论文部分内容阅读
【摘要】:20世纪90年代后期至今,会计电算化已逐步走向成熟,而企业的信息化建设并没有就此止步,企业信息系统的高度集成逐渐开始兴起。这时的企业信息系统不仅仅是一个孤立的系统,而是集财务、人事、供销、生产为一体的综合性的信息系统,财务信息只是这个系统所处理信息的一部分,单独的财务系统已不存在。在这种情况下,审计人员只有对整个系统进行全面了解,才能把握审计对象的总体情况,避免审计风险,将审计成果最大化。随着计算机技术、信息技术和网络技术的广泛应用与普及,企业的经营、管理和核算模式正在发生较大的变化,企业会计信息系统和经营管理系统的构成要素的变革使审计人员面临的原始资料不再仅仅是手工的凭证、账簿和报表,而是计算机信息系统本身及其高度集中的大量电子数据。
【关键词】: 会计;审计;信息技术;风险
一、信息系统环境下的风险评估
信息系统不是单纯的机器,不能用单一的眼光来看待信息系统,而是人机相互配合、相互协作的系统,就必须把信息系统放到整个企业中,将其视为一个相互协调、相互配合、相互进化的生态环境。对于任何一个经济组织,建设信息系统的目的就是要有助于增强应用对象的竞争力。信息系统的核心内容就是对信息的利用,这种利用不仅包括信息采集、传输、存储、显示、利用,还包括对信息置信度的评价、信息的综合、信息的压缩、信息的馈入等内容。
一般来说,在计算机网络信息系统覆盖了一个企业的营销、计划、生产、采购、仓储、财务、人力资源等企业运营管理的各个层面,如果对每个流程和控制点都进行评估,在资源的利用上是非常不经济的,我们可以通过以下方式来降低审计风险:对于建立了长期业务关系的被审计单位,可以通过要求其加强内外部安全机制、完善软件功能、改进数据录入技术;可以通过要求其统一文件存贮的格式,降低历史文件难以打开阅读的可能性。
计算机网络信息系统的控制评估必须基于风险管理的原则,通过风险评估寻找对主要业务运作中影响最大的领域。我们可以从企业整个业务风险域中寻找对与财务报表有关的风险的业务流程,从而进一步确定系统模块对业务流程的支持,在实际工作中,一般是通过对业务流程所使用系统模块的频繁程度来确定评估范围。
在进行调研和风险评估中,如果发现计算机网络信息系统中涉及到企业收入业务、支出业务和库存业务的系统控制流程对企业的业务能否顺利运转影响比较大。由于业务控制的削弱,这种影响导致企业出现违规问题的可能性增加。例如,企业管理层非常关注财务控制内部和外部流程,因为这些流程决定了财务数据的准确性,是反映企业运作是否健康的“脉搏”。因此,在审计中通常就要更关注收入业务,它包括主数据维护、销售订单处理、发运、开票、退货和收款等控制内容
二、信息系统审计范围
信息系统审计范围包括与信息系统有关的所有领域,例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等。
三、信息系统审计检查风险的特征
1、存在难以查找历史资料的可能性。对账户或交易的重大实质性测试往往离不开企业的历史数据,由于软件版本的升级、平台的迁移等被审计软件的更新换代,可能导致难以从往年账套里读取历史数据,迫使审计人员不得不从浩如烟海的文档中手工收集和整理历史数据,这不仅降低了审计效率,而且还将带来更多的检查风险。
2、存在难以全面检查测试的可能性。手工系统下,内部控制的情况看得见、摸得着,都有据可查;而在计算机信息系统环境下,内部控制主要依赖于软件本身,内部控制融于系统软件之中使审计人员无法通过传统方法觉察,这就要求审计人员设计测试数据来测试软件的控制能力。如果在进行计算机信息系统设计时考虑不周,计算机信息系统可能无法判断出某类数据是否符合逻辑,对不合理的数据可能也会进行日常处理。并且对错误数据的处理还具有重复性和连续性,从而可能导致审计人员误认为是正常处理。由于多数审计人员并非电脑专家,要在有限的审计时间里设计完善的测试数据是不现实的。
3、存在难以取得全面资料风险的可能性。在机信息系统环境下,审计人员进行审计的依据是信息系统的输出信息,审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息,其他敏感性信息则极有可能被人为掩藏。这样,审计人员处于被动地位,难以获取充足的审计证据支持其审计结论,加大了信息系统审计的检查风险。
4、存在难以控制技术风险的可能性。对网络交易而言,当在交易环节中人工干涉变得越来越少时,对控制信息技术是否有效进行的检查将更具实际意义。信息技术控制包括数据存储控制和数据处理控制等,如对程序变化的检查确保以系统程序按管理层的意图运行;在网络灾难导致数据存储平台或数据处理平台瘫痪时,灾难防御计划能使信息处理功能迅速恢复,这些都是任何信息化交易需要加以关注的基本审计风险。随着网络交易越来越广泛,围绕顾客为特征的、并基于计算机或因特网的信息处理过程,对审计人员而言,降低这种检查风险将比任何时候都更具重要意義。
三、信息系统审计风险的控制措施
在信息系统审计风险的三个要素中,固有风险和控制风险与被审计单位内部控制是否存在、是否有效有关,审计人员对此无法控制,审计人员所能控制的只有检查风险。审计人员可以通过研究和评价信息系统内部控制,对信息系统固有风险和控制风险的高低做出评价,在此基础上便可确定实质性审计的内容范围,以便将检查风险以及总体信息系统审计风险降低至可接受的水平。具体的控制措施如下:
(一)提高审计主体的素质。
审计主体广义上就是具体审计组织。作为承载着促进国家计划的实现,合理利用资源,保护社会主义财产,维护财经法纪,提高经济效益在极其重要的作用的审计机关,审计人员知识结构、道德修养的组成决定了其水平的高低。因此审计机关应该注重审计人员知识结构的合理搭配,改善人员知识结构,同时加强政治思想教育,提高审计机关整体水平。
从审计工作的具体实施来看,审计人员是审计的主体,其素质的高低与审计风险的大小直接相关。因此,提高审计人员的政治、业务素质是防范审计风险的有效途径。审计人员应树立全球的视野,研究当今信息系统审计的总体状况、发展趋势,在充分吸收国内外成熟理念和做法的基础上开展审计实务。在信息系统审计实践中不断提炼总结,加强信息系统审计方法体系研究。在审计活动中要始终保持独立性,规范自身行为,严格履行职责和权力;及时了解国家政策法规,避免對现行政策不理解而做出不适当审计结论,构成审计风险;不断提高对会计、审计、计算机、信息系统等专业理论水平;定期接受职业培训和继续教育,从自身素质的提高上来防范审计风险。
参考文献:
[1]张金城计算机信息系统控制与审计[M].北京:北京大学出版社,2002.
[2]《国务院办公厅关利用计算机信息系统开展审计工作有关问题的通知》(国办发「2001」88号).
作者简介:潘婷(1995—),女,汉族,浙江湖州人,学生,本科,单位:浙江师范大学行知学院商学分院,专业:会计学。
【关键词】: 会计;审计;信息技术;风险
一、信息系统环境下的风险评估
信息系统不是单纯的机器,不能用单一的眼光来看待信息系统,而是人机相互配合、相互协作的系统,就必须把信息系统放到整个企业中,将其视为一个相互协调、相互配合、相互进化的生态环境。对于任何一个经济组织,建设信息系统的目的就是要有助于增强应用对象的竞争力。信息系统的核心内容就是对信息的利用,这种利用不仅包括信息采集、传输、存储、显示、利用,还包括对信息置信度的评价、信息的综合、信息的压缩、信息的馈入等内容。
一般来说,在计算机网络信息系统覆盖了一个企业的营销、计划、生产、采购、仓储、财务、人力资源等企业运营管理的各个层面,如果对每个流程和控制点都进行评估,在资源的利用上是非常不经济的,我们可以通过以下方式来降低审计风险:对于建立了长期业务关系的被审计单位,可以通过要求其加强内外部安全机制、完善软件功能、改进数据录入技术;可以通过要求其统一文件存贮的格式,降低历史文件难以打开阅读的可能性。
计算机网络信息系统的控制评估必须基于风险管理的原则,通过风险评估寻找对主要业务运作中影响最大的领域。我们可以从企业整个业务风险域中寻找对与财务报表有关的风险的业务流程,从而进一步确定系统模块对业务流程的支持,在实际工作中,一般是通过对业务流程所使用系统模块的频繁程度来确定评估范围。
在进行调研和风险评估中,如果发现计算机网络信息系统中涉及到企业收入业务、支出业务和库存业务的系统控制流程对企业的业务能否顺利运转影响比较大。由于业务控制的削弱,这种影响导致企业出现违规问题的可能性增加。例如,企业管理层非常关注财务控制内部和外部流程,因为这些流程决定了财务数据的准确性,是反映企业运作是否健康的“脉搏”。因此,在审计中通常就要更关注收入业务,它包括主数据维护、销售订单处理、发运、开票、退货和收款等控制内容
二、信息系统审计范围
信息系统审计范围包括与信息系统有关的所有领域,例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等。
三、信息系统审计检查风险的特征
1、存在难以查找历史资料的可能性。对账户或交易的重大实质性测试往往离不开企业的历史数据,由于软件版本的升级、平台的迁移等被审计软件的更新换代,可能导致难以从往年账套里读取历史数据,迫使审计人员不得不从浩如烟海的文档中手工收集和整理历史数据,这不仅降低了审计效率,而且还将带来更多的检查风险。
2、存在难以全面检查测试的可能性。手工系统下,内部控制的情况看得见、摸得着,都有据可查;而在计算机信息系统环境下,内部控制主要依赖于软件本身,内部控制融于系统软件之中使审计人员无法通过传统方法觉察,这就要求审计人员设计测试数据来测试软件的控制能力。如果在进行计算机信息系统设计时考虑不周,计算机信息系统可能无法判断出某类数据是否符合逻辑,对不合理的数据可能也会进行日常处理。并且对错误数据的处理还具有重复性和连续性,从而可能导致审计人员误认为是正常处理。由于多数审计人员并非电脑专家,要在有限的审计时间里设计完善的测试数据是不现实的。
3、存在难以取得全面资料风险的可能性。在机信息系统环境下,审计人员进行审计的依据是信息系统的输出信息,审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息,其他敏感性信息则极有可能被人为掩藏。这样,审计人员处于被动地位,难以获取充足的审计证据支持其审计结论,加大了信息系统审计的检查风险。
4、存在难以控制技术风险的可能性。对网络交易而言,当在交易环节中人工干涉变得越来越少时,对控制信息技术是否有效进行的检查将更具实际意义。信息技术控制包括数据存储控制和数据处理控制等,如对程序变化的检查确保以系统程序按管理层的意图运行;在网络灾难导致数据存储平台或数据处理平台瘫痪时,灾难防御计划能使信息处理功能迅速恢复,这些都是任何信息化交易需要加以关注的基本审计风险。随着网络交易越来越广泛,围绕顾客为特征的、并基于计算机或因特网的信息处理过程,对审计人员而言,降低这种检查风险将比任何时候都更具重要意義。
三、信息系统审计风险的控制措施
在信息系统审计风险的三个要素中,固有风险和控制风险与被审计单位内部控制是否存在、是否有效有关,审计人员对此无法控制,审计人员所能控制的只有检查风险。审计人员可以通过研究和评价信息系统内部控制,对信息系统固有风险和控制风险的高低做出评价,在此基础上便可确定实质性审计的内容范围,以便将检查风险以及总体信息系统审计风险降低至可接受的水平。具体的控制措施如下:
(一)提高审计主体的素质。
审计主体广义上就是具体审计组织。作为承载着促进国家计划的实现,合理利用资源,保护社会主义财产,维护财经法纪,提高经济效益在极其重要的作用的审计机关,审计人员知识结构、道德修养的组成决定了其水平的高低。因此审计机关应该注重审计人员知识结构的合理搭配,改善人员知识结构,同时加强政治思想教育,提高审计机关整体水平。
从审计工作的具体实施来看,审计人员是审计的主体,其素质的高低与审计风险的大小直接相关。因此,提高审计人员的政治、业务素质是防范审计风险的有效途径。审计人员应树立全球的视野,研究当今信息系统审计的总体状况、发展趋势,在充分吸收国内外成熟理念和做法的基础上开展审计实务。在信息系统审计实践中不断提炼总结,加强信息系统审计方法体系研究。在审计活动中要始终保持独立性,规范自身行为,严格履行职责和权力;及时了解国家政策法规,避免對现行政策不理解而做出不适当审计结论,构成审计风险;不断提高对会计、审计、计算机、信息系统等专业理论水平;定期接受职业培训和继续教育,从自身素质的提高上来防范审计风险。
参考文献:
[1]张金城计算机信息系统控制与审计[M].北京:北京大学出版社,2002.
[2]《国务院办公厅关利用计算机信息系统开展审计工作有关问题的通知》(国办发「2001」88号).
作者简介:潘婷(1995—),女,汉族,浙江湖州人,学生,本科,单位:浙江师范大学行知学院商学分院,专业:会计学。