信息化在風險導向審計中的問題探討

深圳市光明新區(qū)審計局 王玉冰

風險導向審計也稱為風險基礎審計。風險基礎審計是指以被審計單位的風險評估為基礎，綜合分析評審影響被審計單位經濟活動的各因素，并根據(jù)量化風險水平確定實施審計的范圍和重點，進而進行實質性審查的一種審計方法。風險導向審計作為一種重要的審計理念和方法，是會計師事務所為應對日益增多的審計訴訟而產生的。它可以大大提高審計的工作效率。它把指導思想建立在“合理的職業(yè)懷疑假設”的基礎之上，其特點是把風險評價和分析性復核的方法貫穿于整個審計過程之中，體現(xiàn)了現(xiàn)代審計的新思路。

社會發(fā)展已經進入到了信息化時代，這也給審計工作帶來新的挑戰(zhàn)。風險導向審計通過綜合評價被審計單位的情況以及戰(zhàn)略以確定審計測試的性質、時間和范圍，審計的起點為被審計單位的情況以及戰(zhàn)略。然而現(xiàn)代審計中的被審計對象無論是從跨國公司，還是國內的機關、企事業(yè)單位，均越來越普遍地采用電子技術進行經營管理；無論是原來單一的財務核算軟件，還是如今大型企業(yè)所采用的ERP、SAP企業(yè)資源管理軟件，都體現(xiàn)出信息技術在管理上的日趨普及。這就要求審計人員在知識結構和技術方法上能與之同步，才能全面掌握被審計單位可能存在的重大風險。本文主要針對信息化在風險導向審計中的幾個問題作出探討。

一、問題

問題一:網(wǎng)絡時代給審計帶來新的風險。

（一）電子數(shù)據(jù)被非法拷貝、篡改和刪除。在網(wǎng)絡環(huán)境中，數(shù)據(jù)的電子化并以磁介質為主要存儲載體，這為舞弊者或攻擊者對原始數(shù)據(jù)進行非法修改和刪除，且不留篡改痕跡成為可能，這將無法保證數(shù)據(jù)的完整性和真實性，給審計監(jiān)督帶來了風險。

（二）審計線索減少或消失。主要有四種原因：一是運行間的斷電和死機等故障；二是計算機病毒破壞；三是人為的毀損，四是程序處理錯誤或網(wǎng)絡傳輸信息故障。

（三）黑客入侵和數(shù)據(jù)失竊。計算機黑客為了獲取重要的商業(yè)秘密、數(shù)據(jù)資源，經常用IP地址欺騙攻擊網(wǎng)絡系統(tǒng)。黑客偽裝為源自內部主機的一個外部站點，利用一定的技術進入目標系統(tǒng)竊取或破壞數(shù)據(jù)。

（四）權限職責分離不恰當引起內控失靈。在網(wǎng)絡環(huán)境下，如果對數(shù)據(jù)維護、系統(tǒng)管理和數(shù)據(jù)輸入、數(shù)據(jù)核對確認等崗位不作適當?shù)姆蛛x，就會有人利用網(wǎng)絡的弱點故意修改數(shù)據(jù)、舞弊或竊取秘密信息從中撈取利益。

問題二：目前企業(yè)的管理信息化的建設遠遠快于審計信息化的建設，這導致了大部分審計人員在進行審查時不能輕松的應對，依賴于被審計的單位的指導，不能獨立審計，不易發(fā)現(xiàn)隱藏的問題。

（一）目前很多企業(yè)采用的ERP，SAP等專業(yè)管理軟件，過程非常復雜，只有經過專門培訓的操作人員才能了解最終數(shù)據(jù)的生產，很多審計人員必須依賴被審計單位人員的指導才能理解。被審計單位可能會利用這種漏洞，在關鍵過程上進行錯誤指導或者忽略，掩蓋影響審計風險的重要問題。

（二）很多高級管理軟件提供了數(shù)據(jù)處理的流程定制功能，各個企業(yè)可以按照自己的方法進行數(shù)據(jù)加工，甚至部分企業(yè)的管理軟件是定制開發(fā)的。企業(yè)完全可以通過定制錯誤的流程，或者要求軟件在開發(fā)的時候進行錯誤的計算，來掩蓋真實財務狀況。企業(yè)的原始財務數(shù)據(jù)，經過軟件的加工呈現(xiàn)的結果不能完全表現(xiàn)實際的財務狀況。企業(yè)在自己使用軟件的時候可以通過特殊的方法來還原的得到真實的結果，而審計人員看到始終是對被審計單位有利的結果。

據(jù)美國斯坦福研究所的調查，美國計算機舞弊犯罪最高的一次就達到50億美元。目前象ERP、SAP等管理系統(tǒng)主要通過流程控制，實現(xiàn)了績效的動態(tài)監(jiān)控；通過流程重組，實現(xiàn)了企業(yè)的管理變革；通過系統(tǒng)集成，實現(xiàn)了信息的實時共享；通過系統(tǒng)優(yōu)化，實現(xiàn)了管理的持續(xù)改善。另一方面，企業(yè)的生產經營業(yè)務通過統(tǒng)一的系統(tǒng)平臺進行處理后，以往肉眼可見的線索都被掩蓋起來，企業(yè)及員工的工作習慣、思維方式、信息載體、控制手段和管理模式等都發(fā)生了根本變化。所有這一切，都向風險審計提出了新的更高要求，同時也需要通過加強風險導向審計來防范風險，防患于未然。

問題三：審計軟件和方法的相對落后。

（一）功能簡單不能適應靈活的審計需要。審計軟件不可能完全替代人工審計，只能輔助審計，但輔助的內容和程度目前很難界定，通用審計軟件的功能定位比較模糊。由于業(yè)務流程的多樣性和復雜性，通用審計軟件功能是否只能定位于輔助基本的財務審計？通用審計軟件以適應內部審計為主還是以適應外部審計為主？這些都是困擾軟件設計者的現(xiàn)實問題。目前的通用審計軟件以簡單的查賬程序為主，主要是為定期的事后審計服務，無法提供靈活多變的審計方法，各種審計軟件相互無法共享數(shù)據(jù)和審計工具，造成軟件的有效性降低。

（二）難以適應開放式審計對象。在內部審計中使用計算機輔助審計相對外部審計比較容易實現(xiàn)，原因是內部審計人員對信息系統(tǒng)結構比較了解，也比較容易獲得來源于內部管理信息系統(tǒng)工程師的配合。同時，審計軟件對單一模式的信息系統(tǒng)數(shù)據(jù)結構也容易調整而自動獲取審計數(shù)據(jù)。然而，對大多數(shù)國家審計、民間審計、大型集團內部審計等人員而言，他們面對的審計對象大多數(shù)是開放性的，各被審計對象使用的管理軟件甚至會計軟件五花八門，多種多樣，采用的系統(tǒng)軟件和數(shù)據(jù)庫系統(tǒng)差別很大，即使審計軟件提供了靈活的數(shù)據(jù)接口定義功能，其初始定義的工作量也非常龐大，反而影響審計效率。另外，被審計對象的系統(tǒng)結構經常處于變化調整之中，初始定義隨時都可能需要修改。

（三）無法對信息系統(tǒng)程序進行符合性測試?，F(xiàn)行的通用審計軟件只能提供內部控制的符合性測試的計劃編制、調查表設計和對測試結果的評價，還無法對信息系統(tǒng)程序進行符合測試，而對信息系統(tǒng)程序的正確性和數(shù)據(jù)安全性的測試是對信息系統(tǒng)內部控制評價中無法回避的重要環(huán)節(jié)。

問題四：審計人員利用信息技術的水平有待提高。

一方面，由于審計人員隊伍的老齡化，部分審計人員雖然有豐富的財會、審計知識和經驗，但由于歷史、客觀的原因使他們沒有機會接觸計算機軟件，造成一些知識結構上的欠缺，他們還很難提出符合信息化規(guī)律的審計需求，將傳統(tǒng)的審計技術方法轉換為計算機可以操作的語言還需要有個磨合的過程。另一方面，年輕的審計人員雖然掌握一定的計算機知識，但由于非計算機專業(yè)畢業(yè)，僅掌握淺層次的計算機基礎知識和運用技能，缺乏深層次的計算機系統(tǒng)設計、程序編譯檢測技能，還不能有效分析系統(tǒng)結構。因此要真正運用計算機軟件，完成難度較大的實質性審計程序尚有難度，需依賴專業(yè)的計算機技術人員協(xié)助，造成審計人員獨立性減弱。此外，由于培訓時間短，技術掌握不熟練，在審計過程中，還沒有將計算機審計真正應用起來。實際運用與軟件設計的要求還有一定的差距。

目前審計中面臨的尷尬局面是：1.效率低。信息化的特點是數(shù)據(jù)量大。企業(yè)的管理借助計算機，軟件和網(wǎng)絡技術，管理越來越細化，產生的數(shù)據(jù)量也與來越大。審計工作基本上停留手工對賬，速度慢，容易錯誤。2.不能自主審計，需要依賴被設計單位的財務軟件進行核查。對于企業(yè)的刻意舞弊行為很難發(fā)現(xiàn)。

二、對策思考

（一）建立健全網(wǎng)絡審計的法律環(huán)境。作為一個經濟服務領域，審計首先要充分利用和維護已有的法律體系來指導審計工作，以維護審計的客觀公正性；其次，審計服務還要處處體現(xiàn)其獨立性，因此迫切需要建立起規(guī)范網(wǎng)絡審計的審計準則來規(guī)范審計行為。就新的審計準則而言，必須做到既有獨創(chuàng)的一面，但又不能離開傳統(tǒng)的一面，處理好繼承和創(chuàng)新的關系。其獨創(chuàng)性，主要表現(xiàn)在規(guī)范審計企業(yè)的網(wǎng)絡信息系統(tǒng)為中心的一整套制度，這些制度具有新經濟的網(wǎng)絡特色；另外雖然網(wǎng)絡審計與傳統(tǒng)審計準則具有明顯的區(qū)別，但其在審計獨立性、客觀公正以及審計的職業(yè)道德等方面仍然類似于傳統(tǒng)審計，并且有時還離不開實地審計的參與，所以在制定網(wǎng)絡審計準則方面可以適當?shù)难匾u仍適用的傳統(tǒng)審計準則。有了上述網(wǎng)絡審計法律環(huán)境的保證，網(wǎng)絡審計的運作將更加規(guī)范，更有保障。

（二）加強對網(wǎng)絡系統(tǒng)的安全性和保密性進行審計。在傳統(tǒng)的審計方式下，只進行財務方面的審計，而風險導向型審計，擴大了審計的范圍，只要可能對審計結果進行影響的就需要進行審計，網(wǎng)絡當然包括在其中。在網(wǎng)絡中運行，信息的安全性即可靠性和保密性構成了審計的風險防范和控制的重點。首先對網(wǎng)絡系統(tǒng)職責分離情況進行審查，遵循的原則仍為不相容職責必須分離，但側重對數(shù)據(jù)的輸入、輸出，軟件開發(fā)和維護及系統(tǒng)程序修改或管理等之間的關系處理進行審查；其次對被審計單位網(wǎng)絡結構進行分析與評價，以確認防范黑客侵入的能力；再次對被審計單位的系統(tǒng)容錯處理機制，安全管理體制和安全保密技術等作深入的了解，以評價其系統(tǒng)安全性的等級，從而有效地控制審計風險。

（三）提高審計人員的技術水平。

1.審計人員要有部分相應的IT技能。在網(wǎng)絡環(huán)境下，由于審計環(huán)境、審計線索、安全控制、審計內容和技術的改變，要求審計人員不斷更新知識和提升綜合素質。為了在網(wǎng)絡環(huán)境下更好地執(zhí)行審計監(jiān)督、鑒證和評價任務，審計人員不僅要掌握會計、審計、經濟管理、法律等方面的知識，而且還要掌握計算機、網(wǎng)絡信息系統(tǒng)、電子商務等方面的知識和技能。審計人員要了解網(wǎng)絡環(huán)境經營和會計核算的特點與風險，要懂得如何審計計算機管理信息系統(tǒng)的功能和特點，要能夠利用計算機網(wǎng)絡進行審計。雖然網(wǎng)絡審計要求審計人員具備較高的計算機網(wǎng)絡水平，但并不是要求他們成為該領域的專家，因此在網(wǎng)絡審計過程中，有必要的情況下，計算機網(wǎng)絡和電子商務類人才也要參與其中。

2.加強對于機關、企事業(yè)單位的常用財務軟件甚至管理軟件的培訓，能夠全程判斷被審計單位業(yè)務處理流程是否存在問題。審計機關應注重從多渠道對現(xiàn)有的審計人員進行培訓，加快審計人員的知識更新，以適應會計信息化審計的要求。對審計專業(yè)人才的培養(yǎng)，既包括對審計人員計算機專業(yè)知識的培養(yǎng)和財務知識、審計知識的更新，也包括對計算機專業(yè)人員財務知識和審計知識的培養(yǎng)和計算機知識的更新，促進兩者及早合二為一，真正適應信息化審計工作的需要。

3．對審計單位進行細分，合適的人員審查合適的單位?，F(xiàn)代企業(yè)應用的管理軟件種類非常繁多，審計人員了解被審計單位的深度和廣度都是前所未有的，大到宏觀環(huán)境、中到客戶所處行業(yè)的整個產業(yè)鏈結構、小到一臺機器的運作情況，都可能是風險評估和審計測試的范圍，審計人員不再只關注與會計報表有關的內部控制，關注的是整個內部控制結構；不但要了解高管的背景，還要了解高管的不良嗜好。審計范圍沒有邊界導致對審計人員的專業(yè)能力要求也沒有邊界，審計人員不可能精通所有的軟件，但必須熟練掌握一些常用的分析工具，必須術業(yè)有專攻，必須分行業(yè)審計，然后根據(jù)被審計單位的情況分工合作。

（四）加強審計軟件的開發(fā)。受利益驅動被審計單位往往不愿意積極配合審計單位進行工作，能進行隱瞞的就隱瞞。只有第三方開發(fā)的軟件才能獨立自主的進行問題發(fā)現(xiàn)和跟蹤。這也需要在法律方面進行支持，要求財務軟件提供原始的數(shù)據(jù)以便審計軟件進行處理。審計軟件的發(fā)展方向應該是會審一體化。會計支撐審計，審計制約會計。會審一體化不僅可以大幅度提供內部審計和社會審計的工作效率，加強企業(yè)的內部控制和風險防范能力，而且也是會計軟件和審計軟件向深層次開發(fā)的新的理念和發(fā)展方向。審計軟件應該具有強大的工作底稿制作能力和查證功能，為審計人員節(jié)省時間；數(shù)據(jù)可傳遞，能自動生成和人工輸入相結合，產生合并抵銷分錄；能自動產生勾稽無誤的審計報告和會計報表附注；有靈活開放的系統(tǒng)，方便用戶進行二次開發(fā)等特點。

（五）要加快數(shù)據(jù)庫建設和聯(lián)網(wǎng)審計研究，為推進計算機審計提供基礎性保證。首先要加快建立審計統(tǒng)計資料、審計檔案、審計專家經驗、審計法規(guī)以及被審計單位資料、宏觀經濟數(shù)據(jù)等數(shù)據(jù)庫，并不斷更新和完善數(shù)據(jù)庫內容，為審計實施提供有效支持。認真研究審計工作對經濟類共享信息的需求，采取多種形式組織資源，以開拓審計人員視野，增強宏觀意識，為開展效益審計、審計調查服務，為領導決策提供信息支持。

三、結論

信息化的發(fā)展在促進社會發(fā)展的同時，也給企業(yè)作弊提供很好的方法，加大了審計的困難，對于審計人員提出更高的要求。應該從完善立法，提高審計人員的素質，完善審計工具等多個方法來適應新形勢。

[1]張紅英．網(wǎng)絡審計初探．財會研究，2005；6

[2]張金城．計算機信息系統(tǒng)控制與審計．北京：北京大學出版社，2002

[3]王曉霞，孫坤，張宜霞．論風險導向的內部審計理論與實務．審計研究，2004；2

注釋：

[1]國務院國有資產管理委員會 風險管理專欄 《風險導向內部審計含義解析》李歆