[摘要]在全球信息化进程日益加深的今天,信息技术的应用对企业会计核算模式产生了巨大的影响,计算机辅助审计作为信息化环境下的一种崭新的审计方式应运而生。但是,信息技术的应用在给企业会计核算系统巨大便捷的同时,也带来了新的风险;从而也相应地提高了计算机辅助审计的审计难度和审计风险。文章论述了计算机辅助审计下可能存在的一些风险并提出相应的防范措施。
　　[关键词]计算机辅助审计　审计风险　防范
　　
　　随着信息技术和网络通信技术应用范围的不断扩展,计算机对审计的影响越来越大。然而,计算机在给审计带来方便、快捷、高效的同时,也带来了新的审计风险。只有做好审计风险的防范,才能使计算机辅助审计工作得以顺利地开展。
　　
　　一、审计风险的主要研究模型分析
　　
　　1、传统审计风险模型分析
　　长期以来,审计职业界一直使用的审计风险模型是:审计风险=固有风险(IR)×控制风险(CIZ)×检查风险(Dlk),并要求根据该模型来计划和执行财务报表审计工作,以最终将审计风险降至可接受的低水平。该模型从理论上解决了注册会计师以制度为基础采用抽样审计的随意性,又解决了审计资源的分配问题,要求注册会计师将审计资源分配到最容易导致财务报表出现重大错报的领域。
　　从理论上看,该模型不存在明显的不妥,但在长期的实务操作中却面临很大的问题和困难:第一,直接设定固有风险为100%。第二,评估控制风险不认真,有走过场的嫌疑,实务中控制风险(CR)评估为最高时只要求记结论,不记理由,问题很大。第三,原先将“了解被审计单位情况”和“风险评估与内部控制”单独作为两个准则,使了解被审计单位情况没有跟风险评估有机结合,使了解没有明确的目的性,不被重视。第四,原风险模型侧重于指引认定层次的实质性审计测试工作,对财务报表层次重大错报风险的评估和应对重视不够,导致实质性测试没有目的性、方向感和针对性,进而必然会影响对认定层次重大错报的检查效果。第五,没有抓住财务报表审计工作的“关键点”。
　　2、现代风险导向审计下的新风险模型
　　由于传统审计风险模型在识别、评估和应对重大错报风险方面存在问题,国际准则以及我国审计相关准则都进行了修订。原审计准则规定:审计风险倡导以客户风险为导向,但实际未落实。新审计准则规定:以财务报表重大错报风险为导向的审计,强调重大错报风险评估和实质性程序并重。也就是说,新风险准则和风险模型以识别、评估和应对重大错报风险为导向、以控制总审计风险至可接受低水平为目标的最新风险导向审计理念。
　　现代风险导向审计下的新风险模型为:审计风险=重大错报风险(RMM)×检查风险(DR)。其审计风险包括两个层面,一是财务报表层次,二是交易、账户和列报与披露的认定层次。审计实务中,新审计风险模型下的风险评估包括三个阶段:了解客户及其环境包括内部控制,评估报表层的重大错报风险和认定层的重大错报风险;针对报表层重大错报风险,制定“总体应对措施”;针对认定层重大错报风险,展开“进一步审计程序”,具体包括:实施控制测试,再评估认定层的重大错报风险;实施实质性程序,其目的是为了降低认定层的检查风险。应该看到,新审计风险模型与原审计风险模型相比有显著的理论进步,对CPA的要求更高、更严、更细。
　　
　　二、计算机辅助审计下的审计风险分析
　　
　　所谓计算机辅助审计风险,就是指审计人员利用计算机辅助审计技术对运用了信息技术的被审计单位进行审计,当被审计单位的财务报表未能公允揭示被审计单位财务状况、经营成果和现金流量情况,审计人员发布的不恰当审计意见的可能性。本文按照现代风险导向下的新的审计风险模型,就从重大错报风险和检查风险两个方面来尝试进行分析。
　　1、计算机辅助审计中的重大错报风险分析
　　现代风险导向模式下的重大错报风险是指被审计单位财务报表审计前存在重大错报的可能性。这种可能性来自于两个层面:一是财务报表整体层次,二是交易、账户和列报与披露的认定层次。这样,我们可以认为计算机辅助审计下的重大错报风险受两方面因素的影响:一方面是信息系统对企业财务报表总体层次的影响,另一方面是信息系统对产生财务报表的认定层次的影响。
　　信息系统固然能提高企业财务处理的效率,但是它自身的一些特性却会产生新的经营风险或增加管理层舞弊的可能性。其主要原因是:第一,电子数据的“无形”特性使得记录在存储介质上的数据相对于纸质信息更加容易被滥用、篡改、丢失或破坏。这就使得企业的经营过程中风险增大,管理层通过信息系统舞弊的可行^生和可能新更大,使得总体层次的错报风险增加。第二,电子数据的存储集中程度高,数据处理速度快。因为数据高度集中的存储和快速的处理对错误或疏忽造成的损失产生了放大作用,一旦出现问题极易造成巨大的损失。这也会在一定程度上增加经营风险,从而增大了财务报表总体层次的错报风险。第三,信息化系统中软件及硬件自身的所存在的风险也会随着信息技术的运用而成经营风险的一部分,此外信息化的会计核算环境为凭借计算机手段的非法接入提供了可能。所以总体层次和认定层次的经营风险都会因此而有所增加。第四,信息化环境下的权限控制问题。在手工环境下,职责分离授权、批准是最常用的内部控制手段。虽然在信息化环境下仍然可以设置授权、批准功能,但是由于在信息化环境下的业务人员可以同过的盗用授权文件或口令,而是控制失效。增大了经营风险和管理层舞弊风险使得总体层次的重大错报风险增加。第五,信息完整性异常的情况导致的风险。信息完整性异常的表现常见的有以下两种:信息处理数据和业务传递资料的不一致,导致的管理层决策失误;信息修改功能引发的数据缺失。这些都会进一步加大认定层次的重大错报风险。 　　2、计算机辅助审计中的检查风险分析
　　通常的检查风险是指审计人员由于采取了不恰当的测试程序,未能发现已存在的重大(实质上)错误的风险。在计算机辅助审计的情况下检查风险的产生主要有以下原因:第一,由审计软件的应用产生的检查风险。信息技术的发展极大地加快了会计软件的更新换代,因而审计软件的更新速度与会计软件的适配程度,审计软件自身的完善程度和运行的稳定状况都会影响到审计计算分析正确性。第二,历史数据查找困难增加的检查风险。由于信息系统使用的软件升级,平台迁移,导致了账套不能够兼容使得查找历史数据的难度增加,从而检查风险增大。第三,审计线索减少导致检查困难,从而引发的检查风险上升。信息化的被审计单位中很多传统环境下的一些传递环节所涉及的审计线索大大减少,或者甚至在经济业务发生后自动消失导致取证的难度加大,并由此产生检查风险。第四,审计信息资源浪费严重,导致的检查风险增加。在现有的审计实务中许多审计信息资料与数据储存在各审计人员的独立的电脑中,审计信息资料没有有效地与局域网络进行链接,审计信息与数据不能互通或者说交流效率低下,导致检查风险增加。
　　
　　三、计算机辅助审计风险的防范
　　
　　1、降低计算机辅助审计中重大错报风险的措施
　　首先,制定针对重大错报风险的总体层次的错报风险防范措施。要对计算机辅助审计下总体层次的错报风险进行控制就要求审计人员能够与管理层进行积极、有效地沟通,在审计工作开展之前就应该对被审计单位的信息化程度和信息系统深入了解。对被审计单位的信息系统要详细了解是指对其使用的财务软件要熟悉它的版本、业务处理流程等;针对信息系统则要在可能发生舞弊的环节注意管理人员尤其是信息系统的管理人员有没有对信息系统或财务系统施加不良影响,从而便于开展对重大错报风险的评估工作。如果被审计单位信息系统庞大,系统结构复杂,审计人员就应当考虑要先对被审计单位的信息系统做一个专门的IT审计,或者邀请计算机方面的人才以专家身份加入到审计团队中,以确保审计工作开展时计算机辅助审计对象系统的可靠性、稳定信和有效性。对管理层和整个信息系统我们需要关注和防范的就是系统的稳定性和可以信赖程度,以及对管理层在信息系统下舞弊风险的评估。此外,被审计单位信息系统自身的特性会对被审计单位的经营风险产生影响,所以当审计人员在考察被审计单位的信息系统时,同时也应当考虑使用该信息系统对企业的经营风险的影响。
　　其次,制定针对认定层次的错报风险防范措施。制定认定层次的错报风险防范措施可以从降低计算机辅助审计下的固有风险和控制风险两方面来着手。管理层对固有风险的认识和重视是降低固有风险的关键,因此为了降低被审计单位的固有风险,审计人员只有通过和被审计单位的管理层切实沟通,增强他们对计算机辅助审计下固有风险的认识。使管理层认识到在信息系统环境下固有风险仍然存在,信息系统的存在并不会使得固有风险消失,需要管理层给予足够重视。要降低计算机辅助审计下的控制风险,审计人员要对被审计单位内部控制情况有所了解。同时要注意结合计算机辅助审计情况中内部控制的新特征,例如经济活动的中间记录可能会在交易完成之后就消失掉,这种情况我们称之为缺乏交易轨迹。除此之外职责分工的特殊性,同类处理的一致性都要纳入考虑,并在此基础上设计一套有针对性的审计检查程序。在观察被审计单位的业务活动和内部控制的运行情况之外,选择若干具有代表性的交易和事项来进行测试,争取有效地降低认定层次错报的风险。
　　2、降低计算机辅助审计中检查风险的措施
　　降低计算机辅助审计中的检查风险可以从宏观和微观两方面着手寻找应对措施。宏观上,首要措施是加强审计人员计算机知识的培训,提高审计人员计算机审计的专业胜任能力。因为计算机辅助审计知识专业性强,而且内容多,不能仅仅靠短期的突击学习达到熟练运用的效果。因此注册会计师的行业管理机构应制定相关规定强制每位注册会计师长期不懈地加强对计算机知识的学习和培训。另外,加强审计软件的建设是降低计算机辅助审计中检查风险的另一有效措施。计算机辅助审计软件的审计要服务于审计实务,在开发和编制计算机辅助审计软件时除了要符合审计原理、准则外还要考虑审计人员的工作方式和工作习惯,更重要的是要注重与被审计单位信息系统的适配性和兼容性,要尽量减少因为软件问题引发的检查风险。微观上来看,有效控制检查风险的水平关键在于合理设计和实施数据文件的实质性测试。审计人员在确定数据文件的实质性测试范围时要考虑:对被测试数据文件的选择;对抽取的样本量的选择。在设计数据文件实质性测试的时间时,审计人员应关注:数据文件的保留时间;系统变化的时间。随着信息系统的日益复杂化,数据文件保留的时间越来越短。要全面控制检查风险水平,被审计人员应在扎实掌握计算机辅助审计技术的基础上,合理运用高效的审计软件切实的做好实质性测试工作,降低检查风险。