【摘要】隨著計算機在會計工作和審計實務中的廣泛應用，給審計工作帶來的風險不斷加大。本文在簡要分析計算機系統的特征基礎上，著重透析了計算機系統的審計風險，并提出防范對策。

　　【關鍵詞】計算機系統；審計風險；防范

　　計算機技術在會計領域的廣泛應用和不斷發展，打破了原有的手工會計的格局，使傳統的手工會計核算手段和賬務處理程序發生了巨大的變革，對以憑證、賬簿、報表及其他可見的審計線索為主要審計對象的傳統審計在審計技術方法、審計檔案保管以及審計人員知識技能等方面都產生了深刻的影響。

　　一、計算機系統與計算機系統審計風險

　　計算機系統環境相對于手工會計環境，由于其數據處理的集中程度高、處理速度快、信息儲存方式、儲存媒介特殊，給審計工作帶來了獨特的風險。

　　（一） 計算機系統的特征

　　1．計算機環境下，信息處理過程中的錯誤有短時間內重復出現的可能。較之手工會計，會計電算化系統處理的集中化，加之計算機運算的高速性，計算機會計信息系統的輸入過程比手工系統多了將人可讀的數據轉換為機器可讀代碼形式，使得其處理結果發生錯誤的可能性大大提高，而一旦發生錯誤，就往往在短時間內產生連鎖反應，使得多種文件、賬簿，以至整個系統失真。如果發生錯誤的原因在于系統受到攻擊或系統程序、應用軟件出現差錯，則計算機就會連續重復執行同一錯誤操作，而不易被察覺。

　　2．計算機環境下，內部控制的功能發生改變。計算機環境改變了會計憑證的形式。在電算化會計系統中，會計和財務的業務處理方法和處理程序發生了很大的變化，各類會計憑證和報表的生成方式、會計信息的儲存方式和儲存媒介也發生了很大的變化。原先反映會計和財務處理過程的各種記賬憑證、匯總表等書面形式的資料減少了。由于網上辦公、無紙化辦公等的推行，每一項業務的有關信息由業務人員直接輸入計算機，并自動記錄，原來在核算過程中進行的各種必要的核對、審核等工作，有相當一部分變為由計算機自動完成了。原來書面形式的各類會計憑證轉變為以文件、記錄形式儲存在磁性介質上。因此，電算化會計系統的內部控制與手工會計系統的內部控制制度有著很大的不同，控制的重點由對人的控制為主轉變為對人、機控制為主，控制的程序也應當與計算機處理程序相一致。

　　3．計算機環境下，信息的安全性要求更高。手工條件下，可以將重要的數據文件或記錄在紙上的重要信息，保存在安全性較高的物理場所，如企業的保險柜里，以保證數據的安全。在計算機環境下所有的信息都存儲在磁、光或計算機硬盤中，而這些存儲介質發生損壞的可能性較之賬簿等紙質工具發生損壞的可能性大大增加。

　　4．計算機環境下，舞弊的防范更難。計算機運行速度快、精度高，但同時使系統喪失了人類所具有的對不合邏輯、不合理的以及例外事項的判斷和處理能力，因此，要求在數據處理過程中增加多種檢查控制。在計算機環境下，數據被擅自篡改也不易留下線索。

　　（二）計算機系統的審計風險

　　1983年美國注冊會計師協會發布的第47號《審計準則說明書》 、《審計風險和重要性》中將審計風險模型確定為:審計風險（AR）=固有風險（IR）×控制風險（CR）×檢查風險（DR）。這一觀點被世界會計師聯合會及包括我國在內的世界多數國家的審計職業界所接受。

　　審計風險會因客戶的會計電算化和內部控制的程序化而呈現出新的特征，審計師就應重新規劃審計程序，采取相應的對策和輔助審計軟件進行審計。

　　1．計算機系統的固有風險。固有風險是指假定不存在相關內部控制時，某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生錯報或漏報的可能性。具體表現為:

　　一方面，計算機系統的安全性是影響固有風險的根本因素。大部分電算化系統設計成客戶服務系統，它有巨大的容量和信息存儲量。這些系統一般整體性很強，利用企業資源規劃系統保證程序的連續性。如果系統失敗，整個公司也很有可能面臨破產的命運。如果沒有一套包括計算機系統在內的完整的風險管理系統，公司就要承擔高風險。主要包含: 計算機系統的物理安全；計算機程序的合理性；網絡信息通訊的安全性三方面。

　　另外，電子化會計數據的安全性問題是影響審計固有風險的關鍵因素。手工條件下，可以將重要的數據文件或記錄在紙上的重要信息保存在安全性較高的物理場所，如企業的保險柜里，或者通過不相容職務的內部牽制保證數據的安全。在計算機環境下所有的信息都存儲在磁、光或計算機硬盤中，要確保硬件遭到破壞時信息的安全，防止未經授權的侵入破壞或篡改計算機應用程序。

　　2．計算機系統的控制風險。控制風險是指某一賬戶或交易類別或連同其他賬戶、交易類別產生錯報或漏報，而未能被內部控制防止、發現或糾正的可能性。具體表現為:

　　首先，訪問權控制的不嚴密有可能導致虛假的會計數據。訪問權控制的功能是在數據信息和非法訪問者之間建立一道安全屏障。未經授權的訪問計算機系統，工作人員的訪問密碼泄露，越權訪問、修改或刪除會計數據等情況如果不能被置于訪問權控制之下，都會極大地損害會計數據的安全性、真實性。

　　其次，網絡傳輸和數據存貯故障或軟件的不完善，有使會計數據出現異常錯誤的可能性。相對手工系統，計算機系統下這種風險難以通過有效的內部控制制度消除，必須靠先進的硬、軟件平臺以及會計軟件本身的自我保護，減少出現異常錯誤的幾率。大多數會計軟件能對數據錄入的一致性和正確性以及會計數據處理的安全性和連續性進行控制，但對于集成化程度較高的企業級管理軟件來說，數據的共享性和一致性還不盡人意。

　　計算機系統下，內部控制包括對人和機器兩方面的控制，而且以對機器控制為主。計算機內部控制的框架如圖1：

　　從圖1可以看出，計算機系統內部控制由一般控制和應用控制構成。其中，一般控制是指對計算機會計信息系統的組織、開發、應用環境等方面進行的控制，主要包括組織與管理控制、系統開發與維護控制、系統操作控制、系統安全及文檔控制等。應用控制，是指對計算機會計信息系統中具體的數據處理功能的控制。應用控制有特殊性，不同的應用系統有不同的控制要求，但應用系統一般都包括會計數據的輸入控制、處理控制和輸出控制三個方面。一般控制的缺陷產生的危害極大，會影響應用控制的有效性，這是由一般控制的基礎地位所決定的。另外，新的計算機信息系統技術的應用，如微機——主機連接系統、分散的數據庫系統、終端處理系統及直接提供信息給可見系統的企業管理系統等，增加了計算機信息系統整體復雜性和它們所影響的具體應用的復雜性。

　　3．計算機系統的檢查風險。檢查風險是指某一賬戶或交易類別或連同其他賬戶、交易類別產生錯報或漏報，而未能被實質性測試發現的可能性。檢查風險是審計人員唯一可以自主確定和控制的風險。

　　對賬戶或交易的重大實質性測試往往離不開企業的歷史數據，隨著會計法規的完善和計算機技術的發展，會計軟件在不斷的更新，歷史數據取得的難度將會加大。由于軟件版本的更新、平臺的遷移，難以從往年帳套里提取這些歷史數據，迫使審計師不得不轉向大量的歷史文檔中收集整理數據。這一方面降低了審計效率，更重要的是帶來了更高的檢查風險。

　　另外，由于目前大多數審計人員只是會計、審計方面的專家，要求審計人員在有限的時間設計很全面的測試數據是不現實的。再加上審計軟件設計中本身的缺陷也會增大檢查風險。

　　二、計算機系統審計風險的防范

　　（一）準確評價計算機系統的固有風險

　　1．評估計算機設備的物理安全性。對于計算機系統的控制，審計人員應了解系統設置是如何依賴這些硬件控制的；操作系統如何利用這些硬件控制；系統如何報告檢查出的錯誤，以及糾正錯誤的程序。了解計算機系統環境存在的潛在威脅，如企業對水、火災的防范措施，有沒有配備合適的穩壓器，不間斷電源（UPS）等降低電源波動帶來的影響，對所有的訪問尤其是非法入侵是否都記錄在計算機日志里，管理人員采取了什么措施應對非法入侵，計算機系統是如何防范計算機病毒，有沒有具體的應急措施應對意外情況的發生等。

　　2．評價電子數據的安全性。為了保證信息的安全性，一方面要注意計算機硬件的安全，更主要的是要防止未經授權更改或刪除電子數據。所以，要做到：信息的訪問權只給單位中指定的人；對會計數據修改或刪除的權力只賦予被授權的人；計算機系統能夠辨認訪問者的訪問權限；單位的信息安全部門應密切監視來自外部的惡意攻擊，然后定期以報告的形式向信息安全的負責人報告；電子數據要有備份，備份數據能得到妥善保管。

　　3．檢查信息通訊的安全性。為保證一臺計算機與其它的設備，如終端或其他的計算機系統之間信息傳輸信息的完整性與真實性，被審計單位至少要對傳輸的信息加密；接收信息的應用程序與發送信息的線路分開； 接收到信息后有信息反饋檢查，特殊信息要依靠調制解調器解調傳輸；企業的內部信息通訊系統與國際互聯網之間要有防火墻，以防來自互聯網上的惡意攻擊。

　　（二）合理評估計算機系統的控制風險

　　對于控制風險的評估主要應集中于對組織管理控制風險，訪問權控制風險，程序開發、數據修改控制風險的合理估計。

　　1．組織管理控制風險的識別。組織控制的關鍵在于職責的分工。審計人員應檢查被審計單位的組織結構、職權和責任的分配情況，如程序與開發系統、計算機操作、輸入數據的控制等職責，在可行的情況下是否予以分離，職工定期輪換工作崗位制度是否完善等。目的在于確定職責分工是否能夠提供有力的內部控制。注冊會計師應判斷組織管理控制的強弱，對由于職責分工不夠而產生的風險作出合理評價。

　　2．電算化系統開發控制。對于首次接受審計的企業，對電算化系統開發控制的審計，審計人員應主要了解系統開發前是否有計劃，開發系統是否得到授權，是否有相應的程序加以控制等。

　　3．計算機設備、信息和程序訪問權控制可能的缺陷。審計人員要分兩個層次了解訪問控制：訪問控制的程序整體執行情況及人事和工資管理部門執行內部控制的情況。具體要了解公司是否使用了訪問控制軟件，其能夠提供哪些功能，公司有沒有專門負責數據安全的部門，對工資水平修改的程序、員工花名冊的變化是否只是由人事部門決定，人員變動是否得到了及時記錄等。

　　（三）努力控制檢查風險

　　檢查風險是審計人員唯一可控風險，在這個階段，審計的任務是在準備階段初步風險評估的基礎上，對內部控制進行測試，評價控制風險，決定可以接受的檢查風險。將檢查風險控制在可接受范圍之內。對于內部控制的測試主要包括對數據輸入控制的測試、數據通訊和數據處理控制的測試和數據輸出控制的測試。

　　1．數據輸入控制的審計。審計人員在對數據輸入控制進行審計時，應注意檢查經濟業務的發生是否有適當的批準文件，以保證數據輸入的合規性；同時應注意檢查所輸入數據的正確性，完整性，數據是否被不正確地添加、復制或修改等情況。主要進行輸入有效性測試，包括字符域控制的測試，信息合理性測試，數據范圍控制的測試，信息有用性的測試，信息完整性的測試等。

　　2．數據通訊和數據處理控制的審計。審計人員對輸入過程控制進行審計時，應注意檢查經濟業務數據的來源是否可靠，資料是否完整、準確，有沒有可能被篡改過；檢查數據的處理方法是否正確，處理的步驟、使用的程序、結果的保存是否正確無誤，等等。主要進行數據處理的有效性測試，采用的技術方法有綜合抽查設備法（ITF），標簽與跟蹤法或借助審計軟件。

　　3．數據輸出控制的審計。審計人員應注意審查輸出的計算機處理結果是否準確無誤，輸出的結果是否被及時、按照規定提供給有關的人員或部門，是否有必要的手續和記錄，等等。主要進行控制總數，數據的勾稽關系和輸出的合理性檢驗。

　　在以上審計程序中，輸入有效性測試、處理有效性測試、控制總數，數據的勾稽關系和輸出的合理性檢驗任何一項存在重大缺陷，審計人員要評估控制風險為高風險。

　　（四）綜合運用適當的審計方法

　　一般來說，審計人員所采用的審計方法主要有：面談法、問卷調查法、審閱法、流程圖法、測試法等。為了有效防范計算機系統的審計風險，結合計算機審計的特點，應用合理的方法或方法的組合，才能取得實效。

　　1．面談法。面談法具有簡單方便之優點，在內部控制審計中經常被采用。審計師為了獲得一次高效的面談，應該與被訪問者相互配合和信任。在對一般控制審計時，可以通過與被審單位的領導與職工交談，向電算部門及各業務部門的人員詢問了解有關的職責分離的控制是否得到執行。在對系統開發控制和程序修改控制審計時，向有關參與系統開發人員了解有無用戶代表和內審人員參加，參加了哪些工作，現有的信息系統能否符合用戶的要求等。另外還可以通過面談了解內部控制的經濟性，重大的錯誤是否得到及時、恰當的糾正，輸出的資料是如何處置的，有無健全的檢查、保管、分發制度等。

　　2．問卷調查法。問卷調查法節省時間，調查面廣。審計人員可以根據需要調查的情況設計好調查問卷，獲取信息，以判斷有關的內部控制是否存在、可靠，有無得到執行。在內部控制審計的各個程序都可以使用。使用這種方法要注意問卷調查表中問題的性質、提問技巧、度量的尺寸或調查表的布局設計。

　　3．審閱法。審閱法是指審計人員通過仔細審查和翻閱有關的書面文件或記錄，借以查明資料及所反映的記錄是否公允、正確、合法、合規，從中發現錯弊或疑點。審計人員在一般控制審計時，通過審閱內部審計人員留下的系統開發的工作底稿，了解系統開發的控制。通過審閱系統測試的數據及結果，檢查系統在試運行階段的運行情況，有無被修改，系統在正式投入使用前是否經過了最后批準。通過審閱有關系統訪問控制的計算機日志，了解是否只有被授權人才可以訪問特定程序或信息，對使用錯誤密碼企圖進入系統的情況，系統都作了記錄并有專人調查。

　　4．流程圖法。流程圖在審計活動中發揮著越來越重要的作用。利用流程圖，可以對被審計的信息系統結構有更深刻的理解，從而更有效地分析系統的運行過程。在計算機審計中，流程圖可能是現成的，審計人員應該確定被審計單位提供的流程圖是否正確，防止被審計單位造假。有時被審計單位提供的流程圖不夠詳細或者沒有現成的流程圖，審計人員應要求被審計單位提供源程序，據此得到流程圖，確定源程序中設置了哪些控制措施。對內部控制審計時，使用流程圖法可以幫助審計人員分析和設計內部控制。審計人員還可以利用流程圖找出系統中的薄弱環節。

　　5．測試法。測試貫穿于計算機審計的整個過程，是計算機審計的重要方法。是審計人員收集證據的重要技術。測試法是從計算機輸入開始，跟蹤某項業務直至計算機輸出，以檢驗計算機應用程序、控制程序和系統可靠性的一種方法。在計算機環境下內部控制的審計中，使用測試法檢查訪問權控制的有效性，使用測試法檢查輸入有效性控制的執行情況，如對工資處理應用程序中輸入數據的數據類型、數據有效性、數據范圍、邏輯關系、數據加工的內部控制的測試。

　　【主要參考文獻】

　　[1] 石愛中，胡繼榮.《審計研究》.經濟科學出版社，2002.

　　[2] 楊占芳. “計算機信息系統的內部控制”. 中州審計，2004年第8期.

　　[3]肖忠. “淺談計算機系統審計的證據收集方法”. 計算機與現代化，2004年第8期.

　　[4] 劉汝焯等. 《計算機審計技術和方法》. 清華大學出版社， 2004.

　　[5] 葉陳剛，李相志. 《審計理論與實務》. 中信出版社. 2005.

　　[6]丁瑞玲. 計算機處理系統下的內部控制及審計. 廣西會計，2002年第7期.

　　[7] 王奇杰. 淺析計算機審計下審計風險的控制. 財會通訊，2004年第5期.

　　[8] 張金城. 《計算機信息系統控制與審計》. 北京大學出版社， 2002.