信息化环境下的审计风险识别与控制

杨智敏

信息化环境下的审计风险识别与控制

杨智敏

随着信息技术的发展，网络在各行各业及各部门的普及，信息化的发展及其利用成为各行业不可或缺的因素。由于信息技术的迅猛发展，它在不断影响互联网行业的同时，还进一步影响着会计、审计等行业。本文是以信息化环境为前提，着力于审计风险识别的研究，并提出从错误风险、技术风险、控制风险及检查风险四个方面降低审计风险。

信息化;审计风险;风险识别与控制

一、研究背景

随着现代科技的迅速发展，信息技术也得到了突飞猛进的进步，而信息技术对审计的影响也日益剧增。正因如此，审计也正走向了信息化的发展道路，尤其是网络技术的应用，使得数据库以及存储等技术在各个企业得到了广泛的应用。很多企业不仅在会计业务上实现了信息化式的管理模式，审计部门也将计算机作为审计的一种辅助工具，以此来快速分析及处理其会计数据信息，实现审计信息的共享程序，提高审计人员的工作效率和质量。虽然安宁 (2013)认为，计算机审计与传统手工审计的基本审计目标和审计范围式相通的，同样执行着经济监督职能，它们并没有本质的区别，但在审计方法和技术等方面是发生了一些改变［1］。而笔者则认为，信息化环境下的审计目标不再与传统手工下单一的财务报表审计目标相同，而是包括信息系统安全性和可靠性在内的多元化的审计目标。本文以信息化环境为前提，研究了审计人员在实施审计前对如何企业进行审计风险识别及控制其风险。

二、审计风险及识别

审计风险是审计人员将存在重大错报、漏报的财务报告判断为合法的，以及将存在弊端和漏洞的经营管理判定为健全有效的，并提出不恰当审计意见的可能性。狭义上的审计风险是指注册会计师在对财务报表进行审计时，发表的审计意见表达不当，而广义的审计风险是指审计主体发生错误损失的可能性。

识别审计风险的技术方法有很多，如:比较分析、波动分析、因果分析等定量分析，还有神经元网络分析、马尔可夫分析法等定性与定量相结合的方法。韩宝玉 (2011)通过从经营环境风险、财务指标风险、内部控制风险及其他审计风险等方面进行识别的，并提出一些审计风险应对措施［2］。李晓慧、孙蔓利 (2012)采用业绩归因法对审计风险进行识别，她们通过业绩归因分析评价企业审计风险的应用框架，并以一个实例来论证业绩归因分析可以作为审计师识别风险和应对风险的一种有效方法［3］。

三、信息化环境下审计风险的识别

信息化条件给审计带来了新的机遇和挑战，通过使用信息技术手段来进行审计，可以使得审计工作能更加顺利的开展。陈学义 (2012)认为运用先进的审计手段，在审计测试软件的支持下，计算机可以代替审计人员来进行审计，使得审计的过程更加的迅速和简单。这样，不仅可以提高了审计效率，而且节约了审计时间和审计成本。审计报告、审计结论的生成周期也将大大地缩短，更及时地发现问题，致使审计人员能更快的解决问题，提高审计的效用［5］。信息化是在信息化的基础上，通过使计算分布在大量的分布式计算机上，企业数据中心的运行将与互联网更为相似，这就使得企业能够将资源切换到需要的应用上，然后根据需求访问计算机或存储系统。

亢丽华 (2008)对国际审计准则提出的审计风险模型进行了修改，提出了信息化环境下风险要素模型:审计风险=重大错误风险X检查风险［4］。而李琳、刘帅 (2014)则认为信息系统审计风险主要包括技术风险、控制风险以及检查风险等，而它们之间的关系是既独立又相互关联。因此建立一个信息系统审计风险模型:审计风险X控制风险X检查风险［5］。而笔者则认为要进一步符合信息化环境对审计风险识别的要求，即需扩大审计工作对风险识别的范围，并对审计数据的安全可靠性进行识别。因此，信息化环境下审计风险要素模型:审计风险=错误风险*技术风险*控制风险*检查风险，根据这个风险模型，可以对审计风险进行识别。

1.错误风险

错误风险是由于在传统审计实践中，风险的识别和评估一般只通过审计人员单一的主观因素来判断，缺乏有效的证据，以及说服力。在信息化环境下审计中，影响审计风险要素更加的复杂多样化，仅凭审计人员单一的主观判断力是很难客观的评价审计风险的实际情况。因此，一些学者综合性地运用层次分析法、熵权法和模糊综合评价法，并考虑风险因素的价值量和信息量权重，使得评估结果更加可靠［6］。在可接受审计风险水平的基础上，确定检查风险的大小，从而来确定审计测试的时间、范围以及其性质等。在信息化环境下，审计对象也随着信息化环境的扩大越来越复杂，包括被审计单位的经营管理、管理制度、业务流程及交易方式等，而审计人员也要通过被审计单位的电子管理数据库进行采集和整理数据，并从中获取适当的电子证据。但在对被审计单位进行数据采集之前，要选择合理的审计方式，比如:就地审计或者突击审计等方式，防止操作员或程序员在审计之前篡改或删除正确数据，这样就很难保证被审程序和数据的正确性和完整性。因此，在信息化环境下，审计目标的多元化和审计风险要素的复杂化及审计数据的虚拟化都使得审计工作导向性转为以识别和控制该风险所带来的重大错误风险为核心。

2.技术风险

技术风险是企业在对信息进行处理的过程中产生了一些不确定因素，而这些因素可能会对审计风险有影响。审计人员在进行审计时应采取适当的审计识别技术和方法，分析及控制信息技术风险发生的概率及影响程度，为进一步确定审计目标、范围和方法提供有利的证据。在信息化环境下，企业为了达到预期的审计目标，可能让系统操作员在后台不留痕迹的修改电子数据，就有可能存在审计线索被消除或者减少的可能性。而在此环境下可能存在技术风险的原因有:信息数据中一些商业机构的安全保密性较差;信息系统的多样性导致审计的取证较为困难;被审计单位中的审计软件部完善。

3.控制风险

传统审计控制风险是企业内部控制结构体系未能及时的发现审计经济业务中存在的一些差错或不法行为，导致审计报告失真，只要企业内部制度不完善，就会存在控制风险，由此就会存在审计风险。在信息化环境下的审计控制风险，就是结合了计算机程序化和网络共享共同控制的，而企业内部控制结构体系未能及时的发现审计经济业务中存在的一些差错或不法行为，导致财务报告失真的概率。在此环境下可能存在控制风险的原因有:企业有意或无意识的使设置权限与职责未分离，违反传统手工工作下的不相容职务相分离的原则;网络的传输和数据的存储系统不完善，使得会计数据出现异常错误;系统软件对现金和银行的收付业务缺乏有效的控制手段。

4.检查风险

检查风险是指某鉴证对象存在错报，该错报单独或者连同其它错报都是重大的，但注册会计师未能及时发现该错报的可能性。在信息化环境下，检查风险是由审计人员在对业务进行审计时产生的，它产生的原因有:审计人员素质不高，缺乏会计、审计及计算机网络等综合知识;系统软件的更新换代的速度过快，增加了提取历史数据的难度;系统操作员故意篡改或删除历史数据，导致审计人员提取的数据没有真实可靠性。

四、信息化环境下降低审计风险的措施

1.降低错误风险

信息化环境下，错误风险使得审计范围越来越广，内容也越来越复杂。因此，审计人员要获取更多的与错误风险相关的审计信息，必须运用合适的方法，主要包括:询问、观察、识别、筛选、监测以及诊断等。同时要将审计人员的职责进行规范分工，不相容职务相分离，系统管理人员由于熟悉系统的运行，并掌握大部分重要信息，要防止他们对一些数据进行篡改，导致企业造成重大错误的损失。

在数据库中对审计数据的提取时，采用就地审计或者在系统管理员不知情的情况下对数据进行抽查、拷贝。

2.强化数据管理，降低技术风险

审计人员应该积极开展在信息化环境下审计风险识别的分析，充分考虑审计风险识别和控制的结果，进而重点关注一些缺乏控制、重要性程度较高及可能产生务必情况的控制环节，并确定审计的内容及审计范围，以及对企业的信息技术的内部控制设计和执行是否有效进行测试，进一步完善内部控制体系结构。因此，企业应该开展和加强对信息技术风险的识别和控制。在信息化的环境下，企业应对其制度、规范等进一步完善，达到统一信息系统审计技术的标准，并将数据输入、处理和输出控制、信息系统的访问及网络安全作为审计风险控制的重要内容。审计人员要在熟练操作计算机的基础上，还要对其有一定的安全意识，要防止计算机病毒的入侵，定期对计算机进行安全检查，且在进行审计之前，一定要对被审计单位最原始的数据库进行核对，防止企业呈现的是已篡改的数据来进行审计。

3.降低控制风险

信息技术是企业内部控制制度实现的前提，也是内部控制的主要内容和重要环节，因而审计风险的出现以及企业对审计风险的态度和管理成为了企业内部控制的动力。企业应该借助信息化这一平台，从内部控制风险的特点出发，权衡控制风险和收益，制定出相应的审计风险改善措施，以此来保障信息系统数据的安全和可靠，从而更好的识别审计风险，并对其进行控制。企业降低控制风险的方法有:高度重视风险管理，完善内部控制制度;完善并坚持准则，立足规范，使得内部控制有章可循;改善企业风险管理系统;运用新兴技术，开展审计创新思维等。

4.提高审计人员素质，降低检查风险

在信息化环境下的审计风险识别中，检查风险是审计人员可以控制的风险，由审计人员通过确定计划、实施方案以及完成审计工作等来控制。审计人员可以在对被审计单位的审计风险中其他风险的高低进行识别和评估的基础上，进一步确定实质性测试的性质、时间及范围。通过比较和分析被审计单位财务报告上的各项指标，如有异常情况，应引起审计人员的关注，进而采取更详细的审计程序来审查。在此环境下，降低检查风险的措施有:企业应该营造一个良好的环境，加强审计职业道德规范的建设;加强对风险意识的防范;强化审计监督;制定严格审计计划及详细的审计方案。审计人员的工作能力与其工作方法直接影响着审计风险，其工作能力的提高与合适的工作方法是降低检查风险的有力途径，因此，要想降低检查风险，就要正确把握检查风险的一些影响因素及其关系，从而有效地降低审计风险。

五、总结

综上所述，信息技术及网络的发展与应用，使得审计工作效率与质量都大大提高，信息技术的快速发展已经在很多领域取代了手工操作，而信息化环境下的审计更为便捷，其生产成本也在进一步降低，并减轻了审计人员的工作力度。然而，任何事情都有着两面性，信息化环境下审计，可以提高审计人员的工作质量和效率，但在审计数据方面还是有些风险的，对于审计人员而言，利用信息化这一平台开展审计工作具有极大的挑战性。因此，在获取审计数据的过程中必须要十分谨慎，加强对信息化下审计系统的管理至关重要，审计人员还要在提高审计质量和效率的同时对审计风险进行识别及控制。

(作者单位:重庆理工大学)

［1］ 安宁.基于信息化环境下的计算机审计风险控制研究［J］.忻州师范学院学报，2013(02):49－51.

［2］ 韩宝玉.注册会计师审计风险识别及应对机制研究［J］.科技创业，2011(08):26－28.

［3］ 李晓慧，孙蔓莉.业绩归因分析在审计风险识别中的运用研究［J］.2012(09):82－88.

［4］ 亢丽华.信息化环境下的内部审计风险及其控制［J］.湖南科技学院学报，2008，29(02):114－116.

［5］ 李琳，刘帅.信息技术环境下内部审计风险的识别与控制［J］.中国内部审计，2014(03):39－41.

［6］ 李瑛玫，姜振寰，兰小春，谢魏.信息化环境下独立审计重大错误风险的评估［J］.哈尔滨工程大学学报，2008，29(11): 1245－1249.

杨智敏，女，安徽合肥人。硕士，重庆理工大学，研究方向:会计信息化、审计。