刘　强

[摘要]由于计算机在会计工作和审计实务中应用日渐广泛，使得其安全性风险急剧加大。在计算机系统的基础上分析这其中的安全隐患和风险，同时提出相关的一些防范措施。

[关键词]计算机系统 审计风险 防范

中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0520048－01

计算机技术在会计领域的广泛应用和不断发展，打破了原有的手工会计的格局，使传统的手工会计核算手段和账务处理程序发生了巨大的变革，对以凭证、账簿、报表及其他可见的审计线索为主要审计对象的传统审计在审计技术方法、审计档案保管以及审计人员知识技能等方面都产生了深刻的影响。

一、计算机系统与计算机系统审计风险

计算机系统环境相对于手工会计环境，由于其数据处理的集中程度高、处理速度快、信息储存方式、储存媒介特殊，给审计工作带来了独特的风险。

（一）计算机系统的特征

1．计算机环境下，信息处理过程中的错误有短时间内重复出现的可能。较之手工会计，会计电算化系统处理的集中化，计算机会计信息系统的输入过程比手工系统多了将人可读的数据转换为机器可读代码形式，使得其处理结果发生错误的可能性大大提高，而一旦发生错误，就往往在短时间内产生连锁反应，使得多种文件、账簿，以至整个系统失真。

2．计算机环境下，信息的安全性要求更高。手工条件下，可以将重要的数据文件或记录在纸上的重要信息，保存在安全性较高的物理场所，如企业的保险柜里，以保证数据的安全。在计算机环境下所有的信息都存储在磁、光或计算机硬盘中，而这些存储介质发生损坏的可能性较之账簿等纸质工具发生损坏的可能性大大增加。

3．计算机环境下，舞弊的防范更难。计算机运行速度快、精度高，但同时使系统丧失了人类所具有的对不合逻辑、不合理的以及例外事项的判断和处理能力，因此，要求在数据处理过程中增加多种检查控制。在计算机环境下，数据被擅自篡改也不易留下线索。

（二）计算机系统的审计风险

1983年美国注册会计师协会发布的第47号《审计准则说明书》、《审计风险和重要性》中将审计风险模型确定为：审计风险（AR）=固有风险（IR）×控制风险（CR）×检查风险（DR）。这一观点被世界会计师联合会及包括我国在内的世界多数国家的审计职业界所接受。审计风险会因客户的会计电算化和内部控制的程序化而呈现出新的特征，审计师就应重新规划审计程序，采取相应的对策和辅助审计软件进行审计。

1．计算机系统的固有风险。固有风险是指假定不存在相关内部控制时，某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。2．计算机系统的控制风险。控制风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报，而未能被内部控制防止、发现或纠正的可能性。3．计算机系统的检查风险。检查风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报，而未能被实质性测试发现的可能

性。检查风险是审计人员唯一可以自主确定和控制的风险。

二、计算机系统审计风险的防范

（一）准确评价计算机系统的固有风险

1．评估计算机设备的物理安全性。对于计算机系统的控制，审计人员应了解系统设置是如何依赖这些硬件控制的；操作系统如何利用这些硬件控制；系统如何报告检查出的错误，以及纠正错误的程序。了解计算机系统环境存在的潜在威胁，如管理人员采取了什么措施应对非法入侵，计算机系统是如何防范计算机病毒，有没有具体的应急措施应对意外情况的发生等。

2．评价电子数据的安全性。为了保证信息的安全性，一方面要注意计算机硬件的安全，更主要的是要防止未经授权更改或删除电子数据。所以，要做到：信息的访问权只给单位中指定的人；对会计数据修改或删除的权力只赋予被授权的人；计算机系统能够辨认访问者的访问权限；单位的信息安全部门应密切监视来自外部的恶意攻击，然后定期以报告的形式向信息安全的负责人报告；电子数据要有备份，备份数据能得到妥善保管。

3．检查信息通讯的安全性。为保证一台计算机与其它的设备，如终端或其他的计算机系统之间信息传输信息的完整性，被审计单位至少要对传输的信息加密；接收信息的应用程序与发送信息的线路分开；接收到信息后有信息反馈检查，特殊信息要依靠调制解调器解调传输；企业的内部信息通讯系统与国际互联网之间要有防火墙，以防来自互联网上的恶意攻击。

（二）合理评估计算机系统的控制风险

1．组织管理控制风险的识别。组织控制的关键在于职责的分工。审计人员应检查被审计单位的组织结构、职权和责任的分配情况，如程序与开发系统、计算机操作、输入数据的控制等职责，目的在于确定职责分工是否能够提供有力的内部控制。注册会计师应判断组织管理控制的强弱，对由于职责分工不够而产生的风险作出合理评价。

2．电算化系统开发控制。对于首次接受审计的企业，对电算化系统开发控制的审计，审计人员应了解系统开发前是否有计划，开发系统是否得到授权，是否有相应的程序加以控制等。

3．计算机设备、信息和程序访问权控制可能的缺陷。审计人员要分两个层次了解访问控制：访问控制的程序整体执行情况及人事和工资管理部门执行内部控制的情况。具体要了解公司是否使用了访问控制软件，其能够提供哪些功能，公司有没有专门负责数据安全的部门，对工资水平修改的程序、员工花名册的变化是否只是由人事部门决定，人员变动是否得到了及时记录等。

（三）努力控制检查风险

检查风险是审计人员唯一可控风险，在这个阶段，审计的任务是在准备阶段初步风险评估的基础上，对内部控制进行测试，评价控制风险。对于内部控制的测试主要包括对数据输入控制的测试、数据通讯和数据处理控制的测试和数据输出控制的测试。

1．数据输入控制的审计。审计人员在对数据输入控制进行审计时，应注意检查经济业务的发生是否有适当的批准文件，以保证数据输入的合规性；同时应注意检查所输入数据的正确性，完整性，数据是否被不正确地添加、复制或修改等情况。2．数据通讯和数据处理控制的审计。审计人员对输入过程控制进行审计时，应注意检查经济业务数据的来源是否可靠，资料是否完整、准确，有没有可能被篡改过；检查数据的处理方法是否正确，处理的步骤、使用的程序、结果的保存是否正确无误等。3．数据输出控制的审计。审计人员应注意审查输出的计算机处理结果是否准确无误，输出的结果是否被及时、按照规定提供给有关的人员或部门，是否有必要的手续和记录等。在以上审计程序中，输入有效性测试、处理有效性测试、控制总数，数据的勾稽关系和输出的合理性检验任何一项存在重大缺陷，审计人员要评估控制风险为高风险。

参考文献：

[1]石爱中、胡继荣，审计研究，经济科学出版社，2002.

[2]杨占芳，计算机信息系统的内部控制，中州审计，2004.8.

[3]肖忠，浅谈计算机系统审计的证据收集方法，计算机与现代化，2004.8.

[4]刘汝焯等，计算机审计技术和方法，清华大学出版社，2004.

[5]叶陈刚、李相志，审计理论与实务，中信出版社，2005.

[6]丁瑞玲，计算机处理系统下的内部控制及审计，广西会计，2002.7.