◎楊鎮(zhèn)瑜

計(jì)算機(jī)審計(jì)下審計(jì)風(fēng)險(xiǎn)的控制探究

◎楊鎮(zhèn)瑜

伴隨計(jì)算機(jī)信息技術(shù)與網(wǎng)絡(luò)技術(shù)的日益發(fā)展，計(jì)算機(jī)審計(jì)下審計(jì)風(fēng)險(xiǎn)的形式也愈發(fā)多樣化。本文就介紹了計(jì)算機(jī)審計(jì)下審計(jì)風(fēng)險(xiǎn)的各種形式，以及計(jì)算機(jī)審計(jì)下被審計(jì)單位與審計(jì)單位的風(fēng)險(xiǎn)控制對(duì)策。

計(jì)算機(jī)審計(jì)涵蓋兩點(diǎn)內(nèi)容，一點(diǎn)是針對(duì)計(jì)算機(jī)系統(tǒng)本身的審計(jì)，包括對(duì)其使用成本、系統(tǒng)安裝過程、系統(tǒng)數(shù)據(jù)配置以及軟硬件系統(tǒng)環(huán)境的審計(jì)；另一點(diǎn)就是利用計(jì)算機(jī)系統(tǒng)實(shí)施輔助審計(jì)，即利用計(jì)算機(jī)手段來構(gòu)建專門的審計(jì)數(shù)據(jù)庫，輔助專業(yè)部門展開審計(jì)工作。所以從廣義上來講，計(jì)算機(jī)審計(jì)應(yīng)該同時(shí)涵蓋了計(jì)算機(jī)系統(tǒng)本體審計(jì)與利用計(jì)算機(jī)審計(jì)兩點(diǎn)。

計(jì)算機(jī)審計(jì)下審計(jì)風(fēng)險(xiǎn)形式分析

計(jì)算機(jī)審計(jì)下的審計(jì)風(fēng)險(xiǎn)形式多樣，具體來說就包括了以下三種。

被審計(jì)單位風(fēng)險(xiǎn)。計(jì)算機(jī)審計(jì)下被審計(jì)單位是存在內(nèi)部控制風(fēng)險(xiǎn)的，因?yàn)楸粚徲?jì)單位的內(nèi)部控制本身就以專業(yè)規(guī)范為主，所以風(fēng)險(xiǎn)防范也是其運(yùn)行的有效監(jiān)管目標(biāo)之一。計(jì)算機(jī)審計(jì)背景下被審計(jì)單位雖然會(huì)建立全面的過程控制體系，也會(huì)確立關(guān)鍵控制點(diǎn)，但是其組織管理、應(yīng)用系統(tǒng)開發(fā)與維護(hù)、系統(tǒng)數(shù)據(jù)程序控制等方面還是會(huì)面臨各種風(fēng)險(xiǎn)。以數(shù)據(jù)和程序控制風(fēng)險(xiǎn)為例，它也是企業(yè)數(shù)據(jù)程序管理的重中之重，也是計(jì)算機(jī)審計(jì)中的重要難點(diǎn)。在分析企業(yè)數(shù)據(jù)及程序過程中，計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)很容易產(chǎn)生，這是因?yàn)槊刻齑罅康臄?shù)據(jù)輸出輸入會(huì)為企業(yè)帶來流動(dòng)數(shù)據(jù)安全隱患。另外就是程序設(shè)定這些隱性設(shè)置也可能掩蓋企業(yè)真實(shí)數(shù)據(jù)，導(dǎo)致企業(yè)審計(jì)活動(dòng)結(jié)果失真，失去安全可靠性，生成計(jì)算機(jī)被審計(jì)單位風(fēng)險(xiǎn)。

審計(jì)數(shù)據(jù)采集風(fēng)險(xiǎn)。實(shí)際上，計(jì)算機(jī)審計(jì)就是對(duì)計(jì)算機(jī)系統(tǒng)中數(shù)據(jù)信息的收集過程，特別是它會(huì)對(duì)傳統(tǒng)審計(jì)數(shù)據(jù)進(jìn)行采集歸類，基于此可以總結(jié)出計(jì)算機(jī)審計(jì)數(shù)據(jù)采集應(yīng)該具備目的性、復(fù)雜性、可選擇性與可操作性。舉例來說，計(jì)算機(jī)審計(jì)中審計(jì)人員可以利用SQL Server這樣的關(guān)系數(shù)據(jù)管理系統(tǒng)來進(jìn)行數(shù)據(jù)采集、審計(jì)和保存管理。具體來講，就是先利用采集分析軟件來導(dǎo)入數(shù)據(jù)，然后將數(shù)據(jù)按文件格式分類進(jìn)行修改，避免導(dǎo)入過程中產(chǎn)生任何文件錯(cuò)誤，進(jìn)而產(chǎn)生計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)。盡管說理論上是要避免風(fēng)險(xiǎn)，但在實(shí)際操作中由于審計(jì)數(shù)據(jù)的不完整和不真實(shí)等缺陷，審計(jì)數(shù)據(jù)采集風(fēng)險(xiǎn)還是有一定幾率發(fā)生的。

審計(jì)軟件風(fēng)險(xiǎn)。審計(jì)軟件是計(jì)算機(jī)審計(jì)工作中的重要環(huán)節(jié)，它能夠輔助審計(jì)人員來展開審計(jì)調(diào)查，比如實(shí)施數(shù)據(jù)導(dǎo)入導(dǎo)出、數(shù)據(jù)修改等等工作內(nèi)容。但是，實(shí)際的審計(jì)軟件操作會(huì)存在諸多人工修改錯(cuò)誤，而且軟件本身也無法兼容數(shù)據(jù)文件原有形態(tài)，所以在數(shù)據(jù)導(dǎo)入過程中就會(huì)出現(xiàn)審計(jì)軟件風(fēng)險(xiǎn)。因此審計(jì)軟件風(fēng)險(xiǎn)可以歸結(jié)為人為風(fēng)險(xiǎn)。

計(jì)算機(jī)審計(jì)下審計(jì)風(fēng)險(xiǎn)的控制分析

計(jì)算機(jī)審計(jì)下審計(jì)風(fēng)險(xiǎn)可以被分為被審計(jì)單位的風(fēng)險(xiǎn)控制與審計(jì)單位的風(fēng)險(xiǎn)控制，下文將分別作出分析。

被審計(jì)單位的風(fēng)險(xiǎn)控制分析。目前許多企業(yè)都已經(jīng)開始實(shí)施信息化管理模式，所以對(duì)被審計(jì)單位方面的風(fēng)險(xiǎn)控制尤為關(guān)注，所以本文認(rèn)為基于被審計(jì)單位的風(fēng)險(xiǎn)控制應(yīng)該做到以下三點(diǎn)。

要選擇適用于企業(yè)應(yīng)用系統(tǒng)開發(fā)與維護(hù)的被審計(jì)單位風(fēng)險(xiǎn)控制方法，例如目前許多大型企業(yè)都會(huì)采用ERP、SAP應(yīng)用系統(tǒng)，這些系統(tǒng)在開發(fā)應(yīng)用方面均較為成熟，但在維護(hù)成本方面相對(duì)較高，所以企業(yè)應(yīng)該選擇適用于自身狀況的應(yīng)用系統(tǒng)，從最初的開發(fā)到售后環(huán)節(jié)都要做到穩(wěn)定管理、穩(wěn)定維護(hù)，將被審計(jì)單位風(fēng)險(xiǎn)作為是系統(tǒng)風(fēng)險(xiǎn)中的可控部分來看待和操作。

要正確選擇計(jì)算機(jī)信息系統(tǒng)，主要是要將正確的計(jì)算機(jī)信息系統(tǒng)納入到企業(yè)的生產(chǎn)、采購、銷售等等環(huán)節(jié)，實(shí)現(xiàn)被審計(jì)單位因素與企業(yè)生產(chǎn)信息因素的相互一體化管理過程。而在一體化管理過程中，應(yīng)該盡可能的實(shí)現(xiàn)系統(tǒng)軟件控制的完善，比例如要對(duì)系統(tǒng)軟件進(jìn)行不斷升級(jí)，以優(yōu)化計(jì)算機(jī)信息系統(tǒng)。同時(shí)考察所選擇的財(cái)務(wù)系統(tǒng)軟件是否適合當(dāng)前企業(yè)發(fā)展現(xiàn)狀，其開發(fā)過程是否合乎客觀規(guī)律，軟件功能是否完善等等。這些都能幫助被審計(jì)單位降低風(fēng)險(xiǎn)，實(shí)現(xiàn)企業(yè)系統(tǒng)程序控制流程的完善。再舉例來說，防火墻是企業(yè)被審計(jì)單位的重要防御系統(tǒng)，但是防火墻也會(huì)在傳達(dá)網(wǎng)絡(luò)數(shù)據(jù)信息時(shí)或多或少攜帶病毒，甚至?xí)в泻诳偷膫窝b攻擊信息。所以企業(yè)必須不斷更新升級(jí)防火墻，并設(shè)置更為全面的安全防御網(wǎng)絡(luò)，有效降低計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)。

要強(qiáng)化應(yīng)用數(shù)據(jù)采集功能，應(yīng)用數(shù)據(jù)采集作為企業(yè)計(jì)算機(jī)審計(jì)系統(tǒng)中的重要軟件功能，它所使用的后臺(tái)數(shù)據(jù)較多（例如MSD、Access、MSSQL Server等等），這可能為審計(jì)人員在數(shù)據(jù)處理工作方面帶來巨大壓力，影響審計(jì)人員的數(shù)據(jù)采集工作質(zhì)量，進(jìn)而間接影響被審計(jì)單位的風(fēng)險(xiǎn)控制。因此企業(yè)在這方面應(yīng)該做到基于能力范圍以內(nèi)的創(chuàng)新機(jī)制設(shè)計(jì)，例如可以考慮引入ODBC開放數(shù)據(jù)庫互聯(lián)機(jī)制（Open Database Connectivity）。該新機(jī)制可以基于Microsoft提出全新的數(shù)據(jù)庫訪問接口標(biāo)準(zhǔn)，并利用自身功能來表達(dá)SQL語言，例如將用戶所編寫的SQL語句直接發(fā)送到ODBC數(shù)據(jù)庫中。這一技術(shù)流程為SQL Server服務(wù)器導(dǎo)入和導(dǎo)出數(shù)據(jù)文件提供了極大便利，也避免了審計(jì)人員手動(dòng)修改文件可能帶來的人工操作風(fēng)險(xiǎn)，降低系統(tǒng)運(yùn)作錯(cuò)誤率。所以說這也為計(jì)算機(jī)審計(jì)下被審計(jì)單位的風(fēng)險(xiǎn)控制增加了砝碼。

審計(jì)單位的風(fēng)險(xiǎn)控制分析?；趯徲?jì)單位的風(fēng)險(xiǎn)控制主要強(qiáng)調(diào)技術(shù)開發(fā)和人員培訓(xùn)，例如企業(yè)應(yīng)該合理完善自身的計(jì)算機(jī)審計(jì)軟件數(shù)據(jù)庫導(dǎo)入和查詢功能，同時(shí)運(yùn)用信息一體化管理模式來正確處理財(cái)務(wù)數(shù)據(jù)，并定期做到對(duì)審計(jì)程序的有效設(shè)計(jì)與升級(jí)，也可以通過增加生產(chǎn)、技術(shù)檢查環(huán)節(jié)來優(yōu)化審計(jì)單位風(fēng)險(xiǎn)控制內(nèi)容，確保計(jì)算機(jī)審計(jì)工作全面化、有效化。比如說，企業(yè)可以選擇基于信息一體化的審計(jì)單位管理系統(tǒng)，突破傳統(tǒng)審計(jì)軟件的局限性，針對(duì)財(cái)務(wù)數(shù)據(jù)來進(jìn)行審計(jì)單位的有機(jī)設(shè)計(jì)與審計(jì)，并在其中添加銷售環(huán)節(jié)、生產(chǎn)環(huán)節(jié)與檢查程序，豐富企業(yè)審計(jì)單位風(fēng)險(xiǎn)控制手段，也讓審計(jì)軟件在設(shè)計(jì)應(yīng)用方面更加全面有效，這就極大程度地控制與規(guī)避了計(jì)算機(jī)審計(jì)單位的各種風(fēng)險(xiǎn)因素。

就目前來看，我國計(jì)算機(jī)審計(jì)領(lǐng)域?qū)徲?jì)風(fēng)險(xiǎn)依然很多，因此國家及相關(guān)企業(yè)必須形成自主獨(dú)立的審計(jì)風(fēng)險(xiǎn)控制體系，基于審計(jì)單位與被審計(jì)單位來優(yōu)化軟硬件措施，通過更多元化技術(shù)手段來有效控制計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)，保證企業(yè)審計(jì)內(nèi)容安全有效。

（作者單位：云南省臨滄市臨翔區(qū)審計(jì)局）