【摘要】隨著計算機在會計工作和審計實務中的廣泛應用，給審計工作帶來的風險不斷加大。本文在簡要分析計算機系統(tǒng)的特征基礎上，著重透析了計算機系統(tǒng)的審計風險，并提出防范對策。

　　【關鍵詞】計算機系統(tǒng)；審計風險；防范

　　計算機技術在會計領域的廣泛應用和不斷發(fā)展，打破了原有的手工會計的格局，使傳統(tǒng)的手工會計核算手段和賬務處理程序發(fā)生了巨大的變革，對以憑證、賬簿、報表及其他可見的審計線索為主要審計對象的傳統(tǒng)審計在審計技術方法、審計檔案保管以及審計人員知識技能等方面都產(chǎn)生了深刻的影響。

　　一、計算機系統(tǒng)與計算機系統(tǒng)審計風險

　　計算機系統(tǒng)環(huán)境相對于手工會計環(huán)境，由于其數(shù)據(jù)處理的集中程度高、處理速度快、信息儲存方式、儲存媒介特殊，給審計工作帶來了獨特的風險。

　?。ㄒ唬?計算機系統(tǒng)的特征

　　1．計算機環(huán)境下，信息處理過程中的錯誤有短時間內(nèi)重復出現(xiàn)的可能。較之手工會計，會計電算化系統(tǒng)處理的集中化，加之計算機運算的高速性，計算機會計信息系統(tǒng)的輸入過程比手工系統(tǒng)多了將人可讀的數(shù)據(jù)轉換為機器可讀代碼形式，使得其處理結果發(fā)生錯誤的可能性大大提高，而一旦發(fā)生錯誤，就往往在短時間內(nèi)產(chǎn)生連鎖反應，使得多種文件、賬簿，以至整個系統(tǒng)失真。如果發(fā)生錯誤的原因在于系統(tǒng)受到攻擊或系統(tǒng)程序、應用軟件出現(xiàn)差錯，則計算機就會連續(xù)重復執(zhí)行同一錯誤操作，而不易被察覺。

　　2．計算機環(huán)境下，內(nèi)部控制的功能發(fā)生改變。計算機環(huán)境改變了會計憑證的形式。在電算化會計系統(tǒng)中，會計和財務的業(yè)務處理方法和處理程序發(fā)生了很大的變化，各類會計憑證和報表的生成方式、會計信息的儲存方式和儲存媒介也發(fā)生了很大的變化。原先反映會計和財務處理過程的各種記賬憑證、匯總表等書面形式的資料減少了。由于網(wǎng)上辦公、無紙化辦公等的推行，每一項業(yè)務的有關信息由業(yè)務人員直接輸入計算機，并自動記錄，原來在核算過程中進行的各種必要的核對、審核等工作，有相當一部分變?yōu)橛捎嬎銠C自動完成了。原來書面形式的各類會計憑證轉變?yōu)橐晕募⒂涗浶问絻Υ嬖诖判越橘|上。因此，電算化會計系統(tǒng)的內(nèi)部控制與手工會計系統(tǒng)的內(nèi)部控制制度有著很大的不同，控制的重點由對人的控制為主轉變?yōu)閷θ恕C控制為主，控制的程序也應當與計算機處理程序相一致。

　　3．計算機環(huán)境下，信息的安全性要求更高。手工條件下，可以將重要的數(shù)據(jù)文件或記錄在紙上的重要信息，保存在安全性較高的物理場所，如企業(yè)的保險柜里，以保證數(shù)據(jù)的安全。在計算機環(huán)境下所有的信息都存儲在磁、光或計算機硬盤中，而這些存儲介質發(fā)生損壞的可能性較之賬簿等紙質工具發(fā)生損壞的可能性大大增加。

　　4．計算機環(huán)境下，舞弊的防范更難。計算機運行速度快、精度高，但同時使系統(tǒng)喪失了人類所具有的對不合邏輯、不合理的以及例外事項的判斷和處理能力，因此，要求在數(shù)據(jù)處理過程中增加多種檢查控制。在計算機環(huán)境下，數(shù)據(jù)被擅自篡改也不易留下線索。

　?。ǘ┯嬎銠C系統(tǒng)的審計風險

　　1983年美國注冊會計師協(xié)會發(fā)布的第47號《審計準則說明書》 、《審計風險和重要性》中將審計風險模型確定為:審計風險（AR）=固有風險（IR）×控制風險（CR）×檢查風險（DR）。這一觀點被世界會計師聯(lián)合會及包括我國在內(nèi)的世界多數(shù)國家的審計職業(yè)界所接受。

　　審計風險會因客戶的會計電算化和內(nèi)部控制的程序化而呈現(xiàn)出新的特征，審計師就應重新規(guī)劃審計程序，采取相應的對策和輔助審計軟件進行審計。

　　1．計算機系統(tǒng)的固有風險。固有風險是指假定不存在相關內(nèi)部控制時，某一賬戶或交易類別單獨或連同其他賬戶、交易類別產(chǎn)生錯報或漏報的可能性。具體表現(xiàn)為:

　　一方面，計算機系統(tǒng)的安全性是影響固有風險的根本因素。大部分電算化系統(tǒng)設計成客戶服務系統(tǒng)，它有巨大的容量和信息存儲量。這些系統(tǒng)一般整體性很強，利用企業(yè)資源規(guī)劃系統(tǒng)保證程序的連續(xù)性。如果系統(tǒng)失敗，整個公司也很有可能面臨破產(chǎn)的命運。如果沒有一套包括計算機系統(tǒng)在內(nèi)的完整的風險管理系統(tǒng)，公司就要承擔高風險。主要包含: 計算機系統(tǒng)的物理安全；計算機程序的合理性；網(wǎng)絡信息通訊的安全性三方面。

　　另外，電子化會計數(shù)據(jù)的安全性問題是影響審計固有風險的關鍵因素。手工條件下，可以將重要的數(shù)據(jù)文件或記錄在紙上的重要信息保存在安全性較高的物理場所，如企業(yè)的保險柜里，或者通過不相容職務的內(nèi)部牽制保證數(shù)據(jù)的安全。在計算機環(huán)境下所有的信息都存儲在磁、光或計算機硬盤中，要確保硬件遭到破壞時信息的安全，防止未經(jīng)授權的侵入破壞或篡改計算機應用程序。

　　2．計算機系統(tǒng)的控制風險?？刂骑L險是指某一賬戶或交易類別或連同其他賬戶、交易類別產(chǎn)生錯報或漏報，而未能被內(nèi)部控制防止、發(fā)現(xiàn)或糾正的可能性。具體表現(xiàn)為:

　　首先，訪問權控制的不嚴密有可能導致虛假的會計數(shù)據(jù)。訪問權控制的功能是在數(shù)據(jù)信息和非法訪問者之間建立一道安全屏障。未經(jīng)授權的訪問計算機系統(tǒng)，工作人員的訪問密碼泄露，越權訪問、修改或刪除會計數(shù)據(jù)等情況如果不能被置于訪問權控制之下，都會極大地損害會計數(shù)據(jù)的安全性、真實性。

　　其次，網(wǎng)絡傳輸和數(shù)據(jù)存貯故障或軟件的不完善，有使會計數(shù)據(jù)出現(xiàn)異常錯誤的可能性。相對手工系統(tǒng)，計算機系統(tǒng)下這種風險難以通過有效的內(nèi)部控制制度消除，必須靠先進的硬、軟件平臺以及會計軟件本身的自我保護，減少出現(xiàn)異常錯誤的幾率。大多數(shù)會計軟件能對數(shù)據(jù)錄入的一致性和正確性以及會計數(shù)據(jù)處理的安全性和連續(xù)性進行控制，但對于集成化程度較高的企業(yè)級管理軟件來說，數(shù)據(jù)的共享性和一致性還不盡人意。

　　計算機系統(tǒng)下，內(nèi)部控制包括對人和機器兩方面的控制，而且以對機器控制為主。計算機內(nèi)部控制的框架如圖1：

　　從圖1可以看出，計算機系統(tǒng)內(nèi)部控制由一般控制和應用控制構成。其中，一般控制是指對計算機會計信息系統(tǒng)的組織、開發(fā)、應用環(huán)境等方面進行的控制，主要包括組織與管理控制、系統(tǒng)開發(fā)與維護控制、系統(tǒng)操作控制、系統(tǒng)安全及文檔控制等。應用控制，是指對計算機會計信息系統(tǒng)中具體的數(shù)據(jù)處理功能的控制。應用控制有特殊性，不同的應用系統(tǒng)有不同的控制要求，但應用系統(tǒng)一般都包括會計數(shù)據(jù)的輸入控制、處理控制和輸出控制三個方面。一般控制的缺陷產(chǎn)生的危害極大，會影響應用控制的有效性，這是由一般控制的基礎地位所決定的。另外，新的計算機信息系統(tǒng)技術的應用，如微機——主機連接系統(tǒng)、分散的數(shù)據(jù)庫系統(tǒng)、終端處理系統(tǒng)及直接提供信息給可見系統(tǒng)的企業(yè)管理系統(tǒng)等，增加了計算機信息系統(tǒng)整體復雜性和它們所影響的具體應用的復雜性。

　　3．計算機系統(tǒng)的檢查風險。檢查風險是指某一賬戶或交易類別或連同其他賬戶、交易類別產(chǎn)生錯報或漏報，而未能被實質性測試發(fā)現(xiàn)的可能性。檢查風險是審計人員唯一可以自主確定和控制的風險。

　　對賬戶或交易的重大實質性測試往往離不開企業(yè)的歷史數(shù)據(jù)，隨著會計法規(guī)的完善和計算機技術的發(fā)展，會計軟件在不斷的更新，歷史數(shù)據(jù)取得的難度將會加大。由于軟件版本的更新、平臺的遷移，難以從往年帳套里提取這些歷史數(shù)據(jù)，迫使審計師不得不轉向大量的歷史文檔中收集整理數(shù)據(jù)。這一方面降低了審計效率，更重要的是帶來了更高的檢查風險。

　　另外，由于目前大多數(shù)審計人員只是會計、審計方面的專家，要求審計人員在有限的時間設計很全面的測試數(shù)據(jù)是不現(xiàn)實的。再加上審計軟件設計中本身的缺陷也會增大檢查風險。

　　二、計算機系統(tǒng)審計風險的防范

　　（一）準確評價計算機系統(tǒng)的固有風險

　　1．評估計算機設備的物理安全性。對于計算機系統(tǒng)的控制，審計人員應了解系統(tǒng)設置是如何依賴這些硬件控制的；操作系統(tǒng)如何利用這些硬件控制；系統(tǒng)如何報告檢查出的錯誤，以及糾正錯誤的程序。了解計算機系統(tǒng)環(huán)境存在的潛在威脅，如企業(yè)對水、火災的防范措施，有沒有配備合適的穩(wěn)壓器，不間斷電源（UPS）等降低電源波動帶來的影響，對所有的訪問尤其是非法入侵是否都記錄在計算機日志里，管理人員采取了什么措施應對非法入侵，計算機系統(tǒng)是如何防范計算機病毒，有沒有具體的應急措施應對意外情況的發(fā)生等。

　　2．評價電子數(shù)據(jù)的安全性。為了保證信息的安全性，一方面要注意計算機硬件的安全，更主要的是要防止未經(jīng)授權更改或刪除電子數(shù)據(jù)。所以，要做到：信息的訪問權只給單位中指定的人；對會計數(shù)據(jù)修改或刪除的權力只賦予被授權的人；計算機系統(tǒng)能夠辨認訪問者的訪問權限；單位的信息安全部門應密切監(jiān)視來自外部的惡意攻擊，然后定期以報告的形式向信息安全的負責人報告；電子數(shù)據(jù)要有備份，備份數(shù)據(jù)能得到妥善保管。

　　3．檢查信息通訊的安全性。為保證一臺計算機與其它的設備，如終端或其他的計算機系統(tǒng)之間信息傳輸信息的完整性與真實性，被審計單位至少要對傳輸?shù)男畔⒓用?；接收信息的應用程序與發(fā)送信息的線路分開； 接收到信息后有信息反饋檢查，特殊信息要依靠調(diào)制解調(diào)器解調(diào)傳輸；企業(yè)的內(nèi)部信息通訊系統(tǒng)與國際互聯(lián)網(wǎng)之間要有防火墻，以防來自互聯(lián)網(wǎng)上的惡意攻擊。

　　（二）合理評估計算機系統(tǒng)的控制風險

　　對于控制風險的評估主要應集中于對組織管理控制風險，訪問權控制風險，程序開發(fā)、數(shù)據(jù)修改控制風險的合理估計。

　　1．組織管理控制風險的識別。組織控制的關鍵在于職責的分工。審計人員應檢查被審計單位的組織結構、職權和責任的分配情況，如程序與開發(fā)系統(tǒng)、計算機操作、輸入數(shù)據(jù)的控制等職責，在可行的情況下是否予以分離，職工定期輪換工作崗位制度是否完善等。目的在于確定職責分工是否能夠提供有力的內(nèi)部控制。注冊會計師應判斷組織管理控制的強弱，對由于職責分工不夠而產(chǎn)生的風險作出合理評價。

　　2．電算化系統(tǒng)開發(fā)控制。對于首次接受審計的企業(yè)，對電算化系統(tǒng)開發(fā)控制的審計，審計人員應主要了解系統(tǒng)開發(fā)前是否有計劃，開發(fā)系統(tǒng)是否得到授權，是否有相應的程序加以控制等。

　　3．計算機設備、信息和程序訪問權控制可能的缺陷。審計人員要分兩個層次了解訪問控制：訪問控制的程序整體執(zhí)行情況及人事和工資管理部門執(zhí)行內(nèi)部控制的情況。具體要了解公司是否使用了訪問控制軟件，其能夠提供哪些功能，公司有沒有專門負責數(shù)據(jù)安全的部門，對工資水平修改的程序、員工花名冊的變化是否只是由人事部門決定，人員變動是否得到了及時記錄等。

　?。ㄈ┡刂茩z查風險

　　檢查風險是審計人員唯一可控風險，在這個階段，審計的任務是在準備階段初步風險評估的基礎上，對內(nèi)部控制進行測試，評價控制風險，決定可以接受的檢查風險。將檢查風險控制在可接受范圍之內(nèi)。對于內(nèi)部控制的測試主要包括對數(shù)據(jù)輸入控制的測試、數(shù)據(jù)通訊和數(shù)據(jù)處理控制的測試和數(shù)據(jù)輸出控制的測試。

　　1．數(shù)據(jù)輸入控制的審計。審計人員在對數(shù)據(jù)輸入控制進行審計時，應注意檢查經(jīng)濟業(yè)務的發(fā)生是否有適當?shù)呐鷾饰募?，以保證數(shù)據(jù)輸入的合規(guī)性；同時應注意檢查所輸入數(shù)據(jù)的正確性，完整性，數(shù)據(jù)是否被不正確地添加、復制或修改等情況。主要進行輸入有效性測試，包括字符域控制的測試，信息合理性測試，數(shù)據(jù)范圍控制的測試，信息有用性的測試，信息完整性的測試等。

　　2．數(shù)據(jù)通訊和數(shù)據(jù)處理控制的審計。審計人員對輸入過程控制進行審計時，應注意檢查經(jīng)濟業(yè)務數(shù)據(jù)的來源是否可靠，資料是否完整、準確，有沒有可能被篡改過；檢查數(shù)據(jù)的處理方法是否正確，處理的步驟、使用的程序、結果的保存是否正確無誤，等等。主要進行數(shù)據(jù)處理的有效性測試，采用的技術方法有綜合抽查設備法（ITF），標簽與跟蹤法或借助審計軟件。

　　3．數(shù)據(jù)輸出控制的審計。審計人員應注意審查輸出的計算機處理結果是否準確無誤，輸出的結果是否被及時、按照規(guī)定提供給有關的人員或部門，是否有必要的手續(xù)和記錄，等等。主要進行控制總數(shù)，數(shù)據(jù)的勾稽關系和輸出的合理性檢驗。

　　在以上審計程序中，輸入有效性測試、處理有效性測試、控制總數(shù)，數(shù)據(jù)的勾稽關系和輸出的合理性檢驗任何一項存在重大缺陷，審計人員要評估控制風險為高風險。

　?。ㄋ模┚C合運用適當?shù)膶徲嫹椒?

　　一般來說，審計人員所采用的審計方法主要有：面談法、問卷調(diào)查法、審閱法、流程圖法、測試法等。為了有效防范計算機系統(tǒng)的審計風險，結合計算機審計的特點，應用合理的方法或方法的組合，才能取得實效。

　　1．面談法。面談法具有簡單方便之優(yōu)點，在內(nèi)部控制審計中經(jīng)常被采用。審計師為了獲得一次高效的面談，應該與被訪問者相互配合和信任。在對一般控制審計時，可以通過與被審單位的領導與職工交談，向電算部門及各業(yè)務部門的人員詢問了解有關的職責分離的控制是否得到執(zhí)行。在對系統(tǒng)開發(fā)控制和程序修改控制審計時，向有關參與系統(tǒng)開發(fā)人員了解有無用戶代表和內(nèi)審人員參加，參加了哪些工作，現(xiàn)有的信息系統(tǒng)能否符合用戶的要求等。另外還可以通過面談了解內(nèi)部控制的經(jīng)濟性，重大的錯誤是否得到及時、恰當?shù)募m正，輸出的資料是如何處置的，有無健全的檢查、保管、分發(fā)制度等。

　　2．問卷調(diào)查法。問卷調(diào)查法節(jié)省時間，調(diào)查面廣。審計人員可以根據(jù)需要調(diào)查的情況設計好調(diào)查問卷，獲取信息，以判斷有關的內(nèi)部控制是否存在、可靠，有無得到執(zhí)行。在內(nèi)部控制審計的各個程序都可以使用。使用這種方法要注意問卷調(diào)查表中問題的性質、提問技巧、度量的尺寸或調(diào)查表的布局設計。

　　3．審閱法。審閱法是指審計人員通過仔細審查和翻閱有關的書面文件或記錄，借以查明資料及所反映的記錄是否公允、正確、合法、合規(guī)，從中發(fā)現(xiàn)錯弊或疑點。審計人員在一般控制審計時，通過審閱內(nèi)部審計人員留下的系統(tǒng)開發(fā)的工作底稿，了解系統(tǒng)開發(fā)的控制。通過審閱系統(tǒng)測試的數(shù)據(jù)及結果，檢查系統(tǒng)在試運行階段的運行情況，有無被修改，系統(tǒng)在正式投入使用前是否經(jīng)過了最后批準。通過審閱有關系統(tǒng)訪問控制的計算機日志，了解是否只有被授權人才可以訪問特定程序或信息，對使用錯誤密碼企圖進入系統(tǒng)的情況，系統(tǒng)都作了記錄并有專人調(diào)查。

　　4．流程圖法。流程圖在審計活動中發(fā)揮著越來越重要的作用。利用流程圖，可以對被審計的信息系統(tǒng)結構有更深刻的理解，從而更有效地分析系統(tǒng)的運行過程。在計算機審計中，流程圖可能是現(xiàn)成的，審計人員應該確定被審計單位提供的流程圖是否正確，防止被審計單位造假。有時被審計單位提供的流程圖不夠詳細或者沒有現(xiàn)成的流程圖，審計人員應要求被審計單位提供源程序，據(jù)此得到流程圖，確定源程序中設置了哪些控制措施。對內(nèi)部控制審計時，使用流程圖法可以幫助審計人員分析和設計內(nèi)部控制。審計人員還可以利用流程圖找出系統(tǒng)中的薄弱環(huán)節(jié)。

　　5．測試法。測試貫穿于計算機審計的整個過程，是計算機審計的重要方法。是審計人員收集證據(jù)的重要技術。測試法是從計算機輸入開始，跟蹤某項業(yè)務直至計算機輸出，以檢驗計算機應用程序、控制程序和系統(tǒng)可靠性的一種方法。在計算機環(huán)境下內(nèi)部控制的審計中，使用測試法檢查訪問權控制的有效性，使用測試法檢查輸入有效性控制的執(zhí)行情況，如對工資處理應用程序中輸入數(shù)據(jù)的數(shù)據(jù)類型、數(shù)據(jù)有效性、數(shù)據(jù)范圍、邏輯關系、數(shù)據(jù)加工的內(nèi)部控制的測試。

　　【主要參考文獻】

　　[1] 石愛中，胡繼榮.《審計研究》.經(jīng)濟科學出版社，2002.

　　[2] 楊占芳. “計算機信息系統(tǒng)的內(nèi)部控制”. 中州審計，2004年第8期.

　　[3]肖忠. “淺談計算機系統(tǒng)審計的證據(jù)收集方法”. 計算機與現(xiàn)代化，2004年第8期.

　　[4] 劉汝焯等. 《計算機審計技術和方法》. 清華大學出版社， 2004.

　　[5] 葉陳剛，李相志. 《審計理論與實務》. 中信出版社. 2005.

　　[6]丁瑞玲. 計算機處理系統(tǒng)下的內(nèi)部控制及審計. 廣西會計，2002年第7期.

　　[7] 王奇杰. 淺析計算機審計下審計風險的控制. 財會通訊，2004年第5期.

　　[8] 張金城. 《計算機信息系統(tǒng)控制與審計》. 北京大學出版社， 2002.