计算机审计风险

关键词： 审计工作 运用 审计 计算机

计算机审计风险（共8篇）

篇1：计算机审计风险

计算机信息系统环境下大大提高了会计信息处理的速度和准确性，从而提高了审计效率，使得全面审计成为可能。同时对手工环境下的会计信息处理和内部控制带来了变革，计算机审计在技术和方法的改变同时，也形成了新的审计风险。审计人员应当采取相应措施有效地化解这些风险，以更好发挥计算机审计的作用。

一、计算机审计面临的风险

（一）内部控制风险。计算机系统中的内部控制风险是指会计电算化系统的内部控制不严密造成的风险。在手工记账条件下，内部财务的控制机制完全是人与人之间的互相监督和控制。实现会计电算化后，这种监督和控制主要表现为人和机器的双重控制，而且以对机器的控制为主。机器控制较之制度控制存在以下几种问题：一是缺少交易轨迹，计算机的指令操作，比手工提供的可见证据少得多。数据可能直接进入计算机系统而没有相应的支持凭证。如某些联机系统中，单个的批准数据输入的书面证据可能被其他计算机程序取代；二是同类交易处理的一致性。计算机处理一律以相同的指令处理类似的经济业务，因此，虽然与手工处理的抄写错误可消除，但程序错误通常导致错误地处理所有的业务；三是缺乏职责分工。许多在手工系统中由多人分工执行的控制程序，在计算机信息系统中都被集中起来。存取计算机程序、数据和信息处理的一个人可能处于执行不可分的多种职责的位置；四是在特定方面发生错误和舞弊行为的可能性较大。由于计算机信息系统的固有限制，在系统开发、维护和执行过程中人为错误的可能性大。在缺少适当控制时，被审单位内部人员未经授权存取或不留证据地改动数据和程序的可能性将提高。此外，由于处理会计信息的人员减少，同时也降低了发现错误和误差的可能性。由于以上这些内部控制风险，造成会计信息系统存在隐患，也加大了计算机审计的难度，促使计算机审计应对被审计单位会计信息系统及计算机系统环境的安全加以检验，并采取措施防范内部控制风险。

（二）文件记录风险。这种风险是指电磁性财务数据有被篡改的可能。在电算化系统中可人为篡改数据而不留痕迹。一是计算机审计是随着会计电算化的发展而产生的，在以往的手工会计核算系统中，从原始凭证到记账凭证，从记账到报表编制，每一步都有文字记载和经办人员签名，审计线索比较清晰。而在会计电算化信息系统中，由于数据存储介质的磁性化和数据处理过程的自动化，业务数据进入计算机系统之后，由计算机按程序自动生成会计报表，即使有篡改也不会留有痕迹，比起手工系统来，电算化系统中的审计线索更隐蔽、更容易引发经济犯罪；二是在电算化系统中，会计账簿是由系统自动登记的，用户能修改的数据主要在凭证和报表中。所谓数据文件的修改，是指对未登账的凭证以及报表数据的修改，已登账的凭证是不能修改。目前电算化系统中使用的会计软件对操作人员的每次操作都有记录，但这样的记录显得过于宽泛，使得有价值的线索隐蔽其中难以发现。由于传统审计追踪审查已不适用，审计入手点更多的是靠审计人员的经验和判断。文件记录风险的产生，使得审计工作加大了工作量，增加了审计成本；也使审计风险增加。

（三）系统安全风险。对系统安全的审计是计算机会计信息系统审计的重要内容，也是审计的难点。主要包括对系统开发和应用程序的功能进行审计测试。对系统开发的审计是事前审计，审计人员要参与系统分析、调试、运行与维护等。而对系统应用程序进行审计，一是要对嵌入应用程序中的控制措施进行测试，看其是否按设计要求运行中；二是通过检查程序运算和逻辑的正确性已达到实质性测试的目的。在财务会计软件中，是通过对系统使用人员的密码和授权设置以及进入系统的身份验证功能实现的。对这些功能的审计，可通过简单的测试得出结论。由于要确定所审计的会计信息系统的安全性需要审计人员有丰富的计算机知识，因而对审计人员的计算机专业性要求很高，这也是审计人员面临的挑战。由此也产生了判断系统安全是否准确地审计风险。

二、对策

（一）针对内部控制风险，审计人员在评价会计电算化系统固有风险和控制风险时，须考虑以下事项：一是被审计单位使用的计算机信息系统是自行开发的而非外部购买，使用者是否有能力改变数据和开发报告；二是一般控制影响财务应用系统的可靠性，其影响程度取决于具体应用的范围和风险水平，计算机信息系统记录内容的性质和范围影响系统环境的复杂性和其面临的固有风险。针对被审计单位的会计信息系统特点和固有或控制风险，应询问被审计单位的主要管理人员，查阅相关文件记录，审察被审计单位的业务活动及其运行情况，考虑以前审计过程中所了解的相关情况及其变化，并进行符合性测试。通过加强对与计算机系统相关的内部控制的审计来降低计算机审计中面临的控制风险。

（二）针对文件记录风险，审计人员应当检查会计信息系统是否具有识别错误的功能，对

系统拒绝接受的错误数据，是否提供适当的控制措施，对系统拒绝接受的错误数据，是否提供适当的更正程序；复核输入、输出设计，查明是否留有审计线索并进行实质性测试。

此外，审计人员通过程序对实际会计业务的处理进行监控，判别程序处理和控制功能是否按设计要求运行。例如，审计人员可以通过输入错误数据查看更正过程以确定输入控制是

否可靠；也可以通过被审计单位正常业务处理以外的时间里亲自或监督进行，将一批处理过的业务再处理一次，比较两次处理的结果，以确定程序是否被非法篡改、处理和控制功能是否恰当有效。

（三）针对系统安全风险，一方面要检查系统地开发是否可行与恰当，方法是否科学和合理；另一方面还要检查开发过程中是否产生了必要的审计线索，以及这些线索是否规范。对系统开发进行审计，对于保证计算会计信息系统运行以后的处理结果的合法性、正确性、完整性、内部控制的适当性、系统运行的效率，即事后审计的可审性，都具有重要的积极的意义。审计人员应当展开系统实施阶段审计，复核测试数据，查明其是否包括足以检查应有的处理及控制功能的各种类型业务数据。也可考虑自行设计一组测试数据，进行独立测试，检查是否规定由不同人员负责执行业务、输入、处理等工作；按业务处理流程，看其业务处理是否能顺查到原始凭证。在测试结束后，应就系统开发阶段的适当性、系统使用后能否按预期功能运行等方面向相关管理部门提出改进意见。

篇2：计算机审计风险

摘要：审计风险是指财务报表存在重大错报时注册会计师发表不恰当审计意见的可能性。其取决于两方面的风险:一方面是财务报表在审计前存在重大错报的可能性，另一方面是审计人员实施程序后未能发现重大错报和漏报的可能性。随着计算机技术渗入被审单位的会计系统和审计工作，也产生了其风险结果。如何在计算机环境下切实有效地控制不确定性引发的审计风险及其不良结果，旨在获取最大程度的安全保障，得到最可靠的审计结论，己成为审计理论界和实务界极为重要的课题。本文对计算机控制环境下审计风险的概念、影响要素以及降低审计风险应重点关注的领域做出了介绍，并提出了一些控制与防范措施的建议，旨在降低计算机控制环境下审计风险。

关键词：审计风险 计算机控制环境 审计人员

一、计算机控制环境下审计风险的概念

随着信息系统和信息技术的不断发展完善，传统的财务运作和审计方式受到了冲击。计算机审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点，在对信息系统进行检查测评的基础上，通过对底层数据的采集、转换、清理、验证，形成审计中间表，并且运用查询分析、多维分析、数据挖掘等多种技术方法构建模型进行数据分析，发现趋势、异常和错误，把握总体、突出重点、精确延伸，从而收集审计证据，实现审计目标的审计方式 。其主要包括两点内容，一是对运用会计电算化的被审单位的信息系统的设计、数据处理过程和处理结果进行审计并对其进行评价。二是审计主体运用计算机技术辅助审计，即把信息技术当作一种有力的审计工具，利用计算机和相关软件，使审计测试工作实现自动化。计算机技术在财务上的普遍运用也给审计工作带来了新的风险点。计算机审计风险可以从两方面理解：一方面是指审计人员接受委托并利用计算机技术对运用了计算机技术的被审单位进行审计，未发现被审单位财务报表中存在的重大错、漏报，而对财务报表发表不恰当审计意见的可能性，另一方面是指虽然审计人员针对计算机控制环境下的被审单位出具了符合事实的审计报告，但是由于被审单位高经营风险而造成利益相关者的损失，法律要求审计主体对其损失进行一定的补偿的可能性。

二、基于计算机控制环境下审计风险模型分析

年 10 月，国际审计和鉴证准则委员会(IAASB)发布的审计风险准则中，提出了新的审计风险模型概念，即：审计风险=重大错报风险×检查风险。与国际审计风险准则中的相同，，我国财政部也正式提出了新的审计风险计量模型，即在过去美国注册会计师协会1983年提出的审计风险模型(审计风险=固有风险×控制风险×检查风险)的基础之上，将其中的固有风险和控制风险要素统一为认定层次的重大错报风险，另外财务报表整体层次的重大错报风险也纳入了考虑。信息化技术对审计线索、审计技术手段、审计内容、审计环境和内部控制都产生了巨大影响，而这些变化也使得审计风险增加。审计人员为了识别、控制审计风险，在运用审计风险模型时，应重新评估与分析影响审计风险要素的因素，以保证审计质量。

(一)重大错报风险的评估与分析

重大错报风险是指财务报表在审计前存在重大错报的可能性，它包括两个层次：财务报表层次和各类交易、账户余额和披露认定层次。

篇3：计算机审计风险成因及其防范对策

一、计算机审计风险形成的原因

(一) 传统审计线索缺乏

在传统手工账务处理系统中, 由原始凭证到记账凭证, 由登账到财务报表的编制, 每一步都有文字记录, 都有经手人签字, 审计线索十分清楚。审计人员进行审计, 可以根据需要进行顺查、逆查或抽查。但在电算化会计信息系统中, 从原始数据进入计算机, 到财务报表的输出, 其中间的数据处理的全过程全部由计算机按程序指令自动完成, 传统账簿的缺失, 即传统的审计线索中断了。虽然管理部门从管理的角度出发, 保留一部分审计线索, 但这些有限的审计线索, 无论在形式上还是在内容上都与手工系统情况下有很大不同, 审计线索保存在磁性介质上, 这些磁性介质上的信息是以机器可读的形式存在的, 不能识别, 且存储在磁盘上的数据很容易被修改、删除、隐匿、转移, 又无明显的痕迹, 因此, 审计人员发现错误的可能性减少, 难度增大, 审计风险增加。

(二) 会计系统内部控制技术和方法的改变

测试被审单位的内部控制制度的健全性和有效性是现代审计的一大特征, 内部控制制度的恰当与否直接影响会计信息的真实性和准确性。在手工会计系统中, 内部控制的实施主要体现在两个方面:一是按经济业务的性质对工作人员进行适当的职责分离, 各职责岗位之间互相牵制, 不易出现错误和舞弊;二是在会计账务处理程序上, 除要保证会计凭证、账薄、报表按一定程序由不同人员记录、编制外, 还要做到账账核对、账实核对、账证核对、账表核对, 从而在很大程度上保证了经济业务处理的合理性和合法性。但在电算化会计信息系统中, 由于处理工具、信息载体、会计组织都发生了根本的变化, 使得手工会计系统中原有的很多控制措施都已失去意义。电算化会计和手工会计相比, 内部控制环境更复杂, 甚至有些环境因素超过制度的有效控制能力;建立严格的内部控制的成本要高得多;对内部控制的评价更为困难。内部控制的更大局限性使计算机舞弊有机可乘, 增加了计算机审计风险。

(三) 电算化条件下审计内容和范围的变化

在会计电算化条件下, 审计的监督职能虽然没有改变, 但审计内容却发生了变化。除了手工审计的内容外, 还包括对会计软件运行的评估和审核及对程序中安全控制措施的审查, 如人员权限的设置、系统应用程序的处理功能是否符合会计制度和财经法纪的规定、能否正确完成各项业务的处理、程序控制是否恰当有效等。另外, 除对电算化会计信息系统进行事后审计、监督其合法性和正确性外, 还提倡在系统的设计开发阶段, 审计人员要对系统的开发进行事前和事中审计。审计内容和范围的扩大对审计人员提出了更高的要求, 从而加大了计算机审计的风险。

(四) 审计技术、方法的日趋复杂

不同单位的业务规模和性质不同, 会计软件的获得途径不同、功能不同、程序处理的步骤和内容不同、数据存储的方式不同, 所有这些不同, 都决定了计算机审计风险的产生是多方面的, 因此, 审计技术的复杂性就必然会产生计算机审计风险。

(五) 会计软件评审机制存在的缺陷

我国会计软件从无到有、从单一业务处理到集成业务处理、从会计核算走向会计管理, 取得了巨大成就但也有其不足, 特别是针对审计, 表现在下面两个方面:一是很多会计软件不具备双向查询功能。在对电算化会计信息系统的审计中, 会计软件应允许审计人员按照凭证一明细账 (日记账) 一总账一报表的顺序进行双向查询, 同时还应允许分别对日记账、明细账、总账的期初余额、本期发生额和期末余额进行双向查询。但是目前我国绝大多数的会计软件的查询设计都是单向的, 可以实现如由总账查询明细账, 由明细账查询凭证等过程, 但当需要反问查询时往往很困难。二是会计软件不预留审计测试通道。在审计过程中, 审计人员为证实业务处理的实际过程、方法, 往往需要进行测试, 既虚拟一笔业务输入会计软件, 检查其结果与预期结果是否相符, 这种方法可以有效地验证核算过程是否与设计一致。但是如果审计人员不能及时消除这些测试的影响, 就可能导致会计软件系统数据的混乱。恰当的解决方法是在软件设计时为以后的审计测试留下通道, 既方便审计人员的随时测试, 也不会造成对整个系统数据的影响。因此, 会计软件评审机制的缺陷加大了计算机审计风险。

二、计算机审计风险防范对策

(一) 传统方法与现代手段相结合, 保证审计数据的完整性、正确性, 降低审计风险

在审计的实施中, 可以要求被审计单位将审计时间范围内的账务资料打印出来, 同时, 随意抽取一台操作终端, 进入账务系统, 和打印出来的账务资料进行核对, 通过账账核对、账证核对, 确定其提供账务资料的真实性、完整性。这样既可以把传统的审计线索与现代手段相结合, 保证审计数据的完整性和正确性, 又可以从源头上降低审计风险发生的可能性。

(二) 测评内部控制制度的健全性, 找到审计突破口

召开被审计单位的人员交流座谈会, 收集被审计单位的有关资料, 加强对内部控制制度的审计。审计人员要对系统中业务事项的流向、电子数据处理用于特定的业务处理范围以及业务控制的基本结构进行审查, 同时必须识别特定的业务与内部控制的关系, 了解内部控制在多大程度上确保系统中业务记录的正确性和可靠性。通过测评被审计单位的电算化操作是否合规, 岗位职责设置是否欠缺, 内部牵制措施是否得当, 找出管理中存在的薄弱环节, 确定审计突破口, 抓住审计的重点。这样不仅对审计的实施能起到事半功倍的效果, 还有利于降低因审计疏漏而产生的重大风险。

(三) 选择恰当的审计方法技术与合理的审计方式

审计人员可以根据被审计单位不同的会计信息系统而采取不同的审计方法和技术, 从而有效地降低审计风险。当打印的账务资料充分且与被审计单位输入输出联系比较密切能核对相符时, 则可采用绕过计算机的审计方法, 用核对、复核、分析等审计技术;当被审计单位采用实时处理, 纸质的审计线索较少且输入输出不能直接核对时, 则可采用计算机审计的方法;当被审计单位采用每时每刻都在运行的会计信息系统, 审计过程中不能终止工作时, 则可采用制度基础法, 首先对被审计单位计算机会计信息系统的一般控制和应用控制进行审查, 根据一般控制和应用控制审查的结果决定抽查的重点、范围和方法, 这样, 既可以降低审计风险, 又可以减少对被审计系统正常工作的影响。由于要审计的内容大都存储在磁性介质中, 而磁性介质很容易被篡改、删除而不留下任何痕迹。因此, 对于计算机会计信息系统审计一般应采用就地审计或突击审计的方式。在进行审计时, 可以采用事先不通知操作员或程序员的情况下, 把系统中正在运行的数据拷贝出来进行审查, 以防操作员把数据篡改、删除等, 只有这样, 才能保证被审程序和数据的正确、完整性, 也才能有效地降低审计风险。

(四) 加强审计人员的培训学习, 提高审计人员的素质, 降低计算机审计风险

应定期对审计人员进行培训, 强化审计人员后续教育准则的实施和执行, 强化审计机构和审计人员的风险意识。不断更新审计人员的知识结构, 提高他们的技术水平和职业判断能力。在新的审计环境下, 尤其要加强计算机应用技术、数据处理技术的培训, 大力加强计算机审计的研究 (包括理论、技术、方法、制度等) , 培养复合型的审计人才, 以更好地适应审计环境变化, 出色地完成审计任务。

(五) 改进会计软件的评审机制, 规范计算机审计程序, 加强计算机审计法制化建设

财政部门对会计软件独家评审的纵向评审机制, 给会计电算化信息系统审计工作带来了一定的困难和风险。因此, 应对会计软件评审机制进行改进, 在会计软件通过财政部门评审前, 由审计机关组织专家对软件开发商进行软件开发审计, 并做出审计结论, 财政部门参考审计结论, 最终做出是否通过评审的决定。基层的审计人员只需参照审计结论来审查、评价基层用户的会计软件系统。这样就使审计人员和财政部门评审人员共同分担了评审责任和风险。规范计算机审计程序, 加强计算机审计法制化建设, 这是控制和规避计算机审计风险的基础。尽管我国针对计算机审计出台了《审计机关计算机辅助审计方法》《计算机信息系统环境下的审计》等审计标准和准则, 但社会环境是不断变化的, 必须根据社会环境的变化对规范计算机审计的审计准则适时地进行修订。只有进一步规范计算机审计程序, 加强计算机审计法制化建设, 使审计人员开展计算机审计工作时有法可依、有章可循, 才能有利于他们更好地开展计算机审计工作。

参考文献

[1]郭宗文:《计算机审计技术与方法》, 清华大学出版社2004年版。

篇4：如何防范计算机审计风险

一、计算机审计风险形成的原因

（一）传统审计线索逐渐消失。在手工系统中，由原始凭证到记账凭证，由过账到财务报表的编制，每一步都有文字记录，都有经手人签字，审计线索十分清楚。审计人员进行审计，完全可以根据需要进行顺查、逆查或抽查。但在电算化会计系统中，从原始数据进入计算机，到财务报表的输出，这中间的全部会计处理集中由计算机按程序指令自动完成，传统的账薄没有了，绝大部分的文字记录消失了，传统的审计线索在这里中断了、消失了。代之的是存有会计资料的磁盘和磁带，这些磁性介质上的信息是以机器可读的形式存在的，肉眼不能识别。存储在磁盘上的数据很容易被修改、删除、隐匿、转移，又无明显的痕迹，因此，审计人员发现错误的可能性就减少了，而审计风险就增加了。

（二）会计系统内控制度的改变。在手工系统中，内部控制的测试是看得见、摸得着的，但在会计电算化信息系统中，内部控制的技术和方法发生了很大的变化，使得手工系统中的许多原有的控制措施都已不适合了。例如，在电算化会计系统中，会计信息的处理和存贮高度集中于计算机，会使手工会计系统中的某些职责分离，互相牵制的控制失效。大部分控制措施都是以程序的形式建立在计算机会计信息系统中，肉眼无法觉察，在很大程度上依赖于计算机处理。而计算机会计信息系统的内控功能是否恰当有效会直接影响系统输出信息的真实和准确，内控环境的复杂性使舞弊行为有机可乘，从而增加了审计风险。

（三）审计内容的改变。在会计电算化条件下，审让的监督职能虽然没有改变，但审计内容却发生了变化。在电算化会计信息系统中，会计事项由计算机按程序自动进行处理，如果系统的应用程序出错或被非法篡改，则计算机只会按给定的程序以同样错误的方法处理所有的有关会计事项，系统就可能被神不知，鬼不觉地嵌入非法的舞弊程序，不法分子可以利用这些舞弊程序大量侵吞企业的财物。电算化会计信息系统的特点，及其固有的风险，大大增加了审计风险。

（四）审计技术、方法日趋复杂。在手工会计处理的条件下，审计可根据具体情况进行顺查、逆查或抽查。审查一般采用审阅、核对、分析、比较、调查和证实等方法。所有审查工作都是由人工完成的。在会计电算化条件下，会计的特点决定了审计的内容和技术的改变。虽然人工的各种审查技术仍是很重要的，但计算机辅助审计是必不可少的审计技术。因为即使系统的全部账表都要硬盘拷贝，利用计算机还是可以比手工更迅速、更有效地完成审阅、核对、分析、比较等各项审查工作。例如，计算机可以帮助审计人员审阅账务文件，找出满足指定条件的会计记录；可以对众多的会计事项进行统计抽样，以便审计员对抽出样本进一步审查；还可以根据系统所记录的会计资料计算出各种财务比率、变化率和进行各种分析比较等等。审计人员如果不熟悉电算化会计软件的特点和风险而不能识别和审查其内部控制；如果不懂得利用计算机审计技术和方法进行审计，必然会带来审计风险。

（五）审计人员计算机知识的缺乏。目前，大部分审计人员对于计算机知识普遍缺乏，而随着会计电算化的实行，审计的对象也更多更复杂了。因此，审计人员除了要有专业的审计、会计知识外，还必须掌握一定的计算机知识和应用技术，否则，审计人员作出的审计结论有可能偏离被审计单位会计信息系统的实际，从而造成审计风险。

（六）现行会计软件评审机制存在缺陷。现行会计软件的评审主要侧重于软件功能的构成要素及会计处理方法的合理性，忽视了审计线索的保全性；评审侧重于会计软件运行的结果与手工一致，忽略了对软件开发过程内部控制系统的评价；评审依赖于会计电算化专家小组及部分用户的意见，忽视了软件的审计特征；评审的结果可能同审计人员的意见产生冲突。这些都给审计人员的工作带来了一定的困难和风险。

二、计算机审计风险的防范

（一）加强对会计电算化系统内部控制的审计。一方面是企业的内部控制能在多大程度上确保会计电算化系统中会计记录的正确性和可靠性?熏如输入、输出的授权控制?熏业务处理的审核等。另一方面是内部控制的有效执行能在多大程度上保护资产的完整性?熏通过以上两方面的评价?熏可以判断企业内部控制系统能在何种程度上防止或发现会计报表中的错误及经营过程的舞弊。

（二）加强对会计电算化系统程序审计。会计电算化系统的核心就是会计软件?熏会计软件程序质量的高低?熏直接决定了会计电算化系统整体水平的高低?熏在这部分里主要审计会计软件程序对数据进行处理和控制的及时性、正确性和可靠性?熏以及程序的纠错能力和容错能力。会计软件程序的审计可采用通过计算机审计的方法及利用计算机辅助审计中的数据转换功能的方法来完成。

（三）选择恰当的审计技术与方法。审计人员可以根据被审计单位不同的系统而采取不同的审计方法和技术，从而有效地降低审计风险。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时，则可采用绕过计算机的审计方法，用核对、复核、分析等审计技术；当被审计单位采用实时处理，纸质的审计线索较少且输入输出不能直接核对时，审计人员可采用抽查原始凭证与机内凭证相对比?熏抽查打印日记帐和机内日记帐相核对等方法?熏同时利用计算机辅助审计软件的功能来完成审计?熏从而降低审计风险。

（四）改进会计软件的评审机制。财政部门对会计软件的独家评审机制，给会计电算化信息系统审计工作带来了一定的困难和风险。因此，需要对会计软件评审机制进行改进，在会计软件通过财政评审前，由审计机关组织专家对软件开发商进行软件开发审计，并作出审计结论，财政部门参考审计结论，最终作出是否通过评审的决定，基层的审计人员也只需参照审计结论来审查、评价基层用户的会计软件系统。这样就使审计人员和财政部门评审人员共同分担了评审责任和风险。

篇5：计算机审计风险

对于信息化这一字眼来说，其实际上就是指逐步的发展一种新的社会生产力，这种生产力的形成要建立在以计算机为主要核心的智能化工具的基础上，这是一种新型的生产力，其典型特征主要体现在借助一定的信息技术去管控和处理一些信息资源，进而保证有效的进行信息之间的交流以及信息的共享。随着当前科学技术的发展，信息技术的发展尤为突出。对于当前各行各业的企事业单位来说，其行业环境也变得更加的网络化以及信息化，就审计过程来说，相对于以往的审计，审计变得越来越信息化，相对于传统的方式，审计目标变得更加复杂、审计对象以及审计的方法等其他方面更是变化很大。所以说，对于当前的信息化环境，必须要针对于审计的风险评估以及控制进行一定的研究，这已经发展成为未来审计发展的新趋势。

篇6：计算机审计风险

一、传统风险导向审计

（一）传统风险导向审计的概念

传统的风险导向审计是一种在利用审计风险模型的基础上，评估财务报表固有风险和控制风险，进而确定实质性测试的性质、时间和范围的审计方法。这一方法的重点在于审计风险模型的运用，即“审计风险=固有风险×控制风险×检查风险”。其中“固有风险”是指假定不存在相关内部控制时，某一账户或交易类别单独或同其他账户、交易类别产生重大错报或漏报的可能性；“控制风险”是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报，而未能被内部控制防止、发现或纠正的可能性；“检查风险”是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报而未能被实质性测试发现的可能性。

（二）传统风险导向审计的缺陷

1.注册会计师没有从被审计单位的整体出发，不能深入了解被审计单位的具体情况。传统风险导向审计将审计重点放在了控制测试这一环节中，着重于对被审计单位内部控制的检查，在一定程度上局限了注册会计师的审计思路。

2.审计程序的实施完全取决于对检查风险的评估。注册会计师根据审计模型倒推检查风险，检查风险越高，实质性测试的.工作量就越少；反之，实质性测试的工作量越多。但这种主观的估计对于审计质量是有较大影响的。

3.实践中难以对固有风险进行准确评估。固有风险和控制风险贯穿于整个企业的各个层次，二者之间很难作出严格的区分，而传统的风险导向审计在企业层面仅仅评估固有风险，这种估计显然是十分不可靠的。

二、现代风险导向审计

（一）现代风险导向审计的概念

现代风险导向审计是指注册会计师通过对被审计单位进行风险职业判断，评价被审计单位风险控制，确定剩余风险，执行追加审计程序，从而将剩余风险降低到可接受水平的一种审计方法和技术。它改进了传统的审计风险模型，以“审计风险=重大错报风险×检查风险”来评估被审计单位的风险。在这个模型中，“审计风险”是指会计报表存在重大错报而注册会计师发表不恰当会计意见的可能性；“检查风险”是指某一认定存在错报，该错报单独或连同其他错报是重大的，但注册会计师没有发现的可能性；“重大错报风险”包括两个层次，即会计报表整体认定层次和认定层次。

这一方法强调的是审计风险的影响因素来源于整个企业所面临的经营风险，审计应建立在企业所处社会和行业的宏观环境、战略目标和关键经营环节分析的基础上，注册会计师需要综合评价经营风险以确定实质性测试的范围、时间和程序。

（二）现代风险导向审计的优点

1.对风险的把握更加全面，对审计风险的评估更加可靠。现代风险导向审计是以企业所处的宏观环境为背景，综合分析企业面临的各项挑战，整体评估审计风险。在实务中，注册会计师是站在战略的角度，以经营环境、经营模式为风险分析的起点，把被审计单位和周围环境联系为一个整体，从宏观上判断和发现财务报表中存在的重大错报。

2.审计目的明确，审计效率提高。现代风险导向审计的着手点是重大错报风险，从而确立检查风险。它将企业内外部的风险转化为财务报表错报风险，从而更快的确立审计重点，审计效率明显提高。

三、两种方法之区别

（一）本质不同

从本质上来说，传统风险导向审计还只是停留在观念层面，并没有使审计过程和审计方法产生巨大变化。因为在审计实务中，审计人员所采用的是制度基础审计的基本方法，增加了风险定量评估的内容，并将风险定量分析视作审计风险控制的一种重要手段。审计人员依然采用一种自下而上的审计思路。它还只是制度基础审计的延伸。

现代风险导向审计则是一种全新的方法，它有一套全面并且科学的审计方法，并且有完整的审计思路，即“企业整体层面的分析――经营环节层面的分析――会计报表重大错报风险的分析”，将会计报表风险与企业经营风险联系起来。虽然这种方法在实施过程中，仍然要用到制度基础审计的方法，但它并没有局限于对企业的内部控制的分析。

（二）审计方法不同

传统风险导向审计采用“自下而上”的审计方法，从被审计单位会计报表的固有风险和控制风险入手，了解内部控制、实施控制测试，根据控制测试的结果确定实质性测试的性质、时间和范围，即传统风险导向审计是以交易为基础，从交易的角度确定是否存在重大错报。这种方法虽然有了较大突破，但主要依赖实质性测试，范围过于狭窄。

现代风险导向审计是以经营风险为基础，运用“自下而上”和“自上而下”相结合的方法，先“自上而下”对报表形成预期，再“自下而上”地根据预期实施相应的审计程序。注册会计师在这一过程中借助于“战略分析―经营环节分析―剩余风险分析”的基本思路，从企业的战略管理分析入手，通过战略风险和经营风险的导向和严密的逻辑推理，一步一步推导和落实审计的范围和重点，确定相关的审计目标和审计程序，然后通过实施审计程序和取证的结果，结合重要性的判断，判断整个财务报表的风险并形成最终的审计意见。相比之下，现代风险导向审计引入了企业战略管理分析工具，逻辑性、专业性和准确性都得到了提升，大大提高了注册会计师发现客户会计报表中重大错报的能力。 （三）对风险的认识

传统风险导向审计中将风险的范围局限于会计方面的风险，因此，注册会计师在进行审计时忽略了许多外在的重要因素，更加侧重的是会计报表项目本身的固有风险和控制风险。但在实际情况中，固有风险是很难从经营风险中单独剥离出来的，这很大程度上依赖于注册会计师的判断和估计，所以，传统风险导向审计在可靠性、准确性上存在不足。

现代风险导向审计中，风险的概念除了包括会计报表项目本身的风险外，更多的考虑企业的战略风险和经营风险。注册会计师在审计过程中从企业所处的经营环境、条件到经营方式和管理机制等内外部各个方面来分析，以战略风险和经营风险的评估为审计工作的重点，进而控制会计报表的风险。在风险上的延伸和改进无疑又增加了现代风险导向审计的可行性。

（四）审计证据的范围

传统风险导向审计的审计证据主要包括实施控制侧试和实质性测试获取的证据，大部分情况下只是局限于内部证据。

现代风险导向审计则扩大了审计证据的范围，也就是说，现代风险导向审计实现了审计证据有内部向外部的转移。在实务中，注册会计师会充分了解被审计单位整体经营环境，并从外部获得大量的证据来评价风险评估的恰当性，以此来评估客户的经营风险及审计风，这样也就大大增加了审计证据的范围，为注册会计师实施进一步审计增添了信心。

（五）审计程序由单一化向个性化转变

传统风险导向审计的审计程序倾向于是一种标准化形式，对不同的被审计单位都使用标准相同的审计程序。这种标准化审计程序存在很大问题：一是不能对症下药，没有充分贯彻风险导向审计思想；二是限制了审计人员的临场发挥，由于很多客户的财务人员都是注册会计师出身，或者系统学习过审计，或者有与注册会计师打交道的经验，使注册会计师无法突破客户预先设置的障碍或防范措施，难以做出正确的审计结论。

而现代风险导向审计要求注册会计师将评估及识别的审计风险与实施的审计程序相结合，针对不同客户以及客户不同的风险领域实施个性化的审计程序。相比之下，这种量体裁衣的方式有助于注册会计师找到适合于不同的被审计单位的审计程序，使得审计更加适应环境变化，可以在很大程度上避免由于程序的标准化而疏漏的错报，提高审计质量。

（六）对注册会计师的能力要求逐渐提高

传统风险导向审计侧重于会计层面的评估，对注册会计师的要求只是在会计和审计的方面。

由于实施现代风险导向审计后审计重心的转移，使得审计结果主要依赖的不是控制测试而是风险评估，因此也就要求注册会计师在具备丰富的会计审计知识的同时，掌握一定的战略管理和行业分析等方面的知识。在专业能力方面的要求对注册会计师来说是一种全新的挑战，但对于审计来说，是提高审计质量的一种途径。

篇7：计算机审计风险

一、重要性与审计证据之间的关系

重要性是审计中的一个重要概念。我国《独立审计具体准则第10号――――审计重要性》对重要性的定义是：“被审计单位会计报表中错报或漏报的严重程度，这一程度在特定环境下可能影响会计报表使用者的判断或决策。”可见，重要性实质上强调的是错报与漏报的“程度”，而且这一“程度”是从会计报表使用者的角度来考虑的。如果会计报表中存在的错报或漏报能够使会计报表使用者改变其原有的决策，则这种错报或漏报就是重要的;反之，则是不重要的。实际上，重要性可以解释为可容忍错报或漏报的最高界限，超过这个界限的错、漏报是不能容忍的，而低于这一界限的错、漏报是可以接受的。

审计过程中必须运用重要性原则，其运用的情形有二：一是在编制审计计划时对重要性的水平做出初步评估，以确定拟执行审计程序的性质、时间和范围，借以提高审计效率;二是在评价审计结果时，对重要性进行判断，以确定已执行的审计程序是否充分，借以保证审计质量。就第一种情形来看，审计人员之所以要对重要性水平做出初步判断，其目的就是要确定审计证据的数量，因为重要性是影响审计证据充分性的一个十分重要的因素。由于重要性是一种可容忍错报或漏报的最高界限，因此，如果重要性水平定得越低，说明可容忍的错报或漏报程度越小，就要求执行越充分的审计程序，从而获取越多的审计证据;反之，如果重要性水平定得越高，说明可容忍的错报或漏报程度越大，则可执行有限的审计程序，从而所需要的审计证据就可以少些。

例如，为合理保证应收账款账户的错报或漏报不超过l万元所需收集的审计证据，比为了合理保证该账户错报或漏报不超过2万元所需收集的审计证据要多。由此可见，重要性与审计证据之间成反向关系。

二、重要性与审计风险之间的关系

《独立审计准则第9号――内部控制与审计风险》将审计风险定义为：“审计风险是指会计报表存在重大错报或漏报，而注册会计师审计后发表不恰当审计意见的可能性”。可见，审计风险实质上强调的是会计报表中未被查出的重大错报或漏报对审计意见的影响，由于审计测试和内部控制的`固有限制，审计人员不可能将所审计报表中所有的错报或漏报都审查出来，所以审计风险始终存在，但审计人员在审计测试过程中，又总是希望通过执行合理必要的审计程序，尽可能将审计风险降低至可接受的水平，同时提高审计工作的效率，这就需要充分考虑重要性与审计风险二者之间的关系。

在审计中，重要性与审计风险之间成相互作用的反向关系。首先，重要性水平越高，审计风险就越低;重要性水平越低，审计风险就越高。重要性是决定审计风险水平高低的关键因素，审计人员对重要性水平的判断直接影响审计风险水平的确定。如果审计人员确定的重要性水平较低，则审计风险就会增加;所以审计人员必须通过执行有关审计程序来降低审计风险。这里，重要性水平指的是金额的大小，而且是从会计报表使用者的角度来判断的。比如，一般来说4万元的重要性水平比2万元的重要性水平高，如果重要性水平是4万元，则意味着低于4万元的错报与漏报不会影响到会计报表使用者的判断与决策，审计人员仅仅需要通过执行有关审计程序查出高于4万元的错报或漏报。如果重要性水平是2万元，则意味着金额在2万元到4万元之间的错报或漏报仍然会影响到会计报表使用者的决策与判断，审计人员不仅需要执行有关审计程序查出金额在4万元以上的错报或漏报，而且还要通过执行有关审计程序查出金额在2万元至4万元之间的错报或漏报。可见，重要性水平是4万元的审计风险比重要性水平是2万元的审计风险低。其次，在一定程度上，审计风险水平的高低又反作用于重要性水平。审计人员在对重要性水平进行初步判断时，应当考虑审计风险这一因素。《独立审计准则第10号――审计重要性》第ll条就指出了审计人员对重要性水平做出初步判断时，应当综合考虑的重要因素，其中第3款就是考虑“内部控制与审计风险评估的结果”，如果内部控制越差，评估的审计风险越高，确定的重要性水平就应越低;反之，如果内部控制行之有效，审计风险综合评估水平较低，则重要性水平可以确定得高一些。

由于重要性与审计风险之间存在相互作用的反向关系，所以重要性水平的高低直接影响审计人员对其将要执行的审计程序的确定，进而影响审计工作效率和所面临的审计风险。如前例，如果原本是4万元的错报或漏报才会影响到会计报表使用者的决策，而审计人员将重要性水平评估为2万元，显然，重要性水平偏低，这样会使审计人员误认为审计风险较高，为了降低较高的审计风险，就会扩大审计程序的范围或追加审计程序，而实际上没有必要，只能是浪费时间和人力，降低了审计效率。相反，如果原本2万元的错报或漏报就会影响到会计报表使用者的判断或决策，而审计人员却将重要性水平确定为4万元，重要性水平偏高，这样会使审计人员误认为审计风险较低，所执行的审计程序要比原本应当执行的审计程序少，审计范围小，收集的审计证据不充分，必然导致错误的审计结论，其结果是审计人员承受的审计风险增加。由此可见，重要性水平与审计风险之间成反向关系，这种关系对审计人员将要执行的审计程序的时间、性质、范围有着直接影响，审计人员应当保持应有的职业谨慎，综合考虑各种因素，合理确定重要性水平。

三、审计风险与审计证据之间的关系

由上所述，由于重要性与审计证据成反向关系，重要性与审计风险之间也成反向关系，所以可以推定审计风险与审计证据之间成正向关系。也就是说，如果审计风险越高，所需收集的审计证据数量也就越多。根据这一关系，审计人员可以根据其对审计风险的评估，来确定审计证据的需要数量，以达到证据充分性和适当性的要求。如果审计人员初步估计的审计风险水平较高，说明审计对象较为复杂，审计的内容也较为广泛，审计人员发表恰当审计意见的难度就大，失误的可能性也就越大，这时审计人员就要实施越详细的实质性测试程序，收集更多的审计证据，以便将审计风险降低至可接受的水平。反之，如果评估的审计风险水平较低，则审计人员只需要执行有限的审计程序，收集较少的审计证据。例如，被审计单位业务复杂，内部控制差，管理当局品行存在问题，财务状况恶化，频繁更换会计师事务所等等，均可认为面临着很高的审计风险，或者将审计风险评估为高水平，审计人员都应获取更多的审计证据。我国《独立审计准则第5号一一―审计证据》第7条指出，审计人员判断审计证据是否充分适当，应当考虑的因素第一个就是审计风险，可见，审计风险与审计证据之间有着密切的关系。

篇8：对计算机审计风险防范的初探

1 计算机审计风险的成因分析

任何风险的产生都是由于信息不对称引起的, 计算机审计风险也不例外, 它主要是由于审计人员在运用计算机技术进行审计的过程中, 不能全面、准确地获得被审计单位的真实信息而导致得出的审计结论与被审计单位的事实相背离。我们认为计算机审计风险成因可以从审计客体、审计人员素质、审计环境三方面进行分析。

1.1 从审计客体分析

1.1.1 被审计单位电算化信息系统内控制度的缺陷给计算机审计带来的风险

在手工系统中, 内部控制的测试是看得见、摸得着的, 但在会计电算化信息系统中, 内部控制的设置发生了很大的变化, 大部分控制措施都是以程序的形式固定在计算机会计信息系统中, 肉眼无法觉察, 在很大程度上依赖于计算机处理。但计算机程序设置的内控制度执行是否到位, 关键还在于人员实际操作时是否执行到位, 如果人员操作不规范, 内控制度照样形同虚设, 存在着较大的风险。近年来, 我们在对路桥区镇街道财政组的会计电算化内部控制调查中发现, 虽然镇街道所使用的会计电算化系统软件本身都设置有明确的内部分工及授权机制, 但在实际操作时, 基本上都是由一个会计人员完成电算化会计软件的操作全过程, 电算化系统中的各操作人员实际操作过程中没有权限的限制, 任何一个操作员都可以不经授权进入电算化系统的任何模块。有的镇街道甚至连前台的操作密码都没有设置, 数据库基本上都没有设置密码, 一个稍微懂点数据库知识的外人, 无须任何授权就能长驱直入地进入到其数据库中, 数据库的安全性极差。电算化会计信息系统内控功能的虚设使得舞弊行为有机可乘, 从而增加了审计风险。

1.1.2 被审计单位电算化信息系统基础工作的薄弱给计算机审计带来的风险

在对财务数据的审计工作中, 我们常发现有些被审计单位的会计人员常将数笔不同类型的原始凭证发生额汇总合并为一笔账输入电算化信息系统中;对通过开立现金支票支付的款项, 不通过“现金”科目过渡, 在电算化信息系统中反映为“银行存款”科目支出;将一些不合规大额支出, 不分款项性质, 均罗列在“其他”明细科目等, 在这些不规范的记账信息里面, 都极有可能隐藏了重要的审计线索。对这些明细反映不全面、不真实的电子会计信息, 审计人员如果过分地依赖计算机进行分析处理, 而不附加复杂细致的手工审核, 就很可能造成审计人员实际所得与被审计单位真实的会计信息存在偏差, 从而加大了审计风险。

1.2 从审计人员素质分析

1.2.1 审计人员计算机专业知识深度不够

目前被审计单位电算化信息系统已日益普及, 因此, 专业审计人员既需要具备丰富的审计专业知识, 也需有专业的计算机知识, 特别是要掌握数据库的处理技术。不仅要掌握通用审计软件的应用操作, 还应当能够根据审计对象的个体差异, 及时编写出各种小程序小模块来弥补审计软件的不足。但目前大部分审计人员只掌握了计算机操作系统的初步应用能力, 高层次的计算机系统设计、程序编译检测技能普遍缺乏, 从而不能有效分析和掌握被审计单位的数据系统结构。因此, 在运用计算机审计技术进行取证时, 很可能出现审计人员实际所得的会计信息与所预期的存在较大偏差, 从而加大了审计风险。

1.2.2 审计人员的计算机审计风险防范意识不强

计算机系统下的审计风险与传统手工审计相比, 内容更广、更深, 集中表现在计算机审计风险隐蔽性强、可控性差、破坏性大等特点上。审计人员必须对此引起足够的重视, 如果仅仅为了完成审计任务, 而不考虑审计风险内容及其内涵的变化, 对所发现的各项疑点没有进行必要的复查, 完全依赖计算机所运行的结果, 就很难保证审计工作的质量, 从而无法客观真实地评价被审计单位审计期间财务及业务收支情况, 加大了审计风险。

1.3 从审计环境分析

1.3.1 被审计单位电算化信息系统软件的多样化

目前, 被审计单位所使用的财务及业务数据信息化软件版本不一, 在功能、程序处理上都有着一定的差别, 其要求运用的审计技术和方法也不一样, 从而给审计人员的审计增加了复杂性, 审计人员如果对软件不熟悉或采用了不当的审计技术和方法, 必然会带来审计风险。在实际工作中, 我们发现被审计单位的会计电算化软件大都是自行采购的商品化软件, 数据文件结构也各有差异。特别是一些大型的业务数据库, 如税收、社保、医院等信息系统, 各数据文件的字段及其关联结构极其复杂, 即使能够打开被审计单位的数据库, 但如果不对其数据结构有相当的熟悉程度, 获得的常常只是被审计对象的部分信息, 很难掌握被审计单位的业务信息全貌, 极易导致形成审计风险。

1.3.2 审计线索隐蔽化

手工方式下的审计线索主要是纸质凭证、账簿和报表等相关资料, 审计线索明显可见, 而在会计电算化方式下, 由于计算工具、存储介质和网络技术的引入, 导致审计线索有逐渐减少甚至消失的趋势。这是因为在会计电算化方式下, 会计数据一进入凭证系统, 就在计算机会计系统内不受人工干预的情况下自动进入下一数据流程。与此同时, 机内的日志文件又可删除, 保存在磁性介质中的会计数据也可以人为不留痕迹地加以修改或删除, 这些都削弱了审计线索, 减少了审计过程中发现错误的机会。电子信息存储的隐蔽性导致信息获取的复杂性, 必然会加大审计人员的审计风险。

2 防范和降低计算机审计风险的途径

2.1 要加强对电算化信息系统内控制度的审计

被审计单位健全的电算化信息系统内控制度是审计人员能够运用计算机审计技术及防范计算机审计风险的基础和前提。在电算化信息系统中, 主要通过建立电算化软硬件管理制度、电算化岗位责任制度、上机操作管理制度以及电算化信息档案管理制度等保证会计信息的真实性与正确性。在利用被审计单位的电算化信息系统时, 审计人员要围绕信息系统内部控制的五要素, 即控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督五方面对被审计单位的信息系统内部控制的有效性作出评价。这样有助于审计人员在审计过程中对被审计单位固有风险和控制风险作出合理的评估, 并以此为基础将计算机审计风险控制在一个可接受的水平上。

2.2 要因地制宜地改进计算机审计方法

由于要审计的内容大都存储在磁性介质中, 而磁性介质很容易被篡改、删除而不留下任何痕迹。因此, 在对被审计单位计算机会计信息系统审计时应采用就地审计或突击审计的方式。在进行审计时, 可以采用事先不通知操作员或程序员的情况下, 把系统中正在运行的数据拷贝出来进行审查, 以防操作员把数据篡改、删除等。待条件成熟时, 可以根据针对各审计对象的不同特征编制审计检查程序进行联网审计, 将事后的审计监督与事前事中的监督结合起来, 使审计风险降到最低。

2.3 积极取得被审计单位的支持和配合

在进行计算机审计时, 如果被审计单位的财务人员、操作人员不予配合, 把存在磁性介质中以及会计信息系统中的财务数据进行加密、修改、删除、隐匿等, 审计人员很难进行审查, 因此, 审计时应积极取得被审计单位的支持和配合, 降低审计风险。

2.4 积极采取多种措施培养具有复合型知识结构的审计人员