作者：iadit.c…2006-10-315:49:39来源：中内协

随着计算机技术和网络技术在企业管理各方面的应用，电子信息逐渐代替传统意义上的书面信息。面对新环境，审计证据的形式发生了新的变化，即由传统意义上的书面证据转化为电子证据。能否针对电子证据的特点，采取新的思路获取符合审计质量要求的审计证据，是审计人员面临的新挑战。

一、电子证据的特性

电子证据是指审计人员在执行审计业务的过程中为形成审计意见而获取的基于电子技术生成的，以数字化形式存在于多种载体，并可多次复制的证据。电子证据具有以下特性：

1、电子证据基于电子技术生成，具有高科技性。电子证据的生成环境是以电子技术为基础的会计信息系统，会计信息系统以计算机技术和网络技术为依托，具有复杂性。会计信息系统运行正常性及其安全性，直接影响到审计人员取得的电子证据的证明力。特别是在网络环境下，资源具有共享性和开放性，电子会计信息容易受到诸如网络故障、计算机病毒、黑客袭击和非法者入侵等潜在威胁的影响，使会计信息的安全性受到严重威胁，对电子证据的可靠性、安全性产生很大影响。

2、电子证据以数字化形式存在于多种载体，并可多次复制。电子证据的记录存在于多种介质上，比如磁盘、光盘、CDE等磁性、光学、半导体材料。电子记录可以多次复制而不影响其存在形式，资料原件和复制件的区分非常困难,而电子记录在多次复制的过程当中，其真实性和完整性存在被破坏的风险，获得审计证据的原件是最理想的选择，但电子证据的可复制性给审计业务的取证带来了困难。

3、电子证据的精确性与易改动性并存。电子证据以电子技术为依托，避免了传统证据的一些弊端，如书写笔误、恶意行为等主观因素的影响，电子证据反映企业有关情况的精确性程度提高，电子证据证明力较强。但是，保存于磁性介质上的电子证据是可以擦写的数据，在存储、传输和使用过程中，极易遭到截取、篡改、删除等破坏，且可不留痕迹。因此，电子证据的真实性和安全性常受到威胁。审计人员在获取充分、适当的审计证据时，不得不考虑由于电子证据的易改动性带来的风险。

4、电子证据表现形式多样。构成电子证据的电子记录是以二进制代码存贮的光、磁等信号，人们无法直接理解这些信息，因此电子证据的产生与再现都必须依赖计算机软件、硬件正确地解释和还原。通过多媒体输出设备，电子证据可以具有文字、图形、动画、音频及视频等多种表现形式，某些内容可以打印出来作为书面证据使用，这种以多媒体形式存在的电子证据几乎涵盖了所有传统证据类型，这种特性为获取多种形式的电子证据提供了广阔的空间。

在信息系统环境下，审计人员除了面对传统意义上的固有风险、检查风险和控制风险之外，还要面对信息系统风险、网络风险、电子证据本身的特有风险等，这些风险为获取充分、适当的电子证据带来了复杂性。风险控制不当会导致不充分、不适当的电子证据，从而导致审计失败。为了有效识别企业面临的风险，取得恰当的电子证据，以企业的风险评估为基础的风险导向审计为获取电子证据提供了一种很好的思路。

二、风险导向审计下电子证据的获取思路

风险导向审计下，风险评估是一项重要的审计程序，要把风险的评估与控制贯穿到获取电子证据的整个过程当中，充分考虑到各种影响电子证据证明力的风险因素，除了确定可能影响财务报告的重大错报、漏报风险外，还要充分关注电子证据在各关键领域的证明力，以此来指导进一步的控制测试和实质性测试程序，顺利获取充分、适当的电子证据。

在评估被审计单位面临的各种风险对获取电子证据的影响时，应着重考虑以下几点：

1、关注被审计单位面临的外部风险。行业风险。分析被审计单位的行业特点和行业经营状况，关注行业整体业绩水平，并考虑由此可能给被审计单位带来的影响，特别是对被审计单位会计信息系统真实性带来的影响。此外，不同的行业对电子计算机环境的依赖程度不同，某些依赖程度较高的行业，如电信、银行、软件公司等，数据电子化程度很高，在进行风险评估时应充分考虑到这一点。

网络风险。在网络环境下，企业的资源具有共享性和开放性。此时，应密切关注组织外部用户未经授权的访问，避免未经授权的访问对被审计单位电子数据的真实性和完整性造成的损害。在风险评价时要检查网络安全设置，评价被审计单位在防止黑客攻击和电脑病毒方面的能力。如果被审计单位已经开展了电子商务，还要关注在电子商务交易中使用的数据可能被窃取的风险，检查被审计单位的电子邮件系统的控制情况，防止电子欺骗而导致的虚假邮件，确保每封电子邮件来自真实的客户和真实的交易。

2、关注电子数据的控制环境。主要是指企业的公司治理与IT（信息技术）治理，亦即对被审计单位与电子数据控制相关的内部环境的了解。应充分关注管理层的组织结构，各个部门的分工是否合理，公司治理结构是否有效；被审计单位管理人员的道德水平、管理素质如何，在以前是否存在重大的舞弊行为；要特别关注被审计单位董事会对企业IT治理的重视程度，是否把IT治理提高到了一种战略高度，IT治理目标与企业战略目标是否保持一致，与IT相关的风险是否得到了适当的控制。一般来说，如果组织对IT技术的依赖程度越高，IT治理就越有必要。对被审计单位公司治理与IT治理的关注虽然与电子证据的获取没有直接的联系，但是如果被审计单位公司治理结构失效或者IT治理混乱，将直接导致其信息系统不可信，电子证据的获取便无从谈起。

3、关注信息系统控制风险。一般控制风险。是应用控制的基础，它的强弱直接关系到电子记录的生成与输出是否正确。审计人员应着重关注信息系统中职责分离以及系统软件被修改、盗窃的风险，发现被审计单位一般控制中的弱点，并考虑这些弱点可能对电子记录生成及输出的影响。

应用控制风险。应当关注电子数据在输入时是否经过适当的授权，据以录入的书面原始凭证、记录是否妥当保存；在电子数据处理过程当中，计算机处理过程是否被不正当的人为干预，电子数据是否被修改、删除，电子数据的复制是否经过授权，复制后电子数据的完整性、真实性是否被破坏等等。在数据输出时，要关注电子数据是否被准确的表达、输出结果是否被正当使用。

4、关注电子证据本身的特殊性。电子证据本身具有易改动性，而且一经改动极难察觉，因此在获取电子证据的整个过程当中要保持高度的职业谨慎，时刻评估所取得的电子证据被截取、篡改、删除而导致完整性与真实性受损的风险，作出相应的取证决策。此外，由于电子证据具有多种表现形式，其内容需要通过特殊的设备才能进行还原和解释，还要注意取证工具本身是否正确，工具是否被正确使用。当电子证据的一种表现形式难以获取或表现力受到破坏时，可以考虑获取电子证据的其他形式来替代。

将风险导向审计的思想运用到电子证据的获取当中，目的在于获取电子证据过程中时刻注意与电子证据可靠性相关的风险，以在必要时修改相关审计程序，最终获取充分适当的审计证据。本文仅就风险评估过程中对电子证据获取的相关风险展开讨论，并未涉及到具体的获取程序和技术，在运用具体的审计程序和技术时，要充分考虑到以上风险对电子证据的影响。（作者:山东经济学院张利华）

摘自：《中国内部审计》