随着计算机技术在审计领域的广泛应用和发展，教育系统计算机审计工作的效率和质量得到了提高，但与此同时，计算机系统控制和技术的复杂性也加大了审计风险。如何防范计算机审计风险已成为当前教育内审迫切需要解决的问题。

一、计算机审计风险的定义计算机审计风险是指审计人员未能正确合理地运用计算计审计技术对被审计单位会计信息系统运行的有效性、数据处理的合法性正确性、最终报表的真实性公允性进行审计，从而对被审计单位含有重要错报或漏报的财务报表表示不恰当审计意见的风险。传统的审计风险模型为：审计风险＝固有风险×控制风险×检查风险。2003年，国际审计和鉴证准则委员会（IAASB）发布了新《审计风险准则》，将审计风险模型重新描述为：审计风险＝重大错报风险×检查风险。计算机审计中的重大错报风险是指财务报表在计算机审计前存在重大错报的可能性，计算机审计中的检查风险是指被审计单位计算机软硬件系统存在错误，审计人员未能运用计算机审计技术发现该错误的风险。

二、教育系统计算机审计风险因素分析在教育系统计算机审计中，审计风险可按照风险度量模型的定义分成两个部分来分析，如图1所示：图1 计算机审计风险简图（一）重大错报风险重大错报风险是审计人员可以评估、认定但没有办法人为改变的风险水平。在教育系统计算机审计中，教育内审人员评估重大错报风险时，应注意两个方面的因素：1. 固有风险因素教育系统计算机审计中的固有风险因素是指在教育系统计算机审计中，不考虑计算机统内部控制可靠性的情况下，因系统中存在的难以消除的各种因素导致计算机系统出错、中断或资源毁损等的风险。固有风险因素的特点是：第一、其风险水平取决于信息技术发展水平及被审计单位采用的技术水平，可能会因计算机处理的实时性、正确性降低，也可能会因计算机系统的复杂性而增加；第二、固有风险的产生与审计人员无关。它由计算机软硬件系统所固有的特点决定，审计人员只能通过必要的审计流程来分析、判断、评估风险水平，无法对其实施控制和影响；第三、固有风险具有多方面的影响因素，不可避免地带有一定的主观性和复杂性，难于准确计量。影响教育系统计算机审计固有风险的因素主要有以下几方面：第一，计算机硬件系统的质量和运行环境。若计算机硬件系统质量不过关，导致硬件系统故障，便会加大固有风险水平。另外，若计算机硬件系统摆放的周边环境如防水、防火、防磁、电源等方面达不到要求，可能导致计算机硬件系统运转失常，进而加大审计的固有风险。第二，计算机软件系统的质量。在审计过程中，若运行质量不过关、不稳定的软件系统，可能导致系统不正常中断或数据丢失，加大固有风险水平，降低审计工作效率。第三，电子数据的审计线索易于减少或消失。手工环境中，由于会计处理的每一个步骤都有文字记录和相关人员签字，审计线索较为清晰，但在计算机系统中，存储介质只记录最终处理结果，忽略中间处理过程，传统的审计线索不复存在，利用计算机技术难以实现如签名等使审计线索证据化的操作，给审计人员追查审计线索带来了困难，从而导致计算机审计固有风险的加大。第四，原始数据的录入和存储。在原始数据录入环节，人员操作失误或人员舞弊会造成实际数据和电子数据不符；磁性介质保存的电子数据存在被盗窃、篡改和丢失的可能性，会计信息系统的网络连接可能会收到网络远程的恶意侵害，如非法用户通过窃取口令破坏修改电子数据往往不留痕迹。这些都影响计算机审计的固有风险水平。2. 控制风险因素教育系统计算机审计的控制风险是指在教育系统计算机审计中，因内部控制不能预防、检测和纠正可能出现的各种错误的风险。控制风险因素的特点是：第一、控制风险水平与被审计单位的内控水平有关。如果被审计单位的内控制度存在缺陷或不能有效工作，就会增加由于人为因素和技术缺陷等原因导致的系统出错或中断的可能性。第二、控制风险与内审人员无关。控制风险属于内部控制范畴，审计可以根据被审计单位相关部分内部控制的健全性和有效性情况设定一定控制风险的估计水平，但无法对其实施控制。第三、控制风险水平的衡量涉及计算机系统管理知识，较为复杂，难以准确计量。影响计算机审计控制风险的因素主要包括：第一，计算机系统内部控制是否得力。如：对软件系统的应用测试不严密，使用了隐藏错误的不合格系统，会导致系统出错；在计算机系统下，人员分工权限设置的重叠容易导致系统数据被篡改；对输入数据的复核工作不到位或纠错措施不得力，会导致数据输入不准确；计算机系统运行故障的恢复措施不及时会导致数据不完整等。这些都会导致计算机审计控制风险的加大。第二，软件是否完善。若计算机硬件、软件平台不够先进或软件本身不完善，也会增加异常和错误的概率。第三，人员配备是否合适。若计算机系统操作人员不懂得计算机技术相关知识或会计审计方面的知识，都会增加操作的失误。第四，系统开发和维护是否完善。若系统开发过程中编入的应用程序不符合会计准则，或在系统日常维护中，维护人员恶意修改电子数据，都会导致控制风险的加大。第五，系统管理人员的安全防范意识及措施。若系统管理人员安全防范意识不强，防范系统被侵害的措施不足，将会增加电子数据遭受侵害或丢失的可能性，增加控制风险。如：未设立有效的实时监控程序、电子密钥系统等来9范网络远程侵害，预防黑客的恶意攻击等。（二）检查风险教育系统计算机审计的检查风险是指在教育系统计算机审计中，审计人员通过预定的审计流程未能发现各种错误的风险。检查风险因素的特点是：第一、检查风险独立存在于整个审计过程中，不受固有风险和控制风险的影响；第二、检查风险是唯一可由审计人员自主控制的风险；第三、检查风险与审计人员的工作直接相关，其实际水平与审计人员的专业胜任能力有关，直接影响最终的审计风险。第四、计算机审计中的检查风险主要表现为非抽样风险。影响计算机审计检查风险的因素主要包括：第一，计算机审计标准和准则的完善程度。审计标准和准则是审计人员判断是非的标准，其完善程度直接影响审计检查风险的大小。


目前，我国与计算机审计有关的标准和准则有：1996年审计署发布的《审计机关计算机辅助审计办法》，1999年中国独立审计具体准则第20号《计算机信息系统环境下的审计》。随着网络化的不断升级，审计面对的情况日趋复杂，现有的审计标准和准则的细化程度已不能满足当前计算机审计发展的需要，容易带来检查风险。第二，会计软件的更新、平台迁移。一方面，由于对重要交易的实质性测试离不开历史数据，因此，软件的更换和平台的迁移会导致难以从往年帐套提取历史数据，增加检查风险。另一方面，会计软件不断升级，而审计软件的升级相对滞后，也影响审计质量和效率，带来审计检查风险。第三，审计客体的配合程度。在计算机审计中，审计人员能否获得充足准确的审计证据跟被审计单位提供的信息系统的输出信息是否全面有着很大关系。若被审计单位将不愿接受审计的部分信息隐藏，计算机审计人员的审计证据获取不充足，便会影响审计判断和结论的准确性，加大检查风险。第四，计算机审计方法是否恰当。在计算机审计中，由于被审计单位采用的会计软件多样，在功能和程序上会有一定差别，要求运用的审计方法也不同，这就增加了审计工作的复杂性。如果审计人员在审计过程中采用的审计方法不当，就不能获取充分、合理的审计证据，难以确保审计结论的科学性和准确性，导致检查风险的加大。第五，计算机审计人员的素质。审计人员是审计的主体，其素质的高低与审计风险的大小直接相关。计算机审计人员的素质越强，检查风险降低的可能性越大，反之越小。信息系统审计对审计人员的素质要求很高，不仅要有较高的道德素质，还要有较高的业务素质，不仅要有一定的会计、审计专业知识，还要具有一定的计算机审计知识和实践操作技能。若审计人员在工作中业务能力缺乏，态度不认真，缺乏责任心，未收集充分的审计证据，审计质量必定大打折扣，增加检查风险，如：在对计算机信息系统内部控制的测试中，由于计算机内部控制融于软件之中，若审计人员计算机专业知识和实践操作能力不够，不能设计出完善的测试数据，就会增加实质性测试的难度，加大检查风险。


三、教育系统计算机审计风险具体防范措施（一）完善计算机审计标准和准则，提供法制依据近年来，电算化信息系统发展迅速，现有的计算机审计标准和准则必须进一步完善才能更好地适应计算机审计发展的需要。教育系统内部审计机构应进一步加强对教育系统计算机审计实践的分析研究，总结审计工作中遇到的新情况新问题，为有关部门制定标准准则提供参考依据。有关部门应加强对计算机审计工作的研究，尽快制定出与新情况相适应的包括系统设计、开发、运行、维护等方面的计算机审计标准，制定包括对计算机系统内控评价、审计内容、审计证据收集等方面的准则，进一步规范指导审计工作，降低审计风险。（二）构建审计项目质量控制体系，强化项目管理质量是审计工作的生命，审计质量提高了，审计风险必然降低。根据以往南京市教育系统计算机审计工作实践，笔者认为可通过构建如图2分层控制的计算机审计项目质量控制体系10内审信息化来强化审计项目管理，达到控制或降低审计风险的目的，即在制定好年度计算机审计项目计划的基础上，从计算机审计项目业务过程的各个环节入手，抓住审计准备阶段、实施阶段和终结阶段的关键点，落实好质量控制责任，制定有效质量控制措施，从而达到全方位控制审计项目质量，降低审计风险的目的。1. 审计准备审计准备以审前调查为基础，充分了解被审计单位的基本情况，大致确定被审计单位的风险因素和总体风险水平。可通过查阅资料、询问有关人员等调查方式了解被审计单位的计算机应用系统、数据库管理系统和电子数据的有关情况、主要的业务流程、信息系统的内部控制、财务人员、系统管理人员、操作人员和维护人员的职业操守情况等；在制定审计工作方案时，要考虑风险因素，结合实际情况确定审计内容、重点和人员分工，并认真复核审计工作方案，确保适用于实际审计项目。2. 审计实施审计实施阶段可通过对系统审计和数据审计两方面来进行，如果经过对计算机系统的评估，得出系统可靠的结论，可直接进行数据审计。数据审计可通过基础数据准备、分析数据准备和数据分析三大流程进行，其中，基础数据准备包括数据采集和数据转换，分析数据准备包括数据清理和整理、建立审计中间表等。在计算机审计中，要注意抓住数据审计流程的关键控制点，利用相关的技术方法在业务标准和目标的规范下进行作业，并对审计业务活动按照标准和目标进行复核，及时纠正不符合业务标准和目标的活动，以达到控制质量降低风险的目的。在数据审计过程中，应交叉使用各种审计方法，降低因方法单一而诱发的审计风险，在整个基础数据准备和分析数据准备过程中必须贯穿进行数据验证工作。如：在开展教育系统经济责任审计过程中，在计算机审计数据采集环节，应验证数据的真实性和完整性，一可采取验证数据库创建日期的方法来查看被审计单位数据库的创建日期是否与预计的相同或接近，若相差很大，则说明被审计单位提供的数据有可能不真实；二可通过查看数据库中全部基本表所包含的数据行数是否与审计人员估算的行数图2 计算机审计项目质量控制体系11内审信息化相同，判断被审计单位所提供数据是不是原始的真实数据；三审计人员在确定导出所需要的表中数据之前，可先在被审计单位的数据库服务器上判断一下其提供的数据表是基本表还是视图，若是基本表还需验证下表的创建日期。在计算机审计数据清理验证环节，一可通过采用金额核对法，计算核对清理前后的数据某些对应指标的金额，保证清理后的数据的准确性，若在清理过程中进行了冗余记录的删除，要注意将删除记录的金额计入；二可通过采用记录数验证法，对比数据清理前后数据表的记录条数，检查有无数据丢失，确保数据完整；三可通过采用借贷平衡法，验算复式记账规则产生的电子账目的科目借贷方金额是否一致，以确保数据准确。3. 审计终结审计终结阶段由出具报告、项目归档和后续审计三个流程组成。在出具报告环节，在审计报告送交被审计单位征求意见后，不得因被审计单位或个人对报告提出异议，未经查实而随便更改审计报告或工作底稿的内容，否则就不能树立审计权威；在项目归档环节，教育内审机构要确定专门档案保管人员，责任到人，及时将审计工作底稿、审计报告及相关资料规范归档，确保审计档案完整；在后续审计环节，在正式审计报告下达被审计单位后，教育内审机构应对被审计单位审计意见实际执行情况进行后续审计，检查审计意见是否真正得到落实，督促被审计单位整改到位，确保审计的质量和效果。（三）加强计算机审计队伍建设，提供人力保障第一，加强计算机审计人员配备。事业发展，人才是关键。教育系统内审机构应注重加强计算机审计人员的配备，尽可能吸纳兼备会计审计专业知识和计算机技术知识的人员充实审计队伍，改善人员知识结构，必要时可聘请专门的计算机专家参与审计项目，以确保计算机审计任务的高质高效完成。第二，提高计算机审计风险意识。提高计算机系统管理人员的风险意识和安全防范意识，在计算机实际操作中，要设立有效的实时监控程序、电子密钥系统等安全防范措施来防范网络远程侵害，预防黑客的恶意攻击等，以减少电子数据遭受侵害或丢失的可能性，减少计算机审计控制风险；计算机审计人员应进一步提高计算机审计风险防范意识，保持应有的职业谨慎，坚守审计职业道德，做到依法、客观、尽责，严谨细致、高质高效，不断打造计算机审计成果“精品”和“高端产品”。第三，提高计算机审计人员素质。首先，在提高审计人员道德素质方面，教育系统内审机构要加强对计算机审计人员的政治思想教育，大力弘扬“责任、忠诚、清廉、依法、独立、奉献”的审计人员核心价值观，坚定正确的政治方向；计算机审计人员要及时了解国家法律法规政策，规范自身行为，严格履职，将审计职业操守内化于心、外化于行，树立良好的职业道德形象。其次，在提高审计人员业务素质方面，教育系统及有关部门应加大对审计人员的知识培训力度，可采取分层次培训的方式进行：第一层次是普及培训，要求审计人员通过学习能掌握计算机系统的基本知识，第二层次是骨干培训，培养出具有充分的计算机审计知识、熟练掌握电算化系统功能、应用程序、网络安全等技术方法，能帮助其他审计人员解决计算机审计难题的骨干人员；第三层次是专家培训，从计算机骨干中选拔出更优秀的人才，通过深层次的培训学习，培养能进行计算机审计软件开发、模型构建、开拓计算机审计新技术新方法的专家型人才。（四）积极争取被审计对象的支持，优化审计环境教育系统计算机审计是手段不是目的，最终是为了加强教育财经管理，促进教育事业永续发展。因此，教育系统内审机构要加强审计宣传，提高被审计单位对计算机审计工作的认识，教育系统计算机审计人员要增强服务意识，以严谨扎实的工作作风、高质高效的审计成果、有效合理的审计建议来使被审计单位真正认识到内部审计是自己的参谋和助手，从而进一步取得被审计单位的理解和支持，促使其更好地配合审计工作的开展，以减少审计风险的发生。