黄胤强　刘蓉

【摘 要】本文探讨了信息技术环境下审计风险的成因，从风险感知、风险揭示、风险抵御3个层面探讨了审计风险预警机制及方法，进而提出应对审计风险的有效措施，为推广和应用计算机审计提供有益的借鉴。

【关键词】信息技术环境；审计风险；风险预警方法

1 信息技术环境下的审计风险

1.1 涵义

我国注册会计师审计准则对审计风险的定义为：“审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。”在信息化环境下，相关的审计风险可表述为：审计风险是指审计人员在对被审计单位进行审计时，虽然实施了相关的审计程序，但未能发现被审计单位电子数据与事实不符的问题，并为此出具了不恰当意见的审计报告的可能性。

1.2 成因

1.2.1 信息系统自身特性或缺陷引发的重大错报风险

现代信息技术在国民经济中的普及应用，促使被审计单位的财政收支、财务收支及其相关经济业务活动的信息处理均可通过信息系统自动完成，信息系统成为了被审计单位的业务流、资金流与信息流的载体，其软硬件系统的安全性和可靠性对该系统输出的电子数据的质量起着决定性的作用，若信息系统在安全性、可靠性存在问题，必然会输出有瑕疵的电子数据，而电子数据作为数据式审计的数据源，审计人员以此为基础进行的数据分析就会出现偏差，导致误判，引发审计风险。

1.2.2 信息系统内部控制引发的重大错报风险

信息系统能否正常运行且信息处理的质量不仅取决于软硬件平台的安全性、灵活性与开放性，还取决于信息系统内部控制设计的健全性与执行的有效性，其中良好的信息系统控制环境是保证其内部控制得以有效执行的前提与基础。如果被审计单位存在信息化发展战略与业务战略不协调、单位各个部门的负责人与领导大部分都不参与制定或不认同信息化战略、管理者比较因循守旧、信息系统的使用者没有接受与信息技术应用相关的教育或培训或者对软件的功能、操作的便利性不满、单位内部尚未形成崇尚应用信息技术的氛围、治理结构存在不足等影响信息系统控制环境的因素，必然会影响信息系统内部控制的建设与执行，进而影响信息系统的安全性与可靠性而产生重大错报风险。

1.2.3 被审计单位舞弊导致的重大错报风险

被审计单位对部分资料进行隐瞒，刻意回避、或者更改程序，不允许联网或采集数据等现象，这些现象一方面增加了审计人员实施审计工作的难度，另一方面由于被审计单位领导层指使相关人员对系统的程序、数据进行了蓄意的修改并删除相关修改痕迹，或者隐匿部分数据，而由于信息的不对称，审计人员未能识别被审计单位电子数据采集前已存在的瑕疵，从而提高了审计风险水平。

1.2.4 审计人员自身带来的风险

审计人员面对海量且结构复杂、格式繁多的数据，对审计人员的专业技能提出了更高的要求。审计环境和审计对象的变化，要求审计人员应能在审计实践中灵活运用“大数据”、“云计算”、“数据可视化”等新的技术手段进行多维数据分析与数据挖掘，具备应用计算机审计的能力。但是，大多数审计人员并非计算机出身，缺乏相应专业胜任能力，是难以识别被审计单位电子数据的错报的，不可能有足够的能力防范审计风险。

2 信息技术环境下的审计风险预警机制

2.1 实现感知功能的审计预警分析法

审计预警分析主要用于识别被审数据中超出正常区间的异常值，帮助审计人员及时发现可能存在的数据异常。审计人员把重要观测指标按照区间划分等级，并在系统软件中进行设置，对照分析结论，结合有关标准，把背离常规指标数值的事项设置为预警。如系统中的数据达到预警范围，则系统自动给出预警信号。审计人员根据这一预警的提示，可迅速抓住审计重点。

预警分析法可以分为外部预警分析和内部预警分析。外部预警分析主要分析行业状况、法律环境、监管环境情况等。内部预警分析主要分析控制环境、机制运转率、职员队伍稳定性等。预警分析可以使审计人员未雨绸缪、明察秋毫，把握被审单位审计重点，及时采取应对措施。

2.2 实现揭示功能的审计作业方法

揭示功能是风险预警的关键，也是审计人员现场开展数据式审计的必需环节。该阶段进行的数据式审计往往针对规范的财务数据和非规范数据分别采取不同的审计技术方法。

2.2.1 对规范财务数据采用的技术方法

对于财务会计核算软件、报表软件生成的电子财务数据，由于是运用一定的数据库开发平台，按照规定的规则，依据数据字典等产生的规范数据，所以对于这种方式产生的数据均为规范数据，可以采用数据模版、自动转换、账表分析、数据查询、统计分析等方法实施审计。

2.2.2 对非规范数据采用的技术方法

对于非财务会计核算软件、报表软件生成的电子财务数据或在会计报告中描述有关数据，由于不是软件系统产生，一般没有后台数据库支撑，不能直接转换和读取，所以要求审计人员按照规范的格式，增加相关的基础数据表，这些数据主要通过文本数据转换或数据挖掘实现数据的转换采集后才能做进一步审查。

2.3 实现抵御功能的数据式审计技术方法

抵御功能采用的数据式审计技术方法实际上是类防火墙式的审计技术。具体做法有：一是，在被审计单位信息系统上增设了审计人员访问模块，开发审计数据采集系统，实现了自动从被审单位采集审计数据，并导入到审计人员系统平台中；二是，配设了相关的安全控制系统，根据构建安全的VPN网络，审计人员可以通过移动加密狗在审计现场远程与被审单位信息系统连接，以获取审计数据；三是，加大审计专网建设，这样既提供了安全保证，也实现了免疫抵御功能。

3 应对信息技术环境下审计风险的对策

3.1 推进联网审计模式的应用

通过努力构造集数据管理、审计分析、审计工具、审计预警、系统管理五大模块为一体的实时联网审计模式，实现被审计数据的联网获取，从而进行相关系统性分析，初步建立起较为完善、自动化程度高、可扩展性好的数据式审计应用平台。

3.2 打造大数据背景下的数据式审计应用平台

如今很多被审计单位提供的数据量，不仅包含最基层的微观数据，而且包含反映整体的宏观数据，组成越来越庞大复杂的海量数据，审计工作如果不顺势而为、与时俱进地开展大数据分析，将寸步难行。因此，应努力完善数字化审计制度机制，打造大数据背景下的计算机审计应用平台，从数据的报送、归集、分类、分析、应用、保密、存储与读取等各方面进行建章立制，既确保大数据的开发利用有序有效，也保证大数据运用的健康安全，确保大数据环境下的数字化审计顺利推进。

3.3 加强审计人员应用计算机审计的能力

信息化的发展对审计人员提出更高的要求，只有加强审计人员信息化素质的培养，才能有效的应对信息技术环境下的审计风险。具体包括：一是，抓好计算机审计知识普及培训，提高审计人员应对信息技术下审计风险的意识。二是，大力组织开展计算机审计业务培训，以提高审计人员实践能力和创新能力。三是，以点带面，让具有计算机专业背景的审计业务骨干起到带头示范作用，提高整个审计工作团队的计算机审计应用能力。四是，整合审计力量组建专业攻关组，如审前调研组、数据攻关组、审计核查组，探索“集中分析、发现疑点、分散核查、系统研究”的审计模式，以提高审计的质量和效率。

总之，信息技术的应用给审计工作带来了新的挑战。如何构建有效的审计风险预警机制以准确地感知、揭示、抵御信息技术环境下的审计风险，成为摆在审计工作人员面前的一大难题，因此需要进一步探索在审计实践中应用计算机审计的途径，实现对审计风险的有效控制。

【参考文献】

[1]胡加明，李霁友.计算机审计的文献综述[J].中国乡镇企业会计，2011（11）：230-232.

[2]庄明来.计算机审计与信息系统审计之比较[J].会计之友，2010（ 5下）：82-85.

[3]石爱中，孙俭.初释数据式审计模式[J].审计研究，2005（4）：3-6.

[4]刘家义.以科学发展观为指导 推动审计工作全面发展[J].审计研究，2008（3）：3-9.

[5]李殊喆.数据式审计在医院审计工作中的实践[J].审计月刊，2012（9）：32-33.

[6]李春青.我国计算机审计研究的变迁： 基于文献综述[J].南京审计学院学报，2011（1）：46-52.

[7]田孟刚，刘欣桃，马春丽.大型商业银行数据式审计的质量控制探讨[J].农村金融研究，2014（7）：58-62.

[责任编辑：汤静]