计算机审计风险分析及其防范对策 '【摘要】 计算 机 是 电算化的必然要求,也是审计 的必然趋势。 审计技术的 必然带来审计 效率和质量的提高,但计算机审计风险也存在复杂化的趋势。本文从固有风险、控制风险和检查风险三个角度对计算机审计风险进行了 分析 ,并在此基础上提出了具体的防范对策。 【关键词】计算机审计 审计风险 因素分析 防范对策 计算机审计是指审计人员以计算机为工具,对被审计单位会计信息系统运行的有效性、数据处理的合法性正确性、最终报表的真实性公允性进行审计的过程。计算机审计是会计电算化的必然要求,也是审计工作紧跟信息 时代 步伐的必然要求。勿庸置疑,计算机审计技术的应用必然会提高审计工作效率和质量,已有的 的确向我们展示了其强大的功能和良好的应用前景。但不容忽视的是:计算机技术的复杂性极可能使审计风险复杂化。如何在充分发挥其优势的同时,有效地防范可能的风险?这是一个迫切需要解决的课题,本文力图对计算机审计风险进行分析和探讨,从而提出有意义的防范对策。 一、计算机审计风险的三大构成要素 计算机审计风险是指:由于审计人员未能正确合理地运用计算机审计技术对被审计单位计算机会计信息系统运行的有效性、数据处理的合法性正确性、最终报表的真实性公允性进行审计,从而对被审计单位含有重要错报或漏报的财务报表表示不恰当审计意见的风险。按照国际上通行的审计风险模型:审计风险=固有风险×控制风险×检查风险,计算机审计虽然在审计技术、审计 方法 等方面与传统审计有很大不同,但仍然可以认为是由以上三大要素构成,以下试对其进行因素分析: (一)计算机审计的固有风险因素分析 计算机审计固有风险是指:假定未对计算机会计软硬件系统进行安全控制的情况下,系统发生运行失常或数据丢失、错误的风险。其特点包括:①它是由计算机软硬件系统所固有的特点决定的,其风险水平与系统硬件质量、 稳定性及运行 紧密相关,审计人员只能评估其风险水平,而无法对其实施控制和 影响 ; ②它的影响因素是多方面的,需要从计算机技术的角度对其进行评判,且不可避免地带有一定主观性和复杂性,难于准确计量;③其风险水平一方面会因为会计业务计算机处理的实时性、正确性而降低,另一方面又可能因为计算机系统的复杂性而增加。 影响计算机审计固有风险的因素包括:①计算机硬件系统的运行环境,不恰当的运行环境,如在防火、防磁、电源等方面达不到要求,可能导致硬件系统运转失常;②计算机硬件系统故障,突然的硬件故障,可能令已完成的操作前功尽弃;③计算机软件系统质量,运行不稳定的软件系统,可能导致不正常中断或数据丢失;④磁性介质保存的会计资料较易被破坏、篡改或窃取,且往往不留痕迹,难以追查。⑤系统的
连接,与互联网络连接的会计信息系统可能受到网络远程的恶意侵害。 (二)计算机审计的控制风险因素分析 计算机审计的控制风险是指:由于被审计单位内部计算机软硬件系统的应用、操作和 规范等安全控制制度不够健全、有效,导致无法恰当地防止、发现和及时纠正会计信息系统可能出现的各种错误的风险。其特点包括:①它是由被审计单位有关安全控制制度不够健全、有效所引起的,属于内部控制的范畴,审计人员只能评估其风险水平而不能对其实施控制和影响;②对其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识,因而较为复杂且难以准确计量。 影响计算机审计控制风险的因素包括:①维护计算机软硬件系统的相关安全控制制度不够健全或未能完全贯彻执行;②对会计软件系统的应用测试不够严密,采纳了潜伏某些错误的不合格系统;③会计软件系统的设计存在内部控制考虑不足,包括:a.软件系统中职责权限划分不明,不相容职务没有严格分离, 缺乏相互制约机制,导致系统数据易遭篡改和操纵;b.软件系统数据控制设计不严密,如数据校验纠错措施不足,导致误将错误数据纳入系统;c.系统设计缺乏详细的日志记录,某些非法操作不留痕迹,审计线索丢失,导致对非法篡改数据的扼制力不足;d.软件系统设计中对系统运行故障的事后恢复措施考虑不足或数据备份方案设计不全面,导致数据保存不完整或前后不一致;e.系统没有预留审计接口,导致审计软件的自动运行及采集审计证据困难;④工作人员配备安排欠妥,电算化会计系统要求工作人员尤其是系统管理人员同时具备会计知识和计算机技术相关知识,如二者欠缺其一,必然增加操作管理失误的可能性;⑤系统管理人员对计算机病毒的安全防范意识及措施不足,增加了会计数据遭侵害甚至丢失的可能性;⑥防范网络远程侵害的措施不足,如未设立有效的防火墙、实时监控程序、数据加密程序、 电子 密钥系统等,无法有效防止网络黑客或敌意方对系统数据、程序的恶意攻击。 '