计算机信息系统环境下大大提高了会计信息处理的速度和准确性，从而提高了审计效率，使得全面审计成为可能。同时对手工环境下的会计信息处理和内部控制带来了变革，计算机审计在技术和方法的改变同时，也形成了新的审计风险。审计人员应当采取相应措施有效地化解这些风险，以更好发挥计算机审计的作用。

    一、计算机审计面临的风险

    （一）内部控制风险。计算机系统中的内部控制风险是指会计电算化系统的内部控制不严密造成的风险。在手工记账条件下，内部财务的控制机制完全是人与人之间的互相监督和控制。实现会计电算化后，这种监督和控制主要表现为人和机器的双重控制，而且以对机器的控制为主。机器控制较之制度控制存在以下几种问题：一是缺少交易轨迹，计算机的指令操作，比手工提供的可见证据少得多。数据可能直接进入计算机系统而没有相应的支持凭证。如某些联机系统中，单个的批准数据输入的书面证据可能被其他计算机程序取代；二是同类交易处理的一致性。计算机处理一律以相同的指令处理类似的经济业务，因此，虽然与手工处理的抄写错误可消除，但程序错误通常导致错误地处理所有的业务；三是缺乏职责分工。许多在手工系统中由多人分工执行的控制程序，在计算机信息系统中都被集中起来。存取计算机程序、数据和信息处理的一个人可能处于执行不可分的多种职责的位置；四是在特定方面发生错误和舞弊行为的可能性较大。由于计算机信息系统的固有限制，在系统开发、维护和执行过程中人为错误的可能性大。在缺少适当控制时，被审单位内部人员未经授权存取或不留证据地改动数据和程序的可能性将提高。此外，由于处理会计信息的人员减少，同时也降低了发现错误和误差的可能性。由于以上这些内部控制风险，造成会计信息系统存在隐患，也加大了计算机审计的难度，促使计算机审计应对被审计单位会计信息系统及计算机系统环境的安全加以检验，并采取措施防范内部控制风险。

    （二）文件记录风险。这种风险是指电磁性财务数据有被篡改的可能。在电算化系统中可人为篡改数据而不留痕迹。一是计算机审计是随着会计电算化的发展而产生的，在以往的手工会计核算系统中，从原始凭证到记账凭证，从记账到报表编制，每一步都有文字记载和经办人员签名，审计线索比较清晰。而在会计电算化信息系统中，由于数据存储介质的磁性化和数据处理过程的自动化，业务数据进入计算机系统之后，由计算机按程序自动生成会计报表，即使有篡改也不会留有痕迹，比起手工系统来，电算化系统中的审计线索更隐蔽、更容易引发经济犯罪；二是在电算化系统中，会计账簿是由系统自动登记的，用户能修改的数据主要在凭证和报表中。所谓数据文件的修改，是指对未登账的凭证以及报表数据的修改，已登账的凭证是不能修改。目前电算化系统中使用的会计软件对操作人员的每次操作都有记录，但这样的记录显得过于宽泛，使得有价值的线索隐蔽其中难以发现。由于传统审计追踪审查已不适用，审计入手点更多的是靠审计人员的经验和判断。文件记录风险的产生，使得审计工作加大了工作量，增加了审计成本；也使审计风险增加。

    （三）系统安全风险。对系统安全的审计是计算机会计信息系统审计的重要内容，也是审计的难点。主要包括对系统开发和应用程序的功能进行审计测试。对系统开发的审计是事前审计，审计人员要参与系统分析、调试、运行与维护等。而对系统应用程序进行审计，一是要对嵌入应用程序中的控制措施进行测试，看其是否按设计要求运行中；二是通过检查程序运算和逻辑的正确性已达到实质性测试的目的。在财务会计软件中，是通过对系统使用人员的密码和授权设置以及进入系统的身份验证功能实现的。对这些功能的审计，可通过简单的测试得出结论。由于要确定所审计的会计信息系统的安全性需要审计人员有丰富的计算机知识，因而对审计人员的计算机专业性要求很高，这也是审计人员面临的挑战。由此也产生了判断系统安全是否准确地审计风险。

    二、对策

    （一）针对内部控制风险，审计人员在评价会计电算化系统固有风险和控制风险时，须考虑以下事项：一是被审计单位使用的计算机信息系统是自行开发的而非外部购买，使用者是否有能力改变数据和开发报告；二是一般控制影响财务应用系统的可靠性，其影响程度取决于具体应用的范围和风险水平，计算机信息系统记录内容的性质和范围影响系统环境的复杂性和其面临的固有风险。针对被审计单位的会计信息系统特点和固有或控制风险，应询问被审计单位的主要管理人员，查阅相关文件记录，审察被审计单位的业务活动及其运行情况，考虑以前年度审计过程中所了解的相关情况及其变化，并进行符合性测试。通过加强对与计算机系统相关的内部控制的审计来降低计算机审计中面临的控制风险。
    （二）针对文件记录风险，审计人员应当检查会计信息系统是否具有识别错误的功能，对系统拒绝接受的错误数据，是否提供适当的控制措施，对系统拒绝接受的错误数据，是否提供适当的更正程序；复核输入、输出设计，查明是否留有审计线索并进行实质性测试。

    此外，审计人员通过程序对实际会计业务的处理进行监控，判别程序处理和控制功能是否按设计要求运行。例如，审计人员可以通过输入错误数据查看更正过程以确定输入控制是否可靠；也可以通过被审计单位正常业务处理以外的时间里亲自或监督进行，将一批处理过的业务再处理一次，比较两次处理的结果，以确定程序是否被非法篡改、处理和控制功能是否恰当有效。

    （三）针对系统安全风险，一方面要检查系统地开发是否可行与恰当，方法是否科学和合理；另一方面还要检查开发过程中是否产生了必要的审计线索，以及这些线索是否规范。对系统开发进行审计，对于保证计算会计信息系统运行以后的处理结果的合法性、正确性、完整性、内部控制的适当性、系统运行的效率，即事后审计的可审性，都具有重要的积极的意义。审计人员应当展开系统实施阶段审计，复核测试数据，查明其是否包括足以检查应有的处理及控制功能的各种类型业务数据。也可考虑自行设计一组测试数据，进行独立测试，检查是否规定由不同人员负责执行业务、输入、处理等工作；按业务处理流程，看其业务处理是否能顺查到原始凭证。在测试结束后，应就系统开发阶段的适当性、系统使用后能否按预期功能运行等方面向相关管理部门提出改进意见。





    
     
    

【关闭】    【打印】