◎楊鎮(zhèn)瑜

計算機審計下審計風險的控制探究

◎楊鎮(zhèn)瑜

伴隨計算機信息技術與網絡技術的日益發(fā)展，計算機審計下審計風險的形式也愈發(fā)多樣化。本文就介紹了計算機審計下審計風險的各種形式，以及計算機審計下被審計單位與審計單位的風險控制對策。

計算機審計涵蓋兩點內容，一點是針對計算機系統(tǒng)本身的審計，包括對其使用成本、系統(tǒng)安裝過程、系統(tǒng)數據配置以及軟硬件系統(tǒng)環(huán)境的審計；另一點就是利用計算機系統(tǒng)實施輔助審計，即利用計算機手段來構建專門的審計數據庫，輔助專業(yè)部門展開審計工作。所以從廣義上來講，計算機審計應該同時涵蓋了計算機系統(tǒng)本體審計與利用計算機審計兩點。

計算機審計下審計風險形式分析

計算機審計下的審計風險形式多樣，具體來說就包括了以下三種。

被審計單位風險。計算機審計下被審計單位是存在內部控制風險的，因為被審計單位的內部控制本身就以專業(yè)規(guī)范為主，所以風險防范也是其運行的有效監(jiān)管目標之一。計算機審計背景下被審計單位雖然會建立全面的過程控制體系，也會確立關鍵控制點，但是其組織管理、應用系統(tǒng)開發(fā)與維護、系統(tǒng)數據程序控制等方面還是會面臨各種風險。以數據和程序控制風險為例，它也是企業(yè)數據程序管理的重中之重，也是計算機審計中的重要難點。在分析企業(yè)數據及程序過程中，計算機審計風險很容易產生，這是因為每天大量的數據輸出輸入會為企業(yè)帶來流動數據安全隱患。另外就是程序設定這些隱性設置也可能掩蓋企業(yè)真實數據，導致企業(yè)審計活動結果失真，失去安全可靠性，生成計算機被審計單位風險。

審計數據采集風險。實際上，計算機審計就是對計算機系統(tǒng)中數據信息的收集過程，特別是它會對傳統(tǒng)審計數據進行采集歸類，基于此可以總結出計算機審計數據采集應該具備目的性、復雜性、可選擇性與可操作性。舉例來說，計算機審計中審計人員可以利用SQL Server這樣的關系數據管理系統(tǒng)來進行數據采集、審計和保存管理。具體來講，就是先利用采集分析軟件來導入數據，然后將數據按文件格式分類進行修改，避免導入過程中產生任何文件錯誤，進而產生計算機審計風險。盡管說理論上是要避免風險，但在實際操作中由于審計數據的不完整和不真實等缺陷，審計數據采集風險還是有一定幾率發(fā)生的。

審計軟件風險。審計軟件是計算機審計工作中的重要環(huán)節(jié)，它能夠輔助審計人員來展開審計調查，比如實施數據導入導出、數據修改等等工作內容。但是，實際的審計軟件操作會存在諸多人工修改錯誤，而且軟件本身也無法兼容數據文件原有形態(tài)，所以在數據導入過程中就會出現(xiàn)審計軟件風險。因此審計軟件風險可以歸結為人為風險。

計算機審計下審計風險的控制分析

計算機審計下審計風險可以被分為被審計單位的風險控制與審計單位的風險控制，下文將分別作出分析。

被審計單位的風險控制分析。目前許多企業(yè)都已經開始實施信息化管理模式，所以對被審計單位方面的風險控制尤為關注，所以本文認為基于被審計單位的風險控制應該做到以下三點。

要選擇適用于企業(yè)應用系統(tǒng)開發(fā)與維護的被審計單位風險控制方法，例如目前許多大型企業(yè)都會采用ERP、SAP應用系統(tǒng)，這些系統(tǒng)在開發(fā)應用方面均較為成熟，但在維護成本方面相對較高，所以企業(yè)應該選擇適用于自身狀況的應用系統(tǒng)，從最初的開發(fā)到售后環(huán)節(jié)都要做到穩(wěn)定管理、穩(wěn)定維護，將被審計單位風險作為是系統(tǒng)風險中的可控部分來看待和操作。

要正確選擇計算機信息系統(tǒng)，主要是要將正確的計算機信息系統(tǒng)納入到企業(yè)的生產、采購、銷售等等環(huán)節(jié)，實現(xiàn)被審計單位因素與企業(yè)生產信息因素的相互一體化管理過程。而在一體化管理過程中，應該盡可能的實現(xiàn)系統(tǒng)軟件控制的完善，比例如要對系統(tǒng)軟件進行不斷升級，以優(yōu)化計算機信息系統(tǒng)。同時考察所選擇的財務系統(tǒng)軟件是否適合當前企業(yè)發(fā)展現(xiàn)狀，其開發(fā)過程是否合乎客觀規(guī)律，軟件功能是否完善等等。這些都能幫助被審計單位降低風險，實現(xiàn)企業(yè)系統(tǒng)程序控制流程的完善。再舉例來說，防火墻是企業(yè)被審計單位的重要防御系統(tǒng)，但是防火墻也會在傳達網絡數據信息時或多或少攜帶病毒，甚至會帶有黑客的偽裝攻擊信息。所以企業(yè)必須不斷更新升級防火墻，并設置更為全面的安全防御網絡，有效降低計算機審計風險。

要強化應用數據采集功能，應用數據采集作為企業(yè)計算機審計系統(tǒng)中的重要軟件功能，它所使用的后臺數據較多（例如MSD、Access、MSSQL Server等等），這可能為審計人員在數據處理工作方面帶來巨大壓力，影響審計人員的數據采集工作質量，進而間接影響被審計單位的風險控制。因此企業(yè)在這方面應該做到基于能力范圍以內的創(chuàng)新機制設計，例如可以考慮引入ODBC開放數據庫互聯(lián)機制（Open Database Connectivity）。該新機制可以基于Microsoft提出全新的數據庫訪問接口標準，并利用自身功能來表達SQL語言，例如將用戶所編寫的SQL語句直接發(fā)送到ODBC數據庫中。這一技術流程為SQL Server服務器導入和導出數據文件提供了極大便利，也避免了審計人員手動修改文件可能帶來的人工操作風險，降低系統(tǒng)運作錯誤率。所以說這也為計算機審計下被審計單位的風險控制增加了砝碼。

審計單位的風險控制分析?；趯徲媶挝坏娘L險控制主要強調技術開發(fā)和人員培訓，例如企業(yè)應該合理完善自身的計算機審計軟件數據庫導入和查詢功能，同時運用信息一體化管理模式來正確處理財務數據，并定期做到對審計程序的有效設計與升級，也可以通過增加生產、技術檢查環(huán)節(jié)來優(yōu)化審計單位風險控制內容，確保計算機審計工作全面化、有效化。比如說，企業(yè)可以選擇基于信息一體化的審計單位管理系統(tǒng)，突破傳統(tǒng)審計軟件的局限性，針對財務數據來進行審計單位的有機設計與審計，并在其中添加銷售環(huán)節(jié)、生產環(huán)節(jié)與檢查程序，豐富企業(yè)審計單位風險控制手段，也讓審計軟件在設計應用方面更加全面有效，這就極大程度地控制與規(guī)避了計算機審計單位的各種風險因素。

就目前來看，我國計算機審計領域審計風險依然很多，因此國家及相關企業(yè)必須形成自主獨立的審計風險控制體系，基于審計單位與被審計單位來優(yōu)化軟硬件措施，通過更多元化技術手段來有效控制計算機審計風險，保證企業(yè)審計內容安全有效。

（作者單位：云南省臨滄市臨翔區(qū)審計局）