王倩 鐘雷
摘? 要: 信息化廣泛應用于公司經營管理,在提高公司經營管理效率效能的同時,也給公司帶來一定的管理風險,社會審計越來越承受較大的審計風險。必須從國家、社會審計部門、被審計單位三方面同時采取有力措施,才能更好地應對信息化對社會審計帶來的不利影響。
關鍵詞:信息化;社會審計;風險應對
20世紀70年代以來,以計算機技術、軟件技術、通訊技術等為核心的現代信息技術廣泛運用于公司企業(yè)生產經營各個方面。與此同時,社會審計也進入了一個嶄新的信息化環(huán)境。在這個環(huán)境里,注冊會計師面臨的是集成豐富、功能復雜的大型信息系統,以及系統生成、處理的海量電子數據,甚至還有完全不同于傳統形式的舞弊手法,注冊會計師面臨信息化環(huán)境下的諸多挑戰(zhàn),審計風險相比傳統審計而言大大增加。對此必須樹立正確的認識,并從國家完善立法立制、社會審計機構加強能力建設、被審計單位健全內部控制等方面采取積極有力的措施加以應對,才能更好地推進社會審計事業(yè)高質量發(fā)展。
一、信息技術給公司帶來的風險
(一)配置過程中存在的風險。比如會計軟件,許多公司往往在市場上購買信息化軟件,也有部分公司自行組織資源開發(fā)。有的公司往往會忽視自身實際情況,對軟件的實際效能缺乏必要的了解和掌握,喜歡購買或者開發(fā)最好的或者最昂貴的產品,其結果往往是軟件適用性不高,具體表現為初始參數設置復雜、軟件運行環(huán)境不達要求、缺乏專業(yè)操作人員、運行成本昂貴等。另一種情況則相反,部分公司為節(jié)約經費支出,購買和使用低質量軟件,導致問題頻出,降低了會計工作質量和效率。
(二)使用過程中存在的風險
1、無論外購或者自行開發(fā),由于不具備人類的辨別是非的能力,公司所依賴的信息系統或者相關系統程序可能對數據進行錯誤處理,也可能去處理那些本身就錯誤的數據。同時存在數據丟失風險或者數據無法訪問風險,如系統癱瘓。
2、自動信息系統、數據庫及操作系統的相關安全控制可能無效。這樣可能會增加對數據信息非授權訪問的危險,進而可能導致系統對非授權交易的拒絕處理功能遭到破壞、系統程序、系統內的數據遭到不恰當的改變、系統對交易進行不適當的記錄等等。
3、不恰當的人工干預,或者人為繞過自動控制。這主要是管理層可能面臨實現某些關鍵財務業(yè)績指標評價的壓力,管理層、治理層或者員工也可能懷有不當的利益訴求等等原因。這些情況給公司帶來了編制虛假財務報表、侵占資產等錯報甚至涉及舞弊風險。
(三)數據共享過程中存在的風險
有些公司管理層、治理層和職員普遍不具備足夠的網絡信息安全意識和專業(yè)素養(yǎng),對信息共享中應該注意的問題缺乏正確認識,只共享不注重保護,不能科學界定共享信息范圍,也不能夠采用數據加密限制、網絡防毒等先進技術強化防范措施,造成公司重要信息和商業(yè)秘密被泄露、被篡改、丟失,或者遭受網絡攻擊和病毒入侵,導致公司信息共享的風險產生。
(四)系統硬件維護存在的風險
很多公司沒有配備專門的系統維護人員,或者系統維護人員缺乏基本的維護常識,外包的維護公司服務質量往往難盡如意;有些公司的會計人員在系統計算機上安裝、使用外部軟盤甚至游戲軟件,而且系統計算機上沒有安裝有效實時監(jiān)控的消殺軟件,計算機遭受病蟲毒害的概率大大增加。也有一些系統維護人員將公司系統服務器直接連接互聯網,加大了病毒侵入的可能。
(五)系統軟件維護中存在的風險。目前市場上出現的各種軟件,其功能處于不斷地開發(fā)、完善、改造、升級之中。有些公司購買軟件不注重軟件售后服務,軟件性能缺乏穩(wěn)定性,難以適應日新月異、新業(yè)務不斷出現的會計工作需要,系統升級改造前缺乏必要的考察論證,盲目改造或者對軟件進行二次開發(fā),造成老問題沒有解決,新問題不斷出現,公司不僅沒有享受到信息化帶來的優(yōu)質服務,反而給實際工作造成許多麻煩和風險。
即使公司擁有的信息化資源能夠恰當、適宜地運用于生產經營和管理決策,公司管理層都會不可避免地面臨一個和傳統迥異的信息化環(huán)境,這給注冊會計師審計全過程帶來挑戰(zhàn)。如果公司配置的信息化資源存在缺陷或者存在其他更為惡劣的情況,注冊會計師面臨的不僅有挑戰(zhàn),甚至還有風險。比如,如果公司使用低質量軟件,既降低公司財務工作效率和質量,也可能會使注冊會計師為獲取充分、適當的審計證據要付出較高的時間成本、人力成本。管理層凌駕于內部控制之上,導致內部控制制度形同虛設,舞弊風險陡然增加,財務報表中存在重大錯報的可能性遠比一般錯報大得多,注冊會計師可能面臨更大的檢查風險甚至法律責任。
二、注冊會計師在信息化環(huán)境下面臨的挑戰(zhàn)
(一)對業(yè)務流程和內部控制運作需要樹立新認識
傳統環(huán)境下,業(yè)務流程的開展和內部控制的運作執(zhí)行主要靠人工處理。信息化環(huán)境下,相當部分的內部控制環(huán)節(jié)轉移到信息系統中自動執(zhí)行,或者人工系統和信息系統結合執(zhí)行。因此,注冊會計師需要與時俱進,開拓創(chuàng)新,建立信息化條件下對業(yè)務流程開展和內部控制運作的新理解和新認識。
(二)審計范圍往往難以準確確定
信息化環(huán)境下的內部控制審計,注冊會計師需要從信息技術一般控制、信息技術應用控制以及公司層面信息技術控制三方面進行全面考慮。這個控制體系中,三者相互關系如何?每個控制地位作用如何?實施審計各自不同的內容如何?注冊會計師在確定審計范圍時,往往會受制于信息技術的復雜性和專業(yè)性難以準確確定,從而導致在確定審計范圍時產生遺漏或者形成偏差。
(三)審計內容的增多變難
在信息化條件下,由于信息化特點,審計內容發(fā)生了相應的變化,在信息化系統中,各項會計事項都是由計算機按照程序指令進行自動處理的,信息系統的特點和固有風險決定了信息化環(huán)境下審計的內容,應該包括對信息化系統的處理和相關控制功能的審查。例如,在審計賬齡分析表時,在信息技術環(huán)境下,必須考慮其數據準確性以支持相關審計結論,因而需要對基于系統的數據來源及處理過程進行考慮。
(四)審計線索數字化隱蔽化
傳統的手工會計系統,審計線索主要包括會計憑證、日記賬、分類賬、總分類賬和財務報表。注冊會計師通過順查和逆差的方法來審查會計記錄,檢查和確定公司企業(yè)是否準確地反映了被審計單位的經濟業(yè)務,檢查企業(yè)的會計核算是否合理合規(guī)。而在信息化環(huán)境下,從業(yè)務數據的具體處理過程到財務報表的輸出都是由電子計算機自動完成,數據均保留在磁性介質上,從而影響到審計線索,如數據存儲介質、存取方式以及處理程序等等,會計信息已經全面數字化,傳統的審計線索可能已經不復存在或者隱蔽化。
(五)審計技術亟需改進
面對大量的交易、數據和財務信息,傳統的審計技術在抽樣針對性和樣本覆蓋面方面的局限性越來越突出。一方面,信息技術的運用改變了企業(yè)的運作模式和工作方式,傳統審計技術針對的問題特征可能已經消失,或者發(fā)生了巨大改變,注冊會計師的經驗可能無法簡單復制移植,從而喪失了針對性;另一方面,面對大量數據,傳統的抽樣方式難以覆蓋大量數據,面對不同來源的數據缺乏深刻的洞察力,覆蓋性方面也難以提供更強的審計信心。
(六)審計標準和準則必須完善
信息化環(huán)境下,由于公司內部控制系統、運行環(huán)境、組織方式、管理結構等方面發(fā)生很大變化,與之適應審計的對象、審計線索、審計技術手段等方面也深受影響而發(fā)生了重大變化,傳統審計條件下國家制定的審計標準也就很難適用,新環(huán)境下的新問題新情況新要求必須有與之相適應的新的審計準則和標準。而在我國,關于信息化審計的標準和準則發(fā)布不多,遠遠不能滿足審計的工作要求。
三、面對挑戰(zhàn)應該采取的應對措施
(一)國家層面:加強理論研究,完善審計準則
1、加強理論研究。審計理論來源于審計實踐,又反過來指導、促進審計實踐,二者不可偏廢。因此,要在社會審計實踐中善于及時發(fā)現、總結規(guī)律性的問題,將其上升到理論的高度。國內學術界、政府研究機構應當加強信息化審計的理論研究,積極開展學術交流,密切關注國際信息化審計的最新發(fā)展動態(tài),不斷發(fā)展與完善信息化審計理論,從而更好地為信息化審計實踐活動提供指導。
2、完善審計準則。充分借鑒政府審計制定信息化審計標準規(guī)則的做法,由社會審計的行業(yè)組織出面將實踐經驗、理論成果加以總結,并把有關概念、工作流程和技術方法固定和統一起來,形成信息化社會審計的行業(yè)標準和規(guī)范,推進信息化審計的制度化、規(guī)范化、標準化建設,使審計人員開展信息化審計時有法可依、有章可循。
社會審計機構:注重培訓協作,加強能力建設
1、加強學習交流,優(yōu)化知識結構
新時代新要求。信息技術的廣泛運用,對注冊會計師的知識結構提出了新要求。注冊會計師要加強學習,樹立終身學習理念。通過學習不僅要具備豐富的會計、審計、經濟、管理、法律等方面的知識和技能,還必須對信息技術有所了解掌握,熟悉系統架構、信息處理的基本邏輯、系統運行的基本原理以及與信息技術應用相伴而生的風險因素。信息化環(huán)境下,注冊會計師必須熟悉信息技術的運用和信息系統的風險及控制,應對以上新的挑戰(zhàn),對審計的策略、范圍、內容、方法手段做出有針對性的調整,從而獲取充分、適當的審計證據,從而支持發(fā)表恰當的審計意見。
2、注重協同合作,發(fā)揮專業(yè)力量
注冊會計師在執(zhí)業(yè)過程中引入相關專業(yè)技術人員參與審計工作已經成為一種有效的審計手段而普遍存在?!丢毩徲嬀唧w準則》對如何利用專家工作提出明確要求,做出具體安排。因此,在審計過程中如何整合各方資源,進行有效審計成為審計過程中一個重要的議題和考慮方面。注冊會計師在引入專業(yè)人員進行審計的項目中,從審計規(guī)劃、審計執(zhí)行至審計工作完成的各個階段都應該積極引入專業(yè)人員參與,以確保相關的審計風險被合理識別和應對,合理保證識別財務報表的重大錯報,從而有效保證審計過程的有效執(zhí)行和審計效果的提升。
3、運用輔助技術,完善工作手段
(1)推廣輔助審計技術。主要是指利用計算機和相關軟件,來測試系統和分析電子數據,以使審計測試工作實現自動化,改善審計工作的效率和效果。理論上講主要分為兩類,一是用于系統測試的輔助技術,主要包括平行模擬法、測試數據法、嵌入審計模塊法、程序編碼審查法等。二是用于數據測試的輔助技術,主要包括數據查詢、賬表分析、審計抽樣、統計分析、數值分析等方法。計算機輔助審計技術既可以應用于控制性測試,也廣泛應用于實質性審計程序,特別是在分析性程序方面,既有助于審查海量財務數據,同時也可用于輔助對舞弊的檢查工作。
(2)使用電子表格工具。利用計算機作為表格處理工具,以實現制表工具、計算工具以及表格結果保存的綜合電子化軟件,最常用的是EXCEL。重要的財務電子表格和其他最終用戶計算工具用來在重要的流程中生成財務數據,或者用來生成用于關鍵人工控制的財務或者其他數據。運用電子表格也面臨輸入錯誤、邏輯錯誤、接口錯誤等,注冊會計師也要做好各項風險防控措施。
(3)利用數據分析工具。注冊會計師通過對內外部數據進行分析、建?;蛘呖梢暬幚恚园l(fā)現其中隱藏的模式、偏差或者不一致,從而揭示出對審計有用的信息。數據分析不僅可以應用于審計業(yè)務,也可以應用于其他鑒證業(yè)務,不僅能夠提高審計效率,而且還有助于提高審計質量。數據分析工具可應用于風險分析、交易和控制測試、分析性程序以及為職業(yè)判斷提供支撐并提供見解。一些常用分析工具可以提供審計證據,為判斷會計估計的計算方法是否恰當提供支持。
(三)被審計單位:健全內部控制,防范化解風險
1、要加強信息系統的安全管理制度。主要是加強硬件配置、軟件購買環(huán)節(jié)的防控措施,做到經濟適用,杜絕浪費和效能不足;安排專人負責系統管理和系統維護,同時加強監(jiān)督和審計;強化細節(jié)管理,定期殺毒、定期升級、定期補漏;堅決落實物理隔絕,杜絕無關操作等,為公司經營管理提供安全有效的環(huán)境支持。
2、要加強會計職責權限的控制。除應貫徹落實傳統環(huán)境下會計不相容職責相互分離的制度規(guī)范外,對于信息化條件下的系統維護與系統支持職能必須調配適當,將不相容職責堅決分開,做到系統操作人員不能進行審核、系統維護人員不能進行系統操作、系統開發(fā)人員不能進行系統操作和審核等,通過相互監(jiān)督、互相牽制,確保公司重要信息安全完整。
要加強檔案管理制度。由于經濟交易事項較少留跡留痕,所以信息化環(huán)境下對檔案管理的要求比傳統條件下更高嚴格。既要做到紙質憑證和賬簿要打印出來存檔,也要對電子數據進行多份備份,同時保存在磁性介質上存檔。嚴格授權接觸和處理制度,安排專人定期清理歷史數據,嚴格控制相關人員接觸,堅決杜絕不相關人員接觸資料,并安排專門人員保管這些紙質檔案和電子檔案。要加強信息化內部審計力度。信息化條件下,更要充分發(fā)揮內部審計職能作用,檢測會計財務工作和相關工作處理流程,評價信息化資源對工作的支持度,發(fā)現內部控制存在的問題,及時提出合理化意見建議,進而提高工作質量和效率。必要時公司管理當局可以考慮聘請中介機構,對內部控制制度進行審計,以便更好查漏補缺。
要加強財會人員培訓。應對信息化挑戰(zhàn),會計人員不僅要具備系統、豐富的會計專業(yè)知識,還要具備計算機應用基礎、信息系統技術開發(fā)等多方面知識。政府主管部門、公司要經常對財務人員開展這些知識培訓和防范教育,不斷提高財務人員綜合素質,從而更加有效地應對信息化帶來的諸多風險。
第一作者簡介: 王倩,1972.09,女,漢族,江蘇徐州,徐州生物工程職業(yè)技術學院,實驗師,研究方向為計算機實驗實訓教學輔導與管理、計算機應用技術、大數據、物聯網、人工智能等。
第二作者:鐘雷,男,漢族,高級會計師。