信息技術如何在審計過程中防范和控制審計風險

史 宏

隨著信息技術的迅猛發展，被審計單位為了提升自身的管理水平普遍采用網絡信息系統作為現代管理工具，被審計資料中涉及信息技術的內容越來越多，于是信息系統審計成為當代審計發展中必不可少的組成部分，其產生的審計風險在審計工作中所占比重也日益增加。可以說直接關系到審計項目質量的高低。因此，在審計過程中如何防范和控制由信息系統審計產生的風險，已成為當前控制審計風險、提高審計質量面臨的新任務。

一、信息技術在審計項目質量中的影響力越來越大

（一）新《審計準則》將對信息技術的要求明確到審計全過程

2011年1月1日起施行的《審計準則》在第二十三條、第二十九條、第六十條等對信息技術在審計過程中的應用進行了具體規定，分別從審計人員職業勝任能力、審計項目的選定、審計調查的內容、信息系統控制、審計調查方法、審計判斷影響因素、審計應對措施、審計獲取證據方法等方面進行了闡述，清晰地表明了信息技術在審計過程中應當作為的方方面面。但由于被審計單位信息系統種類繁多，后臺數據庫結構不盡一致，客觀上信息技術審計人員自由裁量權較大，運用職業判斷保持職業謹慎風險也就較大。如何有效防范、控制風險將成為一個長期的課題。

（二）信息技術在審計過程中應用和信息系統審計辨析

新《審計準則》發布前，計算機在審計中的應用有過大致三個階段，第一階段是作為文字處理技術應用，主要是文檔和表格；第二階段是作用審計輔助手段的應用，主要是一些專業小軟件的使用；第三階段是隨著網絡的運用和發展，提出對信息系統進行審計，近兩年常常是作為獨立審計項目進行，一般稱之為信息系統審計。

（三）信息系統審計將成為未來審計的重要基礎

隨著局域網等網絡系統和會計信息系統在財政、財務管理中的廣泛應用，信息系統將成為被審計資料的重要組成部分，審計前對被審計單位的信息系統進行調查、采集、評估，審計中查證等，也將成為審計的重要程序和內容，成為整個審計項目開展的基礎，為審計人員的下一步合規、合法、經濟責任、績效審計奠定基礎。因此，探討信息系統審計風險防范和控制，還具有十分重要的實踐意義。

二、信息系統審計風險分析

（一）信息系統審計的固有風險

信息系統審計固有風險，是指在不考慮會計信息系統規范的前提下，計算機會計信息系統處理數據發生錯誤的可能性。固有風險的存在與審計無關，它是由計算機軟硬件系統所固有的特點決定的，其風險水平與系統硬件質量、軟件穩定性及運行環境緊密相關，一方面會因為會計業務信息系統處理的實時性、準確性而降低，另一方面又可能因為會計業務信息系統的復雜性而增加。

（二）信息系統審計的控制風險

信息系統審計的控制風險，是指被審計單位內部會計信息系統軟硬件系統的應用、操作和管理規范等安全控制制度不夠健全、有效，導致無法恰當地防止、發現和及時糾正會計信息系統可能出現各種錯誤的風險。它與內部控制制度執行的有效性有關，與審計無關，屬于內部控制的范疇，審計人員只能評估其風險水平而不能對其實施控制和影響。其風險水平的衡量由于需要兼顧傳統內部控制的思想和計算機系統管理的知識，因而較為復雜且難以準確計量。

三、信息系統審計風險的防范和控制對策分析

（一）提高評估信息系統審計固有風險和控制風險水平正確性的對策

新審計準則第六十二條中規定“審計人員可以從下列方面調查了解被審計單位信息系統控制情況：（1）一般控制，即保障信息系統正常運行的穩定性、有效性、安全性等方面的控制；（2）應用控制，即保障信息系統產生的數據的真實性、完整性、可靠性等方面的控制。通過前面對信息系統審計固有風險和控制風險成因分析，結合信息系統審計風險模型，為提高評估固有風險和控制風險水平的正確性，應著重考察以下幾個方面：

一是考察被審計單位信息系統硬件設備運行環境的安全性。包括機房建設的合規性、硬件運行的穩定性、電源供應的穩定性以及各項安全控制制度是否健全并是否得到有效落實。信息系統是否進行軟硬件和電子數據的備份，備份方案是否全面。

二是考察被審計單位的會計軟件系統是否合格，各項功能設置是否安全可靠，其運行的穩定性及信息系統內部控制的合規性。

三是考察被審計單位組織控制是否健全。系統數據管理員、維修員、操作員和審核記賬等人員的配備是否科學合理，職責權限分工是否明確，不相容職務有沒有嚴格分離，是否通過設立相互稽核、相互監督、相互制約的機制，來保障會計信息的真實性、可靠性。

（二）降低信息系統審計檢查風險的對策

一是加強審計隊伍建設，提高審計人員的專業素質和道德素養。在新《審計準則》第二十三條中規定“審計機關應當合理配備審計人員，組成審計組，確保其在整體上具備與審計項目相適應的職業勝任能力。被審計單位的信息技術對實現審計目標有重大影響的，審計組的整體勝任能力應當包括信息技術方面的勝任能力”。這就要求審計人員必須熟練掌握審計、計算機和信息系統等方面知識。

二是努力開發實用高效的計算機審計作業軟件。審計部門應加強與計算機軟件公司的合作，開發功能完備的高性能通用型審計作業軟件。隨著審計署金審工程一期現場審計實施系統（AO）的廣泛應用和金審工程二期聯網審計軟件的不斷推廣，從而大大降低了審計作業軟件存在缺陷的可能性。審計部門也要加強與會計行業的溝通，提倡采用統一的會計電算化軟件，同時會計軟件的設計應盡可能考慮審計需求，保留審計線索并預留審計接口，最重要的是統一存儲數據的格式標準，盡量使會計軟件均預留國標數據備份接口，避免數據格式轉換或重復錄入的非效率性和可能出現的錯誤，從而降低審計風險。

三是國家有關部門應積極完善相關法律法規和制定有關信息系統審計準則。法律法規、審計準則是審計人員判斷是非的標準和尺度。信息系統審計有別于傳統審計業務，它的特殊性和進行審計所需的專業技術要求制定出信息系統審計準則，相關部門應盡早出臺適合我國國家審計的信息系統審計準則及相關信息系統審計法規，以使相關實踐有章可循，從整體上降低風險水平。

通過對信息系統審計風險三個構成要素的成因和風險防范、控制分析，主要目的是為了在新《審計準則》指導下，更好地開展信息系統審計，減少信息系統審計風險，提高審計質量。應對審計機關在審計工作中客觀存在的審計風險，信息系統審計人員同樣必須保持職業謹慎，充分運用專業判斷，對被審計單位信息系統的審計風險各要素進行全面的評估，確定可接受的審計風險水平，從而促進信息技術在審計過程中的高效應用，為審計工作發揮保障經濟社會健康運行的“免疫系統”作用勇于作為。