淺析信息系統(tǒng)審計風險

1、淺析信息系統(tǒng)審計風險 摘要信息技術(shù)在各行業(yè)迅速普及，信息系統(tǒng)給企業(yè)帶來社會經(jīng)濟效益的同時，其自身特點給企業(yè)帶來了不容忽視的風險，因此信息系統(tǒng)審計顯得尤為重要。本文從信息系統(tǒng)審計風險的類型和特征入手，分析了產(chǎn)生審計風險的原因，進一步提出了防范信息系統(tǒng)審計風險的措施。 關(guān)鍵詞審計風險；防范措施；信息系統(tǒng)審計 在信息化環(huán)境下，信息系統(tǒng)在安全性、可靠性和有效性上可能存在缺陷或發(fā)生錯誤的隱患，行業(yè)的信息系統(tǒng)中可能存在一系列風險因素，進而增加經(jīng)營管理風險的可能性，對信息系統(tǒng)進行充分審計利于降低甚至規(guī)避相關(guān)的風險。 1信息系統(tǒng)審計風險類型 信息系統(tǒng)審計風險包括以下三個方面：其一是被審計單位信息系統(tǒng)自身潛在的

2、風險，即固有風險；其二是被審計單位內(nèi)部控制存在缺陷產(chǎn)生的風險，即控制風險；其三是審計師在信息系統(tǒng)審計過程中產(chǎn)生的風險，即檢查風險。下面具體分析面臨的審計風險。 1.1固有風險 固有風險的產(chǎn)生是由于企業(yè)自身的因素，與信息系統(tǒng)審計沒有關(guān)系。固有風險是在信息系統(tǒng)不存在相關(guān)內(nèi)部控制的前提下，信息系統(tǒng)或其子系統(tǒng)發(fā)生重大錯誤的可能性。當企業(yè)的信息系統(tǒng)存在安全漏洞，系統(tǒng)內(nèi)的相關(guān)電子數(shù)據(jù)或程序遭受破壞時，信息系統(tǒng)存在的固有風險偏高。信息系統(tǒng)審計的固有風險與計算機硬件配置、軟件質(zhì)量以及網(wǎng)絡安全有關(guān)。主要表現(xiàn)在：系統(tǒng)設計風險。由于信息不對稱和知識結(jié)構(gòu)的不完善使得系統(tǒng)開發(fā)人員設計出的信息系統(tǒng)與系統(tǒng)使用者的需求不匹配

3、，那么就必然帶來漏洞。系統(tǒng)風險。信息系統(tǒng)的硬件配置不完善，軟件質(zhì)量不可靠，系統(tǒng)自控功能較弱而產(chǎn)生系統(tǒng)風險。系統(tǒng)環(huán)境風險。電子數(shù)據(jù)大量集中在系統(tǒng)的信息中心，同時信息系統(tǒng)實現(xiàn)數(shù)據(jù)的高速處理，在此過程中，系統(tǒng)內(nèi)數(shù)據(jù)遭到破壞或者處理時出現(xiàn)失誤。 1.2控制風險 控制風險也與信息系統(tǒng)審計無關(guān)，是信息系統(tǒng)或其子系統(tǒng)發(fā)生重大錯誤并且沒有被內(nèi)部控制及時防止或發(fā)現(xiàn)糾正而產(chǎn)生的風險。信息系統(tǒng)在處理相關(guān)數(shù)據(jù)時，絕大多數(shù)的處理流程和相應的控制程序存在于系統(tǒng)中。在信息系統(tǒng)環(huán)境中，其控制范圍發(fā)生一定的變化，具有其特殊性，包括系統(tǒng)組織操作、安全和數(shù)據(jù)處理等方面，所以很多一般的控制活動會失效。主要表現(xiàn)在：約束機制失效風險。在

4、信息系統(tǒng)環(huán)境下，交易授權(quán)直接由電子數(shù)據(jù)處理功能取得，信息系統(tǒng)中各崗位不相容職責分配較為集中，因不恰當?shù)氖跈?quán)而促使舞弊行為發(fā)生。系統(tǒng)數(shù)據(jù)的安全性風險。為保證系統(tǒng)數(shù)據(jù)的安全性和保密性，與書面資料相一致，防止系統(tǒng)數(shù)據(jù)被篡改或非法復制，監(jiān)控和管理信息系統(tǒng)的有效運行，需要對人員權(quán)限進行適當有效的控制，對日常電子數(shù)據(jù)進行維護，保障信息系統(tǒng)的安全。 1.3檢查風險 檢查風險主要是與信息系統(tǒng)審計有關(guān)，是信息系統(tǒng)審計人員作為獨立第三方通過實質(zhì)性測試程序未能檢查出其存在重大錯誤而產(chǎn)生的風險。信息系統(tǒng)審計的檢查風險貫穿于審計過程，是唯一可以通過審計人員控制的風險。在信息系統(tǒng)環(huán)境下，審計人員的自身素養(yǎng)以及信息技術(shù)水平

5、是影響檢查風險的重要因素。主要表現(xiàn)在：審計人員執(zhí)業(yè)能力風險。信息系統(tǒng)的復雜性要求審計人員必須具備更加豐富的知識和技能，不僅要掌握會計、財務、審計知識，還要熟悉網(wǎng)絡技術(shù)、信息處理以及管理技術(shù)。同時，人工操作將逐漸減少，信息技術(shù)是否有效運用的檢查逐漸體現(xiàn)出了現(xiàn)實價值。審計人員職業(yè)道德風險。在審計過程中，審計人員應保持其作為第三方的獨立性。審計人員在信息系統(tǒng)環(huán)境下應保持其職業(yè)謹慎性，恰當?shù)剡x擇審計程序和方法，完成審計任務，降低審計過程中的檢查風險。 2信息系統(tǒng)審計風險的特征 信息系統(tǒng)審計與其他審計不同，導致審計風險發(fā)生了很大變化，并且表現(xiàn)出不同的特征。其主要表現(xiàn)在以下幾個方面。 2.1隱蔽性 信息系

6、統(tǒng)審計工作主要面對被審計單位系統(tǒng)中大量的電子數(shù)據(jù)，操作人員使用信息系統(tǒng)負責處理數(shù)據(jù)輸入和輸出環(huán)節(jié)的信息，中間流程的數(shù)據(jù)處理幾乎完全由計算機自己完成。與一般的審計證據(jù)不同，審計人員在獲取審計證據(jù)時要考慮電子數(shù)據(jù)復雜和易被破壞的特點，在對數(shù)據(jù)信息采集、整理和分析過程中審計風險隱蔽性加大，不易懷疑計算機系統(tǒng)的數(shù)據(jù)處理能力，從而不易發(fā)現(xiàn)其存在的問題，審計人員的控制方法不能得以有效實施。 22不可控性 信息系統(tǒng)擁有高質(zhì)量硬件軟件可以保障系統(tǒng)的穩(wěn)定性。審計人員對更新的審計軟件的熟悉程度影響其在信息系統(tǒng)審計過程中的操作和分析。信息系統(tǒng)數(shù)據(jù)處理相對集中高效，磁介質(zhì)存儲信息使得數(shù)據(jù)存儲載體發(fā)生改變，系統(tǒng)內(nèi)部控制

7、轉(zhuǎn)而以計算機系統(tǒng)內(nèi)部控制為主。而系統(tǒng)自身的運行有效、控制失靈等安全隱患也造成了審計風險的不可控性。 2.3群發(fā)性 信息系統(tǒng)中同種業(yè)務的數(shù)據(jù)處理采用相同程序，該程序設計開發(fā)錯誤未被發(fā)現(xiàn)，那么會出現(xiàn)錯誤的反復性。信息系統(tǒng)數(shù)據(jù)處理的整個流程幾乎完全由計算機完成，某一審計程序未能發(fā)現(xiàn)信息系統(tǒng)存在的審計風險可能會連續(xù)地引發(fā)接下來的程序中的風險，一旦上個流程出現(xiàn)錯誤，必然導致下面的業(yè)務處理流程的數(shù)據(jù)失真，最終對企業(yè)生產(chǎn)經(jīng)營決策產(chǎn)生重大影響。 3信息系統(tǒng)審計風險產(chǎn)生的原因 信息化環(huán)境造成了信息系統(tǒng)審計的困難，使審計風險愈發(fā)復雜，以下將從客觀原因和主觀原因進行簡單剖析。 3.1客觀原因 客觀原因是其由信息化環(huán)

8、境引起的。信息化環(huán)境下，一方面，電子數(shù)據(jù)易被更改、破壞，影響了審計證據(jù)的可靠性。信息網(wǎng)絡自身風險較大，出現(xiàn)突發(fā)性故障的概率較高，外在不和諧因素如病毒的入侵，黑客破壞隨時威脅系統(tǒng)的安全，導致信息系統(tǒng)環(huán)境風險增大。同時系統(tǒng)的設計存在缺陷，計算機硬件配置與軟件質(zhì)量較差，使得系統(tǒng)自控較弱，容易造成審計線索缺失；另一方面，行業(yè)的信息系統(tǒng)中可能存在功能缺陷、控制缺陷、不恰當授權(quán)等風險因素，加大審計風險，影響審計效率和質(zhì)量。目前我國信息系統(tǒng)審計還處于初步發(fā)展階段，對于信息系統(tǒng)審計沒有健全的法律法規(guī)和審計準則，相關(guān)的法規(guī)準則缺失，審計人員在執(zhí)行審計業(yè)務時沒有相應的職業(yè)規(guī)范可循，必然影響審計工作質(zhì)量，加大了信息

9、系統(tǒng)審計方面的風險。 3.2主觀原因 主觀原因主要是其由審計人員自身特點引起的。由于信息技術(shù)的不斷更新和發(fā)展，審計證據(jù)的難獲取性，審計線索的隱蔽性等，信息系統(tǒng)審計人員不具備應有的專業(yè)能力，審計人員的執(zhí)業(yè)水平與信息系統(tǒng)發(fā)展不協(xié)調(diào)。信息系統(tǒng)中大量的電子數(shù)據(jù)需要處理，此過程都在計算機內(nèi)進行，審計線索更加隱蔽，審計人員很難發(fā)現(xiàn)問題或者錯誤，所以審計人員必須利用先進的審計技術(shù)，從而降低檢查風險。審計人員對會計軟件和計算機系統(tǒng)知識掌握薄弱，信息技術(shù)運用不靈活，必然帶來審計風險。信息化環(huán)境下存在信息系統(tǒng)安全風險和審計軟件風險，當審計人員對審計軟件了解不足或?qū)徲嫎I(yè)務不夠熟悉時，造成審計上的漏洞甚至發(fā)生錯誤。

10、企業(yè)的信息系統(tǒng)中蘊含海量的電子數(shù)據(jù)，審計人員需要在保證企業(yè)信息系統(tǒng)正常工作的情況下進行審計業(yè)務，造成聯(lián)網(wǎng)的其他企業(yè)與之相關(guān)的非經(jīng)濟業(yè)務活動的困擾，審計人員在獲取有用的信息難度加大。 4信息系統(tǒng)審計風險的防范措施 通過對信息系統(tǒng)審計風險的分析后，為了降低審計風險，必須采取有效的應對措施，從而保障信息系統(tǒng)審計的內(nèi)外部環(huán)境優(yōu)化，提升審計質(zhì)量。 4.1建立和健全信息系統(tǒng)審計法律法規(guī)和準則體系 在信息化環(huán)境下，信息系統(tǒng)審計的審計對象、技術(shù)和方法等發(fā)生了轉(zhuǎn)變，傳統(tǒng)的法律法規(guī)和審計準則不能完全適用于該審計，而我國目前尚未制定和出臺相關(guān)信息系統(tǒng)審計準則和法律。在國際上，國際信息系統(tǒng)審計協(xié)會（isaca）發(fā)布的

11、信息系統(tǒng)審計準則是目前國際上通用的信息系統(tǒng)準則，其中包括了審計準則、審計指南和審計程序三個方面。此外，其他組織如國際會計師聯(lián)合會和國際內(nèi)部審計師協(xié)會也制定了相關(guān)的規(guī)范。我國在借鑒國際信息系統(tǒng)審計的實踐經(jīng)驗的同時，可以結(jié)合國內(nèi)注冊會計師管理情況，制定出我國特色的信息系統(tǒng)審計準則和法律，為降低信息系統(tǒng)審計風險提供有力保障。 4.2加強信息系統(tǒng)內(nèi)部控制建設 信息系統(tǒng)運行得安全可靠需要健全有效的信息系統(tǒng)內(nèi)部控制。在高度自動化的信息環(huán)境中，信息系統(tǒng)的設計開發(fā)者和使用者是系統(tǒng)內(nèi)部控制及其審計的主要參與人員，其應當全面投入到信息系統(tǒng)的內(nèi)部控制構(gòu)建中去。為有效降低審計風險，建立信息系統(tǒng)內(nèi)部控制體系勢在必行。具

12、體表現(xiàn)在：一是要改善內(nèi)部控制環(huán)境并加強風險評估程序，將制定的內(nèi)控制度落到實處并自行評估和評價，對其有效性進行信息反饋，便于進一步完善信息系統(tǒng)的內(nèi)部控制；二是強化內(nèi)部控制的技術(shù)應用。只有涉及內(nèi)部控制相關(guān)的技術(shù)得到有效運用，才能降低被審計單位對內(nèi)控的依賴程度。此類技術(shù)包括監(jiān)控系統(tǒng)、綜合分析平臺、防火墻的建立和權(quán)限管理等。 4.3運用先進的信息系統(tǒng)審計技術(shù)方法 先進審計技術(shù)方法的運用便于提高審計效率和提升審計質(zhì)量。審計人員獲得充分適當?shù)膶徲嬜C據(jù)來實現(xiàn)審計目標需要其具備熟練的技術(shù)方法。目前我國信息系統(tǒng)審計技術(shù)保持迅速發(fā)展的態(tài)勢，并逐漸縮小與歐美發(fā)達國家的差距。先進的信息系統(tǒng)審計技術(shù)包括了相關(guān)的安全審計

13、技術(shù)、數(shù)據(jù)挖掘技術(shù)以及信息系統(tǒng)審計證據(jù)生成技術(shù)等，我國需要對這些技術(shù)領(lǐng)域的研究全面加強，同時在其完善后應及時投入運用，不斷推進審計技術(shù)的更新，從而使之達到先進水平。 4.4加大信息系統(tǒng)審計人才培養(yǎng)力度 信息系統(tǒng)審計人員的職業(yè)能力和專業(yè)素養(yǎng)是提升信息系統(tǒng)審計質(zhì)量的保障。在信息系統(tǒng)環(huán)境下，審計人員需要具備全面的知識，包括審計、會計、計算機技術(shù)和信息系統(tǒng)管理等，同時這樣全方位的審計人才又相當缺乏，所以培養(yǎng)高素質(zhì)的審計人才，任務顯得尤為重要和艱難。我國信息系統(tǒng)的人才培養(yǎng)需要學歷教育、社會實踐和培訓有效結(jié)合，各高校開設審計與計算機融合的相關(guān)專業(yè)和課程，加強信息系統(tǒng)理論知識的學習，審計機構(gòu)適時提供培訓，并安排審計人員真正應用實踐，這樣才能有力地促進信息系統(tǒng)審計人才的培養(yǎng)。 作者:茆敏 單位:南京審計學院 參考文獻 1孫晶淺談信息系統(tǒng)審計風險與控制j中國管理信息化，2012（22）：1819 2胡曉明風險導向信息系統(tǒng)審計及其發(fā)展思路j經(jīng)濟管理，2007（2）：6366 3謝岳山聯(lián)網(wǎng)環(huán)境下信息系統(tǒng)審計的體系架構(gòu)j審計研究，2009（5）：3739 4王振武，張子瑾信