò)技術(shù)帶來(lái)的審計(jì)風(fēng)險(xiǎn)。具體可以采取以下措施：第一，實(shí)行識(shí)別認(rèn)證和訪(fǎng)問(wèn)控制技術(shù)。為了防止非法用戶(hù)的入侵，可在因特網(wǎng)內(nèi)部采用識(shí)別認(rèn)證和訪(fǎng)問(wèn)控制技術(shù)。內(nèi)部網(wǎng)的訪(fǎng)問(wèn)采用入網(wǎng)控制、目錄級(jí)別安全控制、網(wǎng)絡(luò)服務(wù)器的安全控制等技術(shù)；第二，設(shè)立防火墻，并在互聯(lián)網(wǎng)與防火墻之間建立“中轉(zhuǎn)網(wǎng)站”。在企業(yè)內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間設(shè)立防火墻，其作用在于使內(nèi)部網(wǎng)與互聯(lián)網(wǎng)互相隔離。在Internet與防火墻之間建立“中轉(zhuǎn)網(wǎng)站”，并安裝監(jiān)測(cè)軟件。它可以起到“中轉(zhuǎn)站”的作用，無(wú)論是從Intranet一方還是從Internet一方訪(fǎng)問(wèn)會(huì)計(jì)數(shù)據(jù)時(shí)，均須在“中轉(zhuǎn)站”上登陸?！爸修D(zhuǎn)站”是受控網(wǎng)站，當(dāng)有登陸請(qǐng)求時(shí)可報(bào)警，這時(shí)Intranet的“值班”人員可以對(duì)請(qǐng)求者進(jìn)行身份認(rèn)證和服務(wù)內(nèi)容審批，請(qǐng)求被批準(zhǔn)后，請(qǐng)求者方能通過(guò)“中轉(zhuǎn)站”。這樣可大大提高系統(tǒng)的安全性，減少風(fēng)險(xiǎn)。

（三）完善審計(jì)軟件的設(shè)計(jì)。研究和開(kāi)發(fā)審計(jì)軟件時(shí)，數(shù)據(jù)采集方面，特別需要專(zhuān)門(mén)從事數(shù)據(jù)采集的軟件，以便更易訪(fǎng)問(wèn)被審計(jì)單位不同介質(zhì)、不同編碼、不同類(lèi)型的數(shù)據(jù)庫(kù)，從中采集審計(jì)所需的原始數(shù)據(jù)，從而在數(shù)據(jù)分析方面，面向特定的領(lǐng)域，開(kāi)發(fā)新的分析工具。由于軟件本身的錯(cuò)誤或由于控制不當(dāng)被非法篡取或竊取等原因造成的錯(cuò)誤，要有審查機(jī)內(nèi)數(shù)據(jù)文件、軟件程序的類(lèi)似反毒軟件的計(jì)算機(jī)審計(jì)軟件。軟件開(kāi)發(fā)時(shí)應(yīng)征求審計(jì)人員的意見(jiàn)，由審計(jì)人員自始至終進(jìn)行跟蹤監(jiān)控，以促進(jìn)系統(tǒng)軟件和網(wǎng)絡(luò)系統(tǒng)的安全、可靠、穩(wěn)定、合法。

（四）利用先進(jìn)的審計(jì)技術(shù)。由于計(jì)算機(jī)的使用，使會(huì)計(jì)信息系統(tǒng)在許多方面發(fā)生了變化，審計(jì)人員再以傳統(tǒng)的審計(jì)方法進(jìn)行審計(jì)就難以達(dá)到預(yù)期的目的，因而審計(jì)工作必須借助新的技術(shù)和方法：（1）并行審計(jì)技術(shù)。在應(yīng)用系統(tǒng)對(duì)經(jīng)濟(jì)業(yè)務(wù)進(jìn)行處理的同時(shí)采集審計(jì)技術(shù)，變事后審計(jì)為事中審計(jì)，及時(shí)取得可靠證據(jù)，并針對(duì)應(yīng)用系統(tǒng)運(yùn)行過(guò)程中出現(xiàn)的異常問(wèn)題，采取措施及時(shí)糾正，以防范風(fēng)險(xiǎn)；（2）審計(jì)經(jīng)驗(yàn)數(shù)據(jù)集成技術(shù)。通過(guò)建立一個(gè)審計(jì)經(jīng)驗(yàn)數(shù)據(jù)庫(kù)來(lái)輔助進(jìn)行審計(jì)的技術(shù)。審計(jì)經(jīng)驗(yàn)數(shù)據(jù)庫(kù)主要是收集大量的審計(jì)案例，采用多層次的結(jié)構(gòu)（如樹(shù)結(jié)構(gòu)）來(lái)標(biāo)記所收集的審計(jì)案例的屬性值，描述審計(jì)案例。運(yùn)用這種技術(shù)可以為審計(jì)人員積累豐富的審計(jì)技術(shù)經(jīng)驗(yàn)，增強(qiáng)審計(jì)人員的風(fēng)險(xiǎn)意識(shí)，積累一定的識(shí)別、控制審計(jì)風(fēng)險(xiǎn)的經(jīng)驗(yàn)。

（五）改變審計(jì)人員知識(shí)構(gòu)成。針對(duì)審計(jì)人員知識(shí)構(gòu)成的現(xiàn)狀，一方面應(yīng)該注重引進(jìn)IT人才，將引進(jìn)人才與自主培養(yǎng)結(jié)合起來(lái)，在重點(diǎn)培養(yǎng)復(fù)合型人才的同時(shí)，提高審計(jì)人員計(jì)算機(jī)應(yīng)用的整體水平，通過(guò)層層選拔，引進(jìn)一批高層次技術(shù)人才；另一方面還應(yīng)該完善目前的審計(jì)人員從業(yè)資格考試的內(nèi)容，將有關(guān)的計(jì)算機(jī)輔助審計(jì)基本技能的要求以及信息系統(tǒng)審計(jì)的一般知識(shí)（如對(duì)企業(yè)信息系統(tǒng)內(nèi)部控制的評(píng)價(jià)）等作為考核的一個(gè)內(nèi)容，以全面考察信息技術(shù)環(huán)境下審計(jì)人員的從業(yè)資格。

四、結(jié)束語(yǔ)

經(jīng)濟(jì)的發(fā)展引起了審計(jì)環(huán)境的巨大變遷，給審計(jì)工作提出了更高的目標(biāo)和要求，也為審計(jì)的實(shí)踐活動(dòng)帶來(lái)了新的審計(jì)風(fēng)險(xiǎn)。為了迎接這個(gè)挑戰(zhàn)，減小審計(jì)風(fēng)險(xiǎn)，審計(jì)人員知識(shí)構(gòu)成的改變、審計(jì)技術(shù)與方法的革新勢(shì)在必行。

（作者單位：黃河水利職業(yè)技術(shù)學(xué)院）

主要參考文獻(xiàn)：

[1]姚靠華，周岳婷.現(xiàn)代信息技術(shù)下的審計(jì)風(fēng)險(xiǎn)研究[J].中國(guó)管理信息化，2006.9.2.

[2]陳蕾，李?lèi)?ài)華.網(wǎng)絡(luò)環(huán)境下審計(jì)風(fēng)險(xiǎn)及防范[J].中國(guó)管理信息化（綜合版），2006.9.5.

[3]王純.信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)與控制[J].企業(yè)經(jīng)濟(jì)，2006.8.

[4]劉建民，周詠梅.網(wǎng)絡(luò)審計(jì)發(fā)展中的問(wèn)題與建議[J].財(cái)會(huì)通訊（綜合版），2005.5.

[5]孫麗紅.網(wǎng)絡(luò)審計(jì)的十四大變化[J].財(cái)會(huì)月刊（綜合），2006.10.

[6]馬烈.影響審計(jì)風(fēng)險(xiǎn)的宏觀(guān)環(huán)境因素[J].合作經(jīng)濟(jì)與科技，2006.4.

[7]王曉茜.信息系統(tǒng)審計(jì)探析[J].財(cái)會(huì)通訊（綜合版），2004.6.

[8]胡春元.審計(jì)風(fēng)險(xiǎn)研究[M].東北財(cái)經(jīng)大學(xué)出版社，2002.

[9]謝榮，吳建友.現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理論研究及實(shí)物發(fā)展[J].會(huì)計(jì)研究，2004.4.

[10]蔣錫元.會(huì)計(jì)電算化下地審計(jì)風(fēng)險(xiǎn)與防范控制[J].中國(guó)管理信息化，2006.9.5.

[11]周賢順，彭曉影.會(huì)計(jì)信息網(wǎng)絡(luò)環(huán)境下的若干審計(jì)問(wèn)題及應(yīng)對(duì)[J].煤炭技術(shù)，2006.3.

[12]王奇杰.淺議計(jì)算機(jī)審計(jì)下審計(jì)風(fēng)險(xiǎn)的控制[J].財(cái)會(huì)通訊，2004.5.

[13]周書(shū)美.關(guān)于審計(jì)風(fēng)險(xiǎn)涵義的探討[J].北方經(jīng)濟(jì)，2006.6.