教育系统计算机审计风险及防范
陆玮玮
一、计算机审计风险的定义
计算机审计风险是指审计人员未能正确合理地运用计算计审计技术对被审计单位会计信息系统运行的有效性、数据处理的合法性和正确性、最终报表的真实性和公允性进行审计,从而对被审计单位含有重要错报或漏报的财务报表表示不恰当审计意见的风险。
传统的审计风险模型为:审计风险=固有风险×控制风险×检查风险。2003年,国际审计和鉴证准则委员会(IAASB)发布了新《审计风险准则》,将审计风险模型重新描述为:审计风险=重大错报风险×检查风险。计算机审计中的重大错报风险是指财务报表在计算机审计前存在重大错报的可能性;计算机审计中的检查风险是指被审计单位计算机软硬件系统存在错误,审计人员未能运用计算机审计技术发现该错误的风险。
二、教育系统计算机审计风险因素分析
在教育系统计算机审计中,审计风险可按照风险度量模型的定义分成两个部分来分析,如图1所示:
(一)重大错报风险
重大错报风险是审计人员可以评估、认定但没有办法人为改变的风险水平。在教育系统计算机审计中,应注意两方面因素:
1.固有风险因素。教育系统计算机审计中的固有风险因素是指在教育系统计算机审计中,不考虑计算机系统内部控制可靠性的情况下,因系统中存在的难以消除的各种因素导致计算机系统出错、中断或资源毁损等的风险。其特点是:①其风险水平取决于信息技术发展水平及被审计单位采用的技术水平,可能会因计算机处理的实时性、正确性降低,也可能会因计算机系统的复杂性而增加;②固有风险的产生与审计人员无关。它由计算机软硬件系统所固有的特点决定,审计人员只能分析、判断、评估风险水平,无法对其实施控制和影响;③固有风险具有多方面的影响因素,难于准确计量。
影响教育系统计算机审计固有风险的因素主要有以下几方面:①计算机硬件系统的质量和运行环境。若计算机硬件系统质量不过关,导致硬件系统故障,便会加大固有风险水平。②计算机软件系统的质量。在审计过程中,若运行质量不过关、不稳定的软件系统,可能导致系统不正常中断或数据丢失,加大固有风险水平。③电子数据的审计线索易于减少或消失。在计算机系统中,存储介质只记录最终处理结果,忽略中间处理过程,利用计算机技术难以实现如签名等使审计线索证据化的操作,给审计人员追查审计线索带来了困难,从而导致计算机审计固有风险的加大。④原始数据的录入和存储。在原始数据录入环节,人员操作失误或人员舞弊会造成实际数据和电子数据不符;磁性介质保存的电子数据存在被盗窃、篡改和丢失的可能性,会计信息系统的网络连接可能会收到网络远程的恶意侵害,都影响固有风险水平。
2.控制风险因素。教育系统计算机审计的控制风险是指在教育系统计算机审计中,因内部控制不能预防、检测和纠正可能出现的各种错误的风险。控制风险因素的特点是:①控制风险水平与被审计单位的内控水平有关。如果被审计单位的内控制度存在缺陷或不能有效工作,就会增加由于人为因素和技术缺陷等原因导致的系统出错或中断的可能性。②控制风险与内审人员无关。控制风险属于内部控制范畴,审计可以根据被审计单位相关部分内部控制的健全性和有效性情况设定一定控制风险的估计水平,但无法对其实施控制。③控制风险水平的衡量涉及计算机系统管理知识,难以准确计量。
影响计算机审计控制风险的因素主要包括:①计算机系统内部控制是否得力。②软件是否完善。③人员配备是否合适。④系统开发和维护是否完善。⑤系统管理人员的安全防范意识及措施。
(二)检查风险
教育系统计算机审计的检查风险是指在教育系统计算机审计中,审计人员通过预定的审计流程未能发现各种错误的风险。
检查风险因素的特点是:①检查风险独立存在于整个审计过程中,不受固有风险和控制风险的影响;②检查风险是唯一可由审计人员自主控制的风险;③检查风险与审计人员的工作直接相关,其实际水平与审计人员的专业胜任能力有关,直接影响最终的审计风险。④计算机审计中的检查风险主要表现为非抽样风险。
影响计算机审计检查风险的因素主要包括:①计算机审计标准和准则的完善程度。审计标准和准则是审计人员判断是非的标准,其完善程度直接影响审计检查风险的大小。目前,我国与计算机审计有关的标准和准则有:1996年审计署发布的《审计机关计算机辅助审计办法》,1999年中国独立审计具体准则第20号《计算机信息系统环境下的审计》。现有的审计标准和准则的细化程度已不能满足当前计算机审计发展的需要,容易带来检查风险。②会计软件的更新、平台迁移。一方面,由于对重要交易的实质性测试离不开历史数据,因此,软件的更换和平台的迁移会导致难以从往年帐套提取历史数据,增加检查风险。另一方面,会计软件不断升级,而审计软件的升级相对滞后,也带来审计检查风险。③审计客体的配合程度。在计算机审计中,审计人员能否获得充足准确的审计证据跟被审计单位提供的信息系统的输出信息是否全面有着很大关系。若被审计单位将不愿接受审计的部分信息隐藏,计算机审计人员的审计证据获取不充足,便会影响审计判断和结论的准确性,加大检查风险。④计算机审计方法是否恰当。在计算机审计中,由于被审计单位采用的会计软件多样,要求运用的审计方法也不同,如果审计人员在审计过程中采用的审计方法不当,就不能获取充分、合理的审计证据,难以确保审计结论的科学性和准确性,导致检查风险的加大。⑤计算机审计人员的素质。审计人员是审计的主体,其素质的高低与审计风险的大小直接相关。计算机审计人员的素质越强,检查风险降低的可能性越大,反之越小。若审计人员在工作中业务能力缺乏,态度不认真,缺乏责任心,未收集充分的审计证据,审计质量必定大打折扣,增加检查风险。
三、教育系统计算机审计风险具体防范措施
(一)完善计算机审计标准和准则,提供法制依据
电算化信息系统发展迅速,现有的计算机审计标准和准则必须进一步完善才能更好地适应计算机审计发展的需要。教育系统内部审计机构应进一步加强对教育系统计算机审计实践的分析研究,总结审计工作中遇到的新情况新问题,为有关部门制定标准准则提供参考依据。有关部门应加强对计算机审计工作的研究,尽快制定出与新情况相适应的包括系统设计、开发、运行、维护等方面的计算机审计标准,制定包括对计算机系统内控评价、审计内容、审计证据收集等方面的准则,进一步规范指导审计工作,降低审计风险。
(二)构建审计项目质量控制体系,强化项目管理
质量是审计工作的生命,审计质量提高了,审计风险必然降低。根据以往南京市教育系统计算机审计工作实践,笔者认为可通过构建分层控制的计算机审计项目质量控制体系来强化审计项目管理,达到控制或降低审计风险的目的,即在制定好年度计算机审计项目计划的基础上,从计算机审计项目业务过程的各个环节入手,抓住审计准备阶段、实施阶段和终结阶段的关键点,落实好质量控制责任,制定有效质量控制措施,从而达到全方位控制审计项目质量,降低审计风险的目的。如图2所示:
1.审计准备
审计准备以审前调查为基础,充分了解被审计单位的基本情况,大致确定被审计单位的风险因素和总体风险水平。可通过查阅资料、询问有关人员等调查方式了解被审计单位的计算机应用系统、数据库管理系统和电子数据的有关情况、主要的业务流程、信息系统的内部控制、财务人员、系统管理人员、操作人员和维护人员的职业操守情况等;在制定审计工作方案时,要考虑风险因素,结合实际情况确定审计内容、重点和人员分工,并认真复核审计工作方案,确保适用于实际审计项目。
2.审计实施
审计实施阶段可通过对系统审计和数据审计两方面来进行,如果经过对计算机系统的评估,得出系统可靠的结论,可直接进行数据审计。数据审计可通过基础数据准备、分析数据准备和数据分析三大流程进行,其中,基础数据准备包括数据采集和数据转换,分析数据准备包括数据清理和整理、建立审计中间表等。在计算机审计中,要注意抓住数据审计流程的关键控制点,利用相关的技术方法在业务标准和目标的规范下进行作业,并对审计业务活动按照标准和目标进行复核,及时纠正不符合业务标准和目标的活动,以达到控制质量降低风险的目的。
在数据审计过程中,应交叉使用各种审计方法,降低因方法单一而诱发的审计风险,在整个基础数据准备和分析数据准备过程中必须贯穿进行数据验证工作。如:在开展教育系统经济责任审计过程中,在计算机审计数据采集环节,应验证数据的真实性和完整性,一可采取验证数据库创建日期的方法来查看被审计单位数据库的创建日期是否与预计的相同或接近,若相差很大,则说明被审计单位提供的数据有可能不真实;二可通过查看数据库中全部基本表所包含的数据行数是否与审计人员估算的行数相同,判断被审计单位所提供数据是不是原始的真实数据;三审计人员在确定导出所需要的表中数据之前,可先在被审计单位的数据库服务器上判断一下其提供的数据表是基本表还是视图,若是基本表还需验证下表的创建日期。在计算机审计数据清理验证环节,一可通过采用金额核对法,计算核对清理前后的数据某些对应指标的金额,保证清理后的数据的准确性,若在清理过程中进行了冗余记录的删除,要注意将删除记录的金额计入;二可通过采用记录数验证法,对比数据清理前后数据表的记录条数,检查有无数据丢失,确保数据完整;三可采用借贷平衡法,验算复式记账规则产生的电子账目的科目借贷方金额是否一致,以确保数据准确。
3.审计终结
审计终结阶段由出具报告、项目归档和后续审计三个流程组成。在出具报告环节,在审计报告送交被审计单位征求意见后,不得因被审计单位或个人对报告提出异议,未经查实而随便更改审计报告或工作底稿的内容,否则就不能树立审计权威;在项目归档环节,教育内审机构要确定专门档案保管人员,及时归档;在后续审计环节,教育内审机构应对被审计单位审计意见实际执行情况进行后续审计,检查审计意见是否真正得到落实,督促被审计单位整改到位,确保审计的质量和效果。
(三)加强计算机审计人员队伍建设,提供人力保障
一是加强计算机审计人员配备。教育系统内审机构应注重加强计算机审计人员的配备,尽可能吸纳兼备会计审计专业知识和计算机技术知识的人员充实审计队伍,改善人员知识结构,必要时可聘请专「J的计算机专家参与审计项目,以确保计算机审计任务的高质高效完成。
二是提高计算机审计风险意识。提高计算机系统管理人员的风险意识和安全防范意识,要设立有效的实时监控程序、电子密钥系统等安全防范措施来防范网络远程侵害,预防黑客的恶意攻击等,以减少电子数据遭受侵害或丢失的可能性,减少计算机审计控制风险;计算机审计人员应进一步提高计算机审计风险防范意识,保持应有的职业谨慎,坚守审计职业道德,做到依法、客观、尽责,严谨细致、高质高效,不断打造计算机审计成果“精品”和“高端产品”。
三是提高计算机审计人员素质。首先,要提高审计人员道德素质,加大对计算机审计人员的政治思想教育,大力弘扬“责任、忠诚、清廉、依法、独立、奉献”的审计人员核心价值观,坚定正确的政治方向;计算机审计人员要及时了解国家法律法规政策,规范行为,严格履职,将审计职业操守内化于心、外化于行,树立良好的职业道德形象。其次,要提高审计人员业务素质,加大对审计人员的知识培训力度,可采取分层次培训的方式进行:第一层次是普及培训,即审计人员能掌握计算机系统的基本知识,第二层次是骨干培训,培养出具有充分的计算机审计知识,熟练掌握电算化系统功能、应用程序、网络安全等技术方法,能帮助其他审计人员解决计算机审计难题的骨干人员;第三层次是专家培训,从计算机骨干中选拔出更优秀的人才,通过深层次的培训学习,培养能进行计算机审计软件开发、模型构建、开拓计算机审计新技术新方法的专家型人才。
(四)积极争取被审计对象的支持,优化审计环境
教育系统内审机构要加强审计宣传,提高被审计单位对计算机审计工作的认识,教育系统计算机审计人员要增强服务意识,以严谨扎实的工作作风、高质高效的审计成果、有效合理的审计建议来使被审计单位真正认识到内部审计是自己的参谋和助手,从而进一步取得被审计单位的理解和支持,促使其更好地配合审计工作的开展,以减少审计风险的发生。
(五)促进审计软件的推广和运用,降低审计风险
教育系统内审机构一方面应加强与计算机软件专家的联合,促进更符合教育系统实际、功能完备的高性能审计软件的开发、推广和运用,在大大提高审计效率的同时,有效控制或降低由于审计软件缺陷带来的审计风险。另一方面应加强与教育系统财务管理部门的沟通,提倡采用统一的尽可能方便审计软件操作的会计电算化软件,以控制或减少数据转换的错误发生率,提高审计软件的运用效率。
