計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)分析及其防范對(duì)策

1、計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)分析及其防范對(duì)策    【摘要】 計(jì)算機(jī)審計(jì)是會(huì)計(jì)電算化的必然要求，也是審計(jì)發(fā)展的必然趨勢(shì)。計(jì)算機(jī)審計(jì)技術(shù)的應(yīng)用必然帶來審計(jì)工作效率和質(zhì)量的提高，但計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)也存在復(fù)雜化的趨勢(shì)。本文從固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)三個(gè)角度對(duì)計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)進(jìn)行了分析，并在此基礎(chǔ)上提出了具體的防范對(duì)策?！娟P(guān)鍵詞】計(jì)算機(jī)審計(jì) 審計(jì)風(fēng)險(xiǎn) 因素分析 防范對(duì)策  計(jì)算機(jī)審計(jì)是指審計(jì)人員以計(jì)算機(jī)為工具，對(duì)被審計(jì)單位會(huì)計(jì)信息系統(tǒng)運(yùn)行的有效性、數(shù)據(jù)處理的合法性正確性、最終報(bào)表的真實(shí)性公允性進(jìn)行審計(jì)的過程。計(jì)算機(jī)審

2、計(jì)是會(huì)計(jì)電算化的必然要求，也是審計(jì)工作緊跟信息時(shí)代步伐的必然要求。勿庸置疑，計(jì)算機(jī)審計(jì)技術(shù)的應(yīng)用必然會(huì)提高審計(jì)工作效率和質(zhì)量，已有的實(shí)踐的確向我們展示了其強(qiáng)大的功能和良好的應(yīng)用前景。但不容忽視的是：計(jì)算機(jī)技術(shù)的復(fù)雜性極可能使審計(jì)風(fēng)險(xiǎn)復(fù)雜化。如何在充分發(fā)揮其優(yōu)勢(shì)的同時(shí)，有效地防范可能的風(fēng)險(xiǎn)？這是一個(gè)迫切需要解決的課題，本文力圖對(duì)計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)進(jìn)行分析和探討，從而提出有意義的防范對(duì)策。  一、計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)的三大構(gòu)成要素  計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)是指:由于審計(jì)人員未能正確合理地運(yùn)用計(jì)算機(jī)審計(jì)技術(shù)對(duì)被審計(jì)單位計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)運(yùn)行的有效性、數(shù)據(jù)處理的合法性正確性、最終

3、報(bào)表的真實(shí)性公允性進(jìn)行審計(jì)，從而對(duì)被審計(jì)單位含有重要錯(cuò)報(bào)或漏報(bào)的財(cái)務(wù)報(bào)表表示不恰當(dāng)審計(jì)意見的風(fēng)險(xiǎn)。按照國(guó)際上通行的審計(jì)風(fēng)險(xiǎn)模型:審計(jì)風(fēng)險(xiǎn)固有風(fēng)險(xiǎn)×控制風(fēng)險(xiǎn)×檢查風(fēng)險(xiǎn)，計(jì)算機(jī)審計(jì)雖然在審計(jì)技術(shù)、審計(jì)方法等方面與傳統(tǒng)審計(jì)有很大不同,但仍然可以認(rèn)為是由以上三大要素構(gòu)成，以下試對(duì)其進(jìn)行因素分析：  （一）計(jì)算機(jī)審計(jì)的固有風(fēng)險(xiǎn)因素分析 計(jì)算機(jī)審計(jì)固有風(fēng)險(xiǎn)是指：假定未對(duì)計(jì)算機(jī)會(huì)計(jì)軟硬件系統(tǒng)進(jìn)行安全控制的情況下,系統(tǒng)發(fā)生運(yùn)行失常或數(shù)據(jù)丟失、錯(cuò)誤的風(fēng)險(xiǎn)。其特點(diǎn)包括:它是由計(jì)算機(jī)軟硬件系統(tǒng)所固有的特點(diǎn)決定的，其風(fēng)險(xiǎn)水平與系統(tǒng)硬件質(zhì)量、軟件穩(wěn)定性及運(yùn)行環(huán)境緊密相關(guān)

4、,審計(jì)人員只能評(píng)估其風(fēng)險(xiǎn)水平,而無(wú)法對(duì)其實(shí)施控制和影響； 它的影響因素是多方面的，需要從計(jì)算機(jī)技術(shù)的角度對(duì)其進(jìn)行評(píng)判，且不可避免地帶有一定主觀性和復(fù)雜性，難于準(zhǔn)確計(jì)量；其風(fēng)險(xiǎn)水平一方面會(huì)因?yàn)闀?huì)計(jì)業(yè)務(wù)計(jì)算機(jī)處理的實(shí)時(shí)性、正確性而降低，另一方面又可能因?yàn)橛?jì)算機(jī)系統(tǒng)的復(fù)雜性而增加。 影響計(jì)算機(jī)審計(jì)固有風(fēng)險(xiǎn)的因素包括:計(jì)算機(jī)硬件系統(tǒng)的運(yùn)行環(huán)境，不恰當(dāng)?shù)倪\(yùn)行環(huán)境，如在防火、防磁、電源等方面達(dá)不到要求，可能導(dǎo)致硬件系統(tǒng)運(yùn)轉(zhuǎn)失常；計(jì)算機(jī)硬件系統(tǒng)故障，突然的硬件故障，可能令已完成的操作前功盡棄；計(jì)算機(jī)軟件系統(tǒng)質(zhì)量，運(yùn)行不穩(wěn)定的軟件系統(tǒng),可能導(dǎo)致不正常中斷或數(shù)據(jù)丟失；磁性介質(zhì)保存的會(huì)計(jì)資料較

5、易被破壞、篡改或竊取，且往往不留痕跡，難以追查。系統(tǒng)的網(wǎng)絡(luò)連接，與互聯(lián)網(wǎng)絡(luò)連接的會(huì)計(jì)信息系統(tǒng)可能受到網(wǎng)絡(luò)遠(yuǎn)程的惡意侵害。  （二）計(jì)算機(jī)審計(jì)的控制風(fēng)險(xiǎn)因素分析 計(jì)算機(jī)審計(jì)的控制風(fēng)險(xiǎn)是指：由于被審計(jì)單位內(nèi)部計(jì)算機(jī)軟硬件系統(tǒng)的應(yīng)用、操作和管理規(guī)范等安全控制制度不夠健全、有效，導(dǎo)致無(wú)法恰當(dāng)?shù)胤乐埂l(fā)現(xiàn)和及時(shí)糾正會(huì)計(jì)信息系統(tǒng)可能出現(xiàn)的各種錯(cuò)誤的風(fēng)險(xiǎn)。其特點(diǎn)包括:它是由被審計(jì)單位有關(guān)安全控制制度不夠健全、有效所引起的，屬于內(nèi)部控制的范疇，審計(jì)人員只能評(píng)估其風(fēng)險(xiǎn)水平而不能對(duì)其實(shí)施控制和影響；對(duì)其風(fēng)險(xiǎn)水平的衡量由于需要兼顧傳統(tǒng)內(nèi)部控制的思想和計(jì)算機(jī)系統(tǒng)管理的知識(shí)，因而較為復(fù)雜且

6、難以準(zhǔn)確計(jì)量。 影響計(jì)算機(jī)審計(jì)控制風(fēng)險(xiǎn)的因素包括:維護(hù)計(jì)算機(jī)軟硬件系統(tǒng)的相關(guān)安全控制制度不夠健全或未能完全貫徹執(zhí)行；對(duì)會(huì)計(jì)軟件系統(tǒng)的應(yīng)用測(cè)試不夠嚴(yán)密，采納了潛伏某些錯(cuò)誤的不合格系統(tǒng)；會(huì)計(jì)軟件系統(tǒng)的設(shè)計(jì)存在內(nèi)部控制考慮不足，包括：a.軟件系統(tǒng)中職責(zé)權(quán)限劃分不明，不相容職務(wù)沒有嚴(yán)格分離, 缺乏相互制約機(jī)制,導(dǎo)致系統(tǒng)數(shù)據(jù)易遭篡改和操縱；b.軟件系統(tǒng)數(shù)據(jù)控制設(shè)計(jì)不嚴(yán)密，如數(shù)據(jù)校驗(yàn)糾錯(cuò)措施不足，導(dǎo)致誤將錯(cuò)誤數(shù)據(jù)納入系統(tǒng)；c.系統(tǒng)設(shè)計(jì)缺乏詳細(xì)的日志記錄，某些非法操作不留痕跡，審計(jì)線索丟失，導(dǎo)致對(duì)非法篡改數(shù)據(jù)的扼制力不足；d.軟件系統(tǒng)設(shè)計(jì)中對(duì)系統(tǒng)運(yùn)行故障的事后恢復(fù)措施考慮不足或數(shù)據(jù)備份方

7、案設(shè)計(jì)不全面，導(dǎo)致數(shù)據(jù)保存不完整或前后不一致；e.系統(tǒng)沒有預(yù)留審計(jì)接口，導(dǎo)致審計(jì)軟件的自動(dòng)運(yùn)行及采集審計(jì)證據(jù)困難；工作人員配備安排欠妥，電算化會(huì)計(jì)系統(tǒng)要求工作人員尤其是系統(tǒng)管理人員同時(shí)具備會(huì)計(jì)知識(shí)和計(jì)算機(jī)技術(shù)相關(guān)知識(shí)，如二者欠缺其一，必然增加操作管理失誤的可能性；系統(tǒng)管理人員對(duì)計(jì)算機(jī)病毒的安全防范意識(shí)及措施不足，增加了會(huì)計(jì)數(shù)據(jù)遭侵害甚至丟失的可能性；防范網(wǎng)絡(luò)遠(yuǎn)程侵害的措施不足，如未設(shè)立有效的防火墻、實(shí)時(shí)監(jiān)控程序、數(shù)據(jù)加密程序、電子密鑰系統(tǒng)等，無(wú)法有效防止網(wǎng)絡(luò)黑客或敵意方對(duì)系統(tǒng)數(shù)據(jù)、程序的惡意攻擊。  （三）計(jì)算機(jī)審計(jì)的檢查風(fēng)險(xiǎn)因素分析 計(jì)算機(jī)審計(jì)的檢查風(fēng)險(xiǎn)是指:被

8、審計(jì)單位內(nèi)部計(jì)算機(jī)軟硬件系統(tǒng)的相關(guān)安全控制措施未能及時(shí)防止、發(fā)現(xiàn)和糾正會(huì)計(jì)信息系統(tǒng)出現(xiàn)的錯(cuò)誤, 審計(jì)人員也未能合理地運(yùn)用計(jì)算機(jī)審計(jì)的相關(guān)技術(shù)進(jìn)行實(shí)質(zhì)性測(cè)試以發(fā)現(xiàn)該錯(cuò)誤的風(fēng)險(xiǎn)。其特點(diǎn)包括:它是惟一可由審計(jì)人員自主確定和控制的風(fēng)險(xiǎn)；借助計(jì)算機(jī)的高速處理能力，審計(jì)抽樣樣本將大量增加，抽樣風(fēng)險(xiǎn)有望被有效降低，則計(jì)算機(jī)審計(jì)的檢查風(fēng)險(xiǎn)將主要表現(xiàn)為非抽樣風(fēng)險(xiǎn)；其風(fēng)險(xiǎn)水平與審計(jì)人員的專業(yè)勝任能力密切相關(guān)。 計(jì)算機(jī)審計(jì)的檢查風(fēng)險(xiǎn)既存在降低的趨勢(shì)也存在增加的可能。其趨于降低是因?yàn)椋撼闃訕颖镜拇罅吭黾?，擴(kuò)大了審計(jì)覆蓋面；利用查詢、搜索等計(jì)算機(jī)系統(tǒng)功能可以迅速獲得所需信息，提高了取證效率；只要導(dǎo)入

9、審計(jì)軟件的初始數(shù)據(jù)無(wú)誤，則其后的計(jì)算、統(tǒng)計(jì)過程交由計(jì)算機(jī)高效完成，可以有效避免手工審計(jì)的某些低級(jí)錯(cuò)誤。而其風(fēng)險(xiǎn)水平可能增加的原因在于：它與審計(jì)人員運(yùn)用計(jì)算機(jī)技術(shù)進(jìn)行審計(jì)的能力密切相關(guān)，由于目前多數(shù)審計(jì)人員計(jì)算機(jī)知識(shí)不足，導(dǎo)致審計(jì)工作往往局限于對(duì)所生成的電子賬簿的審查,而對(duì)于會(huì)計(jì)軟件系統(tǒng)的設(shè)計(jì)及運(yùn)行還無(wú)法做到實(shí)質(zhì)性審查；審計(jì)軟件的開發(fā)應(yīng)用還未形成較統(tǒng)一的標(biāo)準(zhǔn)，實(shí)踐中的審計(jì)軟件或自行開發(fā)或委托研制，可能潛伏某些缺陷；由于審計(jì)軟件與會(huì)計(jì)軟件的開發(fā)商或開發(fā)時(shí)期不同，二者的系統(tǒng)數(shù)據(jù)格式可能不相兼容，這為審計(jì)軟件的自動(dòng)化應(yīng)用帶來了困難，數(shù)據(jù)格式轉(zhuǎn)換過程中如發(fā)生轉(zhuǎn)換錯(cuò)誤或重復(fù)錄入數(shù)據(jù)失誤，都將直接帶來檢查風(fēng)

10、險(xiǎn)。  二、計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)的防范對(duì)策  分析計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)的構(gòu)成要素，是為了探求防范審計(jì)風(fēng)險(xiǎn)的有效對(duì)策，從而促進(jìn)計(jì)算機(jī)審計(jì)技術(shù)的推廣應(yīng)用。如前文所述:審計(jì)風(fēng)險(xiǎn)固有風(fēng)險(xiǎn)×控制風(fēng)險(xiǎn)×檢查風(fēng)險(xiǎn)，審計(jì)人員惟一能夠自主確定和控制的只有檢查風(fēng)險(xiǎn)，至于固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)則只能對(duì)其進(jìn)行評(píng)估。因此，對(duì)計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)的防范應(yīng)同時(shí)從兩方面入手：提高評(píng)估計(jì)算機(jī)審計(jì)固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)水平的正確性，從而為符合性測(cè)試和實(shí)質(zhì)性測(cè)試提供準(zhǔn)確的依據(jù)；降低計(jì)算機(jī)審計(jì)的檢查風(fēng)險(xiǎn)。  （一）提高評(píng)估計(jì)算機(jī)審計(jì)固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)水平正確性的對(duì)策 為

11、提高評(píng)估計(jì)算機(jī)審計(jì)固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)水平的正確性，應(yīng)著重考察以下幾個(gè)方面：1.考察被審計(jì)單位計(jì)算機(jī)硬件系統(tǒng)的運(yùn)行環(huán)境，包括電源供應(yīng)的穩(wěn)定性、硬件運(yùn)行的穩(wěn)定性以及各項(xiàng)安全控制制度是否健全并是否得到有效貫徹。2.考察被審計(jì)單位對(duì)計(jì)算機(jī)軟硬件系統(tǒng)的備份情況，包括是否進(jìn)行了硬件、軟件和數(shù)據(jù)的備份，備份方案是否全面。3.考察被審計(jì)單位的會(huì)計(jì)軟件系統(tǒng)是否合格，各項(xiàng)功能設(shè)置是否安全可靠，其運(yùn)行的穩(wěn)定性及系統(tǒng)內(nèi)部控制手段如何，包括：數(shù)據(jù)處理、報(bào)表處理等過程的正確性合法性，是否遵照了相關(guān)會(huì)計(jì)準(zhǔn)則、制度及法規(guī)；軟件內(nèi)部控制的有效性，如職責(zé)權(quán)限是否劃分明確，相互制約機(jī)制如何；數(shù)據(jù)控制是否嚴(yán)密，是否包含了有效的數(shù)據(jù)校

12、驗(yàn)和糾錯(cuò)措施；系統(tǒng)能否提供詳細(xì)的日志記錄,以作為有效的審計(jì)線索。4.考察被審計(jì)單位會(huì)計(jì)人員的配備、分工及其權(quán)*約的有效性。5.考察被審計(jì)單位會(huì)計(jì)信息系統(tǒng)防范計(jì)算機(jī)病毒及網(wǎng)絡(luò)遠(yuǎn)程侵害的相關(guān)措施，如有無(wú)設(shè)立防火墻、有無(wú)必要監(jiān)控措施等。  （二）降低計(jì)算機(jī)審計(jì)檢查風(fēng)險(xiǎn)的對(duì)策 1.盡可能吸納同時(shí)具備會(huì)計(jì)審計(jì)知識(shí)和計(jì)算機(jī)技術(shù)知識(shí)的人員進(jìn)入審計(jì)隊(duì)伍，并加大對(duì)審計(jì)人員計(jì)算機(jī)知識(shí)的培訓(xùn)力度,以提高審計(jì)人員開展計(jì)算機(jī)審計(jì)工作的能力。2.盡量采用較成熟或已獲認(rèn)可的審計(jì)軟件。3.國(guó)家有關(guān)部門應(yīng)積極完善現(xiàn)有的計(jì)算機(jī)審計(jì)準(zhǔn)則，我國(guó)于1996年發(fā)布審計(jì)機(jī)關(guān)計(jì)算機(jī)輔助審計(jì)方法，亦于1999年施行中國(guó)獨(dú)立審計(jì)具體準(zhǔn)則第20號(hào)計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)，但近年來電算化會(huì)計(jì)發(fā)展迅速，有必要完善現(xiàn)有的準(zhǔn)則，以使相關(guān)實(shí)踐有章可循，從整體上降低風(fēng)險(xiǎn)水平。4.審計(jì)行業(yè)應(yīng)加強(qiáng)與計(jì)算機(jī)軟件專家的橫向聯(lián)合，促進(jìn)功能完備的高性能通用型審計(jì)軟件的推廣和應(yīng)用，降低審計(jì)軟件存在缺陷的可能性。5.審計(jì)行業(yè)應(yīng)加強(qiáng)與會(huì)計(jì)行業(yè)的溝通，提倡采用統(tǒng)一的會(huì)計(jì)電算化軟件，建議會(huì)計(jì)軟件的設(shè)計(jì)應(yīng)盡可能考慮審計(jì)需求，保留審計(jì)線索并預(yù)留審計(jì)接口，最重要的是統(tǒng)一存儲(chǔ)數(shù)據(jù)的格式標(biāo)準(zhǔn)，避免數(shù)