信息技术环境下审计风险的思考

陈明华

潍坊普惠有限责任会计师事务所

信息技术环境下审计风险的思考

陈明华

潍坊普惠有限责任会计师事务所

1. 背景

信息技术环境下的会计信息系统是建立在信息技术环境基础上的，其所处理的各种数据越来越多地以电子形式直接存储于计算机信息技术系统中，并通过互联网对企业各种交易和事项进行确认、计量和披露。

为了适应环境变化，更好地利用信息技术带来的优势，一种新的会计信息管理模式——信息技术环境下的会计信息系统应运而生。由于目前信息技术自身的发展还不够完善，信息技术在给信息传递带来便利的同时，也不可避免地带来了一些问题和风险，所以如何提高信息技术环境下会计信息的安全程度、降低安全风险，成了信息技术条件下会计工作必须考虑的问题。

2.信息技术环境下审计风险概述

在传统审计模式下，审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性，审计风险的大小取决于重大错报风险和检查风险。随着信息技术的飞速发展，会计信息系统也日益完善化、复杂化，因此，审计面临的对象不再是简单的账簿资料和普通的内部控制问题，数据更加复杂、信息系统的繁琐及其自身本来存在的内部局限和安全风险，使得审计在信息技术环境下面临着更大的风险与挑战。

3.信息技术环境下审计风险的特征

在信息技术环境下，随着审计工作效率和审计质量提高，以及审计信息披露的更加及时，审计风险也变得更加复杂，其相应的危害性也更加严重。

(1)在固有风险特征方面。由于信息技术的广泛应用和普及，极大提高了日常账务处理的及时性、正确性和可靠性，有效地降低了人为因素的干扰。同时，计算机网络本身容易感染病毒、易受到侵害、攻击，以至于造成网络瘫痪，以及软件、硬件、网络等方面出现的不兼容性或是系统崩溃等错误，导致固有风险在信息环境下急剧增加。

(2)在控制风险特征方面。由于随着信息技术的广泛使用，使得控制风险基本要素，如环境控制、活动控制、信息与沟通、风险评估、监督与控制等均发生了不同程度的变化，注册会计师在评估审计风险时必须充分考虑这些变化，否则将不得不面临巨大的审计风险。

(3)在检查风险特征方面。虽然随着信息技术被广泛的使用，提高了审计的覆盖面、审计证据采集的独立性、审计证据分析处理的可靠性等，这样使得注册会计师极大地提高了审计工作的效率；但是由于注册会计师缺乏对信息系统全面的认识和理解、加之审计证据的不可靠性、以及注册会计师对于技术的过分依赖性，使得审计检查风险大大增加。

4.信息技术环境下审计风险形成的原因

4.1 信息技术环境下审计法规的不完善性

审计风险的形成，在很大程度上取决于一定法律法规环境的具体情况：

(1)受法律制度的科学性制约。如果会计法规缺乏科学性，就会为会计信息真实性的判断带来困难，从而影响会计法规的贯彻执行，给不法分子钻法律空子、制造虚假会计信息留有余地。

(2)受会计法规的可操作性制约。会计法规中关于会计信息质量方面的判定方法和判定标准要有良好的可操作性，只有这样，才便于执法部门对虚假会计信息认定和管理。

4.2 电子数据存在被篡改或被破坏或丢失的可能性

手工系统中，纸性介质上的信息易于辨认、追溯。而在计算机系统中，人为修改、删除、隐匿和破坏电子数据则很容易；因操作失误、程序处理错误、非法入侵和网络传输故障等均可能对电子数据造成极大的破坏和泄漏。

在审计过程中，注册会计师需要跟踪的审计线索以电磁信号的形式分散在磁性介质上，如磁盘、磁带或计算机系统内，这些线索极容易被更改、隐匿和消失，也容易被转移、销毁和伪造，注册会计师难以对有关信息进行辨认，且篡改电子数据后不留蛛丝马迹难以追溯。

5.信息技术环境下审计风险的防范措施

通过对信息技术环境下审计风险的分类及信息技术环境下的审计风险成因的分析，我们可以用相关的针对性措施来防范和控制相关风险的发生，虽然客观原因不可避免，但可以在一定程度上降低其发生的可能性，而主观人员导致的信息技术环境下的审计风险更是可以预防的。

5.1 组建审计专业化团队和实行专业分组化合作审计

在现代IT环境下，我们进行审计风险控制的主要措施可包括谨慎接受审计客户，采用风险导向审计方法，了解客户的公司治理结构、组织胜任的审计团队、实施审计合伙人轮换制度、改进审计双重复核制度和控制审计结论的正确性等方面。

(1)在组织审计时。尽可能吸纳同时具备会计审计知识和计算机审计知识的人员进入审计队伍，锻炼审计人员多方面业务能力，提高其对客户的经营风险和舞弊风险评估分析的能力，制定详细的审计计划，恰当评估被审计单位的固有风险和控制风险水平。

(2)选用适当的审计方法时。不过分依赖计算机审计软件，进行现场取证和对计算机审计成果的适当复核。明确审计组成员职责分工，优化审计组内部人力资源的配置。

5.2 保证审计数据的正确性、完整性和连贯性

(1)保证审计数据的完整、准确、连贯。审计人员在审计时必须认真检查被审计单位所提供的数据是否真实、是否属审计时间范围内的财务数据，是否属结帐后的数据，各个会计期间的电子数据是否连贯，并需要对数据进行复核。

(2)采用就地审计或突击审计的方式。在审前调查或进行审计时，事先不通知被审单位计算机管理员，取得被审计单位人员对电子数据所作的现场备份数据，以防操作员将数据篡改、删除等。

5.3 加强信息技术环境下审计行业的自律

审计风险是审计主体遭受损失的可能性，而审计主体不单单是指审计人员，也是指审计机构甚至审计行业。

(1)严格遵守审计准则，执行合格的审计。审计风险具有全过程性。审计活动本身既是审计的行为过程，又是产生审计风险的过程，独立审计准则是注册会计师从事审计工作应遵循的规范和尺度，是评价审计质量的权威性标准，同时也是判定独立审计责任的依据，严格遵守独立审计准则是防范审计风险的一条主要途径。

(2)建立完善审计质量控制体系，提高审计质量。会计师事务所应建立健全的审计质量控制制度，并把这一制度落实到每一部门、每一个人身上，落实到每一个审计项目、每一个审计环节上去，做到岗位明确、职责清楚、操作有序，保证审计工作高质量地完成，从而减少审计风险。

6.结论

在新的环境下，审计人员面临的审计风险日趋严重和扩大化，对审计风险特别是信息技术环境下的审计风险的研究与控制，成为当前摆在审计人员面前的一个极为重要的课题。针对信息技术环境下审计风险的成因进行防范，具有很强的实用性。