1、关注被审计单位面临的外部风险。行业风险。分析被审计单位的行业特点和行业经营状况,关注行业整体业绩水平,并考虑由此可能给被审计单位带来的影响,特别是对被审计单位会计信息系统真实性带来的影响。此外,不同的行业对电子计算机环境的依赖程度不同,某些依赖程度较高的行业,如电信、银行、软件公司等,数据电子化程度很高,在进行风险评估时应充分考虑到这一点。 网络风险。在网络环境下,企业的资源具有共享性和开放性。此时,应密切关注组织外部用户未经授权的访问,避免未经授权的访问对被审计单位电子数据的真实性和完整性造成的损害。在风险评价时要检查网络安全设置,评价被审计单位在防止黑客攻击和电脑病毒方面的能力。如果被审计单位已经开展了电子商务,还要关注在电子商务交易中使用的数据可能被窃取的风险,检查被审计单位的电子邮件系统的控制情况,防止电子欺骗而导致的虚假邮件,确保每封电子邮件来自真实的客户和真实的交易。 2、关注电子数据的控制环境。主要是指企业的公司治理与IT(信息技术)治理,亦即对被审计单位与电子数据控制相关的内部环境的了解。应充分关注管理层的组织结构,各个部门的分工是否合理,公司治理结构是否有效;被审计单位管理人员的道德水平、管理素质如何,在以前是否存在重大的舞弊行为;要特别关注被审计单位董事会对企业IT治理的重视程度,是否把IT治理提高到了一种战略高度,IT治理目标与企业战略目标是否保持一致,与IT相关的风险是否得到了适当的控制。一般来说,如果组织对IT技术的依赖程度越高,IT治理就越有必要。对被审计单位公司治理与IT治理的关注虽然与电子证据的获取没有直接的联系,但是如果被审计单位公司治理结构失效或者IT治理混乱,将直接导致其信息系统不可信,电子证据的获取便无从谈起。 3、关注信息系统控制风险。一般控制风险。是应用控制的基础,它的强弱直接关系到电子记录的生成与输出是否正确。审计人员应着重关注信息系统中职责分离以及系统软件被修改、盗窃的风险,发现被审计单位一般控制中的弱点,并考虑这些弱点可能对电子记录生成及输出的影响。 应用控制风险。应当关注电子数据在输入时是否经过适当的授权,据以录入的书面原始凭证、记录是否妥当保存;在电子数据处理过程当中,计算机处理过程是否被不正当的人为干预,电子数据是否被修改、删除,电子数据的复制是否经过授权,复制后电子数据的完整性、真实性是否被破坏等等。在数据输出时,要关注电子数据是否被准确的表达、输出结果是否被正当使用。 4、关注电子证据本身的特殊性。电子证据本身具有易改动性,而且一经改动极难察觉,因此在获取电子证据的整个过程当中要保持高度的职业谨慎,时刻评估所取得的电子证据被截取、篡改、删除而导致完整性与真实性受损的风险,作出相应的取证决策。此外,由于电子证据具有多种表现形式,其内容需要通过特殊的设备才能进行还原和解释,还要注意取证工具本身是否正确,工具是否被正确使用。当电子证据的一种表现形式难以获取或表现力受到破坏时,可以考虑获取电子证据的其他形式来替代。