劉　強(qiáng)

[摘要]由于計(jì)算機(jī)在會(huì)計(jì)工作和審計(jì)實(shí)務(wù)中應(yīng)用日漸廣泛，使得其安全性風(fēng)險(xiǎn)急劇加大。在計(jì)算機(jī)系統(tǒng)的基礎(chǔ)上分析這其中的安全隱患和風(fēng)險(xiǎn)，同時(shí)提出相關(guān)的一些防范措施。

[關(guān)鍵詞]計(jì)算機(jī)系統(tǒng) 審計(jì)風(fēng)險(xiǎn) 防范

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0520048－01

計(jì)算機(jī)技術(shù)在會(huì)計(jì)領(lǐng)域的廣泛應(yīng)用和不斷發(fā)展，打破了原有的手工會(huì)計(jì)的格局，使傳統(tǒng)的手工會(huì)計(jì)核算手段和賬務(wù)處理程序發(fā)生了巨大的變革，對(duì)以憑證、賬簿、報(bào)表及其他可見(jiàn)的審計(jì)線索為主要審計(jì)對(duì)象的傳統(tǒng)審計(jì)在審計(jì)技術(shù)方法、審計(jì)檔案保管以及審計(jì)人員知識(shí)技能等方面都產(chǎn)生了深刻的影響。

一、計(jì)算機(jī)系統(tǒng)與計(jì)算機(jī)系統(tǒng)審計(jì)風(fēng)險(xiǎn)

計(jì)算機(jī)系統(tǒng)環(huán)境相對(duì)于手工會(huì)計(jì)環(huán)境，由于其數(shù)據(jù)處理的集中程度高、處理速度快、信息儲(chǔ)存方式、儲(chǔ)存媒介特殊，給審計(jì)工作帶來(lái)了獨(dú)特的風(fēng)險(xiǎn)。

（一）計(jì)算機(jī)系統(tǒng)的特征

1．計(jì)算機(jī)環(huán)境下，信息處理過(guò)程中的錯(cuò)誤有短時(shí)間內(nèi)重復(fù)出現(xiàn)的可能。較之手工會(huì)計(jì)，會(huì)計(jì)電算化系統(tǒng)處理的集中化，計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的輸入過(guò)程比手工系統(tǒng)多了將人可讀的數(shù)據(jù)轉(zhuǎn)換為機(jī)器可讀代碼形式，使得其處理結(jié)果發(fā)生錯(cuò)誤的可能性大大提高，而一旦發(fā)生錯(cuò)誤，就往往在短時(shí)間內(nèi)產(chǎn)生連鎖反應(yīng)，使得多種文件、賬簿，以至整個(gè)系統(tǒng)失真。

2．計(jì)算機(jī)環(huán)境下，信息的安全性要求更高。手工條件下，可以將重要的數(shù)據(jù)文件或記錄在紙上的重要信息，保存在安全性較高的物理場(chǎng)所，如企業(yè)的保險(xiǎn)柜里，以保證數(shù)據(jù)的安全。在計(jì)算機(jī)環(huán)境下所有的信息都存儲(chǔ)在磁、光或計(jì)算機(jī)硬盤中，而這些存儲(chǔ)介質(zhì)發(fā)生損壞的可能性較之賬簿等紙質(zhì)工具發(fā)生損壞的可能性大大增加。

3．計(jì)算機(jī)環(huán)境下，舞弊的防范更難。計(jì)算機(jī)運(yùn)行速度快、精度高，但同時(shí)使系統(tǒng)喪失了人類所具有的對(duì)不合邏輯、不合理的以及例外事項(xiàng)的判斷和處理能力，因此，要求在數(shù)據(jù)處理過(guò)程中增加多種檢查控制。在計(jì)算機(jī)環(huán)境下，數(shù)據(jù)被擅自篡改也不易留下線索。

（二）計(jì)算機(jī)系統(tǒng)的審計(jì)風(fēng)險(xiǎn)

1983年美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)發(fā)布的第47號(hào)《審計(jì)準(zhǔn)則說(shuō)明書(shū)》、《審計(jì)風(fēng)險(xiǎn)和重要性》中將審計(jì)風(fēng)險(xiǎn)模型確定為：審計(jì)風(fēng)險(xiǎn)（AR）=固有風(fēng)險(xiǎn)（IR）×控制風(fēng)險(xiǎn)（CR）×檢查風(fēng)險(xiǎn)（DR）。這一觀點(diǎn)被世界會(huì)計(jì)師聯(lián)合會(huì)及包括我國(guó)在內(nèi)的世界多數(shù)國(guó)家的審計(jì)職業(yè)界所接受。審計(jì)風(fēng)險(xiǎn)會(huì)因客戶的會(huì)計(jì)電算化和內(nèi)部控制的程序化而呈現(xiàn)出新的特征，審計(jì)師就應(yīng)重新規(guī)劃審計(jì)程序，采取相應(yīng)的對(duì)策和輔助審計(jì)軟件進(jìn)行審計(jì)。

1．計(jì)算機(jī)系統(tǒng)的固有風(fēng)險(xiǎn)。固有風(fēng)險(xiǎn)是指假定不存在相關(guān)內(nèi)部控制時(shí)，某一賬戶或交易類別單獨(dú)或連同其他賬戶、交易類別產(chǎn)生錯(cuò)報(bào)或漏報(bào)的可能性。2．計(jì)算機(jī)系統(tǒng)的控制風(fēng)險(xiǎn)?？刂骑L(fēng)險(xiǎn)是指某一賬戶或交易類別或連同其他賬戶、交易類別產(chǎn)生錯(cuò)報(bào)或漏報(bào)，而未能被內(nèi)部控制防止、發(fā)現(xiàn)或糾正的可能性。3．計(jì)算機(jī)系統(tǒng)的檢查風(fēng)險(xiǎn)。檢查風(fēng)險(xiǎn)是指某一賬戶或交易類別或連同其他賬戶、交易類別產(chǎn)生錯(cuò)報(bào)或漏報(bào)，而未能被實(shí)質(zhì)性測(cè)試發(fā)現(xiàn)的可能

性。檢查風(fēng)險(xiǎn)是審計(jì)人員唯一可以自主確定和控制的風(fēng)險(xiǎn)。

二、計(jì)算機(jī)系統(tǒng)審計(jì)風(fēng)險(xiǎn)的防范

（一）準(zhǔn)確評(píng)價(jià)計(jì)算機(jī)系統(tǒng)的固有風(fēng)險(xiǎn)

1．評(píng)估計(jì)算機(jī)設(shè)備的物理安全性。對(duì)于計(jì)算機(jī)系統(tǒng)的控制，審計(jì)人員應(yīng)了解系統(tǒng)設(shè)置是如何依賴這些硬件控制的；操作系統(tǒng)如何利用這些硬件控制；系統(tǒng)如何報(bào)告檢查出的錯(cuò)誤，以及糾正錯(cuò)誤的程序。了解計(jì)算機(jī)系統(tǒng)環(huán)境存在的潛在威脅，如管理人員采取了什么措施應(yīng)對(duì)非法入侵，計(jì)算機(jī)系統(tǒng)是如何防范計(jì)算機(jī)病毒，有沒(méi)有具體的應(yīng)急措施應(yīng)對(duì)意外情況的發(fā)生等。

2．評(píng)價(jià)電子數(shù)據(jù)的安全性。為了保證信息的安全性，一方面要注意計(jì)算機(jī)硬件的安全，更主要的是要防止未經(jīng)授權(quán)更改或刪除電子數(shù)據(jù)。所以，要做到：信息的訪問(wèn)權(quán)只給單位中指定的人；對(duì)會(huì)計(jì)數(shù)據(jù)修改或刪除的權(quán)力只賦予被授權(quán)的人；計(jì)算機(jī)系統(tǒng)能夠辨認(rèn)訪問(wèn)者的訪問(wèn)權(quán)限；單位的信息安全部門應(yīng)密切監(jiān)視來(lái)自外部的惡意攻擊，然后定期以報(bào)告的形式向信息安全的負(fù)責(zé)人報(bào)告；電子數(shù)據(jù)要有備份，備份數(shù)據(jù)能得到妥善保管。

3．檢查信息通訊的安全性。為保證一臺(tái)計(jì)算機(jī)與其它的設(shè)備，如終端或其他的計(jì)算機(jī)系統(tǒng)之間信息傳輸信息的完整性，被審計(jì)單位至少要對(duì)傳輸?shù)男畔⒓用?；接收信息的?yīng)用程序與發(fā)送信息的線路分開(kāi)；接收到信息后有信息反饋檢查，特殊信息要依靠調(diào)制解調(diào)器解調(diào)傳輸；企業(yè)的內(nèi)部信息通訊系統(tǒng)與國(guó)際互聯(lián)網(wǎng)之間要有防火墻，以防來(lái)自互聯(lián)網(wǎng)上的惡意攻擊。

（二）合理評(píng)估計(jì)算機(jī)系統(tǒng)的控制風(fēng)險(xiǎn)

1．組織管理控制風(fēng)險(xiǎn)的識(shí)別。組織控制的關(guān)鍵在于職責(zé)的分工。審計(jì)人員應(yīng)檢查被審計(jì)單位的組織結(jié)構(gòu)、職權(quán)和責(zé)任的分配情況，如程序與開(kāi)發(fā)系統(tǒng)、計(jì)算機(jī)操作、輸入數(shù)據(jù)的控制等職責(zé)，目的在于確定職責(zé)分工是否能夠提供有力的內(nèi)部控制。注冊(cè)會(huì)計(jì)師應(yīng)判斷組織管理控制的強(qiáng)弱，對(duì)由于職責(zé)分工不夠而產(chǎn)生的風(fēng)險(xiǎn)作出合理評(píng)價(jià)。

2．電算化系統(tǒng)開(kāi)發(fā)控制。對(duì)于首次接受審計(jì)的企業(yè)，對(duì)電算化系統(tǒng)開(kāi)發(fā)控制的審計(jì)，審計(jì)人員應(yīng)了解系統(tǒng)開(kāi)發(fā)前是否有計(jì)劃，開(kāi)發(fā)系統(tǒng)是否得到授權(quán)，是否有相應(yīng)的程序加以控制等。

3．計(jì)算機(jī)設(shè)備、信息和程序訪問(wèn)權(quán)控制可能的缺陷。審計(jì)人員要分兩個(gè)層次了解訪問(wèn)控制：訪問(wèn)控制的程序整體執(zhí)行情況及人事和工資管理部門執(zhí)行內(nèi)部控制的情況。具體要了解公司是否使用了訪問(wèn)控制軟件，其能夠提供哪些功能，公司有沒(méi)有專門負(fù)責(zé)數(shù)據(jù)安全的部門，對(duì)工資水平修改的程序、員工花名冊(cè)的變化是否只是由人事部門決定，人員變動(dòng)是否得到了及時(shí)記錄等。

（三）努力控制檢查風(fēng)險(xiǎn)

檢查風(fēng)險(xiǎn)是審計(jì)人員唯一可控風(fēng)險(xiǎn)，在這個(gè)階段，審計(jì)的任務(wù)是在準(zhǔn)備階段初步風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，對(duì)內(nèi)部控制進(jìn)行測(cè)試，評(píng)價(jià)控制風(fēng)險(xiǎn)。對(duì)于內(nèi)部控制的測(cè)試主要包括對(duì)數(shù)據(jù)輸入控制的測(cè)試、數(shù)據(jù)通訊和數(shù)據(jù)處理控制的測(cè)試和數(shù)據(jù)輸出控制的測(cè)試。

1．?dāng)?shù)據(jù)輸入控制的審計(jì)。審計(jì)人員在對(duì)數(shù)據(jù)輸入控制進(jìn)行審計(jì)時(shí)，應(yīng)注意檢查經(jīng)濟(jì)業(yè)務(wù)的發(fā)生是否有適當(dāng)?shù)呐鷾?zhǔn)文件，以保證數(shù)據(jù)輸入的合規(guī)性；同時(shí)應(yīng)注意檢查所輸入數(shù)據(jù)的正確性，完整性，數(shù)據(jù)是否被不正確地添加、復(fù)制或修改等情況。2．?dāng)?shù)據(jù)通訊和數(shù)據(jù)處理控制的審計(jì)。審計(jì)人員對(duì)輸入過(guò)程控制進(jìn)行審計(jì)時(shí)，應(yīng)注意檢查經(jīng)濟(jì)業(yè)務(wù)數(shù)據(jù)的來(lái)源是否可靠，資料是否完整、準(zhǔn)確，有沒(méi)有可能被篡改過(guò)；檢查數(shù)據(jù)的處理方法是否正確，處理的步驟、使用的程序、結(jié)果的保存是否正確無(wú)誤等。3．?dāng)?shù)據(jù)輸出控制的審計(jì)。審計(jì)人員應(yīng)注意審查輸出的計(jì)算機(jī)處理結(jié)果是否準(zhǔn)確無(wú)誤，輸出的結(jié)果是否被及時(shí)、按照規(guī)定提供給有關(guān)的人員或部門，是否有必要的手續(xù)和記錄等。在以上審計(jì)程序中，輸入有效性測(cè)試、處理有效性測(cè)試、控制總數(shù)，數(shù)據(jù)的勾稽關(guān)系和輸出的合理性檢驗(yàn)任何一項(xiàng)存在重大缺陷，審計(jì)人員要評(píng)估控制風(fēng)險(xiǎn)為高風(fēng)險(xiǎn)。

參考文獻(xiàn)：

[1]石愛(ài)中、胡繼榮，審計(jì)研究，經(jīng)濟(jì)科學(xué)出版社，2002.

[2]楊占芳，計(jì)算機(jī)信息系統(tǒng)的內(nèi)部控制，中州審計(jì)，2004.8.

[3]肖忠，淺談?dòng)?jì)算機(jī)系統(tǒng)審計(jì)的證據(jù)收集方法，計(jì)算機(jī)與現(xiàn)代化，2004.8.

[4]劉汝焯等，計(jì)算機(jī)審計(jì)技術(shù)和方法，清華大學(xué)出版社，2004.

[5]葉陳剛、李相志，審計(jì)理論與實(shí)務(wù)，中信出版社，2005.

[6]丁瑞玲，計(jì)算機(jī)處理系統(tǒng)下的內(nèi)部控制及審計(jì)，廣西會(huì)計(jì)，2002.7.