审计证据论文范文

时间:2023-04-09 10:19:56

导语:如何才能写好一篇审计证据论文,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

审计证据论文

篇1

一、审计证据的充分性

1.充分性是指审计证据的数量能够支持审计人员所出具的审计意见,是审计人员为形成审计意见所需要审计证据的最低数量要求。从数量上说,考虑到审计证据取得的经济性,审计证据并不是越多越好,审计人员通常把需要足够数量的审计证据的范围降低到最低限度。在审计时,审计人员不能获得最为理想的审计证据时,可考虑通过其他的途径或采用其他的审计证据来替代。

2.审计证据的充分性是由审计人员的职业判断来决定的,不同的审计人员对审计证据的量的要求是不一样的。对于被认为较容易出现舞弊的被审计单位,审计证据的数量一般要求较多。譬如,在对某财务公司的审计时,审计人员发现该公司的内部控制相对薄弱,经营业务风险也很大(涉及房地产投资、证券投资等高风险经营业务),财务人员会计素质较低,审计人员还了解到以前年度该公司受到过当地人民银行及税务机关的处罚,报表反映连续三年略有盈利。通过上述信息,可以看出:该公司内部控制不够健全,同时又经营高风险的投资业务,因此审计风险就相对较大,就必须搜集更详细、更多、更有力的审计证据;会计人员职业素质低,在账务处理方面可能存在错误,就需要审计人员对会计账务处理多加关注;由于该公司受到过金融、税务部门的处罚,因此,该单位可能存在较严重的违法行为,舞弊现象可能很严重,可能说明了该公司经营层的可信赖程度较低,不够诚信,所以必然要求采用充分的审计证据。

3.审计证据的充分性是建立在审计证据的整理与分析的基础上。审计证据的整理、运用是连接审计证据的纽带。由于审计项目是由不同的审计人员来执行,从而会得出各自分散的、独立的审计证据。而最终形成审计结论和发表审计意见时,必须把不同人员搜集来的审计证据有机的串联起来,以便对整体审计报表发表审计意见,而这种串联必须借助于审计证据的分析整理。可以说,审计证据的整理与分析也就是审计证据的取舍过程。一般来讲,审计证据的取舍可从金额和性质量方面来考虑:从量的方面来说,对于达到重要性水平余额的项目,它一般会对审计结论产生重大影响,因此应当作为重要的审计证据来考虑;从性质来看,有些单笔金额小于会计报表项目或账户的重要性水平,但是性质主要,譬如涉及到贪污、舞弊等违法行为,影响评价指标临界点波动趋势等等,也应当作为重要的审计证据来采用。审计证据的搜集、整理与分析同审计人员的职业能力密切相关,经验丰富的审计人员往往在蛛丝马迹中找出十分重要的证据,在复杂的经营活动中找出舞弊证据的突破口,从一般审计人员往往忽略的或被舍弃的审计证据中得出有价值的审计证据,从而为形成正确的审计结论提供过硬的证据基础。然而,这种职业能力是在实践中不断积累而形成的。

二、审计证据的适当性

1.审计证据的适当性是指审计证据的相关性和可靠性。审计证据的相关与可靠性程度越高,则所需要的审计证据数量就越少;反之,就要相应增加审计证据的数量。

篇2

鉴定机构资质:

1、公安部电子数据鉴定资质:《公安机关电子数据鉴定资质证书》。

2、公安机关电子数据鉴定资质每三年审核一次。

鉴定人的资质:

1、从事电子数据鉴定的人员,应当经地市级以上公安机关公共信息网络安全监察部门推荐,通过公安部组织的有关考试、考核,并取得公安部颁发的《公安机关电子数据鉴定人资格证书》。

2、鉴定人持有《公安机关电子数据鉴定人资格证书》,并被公安机关电子数据鉴定机构聘任方可从事电子数据鉴定工作。

3、公安机关电子数据鉴定人资格每三年审核一次

检材的规定:

1、委托鉴定的存储媒介应当是复制原始存储媒介得到的备份存储媒介。

因特殊原因,委托鉴定的检材是原始存储媒介或原始电子设备的,委托单位应当提供相应的《固定电子证据清单》和《封存电子证据清单》。

2、委托单位未对原始存储媒介或原始电子设备进行封存或固定的,应当在《委托鉴定检材清单》中注明。

3、鉴定委托单位已使用过委托鉴定的原始存储媒介和电子设备的,应当介绍使用的情况,并提交相应的《原始证据使用记录》。

鉴定过程:

如果鉴定过程可能修改原始存储媒介和电子设备中存储的数据,公安机关电子数据鉴定机构应当事先征得鉴定委托单位的同意,并在《电子数据鉴定受理登记表》中注明

篇3

论文摘要:电算化会计信息系统对审计线索、审计内容、审计技术、审计准则和审计人员多方面产生了影响。要逐步推进计算机审计,以提高审计质量,实现审计资源和信息共享,降低审计风险,充分发挥审计监督维护经济秩序和促进廉政高效政府建设中的重要作用。 

 

会计电算化就是把以电子计算机为代表的现代化数据处理工具和以信息论、系统论、数据库以及计算机网络等新兴理论和技术应用于会计核算和财务管理工作中以提高财务管理水平和经济效益,进而实现会计工作的现代化。采用会计电算化来进行财务核算及财务管理,大大提高了会计信息处理的速度和准确性,为用户提供及时、准确的会计信息。 

同时,也给现代审计理论和审计实务带来了许多前所未有的问题和挑战,在这种新的形势下,电算化会计信息系统对审计的影响和审计应采取的对策就成了需要研究的一个重要课题。 

1实施计算机审计以防范检查风险 

电算化会计系统的数据一般有两种存在方式: 

一种是由电算化会计系统的打印输出功能将有关的会计资料打印出来,形成分类的书面会计账簿资料; 

另一种是电算化会计系统的全部会计数据存储在磁性介质上。 

能够打印出来的资料只有少数,大量的会计资料只能存储在磁性介质中或电算化会计系统中。电算化会计系统对会计数据输入、处理和输出的改变使许多手工条件下的审计线索发生改变,客观要求审计人员在进行实质性测试时充分利用发挥计算机的功能,深入系统的内部进行测试和审核,控制检查风险。 

在对证、账、表进行审计时,除了结合通常手工对系统进行审计的方法和手段外,由于电算化会计系统信息失真的风险随时都有可能发生,需要在测试系统程序控制的基础上,每次审计时都利用实际数据或模拟数据测试被审单位的系统程序,将测试的结果数据与正确的或应当出现的结果进行核对,进一步检验被审单位电算化会计系统程序的可靠性,检查各项公式的设置是否正确。 

进行实质性测试要适应会计电算化的要求,尽可能使用审计专用软件实现会计数据从会计核算软件到审计软件的转换,由审计软件来完成大量的复核和核对工作,审计人员应着重对审计项目的有关数据重新组合,运用有效的审计分析方法进行分析与评价,不断地修改、充实和完善审计计划,执行切实可行的审计程序,深层次地审核审计单位会计数据的真实性,识别虚假或失真的电算化会计信息,控制误受风险以全面实现审计目标。 

2计算机系统环境不可忽略详细审计 

存储在计算机内的电磁介质中的凭证数据肉眼不可见、易逝和修改不留痕迹等特点特别使人们对其安全可靠性怀有疑虑。 

当审计证据的相关与可靠性较高时所需审计证据的数量较少;反之,所需审计证据的数量较多。在计算机会计信息系统中,可靠性控制得不到保证时,就必须有足够多的审计证据以支持审计报告。会计电算化的实践表明,尽管会计人员在组织与管理、操作、输入与输出等方面实施各种控制,以增强会计数据的可靠性,但当其对机内数据进行审查时,总将其与纸质凭证再作验证。从长远看,如果纸介质终究要被电磁介质所替代,因而可能带来更大的审计风险。 

3测试内部控制制度以防范控制风险 

控制风险是原始凭证的形成和授权、数据输入、程序与数据库的修改、输出信息的使用和分配等出现错误或人为侵害的可能性。只有内部控制制度可信时,审计风险才能确认为较低水平,才能减少实质性测试的内容和程序,否则就宜采取替代的测试方法,进一步扩大测试的范围。 

因而,在对电算化会计系统进行审计时首先要对内部控制进行符合性测试。对会计电算化系统内部控制制度的审核和评价应从程序控制和制度控制两方面的测试与评价进行。程序控制的责任者是软件开发部门。对本单位自行设计开发的电算化系统,应结合开发过程中形成的各种文档资料如可行性研究报告及批准、系统设计资料,审核系统的开发计划是否经过严格审核,仔细研究调查后方可实施,在开发过程中是否对不相容职务进行分工;对外购的商品化软件则应重点审查该系统是否通过评审或鉴定,为适应被审单位特殊业务所作的调试是否经有关部门的确认。 

首次审计时不论软件是自行开发还是外购,都要根据系统的流程图、源程序、编程说明、用户使用手册等资料依次检查系统对会计数据的输入、处理、存储与输出,系统的初始化、维护与安全等各项操作所设置的关键控制点是否合法、合规、合理。 

制度控制的责任是会计软件的使用单位,是由人工实施的控制,独立于系统软件对制度控制的测试与评价应注意:审核被审单位是否根据本单位实施电算化的实际情况,采用恰当的组织机构模式,在电算化系统内部合理的设置岗位,进行不相容职责分工控制。注意被审单位的机构模式是否根据本单位的规模、管理方式及发展方向,恰当地选用了集中管理模式,或分散管理模式,或集中管理下的分散模式; 

电算化部门内是否遵循内部牵制原则相对独立,根据需要进行了合理的职责分工,如系统员、系统维护员、程序员、操作员、数据控制员、数据管理员之类的职责分工;各岗位人员的素质是否确实能够满足开展电算化工作的需要;审查系统工作环境的控制是否完善,是否建立和健全机器设备使用控制制度,是否制定和执行操作规程以保证会计信息的准确性和可靠性。 

通过和评价系统的程序控制和制度控制的薄弱环节,确定内部控制制度对实质性测试的性质、时间和范围的,帮助确定合理的审计程序,决定审计工作的重点和范围,减少和防止电算化系统的审计风险。

4制定和完善新的审计准则 

我国在审计方面制订了许多规范性文件。但是由于审计对象、审计线索、审计方法和技术手段发生了较大变化,这些准则中的某些已不适应实际情况,一些新增审计内容在审计准则中又缺乏相应的条款,如电算化系统开发审计准则,新环境下的内部控制审计准则、审计软件功能规范和开发准则等。在制定新的审计准则时,要在考虑我国国情的前提下大力借鉴国外的先进经验。 

在制定具体准则时应侧重于对计算机系统内部控制的评价,应对以下几方面进行规范:1)审计人员应具备的资格;2)审计证据的收集;3)计算机审计过程及相关的审计技术;4)审计工作的质量控制等。 

制定有关电算化审计准则和制度,是目前审计工作的迫切需要。 

5开展审计技术和方法的研究 

由于计算机处理和手工处理有很多不同点,从而产生了许多独特的计算机审计技术和工具。计算机审计注重对业务事项和处理过程进行证据收集,如要收集符合性测试的证据,一般是通过模拟数据进行测试形成要收集的证据。 

因此,要大力开展对计算机审计技术和方法的研究,如审计管理计算机技术、内部控制制度的评价测试技术、数据库或数据文件的审计技术、应用软件的审计技术、系统开发和维护的评价技术等,特别是内部控制的测评技术,以尽快实现利用计算机审计。 

6加快审计软件的开发 

审计软件是计算机审计不可缺少的技术工具,没有良好的计算机审计软件是很难开展实际的自动化审计工作的。 

审计软件的功能应具有针对会计程序本身合法性、正确性的审查功能;具有对机内会计数据文件的一致性、正确性的检查功能;具有验证会计报告的可信程度及会计软件内部控制措施的可靠性功能;具有审查审计报告、审计文书自动编制整理功能等。 

进而解决审计电算化滞后的实际问题,做到审计技术与会计电算化同步。利用计算机快速分类、检索功能、存储能力编制审计程序,可以进行大量的审计比较、抽样及核对工作,收集审计证据,减轻审计人员工作强度;事先用计算机设计测试案例,后用于测试被审单位的会计程序和数据文件,能够更好地开展审计工作;审计员利用计算机存储有关法规条例、被审单位的基本情况等,随时调用,便于审计工作的开展;利用计算机对审计资料进行统计汇总,编制打印各种统计表、审计文件,提高审计工作质量。 

审计软件既可以加快审计工作的效率,又有利于提高审计质量,加强审计规范化工作。但我国审计行业的审计软件很少,要改变这种状况,关键应加大对审计软件开发人才的培养,同时鼓励审计人员积极参与开发或独立开发审计软件。另外,要加强国际交流,引进计算机软件技术,缩短计算时间。 

7加快审计复合型人才的培养 

计算机的广泛应用使审计人员必须要更新知识,不仅需要会计、财务、审计、工程技术知识和技能,熟悉审计法规,及其他审计规范准则外,还须掌握一定的计算机数据处理知识,掌握系统分析设计和电算化系统评审技术,电算化审计软件的开发使用和维护技术。 

审计发展的关键是人才的培养和加快审计人员的知识更新以适应审计发展的要求。为此可采取的措施有: 

7.1对现有审计人员在计算机、会计电算化系统的控制及计算机审计技术等方面加以培训,使他们能胜任审计工作; 

7.2购买必要的审计软件,对复杂的财务软件的审计聘请计算机专家进行辅导;开展审计的正规课程,借助高校的师资力量; 

7.3开设会计电算化信息系统审计,控制用户计算机辅助审计技术等相关的课程,加强计算机审计配套课程的教育。 

7.4同时适当借鉴适合我国国情的西方审计理论和方法,培养面向未来的复合型审计人才。 

8结束语 

由上述可见,会计电算化给审计提出了许多新要求,传统的手工审计已不能适应电化的要求。开展计算机审计是审计部门和审计人员的新课题和新任务。一方面,逐渐实现审计手段的计算机化,即利用计算机进行计算机所办理业务的审计。另一方面,审计部门内部的各项管理工作和档案、报表、信息处理、预策、决策等工作也逐渐的实现了计算机化。 

运用计算机审计能够提高审计效率,确保审计时效;降低审计风险,保证审计项目质量;突出审计工作重点,丰富审计手段;改变传统的管理方式,提高办公自动化水平。随着计算机技术在各个行业的进一步推广和应用,计算机审计的范围将更加广泛,并日益渗透到各个行业审计工作的各个方面。 

篇4

流程的概念很多,ISO/IEC9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,Kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在IT环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当IT逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的IT流程与业务流程需要实现动态整合,即IT活动被看作是业务,并执行与业务相同的管理方式。因此,IT环境下的企业业务流程应该是广义的,同时包含IT流程和业务流程。美国公众公司会计监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解IT如何影响公司的交易流程。

有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O''''DonnellE和JrJosephJSchultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。

二、IT环境下基于流程的审计风险判断方法

为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计

过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于IT环境。因此借鉴自上而下的审计方法,将流程作为IT风险判断的中间环节,改进了的IT环境下的审计风险判断方法具体实施步骤如下:

1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在IT环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)IT利益群体的风险及对IT利益群体控制的有效性,如IT治理;(2)企业层面的IT控制,如与IT相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。

2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。

3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。

4.确定与IT功能相对应的应用系统的范围。详细列出与这些IT功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如Email程序、传真软件、设计软件等。

然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。

5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。

6.评价IT控制、分析业务流程风险。结合对IT一般控制的评估结果和对业务流程中IT应用控制的评估结果,就可以分析关键业务流程的IT风险控制情况。此时的IT控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。

7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。

通过上述7个步骤,审计人员可以将IT环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。

参考文献:

[1]顾晓安,基于业务循环的审计风险评估专家系统研究[J].会计研究,2006(4):23-29.

[2]O''''DonnellE,JrJosephJSchultz.TheInflueceofBusiness-Process-FocusedAuditSupportSoftwareonAnalyticalProceduresJudgements[J].Auditing:AJournalofPractice&Theory.2003,22(2):265-279.

篇5

还比如,王广明、沈辉在《试论供给导向的风险基础审计》(《会计研究》,)年第)期)一文中将审计风险定义为:“审计人员对存在重要错报或漏报的会计报表进行审计后,由于审计意见是否恰当的不确定导致的承担法律责任(遭受损失)的可能性”,基于这一定义的审计风险模型为:审计风险固有风险"控制风险"检查风险"诉讼风险其中的诉讼风险是指“已审会计报表中某一账户或交易类别单独或连同其他账户、交易类别存在审计主体未能察觉的重要错报或漏报,从而导致审计主体主动或被动承担法律责任(遭受损失)的可能性”。这一定义及该文中对审计风险操作概念的定义均把损失界定为“主动或被动承担法律责任的损失”,认为“没有承担法律责任的损失都不具有重要性”,虽然说明了损失“既指由法庭判决被动承担法律责任从而遭受损失,也指审计方主动承担责任而私下和解的损失”,但这样的损失不包括政府监督部门和注册会计师协会作出的违纪处理给事务所或注册会计师带来的损失等其他与法律诉讼无关的损失。在我国现阶段的法律制度环境下,会计师事务所除了因执行验资业务涉及诉讼外,因执行其他审计业务而成为被告的可能性很低,而且在诉讼中主要的举证责任由原告承担,这样导致注册会计师承担法律责任的可能性很小,即诉讼风险接近于零。但是,有很多注册会计师和会计师事务所受到了财政部门、证监会或注册会计师协会的处罚,也因此在经济和名誉上受到了很大的影响。所以笔者认为在审计风险模型中增加的风险因素应具有稍为广泛的内涵,增加非法律诉讼因素的影响,即承担责任风险,这样才有利于对检查风险的控制和审计质量的提高。关于审计风险的定义还有很多种观点,本文认为审计风险是审计主体执行审计业务中,由于发表的审计意见恰当与否的不确定,导致其遭受损失的可能性。在这一定义中,风险主体是“审计主体”,即执行审计业务的人员和会计师事务所;风险原因是“发表的审计意见恰当与否的不确定”;而风险后果也就是“遭受损失”,它包括被法院判决承担的法律责任,仲裁和在庭外和解中形成的赔偿,受到政府监管部门、注册会计师协会等的处罚,声誉遭受损害等各种损失。审计风险的存在可能导致审计失败,对审计主体而言,其带来的损失主要有直接损失和间接损失两部分。直接损失主要是经济损失,包括诉讼判决、仲裁或协商的赔偿和监管部门没收非法所得、罚款等导致的有形资产的减少,支付的诉讼费用,为处理索赔或争执而付出的协商费用等。而间接损失主要是获利能力损失,主要包括事务所被撤销或暂停执业、取消或暂停特许业务资格等处罚,以及对事务所和注册会计师的声誉的影响等,虽然不是直接的经济损失,却使事务所的获利能力被强制消灭或降低,在分析审计风险时必须考虑。下文将就基于本文审计风险定义下的审计风险要素、审计风险模型及审计风险控制措施进行分析。

二、审计风险要素及模型分析审计风险是损失发生的不确定性,不能够准确计量其大小,但审计风险的水平在不同的环境中、在不同的审计项目上是有大小之分的。审计人员可以利用相关信息,根据个人的职业判断对审计风险的大小进行估计。具体工作中利用审计风险模型对终极审计风险进行估测是一种基本的方法,即分别对审计风险要素进行分析,估测其大小,然后利用审计风险模型计算得出终极审计风险的大小。笔者认为,审计风险包括固有风险、控制风险、检查风险和承担责任风险等四个要素,其中固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性;控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性;检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报,而未能被实质性测试发现的可能性;承担责任风险是指审计主体在未能发现重大错报或漏报的条件下,因承担此项责任而遭受损失的可能性。

关于固有风险、控制风险、检查风险在很多论著中都已述及,不再赘述,下面介绍一下承担责任风险。我们知道审计主体承担责任既包括在法律诉讼中被判决承担行政、民事或刑事责任,也包括受到注册会计师协会、财政部门和证监会等管理机构的处罚,还包括在协商中答应赔偿等各种情况,而并不仅仅是因诉讼失败而承担的法律责任,这也是承担责任风险与诉讼风险的主要区别所在。由于即使审计主体出具的审计报告意见不适当,也有可能不被审计报告使用人发现,审计主体出具不适当的审计报告并不一定会转化为现实的损失,或者说带来的承担责任损失具有不确定性,因此有必要将承担责任风险作为审计风险的一个要素。对承担责任风险的估测应考虑以下因素的影响:

(一)被审计单位经营失败的可能性钟希余:审计风险模型的重建及其在审计风险控制中的应用虽然经营失败不等于审计失败,但在审计主体存在不当行为情况下,会引起相关管理机构的重视,在调查经营失败的原因的同时,会发现审计失败。因此,如果被审计单位经营风险大、已陷入困境或出现可能导致偿债困难甚至破产的其他情况,则此项目的承担责任风险应评估为高。(二)审计报告使用人的多少被审计单位的股东、债权人及其他的审计报告使用人数量越多,就有越多的人关注审计意见,同时审计主体的不当行为就越容易被发现和被追究责任。因此,对于上市公司进行审计面临的承担责任风险要大于对非上市公司进行审计。

(三)审计的法律环境与审计相关的法律制度越健全,审计主体的承担责任风险越高,例如自年月最高人民法院《关于会计师事务所为企业出具虚假验资证明应如何承担责任问题的批复》以后的两年间,司法实践中不断出现注册会计师执业中引发的民事纠纷,案例多达%余例。而到目前为止,除验资以外的其他审计业务涉及诉讼的很少,主要是因为相关的法制不健全,法院难以受理此类案件,特别是要求民事赔偿的诉讼。随着社会公众法律意识的增强和相应法律制度的健全,审计人员所面临的承担责任风险会越来越大。审计风险是一个系统的概念,是由多种风险因素共同作用的结果。因此,审计职业界和审计研究人员都致力于研究审计风险模型,期望能把风险要素归入到一个模型中。前已述及,在不同的审计风险定义下,审计风险模型也有所不同。在多种模型中,最有影响的是美国注册会计师协会在"’(年的第)号审计准则说明书(),)中提出的审计风险模型:审计风险-固有风险.控制风险.检查风险这一模型已被大多数审计职业团体所接受,中国注册会计师协会在其颁布的《独立审计具体准则第"号———内部控制与审计风险》中也有“审计风险包括固有风险、控制风险和检查风险”的阐述,并给出了相应的定义。

上述审计风险模型是与美国注册会计师协会对审计风险的定义相适应的,但与本文对审计风险的定义不相适应,在本文提出的审计风险定义基础上的审计风险模型应该是:审计风险-固有风险.控制风险.检查风险.承担责任风险这一模型在),中的模型的基础上增加了承担责任风险这一风险要素,其理由已在前面述及。

三、审计风险的控制前已述及,有必要将承担责任风险作为审计风险的一个要素,在分析审计风险时应该考虑承担责任风险,进行审计风险控制时也应该充分考虑承担责任风险。审计程序包括三个阶段:计划阶段、实施阶段、报告阶段。下文将分析这三个阶段中应该如何结合承担责任风险来进行风险控制。

(一)审计计划阶段、充分考虑承担责任风险,确定被审计单位。承担责任风险应该成为审计职业界关注的一个基本概念,注册会计师必须慎重选择被审计单位。注册会计师应该选择正直的被审计单位,并且要特别注意被审计单位的以下问题:一是管理层的品格和声誉;二是是否陷入财务困境和诉讼纠纷;三是与前任会计师事务所的关系,尤其是在前任会计师事务所声誉较好、执业质量高的情况下,做出是否接受委托的决定应更加慎重;四是有无特殊要求,例如完成审计的时间限制等。/、考虑风险因素,确定审计收费标准。审计收费的多少是审计组织与被审计单位共同关心的问题,收费过高,会使一些效益不高的企业很难享受到审计的专门服务;收费过低,又无法吸引高素质的人才从事审计职业,同时也使注册会计师无法承受该职业的商业风险,最终造成审计服务短缺。为此,恰当地与被审计单位商定审计收费的计费依据、计费标准以及付费方式与时间,是审计计划阶段的一个很重要的工作内容。(、考虑审计风险,确定审计成员。针对被审计单位的规模大小和环境的复杂程度,考虑被审计单位的风险大小,选派合适审计人员,这是有效控制审计风险的手段。审计小组成员应熟悉被审计单位所在行业的专业知识以及某些特殊行业的特有会计问题。另外,选派注册会计师时需要考虑审计小组的凝聚力、内部氛围以及相互之间的配合与协调,注册会计师的数量以及注册会计师的合理分工搭配。、考虑审计风险,确定审计的性质、时间和抽样规模。根据检查风险的大小和审计证据之间的关系,可以确定审计的时间和审计抽样的规模。一般认为,审计证据充分,检查风险小,审计时间可短些,抽样规模可小些;反之,则相反。

(二)审计实施阶段、严格遵循独立审计准则的要求执业。独立审计准则是规范审计行为的权威性标准。我国当前审计质量低的一个主要原因就是审计主体不能严格遵守准则,存在着遗漏重要的审计程序,或“一味地生搬硬套独立审计准则中的条款,机械地‘走程序———收集证据’了事,从表面看独立审计准则中规定的程序都执行了,但实质上执行的程序与审计目标不相关”等许多问题。严格遵守准则的要求执业,需要审计人员从实质上理解和执行准则、深入了解被审计单位的情况、保持应有的职业关注和职业谨慎、充分运用职业判断、收集充分适当的审计证据,这样就可以降低审计风险。而且当审计主体受到不公正的指责和控告时,也可以以此证明自身不存在过失和欺诈行为,免受损失。"、合理确定审计风险控制关键点。审计风险控制关键点是指最容易使会计报表产生重大错报、漏报的交易、事项或迹象。审计风险控制关键点的相关资料应包括名称、表现形式涉及的主要会计科目、应实施的审计程序、已有案例、相关的最新法规等项内容。会计师事务所设置审计风险控制关键点,并将相关资料传达到全体审计人员,可以引起审计人员的重视,在实质性测试中予以重点检查甚至进行详查,有助于发现被审计单位的错误或舞弊,降低检查风险。

审计风险控制关键点的设置主要根据事务所自身的审计经验和教训,因为这些审计风险控制关键点符合本事务所和相对应的被审计单位的实际情况。另外还应根据媒体介绍的案例,结合自身的具体情况经过分析、筛选,对审计风险控制关键点进行补充,以吸取同行的教训。审计风险控制关键点的设置不是一劳永逸的,事务所要根据经济形势和审计环境的变化,适时修改和增减已设置的审计风险控制关键点。、注重审计证据的取得。对客户进行审计查证的过程实质上就是取得审计证据的过程,审计时要把主要精力和时间放在取得审计证据上。对什么事情都要言之有“证”,尽量少发表推理性意见,要以取得确凿的审计证据作为发表审计意见、出具审计报告的依据。、注重审计工作底稿的规范。审计工作底稿是审计人员在执业过程中制作的“原始凭证”。而原始凭证的证明效力如何取决于记录底稿的规范程度和记录内容是否完备。完备的审计工作底稿不仅有利于审计报告的归纳总结,而且有利于发生诉讼时进行辩护。审计人员应避免在审计过程中心里明白,而在事后写报告时又不敢肯定,这样即使勉强地发表了审计意见,也很容易出现承担责任风险。

(三)审计报告阶段、绝不签发与事实不符的报告。有的客户为达到某种目的,示意甚至威胁、利诱注册会计师,要求出具不符合事实的报告,对这样的要求审计人员应坚决拒绝,而不能见利忘义,我国《注册会计师法》第二十条也对此进行了明确的规定。"、语言表达要严谨。审计报告不仅要条理清楚,简练畅达,关键还要措辞准确。对审计无误的事项要准确地表达清楚,对没有审计的事项不要发表意见,对已经查证但依据不足的事项应予以说明。、对所出具的报告的监督检查。审计报告在报出前,审计机构负责人应指定责任心强、并具有一定经验的资深注册会计师对该项审计业务的全过程(包括委托协议书、审计工作方案、审计工作底稿、审计报告等)进行复查。对报告中发表的审计意见要逐条和审计证据核对,把握报告发出前的最后一关,杜绝发出有风险的报告。

(四)从事务所全局来对审计风险进行控制的措施、提高审计人员的素质。审计业务要由审计人员来操作,风险控制的方法也需要人去实施,如果审计人员的素质不提高,降低审计风险就无从谈起。事务所应从招收员工和职业培训等方面入手,不断提高审计人员的综合素质,包括职业道德水准、专业技术水平和风险意识,使审计人员勤勉尽责,以应有的职业谨慎态度和超然的独立性执行审计业务,从而降低审计风险。"、参加职业责任保险。独立审计是一个高社会责任和高执业风险的行业,事务所即使足够重视对审计风险的管理,也要承受一部分风险。而且随着与审计相关法律制度的建立健全,会计师事务所的民事赔偿责任会不断增大,风险事故带来的损失可能是巨大的。事务所只有避免因赔偿和支付罚金能力不足而导致破产,才能生存下去。

篇6

[论文摘要]现代风险导向审计是以被审单位的经营风险为出发点,将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,也并未考虑IT带来的影响。在IT环境下,审计风险判断应以流程(包括业务流程和IT流程)为中间环节,建立基于流程的审计风险判断方法。

现代风险导向审计以被审单位的经营风险为出发点,相关的风险评估结果是评估财务报表层次和认定层次重大错报风险的基础。审计风险虽源于重大错报风险,但审计人员最终都要通过对报表各项目的审计发表财务报表审计意见,因此风险评估必须与各类交易、账户余额、列报的认定相联系。将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,而且也未关注IT环境下如何将风险因素与认定层次可能发生的错误相联系。在IT环境下,业务流程及其支持流程——IT流程,都是链接风险因素和认定层次可能发生错报的中间环节。在高度自动化的企业环境下,审计证据的证明力依赖于IT相关风险的控制情况。因此,有必要改进IT环境下的审计风险判断方法。在IT环境下,审计风险判断应以流程(包括业务流程和IT流程)为中间环节,建立基于流程的审计风险判断方法。

一、流程对审计风险判断具有重要意义

流程的概念很多,ISO/IEC 9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,Kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在IT环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当IT逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的IT流程与业务流程需要实现动态整合,即IT活动被看作是业务,并执行与业务相同的管理方式。因此,IT环境下的企业业务流程应该是广义的,同时包含IT流程和业务流程。美国公众公司会计监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解IT如何影响公司的交易流程。

有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O’Donnell E和Jr Joseph J Schultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。

二、IT环境下基于流程的审计风险判断方法

为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计

过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于IT环境。因此借鉴自上而下的审计方法,将流程作为IT风险判断的中间环节,改进了的IT环境下的审计风险判断方法具体实施步骤如下:

1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在IT环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)IT利益群体的风险及对IT利益群体控制的有效性,如IT治理;(2)企业层面的IT控制,如与IT相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。

2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。

3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。

4.确定与IT功能相对应的应用系统的范围。详细列出与这些IT功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如Email程序、传真软件、设计软件等。

然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。

5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。

6.评价IT控制、分析业务流程风险。结合对IT一般控制的评估结果和对业务流程中IT应用控制的评估结果,就可以分析关键业务流程的IT风险控制情况。此时的IT控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。

7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。

通过上述7个步骤,审计人员可以将IT环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。

参考文献

篇7

【关键词】 信息系统;审计线索;审计规范;审计风险

1954年,通用电气公司运用计算机进行工资核算成为企业运用计算机信息系统的开端。计算机信息系统有利于企业经营管理效率的提高,成为企业经营管理必不可少的工具,然而计算机信息系统也对审计线索、审计工作以及审计规范等方面产生了巨大影响。因此,笔者从计算机信息系统对上述三方面的影响对该领域的文献进行回顾与评述。

一、对审计线索的影响

(一)对审计线索影响的文献回顾

审计过程实质上是不断收集、鉴证和综合运用审计证据的过程。在手工数据处理系统中,存在着大量肉眼可见的审计线索,对手工数据处理系统的审计,就是建立在这种肉眼可见的审计线索之上。而在计算机信息系统中,传统的凭证、账簿、报表等文字记录消失,取而代之的是存储在电子介质上的相关信息。对于组织来讲,信息技术的运用给企业带来了新的商业风险,例如日益依赖于计算机系统,消除了传统的纸质审计线索,在电子媒介上保留记录,日益依赖于交易伙伴,减少人为因素的介入,依赖于EDI网络、数据交易系统和过程(Pearson,1996;Pirie & Sheehy,1996;

Ratnasingham1998;Cullen,1995),越来越多的组织开始关注保存信息系统审计线索问题(Caroline Allinson,2001)。纸质记录的消除也给管理层和审计人员带来了相当重要的问题,纸质记录仍然需要被保留,因为它们可以保证“充分的数据以恰当的格式和足够长的时间被保留,以满足法律和审计的需要,提供会计责任的依据”(Jamieson,1994)。审计师事务所应当强调对控制的可靠性测试,而不是实质性测试,因为随着对计算机控制的日益依赖,减少纸质文档,审计线索将不会长时间的在线保留。由于审计证据类型和地点的改变,仅有少量纸质文档或者没有纸质文档,传统实质性测试将很难执行,这时也会考虑大量运用计算机辅助审计技术(Jamieson,1994)。审计人员不能认为EDI环境是更加简单和自动化,在执行控制测试时,识别证据的类型和地点与以纸介质为基础的系统不同,审计人员需要测试和评估电子签名,更进一步的,审计人员需要执行对相关控制和主要证据更广泛的收集,超越具体循环或子系统提供必要的证据。同时,一些形式的证据由于在组织、交易伙伴或增值网(VAN)中信息保留政策,不可能存在很长的时间。审计人员需要考虑将什么时候收集证据(Stein & Rittenberg,1995)。计算机网络环境已经对审计活动产生了重大影响,有必要以风险导向审计观念为主导,实施计算机网络环境下的详细审计。网络环境下的详细审计应当借鉴早期详细审计的具体做法,将详细审计的重点定位于系统的输入口,对于电子化、网络化的原始凭证,在进行逐项审计之前,必须对其网络传递安全性进行确认(庄明来,2003)。审计线索的变化也对审计准则的制定与颁布产生了重要影响。在中国注册会计师协会2006年颁布的审计准则之中,多处涉及电子审计证据的获取与检查,以及其可靠性和相关性鉴证,其中《中国注册会计师审计准则第1301号――审计证据》明确将电子介质的记录形式列为审计证据,同时认为它比口头形式的审计证据更可靠(庄明来,2008)。

(二)对我国审计规范制定的启示

计算机信息系统的运用从审计线索中排除了纸质文档,其本质是消除了许多传统的内部控制方式,需要审计人员在思想观念、审计工作组织方式等方面发生深刻的转变。审计线索的变化也催促着制定与相关审计规范以应对审计线索发生变化后的审计取证问题。ISACA为应对审计线索发生变化后,审计取证所面临的各方面问题,并实施了信息系统审计指南第22号《计算机取证》。在审计指南第22号中,ISACA首先对计算机取证进行了定义,其次对审计人员在审计取证中的电子数据传输有效性识别、各方交易内容的识别、欺诈识别以及审计取证中的数据保护、数据获取和审计报告中审计证据选取等问题提供了相应的指南。因此,为应对计算机信息系统对审计线索的影响,我国审计准则制定机构应尽快制定与颁布计算机取证方面的规范。

二、对审计风险的影响

(一)对审计风险影响的文献回顾

信息技术的运用历来都是一把双刃剑,在提高财务审计、绩效审计以及信息系统审计效率的同时,也给审计机构或审计人员带来了不容忽视的审计风险。信息技术的发展给组织带来了新的风险,内部审计人员、外部审计人员以及IT专家应当在评估和管理这些风险的过程中扮演重要的角色,但通过调查发现内部审计人员主要集中于传统IT风险与控制,例如IT资产保护、应用程序、数据完整性、隐私和安全,很少关注系统的开发与获取问题(Dana R. Hermanson etc,2000)。进行信息系统审计时,必须识别与新技术相联系的风险,内部审计应该通过建立、监测预警指标和运用一套完整的风险评估程序关注高度优先领域。有意义的早期预警指标能够识别威胁以及提供精确程度高的现场指标,对现场指标的需求是基于对没有检测到的威胁经过一段时间可能会发生的考虑(Burns & Sorton,1991)。同时,Burns和Sorton还认为电子信息传输中的早期预警指标应该强调揭示三种类型风险因素,即固有风险、控制风险和控制结构风险。Sally Wright和Arnold M. Wright(2002)通过对五大会计师事务所的信息系统审计人员进行调查发现,识别供应链ERP子系统与支付子系统存在着较高的控制风险和安全风险。对企业ERP系统的鉴证活动应将重点放在对系统过程的鉴证,而不是将重点放在信息系统输出结果的鉴证上。Kinney(2003)认为理解信息技术对风险、风险评价和风险管理的影响,需要深入理解外部因素和内部因素在企业组织运用信息技术中的不同影响。Diane Janvrin等(2009)对与计算机相关程序的运用以及控制风险评估和事务所大小是否影响计算机相关审计程序的运用进行了实证检验,研究结果发现计算机审计程序的运用取决于审计人员对被审单位系统的了解以及与计算机相关的内部控制的测试。而且,42.9%的审计人员计算机审计程序的运用依赖于内部控制,这个比例在四大会计师事务所会更高。

(二)对我国审计规范制定的启示

信息系统的风险,同其它审计对象的风险相比,更具有隐蔽性,破坏性更强,舞弊手段及方法更为先进。为引导信息系统审计人员应对计算机信息系统对审计风险的影响,强化信息系统审计风险的管理与控制,有关风险评估方面的信息系统审计规范发挥着不可替代的作用。国外准则制定机构相当关注信息系统审计风险问题,为引导审计人员应对审计风险,ISACA早在2000年就的信息系统审计指南第13号《审计计划中风险评估的运用》。我国在信息系统审计的风险评估方面还基本上处于空白状态。因此,为应对计算机信息系统对审计风险的影响,我国审计准则制定机构应尽快制定与颁布信息系统审计风险评估方面的规范。

三、对信息系统审计规范的影响

(一)对信息系统审计规范影响的文献回顾

电子数据处理、MIS、ERP等信息系统在企业的广泛应用,改变了人类社会利用信息资源的能力与方式,但随着信息技术应用的普及,利用信息技术进行欺诈和舞弊的犯罪事件也不断出现。1973年1月,美国“产权基金公司”的保险经验商利用计算机进行欺诈,诈骗金额高达数亿美元,负责该公司审计的事务所也被判赔偿损失,这件事情引起了美国审计界的震惊,使得人们开始重视信息系统审计 。国外审计准则制定机构为满足信息系统审计实践的需求也不遗余力的致力于信息系统审计规范的制定与颁布。AICPA于1974年发表了《电子数据处理对审计人员影响的调查与内部控制评估》成为对电子数据处理系统实施审计的标准,为信息系统审计提供了指导和依据。日本注册会计师协会也于1976年发表了《使用电子计算机的会计组织的内部控制制度质问书(修订案)》、《电子数据处理系统的审计标准及审计过程案例》和《电子数据处理系统审计方法》等,作为对信息系统审计执行的强制标准。美国EDP审计师协会1984年的《EDP控制的目标》提出了信息系统的系列控制标准,随后于1987年了《信息系统审计的一般准则》,为信息系统审计活动提供了一般准则,指导审计人员的审计实践活动。而日本通产省下属的“计算机安全研究会”于1985年发表了《IT审计标准》,认为“随着信息系统网络化的进展,仅仅是系统内部的审计是不充分的,有必要尽早地引入由具有专门知识与技术的、与系统没有直接关系的第三方(信息系统审计师)对信息系统的安全、可靠等进行全面检查……”等观点。

进入20世纪90年代以后,信息技术的迅速发展使得信息系统越来越复杂化及网络化,如何确保信息系统的安全、可靠和有效变得越来越重要,审计实践对信息系统审计规范的需求也日益强烈。美国EDP审计师协会也于1994年正式更名为信息系统审计与控制协会(ISACA),致力于信息系统审计准则、审计指南以及审计程序的颁布。截止2010年4月,ISACA共了16项基本准则、41项审计指南和11项作业程序,对信息系统审计的程序、技术、方法以及目标等进行了详细深入的规定。为配合外部审计人员的信息系统审计活动,国际内审协会(IIA)为适应信息系统审计的需要也于2006年颁布了IT风险评估指南(GAIT)与全球技术审计指南(GTAG),GAIT是为管理者和外部审计师提供了一种识别IT控制中的关键控制点的方法,而GTAG中用于解决董事会和高级经理关心的问题,提供了有关信息技术管理、控制或安全方面最及时的问题。截止2009年9月,IIA共了12个全球信息技术审计指南。与此同时,IT治理协会(Information Technology GovernanceInstitute,简称ITGI)在吸收借鉴了41个国际性文档研究成果的基础上于1996年、1998年、2000年、2005年分别颁布了Cobit1.0,Cobit2.0,Cobit3.0,Cobit4.0,并于2007年5月将Cobit更新到4.1版本。信息系统审计领域这一系列规范有利于指导审计人员从事信息系统审计活动,为整合信息系统审计领域的已有规范,并弥补ISACA所的基本准则、审计指南以及审计程序的不足,ISACA于2008年4月又推出IT鉴证框架(ITAF),借助统一的框架整合这些规范。尽管ITAF目前还只是一个由基本准则(包括一般准则、执业准则和报告准则)、审计指南、工具与技术三部分组成的框架结构,但ISACA则希望ITAF作为一个“活文档”,可以在该框架下不断完善。

随着我国企业信息化、政务信息化等工程的开展,信息系统审计实践也得到迅速发展,“透过计算机审计”①已经成为国家审计、内部审计以及注册会计师审计对信息系统审计的必然。在计算机信息系统与网络环境的影响下,我国政府和信息系统审计实践部门也开始重视信息系统审计规范的制定与。审计署京津冀特派办在2005年了《计算机审计操作规则》、《审计中间表创建和使用管理规则》和《数据分析报告撰写规则》等操作规则之后,又于2006年9月了《信息系统审计操作规则》、《网上审计操作规则》以及《审计数字化应用规则》等审计信息化建设的规则。中国内部审计协会为了规范组织内部审计机构及人员开展信息系统审计活动,保证审计质量,于2008年根据《内部基本审计准则》制定并颁布了《内部审计具体准则第28 号――信息系统审计》。尽管“内审准则28号”存在诸多缺陷,却是我国第一个真正意义上的信息系统审计准则。与此同时,为了应对信息系统广泛应用企业所带来的一系列问题,越来越多的学者也开始关注如何在当前条件下完善我国的信息系统审计规范体系,以指导信息系统审计实践。李丹(2002,2003)对我国开展信息系统审计的紧迫性、面临的问题以及未来的发展前景进行了研究,认为我国信息系统审计面临的问题包括审计观念的转变、信息系统审计的专业人才以及行业准则与实务指南,应加快行业准则与实务指南的制定。汪家常、许娟(2003)认为与发达国家相比,我国计算机审计准则缺乏操作层次规范,弱化实际应用性,内容时效滞后,内控制度过于笼统,审计风险评价乏力,重构我国计算机审计准则系统,应本着系统性、完整性、实用性原则,科学规划一般准则和具体审计指南。在借鉴国外先进经验,制定计算机审计准则时,应保持中国特色。王景东(2003)认为目前我国信息系统审计是计算机审计中最为薄弱的环节,既没有形成一个较为完善的能够指导实践的规范和准则体系,也没有较为成熟的适合实践的可供借鉴的案例和经验。胡晓明(2005)提出我国应在国家审计署下成立专门的信息系统审计研究中心,负责对信息系统审计标准、操作指南、职业规范体系进行研究。陈婉玲、杨文杰(2006)在介绍了ISACA的信息系统审计准则及其发展的基础上,简要讨论了我国计算机审计发展的现状与准则建设情况,提出了我国在建设信息系统审计准则体系时,可以借鉴ISACA的做法,也采用三个层次体系结构,以基本准则为核心,统领审计指南和作业程序,从而使整个准则体系不断扩展、完善。唐志豪(2007)认为信息系统审计包括技术性规范和社会性规范,其中技术性规范是指信息系统审计标准,社会性规范是指审计职业道德规范和法律规范。庄明来、吴沁红、李俊(2008)回顾了与信息系统审计相关的规范发现,我国信息系统审计人员开展信息系统审计主要参考ISACA组织颁布的信息系统审计准则和我国审计准则中关于计算机审计的部分,这种现状不适合我国信息化快速发展的现状,也不适应信息系统审计事业的发展。我国在制定专门的信息系统审计准则时应注意准则体系问题、准则制定的方法问题以及信息化相关法规的完善等方面。张金城、黄作明(2009)对我国与信息系统审计相关的规范进行了回顾,认为我国至今仍然没有正式的信息系统审计准则。

(二)对信息系统审计规范制定与研究的启示

电子数据处理、MIS、ERP等信息系统的广泛应用使得原有审计准则已经不能满足对信息系统审计的要求。因此,需要在原有审计准则的基础上,建立一系列新的审计准则以满足对信息系统审计的需求。国外审计准则制定机构为适应信息社会发展的要求,从20世纪70年代就已经开始对信息系统审计规范进行理论与实务研究,在审计规范的数量与质量方面都优于我国。因此,在呼吁我国相关准则制定机构加快制定适合我国国情信息系统审计规范的同时,我们还应当认识到,国内学者对计算机信息系统审计规范的研究大都在简要介绍ISACA审计准则以及与计算机审计相关的准则,没有对ISACA所的信息系统审计准则体系进行完整系统的研究。然而,通过调查研究发现在信息系统审计实践中,部分审计机构为更好地开展信息系统审计活动已经开始尝试着颁布适用于指导和约束审计人员行为的信息系统审计操作规则,如审计署京津冀特派办于2006年9月的审计信息化操作规则,但这些实践在学术研究中并没有得到体现,理论研究落后于实践,没有真正起到理论指导实践的作用。

基于以上对国内信息系统审计规范研究现状的认识,我国在信息系统审计规范体系的建设过程中需要解决以下几个问题:一是厘清信息系统审计理论结构与信息系统审计规范之间的关系进行分析。众所周知,信息技术发展的摩尔定律使得其发展日新月异,新兴的信息系统审计领域不断出现,分析信息系统审计理论结构与信息系统审计规范之间的关系,有助于在信息系统审计规范制定无法跟上的时候指导审计人员的审计行为;二是对国外信息系统审计规范进行完整、系统的回顾与评述。国外存在着大量诸如ISACA审计准则、GAIT和GTAG以及Cobit等审计规范资源,深入分析这些审计规范有助于夯实我国信息系统审计规范体系完善基础;三是国内学者对我国信息系统审计规范现状的研究基本上都停留在介绍我国与信息系统审计相关规范的基础上,对我国信息系统审计规范供给与需求不均衡的深层次问题缺乏探讨。因此,有必要深入剖析我国信息系统审计规范的现状;四是分析我国信息系统审计规范的框架结构,同时对我国信息系统审计规范制定的路径选择问题进行探讨。

【主要参考文献】

[1] Pearson, M.Auditing in a paperless environment[J].Ohio CPA Journal, 1996, Vol. 55 No. 3:31-32.

[2] Ratnasingham, P.Internet-based EDI trust and security [J].Information Manage- ment and Computer Security, 1998, Vol. 6, No. 1:33-39.

[3] Cullen, S.Electronic data interchange: implementation and control issues [J].Perspective on Contemporary Auditing, ASCPA Audit Centre of Excellence, 1995:58-66.

[4] Caroline Allinson.Information Systems Audit Trails in Legal Proceedings as Evidence [J].Computers & Security, 2001, Vol.20, No.5:409-421.

[5] Jamieson, R.EDI: An Audit Approach, Monograph Series 7[J].The EDP Auditors Foundation, USA, 1994.

[6] Dana R. Hermanson, Mary Callahan Hill, Daniel M. Ivancevich.Information Technology―Related Activities of Internal Auditors[J].Journal of Information Systems, 2000 supplement, vol.14:39-53.

[7] Diane Janvrin, James Bierstaker, D. Jordan Lowe.An Investigation of Factors Influencing the Use of Computer-Related Audit Procedures [J].Journal of Information Systems, 2009, Vol. 23, No. 1:97-118.

[8] ISACA IS Standards, Guidelines and Procedures for Auditing and Control Professionals [R].ISACA, 2009.

[9] IIA.GAIT Summary[R].2007.

[10] 刘杰.我国信息系统审计规范体系研究[D].厦门大学博士学位论文,2010.

[11] 李丹.美国信息系统审计发展的历史和现状[J].中国审计,2008(3):25-27.

[12] 李丹.信息系统审计――传统审计的一场革命[J].中国审计,2002(3):57-58.

[13] 李丹.信息系统审计系列专题研讨(一)信息系统及控制审计的现状与发展[J].中国审计,2003(1):67-69.

[14] 汪家常,许娟.计算机审计准则体系重构[J].安徽工业大学学报(社会科学版),2003(5):54-57.

[15] 王景东.财政审计的深化:信息系统审计[J].中国审计,2003(5):77-78.

[16] 庄明来,吴沁红,李俊等.信息系统审计内容与方法[M].北京:中国时代经济出版社,2008.

[17] 庄明来,阳杰.美国IT控制的审计规范体系解读与启示[J].经济管理,2009(11):125-129.

[18] 胡晓明.我国信息系统审计的发展战略研究[J].学习与探索,2005(5):204-206.

[19] 唐志豪.信息系统审计理论结构研究[J].财会月刊,2007(3):59-61.

篇8

随着网络技术在会计和审计信息管理中应用的不断深入,审计信息将提供更加专业化、准确化和智能化的服务,可以解决审计信息的海量存储、智能检索、高度共享等问题,对审计信息管理将产生变革性的影响。它与传统审计相比,除了具有便捷、隐秘、准确高效和多单位联合作业的协调等优势以外,还具有以下方面的优势:

(一)信息资源的充分共享

在实施审计过程中,计算机网络通过数据传输和数据交换网,利用通讯技术将不同地区的计算机连接在一起组成一个有机信息系统,其最大的特点是信息共享性。随着整个世界经济国际化进程的加速,我国企业与世界上不同国家与地区间的贸易来往愈来愈频繁,投资者、债权人及其他相关主体往往分布在世界不同国家与地区。因此,审计信息和审计报告是他们进行理性决策的必要信息资源。在网络环境下,审计信息可以充分共享,这样可以大大提高审计信息的使用效率。

(二)提供智能化服务

网络环境下,审计人员可以充分利用网络所特有的先进电子服务技术,查找跟踪各网络网站的审计数据资料,充分利用Web共享这些数据信息资源。网络审计所提供的智能化服务,是面向客户的智能化服务。同时在遇到难以解决、难以形成定论的问题时,也可以邀请国内外审计专家进行网上会议,共同寻找克服难点的途径,以保证给客户提供最完美、最优质的审计服务。

(三)大幅度降低费用

在网络环境下,审计领域节约的有关交易费用主要表现在以下几个方面:节约了有关搜寻审计信息、审计证据的长话、电传以及审计资料传递的邮递费,所有的一切工作都在网上进行;减轻了审计人员对审计信息的搜寻、整理、等待成本以及与其他单位、个人的联络费用;节约了有关审计人员的人力,减轻了劳动强度,节约了发生在审计工作中的能源、资源包括商品流、信息流、资金流、人员流的消耗。

(四)提供实时审计服务

在网络环境下,审计部门随时对企业进行审查,及时收集掌握被审计单位的最新会计信息和有关经济业务信息,并向有关各方,审计的时效性大大提高。审计从事后审计转变为实时审计,并从静态走向动态。

二、网络审计所面临的问题

(一)网络审计理论研究不足

在我国,网络在企业管理中的推广应用才刚刚开始,较大型的系统还不多。人们对网络财务及其网络审计的认识还较模糊,网络审计理论研究尚处于初级阶段。从发表在各种专业杂志上的有关网络审计方面的论文看,涉及网络审计理论研究的文章并不多,而市场上相关的各种审计软件不断出现,网络审计的理论研究和实践出现了不平衡的局面,网络审计软件将会因为缺乏理论的指导,重复会计软件开发初期时的老路,误入歧途,多走弯路。

(二)网络审计的相关法律和审计准则不完善

在网络时代,社会的信息化加大了社会的不确定性,而法律对规范社会经济的运作、控制社会经济秩序具有不可替代的作用,尤其在网络经济环境下,法律的重要性更为突出。网络审计作为一个维护社会经济秩序并服务于经济领域的中介活动,迫切需要一套符合自身发展规律的法律来规范,建立起一套能规范网络审计的审计准则,作为维护经济秩序的法律屏障。

美、日、英等国都制定了有关计算机审计的审计准则。国际审计准则中,对此也有专门计算机审计的范围、目标、程序、技术及方法。我国的《中国注册会计师独立审计准则》中也有涉及到计算机辅助审计的内容,但针对网络经济时代下日益发展的电子商务系统及随之而出现的一系列新的问题,旧有的审计标准准则体系和法律法规体系已不能完全适应、指导和规范网络经济时代的审计实践。网络本身的虚拟性、实时性、广泛性要求比传统审计更加切实可行、更加完备的标准准则和法律法规的保证。

(三)网络审计软件不完善

目前,我国通用的高水平的审计软件还很缺乏,主要原因是财务软件在设计时大多没有考虑专用的审计软件接口,使得在财务软件中嵌入适时跟踪监控的审计程序难以实现,使审计人员采集数据出现一定困难。我国现有的审计软件大多处于仅满足穿过计算机进行审计的阶段,现场审计和小规模的会计师事务所后期报告的制作几乎还在依赖于手工操作,规模较大的一些会计师事务所开始利用VB,VC开发更为自动化的审计系统软件。

(四)网络审计面临新的审计风险

1.网络安全的风险。网络安全问题带来的风险不仅表现在被审计企业在审计后发出的报表可能受到恶意攻击,而且还表现在网络本身对外界的高度依赖性,比如,突然断电对电脑的影响和电脑数据的保存、计算机病毒的破坏、人为的毁损等异常情况等,会导致网络审计系统的数据与信息丢失。

2.审计动态取证的风险。在网络环境下,企业几乎所有的业务信息和财务信息都通过网络传输,业务活动的数据处理都是实时的,审计人员要完成审计取证工作的同时又不能妨碍和终止被审计单位会计信息系统的运作。而在系统运作过程当中,进行取证,本身就难度很大,同时这部分无纸化审计线索的真实性、完整性、可靠性也难以保证,从而加大了审计风险。

3.传统审计线索消失的风险。在传统审计中,审计证据都以纸介质的形式保存,审计线索十分清楚。而在网络审计中,所有的审计证据都存储在磁介质上,这些在磁介质上的信息是机器可读的,肉眼不能识别。存储在磁性介质上的无纸化审计线索存在容易被修改、删改、隐匿、转移,又无明显痕迹。这些都将使审计证据的真实性、完整性和可靠性大打折扣,这势必会加大审计风险。

(五)审计人员计算机知识的缺乏

目前,我国审计人员中,能从事网络审计的人员不论在数量上还是在质量上都有较大差距,审计人员由于不懂网络经营与网络会计的特点,不能识别审查和评价企业的风险与内部控制,难以对复杂的网络会计系统进行正确有效的评价,越来越多的审计工作依赖于不懂审计的计算机专家。这样,审计人员的独立性、客观公正性将会受到威胁。同时,在审计软件的开发上,要求开发人员既有计算机软件的开发能力又有熟练的审计流程知识。因此,我国迫切需要培养一批既懂网络技术又懂审计、会计的复合型人才,各高校应对此引起高度的重视。

三、对策建议

(一)建立网络审计理论体系

网络审计理论的建立不仅是传统审计理论的一大飞跃,而且有利于网络经济的健康发展。当然,理论的形成并不是实践的简单堆砌,而是需要一种理性的思维去引导实践。因此,建立较完善的、全新的网络审计理论体系是非常重要的,审计人员和有关人员应该加强这一领域的研究。

(二)加强网络审计相关的立法和审计准则

网络的出现和广泛应用对传统审计产生了强烈的冲击。旧有的审计标准准则体系和法律法规体系已不能完全适应、指导和规范网络审计的实践。网络本身的虚拟性、实时性、广泛性要求比传统审计更加切实可行、更加完备的标准准则和法律法规的保证。如对网络审计人员的一般要求,网络系统安全可靠性评价标准等。

美国的信息产业部在构建互联网络法律框架时指出,网络立法应涉及9方面:1.身份认证与安全;2.消费者中心;3.内容与商业通信;4.信息基础设施(包括可互操作性和互联网管理);5.知识产权保护;6.司法管辖权;7.责任;8.保护个人数据;9.税赋。总之,我国要建立起适应网络审计发展的良好的法律环境,使得网上交易的法律体系与国际框架基本保持一致。

(三)加快通用的审计软件的开发

为适应会计信息化的发展,提高审计工作的效率,应组织力量加快开发会计信息化环境下的审计软件,包括通用性好、实用性强、涵盖项目管理、审计计划、数据转换、符合性测试、实质性测试、合并会计报表、审计工作底稿制作、会计报告的生成等全程一体化的审计软件。从实际情况和科学性来说,最好选择财务软件公司,它在财务软件制作方面的经验有利于网络审计测试软件的开发。软件开发时应考虑重新生成审计线索,如:财务软件里增加“有痕迹”的修改操作功能,就可重建审计线索,可为审计人员提供可信的证据。

(四)加强网络审计风险控制

为了有效地降低网络审计风险,就必须采取相应的防范和控制措施,具体表现为:

1.对相关网络系统进行实时跟踪。首先,对被审计单位的网络系统进行评价,并利用专用的对比软件,将存放于数据库不同地址的同一种数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查;其次,对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;最后,要对被审计单位的异常贸易,通过网络进行预警提示,以降低审计风险。

2.加强对网络系统的安全性和保密性。在网络审计系统中,一方面要满足系统开放性的要求;另一方面又必须保证系统的安全保密性。如何处理好这两个方面的关系,是网络审计信息系统设计成败的关键。由于网络审计系统是建立在Internet环境下的信息系统,其开放性无疑会得到满足,现在困难的是如何保证系统的安全性。目前,从技术上讲有这么一些措施:

(1)物理保护:物理保护主要是针对网络系统的结构与硬件设备所实施的保护措施。

(2)防火墙技术:防火墙控制技术是指在审计网络与外部环境之间建立一种隔离“屏障”,它一方面能够保证在CPA审计网络与外部环境(Internet)之间进行通畅的信息交流,另一方面,授权的用户可登录进入CPA网络审计系统,从而保证审计数据的安全性与保密性。

(3)反病毒:审计软件可以挂接反病毒软件,如对电子邮件、文件传输FTP、网络面程序,甚至对文档中存在的病毒进行防范和查杀。

(4)网络端口保护:通常对CPA审计系统的网络端口的保护可分为单端保护和双端保护,包括主机端保护和用户端保护,包括用户验证和终端验证。

3.审计人员参与网络财务软件的评审。为了有效地防范审计检查风险和审计控制风险,审计人员应参与网络财务软件的评审。只有对网络财务软件在进入销售市场之前进行事前审计,才能从整体上减轻审计人员的劳动强度,提高审计工作效率,为事中审计和事后审计打下良好基础。

4.充分利用计算机审计软件进行辅助审计。审计人员在实施审计的过程中,应根据网络“即时互动”的特点,充分利用通用的或专用的计算机审计软件,有效地降低审计风险:(1)利用审计法规合法性与合规性进行全面检查;(2)利用审计专家咨询软件对特定审计事项进行重点会诊,以减少审计误差;(3)利用审计接口软件获取充分、适当的审计证据,减少审计的固有风险和控制风险。

(五)大力培养网络审计人才

篇9

1.控制招生规模,强化精英教育

随着我国计划生育政策效果的进一步显现及未来人口出生率的降低,以后我国高考的学生数将逐年下降。基于此,为了实现精英教育,培养高素质的审计人才,各财经高校应严控招生规模,在维持目前招生水平的前提下,有可能的话还应逐渐降低招生规模。

2.明确目标定位,培养财经人才

尽管人才培养的专业设置是审计学,但教学定位不应只限定在审计,尤其是随着社会经济的发展,审计的重要性在经济活动中的各方面都得到体现,如政府部门的经济效益审计、高级管理人员的离任审计、上市公司财务审计等。因此,财经高校审计专业以培养适应我国市场经济发展需求的财经人才为目标。

3.优化课程设置,实现与认证教育相结合

与其他行业的显著区别是,注册会计师审计是一个职业化的行业,从业人员需获得相关资格认定。因此,为了帮助学生对未来职业发展进行准备,我国财经高校审计专业人才的培养可以与国际会计师资格考试相结合,将相关会计师资格考试的课程纳入审计专业的本科教学中,在引进先进教学体系的同时,帮助学生尽快通过相关资格考试。

4.强化实践教学,提高学生的职业能力

篇10

【关键词】 互联网+银行函证; 审计流程; 流程再造与优化

【中图分类号】 F239 【文献标识码】 A 【文章编号】 1004-5937(2016)23-0117-03

银行存款函证程序是注册会计师直接从被审计单位之外的第三方获取审计证据,以证明被审计单位银行存款是否真实存在、合法完整的一种行之有效的常用方法[ 1 ]。作为会计师事务所进行财务报告审计的一项重要审计程序,银行存款函证在支持审计结果有效性、保证审计质量方面发挥着不可或缺的作用。

一、银行函证程序的创新是形势发展的必然要求

我国早在1999年1月就由财政部和中国人民银行联合了《关于做好企业的银行存款、借款及往来款项函证工作的通知》(以下简称《通知》),对函证工作提出了明确的要求[ 2 ],并提供了“银行询证函”和“企业询证函”参考格式。《通知》还明确要求各商业银行、政策性银行、非银行金融机构、企业和其他有关单位要积极配合,据实填写有关数据资料,明确签署意见,认真做好函证的回函工作,并对回函信息的真实性负责。财政部2006年2月15日颁发、2010年修订的《注册会计师审计准则第1312号――函证》,从制度层面对函证审计程序进行了规范,形成了较为完善的制度体系。

然而,单单依靠制度的约束并不能起到良好的促进作用。由于目前银行函证还停留在纸质函证阶段,同时在实际操作中存在诸如注册会计师在发放银行询证函时前期准备工作耗时较长,而银行审核程序繁琐导致回函速度慢、推迟在询证函上盖章的时间、银行收费标准不统一、函证效果不理想等不尽人意之处[ 3 ],不仅直接影响到整个审计工作的实施进程,而且关系到整个审计工作的质量。

2014年12月30日,财政部、人民银行召开银行函证改革会议――银行函证实务问题研讨会,专门研究函证规范问题。改革函证程序的呼声渐高,相关部门已采取实际行动,积极研究注册会计师在银行函证等实务工作中存在的困扰和问题,尽快提出相应解决方案。笔者认为,要从根本上规范银行函证程序,需要会计师事务所、被审计单位和商业银行三方通力合作,营造良好的函证环境,充分利用互联网信息化平台,实现银行函证程序的再造和优化[ 4 ]。具体可以由人民银行牵头,联手中国银联提供强大的资金与技术支持,对银行函证程序进行流程再造与优化,实现商业银行客户账户信息联网,利用云技术实现账户信息云存储,并建立全国函证网络平台,使得注册会计师可以通过网络在线完成函证审计程序,既提高效率,又便于管理,还可以保证函证的准确性,让审计人员和银行工作人员从繁重的函证工作中解脱出来。

二、银行函证流程的再造与优化

要实现“互联网+银行函证”程序的革新,首先需要对函证流程进行再造与优化。目前的函证程序是基于纸质媒介的传统流程模式,较少甚至没有利用网络技术,流程繁琐,任何一个环节出现问题,都会影响整个函证程序的效果。进行函证流程再造就是充分利用互联网信息技术,基于互联网媒介实现函证审计工作网络化,从而达到优化函证流程、提高函证流程效率与质量的目标[ 5 ]。

(一)银行函证流程再造的含义

所谓流程是指一系列的、连续的、有规律的活动[ 6 ]。从该定义中可以看出,流程是按照特定的顺序、以特定的方式进行的,其最终目的是创造价值。银行函证业务流程的价值创造体现在提高函证效率、降低函证成本上。

一个完整的流程包括六个核心要素:输入、供应商、过程、执行者、输出、客户。银行函证业务流程中,流程输入有被审计单位相关资料、银行账户信息、会计师事务所银行函证的需求,供应商是被审计单位、银行部门,过程是会计师事务所提交银行函证请求、银行进行函证的审核、审核结果的反馈,执行者有注册会计师、银行工作人员,输出的是审核无误的银行函证,客户是需要核实账户信息的被审计企业。

1993年,迈克尔・哈默与詹姆斯・钱皮在《再造企业:经营革命宣言》一书中指出,再造是运用现代信息技术的力量重新设计业务的核心流程。对银行函证程序进行流程再造,就是充分发挥互联网技术的强大力量,利用网络巨大的存储空间,按照“互联网+银行函证”的思路重新规划函证程序流程,确保银行函证的高效率。

(二)“互联网+银行函证”流程的构建

笔者认为,进行“互联网+银行函证”流程的再造应遵循以下三个步骤:

1.流程规划

在进行流程规划之前,首先针对银行函证流程的目标与要求,全面分析银行函证业务流程的根本特点。进行银行函证是为了确保注册会计师事务所掌握的客户银行账户信息与银行掌握的客户账户信息一致,保证账户信息的真实可靠,满足客户对自身银行账户信息及时了解的需求。其次对业务流程规划进行说明。在准确把握银行函证业务核心价值要素的同时,要兼顾整体业务的完整性,不可缺失任何一个重要的环节。最后对函证业务流程进行有效分类,同时考虑和照顾配套管理体系的要求,以便达到提高流程运作水平的目的。总之,银行函证流程的再造要从满足银行的经营管理需要、照顾客户的需求出发,兼顾效益与成本,实现流程的最高效用。

2.流程描述

银行函证流程再造首先要进行基本数据的准备,即建立银行账户信息数据库,搭建函证程序网络操作平台,这是最为关键的一步。搭建数据库需要强大的资金与技术支持,人民银行可联手银联,强强联合,共同打造全国的银行账户信息网络系统,研发专门的银行函证操作系统,实现在线银行函证工作。其次就是函证流程的搭建,用图1具体对银行函证工作流程再造进行描述。

如图1所示,从会计师事务所开始,注册会计师先要取得被审计单位的银行对账单,在银行函证操作平台上完成相关账户信息的填写并提交银行函证申请,申请通过后提交银行处理。银行工作人员在银行账户信息数据库中核对函证相关信息,审核无误,将信息反馈给审计人员;如果函证内容与银行中账户信息不符,将正确账户信息反馈给会计师事务所,审计工作人员收集审计证据,流程结束。

在进行整个银行函证流程的搭建时,有两个环节需要重点关注:一个是注册会计师提交银行函证申请,另一个是银行工作人员审核函证信息。这两个环节是函证业务流程最主要的组成部分,其设计合理与否,关系到整个流程的实施效率。此外,还要高度重视对提交银行函证申请与审核函证信息的风险控制。加强这两个环节的风险监督控制力度,有效遏制其风险源头、降低其发生风险的可能,是保证整个流程顺利进行的关键。

3.流程配套设计

保证函证流程的顺利运行,离不开流程配套设计体系。主要包含:流程中心型组织变革,即根据流程执行的需要,对组织职能、岗位设置进行调整与优化;在流程制度设计的基础上,充分细化和规范流程运行过程中的配套制度;基于流程的表单设计,将流程输入、过程和输出信息进行及时、准确、有效的呈现,便于监控;流程管理团队的建设,函证流程的设计与执行离不开专业的员工队伍,培养与建设一批专业的流程管理团队至关重要。

(三)“互联网+银行函证”程序的优势

1.高速便捷,实现了信息数据的网络传递

优化后的银行函证流程是基于数据库技术的新型函证模式,它实现了函证审计程序的无纸化操作,高速便捷。在现代网络环境下,注册会计师可以直接通过网络进行银行函证工作,得益于信息数据库的建设。信息数据库的海量存储空间为银行账户信息的网络存储提供了可能,还给审计工作提供了极大的方便。审计工作者可以通过网络完成函证程序,从网络操作平台直接获得外部审计证据,真正实现了信息数据传递的网络化。

2.保证了函证效率,降低了工作成本

银行函证程序的网络流程化为银行函证的规范化执行提供了手段,同时极大地提高了银行函证审计程序的运行速度,让注册会计师在较短时间内获得审计证据,大大缩短了审计时间,实现了函证的高效率,保证了审计工作的质量。此外,由于应用了现代信息技术手段,减少了在收集审计证据、进行审计人员安排和利用审计资源上的浪费,因而降低了审计费用支出,节约了成本。

三、顺利实施“互联网+银行函证”程序的关键

(一)转变思维模式

互联网时代进行银行函证业务流程再造,需要进行思维模式转型,用互联网思维重新定义。首先,树立大数据思维,建立大数据平台并提升大数据运营能力。大数据是互联网时代的特征,互联网时代进行银行函证业务流程再造的首要任务就是进行自身大数据平台建设与提升大数据运营能力,这一点是进行业务流程再造的关键因素。其次,树立平台思维,让银行函证程序的各方参与者在同一个平台上“共舞”。利用互联网信息技术,搭建网络统一操作平台,审计工作者通过登陆网络平台直接提交关于被审计单位银行账户信息的银行函证申请,系统根据被审计单位银行账户的归属地进行划转,由归属地银行完成银行函证的审核与反馈工作。

(二)保证网络安全与授权管理

银行函证流程再造以在线操作平台为主要工作系统,因此保证银行客户账户信息数据库的安全至关重要。要不断开发与提升安全技术,制定安全机制,定期进行维护,以保证数据信息的完整与安全,从而确保函证工作的顺利完成。此外,实行分级授权管理,严格控制事务所工作人员和银行工作人员权限,制定授权管理机制,防止出现越级违规操作现象,规范银行函证审计程序流程。

(三)加强信息技术的创新与专业人才的培养

银行函证流程再造是基于计算机技术、数据库技术等信息技术基础之上的,“互联网+银行函证”程序的顺利实施离不开相关信息技术的开发,要保证技术手段的不断创新,实现对函证平台的持续更新。此外,保证银行函证网络平台的正常高效运转,需要专业人才队伍的建设与培养。新型银行函证业务流程是审计工作与计算机信息技术的有机结合,只懂审计或者只懂计算机技术的人才不能满足需求,所以亟待培养一批复合型人才[ 7 ]。通过多元化培养方式,提高专业人才的综合素质与能力,从而为“互联网+银行函证”程序的顺利实施提供保障。

总之,注册会计师行业要充分发挥现代经济生活中“经济警察”的作用,必须紧扣时代脉搏,审时度势,不断进行审计方法的改革与创新,大力发展“互联网+银行函证”,改进与优化银行函证审计程序,这也是顺应时代潮流发展需要的一项有益举措。

【参考文献】

[1] 刘利霞.银行存款函证应重点关注四大问题[N].财会信报,2013-08-26(B04).

[2] 谢慧伟.CPA实务中的函证运用误区及应对策略[J].新会计,2009(11):51-53.

[3] 成可,康淼.银行函证存在的问题及建议[J].商场现代化,2015(13):174.

[4] 屈涛.银行函证规范化进程“提速”[N].中国会计报,2015-01-09(02).

[5] 张庆彬.论提高审计活动的函证效率[J].管理观察,2013(10):103-104.