(四)审计准则缺失带来的审计风险。计算机信息技术环境下,对财政收支、财务收支审计,不能仅以出具的纸质资料为依据,还必须对其生成的信息系统及数据库和财务软件的可靠性、电子数据的准确性等进行鉴证,否则,就会形成假数真审。所以非常需要制定新的审计准则,有针对性对计算机审计工作做出全面系统的补充。而眼下。用现行审计准则中界定的具体审计目标,来指导计算机审计就显得比较狭窄,无法涵盖全部待审内容,包括与被审计单位计算机广泛应用不相协调的内部控制,也就无法用其分析审计风险的确切来源。审计准则的缺失会使审计工作失去权威标准,审计风险自然加大。
二、控制计算机审计风险的对策
(一)掌握被审计单位对计算机信息系统的控制情况,制订完整、详细、合理的审计方案。编制审计实施方案的重要部分就是审计重要性水平的确定和可以接受审计风险的评估。计算机审计尤其要通过检查、查询、观察等方法对被审计单位基本情况和计算机信息系统的运行状况、内部控制进行调查。除了了解常规审计中被审计单位业务性质、组织结构、管理者的内部控制、管理措施、以前年度审计情况等外,重点通过与被审计单位有关业务、计算机及管理人员座谈,交流沟通,索取和分析文档资料,对其计算机信息系统硬件设备、系统软件、应用软件、经营管理工作、战略需求与规划等进行审计调查,了解财务系统、业务系统的安全性,确定计算机信息系统层和电子数据层的重要性水平,分析和初步评价可接受的审计风险、审计执行阶段的风险控制责任的落实,编写能够符合被审计单位实际的、全面的审计方案,并分解好审计工作,使各个审计岗位职责明确。
(二)抓住影响财务信息质量的根源,开展计算机信息系统安全性、内部控制符合性测试。审计实施中,要着眼于控制源头,深入分析系统运行、内部控制,评估控制风险要素规模,确定可接受检查风险的大小、计算机审计的重点与范围,符合性测试,需要手工测试与计算机测试相结合。运用询问调查、实地考察方法,检查被审计单位软件文档、程序流程图、编码、运行记录与结果,软件系统中存在那些控制、在哪里控制、如何控制;以信息系统输入程序流程为重心,追踪检查若干业务处理全过程,验证系统关键控制功能在实际执行程序中是否恰当、有效。测试硬件系统设施、与其相连的外部网络之间设施是否安全,确保提供的信息不被泄露;计算机机房等外部设施是否能够保障硬件设备不受损害,足够支撑会计信息系统有效运转,以及移动存储介质是否安全、存放适宜。检测组织管理制度是否做到不相容职责相分离、实现获得安全的信息,针对不同系统故障或灾难是否各有应急处理措施和软硬件更新维护制度,能有效避免因技术落后带来的安全隐患,系统文档管理是否合理、规范、安全。要运用计算机测试软件系统,是否能够提供完整、正确,高效的电子数据,财务信息系统是否有缺陷、实际观察相关内部控制设计是否合理、运行是否正常。经过符合性测试,若系统安全性好、内控制度健全有效,可以减少实质性审查的范围和数量;反之,应扩大之。
(三)确立电子数据完整性、准确性目标,全面详细对电子数据进行实质性测试。审计实施中,要掌握被审计单位计算机系统的分布和应用,采取直接拷贝和直接读取的方式,直接从其信息系统数据存储目录获取数据,或利用已经存在专门的数据接口来采集数据,并做到数据采集到位;对所采集的数据进行清理、转换,生成新的账簿、报表等各种财务资料、业务资料,严防重要数据缺失,按照审计目的加工基础数据,并从中选择审计所需要的数据;运用计算机编辑检验手段,进行账证、账账、账实、账表核对,校检并验证各种财务数据、业务数据是否正确、完整、合理,电子数据与实际业务内容是否一致、与最初的实际输入系统的数据是否一致、与最终生成对外的报表信息是否一致。应根据相关业务处理逻辑、业务数据的钩稽关系、法律法规的规定或审计经验进行具体数据分析,找出薄弱环节,防止程序逻辑错误、用错文件、处理非法数据,保证会计数据处理正确无误;通过应用软件对电子数据进行复算、检查、核对,对某些重要财务数据,如利润、成本、资金等进行各种分析判断,从中发现不正确情况和问题,得出有效性检验结果;在核对电子数据准确性、完整性的同时,对审计过程中发现的问题,分类、归纳、整理,继续采用其他方法,追踪到底,对重要问题要重点核实,材料要齐全、证据要充分,直到确认所有查证错误和无法查证的可能错误合计不超过整体重要性水平,才能将审计风险控制到可接受水平之内。