計算機系統(tǒng)審計：風(fēng)險及其防范

劉　強

[摘要]由于計算機在會計工作和審計實務(wù)中應(yīng)用日漸廣泛，使得其安全性風(fēng)險急劇加大。在計算機系統(tǒng)的基礎(chǔ)上分析這其中的安全隱患和風(fēng)險，同時提出相關(guān)的一些防范措施。

[關(guān)鍵詞]計算機系統(tǒng) 審計風(fēng)險 防范

中圖分類號：TP3文獻標(biāo)識碼：A文章編號：1671－7597（2009）0520048－01

計算機技術(shù)在會計領(lǐng)域的廣泛應(yīng)用和不斷發(fā)展，打破了原有的手工會計的格局，使傳統(tǒng)的手工會計核算手段和賬務(wù)處理程序發(fā)生了巨大的變革，對以憑證、賬簿、報表及其他可見的審計線索為主要審計對象的傳統(tǒng)審計在審計技術(shù)方法、審計檔案保管以及審計人員知識技能等方面都產(chǎn)生了深刻的影響。

一、計算機系統(tǒng)與計算機系統(tǒng)審計風(fēng)險

計算機系統(tǒng)環(huán)境相對于手工會計環(huán)境，由于其數(shù)據(jù)處理的集中程度高、處理速度快、信息儲存方式、儲存媒介特殊，給審計工作帶來了獨特的風(fēng)險。

（一）計算機系統(tǒng)的特征

1．計算機環(huán)境下，信息處理過程中的錯誤有短時間內(nèi)重復(fù)出現(xiàn)的可能。較之手工會計，會計電算化系統(tǒng)處理的集中化，計算機會計信息系統(tǒng)的輸入過程比手工系統(tǒng)多了將人可讀的數(shù)據(jù)轉(zhuǎn)換為機器可讀代碼形式，使得其處理結(jié)果發(fā)生錯誤的可能性大大提高，而一旦發(fā)生錯誤，就往往在短時間內(nèi)產(chǎn)生連鎖反應(yīng)，使得多種文件、賬簿，以至整個系統(tǒng)失真。

2．計算機環(huán)境下，信息的安全性要求更高。手工條件下，可以將重要的數(shù)據(jù)文件或記錄在紙上的重要信息，保存在安全性較高的物理場所，如企業(yè)的保險柜里，以保證數(shù)據(jù)的安全。在計算機環(huán)境下所有的信息都存儲在磁、光或計算機硬盤中，而這些存儲介質(zhì)發(fā)生損壞的可能性較之賬簿等紙質(zhì)工具發(fā)生損壞的可能性大大增加。

3．計算機環(huán)境下，舞弊的防范更難。計算機運行速度快、精度高，但同時使系統(tǒng)喪失了人類所具有的對不合邏輯、不合理的以及例外事項的判斷和處理能力，因此，要求在數(shù)據(jù)處理過程中增加多種檢查控制。在計算機環(huán)境下，數(shù)據(jù)被擅自篡改也不易留下線索。

（二）計算機系統(tǒng)的審計風(fēng)險

1983年美國注冊會計師協(xié)會發(fā)布的第47號《審計準(zhǔn)則說明書》、《審計風(fēng)險和重要性》中將審計風(fēng)險模型確定為：審計風(fēng)險（AR）=固有風(fēng)險（IR）×控制風(fēng)險（CR）×檢查風(fēng)險（DR）。這一觀點被世界會計師聯(lián)合會及包括我國在內(nèi)的世界多數(shù)國家的審計職業(yè)界所接受。審計風(fēng)險會因客戶的會計電算化和內(nèi)部控制的程序化而呈現(xiàn)出新的特征，審計師就應(yīng)重新規(guī)劃審計程序，采取相應(yīng)的對策和輔助審計軟件進行審計。

1．計算機系統(tǒng)的固有風(fēng)險。固有風(fēng)險是指假定不存在相關(guān)內(nèi)部控制時，某一賬戶或交易類別單獨或連同其他賬戶、交易類別產(chǎn)生錯報或漏報的可能性。2．計算機系統(tǒng)的控制風(fēng)險?？刂骑L(fēng)險是指某一賬戶或交易類別或連同其他賬戶、交易類別產(chǎn)生錯報或漏報，而未能被內(nèi)部控制防止、發(fā)現(xiàn)或糾正的可能性。3．計算機系統(tǒng)的檢查風(fēng)險。檢查風(fēng)險是指某一賬戶或交易類別或連同其他賬戶、交易類別產(chǎn)生錯報或漏報，而未能被實質(zhì)性測試發(fā)現(xiàn)的可能

性。檢查風(fēng)險是審計人員唯一可以自主確定和控制的風(fēng)險。

二、計算機系統(tǒng)審計風(fēng)險的防范

（一）準(zhǔn)確評價計算機系統(tǒng)的固有風(fēng)險

1．評估計算機設(shè)備的物理安全性。對于計算機系統(tǒng)的控制，審計人員應(yīng)了解系統(tǒng)設(shè)置是如何依賴這些硬件控制的；操作系統(tǒng)如何利用這些硬件控制；系統(tǒng)如何報告檢查出的錯誤，以及糾正錯誤的程序。了解計算機系統(tǒng)環(huán)境存在的潛在威脅，如管理人員采取了什么措施應(yīng)對非法入侵，計算機系統(tǒng)是如何防范計算機病毒，有沒有具體的應(yīng)急措施應(yīng)對意外情況的發(fā)生等。

2．評價電子數(shù)據(jù)的安全性。為了保證信息的安全性，一方面要注意計算機硬件的安全，更主要的是要防止未經(jīng)授權(quán)更改或刪除電子數(shù)據(jù)。所以，要做到：信息的訪問權(quán)只給單位中指定的人；對會計數(shù)據(jù)修改或刪除的權(quán)力只賦予被授權(quán)的人；計算機系統(tǒng)能夠辨認(rèn)訪問者的訪問權(quán)限；單位的信息安全部門應(yīng)密切監(jiān)視來自外部的惡意攻擊，然后定期以報告的形式向信息安全的負(fù)責(zé)人報告；電子數(shù)據(jù)要有備份，備份數(shù)據(jù)能得到妥善保管。

3．檢查信息通訊的安全性。為保證一臺計算機與其它的設(shè)備，如終端或其他的計算機系統(tǒng)之間信息傳輸信息的完整性，被審計單位至少要對傳輸?shù)男畔⒓用?；接收信息的?yīng)用程序與發(fā)送信息的線路分開；接收到信息后有信息反饋檢查，特殊信息要依靠調(diào)制解調(diào)器解調(diào)傳輸；企業(yè)的內(nèi)部信息通訊系統(tǒng)與國際互聯(lián)網(wǎng)之間要有防火墻，以防來自互聯(lián)網(wǎng)上的惡意攻擊。

（二）合理評估計算機系統(tǒng)的控制風(fēng)險

1．組織管理控制風(fēng)險的識別。組織控制的關(guān)鍵在于職責(zé)的分工。審計人員應(yīng)檢查被審計單位的組織結(jié)構(gòu)、職權(quán)和責(zé)任的分配情況，如程序與開發(fā)系統(tǒng)、計算機操作、輸入數(shù)據(jù)的控制等職責(zé)，目的在于確定職責(zé)分工是否能夠提供有力的內(nèi)部控制。注冊會計師應(yīng)判斷組織管理控制的強弱，對由于職責(zé)分工不夠而產(chǎn)生的風(fēng)險作出合理評價。

2．電算化系統(tǒng)開發(fā)控制。對于首次接受審計的企業(yè)，對電算化系統(tǒng)開發(fā)控制的審計，審計人員應(yīng)了解系統(tǒng)開發(fā)前是否有計劃，開發(fā)系統(tǒng)是否得到授權(quán)，是否有相應(yīng)的程序加以控制等。

3．計算機設(shè)備、信息和程序訪問權(quán)控制可能的缺陷。審計人員要分兩個層次了解訪問控制：訪問控制的程序整體執(zhí)行情況及人事和工資管理部門執(zhí)行內(nèi)部控制的情況。具體要了解公司是否使用了訪問控制軟件，其能夠提供哪些功能，公司有沒有專門負(fù)責(zé)數(shù)據(jù)安全的部門，對工資水平修改的程序、員工花名冊的變化是否只是由人事部門決定，人員變動是否得到了及時記錄等。

（三）努力控制檢查風(fēng)險

檢查風(fēng)險是審計人員唯一可控風(fēng)險，在這個階段，審計的任務(wù)是在準(zhǔn)備階段初步風(fēng)險評估的基礎(chǔ)上，對內(nèi)部控制進行測試，評價控制風(fēng)險。對于內(nèi)部控制的測試主要包括對數(shù)據(jù)輸入控制的測試、數(shù)據(jù)通訊和數(shù)據(jù)處理控制的測試和數(shù)據(jù)輸出控制的測試。

1．?dāng)?shù)據(jù)輸入控制的審計。審計人員在對數(shù)據(jù)輸入控制進行審計時，應(yīng)注意檢查經(jīng)濟業(yè)務(wù)的發(fā)生是否有適當(dāng)?shù)呐鷾?zhǔn)文件，以保證數(shù)據(jù)輸入的合規(guī)性；同時應(yīng)注意檢查所輸入數(shù)據(jù)的正確性，完整性，數(shù)據(jù)是否被不正確地添加、復(fù)制或修改等情況。2．?dāng)?shù)據(jù)通訊和數(shù)據(jù)處理控制的審計。審計人員對輸入過程控制進行審計時，應(yīng)注意檢查經(jīng)濟業(yè)務(wù)數(shù)據(jù)的來源是否可靠，資料是否完整、準(zhǔn)確，有沒有可能被篡改過；檢查數(shù)據(jù)的處理方法是否正確，處理的步驟、使用的程序、結(jié)果的保存是否正確無誤等。3．?dāng)?shù)據(jù)輸出控制的審計。審計人員應(yīng)注意審查輸出的計算機處理結(jié)果是否準(zhǔn)確無誤，輸出的結(jié)果是否被及時、按照規(guī)定提供給有關(guān)的人員或部門，是否有必要的手續(xù)和記錄等。在以上審計程序中，輸入有效性測試、處理有效性測試、控制總數(shù)，數(shù)據(jù)的勾稽關(guān)系和輸出的合理性檢驗任何一項存在重大缺陷，審計人員要評估控制風(fēng)險為高風(fēng)險。

參考文獻：

[1]石愛中、胡繼榮，審計研究，經(jīng)濟科學(xué)出版社，2002.

[2]楊占芳，計算機信息系統(tǒng)的內(nèi)部控制，中州審計，2004.8.

[3]肖忠，淺談計算機系統(tǒng)審計的證據(jù)收集方法，計算機與現(xiàn)代化，2004.8.

[4]劉汝焯等，計算機審計技術(shù)和方法，清華大學(xué)出版社，2004.

[5]葉陳剛、李相志，審計理論與實務(wù)，中信出版社，2005.

[6]丁瑞玲，計算機處理系統(tǒng)下的內(nèi)部控制及審計，廣西會計，2002.7.