计算机辅助审计风险分析及对策

计算机辅助审计风险分析及对策研究1

摘要：计算机运用普及的情况下，计算机辅助审计亦广泛推行。计算机审计与传统审计存在的差异导致其审计过程、审计风险的差异。传统审计的风险防范方式不再适用于当代的计算机审计。本文就计算机审计过程中可能存在的审计风险，从信息系统和计算机辅助审计两个方面进行分析，并从审计调查和审计实施的两个阶段分别提出调整审计组成员、前期调查充分、获取数据方式多样和加强数据验证、深度分析数据、严格检查内控制度及执行情况、多种方式取证等对策，减低计算机辅助审计的审计风险。

关键字：计算机辅助审计信息系统审计风险对策

随着大数据时代的到来,在审计业务中计算机的使用越来越普遍,其重要性日渐凸显,计算机辅助审计的审计思维、审计技术、审计方法也在经历着改变。信息技术的进步,推动着会计、审计行业的快速发展,会计、审计人员不得不创新其业务方法,利用信息化、大数据等现代科技技术以达到高效率的业务要求。计算机审计的运用缩短了收集、分析审计证据的时间,大大提高了审计效率,但与此同时也为审计质量带来了新的挑战。

1.计算机审计步骤

在计算机辅助审计的情况下，其审计基本过程与传统的审计是相同的，同样可以分为以下三个阶段：审计准备阶段、审计实施阶段、审计终结阶段。

（1）审计准备阶段

注册会计师在进行审计业务前，应先对审计单位的组织机构进行了解，并调查清楚计算机在该组织机构内的分布及使用情况，然后在依据审计目标和重要性程度选择需要仔细审查的子系统。确定需要的数据后，采取可行的手段，收集所需的会计业务完整数据，了解被审计单位的整体情况。

在对收集的数据进行清理、转换和验证等一系列程序后，筛选合适审计需求的相关数据，且应当保证该数据的真实性、完整性、正确性。

（2）审计实施阶段

注册会计师对收集筛选的数据实施链接、投影等操作后可生成“审计中间表”，该表可为后续的审计阶段的基础信息。

在此过程中，运用审计模型对数据进行分析，可能直接发现问题、查证其真实情况，也有可能找到有关的问题线索。在不同情况下，延伸的时候可直接取证，也可进一步核查取证，并验证和查实相关问题。

（3）审计终结阶段

在通过数据分析就可以直接查证问题的情况下，注册会计师应当直接取证于计算机数据。针对无法直接查证问题的情况，应依据发现的问题进行进一步审计程序以获取相关审计证据。

注册会计师在编制审计报告时，应当对所有的证明材料和审计工作底稿进行归纳总结，并提出正确的审计意见，与审计方案和审计重点结合，形成对被审计单位的审计报告。

2.审计风险

2.1 信息系统审计的风险

（1）信息系统内部控制导致的审计风险

在传统会计中，企业主要通过设置公司职员之间的业务处理权限来实现内部控制。但是，在信息统计中，信息加工工具、信息载体、会计组织等环境产生了变动，导致企业内部控制内容、范围、对象复杂化。由于信息系统中的权限管理是从传统内部控制中的职权管理变化而来的，注册会计师对企业内部控制的评估和测试更加困难。除此之外，在获取审计证据的过程中，如存在被审计单位刻意隐瞒重要的变更事项，同样会对审计证据的获取和评价产生影响，导致审计风险的增大。

（2）审计人员计算机知识的缺失导致的审计风险。

在信息化环境中，注册会计师了解计算机硬件、软件和处理系统的同时，并注意了解企业业务循环过程对信息化的依赖程度，对业务系统和财务软件的关联情况进行分析。因此，注册会计师对计算机知识和信息处理技能的运用应当充分的掌握。计算机信息系统运用日趋复杂，有限的专业技能将会导致审计人员无法完全的掌握被审计单位的会计信息，导致审计风险增加。

（3）审计线索的隐蔽化导致的审计风险。

在手工会计的情况下，会计信息都是以传统的纸质形式储存保管的，然而，在信息系统中，注册会计师只有通过计算机信息处理系统才可取得所需的电子会计资料。修改信息系统中储存的会计数据十分容易，且没有明显的篡改痕迹，隐蔽的信息储存致使取得信息的过程复杂化，加大了审计风险。

技术的快速发展导致了软件的不断更新、设备的不断更换，在审计过程中，审计人员很难从信息系统中提取完整准确的历史账套，如需要则只能通过其他方式收集整理历史数据，这样拉低了审计工作的效率，且很难保证所搜寻的数据的真实性、准确性，增加了审计风险。

2.2 计算机辅助审计的风险

（1）由审计技术的复杂性导致的审计风险。

在计算机辅助审计的条件下，被审计单位采用的财务软件类型众多，功能各异，在功能、程序处理上都存在差别，因而要求运用的审计技术和方法也不一样，如果不能采取适当的审计技术和方法，就必然会带来审计风险。

（2）由人员操作不当导致的审计风险。

在使用财务软件的情况下，大量的记账凭证仍需要会计人员手动录入，如果审计人员由于操作失误，未能发现被审计单位人工录入的错、漏、重，将会影响审计判断和检查，从而增加了审计风险。

（3）由多样化的会计电算化系统导致的审计风险。

不同行业有不同管理模式，所使用的管理型软件不仅具备核算功能，还设置了许多为管理服务的数据库、知识库、模型库、方法库和用户接口等，各种数据错综复杂，数据结构不尽相同。但由于缺乏标准化、规范化，在增加审计难度的同时，也增加了审计风险。

（4）由审计软件的缺陷导致的审计风险。

审计软件在设计和制作等方面存在的漏洞所造成的审计风险叫做软件风险。主要因素有：审计软件没有通过有关部门的评审就投入使用；审计软件的升级相对滞后，造成审计与会计核算方法不一致等。

3.对策

为了降低审计检查风险，达到降低审计风险的目的，在计算机辅助审计的过程中，应当规定相关的质量控制点，进行风险防范，进一步有效利用计算机审计的优势，提高审计效率，保证审计质量。

3.1 审前调查中的风险防范

（1）审计组人员组成

计算机审计的运用要求注册会计师是精通会计审计知识、掌握计算机网络技术的复合型人才，熟练运用会计信息系统。注册会计师如不具备上述特征，不能熟练运用会计电算化软件，缺乏数据库知识、网络知识，在计算机审计过程中就无法根据电子财务信息准确、快速的分辨对错，因此造成对数据分析的不准确，无法找出隐藏在电子数据后的问题和线索，导致审计结果与现实情况不符，形成错误的审计报告。

因此，我国新出台的审计准则在第二十三条规定：“审计机关应当合理配备审计人员，组成审计组，确保其在整体上具备与审计项目相适应的职业胜任能力。”国家同时还要求“被审计单位的信息技术对实现审计目标有重大影响的，审计组的整体胜任能力应当包括信息技术方面的胜任能力。”

（2）被审计单位信息化基本情况调查

实施计算机审计时，先要获得被审计单位的支持配合，这项才能减少审计风险。如果被审计单位的职员不进行配合，其对企业使用的信息系统和相关数据进行隐藏、加密、改动，甚至是有意删除某些重要文件等，将会导致后续的审计工作无法顺利进行。

除上述要求外，审计人员还应当针对企业的信息系统进行充足的前期调查，保证后续审计工作的开展。审计人员应当主动收集学习有关政策和法律法规，通过讨论或座谈会的形式，进一步了解被审计单位的内部控制制度及实行情况，了解被审计单位使用的信息系统软件情况与数据储存、备份情况等。注册会计师依据对被审计单位的调查结果，运用其专业知识，确定审计目标、审计重点，编制计算机辅助审计的审计计划。

（3）审计数据获取

审计人员依据审计前期获得的被审计单位的资料，确定审计数据采集的合理范围，选择数据采集的最佳方式，保证选择的数据能确保审计计划规定的各项程序的实施。审计人员应当提交正式的书面数据需求说明书给被审计单位，明确进行数据采集的系统名称、数据库、数据传输格式、数据所在时间段以及数据移交方法、数据移交时间、双方应承担的有关责任等数据采集相关内容。

间接采集方式是数据采集普遍使用的方式，被审计单位依照注册会计师提交的数据需求说明书，直接向审计人员提供企业的相关数据文件备份。在此过程中，审计人员监督被审计单位的人员完成实际的数据采集工作，一般情况下，审计人员不直接操作被审计单位的信息系统，以规避风险。如遇特殊情况，被审计单位无可进行数据采集的人员，且其使用的软件为成熟的商业软件，则审计人员可以在领导批复准允的条件下，与被审计单位协商选择合适的时间段，亲自完成数据采集工作，获取审计所需数据的备份文件。

进行数据的移交时，被审计单位应当清晰地划分审计责任和会计责任，保证该数据的真实性和完整性。审计人员在此过程中应当要求被审计单位将移交的数据进行备份，方便日后在其对数据分析结果持怀疑态度时进行核查。

3.2 审计实施过程中的风险防范

（1）数据真实性、完整性和准确性验证

获取数据后，第一步应当检查数据中不符合规范的地方：文字内容缺失、各数据表之间存爱互相矛盾或不相符之处等，与此同时，各表字段类型应当符合规范。

针对财务数据，审计人员应当自行计算审计年度内的凭证借贷总额，制作各会计科目年度余额表，将表中数值与获得纸质报表材料核对，及时发现不相符数据，同时还应当对科目表与余额表、凭证表的科目代码的一致性进行核查。针对业务数据，审计人员应当业务记录内容是否缺失，如：业务日期、业务内容等。在前期对被审计单位的业务了解的基础上，核查数据表以及业务流的完整性。