计算机审计风险的分析及其防范对策

　　【摘要】 计算机审计是会计电算化的必然要求，也是审计发展的必然趋势。计算机审计技术的应用必然带来审计工作效率和质量的提高，但计算机审计风险也存在复杂化的趋势。本文从固有风险、控制风险和检查风险三个角度对计算机审计风险进行了分析，并在此基础上提出了具体的防范对策。

　　【关键词】计算机审计审计风险因素分析防范对策

　　计算机审计是指审计人员以计算机为工具，对被审计单位会计信息系统运行的有效性、数据处理的合法性正确性、最终报表的真实性公允性进行审计的过程。计算机审计是会计电算化的必然要求，也是审计工作紧跟信息时代步伐的必然要求。勿庸置疑，计算机审计技术的应用必然会提高审计工作效率和质量，已有的实践的确向我们展示了其强大的功能和良好的应用前景。但不容忽视的是：计算机技术的复杂性极可能使审计风险复杂化。如何在充分发挥其优势的同时，有效地防范可能的风险？这是一个迫切需要解决的课题，本文力图对计算机审计风险进行分析和探讨，从而提出有意义的防范对策。

　　一、计算机审计风险的三大构成要素

　　计算机审计风险是指:由于审计人员未能正确合理地运用计算机审计技术对被审计单位计算机会计信息系统运行的有效性、数据处理的合法性正确性、最终报表的真实性公允性进行审计，从而对被审计单位含有重要错报或漏报的财务报表表示不恰当审计意见的风险。按照国际上通行的审计风险模型:审计风险＝固有风险×控制风险×检查风险，计算机审计虽然在审计技术、审计方法等方面与传统审计有很大不同,但仍然可以认为是由以上三大要素构成，以下试对其进行因素分析：

　　（一）计算机审计的'固有风险因素分析

　　计算机审计固有风险是指：假定未对计算机会计软硬件系统进行安全控制的情况下,系统发生运行失常或数据丢失、错误的风险。其特点包括:①它是由计算机软硬件系统所固有的特点决定的，其风险水平与系统硬件质量、软件稳定性及运行环境紧密相关,审计人员只能评估其风险水平,而无法对其实施控制和影响； ②它的影响因素是多方面的，需要从计算机技术的角度对其进行评判，且不可避免地带有一定主观性和复杂性，难于准确计量；③其风险水平一方面会因为会计业务计算机处理的实时性、正确性而降低，另一方面又可能因为计算机系统的复杂性而增加。

　　影响计算机审计固有风险的因素包括:①计算机硬件系统的运行环境，不恰当的运行环境，如在防火、防磁、电源等方面达不到要求，可能导致硬件系统运转失常；②计算机硬件系统故障，突然的硬件故障，可能令已完成的操作前功尽弃；③计算机软件系统质量，运行不稳定的软件系统,可能导致不正常中断或数据丢失；④磁性介质保存的会计资料较易被破坏、篡改或窃取，且往往不留痕迹，难以追查。⑤系统的网络连接，与互联网络连接的会计信息系统可能受到网络远程的恶意侵害。

　　（二）计算机审计的控制风险因素分析

　　计算机审计的控制风险是指：由于被审计单位内部计算机软硬件系统的应用、操作和管理规范等安全控制制度不够健全、有效，导致无法恰当地防止、发现和及时纠正会计信息系统可能出现的各种错误的风险。其特点包括:①它是由被审计单位有关安全控制制度不够健全、有效所引起的，属于内部控制的范畴，审计人员只能评估其风险水平而不能对其实施控制和影响；②对其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识，因而较为复杂且难以准确计量。

　　影响计算机审计控制风险的因素包括:①维护计算机软硬件系统的相关安全控制制度不够健全或未能完全贯彻执行；②对会计软件系统的应用测试不够严密，采纳了潜伏某些错误的不合格系统；③会计软件系统的设计存在内部控制考虑不足，包括：a.软件系统中职责权限划分不明，不相容职务没有严格分离, 缺乏相互制约机制,导致系统数据易遭篡改和操纵；b.软件系统数据控制设计不严密，如数据校验纠错措施不足，导致误将错误数据纳入系统；c.系统设计缺乏详细的日志记录，某些非法操作不留痕迹，审计线索丢失，导致对非法篡改数据的扼制力不足；d.软件系统设计中对系统运行故障的事后恢复措施考虑不足或数据备份方案设计不全面，导致数据保存不完整或前后不一致；e.系统没有预留审计接口，导致审计软件的自动运行及采集审计证据困难；④工作人员配备安排欠妥，电算化会计系统要求工作人员尤其是系统管理人员同时具备会计知识和计算机技术相关知识，如二者欠缺其一，必然增加操作管理失误的可能性；⑤系统管理人员对计算机病毒的安全防范意识及措施不足，增加了会计数据遭侵害甚至丢失的可能性；⑥防范网络远程侵害的措施不足，如未设立有效的防火墙、实时监控程序、数据加密程序、电子密钥系统等，无法有效防止网络黑客或敌意方对系统数据、程序的恶意攻击。

　　（三）计算机审计的检查风险因素分析

　　计算机审计的检查风险是指:被审计单位内部计算机软硬件系统的相关安全控制措施未能及时防止、发现和纠正会计信息系统出现的错误, 审计人员也未能合理地运用计算机审计的相关技术进行实质性测试以发现该错误的风险。其特点包括:①它是惟一可由审计人员自主确定和控制的风险；②借助计算机的高速处理能力，审计抽样样本将大量增加，抽样风险有望被有效降低，则计算机审计的检查风险将主要表现为非抽样风险；③其风险水平与审计人员的专业胜任能力密切相关。

　　计算机审计的检查风险既存在降低的趋势也存在增加的可能。其趋于降低是因为：①抽样样本的大量增加，扩大了审计覆盖面；②利用查询、搜索等计算机系统功能可以迅速获得所需信息，提高了取证效率；③只要导入审计软件的初始数据无误，则其后的计算、统计过程交由计算机高效完成，可以有效避免手工审计的某些低级错误。而其风险水平可能增加的原因在于：①它与审计人员运用计算机技术进行审计的能力密切相关，由于目前多数审计人员计算机知识不足，导致审计工作往往局限于对所生成的电子账簿的审查,而对于会计软件系统的设计及运行还无法做到实质性审查；②审计软件的开发应用还未形成较统一的标准，实践中的审计软件或自行开发或委托研制，可能潜伏某些缺陷；③由于审计软件与会计软件的开发商或开发时期不同，二者的系统数据格式可能不相兼容，这为审计软件的自动化应用带来了困难，数据格式转换过程中如发生转换错误或重复录入数据失误，都将直接带来检查风险。

　　二、计算机审计风险的防范对策

　　分析计算机审计风险的构成要素，是为了探求防范审计风险的有效对策，从而促进计算机审计技术的推广应用。如前文所述:审计风险＝固有风险×控制风险×检查风险，审计人员惟一能够自主确定和控制的只有检查风险，至于固有风险和控制风险则只能对其进行评估。因此，对计算机审计风险的防范应同时从两方面入手：①提高评估计算机审计固有风险和控制风险水平的正确性，从而为符合性测试和实质性测试提供准确的依据；②降低计算机审计的检查风险。

　　（一）提高评估计算机审计固有风险和控制风险水平正确性的对策

　　为提高评估计算机审计固有风险和控制风险水平的正确性，应着重考察以下几个方面：1.考察被审计单位计算机硬件系统的运行环境，包括电源供应的稳定性、硬件运行的稳定性以及各项安全控制制度是否健全并是否得到有效贯彻。2.考察被审计单位对计算机软硬件系统的备份情况，包括是否进行了硬件、软件和数据的备份，备份方案是否全面。3.考察被审计单位的会计软件系统是否合格，各项功能设置是否安全可靠，其运行的稳定性及系统内部控制手段如何，包括：①数据处理、报表处理等过程的正确性合法性，是否遵照了相关会计准则、制度及法规；②软件内部控制的有效性，如职责权限是否划分明确，相互制约机制如何；③数据控制是否严密，是否包含了有效的数据校验和纠错措施；④系统能否提供详细的日志记录,以作为有效的审计线索。4.考察被审计单位会计人员的配备、分工及其权限制约的有效性。5.考察被审计单位会计信息系统防范计算机病毒及网络远程侵害的相关措施，如有无设立防火墙、有无必要监控措施等。

　　（二）降低计算机审计检查风险的对策

　　1.尽可能吸纳同时具备会计审计知识和计算机技术知识的人员进入审计队伍，并加大对审计人员计算机知识的培训力度,以提高审计人员开展计算机审计工作的能力。2.尽量采用较成熟或已获认可的审计软件。3.国家有关部门应积极完善现有的计算机审计准则，我国于1996年发布《审计机关计算机辅助审计方法》，亦于1999年施行中国独立审计具体准则第20号《计算机信息系统环境下的审计》，但近年来电算化会计发展迅速，有必要完善现有的准则，以使相关实践有章可循，从整体上降低风险水平。4.审计行业应加强与计算机软件专家的横向联合，促进功能完备的高性能通用型审计软件的推广和应用，降低审计软件存在缺陷的可能性。5.审计行业应加强与会计行业的沟通，提倡采用统一的会计电算化软件，建议会计软件的设计应尽可能考虑审计需求，保留审计线索并预留审计接口，最重要的是统一存储数据的格式标准，避免数据格式转换或重复录入的非效率和可能的错误。目前，XBRL技术在国外已得到初步应用，该技术致力于促进会计数据格式的统一和信息的便捷交换，可能对计算机审计工作产生深远的影响，我们应该予以关注。6.审计人员仍应保持合理的职业谨慎，提高风险防范意识，制定详细的审计计划，恰当评估被审计单位的固有风险和控制风险水平，选用适当的审计方法，不过份依赖计算机审计软件，现场取证和对计算机审计成果的适当复核仍然十分必要。

【计算机审计风险的分析及其防范对策】相关文章：

盘点计算机审计风险分析及其防范对策07-11

关于计算机审计风险的研究分析及对策07-11

浅谈审计失败的成因分析与防范措施08-12

关于审计失败的成因分析与防范措施08-10

分析程序在识别审计潜在风险中的应用07-11