计算机审计风险及其防范(1)

随着信息技术和网络通信技术应用范围的不断扩展，计算机对被审计单位各业务环节的影响越来越大，出现了传统手工审计所没有的新问题，计算机审计应运而生。计算机审计在带来审计环境、审计线索、审计对象和内容、审计技术和方法的改变的同时，也带来了新的审计风险。

１．系统环境风险。系统环境风险是指会计电算化系统本身所处的环境引起的风险。它分为软件环境风险和硬件环境风险。目前已经通过评审的会计电算化软件有很多种，这些软件基本上符合财政部颁发的《会计核算标准基本功能规范》，但从基本功能模块的划分到数据库文件的设置，从采用工作平台到使用的计算机开发语言，从单项开发到系统开发，从单纯使用关系型数据结构到应用大型数据库资源等，可以说是千姿百态，各有千秋。正是由于计算机数据处理系统的复杂性，使得文件记录和系统操作都缺乏标准和规范，因而产生了系统环境风险。另外由于信息技术的高速发展，企业信息系统的联机实施系统和数据库管理系统化，使会计系统不再是孤立的和独立的，病毒、黑客的入侵随时可以威胁会计信息系统的安全。因此，审计的系统环境风险增大。另一方面由于计算机硬件设备的千差万别，对会计电算化系统的运行带来影响，也产生了审计风险。

２．系统控制风险。所谓系统控制风险是指会计电算化系统的内部控制不严密造成的风险。它属于审计的控制风险。在手工记账条件下，内部财务的控制机制完全是人与人之间的互相监督和控制。实现会计电算化后，这种监督和控制主要表现为人和机器的双重控制，而且以对机器的控制为主。由于审计对象和内容的改变，审计人员需要对软件开发商在设计软件时嵌入到程序中的内部控制软件方面的内容进行测试，而这些对审计人员而言是一件难度极大的任务。电子商务的特殊性，网络条件下还要建立许多全新的控制，这些控制除了包括企业内部的管理制度和企业财务系统的程序控制外，还包括外部网及网上交易的安全控制。现代审计中，审计人员要对企业内部控制进行审查和评价，以作为制定审计方案和决定抽查范围的依据。

３．财务数据风险。这种风险是指电磁性财务数据被篡改的可能。它属于审计的控制风险。由于审计线索的改变，在电算化系统中可人为篡改数据而不留痕迹。电算化系统数据来源、公式定义、编制结果、打印格式均采用机内文件的形式，如果有人篡改公式，编制失真的财务报表，然后再将篡改的公式等予以复原，这样很难判定报表数据的正确与真实性。传统审计追踪审查已不适用，审计入手点更多的是靠自己的判断和经验。财务数据风险的产生，使得审计工作或者增加人员，加大工作量，增加审计成本；或者放弃审计项目，审计风险增加。

４．审计软件风险。审计软件风险是指计算机审计软件本身缺陷原因造成的风险。它属于审计的检查风险。信息技术的高速发展，使得电子软件更新换代的速度加快。早期，我国会计软件的编制基本上用的是Dbase系列数据库，以后又改进为使用FoxBASE、Visual、 FoxPro等，随着新的编程工具的出现以及会计软件的进一步成熟和深化，软件有了更多选择，如Microsoft ACCESS、 Informix、Sybase等。会计软件在不断升级，而审计软件不能跟上形势，采取的相应升级措施相对滞后，影响了审计效率和审计质量。审计软件风险还表现在软件的开发过程中，由于审计人员对开发工具的了解不够和技术人员对审计、会计业务的不熟悉，造成软件自身的不完善，运行不稳定或审计计算、分析的偏差。审计软件自身的不完善，运行不稳定或审计计算、分析的偏差。审计软件风险已成为影响计算机审计检查风险的重要因素。

５．人员操作风险。这种风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。在进行计算机审计时，审计人员应当对约定计划的计算机硬件、软件和处理系统有充分的了解，并且要了解电子数据对内部控制的研究与评价和对审计程序的施行有怎样的影响，包括计算机审计技术，避免因业务不熟或者知识不够，遗漏审计证据，出现审计风险。在进行审计软件开发时，技术开发人员应多方面知晓审计软件的开发背景、软件功能等，多请教专家，来弥补自身知识的不足，降低审计风险。

计算机审计风险防范的主要措施

（二）努力开发实用高效的审计软件。为了给计算机审计打开通道，就必须不断研究开发审计软件。在数据采集方面，特别需要有一种专门从事数据采集的软件，要求这种软件能够容易访问被审计单位不同介质、不同编码、不同数据库类型的数据库，从中采集审计所需的原始数据，打通“瓶颈”。在数据分析方面，在现有审计软件的功能基础上进一步开发新的分析工具。这些分析工具将面向特定的领域，例如：针对企业审计领域的固定资产折旧审计工具和产品利润情况分析工具等，针对金融审计领域的利率检查工具等。在增加面向特定领域的分析同时，还要增加一些基于特定方法的分析工具，如账户分析、比较分析等。通过软件的开发和利用，建立起自己的计算机审计信息系统

（三）提高审计人员的计算机素质。随着“金审工程”的实施，审计署高度重视计算机审计的发展和计算机审计人员的培养。目前提高审计人员计算机素质可以采取以下措施：一是加强对在职人员计算机应用水平的培训。二是加快和财经类高校联合办班，专门培养既懂计算机又懂会计和审计的复合型知识结构的审计系统开发人员，择优录取到审计队伍当中，使他们成为计算机审计的专业技术人员。

（四）注意收集被审计单位的有关资料。在开发计算机审计时，审计人员必须经常注意收集被审计单位电算化系统相关的资料。一是计算机的硬件设备情况。在开展审计工作之前，应调查用户单位现在所使用的计算机硬件设备日常运行状况是否良好，故障率是否高，系统发生故障后是否及时得到修理等。二是会计电算化系统所使用的软件情况。操作系统环境如何，是否使用正版软件，会计电算化软件是自行开发的还是外购的商品化软件。如果是外购的，是否经过财政部门的鉴定和评审；如果是自行开发的，则需要了解软件开发与设计的过程、数据文件的构成及内部控制的设计等诸多内容。三是人员构成情况。操作人员是否是会计专业人员，是否有专人管理计算机，是否有系统维护人员，在操作出现差错时，是如何更正的。四是必要的意外防范措施情况。如管理制度、不间断电源、病毒防范等。

（五）合理配置审计人员。计算机审计要求高，技术性强，在组织审计组时，一定要注重审计人员的合理配置，考虑到审计专家和计算机专家的合理搭配，选择适当数量的、能真正胜任该项审计工作的审计人员组成审计组。审计人员和计算机人员应达成以下共识：一是内部控制的程序；二是固有风险及控制风险的考虑；三是符合性测试及实质性测试程序的设计与执行。

（六）加强对内部控制制度的审计。会计电算化与它的内部控制系统是相互作用和相互影响的。审计人员要对系统中业务事项的流向、电子数据处理用于特定的业务处理范围以及业务控制的基本结构进行审查，同时必须识别特定的业务与内部控制的关系，了解内部控制在多大程度上确保系统中业务记录的正确性和可靠性。要对内部控制制度实施符合性测试，主要查明内部控制制度是否制定必要的制约手续、如何办理必须的手续、由谁实施，从而了解内部控制中可能发生的薄弱环节。