信息技術(shù)如何在審計過程中防范和控制審計風險

史 宏

隨著信息技術(shù)的迅猛發(fā)展，被審計單位為了提升自身的管理水平普遍采用網(wǎng)絡信息系統(tǒng)作為現(xiàn)代管理工具，被審計資料中涉及信息技術(shù)的內(nèi)容越來越多，于是信息系統(tǒng)審計成為當代審計發(fā)展中必不可少的組成部分，其產(chǎn)生的審計風險在審計工作中所占比重也日益增加?？梢哉f直接關(guān)系到審計項目質(zhì)量的高低。因此，在審計過程中如何防范和控制由信息系統(tǒng)審計產(chǎn)生的風險，已成為當前控制審計風險、提高審計質(zhì)量面臨的新任務。

一、信息技術(shù)在審計項目質(zhì)量中的影響力越來越大

（一）新《審計準則》將對信息技術(shù)的要求明確到審計全過程

2011年1月1日起施行的《審計準則》在第二十三條、第二十九條、第六十條等對信息技術(shù)在審計過程中的應用進行了具體規(guī)定，分別從審計人員職業(yè)勝任能力、審計項目的選定、審計調(diào)查的內(nèi)容、信息系統(tǒng)控制、審計調(diào)查方法、審計判斷影響因素、審計應對措施、審計獲取證據(jù)方法等方面進行了闡述，清晰地表明了信息技術(shù)在審計過程中應當作為的方方面面。但由于被審計單位信息系統(tǒng)種類繁多，后臺數(shù)據(jù)庫結(jié)構(gòu)不盡一致，客觀上信息技術(shù)審計人員自由裁量權(quán)較大，運用職業(yè)判斷保持職業(yè)謹慎風險也就較大。如何有效防范、控制風險將成為一個長期的課題。

（二）信息技術(shù)在審計過程中應用和信息系統(tǒng)審計辨析

新《審計準則》發(fā)布前，計算機在審計中的應用有過大致三個階段，第一階段是作為文字處理技術(shù)應用，主要是文檔和表格；第二階段是作用審計輔助手段的應用，主要是一些專業(yè)小軟件的使用；第三階段是隨著網(wǎng)絡的運用和發(fā)展，提出對信息系統(tǒng)進行審計，近兩年常常是作為獨立審計項目進行，一般稱之為信息系統(tǒng)審計。

（三）信息系統(tǒng)審計將成為未來審計的重要基礎

隨著局域網(wǎng)等網(wǎng)絡系統(tǒng)和會計信息系統(tǒng)在財政、財務管理中的廣泛應用，信息系統(tǒng)將成為被審計資料的重要組成部分，審計前對被審計單位的信息系統(tǒng)進行調(diào)查、采集、評估，審計中查證等，也將成為審計的重要程序和內(nèi)容，成為整個審計項目開展的基礎，為審計人員的下一步合規(guī)、合法、經(jīng)濟責任、績效審計奠定基礎。因此，探討信息系統(tǒng)審計風險防范和控制，還具有十分重要的實踐意義。

二、信息系統(tǒng)審計風險分析

（一）信息系統(tǒng)審計的固有風險

信息系統(tǒng)審計固有風險，是指在不考慮會計信息系統(tǒng)規(guī)范的前提下，計算機會計信息系統(tǒng)處理數(shù)據(jù)發(fā)生錯誤的可能性。固有風險的存在與審計無關(guān)，它是由計算機軟硬件系統(tǒng)所固有的特點決定的，其風險水平與系統(tǒng)硬件質(zhì)量、軟件穩(wěn)定性及運行環(huán)境緊密相關(guān)，一方面會因為會計業(yè)務信息系統(tǒng)處理的實時性、準確性而降低，另一方面又可能因為會計業(yè)務信息系統(tǒng)的復雜性而增加。

（二）信息系統(tǒng)審計的控制風險

信息系統(tǒng)審計的控制風險，是指被審計單位內(nèi)部會計信息系統(tǒng)軟硬件系統(tǒng)的應用、操作和管理規(guī)范等安全控制制度不夠健全、有效，導致無法恰當?shù)胤乐埂l(fā)現(xiàn)和及時糾正會計信息系統(tǒng)可能出現(xiàn)各種錯誤的風險。它與內(nèi)部控制制度執(zhí)行的有效性有關(guān)，與審計無關(guān)，屬于內(nèi)部控制的范疇，審計人員只能評估其風險水平而不能對其實施控制和影響。其風險水平的衡量由于需要兼顧傳統(tǒng)內(nèi)部控制的思想和計算機系統(tǒng)管理的知識，因而較為復雜且難以準確計量。

三、信息系統(tǒng)審計風險的防范和控制對策分析

（一）提高評估信息系統(tǒng)審計固有風險和控制風險水平正確性的對策

新審計準則第六十二條中規(guī)定“審計人員可以從下列方面調(diào)查了解被審計單位信息系統(tǒng)控制情況：（1）一般控制，即保障信息系統(tǒng)正常運行的穩(wěn)定性、有效性、安全性等方面的控制；（2）應用控制，即保障信息系統(tǒng)產(chǎn)生的數(shù)據(jù)的真實性、完整性、可靠性等方面的控制。通過前面對信息系統(tǒng)審計固有風險和控制風險成因分析，結(jié)合信息系統(tǒng)審計風險模型，為提高評估固有風險和控制風險水平的正確性，應著重考察以下幾個方面：

一是考察被審計單位信息系統(tǒng)硬件設備運行環(huán)境的安全性。包括機房建設的合規(guī)性、硬件運行的穩(wěn)定性、電源供應的穩(wěn)定性以及各項安全控制制度是否健全并是否得到有效落實。信息系統(tǒng)是否進行軟硬件和電子數(shù)據(jù)的備份，備份方案是否全面。

二是考察被審計單位的會計軟件系統(tǒng)是否合格，各項功能設置是否安全可靠，其運行的穩(wěn)定性及信息系統(tǒng)內(nèi)部控制的合規(guī)性。

三是考察被審計單位組織控制是否健全。系統(tǒng)數(shù)據(jù)管理員、維修員、操作員和審核記賬等人員的配備是否科學合理，職責權(quán)限分工是否明確，不相容職務有沒有嚴格分離，是否通過設立相互稽核、相互監(jiān)督、相互制約的機制，來保障會計信息的真實性、可靠性。

（二）降低信息系統(tǒng)審計檢查風險的對策

一是加強審計隊伍建設，提高審計人員的專業(yè)素質(zhì)和道德素養(yǎng)。在新《審計準則》第二十三條中規(guī)定“審計機關(guān)應當合理配備審計人員，組成審計組，確保其在整體上具備與審計項目相適應的職業(yè)勝任能力。被審計單位的信息技術(shù)對實現(xiàn)審計目標有重大影響的，審計組的整體勝任能力應當包括信息技術(shù)方面的勝任能力”。這就要求審計人員必須熟練掌握審計、計算機和信息系統(tǒng)等方面知識。

二是努力開發(fā)實用高效的計算機審計作業(yè)軟件。審計部門應加強與計算機軟件公司的合作，開發(fā)功能完備的高性能通用型審計作業(yè)軟件。隨著審計署金審工程一期現(xiàn)場審計實施系統(tǒng)（AO）的廣泛應用和金審工程二期聯(lián)網(wǎng)審計軟件的不斷推廣，從而大大降低了審計作業(yè)軟件存在缺陷的可能性。審計部門也要加強與會計行業(yè)的溝通，提倡采用統(tǒng)一的會計電算化軟件，同時會計軟件的設計應盡可能考慮審計需求，保留審計線索并預留審計接口，最重要的是統(tǒng)一存儲數(shù)據(jù)的格式標準，盡量使會計軟件均預留國標數(shù)據(jù)備份接口，避免數(shù)據(jù)格式轉(zhuǎn)換或重復錄入的非效率性和可能出現(xiàn)的錯誤，從而降低審計風險。

三是國家有關(guān)部門應積極完善相關(guān)法律法規(guī)和制定有關(guān)信息系統(tǒng)審計準則。法律法規(guī)、審計準則是審計人員判斷是非的標準和尺度。信息系統(tǒng)審計有別于傳統(tǒng)審計業(yè)務，它的特殊性和進行審計所需的專業(yè)技術(shù)要求制定出信息系統(tǒng)審計準則，相關(guān)部門應盡早出臺適合我國國家審計的信息系統(tǒng)審計準則及相關(guān)信息系統(tǒng)審計法規(guī)，以使相關(guān)實踐有章可循，從整體上降低風險水平。

通過對信息系統(tǒng)審計風險三個構(gòu)成要素的成因和風險防范、控制分析，主要目的是為了在新《審計準則》指導下，更好地開展信息系統(tǒng)審計，減少信息系統(tǒng)審計風險，提高審計質(zhì)量。應對審計機關(guān)在審計工作中客觀存在的審計風險，信息系統(tǒng)審計人員同樣必須保持職業(yè)謹慎，充分運用專業(yè)判斷，對被審計單位信息系統(tǒng)的審計風險各要素進行全面的評估，確定可接受的審計風險水平，從而促進信息技術(shù)在審計過程中的高效應用，為審計工作發(fā)揮保障經(jīng)濟社會健康運行的“免疫系統(tǒng)”作用勇于作為。