计算机环境下的审计风险及防范

□ 姜玉泉　南京审计学院

姜玉泉，副教授。曾任天津商学院计算机信息工程系副主任，现任南京审计学院计算机科学系主任、教育技术中心主任等职。主要从事会计电算化及计算机审计的研究工作，先后在省级以上刊物发表论文３０余篇，曾获江苏省哲学社会科学三等奖；天津市优秀教学成果三等奖。

计算机是２０世纪科学技术发展的最大成果之一，其应用使各行各业的运作模式发生了翻天覆地的变化，极大地推动了人类文明的进步。但是随着计算机在会计业务中的广泛应用及网络技术的发展与计算机审计的研究开发的相对滞后，为审计人员在计算机信息系统环境下的审计工作带来了不同于传统手工环境下的审计风险。
一、计算机环境下的审计风险
１、审计可视线索的自然消失。在手工会计系统中，会计处理的每一步都有文字记录和经手人签名，审计线索清晰可见。但在计算机环境下，随着计算机软、硬件水平及现代通讯技术和网络技术的不断提高，纸面信息变成了磁性介质上的代码，传统的审计线索不复存在，其可视线索自然消失。
２、电子化会计数据易于被滥用、篡改和丢失。在手工会计系统中，纸质介质上的信息易于辨认、追溯。但在计算机环境下，由于存储介质的改变，一旦用户非法透过计算机系统的"防火墙"，极易破坏和篡改电子数据，且不留任何蛛丝马迹。
３、缺乏原始记录。在计算机系统下，传统的日记账不存在，而在另外一些系统中原始文件可能也没有。
４、会计电算化软件种类繁多，再加上各自的保密性，给审计工作带来了困难。
５、控制方面的风险。在手工会计环境中，内部控制一般表现为对人的控制，通过建立岗位责任制，达到控制的目的，责任容易明确，结果也比较直观。在计算机环境下，内部控制转变为对人和机器两方面的控制，而且多数情况下是以对机器的控制为主。同时，计算机又容易受到电脑"黑客"的入侵和"病毒"的侵袭。
６、网络传输和数据存储故障或软件的不完善，使会计数据出现异常错误变成了可能。
７、审计过程的风险。在审计过程中，由于会计软件的更新换代、版本升级，增加了历史文件难以提取的可能性，对账户或交易的重大实质性测试往往离不开企业的实际数据。由于软件版本的更新，平台的迁移，难以从往年账套里提取这些历史数据，迫使审计人员不得不从浩海如烟的文档中收集整理历史数据。这不仅降低了审计效率，而且也带来了更多的审计过程风险。
二、计算机环境下审计风险的防范
防范风险，首先要认识风险。知识经济时代是一个高风险的时代。风险伴随着人类的一切活动，它无处不在，无处不有。由于上述风险的存在，就有必要制定相应的防范措施，有效地预测和控制风险，达到防范目的。
１、革新审计技术手段。知识经济的发展必然导致审计的目标、对象、方法、技术、实务、审计准则和依据、评价标准、审计人员的审计理论等发生重大变化。审计目标由揭露会计错弊转向包括揭露错弊、指出根源与后果的多元化的目标发展；就地审计方式将逐步消失并转向远程审计；未来审计将成为对数据库的审计，审计人员的主要精力将集中于采集、保存和确保数据库的程序上。
在知识经济社会，审计处理的手段由手工操作转向电算化处理，由利用计算机审计和对计算机系统进行审计代替绕过和穿过计算机审计，这已成为必然。同时，随着网络事业的高速发展，电子商务和网上实体的出现，使经济交易、资本决策等可在瞬间完成，这也给我们的审计工作带来了新的挑战：一方面，电子商务的出现使无纸贸易成为现实，如何加强审计线索电子化的经济业务的审计，是新时期给审计工作者提出的挑战；另一方面，众多网上公司、网上银行及远距离多主体的网上合作体的涌现，出现了会计上的所谓"虚拟主体"，如何对这种"虚拟主体"进行审计，又成为知识经济时代的又一挑战。
综上所述，必须充分利用现代信息和网络技术，开发新的审计程序和方法，革新审计技术和手段，才能应对计算机环境下的审计工作。
２、加强信息系统的事前和事中审计。要想做到对信息系统的事前及事中审计，职能部门应在会计电算化的规章制度中，明确审计要求，审计人员应参加信息系统的设计、评审、验收。由于在计算机环境下，审计的可视性线索消失，因此在会计数据处理流程中，应设置审计接口，由计算机自动记录相关的审计线索，提供待测数据及比较标准。审计人员有权审查信息化系统的全部文档资料、技术参数以及对系统进行测试和评价。作为事前及事中审计，主要审查系统的合法性、安全可靠性、可审计性及可维护性；审查系统的核心程序是否达到了预定的功能要求、内部控制是否严密、编程过程是否符合要求；还要对非法数据的容错能力、系统的抗干扰能力及应付突发事件的能力、系统恢复能力等进行测试。在系统评价过程中，关键是评价系统是否达到了原定设计与开发目标，尤其是可审计性最为重要。如果达不到，有权否定整个系统。
３、尽快建立审计通用数据通道。由于会计电算化软件的种类繁多，其设计原理、数据传输方式、语言环境等不尽相同。因此，建议职能部门应尽快制定出相应的规范，使会计软件的数据传输通道能够有一个标准的格式，从而使计算机审计软件能够直接与会计电算化软件并接。要有目的、有目标地汇集所需审计数据，保证审计通用数据接口文件中的数据永远与会计软件内部生成的输出数据保持一致。
４、建立健全现代信息技术下的内部控制制度，加强对内部控制的审计。国际上近代审计都是以系统为基础的审计，即审计人员把对会计系统内部控制制度进行的审查和评价，作为制定审计方案和决定抽查范围的依据。由于现代信息技术在会计中的应用和会计电算化的不断发展，传统会计岗位职责被打破，内部控制制度发生了变更和转移，再加上未来以数据库为基础的实时审计的发展，必然会引起内部控制复杂化，产生新的审计风险。因此，我们必须建立健全全新的内部控制制度，制定更为严密的审计计划，开发更科学的测试内部控制制度的技术，以适应这一变化。
对一切信息系统可能产生危害的原因，从系统的数据处理和处理环境两个方面看，可分为环境性原因和数据处理原因两类。可通过设置权限密码、降低数据异常错误和联网传输等，采取诸如：分配设置责任中心和操作权限密码、降低约束机制失效的可能性、提高网络通信效率和效果、降低软件出现异常错误的可能性、建立企业与银行之间的网络连接、降低数据的不一致性等措施。
在审查电算化系统时，审计人员必须通过调查信息系统的内部控制和实施依据性试验来查明会计控制和管理控制是否有效地发挥作用，并对内部控制的可靠程度予以评价。
５、加快人才培养。要培养面向知识经济的高素质审计人才，就必须改革现有的教育和培训模式，建立面向知识经济的教育和培训模式，用新的方式，新的观念，全方位培养和选拔人才。要改革教育、培训方法和手段，充分掌握和运用现代信息技术，尽快培养出一大批一流水平的现代审计人才。
６、尽快开发计算机审计软件。借助软件工具来完成审计工作。
综上所述，计算机技术的飞速发展，在给我们带来大量益处的同时，也给审计工作带来了新的风险。因此，我们必须面对风险，找出对策，以提高审计质量，加强经济监督，使审计真正起到经济卫士的作用。