安广实 陶芸辉

计算机的相关技术现在广泛应用于审计工作实践中，对审计工作产生了全方位的影响，在审计工作中发挥着重要的作用，极大地提高了审计工作效率和质量，IT审计已经成为信息时代下审计发展的必然趋势。

一、IT审计的特点

IT审计是指审计人员运用计算机，对被审计单位会计信息系统进行的有效性、数据处理的合法性正确性、最终报表的真实性公允性进行审计的过程。IT机审计与传统审计相比，同样是经济监督、评价职能，特殊性在于审计的对象和审计的工具不同。IT审计的本质是会计学、审计学和计算机科学技术相互融合促进的一门学科，目标是评价被审计单位的信息系统，并在此基础上利用计算机技术对数据进行审计，同时提出改进意见，开展审计监督服务，促进经济繁荣和社会稳定。

（一）扩大审计范围，提高审计效率

在传统审计中，审计人员的工作手段主要以手工为主，具有较大的局限性，操作耗时长，审计效率偏低。在运用计算机审计技术后，审计人员能够对被审计单位系统中的大量数据进行全面分析，结果更为准确，具有参考价值，同时还提高了审计工作效率，扩大了审计范围，使审计结果更具有说服力。

（二）丰富了审计方法，保证了审计质量

被审计单位的经济业务日益繁多，复杂程度也不断增加，在控制审计成本、提高审计效率和质量的前提下，审计人员开始普遍对被审计单位使用审计抽样法。计算机审计的运用，使得确定样本规模、选取样本项目和评价样本结果开始变得更加科学、合理和高效，对被审计单位风险的计量也更加客观，同时可方便审计人员准确控制风险，而且还有利于高效设计样本和定量评价审计结果。

（三）整合审计资源，保证审计时效

计算机审计技术和方法的运用，不仅可以确保审计时间和进度，减轻审计人员的工作负担，使得原本复杂繁琐的审计工作变得高效简单，还可以通过计算机局域网，使得企业内部及企业和银行之间的数据交流变得更加及时高效，确保了审计时效，对数据改变的实时监控也变得更加准确。

二、形成IT审计风险的原因

计算机审计风险是指审计人员未能合理运用计算机审计技术，最终导致审计结果不符合被审计单位事实，从而发表错误的审计意见，造成损失的可能性。

（一）审计线索的改变

随着信息技术的日新月异，传统手工会计处理中的文字账簿正在逐渐消失，取而代之的是各种计算机存储介质，但储存在上面的各种数据无法用肉眼观察，只能通过机器识别，因此很容易被毫无痕迹的修改、隐藏、丢失和删除，导致审计风险增加。

（二）审计技术和方法的复杂化

在传统的手工系统中，审计人员可以根据具体的情况采用审查的方法，所有的工作都由人工完成，但在计算机审计下，不同的被审计单位所采用的会计软件在功能和程序上都有差别，其所要求运用的审计技术和方法也不相同，因而给审计人员的工作增加了复杂性。审计人员如果采用了不恰当的审计技术或方法，必然会增加审计风险。

（三）动态取证较难

计算机会计信息系统必须持续运行，以保证被审计单位的工作能够有条不紊的运行，所以审计人员不仅要完成审计任务，同时还要保证系统的正常运作，这样就必须进行动态取证，取证中要保证数据的准确可靠，这需要很高的鉴别能力，难度较大，因此加大了风险。

（四）内部控制制度的不完善

在传统的手工系统中，内部控制制度是看得见和摸得着的，但在计算机技术被运用在审计后，几乎所有会计信息的存储和处理都高度集中于计算机，绝大部分的内部控制措施是以程序的形式建立在单位会计信息系统中，在很大程度上依赖计算机的处理，被审计单位的内控制度是否恰当有效会直接影响输出信息的真实和准确，从而造成审计风险。

（五）审计人员计算机知识的缺乏

大部分的审计人员缺乏计算机的专业知识，随着审计对象的复杂化和审计方法的多样化，审计人员除了要掌握必要的会计和审计知识，还必须了解掌握一些计算机方法和技术，否则其做出的审计结论有可能会偏离被审计单位实际，从而发表错误的审计意见，增加了审计风险。

（六）现行会计软件评审机制存在缺陷

现行会计软件评审机制主要注重软件功能的构成要素及会计处理方法的合理性，忽略了审计线索的保全性和对软件开发系统内部控制的评价，会给审计人员的工作带来一定困难和风险。

三、IT审计风险的构成

我国的IT审计起步较晚，审计风险没有被人们系统的了解，但对IT审计风险的正确认识是有效防范化解审计风险的前提，因此对于IT审计风险审计人员要有一个全面的认识。

（一）IT审计的固有风险因素

IT审计的固有风险是指在不考虑计算机会计系统规范的前提下，系统处理数据发生错误的可能性。其特点是：IT审计的固有风险是计算机系统本身所固有的，审计人员只能评估，却无法控制或影响它；计算机固有风险的衡量是主观的、复杂的；不同的计算机系统其固有风险水平不同。

计算机硬件故障或软件不足，易造成会计资料的损坏和丢失，导致会计数据处理过程中发生偶发错误。

计算机会计系统的高度集成，导致了系统的复杂性、依赖性和脆弱性，数据容易被修改和盗取。

用磁性介质存储会计资料，其稳定性和安全性较差，计算机病毒的侵害容易照成会计数据丢失。

系统管理人员的技术达不到管理系统所要求的水平，出现了技术应用和管理错误；系统管理人员由于特殊原因而擅自更改会计数据，或蓄意破坏或摧毁计算机会计系统。

（二）IT审计的检查风险因素

IT审计的检查风险可以通过调整实质性测试来进行控制，影响计算机审计检查风险的因素实质上是由于计算机审计规范不完善、审计人员自身或者技术原因造成的影响实质性测试正确性的各种因素。

1.人员操作风险。审计人员在对会计信息系统进行审计时，由于过分依赖计算机运行得出的结果，而没有对审计线索进行检查；审计人员由于知识不够或业务不熟，无法跟踪审计，遗漏了审计证据；审计人员不了解会计信息系统的特点，不能审查识别其内部程序控制。

2.审计软件风险。这种风险是指由于计算机软件本身缺陷原因照成的风险。主要包括：计算机审计技术的开发和推广落后于计算机会计技术，并且技术含量偏低；研究开发人员对审计业务的不熟悉；没有经过相关部门鉴定，导致软件运行有风险；审计软件与会计软件的接口不匹配，导致数据不能导出；审计软件配套升级滞后，影响了审计效率和质量。

3.管理风险。指的是对计算机审计管理制度不健全、不完善而导致的风险。主要包括缺乏相关的计算机审计操作规范，导致审计人员各行其是，审计目标、内容和手段等各不相同，管理风险增大。

（三）IT审计的控制风险因素

IT审计的控制风险是指在计算机系统运行中可能出现的重大错误，影响了单位经济活动描述的真实性，没能被计算机软件的程序化控制及时发现或防止的风险。IT审计的控制风险大小主要与会计系统程序化设计的科学性、合理性和稳健性相联系。

1.系统数据风险。会计数据在录入时缺乏严格的控制，采用虚假、篡改和延迟等手段造成错误数据；数据存储高度集中，却缺乏严格的分级浏览控制；会计数据的处理责任大部分集中于计算机系统中，集中程度越高，会计风险越大。

2.系统环境风险。包括软件环境风险和硬件环境风险，一方面是因为计算机信息系统的复杂性以及会计系统的联网性，另一方面则是因为计算机设备的多样化，从而导致系统系统环境风险的增大，

3.系统控制风险。是由于会计系统的内部控制不严密照成的风险，系统控制是指在人和机器的双重控制下，还需要建立外部网和网上交易的安全控制。审计人员需要对这些内容进行外部控制测试，难度很大。

四、IT审计风险的防范对策

对IT审计风险的防范可以从微观和宏观两个方面进行，微观上，不仅应努力提高审计人员的计算机审计技术和水平，在审计中选择恰当的审计技术和方法，完善被审计单位的内部控制水平；宏观方面，应尽快完善并推广通用的计算机软件，同时建立健全的计算机审计准则和标准，还要不断创新计算机审计理论研究。

（一）降低计IT审计的固有风险

1.完善审计软件的设计，降低审计线索减少或消失的可能性。一是加强操作的谨慎性，只有在打印或存档后才允许删除；二是设置强制备份，防止数据丢失；三是未经许可不得更改报表的取数公式；取消反过账反结账的功能，记录报表打印的次数。

2.改进数据录入技术，降低错误的可能性。一是尽量采取扫描录入，留有纸质备份；二是对于重要的凭证，报表要存盘，方便以后查阅；三是尽量使用自动转账功能，保证数据的完整准确。

3.加强内部控制机制，减少会计数据被修改、删除和盗用的可能性。一是要配备性能优良的硬件设备，如增加数据备份，增加数据加密和设置防火墙等；二是得到后续软件支持；三是建立安全稳定的运行环境，合理设置加密关口和防火墙；四是加强组织人员素质，完善规章制度。

（二）降低IT审计的控制风险

1.按照不同的操作权限设置密码，提高约束机制的作用。首先是系统管理员为不同岗位的会计人员设置不同的权限和初始密码；其次是会计人员在获得权限后更改密码；最后要严格控制操作权限的设置。

2.建立企业和银行之间的网络连接，减少数据不一致的可能性。一是对企业内部的会计业务自动扫描原始凭证，依靠软件自动生成记账凭证；二是对企业和银行之间的业务，建立网络连接，传送实时数据，保证数据的同步一致。

3.提高网络通信的效率，做好及时维护，保证系统的正常运行。一是选取性能良好的网络平台和配套传输设备；二是选择运行良好的会计软件；提高审计人员的计算机使用水平，保证能准确无误的操作系统。

（三）降低IT审计的检查风险

1.被审计单位应主动与审计师进行沟通，对历史文件采取统一的存储格式，降低文件无法阅读的可能性。一是针对不同时期版本的会计软件，备份数据时要采取统一的格式，以方便审计人员进行审计。二是制定会计软件相关的行业标准，统一数据格式和外部接口。

2.设计一套能使检查风险降到最低的审计检查程序，一是检查被审计单位的权限设置，对操作日志进行审查，寻找疑点；二是检查被审计单位的取数公式；三是进行账实核对、账证核对、账账核对和账表核对；四是检查内部控制制度的完整性和会计政策的一贯性。

IT审计是会计信息化的必然要求，审计人员首先要对IT审计风险理论进行系统的研究，构建IT审计风险理论体系，用理论指导实践，加强人们对IT审计风险的认识。其次要加强审计人员的审计风险教育，强化防范IT审计风险的意识，积极纠正IT审计出现的问题，营造良好的IT审计关系，有效防范IT审计风险。

[1]徐经纬.浅淡计算机审计风险及其防范对策[J].经济研究导刊.2009（16）.

[2]张继伟.计算机审计风险成因及其防范对策[J].财会通讯.2009（22）.

[3]武东萍.计算机审计风险探析[J].经济问题.2009（03）.

[4]肖军；翁晓华.关于计算机审计技术在内部审计中的实践研究[J].商业会计.2011（02）.