近幾年，有條件的地方已經(jīng)不局限于計算機輔助審計，開始了計算機審計。計算機審計是依托計算機系統(tǒng)對被審計單位運用計算機管理財政收支、財務(wù)收支及其相關(guān)經(jīng)濟業(yè)務(wù)活動的信息系統(tǒng)以及其存儲、處理電子數(shù)據(jù)的審計。審計工作依靠計算機信息系統(tǒng)可以實現(xiàn)實時審計，使單一的事后審計轉(zhuǎn)變?yōu)槭潞髮徲嬇c事中審計相結(jié)合、單一的靜態(tài)審計轉(zhuǎn)變?yōu)殪o態(tài)審計與動態(tài)審計相結(jié)合、單一的現(xiàn)場審計轉(zhuǎn)變?yōu)楝F(xiàn)場審計與遠程審計相結(jié)合；可以實現(xiàn)詳細審計、全面審計，拓寬審計視野，提高審計效率。然而，審計活動屬于高風險職業(yè)領(lǐng)域。這種高風險既來自于社會對審計工作質(zhì)量愈來愈高的厚望和要求，也來自于日益復雜的審計工作環(huán)境。計算機信息系統(tǒng)如同雙刃劍，在給審計工作帶來正面影響的同時，也帶來了風險。

　　一、計算機審計存在的風險

　?。ㄒ唬┚唧w審計目標擴展帶來的風險。計算機審計，對被審計單位各種財務(wù)數(shù)據(jù)真實性、合法性、正確性的認定，就必然包含對其電子數(shù)據(jù)的載體（網(wǎng)絡(luò)、信息系統(tǒng)及數(shù)據(jù)庫）的安全性、可靠性的認定。具體審計目標擴展了，審計內(nèi)容更加寬泛復雜，計算機信息系統(tǒng)的開放性、易被攻擊性及網(wǎng)絡(luò)活動的無痕型、網(wǎng)絡(luò)交易的虛擬性，都使得計算機審計面臨的不確定因素增多、風險加大。

　?。ǘ徲媽ο笤黾?、范圍擴大帶來的審計風險。計算機審計增加了現(xiàn)行信息系統(tǒng)的審計和電子數(shù)據(jù)的審計，已突破傳統(tǒng)財務(wù)審計的范圍。以報表評價為主要目標的財務(wù)報表審計，因?qū)崟r網(wǎng)絡(luò)的存在，往往同業(yè)務(wù)審計、經(jīng)營審計和管理審計密不可分。包羅萬象的大審計，使審計風險來源增加。被審計單位網(wǎng)絡(luò)、信息系統(tǒng)及數(shù)據(jù)庫、應(yīng)用軟件的不穩(wěn)定性，電子數(shù)據(jù)的易被改變、被復制和被消除性，以及信息系統(tǒng)目前難以實現(xiàn)直接查閱源程序等，必然帶來新的審計風險要素。

　　（三）掌握計算機審計技能的人員不足帶來的風險。計算機審計要求審計人員必須熟悉計算機信息系統(tǒng)運作、數(shù)據(jù)采集與分析、數(shù)據(jù)挖掘等技術(shù)與方法。能夠面對海量的數(shù)據(jù)，尋找到審計線索突破口：隨時根據(jù)被審計單位的數(shù)據(jù)接口特征，選擇滿足需要的數(shù)據(jù)采集軟件類型，編制各種審計模塊：針對采集的數(shù)據(jù)進行篩選、清理和分析，快速準確地找到并驗證各種審計疑點。而現(xiàn)階段，要使審計人員普遍具有較高的計算機審計能力，還需要一個過程。開展計算機審計，倘若人員沒有足夠的技能，將無從下手：倉促上機，無疑會帶來檢查風險的增加。

　?。ㄋ模徲嫓蕜t缺失帶來的審計風險。計算機信息技術(shù)環(huán)境下，對財政收支、財務(wù)收支審計，不能僅以出具的紙質(zhì)資料為依據(jù)，還必須對其生成的信息系統(tǒng)及數(shù)據(jù)庫和財務(wù)軟件的可靠性、電子數(shù)據(jù)的準確性等進行鑒證，否則，就會形成假數(shù)真審。所以非常需要制定新的審計準則，有針對性對計算機審計工作做出全面系統(tǒng)的補充。而眼下。用現(xiàn)行審計準則中界定的具體審計目標，來指導計算機審計就顯得比較狹窄，無法涵蓋全部待審內(nèi)容，包括與被審計單位計算機廣泛應(yīng)用不相協(xié)調(diào)的內(nèi)部控制，也就無法用其分析審計風險的確切來源。審計準則的缺失會使審計工作失去權(quán)威標準，審計風險自然加大。

　　二、控制計算機審計風險的對策

　?。ㄒ唬┱莆毡粚徲媶挝粚τ嬎銠C信息系統(tǒng)的控制情況，制訂完整、詳細、合理的審計方案。編制審計實施方案的重要部分就是審計重要性水平的確定和可以接受審計風險的評估。計算機審計尤其要通過檢查、查詢、觀察等方法對被審計單位基本情況和計算機信息系統(tǒng)的運行狀況、內(nèi)部控制進行調(diào)查。除了了解常規(guī)審計中被審計單位業(yè)務(wù)性質(zhì)、組織結(jié)構(gòu)、管理者的內(nèi)部控制、管理措施、以前年度審計情況等外，重點通過與被審計單位有關(guān)業(yè)務(wù)、計算機及管理人員座談，交流溝通，索取和分析文檔資料，對其計算機信息系統(tǒng)硬件設(shè)備、系統(tǒng)軟件、應(yīng)用軟件、經(jīng)營管理工作、戰(zhàn)略需求與規(guī)劃等進行審計調(diào)查，了解財務(wù)系統(tǒng)、業(yè)務(wù)系統(tǒng)的安全性，確定計算機信息系統(tǒng)層和電子數(shù)據(jù)層的重要性水平，分析和初步評價可接受的審計風險、審計執(zhí)行階段的風險控制責任的落實，編寫能夠符合被審計單位實際的、全面的審計方案，并分解好審計工作，使各個審計崗位職責明確。

　?。ǘ┳プ∮绊懾攧?wù)信息質(zhì)量的根源，開展計算機信息系統(tǒng)安全性、內(nèi)部控制符合性測試。審計實施中，要著眼于控制源頭，深入分析系統(tǒng)運行、內(nèi)部控制，評估控制風險要素規(guī)模，確定可接受檢查風險的大小、計算機審計的重點與范圍，符合性測試，需要手工測試與計算機測試相結(jié)合。運用詢問調(diào)查、實地考察方法，檢查被審計單位軟件文檔、程序流程圖、編碼、運行記錄與結(jié)果，軟件系統(tǒng)中存在那些控制、在哪里控制、如何控制；以信息系統(tǒng)輸入程序流程為重心，追蹤檢查若干業(yè)務(wù)處理全過程，驗證系統(tǒng)關(guān)鍵控制功能在實際執(zhí)行程序中是否恰當、有效。測試硬件系統(tǒng)設(shè)施、與其相連的外部網(wǎng)絡(luò)之間設(shè)施是否安全，確保提供的信息不被泄露；計算機機房等外部設(shè)施是否能夠保障硬件設(shè)備不受損害，足夠支撐會計信息系統(tǒng)有效運轉(zhuǎn)，以及移動存儲介質(zhì)是否安全、存放適宜。檢測組織管理制度是否做到不相容職責相分離、實現(xiàn)獲得安全的信息，針對不同系統(tǒng)故障或災(zāi)難是否各有應(yīng)急處理措施和軟硬件更新維護制度，能有效避免因技術(shù)落后帶來的安全隱患，系統(tǒng)文檔管理是否合理、規(guī)范、安全。要運用計算機測試軟件系統(tǒng)，是否能夠提供完整、正確，高效的電子數(shù)據(jù)，財務(wù)信息系統(tǒng)是否有缺陷、實際觀察相關(guān)內(nèi)部控制設(shè)計是否合理、運行是否正常。經(jīng)過符合性測試，若系統(tǒng)安全性好、內(nèi)控制度健全有效，可以減少實質(zhì)性審查的范圍和數(shù)量；反之，應(yīng)擴大之。

　?。ㄈ┐_立電子數(shù)據(jù)完整性、準確性目標，全面詳細對電子數(shù)據(jù)進行實質(zhì)性測試。審計實施中，要掌握被審計單位計算機系統(tǒng)的分布和應(yīng)用，采取直接拷貝和直接讀取的方式，直接從其信息系統(tǒng)數(shù)據(jù)存儲目錄獲取數(shù)據(jù)，或利用已經(jīng)存在專門的數(shù)據(jù)接口來采集數(shù)據(jù)，并做到數(shù)據(jù)采集到位；對所采集的數(shù)據(jù)進行清理、轉(zhuǎn)換，生成新的賬簿、報表等各種財務(wù)資料、業(yè)務(wù)資料，嚴防重要數(shù)據(jù)缺失，按照審計目的加工基礎(chǔ)數(shù)據(jù)，并從中選擇審計所需要的數(shù)據(jù)；運用計算機編輯檢驗手段，進行賬證、賬賬、賬實、賬表核對，校檢并驗證各種財務(wù)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)是否正確、完整、合理，電子數(shù)據(jù)與實際業(yè)務(wù)內(nèi)容是否一致、與最初的實際輸入系統(tǒng)的數(shù)據(jù)是否一致、與最終生成對外的報表信息是否一致。應(yīng)根據(jù)相關(guān)業(yè)務(wù)處理邏輯、業(yè)務(wù)數(shù)據(jù)的鉤稽關(guān)系、法律法規(guī)的規(guī)定或?qū)徲嫿?jīng)驗進行具體數(shù)據(jù)分析，找出薄弱環(huán)節(jié)，防止程序邏輯錯誤、用錯文件、處理非法數(shù)據(jù)，保證會計數(shù)據(jù)處理正確無誤；通過應(yīng)用軟件對電子數(shù)據(jù)進行復算、檢查、核對，對某些重要財務(wù)數(shù)據(jù)，如利潤、成本、資金等進行各種分析判斷，從中發(fā)現(xiàn)不正確情況和問題，得出有效性檢驗結(jié)果；在核對電子數(shù)據(jù)準確性、完整性的同時，對審計過程中發(fā)現(xiàn)的問題，分類、歸納、整理，繼續(xù)采用其他方法，追蹤到底，對重要問題要重點核實，材料要齊全、證據(jù)要充分，直到確認所有查證錯誤和無法查證的可能錯誤合計不超過整體重要性水平，才能將審計風險控制到可接受水平之內(nèi)。

　　（四）強化審計復核，保證計算機審計工作質(zhì)量和審計風險的最終控制。出具審計報告前，必須進行審計復核。認真整理、評價審計證據(jù)客觀性、相關(guān)性、充分性、合法性，重點檢查信息系統(tǒng)、電子數(shù)據(jù)查證的和未查證的累計重大錯誤總額是否超過各層重要性水平；復核工作底稿，針對被審計單位重要的業(yè)務(wù)活動、信息系統(tǒng)及數(shù)據(jù)與相關(guān)法規(guī)進行核對；與被審計單位管理層溝通，比對重大錯誤風險是否超過信息系統(tǒng)層重要性水平，復核其業(yè)務(wù)系統(tǒng)、財務(wù)系統(tǒng)及數(shù)據(jù)中反映出的重大問題，評價審計風險整體性水平是否在可以接受水平之下。復核后。對重要問題未能達成一致，需要對審計結(jié)果和審計意見重新調(diào)整，甚至追加審計程序，重新收集證據(jù)，切實保證計算機審計工作質(zhì)量。