信息化环境下审计风险与防控对策研究

PAGE本科毕业论文题目：信息化环境下审计风险与防控对策研究学号：学生姓名：院部：专业：年级：姓名及职称：完成日期：内容提要中国注册会计师协会在2007年最新公布的《中国注册会计师审计准则第1101号财务报表审计的目标和一般原则》，第十七条中对“审计风险”的定义：审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。审计风险的存在对于经济的发展有着一定的不良影响，进行这种风险的控制有着十分重要的意义。信息化时代的到来，使会计行为出现了更加多样的形式，同时给审计部门也带来了极大的挑战，信息化环境中信息变化快，交流迅速等特点使原始的审计行为已经无法满足当前的审计需求。进行相关技术的革新，跟上社会的步伐，运用更加科学的审计方法进行财务报表的审计，有效地控制审计风险成为了审计部门目前切实思考的问题，为此，进行信息化环境下审计风险与防控对策的研究是非常必要的。在当前信息化高速发展的时代，审计面临着更多的挑战，如何更好的完成审计工作，更好的规范审计行为，将审计风险控制在较好的范围内成为十分重要的一点。本文将对信息环境下审计风险的特征，来源，成因及有效地防范对策进行分析，提出自己的一些合理的建议和意见，使审计风险得到更好的控制。关键词：审计风险信息化环境控制防范目录TOC\o"1-3"\h\u438一、信息化环境下审计风险概述 122542（一）审计风险的特征 15281（二）信息化环境下审计风险特征 223425二、信息化环境下审计风险要素 411259（一）审计风险要素 423675（二）信息化环境下审计风险要素 5三、信息化环境下审计案例分析—以中石油为例 6（一）背景资料 6（二）对中石油审计信息系统进行分析 73520四、信息化环境下审计风险的防范与控制对策 .817293（一）审计主体方面采取的措施 825832（二）审计准备阶段控制风险的措施 91796（三）审计实施阶段控制风险的措施 1025302（四）出具审计报告阶段控制风险的措施 126807参考文献 14信息化环境下审计风险与防控对策研究PAGE13`信息化环境下审计风险与防控对策研究一、信息化环境下审计风险概述（一）审计风险的特征审计风险是指财务报表中存在错误，而我们未发觉，注册会计师却依旧根据这个错误的审计报表发表不符合被审计单位发展的意见的可能性。审计风险的特征大概分为以下五个：审计风险特征审计风险特征可控性客观性普遍性偶然性潜在性可控性客观性普遍性偶然性潜在性图1审计风险特征图1.客观性。就目前而言审计人员进行审计工作时，往往会采用抽样的方式进行审计，从整体中抽取一定的样品进行特性的研究从而推断出整体的特性。通过相关的学习我们可以了解到，样品的数量越多，则样品呈现的特性越接近整体的特性，反之则会出现较大的随意性，然而无论样品数量怎样变化，它终究只是样品，所以其表现出来的特性有着一定的客观性，而审计成本，审计效率的存在又使得审计部门不能对于总体进行审计，这就造成了审计风险存在客观性。2.普遍性。审计风险的造成因素是很多的，在审计环节中任何一个环节的偏差都将造成审计风险的产生，而每个审计环节涉及到的工作又会受到诸多因素的影响，例如在数据采集核算阶段，数据的真实性，是否有数据遗漏，工作人员是否存在计算疏忽等都将造成审计风险的产生。所以说，审计风险的一个基本特征是普遍性，审计风险存在于任何一种审核形式。审计风险产生在审计工作的每一个环节，我们只能尽可能的减少其影响，因为审计风险是不可避免的。3.潜在性。审计风险在一定的时期内存在潜在性。这个潜在性完全取决于审计人员的认真程度。假如审计人员工作不认真，但确实有审计问题而审计人员未发觉，那么这个审计风险就是潜在的。如果审计人员在审计工作中有些行为是不符合客观事实的，但是这个审计行为没有形成不良后果，也没有引起相应的审计责任，那么这种风险只停留在潜在阶段，审计风险也只是一种可能的风险。注释：注释：孙永珍.《浅谈国家审计风险及防范对策》.《浙江审计》,２００４年１２期，第４页4.偶然性。会计报表中如果存在重大错误或者漏洞，而注册会计师并没有很好地进行问题的发现和指出就会产生审计风险。审计风险的产生也可以说是因为审计人员的不小心。审计人员不是故意的，他只是不小心并且在不知道的情况下接受了审计风险，是很偶然发生的事情。而且也是很偶然的就接受了这个后果由审计风险带来的后果。因此说，审计风险具有偶然性。5.可控性。审计的普遍性使得审计行为存在一定的风险，但是通过有效手段进行风险防控却是可以的。比如我们对客户进行审计，我们不能因为有风险就不对客户进行审计，我们可以采取相应的措施规避风险，不能因为有风险就退缩。另外，我们知道了审计风险的可控性，也就表明审计风险是可以降低的。一些风险防范手段也逐渐出现，在工作中进行应用，更好的进行风险控制，防止审计风险产生较大的恶劣后果。（二）信息化环境下审计风险特征伴随着IT业的逐渐发展，信息化正在我们身边日益成型，各种信息的交流更加的便利和便捷，会计信息系统的应用对审计的各个方面都产生了影响，比如在审计的环境、线索、内容以及技术和手段方面。但是它也带来了新的审计风险。我把信息化环境下审计风险的特征总结为以下几点：1.审计证据容易丢失不见。现在如果我们在信息系统上记账，我们要查阅的话只能等到一定时间打印出来的记录，不能随记随看。而原始的记账却可以，因为是在纸上记录的信息，我们想什么时候看就可以随时翻阅记录。这样避免了信息系统数据上丢失的情况。审计证据记录在计算机上，而计算机上的数据是可以无痕修改删除了，如果有不法分子偷偷进入信息系统进行审计证据的修改删除，我们审计人员是很难发现错误的。因此，审计风险也就增加了。2.信息化环境下更易作弊。计算机作弊不留痕迹，计算机的数据和程序的修改在没有控制的情况下，完全可以不留任何痕迹地进行。如果计算机的程序被人恶意修改，而计算机又只会按先前设定的程序运转以同样错误的程序处理相关的会计事项，那么后果将不堪设想。所以说，计算机不仅是信息处理的有效工具，同时也可以成为犯罪的工具。3.数据真实性下降。伴随着信息技术的不断发展，审计工作的覆盖面越来越广，证据的采集的独立性，信息分析的可靠性都受到一定程度的影响，相比于传统的审计工作的开展，信息化环境下审计工作的开展往往需要面临一些新的挑战，首先，一些审计人员对于信息系统缺乏全面的认识，在进行信息化环境下审计工作的开展时对于信息的准确性难以把握，从而加剧了审计风险的产生；其次，审计工作需要对一些历史数据进行较为全面的分析，但是由于使用软件的自身因素等问题，很可能也会对信息的准确性产生影响，最终影响最终的审计风险。二、信息化环境下审计风险要素（一）审计风险的要素美国注册会计师协会发布了审计标准说明。在第47号审计标准说明中它提出了审计的风险模型，由图2可知审计风险是由固有风险、控制风险还有就是检查风险这三个要素构成的。审计风险审计风险固有风险控制风险检查风险图2审计风险要素组成图固有风险指在不考虑被审计单位相关的内部控制政策或程序的情况下，其会计报表上某项认定产生重大错报的可能性。徐咏梅、李建忠，《浅议注册会计师审计风险》.《宁夏社会科学》,２０１２年０１期,４９～５１页它是独立于会计报表审计之外存在的，是注册会计师无法改变其实际水平的一种风险。赵竹林．《会计风险与审计风险的探讨》.《会计之友》,２０１１年１５期，１２０～１２５页固有风险是本来就存在的风险，它不能通过审计人员的努力来改变降低风险，我们审计人员是无法影响它的存在的。控制风险是指被审计单位在内部控制中，没有及时发现在会计报表上存在的错报或者是漏报的可能性。控制风险和固有风险一样，它们只能被评估，审计人员是不能够通过自身努力降低它们的大小的。控制风险往往与被审企业的控制水平有关，被审单位内部控制水平越高，则控制风险越低，反之如果被审单位内部控制水平较差，甚至不能有效工作，这样控制风险就会较高。潘峰.《并购审计风险及其防范》.《山东社会科学》,２０１２年１０期，７８～７９页徐咏梅、李建忠，《浅议注册会计师审计风险》.《宁夏社会科学》,２０１２年０１期,４９～５１页赵竹林．《会计风险与审计风险的探讨》.《会计之友》,２０１１年１５期，１２０～１２５页潘峰.《并购审计风险及其防范》.《山东社会科学》,２０１２年１０期，７８～７９页（二）信息化环境下审计风险要素图3信息化环境下审计风险要素图由上图可知，信息化环境下的审计风险要素主要分为两种：系统风险因素和传统风险因素。系统风险因素：系统风险又称市场风险，它是不能通过资产组合的形式来消除的风险，同时它也影响所有的资产。这个风险是一个大的框架上的风险，比如说国家的那些个大个政策就可能影响。系统风险因素又分为外部系统风险要素和内部系统风险要素。其中，外部审计风险要素主要有以下几种原因：网络硬件系统的不稳定性，网络软件系统的易受攻击性以及网络宏观环境秩序约束的缺失等。而内部系统风险要素则为工作人员所为，管理和财务信息系统缺陷，网络虚假交易和虚假数据传输以及电子数据无痕性、易读取和篡改性等。企业在信息化环境下进行审计工作所要面对的困难之一就是网络硬件系统自身的稳定性及安全性，如果审计人员第一时间没有检测出系统内部存在问题，这可能会使审计人员给出的审计建议出现偏差，给企业带来不利的影响。如网络发生故障，信息平台无法正常运行，网络系统的应急预案功能能不能储存或还原相关数据等等，这都给审计工作带来了风险。传统风险因素：由上图可知，传统风险因素也分为两种，分别是外部传统风险要素和内部传统风险要素。和系统风险要素一样，外部都是由客观因素引起的，内部多为公司工作人员所为。外部传统分先要素形成的原因主要有政府的宏观政策，影响行业利润的法律法规以及不可预测意外灾害等。这些原因都是不可抗力的，不会因为我们个人的做法而改变。内部传统风险要素也有以下原因形成，内部管理制度缺失或失效，管理人员道德风险以及记录错误或舞弊等。2010年河北省某审计局工作人员在工作的过程中，没有很好的对审计信息进行审查，之后部门领导发现问题才派人对问题进行重新审查及时纠正了错误。如果审计人员认真负责，审计能力过关，那么这些内部问题都将不复存在。三、信息化环境下审计案例分析—以中石油为例（一）背景资料中国石油天然气集团公司是国有特大型央企，它是由中央直接管理的。这个石油石化企业是在1998年7年成立的。它是一个综合性的石油公司。它的业务很广，主要包括管道的运输、石油天然气的开发、以及石油机械的加工制造，还有就是进行石油贸易。它是跨地区跨行业跨国经营的一个公司集团。2011年在美国《财富》杂志世界500强公司排名位居第6位。中国石油的审计事业是1985年开始出现的，经历了30年的改进和创新成就了现在的辉煌。1988年11月30日，我国发布了《中华人民共和国审计条例》，随后又颁布了《审计法》，使中石油的审计监督事业更加严谨与长足发展。（二）对中石油审计信息系统进行分析2006年，中石油审计部的领导们就参与了对管理系统的前期研发工作，2007年中石油正式推广应用“审计管理系统”。图4审计管理图中石油要进行内部审计明确今年审计的重点方向时，都会从国家政策和公司发展策略出发制定规划。公司审计部在制订计划到具体实施都要经过很长时间。先是计划的编制，然后对计划进行汇总让领导审批，审批完再把计划发布出去，发布出去后根据公司及大众意见进行计划的调整。这只是审计项目的计划管理。在审计项目管理中，等计划确定之后，项目就开始启动，从项目的准备到实施到终结，这又是一个漫长的过程。确定审计项目计划后，向上级审计机关呈报审批。取得上级审批后，审计计划才开始实施。最后将最终的审计结果反映到公司决策支持平台，以供公司进行决策的分析。而在以上这一过程中，除了需要审计人员进行外勤作业之外，中石油都是依靠该系统所完成的。图5审计信息分析图在信息分析页面中提供多种查询条件，可以快速查询想要查询的内容。核对报表数据，如果发现错误，地区公司所有人员都没有权限修改，需要上报集团审计部审批，项目组针对具体项目，从后台程序退回，操作人员重新修改后，再按程序运行。从审计计划确定到审计数据上传到报表管理信息平台，每一个模块都需经过多重审核，公司审计部也在后台监督这整个审计项目，以此用来防止审计人员凭借信息系统进行不法行为。四、信息化环境下审计风险的防范与控制对策（一）审计主体方面采取的措施对于审计主体，我的理解是它是审计各种报表的人，就是说我请你帮我审计这个报表，我是授权给你的人，而你就是接受我授权的人，你就是实施审计的主体。也可以说审计主体是审计人员。要想很好的把审计风险降低，审计主体要好好的提升下自己的专业能力。在这个信息飞速发展的时代，无论什么东西都和计算机加上了联系，信息的交流也越来越快捷。因此，传统的审计行为已经不能满足人们的需求，已经要被社会和企业所淘汰。企业开始倾向于利用电子技术、运用相关软件来开展审计工作。因此，审计人员也就是审计主体要积极学习提升自己的审计专业知识努力跟上时代的步伐，不被社会所淘汰，让自己更好的在信息化黄敬忠完成审计工作。审计主体要提高自己的职业素养，经得起诱惑，不要被一些企图掩盖审计问题的人所收买。审计工作对于企业来说是非常重要的，审计报表的定期审计可以帮助企业更好地发展。如果定期审计，就可以看出这段时间出现的问题从而及时的规避风险，如果不进行定期审计或者审计人员对于定期审计持一种无所谓的态度，只是走一个形式。那么这就可能出问题，万一报表有问题而没有及时审计出来，有可能就会因为错误太久时间太长而耽误最佳的纠正时间，给企业带来经济压力以及不良影响。因此，提高审计人员的职业素养，培养审计人员的专业能力，让审计人员有更严谨的工作态度是非常必要的。我们在上文中也已经知道，审计风险由三部分组成：固有风险、控制风险以及检查风险。对于固有风险和控制风险我们审计人员并不能通过自身的努力来降低风险值。但是我们可以控制检查风险，通过检查风险来降低风险系数。检查风险是体现我们审计人员专业知识最重要的一个环节，这也是审计报表不可或缺的一个环节。检查风险主要就是靠审计人员对财务报表进行审计，因此它很考验审计人员的专业能力与职业素养。审计人员专业能力提升，那么检查风险的系数就相对较低。审计部门要注重对审计人员的专业培养以及职业素养，要对企业与职业负责，做好本职工作，约束自己的不良行为，对于自己的不足和缺点要及时改正。提升自己的审计能力，对降低审计风险贡献自己的一份力量。（二）审计准备阶段控制风险的措施为了控制审计风险，我们要从各个阶段防范审计的风险。首先在审计准备阶段，我们要注重审计风险的防范，准备阶段是一切风险发生的前提和基础。我们要在此阶段加大监管力度，防止风险发生。因此进行风险的防范是非常必要的，就像大家所说，把一切风险扼杀在萌芽中，不要给它发芽出土的机会。加强信息系统的安全，是控制风险的有效措施，有些信息系统不稳定或者说存在漏洞，都会给风险带来可乘之机。我们要建立安全的信息系统，在准备阶段，我们要密切关注信息系统的安全与否，一定要仔细检查信息系统上的各个软件的运行，建立外部非法访问防火墙系统，好的信息系统可以有效地防止数据的丢失、遗漏。其次收集与被审计单位信息系统有关的数据资料。一般被审计单位的资料比较繁多，在准备阶段，我们要多收集被审计单位信息系统的资料，留着以后备用，以便在实施阶段及时出具资料，也防止了因为资料的繁杂出现不必要的风险。我们要在准备阶段把一切可能出现的风险降到最低。在收集资料的时候也要保证信息系统是否稳定安全的运行，与信息系统技术相关的资料是否都已完全收集备份以及软件设备是否更新不陈旧适应现在的审计信息系统。最后要定期完善和分析信息系统的内部控制。信息系统内部控制越健全，它出具的信息数据就越可靠、准确度就越高。定期完善和分析信息系统的内部控制，可以使信息系统更安全，因此也可以更有效的保证系统出具的资料数据更准确更安全。也防止了信息数据的丢失、篡改以及盗用。所以说，在准备阶段，我们要充分重视风险的防范、注重新技术的应用、新技术的检测以及信息系统软件的安全开发等。（三）审计实施阶段控制风险的措施随着信息化程度的逐渐提高，审计手段也得到了一定的提升。在信息化背景之下，我们在审计过程中也已较多的加入了信息技术，让信息技术辅助我们审计人员更好地进行审计工作。利用信息技术来开展工作，可以更快速的完成工作但同时也会存在一些问题。审计实施阶段是审计工作这几个阶段中最重要的一个阶段。它是后面向审计单位提交审计报告的基础。在这个阶段中主要工作就是审计人员获取审计证据、实施审计程序以及完成工作底稿。在这几个工作流程中，要注意审计风险的防范。首先，要增加审计证据以控制风险。在审计工作中审计证据的获取是非常重要的一个环节，审计证据的多少直接关乎到审计工作的可靠性。审计证据少了，有可能增加审计风险，审计证据获取多，对审计人员进行审计工作来说就越有利。信息化环境下的审计证据是一些信息，这些信息是与被审计单位信息系统和电子数据密切相关的，它是在审计行为中我们审计人员通过各种渠道获取的。我们在审计过程中，要尽可能的收集信息系统中的审计证据，数据越多，审计出来的东西就越精确，越能为企业提供精准的审计意见。因此我们在审计实施过程中，要尽可能的获取审计证据。其次，要扩大审计程序的范围。审计程序范围越大，我们审计人员越能对所要审计的单位的基本情况进行了解。就比如解决一个问题，我们对这个问题了解的越多，越能想到解决方法。我们要了解这个问题出现的原因，出现的前提背景以及出现之后大家所表现出来的不同反应，还有就是大家如何理解想这个问题。我们对这个问题的前因后果了解的越多，就越能想到解决办法。同样的，在审计过程中，我们扩大对审计程序的范围，就会加深对被审计单位的了解，对被审计单位的基本情况就越熟悉，这样就更利于提出问题并解决问题，会将审计风险降到最低。最后，完善审计工作底稿。审计工作底稿反映