◎杨镇瑜

计算机审计下审计风险的控制探究

◎杨镇瑜

伴随计算机信息技术与网络技术的日益发展，计算机审计下审计风险的形式也愈发多样化。本文就介绍了计算机审计下审计风险的各种形式，以及计算机审计下被审计单位与审计单位的风险控制对策。

计算机审计涵盖两点内容，一点是针对计算机系统本身的审计，包括对其使用成本、系统安装过程、系统数据配置以及软硬件系统环境的审计；另一点就是利用计算机系统实施辅助审计，即利用计算机手段来构建专门的审计数据库，辅助专业部门展开审计工作。所以从广义上来讲，计算机审计应该同时涵盖了计算机系统本体审计与利用计算机审计两点。

计算机审计下审计风险形式分析

计算机审计下的审计风险形式多样，具体来说就包括了以下三种。

被审计单位风险。计算机审计下被审计单位是存在内部控制风险的，因为被审计单位的内部控制本身就以专业规范为主，所以风险防范也是其运行的有效监管目标之一。计算机审计背景下被审计单位虽然会建立全面的过程控制体系，也会确立关键控制点，但是其组织管理、应用系统开发与维护、系统数据程序控制等方面还是会面临各种风险。以数据和程序控制风险为例，它也是企业数据程序管理的重中之重，也是计算机审计中的重要难点。在分析企业数据及程序过程中，计算机审计风险很容易产生，这是因为每天大量的数据输出输入会为企业带来流动数据安全隐患。另外就是程序设定这些隐性设置也可能掩盖企业真实数据，导致企业审计活动结果失真，失去安全可靠性，生成计算机被审计单位风险。

审计数据采集风险。实际上，计算机审计就是对计算机系统中数据信息的收集过程，特别是它会对传统审计数据进行采集归类，基于此可以总结出计算机审计数据采集应该具备目的性、复杂性、可选择性与可操作性。举例来说，计算机审计中审计人员可以利用SQL Server这样的关系数据管理系统来进行数据采集、审计和保存管理。具体来讲，就是先利用采集分析软件来导入数据，然后将数据按文件格式分类进行修改，避免导入过程中产生任何文件错误，进而产生计算机审计风险。尽管说理论上是要避免风险，但在实际操作中由于审计数据的不完整和不真实等缺陷，审计数据采集风险还是有一定几率发生的。

审计软件风险。审计软件是计算机审计工作中的重要环节，它能够辅助审计人员来展开审计调查，比如实施数据导入导出、数据修改等等工作内容。但是，实际的审计软件操作会存在诸多人工修改错误，而且软件本身也无法兼容数据文件原有形态，所以在数据导入过程中就会出现审计软件风险。因此审计软件风险可以归结为人为风险。

计算机审计下审计风险的控制分析

计算机审计下审计风险可以被分为被审计单位的风险控制与审计单位的风险控制，下文将分别作出分析。

被审计单位的风险控制分析。目前许多企业都已经开始实施信息化管理模式，所以对被审计单位方面的风险控制尤为关注，所以本文认为基于被审计单位的风险控制应该做到以下三点。

要选择适用于企业应用系统开发与维护的被审计单位风险控制方法，例如目前许多大型企业都会采用ERP、SAP应用系统，这些系统在开发应用方面均较为成熟，但在维护成本方面相对较高，所以企业应该选择适用于自身状况的应用系统，从最初的开发到售后环节都要做到稳定管理、稳定维护，将被审计单位风险作为是系统风险中的可控部分来看待和操作。

要正确选择计算机信息系统，主要是要将正确的计算机信息系统纳入到企业的生产、采购、销售等等环节，实现被审计单位因素与企业生产信息因素的相互一体化管理过程。而在一体化管理过程中，应该尽可能的实现系统软件控制的完善，比例如要对系统软件进行不断升级，以优化计算机信息系统。同时考察所选择的财务系统软件是否适合当前企业发展现状，其开发过程是否合乎客观规律，软件功能是否完善等等。这些都能帮助被审计单位降低风险，实现企业系统程序控制流程的完善。再举例来说，防火墙是企业被审计单位的重要防御系统，但是防火墙也会在传达网络数据信息时或多或少携带病毒，甚至会带有黑客的伪装攻击信息。所以企业必须不断更新升级防火墙，并设置更为全面的安全防御网络，有效降低计算机审计风险。

要强化应用数据采集功能，应用数据采集作为企业计算机审计系统中的重要软件功能，它所使用的后台数据较多（例如MSD、Access、MSSQL Server等等），这可能为审计人员在数据处理工作方面带来巨大压力，影响审计人员的数据采集工作质量，进而间接影响被审计单位的风险控制。因此企业在这方面应该做到基于能力范围以内的创新机制设计，例如可以考虑引入ODBC开放数据库互联机制（Open Database Connectivity）。该新机制可以基于Microsoft提出全新的数据库访问接口标准，并利用自身功能来表达SQL语言，例如将用户所编写的SQL语句直接发送到ODBC数据库中。这一技术流程为SQL Server服务器导入和导出数据文件提供了极大便利，也避免了审计人员手动修改文件可能带来的人工操作风险，降低系统运作错误率。所以说这也为计算机审计下被审计单位的风险控制增加了砝码。

审计单位的风险控制分析。基于审计单位的风险控制主要强调技术开发和人员培训，例如企业应该合理完善自身的计算机审计软件数据库导入和查询功能，同时运用信息一体化管理模式来正确处理财务数据，并定期做到对审计程序的有效设计与升级，也可以通过增加生产、技术检查环节来优化审计单位风险控制内容，确保计算机审计工作全面化、有效化。比如说，企业可以选择基于信息一体化的审计单位管理系统，突破传统审计软件的局限性，针对财务数据来进行审计单位的有机设计与审计，并在其中添加销售环节、生产环节与检查程序，丰富企业审计单位风险控制手段，也让审计软件在设计应用方面更加全面有效，这就极大程度地控制与规避了计算机审计单位的各种风险因素。

就目前来看，我国计算机审计领域审计风险依然很多，因此国家及相关企业必须形成自主独立的审计风险控制体系，基于审计单位与被审计单位来优化软硬件措施，通过更多元化技术手段来有效控制计算机审计风险，保证企业审计内容安全有效。

（作者单位：云南省临沧市临翔区审计局）