計算機系統審計：風險及其防范

劉　強

[摘要]由于計算機在會計工作和審計實務中應用日漸廣泛，使得其安全性風險急劇加大。在計算機系統的基礎上分析這其中的安全隱患和風險，同時提出相關的一些防范措施。

[關鍵詞]計算機系統 審計風險 防范

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0520048－01

計算機技術在會計領域的廣泛應用和不斷發展，打破了原有的手工會計的格局，使傳統的手工會計核算手段和賬務處理程序發生了巨大的變革，對以憑證、賬簿、報表及其他可見的審計線索為主要審計對象的傳統審計在審計技術方法、審計檔案保管以及審計人員知識技能等方面都產生了深刻的影響。

一、計算機系統與計算機系統審計風險

計算機系統環境相對于手工會計環境，由于其數據處理的集中程度高、處理速度快、信息儲存方式、儲存媒介特殊，給審計工作帶來了獨特的風險。

（一）計算機系統的特征

1．計算機環境下，信息處理過程中的錯誤有短時間內重復出現的可能。較之手工會計，會計電算化系統處理的集中化，計算機會計信息系統的輸入過程比手工系統多了將人可讀的數據轉換為機器可讀代碼形式，使得其處理結果發生錯誤的可能性大大提高，而一旦發生錯誤，就往往在短時間內產生連鎖反應，使得多種文件、賬簿，以至整個系統失真。

2．計算機環境下，信息的安全性要求更高。手工條件下，可以將重要的數據文件或記錄在紙上的重要信息，保存在安全性較高的物理場所，如企業的保險柜里，以保證數據的安全。在計算機環境下所有的信息都存儲在磁、光或計算機硬盤中，而這些存儲介質發生損壞的可能性較之賬簿等紙質工具發生損壞的可能性大大增加。

3．計算機環境下，舞弊的防范更難。計算機運行速度快、精度高，但同時使系統喪失了人類所具有的對不合邏輯、不合理的以及例外事項的判斷和處理能力，因此，要求在數據處理過程中增加多種檢查控制。在計算機環境下，數據被擅自篡改也不易留下線索。

（二）計算機系統的審計風險

1983年美國注冊會計師協會發布的第47號《審計準則說明書》、《審計風險和重要性》中將審計風險模型確定為：審計風險（AR）=固有風險（IR）×控制風險（CR）×檢查風險（DR）。這一觀點被世界會計師聯合會及包括我國在內的世界多數國家的審計職業界所接受。審計風險會因客戶的會計電算化和內部控制的程序化而呈現出新的特征，審計師就應重新規劃審計程序，采取相應的對策和輔助審計軟件進行審計。

1．計算機系統的固有風險。固有風險是指假定不存在相關內部控制時，某一賬戶或交易類別單獨或連同其他賬戶、交易類別產生錯報或漏報的可能性。2．計算機系統的控制風險。控制風險是指某一賬戶或交易類別或連同其他賬戶、交易類別產生錯報或漏報，而未能被內部控制防止、發現或糾正的可能性。3．計算機系統的檢查風險。檢查風險是指某一賬戶或交易類別或連同其他賬戶、交易類別產生錯報或漏報，而未能被實質性測試發現的可能

性。檢查風險是審計人員唯一可以自主確定和控制的風險。

二、計算機系統審計風險的防范

（一）準確評價計算機系統的固有風險

1．評估計算機設備的物理安全性。對于計算機系統的控制，審計人員應了解系統設置是如何依賴這些硬件控制的；操作系統如何利用這些硬件控制；系統如何報告檢查出的錯誤，以及糾正錯誤的程序。了解計算機系統環境存在的潛在威脅，如管理人員采取了什么措施應對非法入侵，計算機系統是如何防范計算機病毒，有沒有具體的應急措施應對意外情況的發生等。

2．評價電子數據的安全性。為了保證信息的安全性，一方面要注意計算機硬件的安全，更主要的是要防止未經授權更改或刪除電子數據。所以，要做到：信息的訪問權只給單位中指定的人；對會計數據修改或刪除的權力只賦予被授權的人；計算機系統能夠辨認訪問者的訪問權限；單位的信息安全部門應密切監視來自外部的惡意攻擊，然后定期以報告的形式向信息安全的負責人報告；電子數據要有備份，備份數據能得到妥善保管。

3．檢查信息通訊的安全性。為保證一臺計算機與其它的設備，如終端或其他的計算機系統之間信息傳輸信息的完整性，被審計單位至少要對傳輸的信息加密；接收信息的應用程序與發送信息的線路分開；接收到信息后有信息反饋檢查，特殊信息要依靠調制解調器解調傳輸；企業的內部信息通訊系統與國際互聯網之間要有防火墻，以防來自互聯網上的惡意攻擊。

（二）合理評估計算機系統的控制風險

1．組織管理控制風險的識別。組織控制的關鍵在于職責的分工。審計人員應檢查被審計單位的組織結構、職權和責任的分配情況，如程序與開發系統、計算機操作、輸入數據的控制等職責，目的在于確定職責分工是否能夠提供有力的內部控制。注冊會計師應判斷組織管理控制的強弱，對由于職責分工不夠而產生的風險作出合理評價。

2．電算化系統開發控制。對于首次接受審計的企業，對電算化系統開發控制的審計，審計人員應了解系統開發前是否有計劃，開發系統是否得到授權，是否有相應的程序加以控制等。

3．計算機設備、信息和程序訪問權控制可能的缺陷。審計人員要分兩個層次了解訪問控制：訪問控制的程序整體執行情況及人事和工資管理部門執行內部控制的情況。具體要了解公司是否使用了訪問控制軟件，其能夠提供哪些功能，公司有沒有專門負責數據安全的部門，對工資水平修改的程序、員工花名冊的變化是否只是由人事部門決定，人員變動是否得到了及時記錄等。

（三）努力控制檢查風險

檢查風險是審計人員唯一可控風險，在這個階段，審計的任務是在準備階段初步風險評估的基礎上，對內部控制進行測試，評價控制風險。對于內部控制的測試主要包括對數據輸入控制的測試、數據通訊和數據處理控制的測試和數據輸出控制的測試。

1．數據輸入控制的審計。審計人員在對數據輸入控制進行審計時，應注意檢查經濟業務的發生是否有適當的批準文件，以保證數據輸入的合規性；同時應注意檢查所輸入數據的正確性，完整性，數據是否被不正確地添加、復制或修改等情況。2．數據通訊和數據處理控制的審計。審計人員對輸入過程控制進行審計時，應注意檢查經濟業務數據的來源是否可靠，資料是否完整、準確，有沒有可能被篡改過；檢查數據的處理方法是否正確，處理的步驟、使用的程序、結果的保存是否正確無誤等。3．數據輸出控制的審計。審計人員應注意審查輸出的計算機處理結果是否準確無誤，輸出的結果是否被及時、按照規定提供給有關的人員或部門，是否有必要的手續和記錄等。在以上審計程序中，輸入有效性測試、處理有效性測試、控制總數，數據的勾稽關系和輸出的合理性檢驗任何一項存在重大缺陷，審計人員要評估控制風險為高風險。

參考文獻：

[1]石愛中、胡繼榮，審計研究，經濟科學出版社，2002.

[2]楊占芳，計算機信息系統的內部控制，中州審計，2004.8.

[3]肖忠，淺談計算機系統審計的證據收集方法，計算機與現代化，2004.8.

[4]劉汝焯等，計算機審計技術和方法，清華大學出版社，2004.

[5]葉陳剛、李相志，審計理論與實務，中信出版社，2005.

[6]丁瑞玲，計算機處理系統下的內部控制及審計，廣西會計，2002.7.