首页 机关概况 政务信息 党建工作 网上服务 互动交流 法治天地
当前位置:首页 > 政务信息 > 审计信息化
 
审计信息化

计算机审计风险刍议

发布时间: 2019-10-15 11:05

文章来源:包头市审计系统

文章类型:原创

字号:[

打印

  一、背景

  计算机审计,是指审计机关、审计人员将计算机作为技术手段对被审计单位财务、业务及其计算机应用系统实施的审计。在信息化快速发展的背景下,计算机技术应用于业务管理和财务管理,使得审计内容发生了重大的变化,审计工作也面临着巨大的挑战。顺应潮流,为了提高工作效率,审计机关从上至下都积极投入计算机审计的研究中,由于仍然处于发展初期,对计算机审计风险的认识还不够深入。

  习近平总书记在中央审计委员会第一次会议上强调,要“努力构建集中统一、全面覆盖、权威高效的审计监督体系,更好发挥审计在党和国家监督体系中的重要作用”。随着审计全覆盖的逐步实施,计算机审计的应用会逐步深入,在高质量完成审计工作的同时,审计风险将随之增加。计算机审计风险的正确识别和分析是提高审计工作的质量和效率的重要保障。

  二、风险

  (一)信息系统的风险

  信息技术的高速发展,不管是从硬件方面还是从软件方面来看,信息系统不再是孤立的,和外界时刻保持着联系。因此在硬件的差异、病毒和黑客的入侵、系统的技术过于复杂、系统设计缺陷、信息系统的更新迭代、被审计单位关于信息系统管理的内控制度不健全等方面存在的问题都会导致审计数据的不准确,会影响到审计的质量和效率,随之产生审计风险。从数据角度来看,由于电子数据的“不可视性”和易篡改、不易留痕等特点,系统中如果数据被篡改,再将修改痕迹删除,审计人员很难察觉,也会给审计工作带来风险。

  (二)计算机审计风险

  1、系统复杂而对应计算机审计人员知识储备不足导致的审计风险。

  信息系统建设是一个复杂的社会过程,主要表现在技术手段复杂、建设内容复杂、需求目标多样、环境多变。在此复杂环境中,审计人员要了解计算机硬件、软件的同时,还要详尽了解业务循环过程,以及业务流程如何在信息系统中实现的,关键业务流程对信息化的依赖程度等。因此,计算机审计人员不但有较为前沿的技术知识储备,还应对计算机知识和信息处理技能的运用有充分的掌握,还应对被审计单位业务有极其细致的了解。计算机信息系统运用日趋复杂,审计工作节奏日趋紧迫,有限的专业技能会导致审计人员无法完全掌握被审计单位信息系统和业务知识,最终带来审计风险。

  2、审计技术的复杂性导致的审计风险。

  在信息化的环境下,被审计单位采用的财务软件、业务系统类型众多、功能各异、数据错综复杂,缺乏统一的标准和规范,增加了审计难度,由此审计人员要求运用的审计技术和方法也不一样,如果不能采取适当的审计技术和方法,就必然会带来审计风险。

  随着大数据审计的开展,电子数据的规模庞大、种类繁多、来源多样,审计线索也更为隐蔽,要求审计人员具有数据恢复、数据挖掘、多维分析、数据安全等方面较高的计算机技术和业务知识水平。现阶段,虽然审计人员业务素质有很大提高,审计机关也重视计算机技术的培训,但是审计工作时间紧、任务重,审计人员学习时间和精力有限,计算机水平仍然是审计人员的短板。由此,电子数据不能很好的利用,存在审计风险。

  3、计算机审计人员分析过程中的审计风险。

  在数据采集过程中,采集程序不规范导致采集不全、过度采集、多源数据“打架”等问题,从而影响到审计的质量和效率。

  在审计过程中,如果审计人员由于操作失误、理解错误会导致数据的错、漏、重,将会影响审计判断和检查,从而增加了审计风险。在审计过程中,不同人员对同一问题会有不同解决方案,如果分析思路或者所选的审计方法有误,必会导致审计风险。审计人员过分依赖计算机运行所得出的结果,而没有对各种疑点线索进行必要的复查,或者是计算机审计基于电子数据,难于取证,也会导致审计风险的产生。

  4、审计软件风险。

  审计软件风险是指计算机审计软件本身缺陷原因造成的风险。主要原因:一是研究开发人员对审计或业务不熟悉,造成软件自身的不完善,运行不稳定或审计计算、分析的偏差;二是审计软件没有通过有关部门的评审就投入使用;三是审计软件的升级相对滞后,标准不统一,造成审计方法不适用等。从而影响了审计效率和审计质量。

  三、对策

  1、努力提高审计人员的技术水平。包括提高审计人员的计算机技术水平和提高计算机审计人员的业务能力。当前形势下,运用计算机助力审计已成为审计工作的必由之路。审计人员的计算机技术水平的重要性是毋庸置疑的。在加强审计人员专业技术水平和数据分析思维上下功夫,训练总体思维、关联思维、预测思维,使得审计工作开展的角度更多、视角更广,结果更为精准,规避审计风险。

  2、审计机关立足于实际情况,扬长避短,选准计算机审计的着力点,逐步深入推进计算机审计。例如,在计算机审计初始阶段,加强内部控制环节的审计。深入了解业务流程在计算机信息系统中实现的过程,并重点关注诸如电子数据相关部门的不相容职责分离、授权控制、制度建立与执行、环境安全等一般控制,输入控制、采集控制、时序控制、输出控制等应用控制。鉴于电子数据的处理过程更加隐秘,存在不可控制性,在内部控制上应该采用更加严格的审计方法,必要时审计人员须进行严格的校验和测试,降低审计风险。

  3、加快计算机审计制度建设。针对计算机审计工作加快制定相关的标准、规范、制度,加强计算机审计过程的控制。做到在审计准备阶段、审计实施阶段、审计终结阶段计算机审计标准化、规范化,从而降低审计风险。例如制定信息系统审计标准流程,以确保系统风险降到可控范围;健全数据采集审核、数据清洗复核机制,确保中间数据紧密围绕审计目标,保证数据的真实完整,以提高审计质量和效率,降低审计风险;建立数据分析双复核机制,在数据分析团队中设立数据分析思路复核小组,对分析人员的思路和方法进行分析复核,确保分析结果有效;试行数据审计跟踪审理机制,由审理人员全程参与计算机审计过程,免去审理时复杂分析过程的重现困难,促进和规范计算机审计难以取证的问题。

  随着信息化水平的不断提高,计算机审计在审计环境、审计线索、审计对象、审计技术等方面与传统审计不尽相同,也带来了新的审计风险。因此深入研究分析计算机审计风险的成因及应对措施,才能利用好计算机审计这把利剑,有效地提高审计工作的质量和效率。(杜海庆)

转发至:
Copyright@ 内蒙古自治区审计厅版权所有  地址:内蒙古呼和浩特市赛罕区大学东街116号  邮政编码:010020 
主办单位:内蒙古自治区审计厅  承办单位:计算机审计管理中心  蒙ICP备09003634号  联系电话:0471-6634819
网站标识码 :1500000051  

蒙公网安备 15010502000499号

  建议使用IE8或IE8以上版本浏览器访问  您是第 [] 位访问者