计算机审计风险范文

引言：寻求写作上的突破？我们特意为您精选了12篇计算机审计风险范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

篇1

(一)具体审计目标扩展带来的风险。计算机审计，对被审计单位各种财务数据真实性、合法性、正确性的认定，就必然包含对其电子数据的载体(网络、信息系统及数据库)的安全性、可靠性的认定。具体审计目标扩展了，审计内容更加宽泛复杂，计算机信息系统的开放性、易被攻击性及网络活动的无痕型、网络交易的虚拟性，都使得计算机审计面临的不确定因素增多、风险加大。

(二)审计对象增加、范围扩大带来的审计风险。计算机审计增加了现行信息系统的审计和电子数据的审计，已突破传统财务审计的范围。以报表评价为主要目标的财务报表审计，因实时网络的存在，往往同业务审计、经营审计和管理审计密不可分。包罗万象的大审计，使审计风险来源增加。被审计单位网络、信息系统及数据库、应用软件的不稳定性，电子数据的易被改变、被复制和被消除性，以及信息系统目前难以实现直接查阅源程序等，必然带来新的审计风险要素。

(三)掌握计算机审计技能的人员不足带来的风险。计算机审计要求审计人员必须熟悉计算机信息系统运作、数据采集与分析、数据挖掘等技术与方法。能够面对海量的数据，寻找到审计线索突破口：随时根据被审计单位的数据接口特征，选择满足需要的数据采集软件类型，编制各种审计模块：针对采集的数据进行筛选、清理和分析，快速准确地找到并验证各种审计疑点。而现阶段，要使审计人员普遍具有较高的计算机审计能力，还需要一个过程。开展计算机审计，倘若人员没有足够的技能，将无从下手：仓促上机，无疑会带来检查风险的增加。

(四)审计准则缺失带来的审计风险。计算机信息技术环境下，对财政收支、财务收支审计，不能仅以出具的纸质资料为依据，还必须对其生成的信息系统及数据库和财务软件的可靠性、电子数据的准确性等进行鉴证，否则，就会形成假数真审。所以非常需要制定新的审计准则，有针对性对计算机审计工作做出全面系统的补充。而眼下。用现行审计准则中界定的具体审计目标，来指导计算机审计就显得比较狭窄，无法涵盖全部待审内容，包括与被审计单位计算机广泛应用不相协调的内部控制，也就无法用其分析审计风险的确切来源。审计准则的缺失会使审计工作失去权威标准，审计风险自然加大。

二、控制计算机审计风险的对策

(一)掌握被审计单位对计算机信息系统的控制情况，制订完整、详细、合理的审计方案。编制审计实施方案的重要部分就是审计重要性水平的确定和可以接受审计风险的评估。计算机审计尤其要通过检查、查询、观察等方法对被审计单位基本情况和计算机信息系统的运行状况、内部控制进行调查。除了了解常规审计中被审计单位业务性质、组织结构、管理者的内部控制、管理措施、以前年度审计情况等外，重点通过与被审计单位有关业务、计算机及管理人员座谈，交流沟通，索取和分析文档资料，对其计算机信息系统硬件设备、系统软件、应用软件、经营管理工作、战略需求与规划等进行审计调查，了解财务系统、业务系统的安全性，确定计算机信息系统层和电子数据层的重要性水平，分析和初步评价可接受的审计风险、审计执行阶段的风险控制责任的落实，编写能够符合被审计单位实际的、全面的审计方案，并分解好审计工作，使各个审计岗位职责明确。

篇2

系统风险的范围十分广，也是计算机审计最致命的风险。系统风险分为软件环境风险和硬件环境风险。计算机系统是非常复杂的，在文件的记录或操作中由于规范、标准等不统一，进而产生了风险。计算机网络系统是一个开放的系统，其通过互联网及数据库管理系统进行管理，这样就有可能受到外部网络影响，如病毒、黑客的入侵，这些都严重威胁着计算机审计系统的安全。

1.2系统控制风险

系统控制风险是因为审计系统控制不严密造成的。我们知道，传统的审计工作是人与人之间的监督与控制，而在实施电算化以后这种情况就发生了变化，主要表现为人和机器的双重控制，且以对机器的控制为主。审计对象的变化使审计风险发生了转移，审计人员需要对软件开发商在设计软件时嵌入到程序中的内部控制软件方面的内容进行测试，而这些对审计人员而言是一件难度极大的任务。

1.3数据风险

数据风险主要指数据为人为破坏的风险。传统的审计资料是纸质的，人为修改后会留下痕迹，所以篡改的可能性不大。而在运用电算化系统以后，人为篡改数据就不会留下痕迹。特别是系统内的计算公式，被篡改后将导致财务报表的严重失真。由于财务人员并不了解系统如何计算的，所以即便是产生了很大误差也难以发现。对此，审计人员只能靠自己的判断力和经验了。

1.4审计软件风险

审计软件风险是指软件自身的缺陷引起的风险。审计软件没有经过权威部门评审或没有定期升级更新，都会造成软件的不稳定，进而内部的审计核算方法与会计核算不一致的情况。在软件开发中，审计人员不懂软件开发，所以无法将使用需求表达清楚；开发人员不懂审计业务，开发起来同样面临着巨大困难，这两点因素会造成软件在开发之初就存在缺陷，进而影响审计计算、分析。

2、审计风险的规避策略

2.1审前调查，获取充分、准确的信息

在开展审计工作前，应对被审计单位的组织结构进行一系列的详细的调查，对计算机审计系统的软件及硬件有一个大致的了解。针对系统做出详细的评估，如软硬件、技术文档、开况、数据等。据此提出可行的、能满足审计需要的数据采集对象及采集方法。采集的数据必须保证是审计期间的财务数据且都是“结账”后的数据。对纸质凭证等数据进行核对，电子数据应制定责任承诺书，确保提供的电子数据是真实的，数据失真将受到相关责任制度的处罚。

2.2开发和使用计算机审计软件

开发专业的审计软件，通过审计软件来直接房问被审计单位数据，进而完成数据的复核，减少数据索取的繁琐环节，提高工作效率。为给计算机审计打开通道，就必须根据实际需求开发审计软件。尤其是数据采集上，审计软件要有非常的兼容功能，能够访问不同介质、不同编码、不同类型的数据库，进而消除“瓶颈”。在审计软件的应用，要建立完善的应用责任机制，提高审计的威慑力，进而降低审计风险。

2.3加大审计培训力度

大多计算机审计人员是由传统审计转换过来的，审计专业知识较扎实，计算机能力欠缺，所以在计算机审计风险防范上不足。随着计算机技术的广泛应用，审计线索、审计内容、审计技术等都发生了改变，这就对审计人员提出更高的要求。一名高素质的审计人员，不仅要具有扎实的理论知识基础，还要计算机及计算机网络有一定了解，能够熟练操作计算机。因此，加强审计人员应用计算机能力的培训，是当前亟待解决的控制计算机检查风险的首要任务。

2.4加强审计网络的建设工作

网络是计算机审计的前提条件，所以应该有健全的计算机网络。由于我国计算机网络及软件开发较晚，计算机审计的开展存在一定的限制。计算机审计必然要以审计软件为工具，所以必须加快审计软件的研究与开发。有自主研发和委托开发两种模式，其开发中要注重审计软件与会计软件的结合，这样就可以把两个网络联系起来，以便更迅速地获取审计数据，节省工作时间，提高工作效率。

篇3

随着信息技术和网络通信技术应用范围的不断扩展，计算机对审计的影响越来越大。然而，计算机在给审计带来方便、快捷、高效的同时，也带来了新的审计风险。只有做好审计风险的防范，才能使计算机辅助审计工作得以顺利地开展。

一、审计风险的主要研究模型分析

1、传统审计风险模型分析

长期以来，审计职业界一直使用的审计风险模型是：审计风险=固有风险(IR)×控制风险(CIZ)×检查风险(Dlk)，并要求根据该模型来计划和执行财务报表审计工作，以最终将审计风险降至可接受的低水平。该模型从理论上解决了注册会计师以制度为基础采用抽样审计的随意性，又解决了审计资源的分配问题，要求注册会计师将审计资源分配到最容易导致财务报表出现重大错报的领域。

从理论上看，该模型不存在明显的不妥，但在长期的实务操作中却面临很大的问题和困难：第一，直接设定固有风险为100％。第二，评估控制风险不认真，有走过场的嫌疑，实务中控制风险(CR)评估为最高时只要求记结论，不记理由，问题很大。第三，原先将“了解被审计单位情况”和“风险评估与内部控制”单独作为两个准则，使了解被审计单位情况没有跟风险评估有机结合，使了解没有明确的目的性，不被重视。第四，原风险模型侧重于指引认定层次的实质性审计测试工作，对财务报表层次重大错报风险的评估和应对重视不够，导致实质性测试没有目的性、方向感和针对性，进而必然会影响对认定层次重大错报的检查效果。第五，没有抓住财务报表审计工作的“关键点”。

2、现代风险导向审计下的新风险模型

由于传统审计风险模型在识别、评估和应对重大错报风险方面存在问题，国际准则以及我国审计相关准则都进行了修订。原审计准则规定：审计风险倡导以客户风险为导向，但实际未落实。新审计准则规定：以财务报表重大错报风险为导向的审计，强调重大错报风险评估和实质性程序并重。也就是说，新风险准则和风险模型以识别、评估和应对重大错报风险为导向、以控制总审计风险至可接受低水平为目标的最新风险导向审计理念。

现代风险导向审计下的新风险模型为：审计风险=重大错报风险(RMM)×检查风险(DR)。其审计风险包括两个层面，一是财务报表层次，二是交易、账户和列报与披露的认定层次。审计实务中，新审计风险模型下的风险评估包括三个阶段：了解客户及其环境包括内部控制，评估报表层的重大错报风险和认定层的重大错报风险；针对报表层重大错报风险，制定“总体应对措施”；针对认定层重大错报风险，展开“进一步审计程序”，具体包括：实施控制测试，再评估认定层的重大错报风险；实施实质性程序，其目的是为了降低认定层的检查风险。应该看到，新审计风险模型与原审计风险模型相比有显著的理论进步，对CPA的要求更高、更严、更细。

二、计算机辅助审计下的审计风险分析

所谓计算机辅助审计风险，就是指审计人员利用计算机辅助审计技术对运用了信息技术的被审计单位进行审计，当被审计单位的财务报表未能公允揭示被审计单位财务状况、经营成果和现金流量情况，审计人员的不恰当审计意见的可能性。本文按照现代风险导向下的新的审计风险模型，就从重大错报风险和检查风险两个方面来尝试进行分析。

1、计算机辅助审计中的重大错报风险分析

现代风险导向模式下的重大错报风险是指被审计单位财务报表审计前存在重大错报的可能性。这种可能性来自于两个层面：一是财务报表整体层次，二是交易、账户和列报与披露的认定层次。这样，我们可以认为计算机辅助审计下的重大错报风险受两方面因素的影响：一方面是信息系统对企业财务报表总体层次的影响，另一方面是信息系统对产生财务报表的认定层次的影响。

信息系统固然能提高企业财务处理的效率，但是它自身的一些特性却会产生新的经营风险或增加管理层舞弊的可能性。其主要原因是：第一，电子数据的“无形”特性使得记录在存储介质上的数据相对于纸质信息更加容易被滥用、篡改、丢失或破坏。这就使得企业的经营过程中风险增大，管理层通过信息系统舞弊的可行^生和可能新更大，使得总体层次的错报风险增加。第二，电子数据的存储集中程度高，数据处理速度快。因为数据高度集中的存储和快速的处理对错误或疏忽造成的损失产生了放大作用，一旦出现问题极易造成巨大的损失。这也会在一定程度上增加经营风险，从而增大了财务报表总体层次的错报风险。第三，信息化系统中软件及硬件自身的所存在的风险也会随着信息技术的运用而成经营风险的一部分，此外信息化的会计核算环境为凭借计算机手段的非法接入提供了可能。所以总体层次和认定层次的经营风险都会因此而有所增加。第四，信息化环境下的权限控制问题。在手工环境下，职责分离授权、批准是最常用的内部控制手段。虽然在信息化环境下仍然可以设置授权、批准功能，但是由于在信息化环境下的业务人员可以同过的盗用授权文件或口令，而是控制失效。增大了经营风险和管理层舞弊风险使得总体层次的重大错报风险增加。第五，信息完整性异常的情况导致的风险。信息完整性异常的表现常见的有以下两种：信息处理数据和业务传递资料的不一致，导致的管理层决策失误；信息修改功能引发的数据缺失。这些都会进一步加大认定层次的重大错报风险。

2、计算机辅助审计中的检查风险分析

通常的检查风险是指审计人员由于采取了不恰当的测试程序，未能发现已存在的重大(实质上)错误的风险。在计算机辅助审计的情况下检查风险的产生主要有以下原因：第一，由审计软件的应用产生的检查风险。信息技术的发展极大地加快了会计软件的更新换代，因而审计软件的更新速度与会计软件的适配程度，审计软件自身的完善程度和运行的稳定状况都会影响到审计计算分析正确性。第二，历史数据查找困难增加的检查风险。由于信息系统使用的软件升级，平台迁移，导致了账套不能够兼容使得查找历史数据的难度增加，从而检查风险增大。第三，审计线索减少导致检查困难，从而引发的检查风险上升。信息化的被审计单位中很多传统环境下的一些传递环节所涉及的审计线索大大减少，或者甚至在经济业务发生后自动消失导致取证的难度加大，并由此产生检查风险。第四，审计信息资源浪费严重，导致的检查风险增加。在现有的审计实务中许多审计信息资料与数据储存在各审计人员的独立的电脑中，审

计信息资料没有有效地与局域网络进行链接，审计信息与数据不能互通或者说交流效率低下，导致检查风险增加。

三、计算机辅助审计风险的防范

1、降低计算机辅助审计中重大错报风险的措施

首先，制定针对重大错报风险的总体层次的错报风险防范措施。要对计算机辅助审计下总体层次的错报风险进行控制就要求审计人员能够与管理层进行积极、有效地沟通，在审计工作开展之前就应该对被审计单位的信息化程度和信息系统深入了解。对被审计单位的信息系统要详细了解是指对其使用的财务软件要熟悉它的版本、业务处理流程等；针对信息系统则要在可能发生舞弊的环节注意管理人员尤其是信息系统的管理人员有没有对信息系统或财务系统施加不良影响，从而便于开展对重大错报风险的评估工作。如果被审计单位信息系统庞大，系统结构复杂，审计人员就应当考虑要先对被审计单位的信息系统做一个专门的IT审计，或者邀请计算机方面的人才以专家身份加入到审计团队中，以确保审计工作开展时计算机辅助审计对象系统的可靠性、稳定信和有效性。对管理层和整个信息系统我们需要关注和防范的就是系统的稳定性和可以信赖程度，以及对管理层在信息系统下舞弊风险的评估。此外，被审计单位信息系统自身的特性会对被审计单位的经营风险产生影响，所以当审计人员在考察被审计单位的信息系统时，同时也应当考虑使用该信息系统对企业的经营风险的影响。

篇4

一、计算机审计风险概述

1、相关概念的定义

计算机审计，在国内外学术界有多种叫法，例如EDP审计、电算化审计、信息系统审计等等。尽管叫法不同，但其含义基本相同。计算机审计是指审计人员把计算机作为审计的对象或工具，对经济信息系统所进行的审查。它包括计算机经济信息系统审计和计算机辅助审计。

计算机审计风险，是指审计人员不能正确合理地运用计算机审计技术，从而导致审计结果与事实不相符，发表不恰当的审计意见而给审计主体带来损失的可能性。

2、计算机审计风险的种类

⑴系统环境风险。系统环境风险是指电算化经济信息系统本身所处的环境引起的风险，分为软件环境风险和硬件环境风险。

⑵系统控制风险。所谓系统控制风险是指电算化经济信息系统的内部控制不严密造成的风险。

⑶财务数据风险。财务数据风险是由于财会人员在对财务数据录入时采用虚假、修改、延迟等手段造成虚假财务数据而产生的风险。这种风险是指电子财务数据被篡改的可能。

⑷审计软件风险。审计软件风险是指计算机审计软件本身缺陷原因造成的风险。

⑸人员操作风险。这种风险是指计算机审计系统的操作人员和开发人员等在工作中由于主观或客观原因造成的风险。

二、计算机审计风险的成因

1、计算机数据处理系统日趋复杂

目前已经通过评审的电算化软件有很多种，这些软件基本上符合财政部颁发的《会计核算标准基本功能规范》，但从基本功能模块的划分到数据库文件的设置，从采用工作平台到使用的计算机开发语言，从单项开发到系统开发，从单纯使用关系型数据结构到应用大型数据库资源等，可以说是千姿百态，各有千秋。正是由于计算机数据处理系统的复杂性，使得文件记录和系统操作都缺乏标准和规范，这就给审计人员的操作增加了难度，对审计结果产生错误的可能性也就大大增加了，因而产生了系统环境风险。另外随着信息技术的高速发展，电算化经济信息系统不再是孤立的和独立的，病毒、黑客的入侵随时可以威胁系统的安全。因此，审计的系统环境风险增大。再由于计算机硬件设备的千差万别，对电算化经济信息系统的运行带来影响增加，审计人员在操作中出现差错的可能性也随之增加，因而也容易产生审计风险。

2、审计方法、方式日趋复杂

经济信息系统电算化后，审计方法和方式有了很大的变化，由于被审计单位采用的应用软件有的是商品化软件，有的是自行研究开发的软件，在功能、程序处理上都有着一定的差别，并且根据审计要素和对象的不同，其要求运用的审计方法和方式也不一样，从而增加了审计人员工作的复杂性，审计人员如果对软件不熟悉或采用了不当的审计方法或方式就容易做出错误的审计结论，必然会带来审计风险。

3、内部控制方法发生了改变

在手工系统中，内部控制的测试是看得见、摸得着的，但在电算化经济信息系统中，内部控制的方法发生了很大的变化，这时传统的手工控制措施已经不能达到其控制目的了。经济信息系统电算化以后内部控制方法的改变主要表现在：一是内部控制措施由手工控制为主转向以计算机控制为主；二是手工条件下的控制措施在电算条件下已经失效，代之以新的手工控制措施，如电算部门与各职能部门之间，电算部门内部各类人员之间的职责分离等控制措施。这些改变使得内部控制环境的复杂性增加，于是让舞弊者有机可乘，从而产生审计的控制风险。

4、传统审计线索逐渐消失

审计线索对审计人员是极为重要的，审计人员正是跟踪审计线索，审核经济业务，收集审计证据，从而完成审计任务的。在手工会计系统中，从原始凭证到记账凭证、账簿以及财务报表的编制，每一步都有文字记录，都有不同的经手人签字，审计线索十分清晰。但在电算化经济信息系统中，经济信息大都存储在磁盘或磁带上，因此，肉眼所见的线索减少了。况且，存储在磁盘上的数据很容易被修改、删除、隐匿、转移，又无明显的痕迹，因此，审计人员发现错误的可能性就减少了，而审计风险就增加了。

5、审计软件存在缺陷

早期，我国会计软件的编制基本上用的是Dbase系列数据库，以后又改进为使用FoxBASE、Visual FoxPro等，随着新的编程工具的出现以及会计软件的进一步成熟和深化，软件有了更多选择，如Microsoft ACCESS、 Informix Sybase等。会计软件在不断升级，而审计软件不能跟上形势，采取的相应升级措施相对滞后，影响了审计效率和质量。审计软件风险还表现在软件的开发过程中，由于计算机人员对审计、会计业务不熟，造成软件自身的不完善，运行不稳定或审计计算、分析的偏差。审计软件存在的缺陷风险已成为影响计算机审计检查风险的重要因素。

6、审计人员计算机知识缺乏

目前，大部分审计人员对于计算机知识普遍缺乏。不懂得计算机的审计人员，会因为审计线索的改变而无法实施审计；会因为不懂得电算系统的特点和风险而不能识别和审查其内部控制；会因为不懂得计算机而无法对电算系统进行审查或利用计算机进行审计。因此，审计人员必须掌握计算机与电算化经济信息系统方面的知识和技能，否则，审计人员做出的审计结论有可能偏离被审计单位电算化经济信息系统的实际，从而造成审计风险。

三、计算机审计风险的防范

1、完善计算机审计准则

目前审计准则有：国际会计师协会于1984年公布的《国际审计准则15――电子数据处理环境下的审计》和《国际审计准则16――计算机辅助审计技术》、1996年审计署的《审计机关计算机辅助审计方法》、1999年施行的中国独立审计具体准则第20号《计算机信息系统环境下的审计》等。面对日益发展的计算机审计，需要针对新的形势建立一系列与新情况相适应的审计准则，应加强计算机审计人员考核培训准则、电算化经济信息系统开发审计准则、电算化经济信息系统内部控制审计准则、审计应用软件准则，以此来规范计算机审计业务的发展，将审计风险降低到可以接受的水平。

2、选择恰当的审计方式与方法

审计中，审计人员可以根据被审计单位不同的系统而采取不同的审计方法和技术，从而有效地降低审计风险。例如：当打印文件充分且与被审计单位输入输出联系比较密切，能直接核对时，可采用绕过计算机，用核对、复核、分析等审计技术；当被审计单位采用实时处理，纸质的审计线索较少且输入输出不能直接核对时，则可采用通过计算机审计的方法。其次，选择合理的审计方式。对于电算化经济信息系统审计一般应采用就地审计或突击审计的方式。在进行审计时，可以采用事先不通知操作员或程序员的情况下，把系统中正在运行的数据拷贝出来进行审查，以防操作员把数据篡改、删除等，只有这样，才能保证被审程序和数据的正确、完整性，也才能有效地降低审计风险。

3、加强内部控制制度的审查

内部控制制度是审计的基础，为了确定这个基础是否扎实，即内部控制制度是否健全、有效，审计人员就必须对被审计单位的内部控制制度进行审查。在分析和评价被审计单位电算系统内部控制制度时，应遵循以下步骤：一是调查分析系统可能存在的错误类型和非法行为；二是明确预防或发现错误应有的内部控制；三是分析被审计单位现有的内部控制是否充分；四是分析被审单位现有的内部控制措施是否有效。只有充分审查以保证内部控制制度的完善和有效，才能减少审计中的控制风险。

4、保证财务数据的完整性

为保证财务数据的完整性，审计人员在审计时必须认真检查被审计单位所提供的数据是否真实、是否属审计时间范围内的财务数据。同时，审计人员获得的财务数据，应该是被审计单位财务人员对财务数据作现场备份所得的。审计人员只有从这几方面把握才能较好的保证财务数据的完整性，减少因审计线索的改变所带来的审计风险。

5、努力开发实用高效的审计软件

为了给计算机审计打开通道，就必须不断研究开发审计软件。在数据采集方面，要求这种软件能够容易访问被审计单位不同介质、不同编码、不同数据类型的数据库，从中采集审计所需的原始数据。在数据分析方面，在现有审计软件功能的基础上进一步开发新的分析工具。例如：针对企业审计领域的固定资产折旧审计工具和产品利润情况分析工具等，针对金融审计领域的利率检查工具等。在增加面向特定领域的分析同时，还要增加一些基于特定方法的分析工具，如账户分析、比较分析等。只有开发出实用高效的审计软件，才能解决因审计软件本身的缺陷所带来的审计风险。

6、提高审计人员的计算机素质

目前提高审计人员计算机素质可以采取以下措施：一是大力加强审计人员计算机技能的培训力度。在此基础上进行中级、高级的培训，将培训的内容深化并拓宽。二是将计算机知识和审计知识融会贯通，计算机技能与审计思路的结合，培养既懂计算机又懂会计和审计的复合型知识结构的审计人员。三是要建立各类培训的跟踪反馈机制，分析通过培训后在实际业务中发挥的效用，及时检验培训的效果。四是建立计算机审计的激励机制，对计算机应用中有创新的人员和对利用计算机审查出问题的人员予以奖励。

四、结论

经济信息系统电算化的发展不仅是向审计工作提出新的挑战，同时也为审计人员提供了新的用武之地，为审计带来发展的新机遇。开展计算机审计时，审计人员只有做到全面分析计算机审计风险的形成原因并认真落实其防范措施才能够提高审计的工作效率和质量，促使电算化经济信息系统向更高目标迈进。因此，从事审计工作的人员除了要有审计专业知识，还要具备和熟练掌握过硬的计算机知识及丰富的实践经验，才能开创审计工作的新局面。

【参考文献】

[1] 肖文八：审计学原理，第1版，北京，中国审计出版社，1996年。

[2] 陈婉玲：计算机审计，第1版，广州，广东人民出版社，2002年。

篇5

中图分类号:F239

文献标识码:A

文章编号:1672-3198(2010)13-0217-01

1 计算机审计风险的成因分析

1.1 传统审计线索逐渐消失

在我们原先采用的手工会计系统中,从最开始的原始凭证到最后的报表,每一个环节都有相对应的工作人员签字审核,我们也就可以按图索骥的来开展审计工作,因为这样的手工会计系统对审计线索的寻找非常便利。可是在开始会计电算化以后,以往我们赖以搜寻的审计线索变得难以寻觅,因为许多的文字记录不复存在了。那些信息大多数都被保存在磁盘上,而这些磁盘上的信息虽然容易保存且信息量大,但却也存有较容易遭人修改、删除且不留下让人容易发现的线索。这样也就造成了审计人员通过磁盘内的信息来进行审计的实际效果降低。

1.2 审计技术、方法日趋复杂

在将计算机引入财务工作之后,我们开展审计的技术以及方法也发生了相对应的更改。现在审计对象使用的财务软件种类繁多,既有商品化的软件(如用友财务软件),也有不少单位依靠自己的技术力量来研发的财务软件,这样就使得财务软件的功能和程序上千差万别,对审计的技术与方法也难以照搬照套,对审计工作的进行增加了许多复杂因素。而面对千差万别的财务软件,审计人员如果没有使用正确的审计方法来审计就肯定会造成审计风险的出现并对最后的审计结果产生负面影响。

1.3 在动态中进行审计取证较难

在很多的企业,尤其是一些大企业的计算机内的财务信息系统是24小时处在工作状态,如果将计算机停止运行势必对单位的经济造成一定的损失。我们审计人员不但需要顺利的完成审计工作还要让审计对象的财务信息系统能够正常运行,这就需要我们在运行期间进行高难度的取证工作,这当中稍有不慎就会酿成一定的经济损失。这也是审计风险存在的原因之一。

1.4 被审计单位内控制度的不完善

在对经济信息系统使用计算机来工作之后,企业内部的财务控制制度与技术也进行了相对应的变化,这其中变化主要体现在:首先是企业财务的内控手段已经从手工改变为计算机;二是在使用计算机进行财务信息系统的运算时原先手工控制的方法已经无能为力,失去了其应有的控制作用,需要采用新的手工控制方法来取代。计算机会计信息系统输出信息的有效性是建立在其内部控制的功能是否有效、完善的前提之下的,但是内部控制的许多缺陷和漏洞的存在让违规行为可以随意的发生且没有办法有效地监管,这也是审计风险的一个重要来源。

1.5 缺少科学的计算机会计信息系统

我们进行审计的标准和依据也需要相应的更改。我们以前对手工系统有不少的审计标准和依据可以采用、借鉴。可是我们在会计电算化信息系统开展工作的时候,因为面对的信息系统不再是以往的手工系统,工作的目标和开展工作的线索已经发生了变更我们的工作手法也要与之相对应的变动。因为原先老旧的工作标准和依据无法适应新的审计工作要求,可是现在可以有效地使用在会计电算化信息系统环境下的审计标准与依据还没有能够出来。所以,这也同样会生成审计的风险。

2 计算机环境下的审计风险的控制

2.1 选择恰当的审计方法与技术

审计工作人员可以从被审计对象的实际情况出发,针对不同的会计信息系统来使用与之相适应的手法。这样对减少审计风险的发生较有裨益。如果被审计对象的会计信息系统无法停止工作状态,我们就考虑使用制度基础法,一是对被审计对象的会计信息系统的控制开展详尽的检查并按照审计人员对一般控制和应用控制审查结果来考虑审计工作所需要侧重的方面以及审计方法。如此一来,不但可以让审计风险得以有效地减少还可以尽可能的降低对被审计系统日常工作的干扰。

2.2 建立统一审计通用数据标准和设立审计测试预留通道

相关职能部门应尽快制定出相应的操作规范设计标准,使会计软件的审计数据有统一的格式。同时,审计的实时性要求在对审计软件进行测试时,应设置审计测试预留通道,更好维护审计数据库,并能直接与会计电算化软件进行数据调用,拓展审计软件应用范围。

2.3 建立继续教育机制

通过教育的方法来改善目前审计从业人员的知识构成可以从根本上防范审计的内在风险。而针对审计人员知识构成的现状,应该注重引进人才,将引进人才与自主培养结合起来,逐步建成审计人才队伍的“金字塔”结构。

总之,开展计算机审计时,审计人员只有做到全面分析计算机审计风险的形成原因并认真落实其防范措施才能够提高审计的工作效率和质量,促使电算化经济信息系统向更高目标迈进。因此,从事审计工作的人员除了要有审计专业知识,还要具备和熟练掌握过硬的计算机知识及丰富的实践经验,才能开创审计工作的新局面。

参考文献

篇6

在电算化会计信息系统中，原先审计所必须审查的大量书面资料都存储在磁性介质中，数据处理的全过程在计算机内运行，所需的审计线索除少数部分打印出来以外，绝大部分是审计人员不能直接看见的。虽然，管理部门从管理的角度出发，仍然保留一部分肉眼可见的审计线索，但这些有限的审计线索，无论在形式上还是在内容上都和手工系统情况下有很大不同。另外，电算化会计信息系统中的审计线索极易被销毁或修改，但又无明显痕迹，使审计发现错误的机会减少，难度增大。

2、审计内容、范围的广泛性

在对电算化会计信息系统的审计中，除了手工审计的内容外，还必须兼顾系统的开发和运行两个方面，包括系统开发各阶段的审查、系统应用程序的审查，如审查系统应用程序的处理功能是否符合会计制度和财经法纪的规定、能否正确完成各项业务的处理、程序控制是否恰当有效等。另外，除对电算化会计信息系统

进行事后审计、监督其合法性和正确性外，还提倡在系统的设计开发阶段，审计人员要对系统的开发进行事前和事中审计。审计内容、范围的广泛性要求审计人员具备相应的知识和技能，而现有很多审计人员并不具备，计算机审计风险也不可避免。

3、内部控制的巨大局限性

现代审计的一大特征就是以测试被审单位的内容控制为基础的抽样审计，内部控制制度的恰当和否直接影响会计信息的真实性和准确性。在手工会计系统中，内部控制主要从两个方面实施摘要：一是从组织形式上按财务部门经济业务的性质分为几个不同的职能组，并且各职能组的人员只负责某一特定的业务领域，也就是对工作人员进行适当的职责分离，各职能组之间互相牵制，不易出现错误和舞弊；二是在会计帐务处理组织程序上，除了要保证凭证、帐簿、报表按一定程序分由不同人员记录、编制外，还要做到帐帐核对，帐证核对、帐实核对、帐表核对，并保证其一致性。从而在很大程度上保证经济业务处理的合理性、合法性。但在电算化会计信息系统中，由于处理工具、信息载体、会计组织都发生了根本的变化，手工会计系统中原有的很多控制办法都已失去意义。电算化会计和手工会计相比，内部控制环境更复杂，甚至有些环境因素超过制度的有效控制能力；建立严格的内部控制的成本要高得多；对内部控制的评价更为困难。内部控制的更大局限性使计算机舞弊有机可乘，增加了计算机审计风险。4、会计软件的大理想性

我国会计软件从无到有、从单一业务处理到集成业务处理、从会计核算走向会计管理，确实取得了巨大成就但也有不足，非凡是针对审计，表现在下面二个方面摘要：一是很多会计软件不具备双向查询功能。在对电算化会计信息系统的审计中，会计软件应答应审计人员按照凭证一明细帐（日记帐）一总帐一报表的顺序进行双向查询，同时还应答应分别对日记帐、明细帐、总帐的期初余额、本期发生额和期末余额进行双向查询。但是目前我国绝大多数的会计软件的查询设计都是单向的，可以实现如由总帐查询明细帐，由明细帐查询凭证等过程，但当需要反问查询时往往很困难。二是会计软件不预留审计测试通道。在审计过程中，审计人员为证实业务处理的实际过程。方法，往往需要进行测试，既虚拟一笔业务输入会计软件，检查其结果和预期结果是否相符。这种方法可以有效地验证核算过程是否和设计一致。但是假如审计人员不能及时消除这些测试的影响，就可能导致会计软件系统数据的混乱。恰当的解决方法是在软件设计时为以后的审计测试留下通道，既方便审计人员的随时测试，也不会造成对整个系统数据的影响。但遗憾的是，几乎所有的会计软件都没为审计测试预留通道。会计软件的欠理想性加大了计算机审计风险。

5、审计取证的动态性

在很多大中型企业中，电算化会计信息系统天天都要结算成本和利润，进行生产动态分析，以供管理人员进行决策参考。系统假如停止运行，会给企业带来巨大的损失。因此，对电算化会计信息系统的审计，往往是在系统运行过程中动态取证。审计人员一方面要及时完成审计任务，另一方面又要不防碍和干扰被审系统的正常运行，这给审计工作带来了一定的难度，也增加了计算机审计风险。

篇7

在电算化会计信息系统中，原先审计所必须审查的大量书面资料都存储在磁性介质中，数据处理的全过程在计算机内运行，所需的审计线索除少数部分打印出来以外，绝大部分是审计人员不能直接看见的。虽然，管理部门从管理的角度出发，仍然保留一部分肉眼可见的审计线索，但这些有限的审计线索，无论在形式上还是在内容上都和手工系统情况下有很大不同。另外，电算化会计信息系统中的审计线索极易被销毁或修改，但又无明显痕迹，使审计发现错误的机会减少，难度增大。

2、审计内容、范围的广泛性

在对电算化会计信息系统的审计中，除了手工审计的内容外，还必须兼顾系统的开发和运行两个方面，包括系统开发各阶段的审查、系统应用程序的审查，如审查系统应用程序的处理功能是否符合会计制度和财经法纪的规定、能否正确完成各项业务的处理、程序控制是否恰当有效等。另外，除对电算化会计信息系统

进行事后审计、监督其合法性和正确性外，还提倡在系统的设计开发阶段，审计人员要对系统的开发进行事前和事中审计。审计内容、范围的广泛性要求审计人员具备相应的知识和技能，而现有很多审计人员并不具备，计算机审计风险也不可避免。

3、内部控制的巨大局限性

现代审计的一大特征就是以测试被审单位的内容控制为基础的抽样审计，内部控制制度的恰当和否直接影响会计信息的真实性和准确性。在手工会计系统中，内部控制主要从两个方面实施摘要：一是从组织形式上按财务部门经济业务的性质分为几个不同的职能组，并且各职能组的人员只负责某一特定的业务领域，也就是对工作人员进行适当的职责分离，各职能组之间互相牵制，不易出现错误和舞弊；二是在会计帐务处理组织程序上，除了要保证凭证、帐簿、报表按一定程序分由不同人员记录、编制外，还要做到帐帐核对，帐证核对、帐实核对、帐表核对，并保证其一致性。从而在很大程度上保证经济业务处理的合理性、合法性。但在电算化会计信息系统中，由于处理工具、信息载体、会计组织都发生了根本的变化，手工会计系统中原有的很多控制办法都已失去意义。电算化会计和手工会计相比，内部控制环境更复杂，甚至有些环境因素超过制度的有效控制能力；建立严格的内部控制的成本要高得多；对内部控制的评价更为困难。内部控制的更大局限性使计算机舞弊有机可乘，增加了计算机审计风险。 4、会计软件的大理想性

我国会计软件从无到有、从单一业务处理到集成业务处理、从会计核算走向会计管理，确实取得了巨大成就但也有不足，非凡是针对审计，表现在下面二个方面摘要：一是很多会计软件不具备双向查询功能。在对电算化会计信息系统的审计中，会计软件应答应审计人员按照凭证一明细帐（日记帐）一总帐一报表的顺序进行双向查询，同时还应答应分别对日记帐、明细帐、总帐的期初余额、本期发生额和期末余额进行双向查询。但是目前我国绝大多数的会计软件的查询设计都是单向的，可以实现如由总帐查询明细帐，由明细帐查询凭证等过程，但当需要反问查询时往往很困难。二是会计软件不预留审计测试通道。在审计过程中，审计人员为证实业务处理的实际过程。方法，往往需要进行测试，既虚拟一笔业务输入会计软件，检查其结果和预期结果是否相符。这种方法可以有效地验证核算过程是否和设计一致。但是假如审计人员不能及时消除这些测试的影响，就可能导致会计软件系统数据的混乱。恰当的解决方法是在软件设计时为以后的审计测试留下通道，既方便审计人员的随时测试，也不会造成对整个系统数据的影响。但遗憾的是，几乎所有的会计软件都没为审计测试预留通道。会计软件的欠理想性加大了计算机审计风险。

5、审计取证的动态性

在很多大中型企业中，电算化会计信息系统天天都要结算成本和利润，进行生产动态分析，以供管理人员进行决策参考。系统假如停止运行，会给企业带来巨大的损失。因此，对电算化会计信息系统的审计，往往是在系统运行过程中动态取证。审计人员一方面要及时完成审计任务，另一方面又要不防碍和干扰被审系统的正常运行，这给审计工作带来了一定的难度，也增加了计算机审计风险。

篇8

一、计算机审计固有风险成因分析

固有风险是指假定不存在的相关内部控制时，某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。计算机的固有风险是计算机会计系统自身带来的风险，审计人员只能评估此风险而不能左右和控制，它的具体表现为：

1.信息化系统的安全保密性差。由于网络自身的一些缺陷，使得网络审计在安全性能上受到极大的挑战。一是人为篡改或破坏数据。在信息化环境下，数据的电子化并以磁性介质为主要存储载体，这使舞弊者或破坏者对数据进行非法修改和删除且不留下审计线索成为可能，这对保证数据的完整性、安全性提出了挑战，给审计监督带来了风险。二是病毒感染易使数据丢失。计算机易感染病毒的脆弱性使审计数据的丢失现象经常发生，从而使出现审计风险的可能性增大。三是黑客入侵导致信息泄露。网络的一大特点就是信息资源的共享性，即网络用户可以通过口令使用其他用户的信息资源。这使得一些计算机黑客为了获取重要的商业秘密，经常利用IP地址进行欺骗，攻击网络系统，进行目标系统的窃取或破坏数据。这使审计人员或审计组织的审计证据和审计结论在保密性方面效果较差。

2.会计电算化系统的多样性导致审计取证困难。目前会计电算化软件有几百种，这些软件基本上符合财政部颁发的《会计核算标准基本功能规范》。但其功能模块的划分、数据库文件的设置、数据处理系统的复杂性、文件记录和系统操作的非规范化，都增加了审计的难度。尤其是用户单位在选择会计电算化软件时，一要考虑保密程度要高，二要考虑自身管理的需要。这都限制了会计信息的透明度，使得内部审计人员在搜集审计证据时十分棘手，极大地增加了审计工作量。

3.会计电算化中审计软件的不完善。一是会计电算化中审计软件种类少。目前我国在审计软件的开发方面正处于起步阶段，各大软件公司在审计软件的研制与开发上投入的人力、物力和财力都很有限。二是审计软件和财务软件的数据接口标准未能得到很好的贯彻执行。中国软件协会财务及企业管理软件分会曾了中国财务软件数据接口标准98-001号，其目的就是为了有助于不同的财务软件之间的交流，便于相互之间的数据交换以及适应用户的特殊要求，为二次开发提供数据接口。但是由于种种原因该标准并没有得到很好的落实。各软件开发商以保护数据安全为借口，将数据进行层层保护，使得会计软件与审计软件的数据交换越来越难，这给审计软件的开发和审计工作带来极大的障碍。

篇9

（一）固有风险的特征

固有风险是指假定不存在相关内部控制时，某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。具体表现为：

1、电子化会计数据存在被滥用、篡改和丢失的可能性。手工系统中，纸质介质上的信息易于辨认、追溯，而在计算机系统中，由于存贮介质的改变，一旦用户非法透过计算机系统的“防火墙”，极易破坏和修改电子数据，且不留蛛丝马迹。计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也会造成实际数据与电子账面数据不相符，增加了固有审计风险的可能性。

2、电子数据存在易于减少或消失审计线索的可能性。手工系统中，会计处理的每一步都有文字记录和经手人签名，审计线索清晰。但在计算机系统中，从原始数据的录入到报表的自动生成，几乎勿需人工干预，传统的审计线索不复存在，为审计师追查审计线索带来了极大困难。

3、原始数据的录入存在错漏的可能性。计算机系统下，大量的记账凭证仍靠人工录入，表面上机制账、证、表的相互平衡可能掩盖了人工录入的错漏。

（二）控制风险的特征

控制风险是指某一账户、交易类别或连同其他账户、交易类别产生错报或漏报，而未能被内部控制防止、发现或纠正的可能性。具体表现为：

1、有意或无意使设置权限密码实现职责分工的约束机制有失效的可能性。手工系统下，通过建立岗位责任中心达到内部控制的目的。在计算机系统下，一是通过划分操作员的责任范围，设置权限和密码实现人员分工；二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于权限设置的重叠或跨责任中心越权设置，使这一控制措施有可能形同虚设。

2、网络传输和数据存贮故障或软件的不完善，会计数据出现异常错误的可能性。手工系统下，这种可能性几乎不存在；而在计算机系统下，这种可能性难以通过有效的内控制度消除，必须靠先进的硬、软件平台以及会计软件本身的自我保护，减少出现异常错误的几率。就多数会计软件看，对数据录入的一致性和正确性控制，会计数据处理的安全性和连续性控制，软件设计还是比较缜密的。但对集成化程度较高的企业级管理软件，数据的共享性和一致性还不尽如人意。另外某些网络平台在实际应用中问题还是不少。

3、会计软件对现金和银行存款的收付业务缺乏实时有效的控制手段。对于企业内部发生的现金和银行存款收付业务，多数软件是通过人工填制记账凭证，从账务系统入口录入到电脑，部分软件虽通过出纳系统实时地录入，但可能与凭证数据不同步。对于银行存款的收付业务，不仅数据难以实时同步，而且存在双方数据不一致的可能性。

（三）检查风险的特征

检查风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报，而未能被实质性测试发现的可能性。具体表现为：

1、会计软件的更新换代，增加了历史文件难以提取的可能性。对账户或交易的重大实质性测试往往离不开企业的历史数据。由于软件版本的更新、平台的迁移，难以从往年账套里提取这些历史数据，迫使审计师不得不从浩如烟海的文档中收集整理历史数据。这不仅降低了审计效率，而且带来了更多的检查风险。

2、内部控制主要依赖软件本身，增加了难以全面检查测试的可能性。手工系统下，对内部控制的测试看得见、摸得着，而在计算机系统下，内部控制融会于软件之中，肉眼无法觉察。这就要求审计师有必要设计一些正常有效的业务数据和一些例外业务数据（不完整、无效的、不合理的、不合逻辑的），来检查测试软件的控制能力。由于多数审计师不是电脑专家，要在有限的审计时间里设计面面俱到的测试数据是不现实的。为此，笔者认为对软件本身的审计检查可纳入软件开发或评审之中，审计师在审计实务中，重点是测试数据的完整性以及操作权限的分配和应用情况。

二、降低审计风险的对策

（一）降低固有风险的对策

可以通过加强内外部安全机制、完善软件功能、必进数据录入技术，降低审计固有风险。

1、加强内外部安全控制机制，降低会计数据被滥用、篡改和丢失的可能性。首先是配备可靠的硬件设备，如增加防火墙设备，增加数据加密及路由加密设备，增加备份硬盘等。其次，获取后续支持软件，如会计软件版本更新支持、加密算法更新的支持等；再次，建立安全的运行环境，为会计系统建立一个相对开放且安全级别较高的专用局域网，合理设置多层加密关口和防火墙；最后是完善管理制度。

2、完善软件的设计，降低减少或消失审计线索的可能性。一是完善操作日记的设计，只有打印存档后才允许删除；二是设置强制备份，如跨期操作必须做备份；三是取消反过账、反结账功能，设计报表与账套数据的关联，并记录报表已打印的次数；四是非经授权不可擅自修改报表的取数公式等。

3、改进数据录入技术，降低数据录入错误的可能性。一是设计磁性单据，尽量采取扫描录入；二是对重要的原始凭证，利用多媒体技术扫描压缩存盘；三是使用自动转账功能，保持数据的正确完整。

（二）降低控制风险的对策

一般来说，控制措施包括制度控制和程序控制，这里主要就权限密码、降低数据异常错误和联网传输问题，谈一些具体措施。

1、分配设置责任中心和操作权限密码，降低约束机制失效的可能性。首先是系统管理员为不同岗位的会计人员设置不同的操作权限和口令；其次是经授权后的各用户应定期修改自己的密码；最后是严格控制跨责任中心设置操作权限。

2、提高网络通信效率和效果，降低软件出现异常错误的可能性。一是选取性能优良的网络操作平台和网络传输配套设备；二是选择基于优良数据库开发平台的会计软件；三是提高软件使用者的计算机应用水平。

3、建立企业与银行之间的网络连接，降低数据不一致的可能性。对企业内部的收付业务借助磁性单据扫描录入，依靠软件的智能化同步自动生成记账凭证；对与银行间的业务，建立广域网连接，实时传送，保证数据同步和一致。

（三）降低检查风险的对策

篇10

审计是专业人员依据审计准则向社会提供的专业服务，其主要目的是对财务报表的公允性发表专家意见，以提高财务报表的可信性。分析现代审计环境和审计技术方法，我们可以发现，在计算机环境下导致审计人员未能有效发现财务报表中存在的重大错报漏报情况，以致发表错误审计意见的技术原因，主要包括如下几个方面：审计主体方面的原因、审计客体方面的原因和审计环境方面的原因。

（一）审计主体方面的原因

1、审计人员的胜任能力有待提高。计算机审计是一项综合性审计，涉及的知识面较广，只依靠审计人员过去的知识和技能是难以胜任的。此时，审计人员不仅要掌握审计、会计、财务方面的知识，还需要掌握计算机硬件、会计软件、信息处理技术及网络等方面的知识。如果审计人员不同时具备这些知识，则在审计取证的过程中，在进行人机对话时，很可能出现审计人员所得与所想的会计信息存在偏差，而这当中也可能隐藏了重要的审计线索，从而加大了审计风险。

2、审计人员的风险意识有待加强。与传统手工审计相比，计算机系统下的审计风险的内容或被赋予了新的内涵，或得到了进一步的补充，集中表现在计算机审计风险隐蔽性强、可控性差、破坏性大等特点上。审计人员必须对此引起足够的重视，如果仅仅为了完成审计任务，而不考虑审计风险内容及其内涵变化，必然会导致审计质量不高或降低审计效率，从而无法客观、公正地评价被审计单位审计期间的财政收支、财务收支的真实性、公允性，加大了审计风险。

（二）审计客体方面的原因

1、被审计单位内部控制制度不健全。在传统手工会计系统中，内部控制通常表现为手工控制，这种控制形式责任明确也便于审计人员的调查和做出客观评价。而在计算机系统环境下，内部控制的内容发生了变化，控制的方式由手工控制变为手工控制和计算机控制相结合。手工控制主要通过设置不同人员的权限来实现，由于现行会计软件多为商品化软件，被审计单位对程序的设计缺乏足够的参与认识，这在一定程度上会影响到被审计单位在人员权限设置上的科学性。另一方面，计算机控制又受到程序设计的影响，程序审计的科学与否直接影响到计算机控制的效果。不法分子也可能通过篡改程序或嵌入非法程序来影响计算机控制的效果。再有，被审计单位的组织形式可能会因为环境的变化而不同程度地调整，在手工会计系统中，被审计单位可以根据需要适时地、轻易地实现对内部控制制度进行修改与完善；而在计算机系统环境下，就难以满足这样的要求。

2、被审计单位故意隐瞒审计所需信息。审计是审计人员运用专业知识和技能，依据审计准则对被审计单位相关资料进行鉴证的过程。因此，在审计过程中，审计人员必须取得被审计单位的配合才能更好地完成审计任务，实现审计目标。在审计取证过程中，如果被审计单位不积极提供充分的资料或隐瞒一些重要的变更事项，如会计程序的变更、人员权限的变更等，势必会影响到审计人员所取得审计证据及其对审计证据评价的客观性，从而加大了审计风险。

（三）审计环境方面的原因。随着现代经济的迅速发展，现代企业的经营规模越来越大，经营活动也越来越复杂。各种高新技术的产业化、各种金融创新工具的广泛运用，使得企业的经营活动和财务报表编报和披露的复杂程度远远超出人们传统的认识程度，特别当企业跨地区、跨国家经营时，其复杂程度就更高。

1、审计的内容不断扩大。在计算机审计中，审计的内容不仅包括传统手工审计环境的内容，还包括对会计软件运行的评估和审核及对程序中安全控制措施的审查，如人员权限的设置等。审计内容和范围的扩大对审计人员提出了更高的要求。

2、审计线索趋于隐蔽。在传统手工审计环境下，审计线索都是以纸质形式存储的，其中所包含的信息是可见的，需要时取得也较为便捷。而在计算机审计环境下，会计信息中有相当一部分是存储在磁性介质中的，它们是看不见、摸不着的，需要时必须通过人机对话，从计算机信息系统中调出所需会计信息，才能加以阅读。会计信息存储的隐蔽性导致信息取得的复杂性，必然会加大审计人员审计风险。

3、会计软件种类繁多。市场中会计软件的品牌、版本众多，审计人员不可能完全熟练地操作所有的会计软件。同时，会计软件的升级，也会影响审计人员对历史数据的提取。软件公司基于保密的考虑，一般也不会轻易地向审计或其他外部人员透露其软件设计程序。这又势必会影响到审计人员对被审计单位会计信息的生成与传递及内部控制的评估。

二、审计风险防范建议

（一）严格筛选风险较低的审计客户。这一要求是指事务所在接受审计客户时，必须对企业的经营环境、经营目标、企业管理层的经营理念和诚信程度以及企业的财务状况和经营成果进行仔细的分析，以把握客户的整体情况和审计风险的可控性。然后，选择审计风险较低的企业作为审计客户。这一要求并不表示在选择客户时，只能接受经营业绩和财务状况很好的企业，而表示只能接受经营者管理层较讲诚信的企业作为审计客户。企业的经营情况好坏不是决定是否接受审计委托的根本条件，因为不管企业经营情况如何，只要企业经营者能按照会计准则和披露要求客观公允地反映其经营成果和财务状况，审计风险是可以控制的；只有当企业管理层为了达到某种目的而执意歪曲财务报表时，审计风险就会变得难以控制，因而必须予以拒绝。

篇11

（二）医院计算机审计现状 随着信息化的普及和计算机技术的广泛应用，计算机网络系统在医院的运用越来越多，HIS系统也已成为审计现代化基础设施之一而被众多医院采用。传统的手工审计遭到冲击，审计环境发生了深刻的变化。（1）审计线索的变化。审计线索贯穿于整个审计工作，具体包括收集审计数据、审核经济业务、实现审计目标，是审计人员工作开展的依据。传统的审计工作通过书面记录的方式完成。在计算机环境下，数据的生成、传递和存储等方式都发生了巨大改变，需要依靠计算机的硬件和软件设备完成读取工作，在增大数据空间、提高效率的同时也加大了数据窜改、覆盖的风险和查找的难度。（2）内控制度的变化。内控制度是审计工作的控制管理。现代审计是建立在制度基础之上，严重依赖医院内部的控制制度。计算机环境的变化，也导致了审计控制环境、程序和系统的变化，控制风险和风险水平都需要重新评估。（3）审计技术的变化。传统审计一般采用审阅、核对、分析、比较、函证、盘点和面谈、系统文档审阅等方法和技术完成会计资料的审计。而现代信息化审计则运用计算机审计方法，主要有在线连续审计技术（如嵌入审计模块）、测试法、平行模拟法等。这些变化都不断冲击着传统审计工作，使医院审计在计算机环境下的风险加大。

（三）医院计算机审计发展趋势 计算机和信息化的发展，改变了传统的审计系统和结构，不断推动着审计和医院的体制制度改革，以适应时代的需要，与时俱进；同时，审计制度的改变也要求医院管理体制的变革，使其与计算机环境下的审计工作相适应。这种改变使医院审计愈来愈朝着信息化、科学化和现代化的方向发展，计算机的深入运用和科学管理模式成为医院工作的发展趋势。网络的普及也使各医院之间联系加强，一些医院也逐渐由单一实体向集团化经营方向发展。

二、医院计算机审计风险

（一）计算机审计风险的含义 审计风险，是指在审计活动中，因未能发现会计等工作中存在的问题发表了不准确的意见，使审计主体蒙受损失的可能性；计算机审计风险，是指在计算机运用普及的环境下，医院审计工作引进计算机管理而增加的计算机运用与管理风险，以及由此带来的审计主体的损失。目前，计算机审计风险主要是：审计对象的变化，审计意识却相对落后，审计手段和审计人员无法适应信息化需求，影响了计算机审计工作质量和效率；审计数据的存储与管理，现阶段大部分医院建立了HIS（Hospital Information System）管理系统，集中以前分散到各个部门的数据，然后由计算机进行统一控制和管理，原始数据的存储方式也由手工记录转变为电脑存储，档案管理形式由纸质改为磁介质，而审计人员计算机运用水平不高和计算机存在的数据窜改、遗漏、覆盖等问题都增加了审计风险；HIS软件在不断更新，使审计工作变化较大，难以有效实现数据管理的统一，存在以偏概全的风险，等等，这些都是计算机运用后医院审计工作所存在的风险。

（二）固有环境风险 固有环境风险是指传统手工审计中，会计电算化系统、计算机硬件等本身存在的漏洞及其所处的环境引起的风险，包括客观因素和主观因素风险。客观因素风险，即计算机的硬件和软件风险。计算机运用后，医院的数据主要存储在计算机硬件磁性材料上，材料的材质以及温度、湿度、灰尘、电压、震动等外部条件的影响，使其遭到损坏，导致审计数据的窜改、丢失等；HIS系统软件本身程序设计的漏洞以及更新换代速度较快，医院审计工作变动大，稳定性降低。主观因素风险，包括审计人员的计算机运用水平较低和系统控制人员出现的工作纰漏，造成数据记录和输出错误；某些不法分子进行黑客、病毒入侵而造成的数据丢失；HIS信息系统的建立与联合、医院数据库管理的系统化，使审计工作自身及其与其他部门的连接性和开放性增强，而造成的危害也更大，存在的风险更高。对于审计环境的固有风险，审计只能评估大小而无法控制。

（三）控制风险 计算机的运用使医院管理实现了信息化，但制度基础发生了改变，内部控制也发生了变化。医院计算机审计控制风险，是指信息系统本身存在的漏洞以及工作人员的水平不高、对系统的控制能力不强而造成的风险，主要包括对HIS系统的控制、人对计算机系统的监督和传统审计控制中的人对人的监督等；此外，计算机审计的控制风险还包括存在信息系统数据被篡改可能等影响因素。尽管实现计算机管理，但仍是由工作人员进行操作，在电算化系统和HIS信息系统中，对收费项目、收费金额、收费数量等数据的窜改更为容易，且不易察觉。医院对工作人员的管理和人对计算机系统的控制都较传统审计更为困难。

（四）检查风险 医院计算机审计检查风险，是指在审计工作检查中，审计人员未能及时发现有关违规违纪问题可能性的风险。审计人员的工作是依据审计准则进行的，但是在审计实务中，某些审计人员为寻求速度，没有严格按照准则规定的审计程序开展工作。例如，在工作开展前没有按照准则要求制定可行性审计方案；对经营中存在的风险缺乏预测和初步估计；审计人员积极性不高，对工作编制敷衍，格式内容等也没有达到准则的规范要求；计算机数据的准确性核查等，这些都可能影响审计报告的客观性和真实性，而缺乏这些工作的检查则会增加审计风险发生的可能性。

三、医院计算机审计风险产生的原因

（一）审计法律不健全 尽管国家已经出台了相关的审计和会计准则用于指导和规范审计工作，但是法律体系任然存在需要完善的地方。尤其是在经济持续快速发展和计算机普及的环境下，旧有的审计法律法规体系和准则体系已经不能及时反映和解决信息化审计中出现的问题，不能适应信息化环境，无法有效指导和规范医院审计的实践，审计的质量是否合格也有待进一步判断，加大了国家和医院审计工作的难度，信息化环境下医院审计风险加大。信息化本身是虚拟的环境，更新快，开放性强，这些都要求现阶段的法律法规的完善和信息化环境下审计机制的制定。

（二）审计工作的复杂性 审计工作的数据搜集、调查、整体和核实以及与此相关的工作作为一套完整体系，本身就十分复杂。目前，许多医院的财务收支真实性不强，提取费用和摊销费用不及时或不准确，固定资产的购进和报废不合规范等，都给审计工作造成了影响。在计算机运用后，信息数据通过电子介质存储，操作较手工审计更为复杂，舞弊行为更为隐秘，难以发觉；若不加审核，必然会影响报告的准确性，所以检查工作的难度也有所增加。随着国家医疗体制改革的深入，许多医院实行重组或兼并来调整资产结构以适应信息环境，其中就会涉及到国家、集体和个人的复杂利益关系。审计人员在工作中还要考虑此方面，如果未能准确的做出相应的职业判断，就有可能造成医院无形资产的流失，审计风险加大。

（三）信息化基础薄弱 目前，我国的信息系统审计工作还处于探索阶段，信息系统的建立与普及有待加强，专业审计的人才队伍力量薄弱，也缺少医院专业审计软件，信息化薄弱。信息化是在网络运用的基础上实现系统任务的完成，因而具有广泛性、虚拟性、实时性等特点，要求审计以HIS等信息系统为保障，以审计软件进行审计工作的运作。但是目前阶段，医院缺乏切实可行的信息系统，审计软件不匹配或运用不当，计算机审计风险增加，严重阻碍了审计的发展。审计软件有助于审计人员在信息化条件下开展审计工作，是提高审计效率与质量的有效工具。我国审计软件的开发设计起步相对较晚，且从事此工作的公司较少，在审计软件与财会软件、HIS的接口等问题上研究效果并不显著，导致医院的审计软件运用不充分，没有最大限度的发挥其作用；且医院缺乏与审计相配套的管理体制，管理信息化程度不高，限制了审计的信息化发展。

（四）审计人员计算机水平不高 计算机的广泛应用使医院审计不再满足于只会手工书面审计的工作人员，而是要求审计人员具备相当程度的计算机知识和运用水平。但是现阶段，医院审计人员素质参差不齐，专业知识和专业技能缺乏，且运用计算机进行审计的水平较低，数据的输入、判断和修改错误较多，往往出现审计结果与实际经营数据不相符合。此外，许多审计人员职业素质较低，尤其是医院工作人员应有的职业道德缺乏，在审计中不能客观公正完成数据存储分析、公正处理和评审审计项目，或的现象时有发生，造成审计风险。要求审计人员精通计算机知识并不现实，但是计算机依赖专家又会降低审计效率和审计准确度，所以在医院审计中，对审计人员的计算机水平要求不高，但是必须具备数据整合和制作表格等基础操作技术。

四、信息化环境下医院审计风险防范

（一）制定审计信息化法律法规 审计法律法规是审计工作的指导和规范，信息化环境下尤其要加强和完善审计法律准则的制定。现阶段，我国审计工作是根据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》和一些相关的审计准则展开的，在信息化环境下，审计部门要在原有法律准则的基础上增加信息化审计要求，进一步完善医院计算机审计程序。首先，在立法上，加强信息化审计法规的制定，规范医院内部审计工作程序，使审计工作人员和审计检查有法可依；其次，国家和医院机构要严格监管，保证法律法规的切实执行。在医院计算机实际审计工作中，审计人员要严格按照准则所规定的程序步骤开展工作，审计机关严格审计工作的管理和监督；在审计工作的底稿编制上，要先制定可行性方案，反映审计人员的专业判断过程和工作流程，详细记录医院审计工作。最后，要建立严格的审查制度，即指导医院的信息化审计工作，并对医院的审计工作规范与审计人员的职业素质进行监督，及时发现计算机审计中出现的新情况和新问题，要求各医院坚持依法审计，规范审计程序，时刻保持对审计风险必要的警惕性；对审计质量加以严格审查，保证医院工作的有序开展。国家要依据国情加强立法，创建和谐的计算机审计法制环境，推动法制部门对电子合同、电子签名、计算机犯罪等方面的立法工作，为医院信息化审计的合法性和规范性提供制度保障；在制定具体准则时，对计算机系统控制评价、审计人员职业素质等可能增加审计风险的部分有所偏重，以此来推动审计信息化法规的制定。

（二）健全医院审计机制 首先，要进行审前调查，即对医院的基础数据和系统进行调查和收集，包括系统开发状况、软硬件系统、业务流程等，获取必要和充分的信息，从而保证审计数据的完整；然后根据审前调查的内容制定切实可行的审计实施方案和审计方法。在系统控制上，还要建立信息化内控制度，加强数据系统管理。其次，要建立检查机制，及时有效地发现计算机审计工作中出现的问题，并及时寻找解决方案，降低审计风险；还可建立分级复核制度，即挑选一部分审计工作经验丰富、计算机审计运用技能较强的审计人员进行层层审核把关，规范计算机审计工作，提高审计底稿质量，保证和提高审计工作的整体质量。为减少数据篡改现象，应建立对电子数据的真实性、完整性负责的承诺制。在审计人员培养机制上，要将人才使用与干部培养，学历培养和实务培养、培养效果和工作奖惩以及内部培养和外部引进相结合，通过层层选拔和培训，提高审计部门、审计人员的计算机审计整体水平。

（三）开发HIS与审计软件 HIS是现阶段医院计算机审计常用的方法，也是未来一段时间内医院审计较为有效的应用系统，所以要加强HIS的开发和审查HIS的内部控制审计，通过检测样本数据法，将原始审计数据转换为标准格式，增强数据的可行性，然后按照要求进行核对、分析和综合归纳。重复测试法和模拟程序法在实际相互结合使用，实现HIS对各项业务处理的合法性、正确性和可追索性，减小HIS数据被篡改的可能性，有效达到审计目标。当一个HIS系统已经完成并投人使用后，要对它进行改进，审计人员应当积极参与HIS系统的开发、设计，在事前和事中都进行相应的审计工作，及早发现并改进审计中出现的问题。此外，还应加快专业审计软件的开发。专业审计软件是针对审计这一特定工作的内容与规范要求，将计算机系统特定化的软件，利用转换工具，更为有效的完成原始数据输入和输出，增强业务数据处理过程中的可见性，并可运用审计常用的工具盒数据资料，将计算机与审计工作有效结合，不仅提高了审计工作的效率，还使审计的独立性得到了有效保障。审计软件的运用有助于审计人员提高工作效率，有效完成大量数据的验算、筛选、分类及汇总等工作，并能按审计人员指定的标准查找记录，更能有效地控制和降低审计风险，所以要积极推动审计软件的更新换代，开发适合审计部门使用的通用审计软件和专业审计软件。

（四）提高审计人员专业水平 新的审计形势对医院审计人员提出了更高的职业素质要求，审计人员不仅要能够运用基本的计算机审计技术工具，还应充分关注数据得以产生的会计信息系统和业务管理信息系统；不仅要具备医疗、会计和审计等多方面的知识技能，而且要掌握电算会计和计算机运用管理方面的基本方法和技术，并能灵活运用；既要有专业背景，又要有把握国家和医院动态的宏观分析能力；还要求审计人员采用计算机审计方法进行审计工作，是一种复合型人才。因此，国家和医院对提高信息化环境下审计人员的素质责任重大，要加强审计人员计算和能力的培训，通过短期培训长期培训、基础培训和中高层培训，及时更新信息化和专业知识；同时要建立建立审计联合机制，即组建由审计人员、计算机专家、信息系统与电子商务专家构成的团队，结合各审计单位和医院部门，由专家对审计人员进行计算机知识技能的教授与培训，加强后续职业教育，激励审计人员学习业务和信息化知识，吸收经验提高计算机水平。其次，新的形势要求审计人员具备高的职业素质和道德素质增强防范计算机审计风险的意识，从而保证审计质量，规范我国审计工作和医院体制。

五、结论

审计法制的不健全，审计人员计算机运用和信息化基础的薄弱以及审计工作本身存在的复杂性，都使得医院审计工作存在着风险；随着科学技术的发展，计算机网络和现代管理技术得到广泛应用，医院计算机审计工作也将面临更多的风险和挑战。在信息化环境下，无论是审计的内控制度、审计工具，还是审计的重点、审计的覆盖面，相较于手工环境下的审计工作更具难度。现代信息技术的运用，数据的安全性、可靠性以及对医院审计人员的素质要求都有所提高。因此必须深化医疗体制的改革，制定和完善计算机审计标准和程序，防范和降低医院计算机审计工作的风险。

篇12

计算机审计对提高审计工作效率和审计质量发挥了重要作用，显示出了可观的应用前景。但计算机审计在人员操作、财务数据和软件开发方面还存在着一定风险，需要审计机关和审计人员加以重视并进行防范。

一、计算机审计风险的涵义

计算机审计风险就是指在计算机审计中所存在的问题，主要是审计人员对被审计单位会计电算化系统进行审计后作，对审计项目发表错误意见，并与被审计事项实际情况相背离的风险。这种风险可能会给审计人员和审计组织造成一定损失，也可能会给被审计单位信息的外部使用者造成损失。

计算机审计风险分为三种：一是人员操作风险。即审计人员在对被审计单位会计电算化系统进行审计时由于没有对终点线索进行很必要复查所产生的风险；二是财务数据风险。即由于被审计单位财务人员采取纂改数据、延迟上传数据时间等手段而造成财务信息不实而产生的风险；三是软件风险。即在审计软件的研发过程中存在漏洞等不完善现象的风险。软件风险的形成是多方面，即有研发人员业务水平、知识构成方面的原因，也有软件审定部门工作方面的原因。其后果也是广泛的，因为审计软件的应用是广泛的。

二、计算机审计风险的形成原因

计算机审计风险的形成原因有很多，主要原因包括以下几个方面：

（一）审计准则及相应制度的空缺

目前，计算机审计相关法律法规还不够完善，对审计机关的权责、被审计机关的义务等规定尚有缺位和空白，如对电子凭证、电子合同的法律效力、保存介质和方式等规定就很不完善。此外，在现有的关于计算机审计的准则中，有的还比较模糊，比如缺乏对计算机系统开发方面的规范等，需要进一步加以完善。

（二）软件设计与操作方面的问题

现有的审计方面的软件（如审计署现场审计实施系统，简称AO；使用SQL-SERVER批处理业务数据等）虽然为审计工作提供了便捷方法，但也存在一些问题，如软件实用性不够强，工作效果不够理想。同时，被审计单位所使用的会计软件也不尽相同，使得财务部门所形成的凭证、报表的格式也各不相同，从而给审计工作造成了一定负担。

（三）审计取证方面的问题

会计电算化信息系统的广泛应用和会计软件快速的更新换代，使得历史财务数据存在的风险加大。一方面，软件和应用系统的更新使历史财务数据的提取比较困难，审计人员不得不从大量的历史档案中查询所需数据，从而降低了审计效率；另一方面，由于审计需要跟踪的审计线索大部分储存于电子介质上，可以被不留痕迹地修改、转移和伪造，使审计发现问题的难度增大，为审计工作增加了风险。

（四）审计人员的业务素质问题

计算机审计包含了会计、审计、网络技术、计算机应用等多个领域的知识。但目前，还比较缺乏具有这些知识的复合型计算机审计人员。

三、防范计算机审计风险的对策

（一）完善审计准则及相应法规

应尽快制定完善有关计算机审计的法律、法规，把电子凭证、电子合同的法律效力，电子信息安全等相关问题以法律法规的形式明确下来。在审计准则方面，应考虑补充对计算机信息系统审计以及网络审计等准则或规范，使计算机审计有法可依，依法进行。

（二）加强软件功能及操作方法

要推动计算机审计快速发展，首先要提高审计软件的质量和实用性。要对审计软件进行优化，广泛收集用户的意见，通过研发人员与审计人员的共同努力总结出审计的算法模型，提高审计软件的功能。简化审计软件的操作方法，使审计人员能够快速掌握和有效运用，提高工作效率。同时，还要对会计软件的功能进行优化，不仅要使会计软件具有统一的数据结构和输入要求，还要保证会计软件能够提供数据双向查询功能，使审计人员在审计时根据被审计单位的情况灵活地选择审计方法。

（三）改善计算机审计的取证方法

首先，要加强信息化管理部门与审计部门的监管，要求各单位的会计电算化信息系统为审计机关提供数据接口，从而使审计人员能够快捷有效地收集被审计单位的电子资料。其次，要改状况审计数据的处理方法。审计人员要对被审计单位会计电算化信息系统的控制情况进行详细掌握，并制订合理的审计方案，对被审计音准的计算机硬件、软件、管理工作等进行审计调查，分析和评价计算机审计风险，确保工作顺利进行。

（四）加强审计人才的培训

在培训中要着重于计算机辅助审计技术的应用，并逐步适时地加入计算机信息系统与网络的安全问题、有关控制及其审计等内容。同时加强高素质复合型审计人员的培养，在信息系统开发审计、网络安全审计等方面加大培训力度。

参考文献：