计算机财务管理论文计算机机房管理论文：信息技术环境下内部审计风险管理与质量控制

1、计算机财务管理论文计算机机房管理论文：信息技术环境下内部审计风险管理与质量控制对于内部审计来说，审计风险可理解为当反映被审计单位及其经济活动事项的财务会计报告存在重大错报和漏报，或者内部控制制度存在重大漏洞、缺陷或未被有效执行，或者经营管理存在重大舞弊时，由于能力和知识等方面的欠缺，内部审计人员经过审计未能发现或觉察，且发表不正确或不恰当审计意见的可能性。内部审计质量是指内部审计工作及其结果的优劣程度。而内部审计质量控制是指内部审计的管理机构或部门对内部审计的具体内容、范围进行有计划的监督、综合和协调的一种活动。当然，内部审计风险管理和内部审计质量控制密切联系。一方面，综合运用各种审计风险控制

2、方法和手段能够控制并降低内部审计风险，可以提高内部审计质量；另一方面，审计人员在审计业务中，实施恰当的审计程序，获得充分的审计证据，保持应有的职业谨慎，进行准确的审计判断，实现高质量的内部审计，内部审计风险就可能得到规避或相对减少。本文就信息技术环境下内部审计风险管理与质量控制进行探析。一、信息技术环境下的审计风险1.固有风险。固有风险是指假定不存在相关内部控制时，某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。具体表现为：（1）电子化会计数据存在被滥用、篡改和丢失的可能性。在计算机系统中，由于存贮介质的改变，非法用户一旦透过计算机系统的“防火墙”，极易破坏和修改电子数据

3、，且不留蛛丝马迹；计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也会造成实际数据与电子账面数据不相符，增加了固有审计风险的可能性。（2）电子数据存在易于减少或消失审计线索的可能性。在计算机系统中，从原始数据的录入到报表的自动生成，几乎勿需人工干预，传统的审计线索不复存在，为审计人员追查审计线索带来了极大困难。（3）原始数据的录入存在错漏的可能性。计算机系统下，大量的记账凭证仍靠人工录入，表面上机制账、证、表的相互平衡，可能掩盖了人工录入的错漏。2.控制风险。控制风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报，而未能被内部控制防止、发现或纠正的可能性。具体表现为：（

4、1）有意或无意使设置权限密码实现职责分工的约束机制有失效的可能性。手工系统下，通过建立岗位责任制达到内部控制的目的。在计算机系统下，一是通过划分操作员的责任范围，设置权限和密码实现人员分工；二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于权限设置的重叠或跨责任中心越权设置，使这一控制措施有可能形同虚设。（2）网络传输和数据存贮故障或软件的不完善，有使会计数据出现异常错误的可能性。在计算机系统下，这种可能性难以通过有效的内控制度消除，必须靠先进的硬、软件平台以及会计软件本身的自我保护，减少出现异常错误的几率。就多数会计软件看，对数据录入的一致性和正确性控制，会计数据处理的安全性和

5、连续性控制，软件设计还是比较慎密的。但对集成化程度较高的企业级管理软件，数据的共享性和一致性还不尽人意。另外某些网络平台在实际应用中问题还是不少。（3）会计软件对现金和银行存款的收付业务缺乏实时有效的控制手段。对于企业内部发生的现金和银行存款收付业务，多数软件是通过人工填制记账凭证，从账务系统入手将数据录入到电脑，部分软件虽通过出纳系统实时地录入，但可能与凭证数据不同步；对于银行存款的收付业务，不仅数据难以实时同步，而且存在双方数据不一致的可能性。3.检查风险。检查风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报，而未能被实质性测试发现的可能性。具体表现为：（1）会计软件的更新

6、换代，增加了历史文件难以提取的可能性。对账户或交易的重大实质性测试往往离不开企业的历史数据。由于软件版本的更新、平台的迁移，难以从往年账套里提取这些历史数据，迫使审计人员不得不从历年的文档中收集整理历史数据。这不仅降低了审计效率，而且带来了更多的检查风险。（2）内部控制主要依赖软件本身，增加了难以全面检查测试的可能性。在计算机系统下，内部控制融汇于软件之中，肉眼无法觉察，这就要求审计人员有必要设计一些正常有效的业务数据和一些例外业务数据（不完整的、无效的、不合理的、不合逻辑的），来检查测试软件的控制能力。由于多数审计人员不是电脑专家，要在有限的审计时间里设计面面俱到的测试数据是不现实的。为此，

7、对软件本身的审计检查应纳入软件开发或评审之中，审计人员在审计实务中，重点测试数据的完整性以及操作权限的分配和应用情况。二、降低审计风险的对策1.降低固有风险的对策。加强内外部安全机制、完善软件功能、改进数据录入技术、降低审计固有风险。（1）加强内外部安全控制机制、降低会计数据被滥用、篡改和丢失的可能性。（2）完善软件的设计，降低减少或消失审计线索的可能性。（3）改进数据录入技术，降低数据录入错误的可能性。2.降低控制风险的对策。控制措施包括制度控制和程序控制，主要就权限密码、降低数据异常错误和联网传输问题采取相应具体措施。（1）分配设置责任中心和操作权限密码，降低约束机制失效可能性。（2）提高

8、网络通信效率和效果，降低软件出现异常错误的可能性。（3）建立企业与银行之间的网络连接，降低数据不一致的可能性。3.降低检查风险的对策。检查风险主要是统一历史文件的存贮格式；面对新的审计环境，采取更有效的审计程序和审计方法。（1）统一文件存贮的格式，降低历史文件难以打开阅读的可能性。（2）设计一套有针对性的审计检查程序，使检查风险降到最低。三、内部审计质量控制主要工作1.审计调查。审计调查是审计质量控制的前提，需要解决两个问题：一是确定能否获取被审计单位的账务数据和其他信息数据；二是获取的数据能否满足审计的需要。调查的内容包括了解被审计单位的信息情况、数据存储形式、数据接口和数据库管理的情况，以

9、确定在现有的技术水平和条件下，能否利用审计软件或其他软件读取被审计单位的数据文件。此外，还要考虑获取数据的时间成本、技术成本和转换成本。可以说没有审计调查，就无法在信息技术环境下有效开展内部审计。2.审计方案。审计方案是内部审计质量控制的基础。审计项目确定后，除了组成审计组，进行人员分工外，关键是制定审计方案，审计方案主要包括三个内容：一是数据的获取，即采用何种方式获取被审计单位的电子数据，对获取的数据如何进行清洗和整理；二是数据的检验，即如何采用有效的方式对被审计单位的电子数据的完整性和真实性进行检验，以保证后续分析的准确性；三是数据的处理，即借助审计专家经验对形成的电子数据进行分析，采用计

10、算、分析性复核等审计方法确定计算机审计的范围和重点。3.作业流程标准化。标准化的作业流程是内部审计质量控制的核心问题。审计的每一环节的结果都直接影响下一环节，如果对错误的数据不进行分析和处理，既影响了审计效率，又误导了审计方向。这就需要审计人员根据作业标准，像会计票据的传递一样，对其作业的各个流程进行全程的记录，以保证项目审计实施过程的质量进行文档控制。4.复核审计结果。审计结果的复核是内部审计质量控制的保证。与传统的手工审计复核审计工作底稿、审计报告相比，计算机审计的复核有些与手工审计复核不同。计算机审计仅仅提供审计的线索，其结果不能像手工审计复核那样直接作为审计证据。审计人员应进行事前、事

11、后两个阶段的审计复核，从而使之成为保证审计质量的重要关口。四、改善内部审计质量控制的主要措施1.合理设置内部审计的组织机构。为了充分发挥内部审计的作用，企业在设置内部审计组织机构时应坚持独立性原则和权威性原则，独立行使审计职权，不受股东、总经理、其他职能部门和个人的干预，以体现审计的客观性、公正性和有效性。2.通过审计风险管理，降低审计风险，提高审计质量。在实施具体项目审计之前，应当熟悉与被审计事项有关的法律、法规和政策，充分了解被审计单位的基本情况，并根据审计目的，确定审计的范围、重点、内容、方式和时间。精心编制审计计划，根据对被审计单位基本情况，进行审计风险识别、风险评估，考虑风险发生的可

12、能性以及风险对审计质量产生影响的程度，制定风险应对措施。审计实施过程中，严格审计工作底稿的分级复核制度，减少或消除人为审计误差，及时发现和解决审计过程中遇到的问题，以保证审计计划的顺利进行，降低审计风险。3.努力提高内部审计人员的素质。加强内部审计人员的队伍建设，培养一批高素质的专业审计人才，也是防范审计风险的最有效措施。首先，选派具备相应的技术资格和业务能力的人员充实到内部审计岗位；其次，要加强对内部审计人员的后续教育，使他们能熟练掌握审计的基本知识、基本技能和基本方法，熟练使用各种审计更新软件，熟悉财务会计、经济管理、经济法规等相关知识，提高内部审计人员的审计查证能力、审计协调能力及审计表达能力，以适应信息技术快速发展的需要。4.建立激励约束机制。要建立一套审计质量指标体系，对内部审计人员及其工作质量定期评比考核，对审计工作成绩显著的审计人员予以精神和物质奖励，并与晋级升职挂钩；对徇私舞弊、玩忽职守、内部审计业务质量低下，给企业造成经济损失或不良影响的审计人员，要予以行政和经济处罚，建立激励约束机制，提高内部审计质量。5.强化风险意识，建立风险评估机制。内部审计风险的产生，除了审计人员自身的业务素质和职业道德水平之外，最主要的是来自企业的经营风险和财务风险。因此，审计人员