導(dǎo)語：淺析信息系統(tǒng)審計風(fēng)險一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

［摘要］信息技術(shù)在各行業(yè)迅速普及，信息系統(tǒng)給企業(yè)帶來社會經(jīng)濟效益的同時，其自身特點給企業(yè)帶來了不容忽視的風(fēng)險，因此信息系統(tǒng)審計顯得尤為重要。本文從信息系統(tǒng)審計風(fēng)險的類型和特征入手，分析了產(chǎn)生審計風(fēng)險的原因，進一步提出了防范信息系統(tǒng)審計風(fēng)險的措施。

［關(guān)鍵詞］審計風(fēng)險；防范措施；信息系統(tǒng)審計

在信息化環(huán)境下，信息系統(tǒng)在安全性、可靠性和有效性上可能存在缺陷或發(fā)生錯誤的隱患，行業(yè)的信息系統(tǒng)中可能存在一系列風(fēng)險因素，進而增加經(jīng)營管理風(fēng)險的可能性，對信息系統(tǒng)進行充分審計利于降低甚至規(guī)避相關(guān)的風(fēng)險。

1信息系統(tǒng)審計風(fēng)險類型

信息系統(tǒng)審計風(fēng)險包括以下三個方面：其一是被審計單位信息系統(tǒng)自身潛在的風(fēng)險，即固有風(fēng)險；其二是被審計單位內(nèi)部控制存在缺陷產(chǎn)生的風(fēng)險，即控制風(fēng)險；其三是審計師在信息系統(tǒng)審計過程中產(chǎn)生的風(fēng)險，即檢查風(fēng)險。下面具體分析面臨的審計風(fēng)險。

1.1固有風(fēng)險

固有風(fēng)險的產(chǎn)生是由于企業(yè)自身的因素，與信息系統(tǒng)審計沒有關(guān)系。固有風(fēng)險是在信息系統(tǒng)不存在相關(guān)內(nèi)部控制的前提下，信息系統(tǒng)或其子系統(tǒng)發(fā)生重大錯誤的可能性。當企業(yè)的信息系統(tǒng)存在安全漏洞，系統(tǒng)內(nèi)的相關(guān)電子數(shù)據(jù)或程序遭受破壞時，信息系統(tǒng)存在的固有風(fēng)險偏高。信息系統(tǒng)審計的固有風(fēng)險與計算機硬件配置、軟件質(zhì)量以及網(wǎng)絡(luò)安全有關(guān)。主要表現(xiàn)在：①系統(tǒng)設(shè)計風(fēng)險。由于信息不對稱和知識結(jié)構(gòu)的不完善使得系統(tǒng)開發(fā)人員設(shè)計出的信息系統(tǒng)與系統(tǒng)使用者的需求不匹配，那么就必然帶來漏洞。②系統(tǒng)風(fēng)險。信息系統(tǒng)的硬件配置不完善，軟件質(zhì)量不可靠，系統(tǒng)自控功能較弱而產(chǎn)生系統(tǒng)風(fēng)險。③系統(tǒng)環(huán)境風(fēng)險。電子數(shù)據(jù)大量集中在系統(tǒng)的信息中心，同時信息系統(tǒng)實現(xiàn)數(shù)據(jù)的高速處理，在此過程中，系統(tǒng)內(nèi)數(shù)據(jù)遭到破壞或者處理時出現(xiàn)失誤。

1.2控制風(fēng)險

控制風(fēng)險也與信息系統(tǒng)審計無關(guān)，是信息系統(tǒng)或其子系統(tǒng)發(fā)生重大錯誤并且沒有被內(nèi)部控制及時防止或發(fā)現(xiàn)糾正而產(chǎn)生的風(fēng)險。信息系統(tǒng)在處理相關(guān)數(shù)據(jù)時，絕大多數(shù)的處理流程和相應(yīng)的控制程序存在于系統(tǒng)中。在信息系統(tǒng)環(huán)境中，其控制范圍發(fā)生一定的變化，具有其特殊性，包括系統(tǒng)組織操作、安全和數(shù)據(jù)處理等方面，所以很多一般的控制活動會失效。主要表現(xiàn)在：①約束機制失效風(fēng)險。在信息系統(tǒng)環(huán)境下，交易授權(quán)直接由電子數(shù)據(jù)處理功能取得，信息系統(tǒng)中各崗位不相容職責(zé)分配較為集中，因不恰當?shù)氖跈?quán)而促使舞弊行為發(fā)生。②系統(tǒng)數(shù)據(jù)的安全性風(fēng)險。為保證系統(tǒng)數(shù)據(jù)的安全性和保密性，與書面資料相一致，防止系統(tǒng)數(shù)據(jù)被篡改或非法復(fù)制，監(jiān)控和管理信息系統(tǒng)的有效運行，需要對人員權(quán)限進行適當有效的控制，對日常電子數(shù)據(jù)進行維護，保障信息系統(tǒng)的安全。

1.3檢查風(fēng)險

檢查風(fēng)險主要是與信息系統(tǒng)審計有關(guān)，是信息系統(tǒng)審計人員作為獨立第三方通過實質(zhì)性測試程序未能檢查出其存在重大錯誤而產(chǎn)生的風(fēng)險。信息系統(tǒng)審計的檢查風(fēng)險貫穿于審計過程，是唯一可以通過審計人員控制的風(fēng)險。在信息系統(tǒng)環(huán)境下，審計人員的自身素養(yǎng)以及信息技術(shù)水平是影響檢查風(fēng)險的重要因素。主要表現(xiàn)在：①審計人員執(zhí)業(yè)能力風(fēng)險。信息系統(tǒng)的復(fù)雜性要求審計人員必須具備更加豐富的知識和技能，不僅要掌握會計、財務(wù)、審計知識，還要熟悉網(wǎng)絡(luò)技術(shù)、信息處理以及管理技術(shù)。同時，人工操作將逐漸減少，信息技術(shù)是否有效運用的檢查逐漸體現(xiàn)出了現(xiàn)實價值。②審計人員職業(yè)道德風(fēng)險。在審計過程中，審計人員應(yīng)保持其作為第三方的獨立性。審計人員在信息系統(tǒng)環(huán)境下應(yīng)保持其職業(yè)謹慎性，恰當?shù)剡x擇審計程序和方法，完成審計任務(wù)，降低審計過程中的檢查風(fēng)險。

2信息系統(tǒng)審計風(fēng)險的特征

信息系統(tǒng)審計與其他審計不同，導(dǎo)致審計風(fēng)險發(fā)生了很大變化，并且表現(xiàn)出不同的特征。其主要表現(xiàn)在以下幾個方面。

2.1隱蔽性

信息系統(tǒng)審計工作主要面對被審計單位系統(tǒng)中大量的電子數(shù)據(jù)，操作人員使用信息系統(tǒng)負責(zé)處理數(shù)據(jù)輸入和輸出環(huán)節(jié)的信息，中間流程的數(shù)據(jù)處理幾乎完全由計算機自己完成。與一般的審計證據(jù)不同，審計人員在獲取審計證據(jù)時要考慮電子數(shù)據(jù)復(fù)雜和易被破壞的特點，在對數(shù)據(jù)信息采集、整理和分析過程中審計風(fēng)險隱蔽性加大，不易懷疑計算機系統(tǒng)的數(shù)據(jù)處理能力，從而不易發(fā)現(xiàn)其存在的問題，審計人員的控制方法不能得以有效實施。

2．2不可控性

信息系統(tǒng)擁有高質(zhì)量硬件軟件可以保障系統(tǒng)的穩(wěn)定性。審計人員對更新的審計軟件的熟悉程度影響其在信息系統(tǒng)審計過程中的操作和分析。信息系統(tǒng)數(shù)據(jù)處理相對集中高效，磁介質(zhì)存儲信息使得數(shù)據(jù)存儲載體發(fā)生改變，系統(tǒng)內(nèi)部控制轉(zhuǎn)而以計算機系統(tǒng)內(nèi)部控制為主。而系統(tǒng)自身的運行有效、控制失靈等安全隱患也造成了審計風(fēng)險的不可控性。

2.3群發(fā)性

信息系統(tǒng)中同種業(yè)務(wù)的數(shù)據(jù)處理采用相同程序，該程序設(shè)計開發(fā)錯誤未被發(fā)現(xiàn)，那么會出現(xiàn)錯誤的反復(fù)性。信息系統(tǒng)數(shù)據(jù)處理的整個流程幾乎完全由計算機完成，某一審計程序未能發(fā)現(xiàn)信息系統(tǒng)存在的審計風(fēng)險可能會連續(xù)地引發(fā)接下來的程序中的風(fēng)險，一旦上個流程出現(xiàn)錯誤，必然導(dǎo)致下面的業(yè)務(wù)處理流程的數(shù)據(jù)失真，最終對企業(yè)生產(chǎn)經(jīng)營決策產(chǎn)生重大影響。

3信息系統(tǒng)審計風(fēng)險產(chǎn)生的原因

信息化環(huán)境造成了信息系統(tǒng)審計的困難，使審計風(fēng)險愈發(fā)復(fù)雜，以下將從客觀原因和主觀原因進行簡單剖析。

3.1客觀原因

客觀原因是其由信息化環(huán)境引起的。信息化環(huán)境下，一方面，電子數(shù)據(jù)易被更改、破壞，影響了審計證據(jù)的可靠性。信息網(wǎng)絡(luò)自身風(fēng)險較大，出現(xiàn)突發(fā)性故障的概率較高，外在不和諧因素如病毒的入侵，黑客破壞隨時威脅系統(tǒng)的安全，導(dǎo)致信息系統(tǒng)環(huán)境風(fēng)險增大。同時系統(tǒng)的設(shè)計存在缺陷，計算機硬件配置與軟件質(zhì)量較差，使得系統(tǒng)自控較弱，容易造成審計線索缺失；另一方面，行業(yè)的信息系統(tǒng)中可能存在功能缺陷、控制缺陷、不恰當授權(quán)等風(fēng)險因素，加大審計風(fēng)險，影響審計效率和質(zhì)量。目前我國信息系統(tǒng)審計還處于初步發(fā)展階段，對于信息系統(tǒng)審計沒有健全的法律法規(guī)和審計準則，相關(guān)的法規(guī)準則缺失，審計人員在執(zhí)行審計業(yè)務(wù)時沒有相應(yīng)的職業(yè)規(guī)范可循，必然影響審計工作質(zhì)量，加大了信息系統(tǒng)審計方面的風(fēng)險。

3.2主觀原因

主觀原因主要是其由審計人員自身特點引起的。由于信息技術(shù)的不斷更新和發(fā)展，審計證據(jù)的難獲取性，審計線索的隱蔽性等，信息系統(tǒng)審計人員不具備應(yīng)有的專業(yè)能力，審計人員的執(zhí)業(yè)水平與信息系統(tǒng)發(fā)展不協(xié)調(diào)。信息系統(tǒng)中大量的電子數(shù)據(jù)需要處理，此過程都在計算機內(nèi)進行，審計線索更加隱蔽，審計人員很難發(fā)現(xiàn)問題或者錯誤，所以審計人員必須利用先進的審計技術(shù)，從而降低檢查風(fēng)險。審計人員對會計軟件和計算機系統(tǒng)知識掌握薄弱，信息技術(shù)運用不靈活，必然帶來審計風(fēng)險。信息化環(huán)境下存在信息系統(tǒng)安全風(fēng)險和審計軟件風(fēng)險，當審計人員對審計軟件了解不足或?qū)徲嫎I(yè)務(wù)不夠熟悉時，造成審計上的漏洞甚至發(fā)生錯誤。企業(yè)的信息系統(tǒng)中蘊含海量的電子數(shù)據(jù)，審計人員需要在保證企業(yè)信息系統(tǒng)正常工作的情況下進行審計業(yè)務(wù)，造成聯(lián)網(wǎng)的其他企業(yè)與之相關(guān)的非經(jīng)濟業(yè)務(wù)活動的困擾，審計人員在獲取有用的信息難度加大。

4信息系統(tǒng)審計風(fēng)險的防范措施

通過對信息系統(tǒng)審計風(fēng)險的分析后，為了降低審計風(fēng)險，必須采取有效的應(yīng)對措施，從而保障信息系統(tǒng)審計的內(nèi)外部環(huán)境優(yōu)化，提升審計質(zhì)量。

4.1建立和健全信息系統(tǒng)審計法律法規(guī)和準則體系

在信息化環(huán)境下，信息系統(tǒng)審計的審計對象、技術(shù)和方法等發(fā)生了轉(zhuǎn)變，傳統(tǒng)的法律法規(guī)和審計準則不能完全適用于該審計，而我國目前尚未制定和出臺相關(guān)信息系統(tǒng)審計準則和法律。在國際上，國際信息系統(tǒng)審計協(xié)會（ISACA）的信息系統(tǒng)審計準則是目前國際上通用的信息系統(tǒng)準則，其中包括了審計準則、審計指南和審計程序三個方面①。此外，其他組織如國際會計師聯(lián)合會和國際內(nèi)部審計師協(xié)會也制定了相關(guān)的規(guī)范。我國在借鑒國際信息系統(tǒng)審計的實踐經(jīng)驗的同時，可以結(jié)合國內(nèi)注冊會計師管理情況，制定出我國特色的信息系統(tǒng)審計準則和法律，為降低信息系統(tǒng)審計風(fēng)險提供有力保障。

4.2加強信息系統(tǒng)內(nèi)部控制建設(shè)

信息系統(tǒng)運行得安全可靠需要健全有效的信息系統(tǒng)內(nèi)部控制。在高度自動化的信息環(huán)境中，信息系統(tǒng)的設(shè)計開發(fā)者和使用者是系統(tǒng)內(nèi)部控制及其審計的主要參與人員，其應(yīng)當全面投入到信息系統(tǒng)的內(nèi)部控制構(gòu)建中去。為有效降低審計風(fēng)險，建立信息系統(tǒng)內(nèi)部控制體系勢在必行。具體表現(xiàn)在：一是要改善內(nèi)部控制環(huán)境并加強風(fēng)險評估程序，將制定的內(nèi)控制度落到實處并自行評估和評價，對其有效性進行信息反饋，便于進一步完善信息系統(tǒng)的內(nèi)部控制；二是強化內(nèi)部控制的技術(shù)應(yīng)用。只有涉及內(nèi)部控制相關(guān)的技術(shù)得到有效運用，才能降低被審計單位對內(nèi)控的依賴程度。此類技術(shù)包括監(jiān)控系統(tǒng)、綜合分析平臺、防火墻的建立和權(quán)限管理等。

4.3運用先進的信息系統(tǒng)審計技術(shù)方法

先進審計技術(shù)方法的運用便于提高審計效率和提升審計質(zhì)量。審計人員獲得充分適當?shù)膶徲嬜C據(jù)來實現(xiàn)審計目標需要其具備熟練的技術(shù)方法。目前我國信息系統(tǒng)審計技術(shù)保持迅速發(fā)展的態(tài)勢，并逐漸縮小與歐美發(fā)達國家的差距。先進的信息系統(tǒng)審計技術(shù)包括了相關(guān)的安全審計技術(shù)、數(shù)據(jù)挖掘技術(shù)以及信息系統(tǒng)審計證據(jù)生成技術(shù)等，我國需要對這些技術(shù)領(lǐng)域的研究全面加強，同時在其完善后應(yīng)及時投入運用，不斷推進審計技術(shù)的更新，從而使之達到先進水平。

4.4加大信息系統(tǒng)審計人才培養(yǎng)力度

信息系統(tǒng)審計人員的職業(yè)能力和專業(yè)素養(yǎng)是提升信息系統(tǒng)審計質(zhì)量的保障。在信息系統(tǒng)環(huán)境下，審計人員需要具備全面的知識，包括審計、會計、計算機技術(shù)和信息系統(tǒng)管理等，同時這樣全方位的審計人才又相當缺乏，所以培養(yǎng)高素質(zhì)的審計人才，任務(wù)顯得尤為重要和艱難。我國信息系統(tǒng)的人才培養(yǎng)需要學(xué)歷教育、社會實踐和培訓(xùn)有效結(jié)合，各高校開設(shè)審計與計算機融合的相關(guān)專業(yè)和課程，加強信息系統(tǒng)理論知識的學(xué)習(xí)，審計機構(gòu)適時提供培訓(xùn)，并安排審計人員真正應(yīng)用實踐，這樣才能有力地促進信息系統(tǒng)審計人才的培養(yǎng)。

作者:茆敏 單位:南京審計學(xué)院

參考文獻

［1］孫晶．淺談信息系統(tǒng)審計風(fēng)險與控制［J］．中國管理信息化，2012（22）：18－19．

［2］胡曉明．風(fēng)險導(dǎo)向信息系統(tǒng)審計及其發(fā)展思路［J］．經(jīng)濟管理，2007（2）：63－66．

［3］謝岳山．聯(lián)網(wǎng)環(huán)境下信息系統(tǒng)審計的體系架構(gòu)［J］．審計研究，2009（5）：37－39．

［4］王振武，張子瑾．信息系統(tǒng)審計理論結(jié)構(gòu)框架研究［J］．會計之友，2011（21）：91－96．

［5］劉園瑤．信息系統(tǒng)審計國內(nèi)研究綜述［J］．現(xiàn)代商貿(mào)工業(yè)，2011，23（16）：48－49．

［6］薛麗．信息化環(huán)境下審計風(fēng)險的防范［J］．安徽工業(yè)大學(xué)學(xué)報，2009，26（3）：53－54．

［7］唐琳，付達杰．網(wǎng)絡(luò)環(huán)境下的信息系統(tǒng)審計問題及其發(fā)展策略［J］．科技廣場，2012（6）：148－150．

［8］張金城，李庭燎，沈靜秋．信息系統(tǒng)績效評價與審計［M］．南京：東南大學(xué)出版社，2014．