信息技术环境下审计风险及应对

PAGEPAGEII此处为论文中文题目，要求居中填写主标题不超过24个汉字；可加副标题（副标题前加破折号），副标题与主标题间空一行的位置主标题：黑体，小二，居中副标题：楷体_GB2312，四号，居中阅后删除此文本框。本此处为论文中文题目，要求居中填写主标题不超过24个汉字；可加副标题（副标题前加破折号），副标题与主标题间空一行的位置主标题：黑体，小二，居中副标题：楷体_GB2312，四号，居中阅后删除此文本框。题目：信息技术环境下审计风险及应对学生学号201412070220学生姓名刘佳杰所属班级传播（2）班所学专业会计系审计学所属学院导师姓名、职称葛寰中、副教授2018年1月

信息技术环境下审计风险及应对摘要：历经多年的发展，会计信息化已经步入正轨，很多大中型企业开始应用自如。但从行业总体发展来看，会计信息化还没有进入成熟状态，很多问题还困扰着会计工作者。但是不可否认会计信息化的实施是一次伟大的革命，传统的手工记账被高效的会计信息处理技术所取代，这不仅改变了会计数据处理方式，同时也提高了会计信息的质量。文章首先阐述计算机审计的概念及发展的必然性；接着分析信息化下计算机辅助审计的现状及面临的风险；最后提出信息化下计算机审计的发展对策，从而提高审计工作的质量和效率。关键词：审计风险；信息技术；影响；对策Abstract:Afteryearsofdevelopment,accountinginformationhasenteredtherighttrack,manylargeandmedium-sizedenterprisesbegantoapplyfreely.However,fromtheoveralldevelopmentoftheindustry,accountinginformationhasnotyetenteredamaturestate,manyproblemsalsoplaguedtheaccountingworkers.Butitisundeniablethattheimplementationofaccountinginformatizationisagreatrevolution,thetraditionalmanualbookkeepingisreplacedbyefficientaccountinginformationprocessingtechnology,whichnotonlychangesthewayofaccountingdataprocessing,butalsoimprovesthequalityofaccountinginformation.Firstly,thispaperexpoundstheconceptofcomputerauditandtheinevitabilityofitsdevelopment,thenanalyzesthestatusandrisksofcomputer-aidedauditundertheinformationtechnology,andfinallyputsforwardthedevelopmentcountermeasuresofcomputerauditundertheinformationtechnology,thusimprovingthequalityandefficiencyofauditwork.Keywords:auditrisk;informationtechnology;influence;countermeasures

目录一、信息技术环境下审计风险概述 1（一）信息技术的概念 1（二）审计风险概念 1（三）审计风险定义与审计风险模式 2（四）信息技术环境下审计风险特征 4二、信息技术环境下审计风险成因分析 5（一）计算机系统开发和运行中的操作失误 5（二）审计范围的扩展会带来新的审计风险 5（三）审计软件不实用 5（四）审计取证真实性降低 6（五）虚拟企业信息频繁出现 6（六）电算化审计人才的缺乏 6三、应对审计风险对策与建议 7（一）完善会计信息化的审计方法 7（二）创新审计模式，应用在线审计技术 7（三）完善审计技术，加强软件开发 7（四）出台审计取证相关的法律政策，增强电子证据的合法性 7（五）完善网络安全法律，增强网络安全 8（六）培养复合型审计人才 8参考文献 8致谢 10PAGE10一、信息技术环境下审计风险概述（一）信息技术的概念信息技术，是主要用于管理和处理信息所采用的各种技术的总称。它主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。它也常被称为信息和通信技术。主要包括传感技术、计算机与智能技术、通信技术和控制技术。“信息技术”，可以从广义、中义、狭义三个层面来定义。广义而言，信息技术是指能充分利用与扩展人类信息器官功能的各种方法、工具与技能的总和。该定义强调的是从哲学上阐述信息技术与人的本质关系。中义而言，信息技术是指对信息进行采集、传输、存储、加工、表达的各种技术之和。该定义强调的是人们对信息技术功能与过程的一般理解。狭义而言，信息技术是指利用计算机、网络、广播电视等各种硬件设备及软件工具与科学方法，对文图声像各种信息进行获取、加工、存储、传输与使用的技术之和。该定义强调的是信息技术的现代化与高科技含量。（二）审计风险概念对于审计风险的概念，国内外许多学者进行了积极的探讨，但由于理解的角度不同，结论并不完全一致。《柯勒会计词典》把审计风险解释为：一是已鉴定的财务报表，实际上未能按公认会计原则公允地反映被审计单位财务状况和经营成果的可能性；二是在被审计单位或审计范围中存在重要的错误，未被审计人员觉察的可能性。《美国审计准则说明》第47号认为：“审计风险是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险。”加拿大特许会计师协会的观点是：审计风险是审计程序未能觉察出重大错误的风险。国际审计准则第25号《重要性和审计风险》将审计风险定义为：“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”这里对审计风险的阐述实际上包括两个方面的含义：一是注册会计师认为公允的会计报表，但实际上却是错误的，即已经证实的会计报表实际上并未按照会计准则的要求公允反映被审计单位的财务状况、经营成果和财务状况变动情况，或以被审计单位或审查范围中显示的特征表明其中存在着重要错误而未被注册会计师察觉的可能性；二是注册会计师认为的错误的会计报表，但实际上是公允的。它包括固有风险、控制风险和检查风险。可见，中国独立审计准则对审计风险的定义与国际审计准则中对审计风险的定义是基本相同的。由于审计所处的环境日益复杂，审计所面临的任务日趋艰巨；审计也需支持成本效益原则。这些原因的存在决定了审计过程中存在审计风险。这在客观上要求注册会计师注意风险存在的可能性，并采取相应措施尽量避免风险和控制风险。中国注册会计师协会在2007年最新公布的《中国注册会计师审计准则第1101号财务报表审计的目标和一般原则》，第十七条中对“审计风险”的定义：审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。（三）审计风险定义与审计风险模式1.审计风险定义审计风险是指会计报表存在重大错误或漏报，而注册会计师审计后发表不恰当审计意见的可能性。审计风险是指审计师对含有重要错误的财务报表表示不恰当审计意见的风险。中国注册会计师协会在1996年底公布的《独立审计具体准则第9号——内部控制和审计风险》中对审计风险定义为：所谓审计风险是指会计报表存在重大错误或漏报，而注册会计师审计后发表不恰当审计意见的可能性。2.审计风险模式不同历史时期社会经济环境对审计发展的作用和影响不一样，导致不同时期的审计方法也不一样。以下就从这三个阶段来分析审计风险模式的发展演变。（1）账项审计阶段的审计风险模式在审计发展的早期，由于企业组织结构简单，业务性质单一，注册会计师的审计主要是为了满足财产所有者对会计核算进行独立检查，促使受托责任人（通常为经理或下属）在授权经营过程中做出诚实、可靠的行为。注册会计师主要对客户负责，对第三者的责任则不明确，因此审计风险也相对较小。其审计的重心在资产负债表，目的是发现和防止错误与舞弊。注册会计师根据财务报表的每一项目来进行审查，包括检查支持凭证，评估报告资产的价值（通常是成本），确定受托责任人对存货购买和发出核算的正确性。可以说，这一时期的审计风险模式是审计风险基本模式的简单表现，此时财务报表的风险主要指财务报表各项目本身的固有风险，所以这一阶段的审计风险可表述为：审计风险=固有风险x检查风险。即以分析固有风险为基础．以控制检查风险为重点，因此，主要采用详细审计或大样本抽查审计方法。（2）制度基础审计阶段的审计风险模式随着企业规模日益扩大，经济活动和交易事项内容不断丰富和复杂化，注册会计师的审计工作量和审计成本迅速增大，使得详细审计难以实施，因此，职业界逐渐将转向抽样审计。然而，采用抽样审计需要注册会计师对企业风险、样本取舍、误差范围乃至误差率进行估计，具有内在局限性。同时职业界逐渐认识到，设计合理并且执行有效的内部控制可以保证会计报表的可靠性，防止重大错误和舞弊的发生。所以，注册会计师将内部控制与抽样审计结合起来，形成了制度基础审计方法，重点在于了解、测试和评价内部控制设计的合理。如果企业建立起了有效的内部控制制度，就可有效地控制和防范固有风险，因此财务报表风险同时受固有风险和控制风险的影响。这个阶段的模式可表述为：审计风险=固有风险×控制风险×检查风险这一模式的特点是其构成要素已由原来的两项变为三项，增加了控制风险，且将对控制风险的测试评价视作审计风险控制中的最重要方面。（3）风险导向审计阶段的审计风险模式二十世纪七十年代后，西方管理层欺诈舞弊活动的出现和抽样审计的随意性使制度基础审计方法的局限性越来越明显。制度基础审计过于关注被审计单位的内部控制制度即控制风险而相对忽视引发审计风险的其他因素和原因，未能做到审计资源的合理分配。在这种情况下，风险导向审计方法便应运而生。其传统模式为：审计风险；固有风险×控制风险×检查风险其中，审计风险是由会计师事务所风险管理策略所确定的，谨慎的会计师事务所往往将其确定为较低水平，同有风险和控制风险则与企业有关，注册会计师可以通过了解企业及其环境以及评价内部控制对两者做出评估，在此基础上确定检查风险，并设计和实施实质性程序，以将审计风险控制在会计师事务所确定的水平。该模式与制度基础审计的模式虽然形式上相同，但从理论上解决了注册会计师以制度为基础采用抽样审计的随意性．又解决了审计资源的分配问题，即要求注册会计师将审计资源分配到最容易导致会计报表出现重大错报的领域。其特点在于实施审计程序都取决于对检奄风险的评估。（四）信息技术环境下审计风险特征随着人民银行信息技术的广泛应用，内部审计机制、条件、方法及环境发生了变化，而现有的审计技术和手段已不适用，审计风险也变得更加复杂。一般而言，信息系统审计风险是由技术风险、控制风险和检查风险组成，风险要素之间既相互联系又相互独立，通常信息系统审计风险的模型为：审计风险=技术风险×控制风险×检查风险。本文借助这个风险模型，从技术风险、控制风险、检查风险三个方面分析信息技术环境下审计风险的特点。技术风险。技术风险是随着央行信息技术应用不断深入而产生信息技术环境下控制审计风险的对策李琳裴林的，主要是指由于信息技术自身存在的缺陷或不足而导致信息系统出错、中断服务、信息数据丢失及泄漏的可能性。其特点：一是技术风险水平取决于信息技术的发展水平以及被审计单位采用的技术水平，先进而成熟的信息技术是保障信息系统正常运行的关键；二是信息系统审计人员无法通过自己的工作降低技术风险，由于技术风险属于固有风险的范畴，相应的技术环境就对应相应的技术风险，如网络环境下的网络攻击、网络病毒、协议漏洞等，将导致数据被破坏、修改、泄漏等风险，但可以通过设计相应的审计流程来分析和判断技术风险水平。控制风险。控制风险是指被审计单位未能通过内部管理与控制及时防止或发现其信息系统出现问题或缺陷的可能性。其特点：一是控制风险水平与被审计单位的内部控制水平有关，如果被审计单位的内部控制存在重要的缺陷或不能有效地工作，那么由于错误操作、人为因素、技术缺陷等导致的信息系统出错或中断的可能性就会有所增加；二是控制风险与信息系统审计人员的工作无关，信息系统审计人员无法降低控制风险，但可以根据被审计单位相关的内部控制的健全性和有效性情况，对现有的内部控制进行评估。检查风险。检查风险是指信息系统审计人员通过预定的审计流程未能发现被审计部门在信息系统的安全性、真实性、有效性等方面存在问题的可能性。检查风险是信息系统审计人员唯一可以进行控制和管理的风险要素。其特点：一是独立地存在于整个审计过程中，不受技术风险和控制风险的影响。二是检查风险直接与信息系统审计人员工作相关，反应了信息系统审计人员审计流程、运用审计程序是否有效。二、信息技术环境下审计风险成因分析（一）计算机系统开发和运行中的操作失误系统资源风险包括计算机系统开发和运行中发生的错误、存取控制失效、数据丢失、系统损坏、计算机操作人员行为过失等。除此之外，还有计算机及网络设备和通讯设备自身故障导致审计线索的丢失、审计数据库的毁损等。这些都将在一定程度上影响审计工作的正常开展，从而加大审计风险。（二）审计范围的扩展会带来新的审计风险审计风险是伴随着审计对象、审计范围的不断扩大而逐渐增加的。在信息技术环境下，对计算机生成各业务信息所依赖的信息系统进行审计成为非常重要的内容，审计人员无论是开展财务报表审计，还是进行专门的信息系统审计，都需要对各业务信息系统的设计、运行以及安全控制做出评估和审核，审计范围的拓展必然会带来新的审计风险。（三）审计软件不实用软件风险是指由于计算机审计软件本身在设计、制作过程中的缺陷等原因造成的风险。一是所使用的审计软件没有通过有关部门的评审，也没有进行使用前的试运行就匆忙投入使用，可能造成软件运行不稳定。二是随着会计软件的不断升级，而没有采取相应的升级措施，使其出现内部的审计核算方法与会计核算不一致的情况。同时会计软件的更新换代，增加了历史文件难以提取的可能性。对帐户或交易的重大实质性测试往往离不开企业的历史数据。由于软件版本的更新、平台的迁移，难以从往年帐套里提取这些历史数据，迫使审计人员不得不从浩如烟海的文档中收集整理历史数据。这不仅降低了审计效率，而且带来了更多的检查风险。三是在软件的开发过程中，一方面由于财会人员对计算机技术不够了解，尤其是对于开发工具更难以准确表达其需求；另一方面，技术人员对审计、会计业务不熟悉，没有全面、深刻了解用户要求，造成软件自身的不完善或审计计算、分析偏差。（四）审计取证真实性降低在传统经营条件下，企业的整套账务系统都有纸介质保存，以便审阅。企业资产和经营的安全可以通过建立健全的内部控制制度得以保证。信息技术环境下，传统的会计信息系统被打破，经济业务产生的原始凭证以电磁信息的形式在网上传递并存储于磁性介质中，会计的确认、计量、记录和报告都集中由计算机按程序指令执行。由于交易的无纸化使传统的审计轨迹完全消失，审计完全依赖以磁盘、磁带、光盘为主要存储介质的电子数据，而磁性介质本身比较容易遭破坏，不易长期保存，因此会造成到审计时才发现只留下业务处理的结果而不能追索其来源。在信息技术环境下，内部控制制度也发生了变更与转移，安全已不是企业内部所能完全控制的，企业面临着信息被截获与窃取、信息被篡改、假冒等安全威胁，控制风险更难确定，检查风险增大。（五）虚拟企业信息频繁出现在信息技术环境下，一方面，随着业务信息的电子化以及数据库技术的应用，使得审计证据和审计轨迹日益电子化、网络化、审计线索复杂化，而且存储的数据很容易被修改、删除和复制，导致审计人员发现审计线索的几率降低。另一方面，审计证据通常隐藏在被审计单位的海量数据中，增加了审计人员获取信息的难度。基于这两方面原因，在信息技术环境下，形成了判定审计证据完整性、可靠性的风险，这就加大了整体的审计风险。（六）电算化审计人才的缺乏审计人员的素质包括从事审计需要的政策法规水平、专业知识、经验、技能、审计职业道德和工作责任。随着内部审计由财务领域向经营和管理领域扩展，审计机构在人员构成上也应该是多元化的，不仅要有懂财务及审计的人才，还应配备精通企业各项相关业务的专门人才。目前我国内部审计人员整体水平不高，综合素质较低，识别风险、判断正误的能力较差；缺乏计算机审计技能，不能适应新形势的需要；所有这些将给内部审计工作的质量、信誉带来负面影响，从而导致审计风险的出现。三、应对审计风险对策与建议（一）完善会计信息化的审计方法现在施行的内审法律法规是2003年5月1日由国家审计署发布的《审计署关于内部审计工作的规定》，实际工作中，可操作性不足，在某种程度上影响了审计结论的权威性。国家应抓紧制定、颁布内部审计法规和内部审计业务准则，以统一内部审计执业规范。内审机构应建立健全各项规章制度，完善内部质量控制体系，以保证审计质量，把审计风险降到最低程度，并严格执行各项内部审计制度，不断规范内部审计工作。（二）创新审计模式，应用在线审计技术内部审计机构作为单位内设机构，其独立性是相对的。要使内审实现其职能，发挥其作用，必须建立与之相适应的内部审计模式。从审计的独立性、有效性来讲，领导层次愈高，愈有保障。主要模式有：一是董事会领导的组织模式；二是由监事会领导的组织模式；三是由总经理领导的组织模式；四是由总会计师领导的组织模式；五是由主管财务的副总经理领导的组织模式。比较而言，由于董事会领导模式的领导层次较少，地位超脱，相对独立性最强。因此，这种模式应是现代企业中内部审计机构模式的最佳选择。（三）完善审计技术，加强软件开发完善现有审计软件的功能，积极进行软件升级及技术更新，使现有软件能尽快适应被审单位的信息化进程。结合以往经验，开发针对会计信息系统进行计算机系统审计的软件。结合现代信息技术，积极探索新型审计软件的研发。如利用先进的数据仓库技术、数据挖掘技术对大型企业的海量数据进行分析处理等；利用分布式数据库技术、嵌入式技术、网络安全技术等加快联网审计软件的研发。（四）出台审计取证相关的法律政策，增强电子证据的合法性尽快出台相关的法律法规和实施细则，进一步完善与计算机审计、联网有关的法规和准则。要在法律法规上确定审计机关和审计人员有权审查被审单位信息系统的功能与安全措施，有权利用网络和相关审计软件进行审计。（五）完善网络安全法律，增强网络安全《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。《网络安全法》包含了网络安全支持与促进、网络运行安全、关键信息基础设施的运行安全、网络信息安全、监测预警与应急处置等。但是随着信息技术的迅猛发展，网络立法要想实现与技术发展的同步、达到规避审计风险的目的，相关部门还有很多工作要做。（六）培养复合型审计人才普遍提高审计人员的计算机操作水平和审计软件使用水平，使审计人员能广泛开展计算机辅助审计，并不断创新审计方法。重点提高计算机审计人员的计算机专业知识。只有对审计的对象的信息化程度、应用技术、系统组成及工作原理充分了解，才能有针对性的确定重点和突破点；同时也有利于审计软件的设计与研发。在必要时可聘请相关专家。审计机关要适时的加强审计人员的后续教育，通过派出学习、举办培训班、组织论坛等方法进行系统的培训、学习，不断更新知识、更新观念，从根本上提高理论水平和专业知识，以适应日益发展的审计的需要。参考文献[1]金智颖.信息技术环境下审计风险影响因素——以房地产企业为对象[J].现代营销（下旬刊），2017（07）：211-213.[2]汪琳.基于风险导向的央行信息技术审计模式研究[J].金融科技时代，2017（06）：25-29.[3]于剑.关于信息技术环境下审计风险的探讨[J].时代经贸，2017（15）：73-75.[4]万玉俍，刘佳.基层行信息技术审计中的问题及建议[J].电子制作，2016（22）：99.[5]孟晓兵.信息技术环境中审计的风险及对策[J].企业科技与发展，2016（10）：78-80.[6]黄胤强，刘蓉.信息技术环境下审计风险预警方法探析[J].科技视界，2016（13）：62+76.[7]余智.会计电算化下的审计风险及应对策略[J].统计与管理，2016（01）：67-68.[8]陈菲.基于信息技术的内控审计风险管理策略探讨[J].管理观察，2015（33）：163-164.[9]余悠然.电网企业内部审计信息化存在的问题探析[J].北方经贸，2015（11）：125-126.[10]董晓平，雷虹.信息技术环境下的审计风险研究[J].商，2015（34）：140-141.[11]曾建光，张英.信息安全风险、内部控制有效性与审计师行为[J].山西财经大学学报，2014，36（11）：112-124.[12]王琪.信息系统审计的风险分析及评价研究[J].赤峰学院学报（自然科学版），2014，30（12）：111-113.[13]蒋峰.基于风险评估工作的央行信息技术审计转型路径研究[J].金融经济，2014（06）：121-123.[14]李琳，刘帅.信息技术环境下内部审计风险的识别与控制[J].中国内部审计，2014（03）：39-41.[15]李宝华，丁勇.风险导向内部审计实施策略[J].经济研究导刊，2014（02