計算機審計下審計風險的控制探究

◎楊鎮瑜

計算機審計下審計風險的控制探究

◎楊鎮瑜

伴隨計算機信息技術與網絡技術的日益發展，計算機審計下審計風險的形式也愈發多樣化。本文就介紹了計算機審計下審計風險的各種形式，以及計算機審計下被審計單位與審計單位的風險控制對策。

計算機審計涵蓋兩點內容，一點是針對計算機系統本身的審計，包括對其使用成本、系統安裝過程、系統數據配置以及軟硬件系統環境的審計；另一點就是利用計算機系統實施輔助審計，即利用計算機手段來構建專門的審計數據庫，輔助專業部門展開審計工作。所以從廣義上來講，計算機審計應該同時涵蓋了計算機系統本體審計與利用計算機審計兩點。

計算機審計下審計風險形式分析

計算機審計下的審計風險形式多樣，具體來說就包括了以下三種。

被審計單位風險。計算機審計下被審計單位是存在內部控制風險的，因為被審計單位的內部控制本身就以專業規范為主，所以風險防范也是其運行的有效監管目標之一。計算機審計背景下被審計單位雖然會建立全面的過程控制體系，也會確立關鍵控制點，但是其組織管理、應用系統開發與維護、系統數據程序控制等方面還是會面臨各種風險。以數據和程序控制風險為例，它也是企業數據程序管理的重中之重，也是計算機審計中的重要難點。在分析企業數據及程序過程中，計算機審計風險很容易產生，這是因為每天大量的數據輸出輸入會為企業帶來流動數據安全隱患。另外就是程序設定這些隱性設置也可能掩蓋企業真實數據，導致企業審計活動結果失真，失去安全可靠性，生成計算機被審計單位風險。

審計數據采集風險。實際上，計算機審計就是對計算機系統中數據信息的收集過程，特別是它會對傳統審計數據進行采集歸類，基于此可以總結出計算機審計數據采集應該具備目的性、復雜性、可選擇性與可操作性。舉例來說，計算機審計中審計人員可以利用SQL Server這樣的關系數據管理系統來進行數據采集、審計和保存管理。具體來講，就是先利用采集分析軟件來導入數據，然后將數據按文件格式分類進行修改，避免導入過程中產生任何文件錯誤，進而產生計算機審計風險。盡管說理論上是要避免風險，但在實際操作中由于審計數據的不完整和不真實等缺陷，審計數據采集風險還是有一定幾率發生的。

審計軟件風險。審計軟件是計算機審計工作中的重要環節，它能夠輔助審計人員來展開審計調查，比如實施數據導入導出、數據修改等等工作內容。但是，實際的審計軟件操作會存在諸多人工修改錯誤，而且軟件本身也無法兼容數據文件原有形態，所以在數據導入過程中就會出現審計軟件風險。因此審計軟件風險可以歸結為人為風險。

計算機審計下審計風險的控制分析

計算機審計下審計風險可以被分為被審計單位的風險控制與審計單位的風險控制，下文將分別作出分析。

被審計單位的風險控制分析。目前許多企業都已經開始實施信息化管理模式，所以對被審計單位方面的風險控制尤為關注，所以本文認為基于被審計單位的風險控制應該做到以下三點。

要選擇適用于企業應用系統開發與維護的被審計單位風險控制方法，例如目前許多大型企業都會采用ERP、SAP應用系統，這些系統在開發應用方面均較為成熟，但在維護成本方面相對較高，所以企業應該選擇適用于自身狀況的應用系統，從最初的開發到售后環節都要做到穩定管理、穩定維護，將被審計單位風險作為是系統風險中的可控部分來看待和操作。

要正確選擇計算機信息系統，主要是要將正確的計算機信息系統納入到企業的生產、采購、銷售等等環節，實現被審計單位因素與企業生產信息因素的相互一體化管理過程。而在一體化管理過程中，應該盡可能的實現系統軟件控制的完善，比例如要對系統軟件進行不斷升級，以優化計算機信息系統。同時考察所選擇的財務系統軟件是否適合當前企業發展現狀，其開發過程是否合乎客觀規律，軟件功能是否完善等等。這些都能幫助被審計單位降低風險，實現企業系統程序控制流程的完善。再舉例來說，防火墻是企業被審計單位的重要防御系統，但是防火墻也會在傳達網絡數據信息時或多或少攜帶病毒，甚至會帶有黑客的偽裝攻擊信息。所以企業必須不斷更新升級防火墻，并設置更為全面的安全防御網絡，有效降低計算機審計風險。

要強化應用數據采集功能，應用數據采集作為企業計算機審計系統中的重要軟件功能，它所使用的后臺數據較多（例如MSD、Access、MSSQL Server等等），這可能為審計人員在數據處理工作方面帶來巨大壓力，影響審計人員的數據采集工作質量，進而間接影響被審計單位的風險控制。因此企業在這方面應該做到基于能力范圍以內的創新機制設計，例如可以考慮引入ODBC開放數據庫互聯機制（Open Database Connectivity）。該新機制可以基于Microsoft提出全新的數據庫訪問接口標準，并利用自身功能來表達SQL語言，例如將用戶所編寫的SQL語句直接發送到ODBC數據庫中。這一技術流程為SQL Server服務器導入和導出數據文件提供了極大便利，也避免了審計人員手動修改文件可能帶來的人工操作風險，降低系統運作錯誤率。所以說這也為計算機審計下被審計單位的風險控制增加了砝碼。

審計單位的風險控制分析。基于審計單位的風險控制主要強調技術開發和人員培訓，例如企業應該合理完善自身的計算機審計軟件數據庫導入和查詢功能，同時運用信息一體化管理模式來正確處理財務數據，并定期做到對審計程序的有效設計與升級，也可以通過增加生產、技術檢查環節來優化審計單位風險控制內容，確保計算機審計工作全面化、有效化。比如說，企業可以選擇基于信息一體化的審計單位管理系統，突破傳統審計軟件的局限性，針對財務數據來進行審計單位的有機設計與審計，并在其中添加銷售環節、生產環節與檢查程序，豐富企業審計單位風險控制手段，也讓審計軟件在設計應用方面更加全面有效，這就極大程度地控制與規避了計算機審計單位的各種風險因素。

就目前來看，我國計算機審計領域審計風險依然很多，因此國家及相關企業必須形成自主獨立的審計風險控制體系，基于審計單位與被審計單位來優化軟硬件措施，通過更多元化技術手段來有效控制計算機審計風險，保證企業審計內容安全有效。

（作者單位：云南省臨滄市臨翔區審計局）