计算机审计风险研究（下）

二、控制计算机审计风险的对策

（一）掌握被审计单位对计算机信息系统的控制情况，制订完整、详细、合理的审计方案。编制审计实施方案的重要部分就是审计重要性水平的确定和可以接受审计风险的评估。计算机审计尤其要通过检查、查询、观察等方法对被审计单位基本情况和计算机信息系统的运行状况、内部控制进行调查。除了了解常规审计中被审计单位业务性质、组织结构、管理者的内部控制、管理措施、以前年度审计情况等外，重点通过与被审计单位有关业务、计算机及管理人员座谈，交流沟通，索取和分析文档资料，对其计算机信息系统硬件设备、系统软件、应用软件、经营管理工作、战略需求与规划等进行审计调查，了解财务系统、业务系统的安全性，确定计算机信息系统层和电子数据层的重要性水平，分析和初步评价可接受的审计风险、审计执行阶段的风险控制责任的落实，编写能够符合被审计单位实际的、全面的审计方案，并分解好审计工作，使各个审计岗位职责明确。

（二）抓住影响财务信息质量的根源，开展计算机信息系统安全性、内部控制符合性测试。审计实施中，要着眼于控制源头，深入分析系统运行、内部控制，评估控制风险要素规模，确定可接受检查风险的大小、计算机审计的重点与范围，符合性测试，需要手工测试与计算机测试相结合。运用询问调查、实地考察方法，检查被审计单位软件文档、程序流程图、编码、运行记录与结果，软件系统中存在那些控制、在哪里控制、如何控制；以信息系统输入程序流程为重心，追踪检查若干业务处理全过程，验证系统关键控制功能在实际执行程序中是否恰当、有效。测试硬件系统设施、与其相连的外部网络之间设施是否安全，确保提供的信息不被泄露；计算机机房等外部设施是否能够保障硬件设备不受损害，足够支撑会计信息系统有效运转，以及移动存储介质是否安全、存放适宜。检测组织管理制度是否做到不相容职责相分离、实现获得安全的信息，针对不同系统故障或灾难是否各有应急处理措施和软硬件更新维护制度，能有效避免因技术落后带来的安全隐患，系统文档管理是否合理、规范、安全。要运用计算机测试软件系统，是否能够提供完整、正确，高效的电子数据，财务信息系统是否有缺陷、实际观察相关内部控制设计是否合理、运行是否正常。经过符合性测试，若系统安全性好、内控制度健全有效，可以减少实质性审查的范围和数量；反之，应扩大之。

（三）确立电子数据完整性、准确性目标，全面详细对电子数据进行实质性测试。审计实施中，要掌握被审计单位计算机系统的分布和应用，采取直接拷贝和直接读取的方式，直接从其信息系统数据存储目录获取数据，或利用已经存在专门的数据接口来采集数据，并做到数据采集到位；对所采集的数据进行清理、转换，生成新的账簿、报表等各种财务资料、业务资料，严防重要数据缺失，按照审计目的加工基础数据，并从中选择审计所需要的数据；运用计算机编辑检验手段，进行账证、账账、账实、账表核对，校检并验证各种财务数据、业务数据是否正确、完整、合理，电子数据与实际业务内容是否一致、与最初的实际输入系统的数据是否一致、与最终生成对外的报表信息是否一致。应根据相关业务处理逻辑、业务数据的钩稽关系、法律法规的规定或审计经验进行具体数据分析，找出薄弱环节，防止程序逻辑错误、用错文件、处理非法数据，保证会计数据处理正确无误；通过应用软件对电子数据进行复算、检查、核对，对某些重要财务数据，如利润、成本、资金等进行各种分析判断，从中发现不正确情况和问题，得出有效性检验结果；在核对电子数据准确性、完整性的同时，对审计过程中发现的问题，分类、归纳、整理，继续采用其他方法，追踪到底，对重要问题要重点核实，材料要齐全、证据要充分，直到确认所有查证错误和无法查证的可能错误合计不超过整体重要性水平，才能将审计风险控制到可接受水平之内。

（四）强化审计复核，保证计算机审计工作质量和审计风险的最终控制。出具审计报告前，必须进行审计复核。认真整理、评价审计证据客观性、相关性、充分性、合法性，重点检查信息系统、电子数据查证的和未查证的累计重大错误总额是否超过各层重要性水平；复核工作底稿，针对被审计单位重要的业务活动、信息系统及数据与相关法规进行核对；与被审计单位管理层沟通，比对重大错误风险是否超过信息系统层重要性水平，复核其业务系统、财务系统及数据中反映出的重大问题，评价审计风险整体性水平是否在可以接受水平之下。复核后。对重要问题未能达成一致，需要对审计结果和审计意见重新调整，甚至追加审计程序，重新收集证据，切实保证计算机审计工作质量。

（免责声明：以上内容来自网络，如有不妥请留言告知，我们将尽快删除相关内容）