導(dǎo)語：信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制研究一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：近年來，隨著互聯(lián)網(wǎng)時(shí)代的到來，使得信息技術(shù)日益成熟，但盡管是在互聯(lián)網(wǎng)技術(shù)使用廣泛的當(dāng)下，信息系統(tǒng)的審計(jì)風(fēng)險(xiǎn)問題仍然存在。無論是固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)還是檢查風(fēng)險(xiǎn)，這些信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)，都在一定程度上影響和限制了信息系統(tǒng)的有效運(yùn)作。COBIT控制理念作為信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系的重要理念，對(duì)其起到啟示和優(yōu)化建設(shè)作用。

關(guān)鍵詞：COBIT;控制理念;信息系統(tǒng);審計(jì);風(fēng)險(xiǎn)控制

基于COBIT控制理念，COBIT控制理念的控制目標(biāo)主要分為五點(diǎn)。第一是高效性，通過最高層或最經(jīng)濟(jì)的模式，利用現(xiàn)有資源來提供充分的信息，實(shí)現(xiàn)信息系統(tǒng)信息對(duì)稱性的強(qiáng)化。第二是機(jī)密性，對(duì)于涉及敏感話題的信息予以保護(hù)，對(duì)于未經(jīng)授權(quán)的信息和話題等進(jìn)行有效維護(hù)，盡可能避免隱私或敏感信息被披露。第三是完整性，通過精準(zhǔn)完全的信息，實(shí)現(xiàn)有效的商業(yè)評(píng)價(jià)或期望。第四是可用性，在應(yīng)對(duì)商業(yè)處理需求時(shí)，信息是切實(shí)可用的。第五是準(zhǔn)時(shí)信息可靠性，他們?yōu)楣芾碚呷粘＝?jīng)營(yíng)管理提供有效的信息基礎(chǔ)。COBIT控制理念對(duì)信用系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系的形成有直接貢獻(xiàn)。

1信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的類別和特征

1.1固有風(fēng)險(xiǎn)。所謂固有風(fēng)險(xiǎn)，通常是由于企業(yè)自身緣故而導(dǎo)致的風(fēng)險(xiǎn)，這部分風(fēng)險(xiǎn)與信息系統(tǒng)審計(jì)并沒有直接關(guān)系。當(dāng)企業(yè)經(jīng)營(yíng)管理過程中，企業(yè)信息系統(tǒng)沒有內(nèi)部控制，信息系統(tǒng)就可能存在安全隱患，這些安全漏洞會(huì)導(dǎo)致企業(yè)信息系統(tǒng)面臨較大的風(fēng)險(xiǎn)。一般來說，固有風(fēng)險(xiǎn)包括系統(tǒng)設(shè)計(jì)風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)和系統(tǒng)環(huán)境風(fēng)險(xiǎn)，我們從不同的角度對(duì)信息系統(tǒng)本身做出綜合分析，系統(tǒng)設(shè)計(jì)風(fēng)險(xiǎn)，主要是基于信息不對(duì)稱問題做出考慮。1.2控制風(fēng)險(xiǎn)。所謂控制風(fēng)險(xiǎn)，它與企業(yè)信息系統(tǒng)審計(jì)業(yè)務(wù)直接關(guān)聯(lián)，通常是企業(yè)信息出現(xiàn)重大錯(cuò)誤，內(nèi)部控制人員卻未能及時(shí)糾正或防止該錯(cuò)誤而導(dǎo)致的風(fēng)險(xiǎn)。在現(xiàn)代化發(fā)展過程中，互聯(lián)網(wǎng)時(shí)代的到來，使得各行各業(yè)對(duì)互聯(lián)網(wǎng)技術(shù)的應(yīng)用不斷增多，信息系統(tǒng)的普及度也日益增廣。但盡管是在這樣的前提下，部分企業(yè)仍然疏于對(duì)信息系統(tǒng)數(shù)據(jù)處理的高度重視，處理流程和控制程序方面存在一定的限制。無論是約束機(jī)制失效風(fēng)險(xiǎn)，還是系統(tǒng)數(shù)據(jù)安全性風(fēng)險(xiǎn)，都會(huì)對(duì)信息系統(tǒng)本身造成威脅。1.3檢查風(fēng)險(xiǎn)。所謂檢查風(fēng)險(xiǎn)，它與信息系統(tǒng)審計(jì)有直接關(guān)聯(lián)，通常是指信息系統(tǒng)審計(jì)人員在加強(qiáng)信息數(shù)據(jù)篩選和審核時(shí)，對(duì)于實(shí)質(zhì)性測(cè)試工具未發(fā)揮有效作用，相關(guān)測(cè)試程序也未能檢查出系統(tǒng)風(fēng)險(xiǎn)。通常來說，當(dāng)審計(jì)人員職業(yè)能力水平較低時(shí)，他們可能由于信息系統(tǒng)過于復(fù)雜，而無法實(shí)現(xiàn)有效的安全隱患防范。除此之外，當(dāng)審計(jì)人員出現(xiàn)職業(yè)道德問題時(shí)，他們也不能在信息系統(tǒng)環(huán)境下實(shí)現(xiàn)職業(yè)操守與職業(yè)機(jī)密。換言之，審計(jì)人員所選擇的審計(jì)方法和審計(jì)程序，并不足以讓他們完成相應(yīng)的審計(jì)任務(wù)，審計(jì)過程中所存在的檢查風(fēng)險(xiǎn)就會(huì)比較突出。

2信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)形成的原因分析

2.1信息化審計(jì)環(huán)境過于波動(dòng)。基于目前的發(fā)展，信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)之所以存在，這主要是由于信息化環(huán)境過于波動(dòng)，在電子數(shù)據(jù)容易被更改或破壞的前提下，信息系統(tǒng)的審計(jì)管理是相對(duì)困難的。當(dāng)審計(jì)工作人員需要在現(xiàn)有的信息系統(tǒng)基礎(chǔ)上，篩選和整理與信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)相關(guān)的數(shù)據(jù)資料，做好有效的數(shù)據(jù)分析和整理時(shí)，一旦他們所獲取的電子數(shù)據(jù)是已被更改或破壞的，信息系統(tǒng)審計(jì)證據(jù)的采集就會(huì)受到限制。尤其是在信息化審計(jì)環(huán)境過于波動(dòng)的前提下，信息系統(tǒng)環(huán)境風(fēng)險(xiǎn)不斷加大，當(dāng)信息系統(tǒng)的設(shè)計(jì)本身存在缺陷時(shí)，審計(jì)工作人員無法根據(jù)波動(dòng)的環(huán)境，做好有效的信息篩選，信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)由此產(chǎn)生。2.2信息系統(tǒng)審計(jì)缺少規(guī)范的法律法規(guī)。任何行業(yè)的發(fā)展都需要有相應(yīng)的法律法規(guī)和審計(jì)準(zhǔn)則為之提供保障，但從目前的發(fā)展來看，審計(jì)準(zhǔn)則只針對(duì)一般行業(yè)有所限定，對(duì)于信息系統(tǒng)卻未做出有效的審計(jì)管理，相關(guān)法律法規(guī)也不夠健全。在日常加強(qiáng)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制與管理過程中，審計(jì)工作人員只能按照既定的條例完成相應(yīng)的審計(jì)工作，他們沒有辦法參照健全的法律法規(guī)或?qū)徲?jì)準(zhǔn)則，實(shí)現(xiàn)對(duì)審計(jì)業(yè)務(wù)執(zhí)行的規(guī)范化操作，此時(shí)，部分審計(jì)工作人員就由于執(zhí)業(yè)規(guī)范性的缺失，出現(xiàn)審計(jì)工作質(zhì)量上的疏忽，信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的加大是顯而易見的。2.3審計(jì)人員執(zhí)業(yè)水平與信息系統(tǒng)發(fā)展。不協(xié)調(diào)在現(xiàn)代化發(fā)展過程中，各行各業(yè)都追求德智體美勞全方位發(fā)展的優(yōu)秀人才，信息系統(tǒng)審計(jì)人才隊(duì)伍建設(shè)也不例外。但基于當(dāng)前的發(fā)展，審計(jì)人員執(zhí)業(yè)水平與信息系統(tǒng)發(fā)展不協(xié)調(diào)，這在很大程度上限制了信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的效果。在前期發(fā)展過程中，信息系統(tǒng)審計(jì)難度較小，審計(jì)人員能夠以目前已有的執(zhí)業(yè)水平完成相應(yīng)的審計(jì)工作，但在發(fā)展進(jìn)入到中后期時(shí)，信息系統(tǒng)審計(jì)難度不斷加大，審計(jì)人員需要提升原有的執(zhí)業(yè)水平，以適應(yīng)新階段的新系統(tǒng)發(fā)展需求，但從實(shí)際發(fā)展來看，只有少部分審計(jì)人員通過系統(tǒng)地學(xué)習(xí)提升了個(gè)人水準(zhǔn)，大部分審計(jì)人員的執(zhí)業(yè)水平仍不太協(xié)調(diào)。2.4審計(jì)人員個(gè)體知識(shí)掌握薄弱。隨著信息系統(tǒng)復(fù)雜性的加強(qiáng)，信息系統(tǒng)的電子數(shù)據(jù)處理難度不斷加大，審計(jì)證據(jù)的查找也會(huì)面臨較大的障礙。盡管在日常發(fā)展過程中，審計(jì)工作人員能夠根據(jù)已有的相關(guān)城市，通過先進(jìn)的審計(jì)技術(shù)來降低檢查風(fēng)險(xiǎn)，但在實(shí)際運(yùn)作過程中，部分審計(jì)工作人員對(duì)會(huì)計(jì)軟件和計(jì)算機(jī)系統(tǒng)的知識(shí)掌握相對(duì)薄弱，他們對(duì)信息技術(shù)的應(yīng)用也不夠靈活，這使得審計(jì)風(fēng)險(xiǎn)不斷擴(kuò)大。以三四線城市為例，三四線城市的審計(jì)人員就可能由于個(gè)人知識(shí)掌握薄弱，出現(xiàn)信息系統(tǒng)安全風(fēng)險(xiǎn)和審計(jì)軟件風(fēng)險(xiǎn)無法應(yīng)對(duì)得當(dāng)?shù)膯栴}，此時(shí)，審計(jì)方面的漏洞和錯(cuò)誤是較多的。

3COBIT對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系的影響和沖擊

3.1有助于更快地適應(yīng)波動(dòng)的信息化審計(jì)環(huán)境。COBIT控制理念強(qiáng)調(diào)了高效性原則，是以最經(jīng)濟(jì)的模式，追求最快捷的風(fēng)險(xiǎn)控制效果。COBIT控制理念對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系形成的影響和沖擊體現(xiàn)在，它有助于更快地適應(yīng)波動(dòng)的信息化審計(jì)環(huán)境，讓信息系統(tǒng)審計(jì)人員能在審計(jì)信息系統(tǒng)的相關(guān)風(fēng)險(xiǎn)時(shí)，對(duì)固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)等做出逐一判斷，并在波動(dòng)的信息化審計(jì)環(huán)境下，選定最合適的審計(jì)技術(shù)和審計(jì)計(jì)劃，進(jìn)行進(jìn)一步的方案部署。尤其是在信息化環(huán)境波動(dòng)劇烈的前提下，COBIT控制理念對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系的強(qiáng)適應(yīng)性，更是有著明顯的影響和沖擊。3.2有利于提升對(duì)法律法規(guī)完善的重視。COBIT控制理念注重機(jī)密性原則的保障，它的控制目標(biāo)就是實(shí)現(xiàn)信息的機(jī)密處理。COBIT控制理念對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系形成的沖擊，主要是有利于提升對(duì)法律法規(guī)完善的重視。COBIT控制理念，高度強(qiáng)調(diào)對(duì)敏感信息或個(gè)人私密信息的保護(hù)，而由于法律法規(guī)方面仍然欠缺對(duì)信息系統(tǒng)機(jī)密問題的有效維護(hù)，在COBIT控制理念的有效沖擊下，法律部門也會(huì)逐步加強(qiáng)對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系形成的重視，從法律法規(guī)的補(bǔ)充和剔除角度加強(qiáng)法律建設(shè)。COBIT控制理念對(duì)于提升對(duì)法律法規(guī)完善的重視自然是功不可沒。3.3有助于對(duì)團(tuán)隊(duì)可用人才的挖掘和培養(yǎng)。各行各業(yè)都稀缺優(yōu)秀人才，COBIT控制理念強(qiáng)調(diào)了對(duì)有用人才的挖掘。在信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系中，COBIT控制理念強(qiáng)調(diào)了對(duì)團(tuán)隊(duì)可用人才的深度挖掘，保證優(yōu)質(zhì)人才能夠得以保留。以二線城市為例，二線城市中的審計(jì)人員質(zhì)量介于一線城市和三線城市之間，他們對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系形成的認(rèn)知也處于中游位置。在COBIT控制理念的基礎(chǔ)上，信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制將更加注重對(duì)可用人才的挖掘，這對(duì)審計(jì)工作人員執(zhí)業(yè)水平的提高及審計(jì)隊(duì)伍建設(shè)都有一定的幫助。3.4促成對(duì)信息不對(duì)稱問題的細(xì)致考量。信息不對(duì)稱問題已成為各行業(yè)發(fā)展的一大問題。COBIT控制理念強(qiáng)調(diào)了對(duì)信息可靠性的目標(biāo)追求，它對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系的形成所帶來的影響，自然也體現(xiàn)在有利于對(duì)信息不對(duì)稱問題的細(xì)致考量。從目前的發(fā)展來看，部分審計(jì)人員對(duì)信息可靠性的追求并不強(qiáng)烈，他們只是按照既定的流程完成相應(yīng)的審計(jì)工作，對(duì)于審計(jì)證據(jù)真實(shí)可靠與否卻未作準(zhǔn)確判斷。在COBIT控制理念的沖擊下，將有更多的人針對(duì)信息不對(duì)稱問題做出考慮，這對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的控制是有幫助的，部分幫助還是在潛移默化中得以實(shí)現(xiàn)的。

4基于COBIT的信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系優(yōu)化策略

4.1構(gòu)建高效完整信息系統(tǒng)審計(jì)運(yùn)行制度。要想在后階段發(fā)展過程中，基于COBIT控制理念，加強(qiáng)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系優(yōu)化，就應(yīng)該構(gòu)建高效完整的信息系統(tǒng)審計(jì)運(yùn)行制度，保證信息化審計(jì)環(huán)境的適應(yīng)能夠更為迅速。在初期發(fā)展階段，信息系統(tǒng)審計(jì)運(yùn)行制度的構(gòu)建，只需滿足信息系統(tǒng)審計(jì)的一般需求即可。但在發(fā)展進(jìn)入到穩(wěn)定階段后，相關(guān)審計(jì)工作人員應(yīng)當(dāng)結(jié)合COBIT控制理念的要求，盡可能達(dá)成COBIT控制理念的高效性控制目標(biāo)，在信息系統(tǒng)審計(jì)運(yùn)行制度構(gòu)建過程中，將高效性與完整性予以逐一呈現(xiàn)。需要注意的是，COBIT控制理念的貫徹，并不意味著審計(jì)風(fēng)險(xiǎn)控制體系優(yōu)化無憂無患，相關(guān)責(zé)任人仍然不能掉以輕心。4.2完善信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制法規(guī)。由于信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的法律法規(guī)和審計(jì)準(zhǔn)則不夠及時(shí)到位，這已在很大程度上限制了信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的實(shí)際效果，在后階段發(fā)展時(shí)，就應(yīng)該基于COBIT控制理念，加強(qiáng)對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系優(yōu)化和提升。法律部門既需要結(jié)合信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的實(shí)際需求，聯(lián)系審計(jì)準(zhǔn)則，將信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)可能存在的場(chǎng)景等做出主要分析，還應(yīng)該通過定期更新和完善法律法規(guī)的方式，將原有的法律法規(guī)進(jìn)行篩選，保證最終形成的信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制相關(guān)法律法規(guī)是與時(shí)俱進(jìn)的。需要說明的是，法律部門在完善相關(guān)法律法規(guī)時(shí)，應(yīng)當(dāng)及時(shí)向上級(jí)部門提出申請(qǐng)，并獲取上級(jí)部門的有效回饋。4.3組建規(guī)范的信息系統(tǒng)審計(jì)團(tuán)隊(duì)。結(jié)合當(dāng)前的發(fā)展，信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制，之所以會(huì)存在一定問題，這主要是由于審計(jì)人員的執(zhí)業(yè)水準(zhǔn)相對(duì)較低，個(gè)人知識(shí)掌握相對(duì)薄弱，這在很大程度上限制了審計(jì)人員執(zhí)業(yè)效果的提高。后續(xù)發(fā)展時(shí)，應(yīng)當(dāng)嘗試組建規(guī)范的信息系統(tǒng)審計(jì)團(tuán)隊(duì)，通過定期培養(yǎng)的方式，加強(qiáng)對(duì)審計(jì)人員專業(yè)素養(yǎng)的培養(yǎng)。對(duì)于線上培訓(xùn)模式，可以嘗試通過QQ群和微信群等方式，對(duì)審計(jì)人員進(jìn)行定期的資料發(fā)放和系統(tǒng)跟進(jìn)。而對(duì)于線下培訓(xùn)模式，則可以根據(jù)審計(jì)人員線上培訓(xùn)的實(shí)際效果，對(duì)培訓(xùn)效果較差的審計(jì)人員進(jìn)行二次輔導(dǎo)。必要的時(shí)候，還可以通過一對(duì)一結(jié)對(duì)幫扶的方式，在組建信息系統(tǒng)審計(jì)團(tuán)隊(duì)過程中，將COBIT控制理念中的可用性和完整性控制目標(biāo)應(yīng)用到位。4.4搭建信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制交流平臺(tái)。在移動(dòng)互聯(lián)網(wǎng)不斷普及的當(dāng)下，人們應(yīng)當(dāng)通過現(xiàn)有的移動(dòng)通信設(shè)備，加強(qiáng)對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制交流平臺(tái)的搭建。結(jié)合目前的發(fā)展可知，信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的難度相對(duì)較大，審計(jì)工作者個(gè)人的知識(shí)掌握力度也是受限的。為了在后續(xù)發(fā)展過程中，進(jìn)一步提高COBIT控制理念，對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系形成的影響，就應(yīng)該結(jié)合COBIT控制理念的相關(guān)控制目標(biāo)，努力構(gòu)建起全員參與的信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制交流平臺(tái)。當(dāng)個(gè)別個(gè)體的審計(jì)風(fēng)險(xiǎn)控制存在問題時(shí)，他們可向其他人員提出請(qǐng)教，保證他們能在其他工作人員的幫助下，正確理解審計(jì)技術(shù)的操作流程，并實(shí)現(xiàn)對(duì)相關(guān)審計(jì)工作的有效完成。

5結(jié)束語

在互聯(lián)網(wǎng)技術(shù)日益發(fā)展的當(dāng)下，信息不對(duì)稱現(xiàn)象仍然存在，信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系的形成，成為當(dāng)下信息系統(tǒng)發(fā)展的當(dāng)務(wù)之急。由于COBIT控制理念，對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系的形成，帶來了明顯的影響和沖擊，它能有助于快速響應(yīng)信息化審計(jì)環(huán)境，能有利于提升對(duì)法律法規(guī)完善的重視，對(duì)團(tuán)隊(duì)可用人才的培養(yǎng)也高度關(guān)注，對(duì)于信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系的優(yōu)化，可基于COBIT控制理念做出考慮及方案設(shè)計(jì)。

參考文獻(xiàn)：

[1]王會(huì)金.高校管理信息系統(tǒng)審計(jì)及其風(fēng)險(xiǎn)控制問題研究——以WSR方法論與COBIT理論相結(jié)合為視角[J].審計(jì)與經(jīng)濟(jì)研究，2014（05）：23-30.

[2]程平，王曉江.基于COBIT標(biāo)準(zhǔn)的云會(huì)計(jì)AIS審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系構(gòu)建[J].會(huì)計(jì)之友，2016（10）：121-125.

[3]樊沙沙.信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)應(yīng)對(duì)策略研究[J].對(duì)外經(jīng)貿(mào)，2017（08）：158-160.

[4]成駿雄.我國(guó)信息系統(tǒng)審計(jì)技術(shù)推廣的限制因素探討[J].中國(guó)集體經(jīng)濟(jì)，2018（03）：150-153.

作者:李晶 單位:浙江財(cái)經(jīng)大學(xué)經(jīng)濟(jì)與管理實(shí)驗(yàn)中心