论IT环境下审计风险.docVIP

论IT环境下审计风险 　　提要IT环境下的审计风险主要有来自信息载体、开放的网络技术、审计线索和审计证据、会计信息系统、审计人员知识构成等风险。其成因主要在于信息载体的变化、网络技术的开放性、审计线索的日益电子化与隐蔽性、会计信息系统自身的风险、审计对象的多元化。应当采取开辟独立控制区、加强企业内部控制、完善审计软件的设计、利用先进的审计技术、改变审计人员知识构成等措施加以防范和控制。 　　关键词：审计领域；审计风险；防范与控制 　　中图分类号：F239文献标识码：A 　　 　　随着信息技术的不断发展，越来越多的企业实现了信息化，管理工作，特别是会计工作的计算机信息化，也使审计领域逐渐进行电子信息化。这一方面提高了审计工作的效率，另一方面也给审计工作带来了新的挑战和风险。 　　 　　一、IT环境下的主要审计风险 　　 　　审计是社会经济系统的一个子系统，信息技术的发展、IT技术的广泛运用，为其发展带来了契机，但与此同时，审计工作也将面临着来自信息技术的巨大风险。 　　（一）来自信息载体的风险。这一种风险是指在网络环境下，由于存储介质的改变，即由传统的纸质介质转变为以磁盘、磁带为介质，一旦有用户非法通过系统的防火墙，就极易造成数据的被篡改和窃取，并且不留任何痕迹。 　　（二）来自审计线索、审计证据的风险。这种风险是指在计算机系统中，从原始数据的录入到报表的自动生成，几乎不用人工干预，使得传统的审计线索不复存在，难以实现诸如签字、盖章等使信息证据化的操作，为审计师追查审计线索带来了极大困难。 　　（三）来自会计信息系统的风险。这是一种在计算机环境下特有的风险，它包括计算机软件运行、开发错误所带来的风险，计算机硬件毁损、丢失带来的风险，以及计算机操作人员行为失当带来的风险。 　　（四）审计人员知识构成的风险。在IT环境下，要求审计人员不仅要有丰富的会计、审计知识，还要具备深层次的计算机知识技能，否则，就会带来一定的风险。因而审计人员的知识构成成为新环境下加大审计风险的又一因素。 　　 　　二、IT环境下??计风险的成因 　　 　　（一）信息载体的变化。在网络环境下，经济业务的原始凭证电子化，并以磁介作为主要的存储载体，这样虽然减少了纸张处理工作，使企业的管理更有效率，但是会计数据存储于共享、集成的企业信息系统中，极其容易导致机密数据泄露，使舞弊者或攻击者对原始数据进行非法修改或删除，被不法分子拷贝，使不留痕迹的篡改成为可能。 　　（二）审计线索的日益电子化和隐蔽性。审计工作履行“经济警察”的职责，掌握充分的审计线索、审计证据不仅重要而且必须。但是，在IT环境下，计算机的使用改变了会计记录的存储与处理，主要表现在：原始凭证或记账凭证一经输入机内，就变为以文件形式存入机内的数据文件。随着信息化的发展，对于各业务子系统中自动生成的机制转账凭证，其数据的采集来源于机内分配结转后的记录；总分类账为文件所替代，明细分类账采用满页打印方式，因而导致两类数据之间的核对只能在机内进行。账簿登录时，是通过计算机登账程序自动进行的，其使用的是哪一种程序便难以判断。 　　（三）会计信息系统自身的风险。ERP环境下会计信息系统必须结合信息技术的特征和优势，围绕会计信息系统的目标体系，以信息技术为重要手段，从会计信息处理的路径、规则、角色等方面进行规划。会计信息系统自身的风险主要有以下几种：由于权限集中，使得数据极易被控制、操纵的风险；程序设计风险；固有的计算机硬件风险和软件风险等。 　　（四）审计对象的多元化。在信息技术环境下，由于审计对象的多元化，导致审计线索、内部控制、审计内容和审计技术的改变，出现了审计线索的隐秘性、审计证据的难获取性等新特点，要求审计人员必须是掌握多种技能的“多面手”。没有计算机知识或没有会计信息化知识的审计人员会因为审计线索的改变而无法对其进行追踪；也会因为不懂得会计信息化系统的特点、风险及内部控制程序而不能审查和评价其内部控制，尤其是其中的程序化控制情况；因为不能熟练运用计算机而无法对计算机系统的功能进行审查。 　　 　　三、IT环境下审计风险的防范 　　 　　（一）开辟独立控制区。开辟独立控制区，对数据实施后台打包管理，可以有效解决不法分子进入系统，非法篡改、窃取数据不留痕迹的问题。使审计人员可以有效地获取软件运行的历史轨迹，获取数据的第一手资料，包括原始数据、数据的更改状况、更改数据的操作人员信息等，以此推测数据更改的目的，判断是正常的数据更正还是数据篡改作假，从而降低审计风险。 　　（二）加强企业内部控制。加强企业内部控制有利于审计人员获得完整、真实的会计数据，从而降低开放的网络技术带来的审计风险。具体可以采取以下措施：第一，实行识别认证和访问控制技术。为了防止非法用户的入