会计电算化下的审计风险与防范措施

1、会计电算化下的审计风险与防范措施摘 要 会计电算化技术的广泛应用给独立审计工作带来了系统环境风险、系统控制风险、财务数据风险、审计软件风险和人员操作风险。这需采取措施，完善电算化审计标准与准则，开发，应用高效的审计软件，审计会计电算化的信息系统，审计通用数据接口的设计，提高审计人员的计算机素质，运用不同的电算化审计方法，加强对内部控制的审计，防范会计电算化的审计风险。关键词会计电算化；审计风险；防范措施 会计电算化应用技术和范围的不断扩展，改变了审计环境、审计线索、审计对象和内容、审计技术和方法，同时也给独立审计工作带来了新的挑战，带来了新的审计风险。 一、会计电算化下的审计风险 (一)系统环

2、境风险 系统环境风险是指会计电算化系统本身所处的环境引起的风险，分为软件环境风险和硬件环境风险。目前已经通过评审的会计电算化软件有很多种，但从基本功能模块的划分到数据库文件的设置，从采用工作平台到使用的计算机开发语言，从单项开发到系统开发，从单纯使用关系型数据结构到应用大型数据库资源等，可以说是千姿百态，数据处理系统复杂，使得文件记录和系统操作都缺乏标准和规范。另外，由于信息技术的高速发展，企业信息系统的联机实施系统和数据库管理系统化，使会计系统不再是孤立的和独立的，病毒、黑客的入侵随时可以威胁会计信息系统的安全另一方面，由于计算机硬件设备的千差万别，对会计电算化系统的运行带来影响，也产生了审

3、计风险。 (二)系统控制风险 所谓系统控制风险，是指会计电算化系统的内部控制不严密造成的风险，它属于审计的控制风险。在手工记账条件下，内部财务的控制机制完全是人与人之间的互相监督和控制。实现会计电算化后，这种监督和控制主要表现为人和机器的双重控制，而且以对机器的控制为主由于审计对象和内容的改变，审计人员需要对软件开发商在设计软件时嵌入到程序中的内部控制软件方面的内容进行测试，而这些对审计人员而言是一件难度极大的任务。电子商务的特殊性，网络条件下还要建立许多全新的控制，如外部网及网上交易的安全控制。 (三)财务数据风险 这是指电磁性财务数据被篡改的可能性，它属于审计的控制风险。由于审计线索的改变

4、，在电算化系统中可人为篡改数据而不留痕迹。电算化系统数据来源、公式定义、编制结果、打印格式均采用机内文件的形式，如果有人篡改公式，编制失真的财务报表，然后再将篡改的公式等予以复原，这样很难判定报表数据的正确与真实性。传统审计追踪审查已不适用，审计入手点更多的是靠自己的判断和经验。财务数据风险的产生，使得审计工作或者增加人员，加大工作量，增加审计成本，或者放弃审计项目，增加审计风险。 (四)审计软件风险 它是指计算机审计软件本身缺陷原因造成的风险，属于审计的检查风险。随着新的编程工具的出现以及会计软件的进一步成熟和深化，会计软件在不断升级，而审计软件不能跟上形势，采取的相应升级措施相对滞后，影响

5、了审计效率和审计质量。由于审计人员对开发工具的了解不够和技术人员对审计、会计业务的不热悉，造成审计软件自身的不完善，运行不稳定或审计计算、分析的偏差。 (五)人员操作风险 这是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险审计人员应当对约定计划的计算机硬件、软件和处理系统有充分的了解，并了解电子数据对内部控制的研究与评价和对审计程序的施行有怎样的影响，包括计算机审计技术，避免因业务不熟或者知识不够，遗漏审计证据，出现审计风险。技术人员开发审计软件时，应多方面了解审计软件的开发背景、软件功能等，多请教专家，来弥补自身知识的不足，降低审计风险。 二、会计电算化

6、下审计风险的防范措施 (一)完善电算化审计标准与准则 计算机审计准则是对电算化审计的标准化，是衡量审计工作的标准、提高审计质量的保证。在会计电算化信息系统中，审计难度更高，审计风险更大，过去手工会计系统的审计标准和准则中部分内容已不适应。因此，在制定标准和准则时要在考虑我国国情的前提下大力吸收借鉴国外先进经验。在制定具体准则时应侧重于对计算机系统内部控制的评价、对审计人员应具备的资格、电算化审计过程和相关的审计技术以及证据收集等方面做出规范。建立一系列与新情况相适应的审计准则，包括系统设计、开发、运行、维护等标准，以及相适应的内部控制制度，规范计算机审计业务的发展，并逐步向国际审计准则靠拢，将

7、审计风险降低到可以接受的水平。 (二)开发、应用高效的审计软件 由于审计软件可直接访问被审系统的数据文件，故有助于审计人员对整个数据文件或经选定的数据项目进行复核，有效地执行大量数据的验算、重新分类及汇总等工作，并能按审计人员指定的标准查找记录，详细检查数据文件的内容。为给计算机审计打开通道，就必须不断研究开发审计软件在数据采集方面，特别需要专门从事数据采集的软件，更易访问被审计单位不同介质、不同编码、不同数据库类型的数据库，从中采集审计所需的原始数据，打通“瓶颈”。在数据分析方面，面向特定的领域，开发新的分析工具，如针对企业审计领域的固定资产折旧审计工具和产品利润情况分析工具，针对金融审计领

8、域的利率检查工具等。同时，还要增加一些基于特定方法的分析工具，如账户分析、比较分析等。 (三)提高审计人员的计算机素质 计算机审计要求审计人员应掌握计算机知识及其应用技术，掌握数据处理和管理技术，掌握审计软件的操作方法，并能根据审计过程中所出现的种种问题及时编写出各种测试、审查程序模块。这要求审计机构和会计师事务所应积极引进既有丰富会计、审计知识和经验又具备深层次计算机知识技能的复合型人才。同时，积极开展有关计算机方面的后续教育和培训力度，使现有的审计人员了解认识计算机信息系统环境下内部控制的特点，掌握审计软件的使用、维护等技能，使他们能胜任计算机审计工作。另一方面，积极培养具有复合性知识结构

9、的计算机审计系统开发人员，让计算机技术人员学习会计和审计的基础知识，使他们也加入到审计队伍当中，成为电算化审计的专业人员。 (四)运用不同的电算化审计方法 1制度审计 在会计电算化开展后，整个审计工作的基础，仍然是内部控制制度，制度审计要求我们审查整个会计电算化系统的内部控制制度是否建立，是否完善。从一定程度上讲内部控制的重要性，并不因采用计算机数据处理系统而降低，相反，计算机的应用使内部控制制度显得更为重要，并为内部控制的实施提供了新天地。我们可以从职权制审查、人员素质、硬件及环境控制、计算机运行、程序修改方式及保密措施几个方面予以审查。 2技术审计 在制度审计中发现问题时或者认为有必要对系

10、统设计程序进行实际测试时，需用一系列计算机技术进行技术审计。方法是抽查的形式。可以聘请计算机专业人员与审计人员一起开展工作。先阅读原系统设计的作用范围，注意数据共享的分配方式和传递路线。再阅读程序一览表和变更情况及程序流程图。 3数据审计 即审核会计报表及经济业务处理真实性、合法性。对会计电算化的数据可以用人工审查，如费用分摊、利润分配等进行抽查，验证两者结果是否相符，在实际工作中，进行抽样检查，仍出现差错，可辅以计算机审计，利用计算机的存贮、运算、判断等功能，可以很快缩小审计对象发现问题。一般来说，电算化审计也可采取重点审计的方式。 (五)审计会计电算化的信息系统 审计人员要做好会计电算化过

11、程的事前、事中审计与事后审计。在会计数据处理流程中设置审计控制点，由计算机自动记录有关审计所需线索，提供测试数据和比较标准，有权审查系统的全部技术文档资料，进行系统测试和评价。在系统总体设计过程中，主要审查系统的合法合规性、安全可靠性、可审计性及可维护性。在系统测试过程中，主要测试形成系统核心的程序功能是否达到原定要求，内部控制制度是否严密，程序编写是否符合要求，以及测试数据运行结果是否正确。并应对非法数据的容错功能，以及系统抗干扰和对付突然事故的能力，发生非常事件、遭到破坏后的恢复能力作特别测试。在系统讦价过程中，关键是讦价系统是否达到了原定设计与开发的目标，如果达不到，有权否决整个系统，即

12、授予在系统设计中的审计一票否决权。 (六)加强对内部控制的审计 审计人员在调查会计信息系统内部控制情况时，要对会计信息系统中会计事项的流向、电子数据处理用于特定的会计处理范围以及会计控制的基本结构进行审查，同时，必须识别特定的会计处理与会计控制的关系，以及会计控制中可能发生的缺陷和薄弱环节。对于已经实现了会计电算化的企事业单位，审计人员必须通过调查信息系统的内部控制和实施依据性试验来查明会计控制和管理控制是否有效地发挥作用，并对内部控制的可靠程度进行评价。 审计人员在询证经办人员和负责人，观察运行状况，查询、研究有关系统和程序的文件等内部控制情况时，都应有记录。在编写审计工作底稿时，还应利用系

13、统流程图和特制的“内部控制情况问卷”。在对被审单位的内部控制进行最终讦定之前，要实施符合性测试。 (七)审计通用数据接口的设计 所谓审计通用数据接口，是指要求各种商品化通用软件和专门开发的软件，设计个统一数据结构、统一输入要求和有一定强制性的数据文件。规定在会计软件进行数据输出的同时，必须向该数据文件中输入数据，而且要保证审计通用数据接口文件中的数据永远与会计软件内部生成和输出的数据一致，任何人不得任意修改。技术上要求统一，组织上要求强制，两者缺一不可。从某种意义上说，强制性更为重要。 计算机审计和计算机辅助审计是随着企业业务电子化和审计监督现代化进程而产生并发展起来的它不仅会提高审计检查的效率和质量，而且将开拓审计检查的领域和深度，奠定信息时代审计检查的思路和模式，也是今后