導語：企業(yè)內部審計信息系統(tǒng)風險分析論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

一、發(fā)揮內部審計作用,加強企業(yè)內部控制

(一)企業(yè)應加強內部控制

隨著市場經濟的深入發(fā)展,企業(yè)逐步成為自主經營、自我約束、自我發(fā)展、自我完善的商品生產者和經營者。在“優(yōu)勝劣汰、適者生存”的市場經濟中,企業(yè)要想真正的做到“自主經營、自我約束、自我發(fā)展、自我完善”,必須要加強內部控制,建立有效、完善的內部控制制度,這樣才能在一個絕對的高度上,對企業(yè)進行高瞻遠矚的控制,才能做出與時俱進的決策。

(二)內部審計是企業(yè)內部監(jiān)督機制的重要組成部分

內部審計也是企業(yè)內部控制的一個重要的組成部分,是監(jiān)督內部控制其他環(huán)節(jié)的主要力量。內部審計通過對控制環(huán)境和控制程序的有效性進行監(jiān)督,評估企業(yè)的內部控制是否被執(zhí)行,是否及時反饋有關執(zhí)行結果的信息,是否幫助企業(yè)更有效地實現(xiàn)預期控制目標。同時,在監(jiān)控過程中,內部審計可以促進控制環(huán)境的建立和改善,為改進控制制度提供建設性的意見,為企業(yè)建立健全所需要的內部控制水平服務。在內部控制的監(jiān)督過程中,內部審計發(fā)揮著越來越重要的作用。

二、內部審計在防范信息系統(tǒng)風險中面臨的問題

(一)信息系統(tǒng)安全管理機制不健全

企業(yè)信息系統(tǒng)風險的存在,很多是由于管理不善或控制不嚴造成的。一方面,缺乏一套統(tǒng)一的安全策略體系來指導安全管理工作,無法建立系統(tǒng)內部明確、全面的安全規(guī)范要求。從現(xiàn)有管理制度規(guī)范來看,主要存在的問題是可操作性差,條理不清、重疊或遺漏等;另一方面,現(xiàn)有安全管理制度的管理對象基本是網(wǎng)絡系統(tǒng)管理員等技術部人員,管理對象沒有全面涵蓋所有信息系統(tǒng)技術相關人員,包括所有網(wǎng)絡系統(tǒng)上的內部終端人員和外部人員。

(二)內部審計在信息系統(tǒng)風險防范中的角色缺乏獨立性

內部審計的角色發(fā)生了轉變。從傳統(tǒng)的事后審計而逐漸轉向事前和事中審計,主動參與內部控制系統(tǒng)的建立和完善。內部審計人員即承擔著評價硬件和應用信息系統(tǒng)安全的任務,如果又同時有參與了系統(tǒng)的開發(fā)和實施過程,那么內部審計人員就卻乏獨立性。反之,如果處于對喪失獨立性的擔心,內部審計人員有可能會拒絕參與系統(tǒng)和軟件的開發(fā),那么系統(tǒng)開發(fā)過程中存在的風險又無法得到控制。

(三)內審部門技術力量薄弱造成對信息系統(tǒng)審計形成風險

審計稽核部門的技術力量薄弱,不熟悉業(yè)務系統(tǒng)的流程和功能,對信息系統(tǒng)缺乏必要的認證能力和標準。突出表現(xiàn)為以下幾個方面:一是實施審計稽核的手段和方法沒有得到及時更新,不適應信息系統(tǒng)管理的要求,大部分仍停留在手工審計階段;二是審計稽核部門對計算機賬務系統(tǒng)實施審計的依據(jù)僅依賴于被審計單位提供的打印資料或事后資料,計算機賬務的真實性審計很難得到保證。

三、加強風險防范的措施和對策

(一)構建信息系統(tǒng)安全管理組織及規(guī)范體系

加強信息系統(tǒng)的自我風險評估體系,讓信息系統(tǒng)的管理和技術人員在自身的職責范圍之內正確識別和評估潛在操作風險,主要包括內控制度的查漏補缺、工作流程的整理和規(guī)范、應急預案完善和演練等。同時加強對操作人員的管理,規(guī)范操作程序。一是加強密碼管理,明確規(guī)定操作人員的權限,操作員必須在規(guī)定的權限內辦理業(yè)務,用戶口令及密碼必須專人專用,嚴禁公開口令及密碼;二是要建立健全操作員崗位目標責任制,對網(wǎng)絡操作人員要明確目標任務,規(guī)范操作程序,嚴格落實獎懲制度。三是要嚴格崗位設置,不相容職務進行分離。嚴禁系統(tǒng)管理人員、網(wǎng)絡技術人員、程序開發(fā)人員和前臺操作人員混崗、代崗或一人多崗。四是要加強系統(tǒng)內部的稽核監(jiān)督檢查。稽核監(jiān)督應貫穿于網(wǎng)絡操作的全過程,重點是加強對系統(tǒng)設計開發(fā)、內控管理制度落實、操作運行等方面的

(二)關注信息系統(tǒng)的穩(wěn)定性、安全性和有效性審計

首先,審計人員應運用用一定的技術方法識別系統(tǒng)的完整性,該過程包括檢查、測試、評估系統(tǒng)的內制,以保證系統(tǒng)的穩(wěn)定性;其次,審計人員應評價系統(tǒng)存在的風險和可能產生的后果將成為審計的核心工作和基本內容,保證信息系統(tǒng)的安全性。應根據(jù)審計的標準和準則,評價控制環(huán)境的和IT基礎設施的安全,確保系統(tǒng)滿足組織的業(yè)務需要,保護信息資產的安全完整,以防非授權使用、泄露、修改、損壞或丟失;最后,還應鑒別信息系統(tǒng)的有效性。內部審計必須理解并熟悉操作環(huán)境,了解系統(tǒng)技術的復雜性及其對決策的影響;對來自內部的安全隱患,采用一定的方法進行系統(tǒng)診斷、檢驗、測試,評價其有效性及效率,以支持組織業(yè)務目標的實現(xiàn)

(三)改善內審機構,提高內審人員素質,培養(yǎng)信息系統(tǒng)審計師

為了信息系統(tǒng)的安全、可靠與有效,由獨立于審計對象的信息系統(tǒng)審計師,以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價。信息系統(tǒng)審計師也稱lS審計師或IT審計師,是指那些既通曉信息系統(tǒng)的軟件和硬件(包括信息系統(tǒng)的開發(fā)、運營、維護、管理和安全等),又熟悉經濟管理的內部審計人才。

(四)聘請專家進行協(xié)助

內部審計人員的知識、技能和經驗雖然有助于信息系統(tǒng)的風險防御,但現(xiàn)實中必須承認,在企業(yè)中同時具備計算機技術和審計專業(yè)知識的人才非常短缺。再出色的內部審計人員可能面臨一些系統(tǒng)內的專業(yè)問題卻無法解決,因此有必要聘請外部專家?？梢酝ㄟ^專家的協(xié)助測試運用其專業(yè)技能測試系統(tǒng)安全,進一步防范和解決信息系統(tǒng)風險的存在。

參考文獻:

[1]胡曉明.信息時代的IS審計理論結構構建[J].武漢中南財經政法大學學報,2006,(3).

論文關鍵詞:內部審計信息系統(tǒng)風險防范

論文摘要:內部控制是社會經濟發(fā)展到一定階段的產物,其內容在不斷的發(fā)展與變化,而內部審計是內部監(jiān)督機制的重要組成部分。目前計算機信息系統(tǒng)已在企業(yè)中廣泛使用,而在內部審計過程中如何加強計算機信息系統(tǒng)的風險防范,是企業(yè)內部控制過程中迫切需要解決的問題。