信息系統審計的固有控制及檢查風(fēng)險探析論文

　　信息系統審計風(fēng)險指在信息系統環(huán)境下，計算機系統的效益性、安全性和可靠性存在發(fā)生錯誤的隱患，而審計人員在審計后，因發(fā)表了不恰當的審計意見(jiàn)使審計主體遭受損失的可能性。信息系統審計風(fēng)險模型為：審計風(fēng)險=固有風(fēng)險×控制風(fēng)險×檢查風(fēng)險；從定性角度看，固有風(fēng)險和控制風(fēng)險的綜合水平與檢查風(fēng)險之間是成反比的，固有風(fēng)險和控制風(fēng)險的綜合水平越高，審計人員的檢查風(fēng)險水平越低；反之亦然。固有風(fēng)險和控制風(fēng)險已成既定事實(shí)，審計人員無(wú)法改變，只能對其進(jìn)行合理評估，確定檢查風(fēng)險水平以開(kāi)展實(shí)質(zhì)性測試，從而將審計風(fēng)險控制在可接受的范圍內。

　　1 信息系統審計的固有風(fēng)險分析及評價(jià)

　　1.1 信息系統審計固有風(fēng)險的產(chǎn)生因素分析

　　信息系統審計固有風(fēng)險是在假定未對計算機會(huì )計軟硬件系統進(jìn)行安全控制的情況下，信息系統發(fā)生的運行失�；驍祿�錯誤等風(fēng)險。計算機對業(yè)務(wù)信息處理的準確性、實(shí)時(shí)性和系統的復雜性、脆弱性都會(huì )影響到信息系統審計的固有風(fēng)險。

　　首先，信息系統的運行環(huán)境會(huì )受到計算機硬件質(zhì)量、軟件穩定性、人工錄入初始信息的準確性等因素的影響；其次，由于數據的收集、處理及儲存都高度集中于電子數據處理中心，數據更容易丟失、盜竊或被篡改。電子商務(wù)環(huán)境下，傳統意義上的單據、憑證和賬簿等紙質(zhì)記錄以計算機信息的形式在網(wǎng)上交互并存儲在磁性介質(zhì)中，這些都是無(wú)法通過(guò)肉眼判斷的。不僅如此，在計算機中導入原始信息后，信息系統將根據指令自動(dòng)處理交易信息、財務(wù)信息，這些信息都是無(wú)法永久保存的。信息系統的復雜性和脆弱性，增加了信息系統審計的固有風(fēng)險。 信息系統審計固有風(fēng)險的影響因素主要包括：（1）計算機硬件系統的安全性；（2）軟件系統質(zhì)量，包括系統研制與開(kāi)發(fā)的漏洞、職責權限劃分不明確、不相容職務(wù)沒(méi)有被嚴格區分等；（3）數據文件的完整性、經(jīng)濟業(yè)務(wù)的開(kāi)展是否合法、網(wǎng)絡(luò )會(huì )計信息的錄入是否準確；（4）程序模塊的安全性、穩定性和隱蔽性。

　　1.2 對信息系統固有風(fēng)險的識別

　　信息系統固有風(fēng)險存在于信息系統開(kāi)發(fā)、運行和維護的整個(gè)過(guò)程中，審計人員應從系統工程和項目管理兩方面來(lái)進(jìn)行全面識別，其中涉及到企業(yè)性質(zhì)、行業(yè)狀況、企業(yè)管理體制和機制、會(huì )計方法、會(huì )計人員業(yè)務(wù)能力和職業(yè)道德等多個(gè)方面。根據風(fēng)險來(lái)源的不同，筆者總結了信息系統的固有風(fēng)險，如下圖所示：

　　1.3 對信息系統固有風(fēng)險的評價(jià)

　　信息系統固有風(fēng)險的影響因素相互聯(lián)系并相互制約，在信息系統環(huán)境復雜、數據量較少時(shí)，簡(jiǎn)單的定性和定量分析往往無(wú)法做出全面的評價(jià)。本文嘗試采用美國運籌學(xué)家 T.L.Salty 在上世紀 70 年代提出的 AHP（analytic hierarchy process）層次分析法將定性與定量相結合，把復雜問(wèn)題分解，按照其中的關(guān)系進(jìn)行分組，形成有序遞階層次結構圖，通過(guò)各元素的兩兩比較，確定層次中諸因素的相對重要性，進(jìn)而判斷各因素相對重要性的總順序。采用AHP 法評價(jià)信息系統固有風(fēng)險的具體過(guò)程如下圖所示：

　　2 信息系統審計的控制風(fēng)險分析及評價(jià)

　　2.1 信息系統審計的控制風(fēng)險影響因素分析

　　信息系統審計的控制風(fēng)險是指組成信息系統的軟、硬件系統在應用、運行時(shí)發(fā)生錯誤，而內部控制制度不夠健全，導致其無(wú)法發(fā)現并及時(shí)糾正信息系統可能出現的各種錯誤的風(fēng)險。影響該風(fēng)險的因素包括：

　�。�1）內部控制不健全或未發(fā)揮效力；

　�。�2）軟件系統的應用測試不嚴密；

　�。�3） 軟件系統的設計有缺陷，如軟件系統數據控制設計不嚴密、日志記錄不完整、缺乏系統運行故障的事后恢復措施或數據備份方案、系統沒(méi)有預留審計接口等。

　　2.2 信息系統審計的控制風(fēng)險識別和評價(jià)

　　為保證內部控制與管理工作的順利進(jìn)行，首先必須要確定控制對象與控制范圍，在實(shí)際操作過(guò)程中需要引起重視的是應用控制和一般控制。一般控制就是對信息系統的各項功能與運行環(huán)境等進(jìn)行檢查，避免因各方面因素的影響，導致系統功能缺失，無(wú)法正常運作。應用控制就是對數據處理與功能模塊的運作過(guò)程進(jìn)行控制，因子系統的控制要求及敏感度不同，應用控制過(guò)程中存在很大差異。

　　2.2.1 信息系統一般控制的審計

　　信息系統一般控制的審計主要包括：

　�。�1） 組織控制的審計。結合現實(shí)情況制定出科學(xué)合理的內部控制與管理制度，對組織結構進(jìn)行調整，保證系統功能的完整性，明確組織控制的職能與權責；

　�。�2）數據資源控制的審計。 將控制措施導入信息系統中，對工作人員的操作程序進(jìn)行管理，使用者必須通過(guò)身份識別或指紋驗證才能進(jìn)行操作；

　�。�3） 安全控制的審計。用戶(hù)只有輸入正確的用戶(hù)名與密碼后才能進(jìn)入系統，使用者要保證自身行為規范，不得任意修改、刪除文件與數據，不得利用計算機從事違法活動(dòng)；

　�。�4）硬件、系統軟件控制的審計。審計工作中要對硬件控制等工作給予重點(diǎn)關(guān)注，對生產(chǎn)商的經(jīng)營(yíng)范圍、產(chǎn)品許可、使用說(shuō)明、生產(chǎn)資質(zhì)等進(jìn)行審核；重點(diǎn)關(guān)注硬件設備的選擇與實(shí)際應用，根據用戶(hù)的實(shí)際需要推薦最合適的產(chǎn)品，例如服務(wù)器、交換機等，滿(mǎn)足不同客戶(hù)的多元化需求。僅重視硬件控制是不夠的，還要將其與軟件控制結合，對系統程序和結構進(jìn)行適當調整，側重于系統安全、文件保護、錯誤處置等方面，保證儲存在信息系統中的各類(lèi)數據都是真實(shí)有效的；工作人員要對不良行為進(jìn)行約束，凡是沒(méi)有授權的人員不得擅自進(jìn)出操作室。

　　2.2.2 信息系統應用控制的審計

　　應用控制是基于控制要求與敏感環(huán)節對系統功能進(jìn)行的完善和控制，用戶(hù)只有輸入正確的用戶(hù)名與密碼后才能進(jìn)入系統，應用項目與系統分具體包括：

　�。�1）輸入控制的審計。在數據源文件導入系統之前須進(jìn)行審核，詳細記錄源文件中涉及的信息；實(shí)際操作中可考慮以數字檢測、終端編輯等形式對輸入數據的合理性、完整性、可用性進(jìn)行測試；如果是以成批輸入的形式將數據信息輸入系統，可以考慮通過(guò)批總量控制進(jìn)行驗證，同時(shí)還要以獨立控制程序進(jìn)行檢測，保證輸出量與輸入量的一致性。

　�。�2）處理控制的審計。通過(guò)處理控制對系統數據的可靠性與安全性進(jìn)行檢測，最終目的是保證導入系統的數據信息是真實(shí)有效的，同時(shí)要嚴格按照既定程序進(jìn)行操作。

　�。�3）輸出控制的審計。若發(fā)現信息系統中存在漏洞，則必須檢查系統功能與結構，監督數據輸出與導入的整個(gè)過(guò)程，未得到授權的人員不得擅自更改數據或接觸系統。

　　3 信息系統審計的檢查風(fēng)險分析及確定

　　3.1 信息系統審計檢查風(fēng)險的因素分析

　　信息系統審計的檢查風(fēng)險指的是被審單位信息系統內部控制未及時(shí)發(fā)現安全隱患或糾正數據錯誤，審計人員通過(guò)符合性測試和實(shí)質(zhì)性測試也未發(fā)現信息系統異常的風(fēng)險。因受審計資源、審計時(shí)間等因素的影響，審計人員不能根除檢查風(fēng)險。審計人員可通過(guò)研究和評價(jià)被審計單位的內部控制，對被審計單位固有風(fēng)險和控制風(fēng)險的高低作出評價(jià)，在此基礎上確定實(shí)質(zhì)性測試的性質(zhì)、時(shí)間和范圍，以便將檢查風(fēng)險及總體審計風(fēng)險降至可接受的水平。

　　導致信息系統審計檢查風(fēng)險增加的因素主要有：

　�。�1）審計人員不具備扎實(shí)的計算機與信息系統知識，不了解系統軟件、硬件等方面的設計及運行狀況，無(wú)法開(kāi)展全面、有效的實(shí)質(zhì)性測試和審查；

　�。�2）審計軟件的開(kāi)發(fā)不完善，運用還未形成比較統一的標準，可能存在某些缺陷，實(shí)際操作中有很多問(wèn)題沒(méi)能進(jìn)行處理；

　�。�3）因信息系統類(lèi)型的多樣化和軟件的更新?lián)Q代，審計軟件所需數據結構與信息系統數據格式、數據平臺之間存在較大差異，很多信息系統未設置審計數據接口。

　　3.2 信息系統審計檢查風(fēng)險的確定

　　審計人員在進(jìn)行實(shí)質(zhì)性測試時(shí)可以對檢查風(fēng)險進(jìn)行調節，根據審計風(fēng)險模型：審計風(fēng)險（AR）=固有風(fēng)險（IR）* 控制風(fēng)險（CR）* 檢查風(fēng)險（DR），我們能夠得出 DR=AR/CR* IR. 在 AR、CR、IR 已知時(shí)，可計算出 DR.一般認為檢查風(fēng)險是審計風(fēng)險中的β風(fēng)險（誤受險），檢查風(fēng)險決定了注冊會(huì )計師計劃收集的證據的數量，利用審計風(fēng)險模型計算出的檢查風(fēng)險可用來(lái)確定實(shí)質(zhì)性測試的樣本規模。檢查風(fēng)險較低時(shí)，表明注冊會(huì )計師不愿承擔較大的未能發(fā)現錯誤的風(fēng)險，這時(shí)就必須收集相當多的證據。審計人員根據所得的檢查風(fēng)險水平，利用統計抽樣模型決定所要收集的審計證據的數量。

　　4 信息系統審計風(fēng)險的應對措施

　　4.1 加強立法，建立我國信息系統審計執業(yè)準則體系

　　與發(fā)達國家相比，我國的信息系統審計事業(yè)較為落后，迄今僅有一個(gè)準則和兩個(gè)規范性文件被頒布，構成不了體系，且大都是滯后的時(shí)效內容。因此，我國急需架構信息系統審計執業(yè)準則規范體系，這一體系應當既適應我國國情，又要和國際接軌。加強立法建設，制定一批與信息系統審計相配套的法律法規，同時(shí)在實(shí)踐中摸索總結出一套程序和方法，作為信息系統審計評價(jià)的指標體系，實(shí)現審計人員有法可依、有據可查。

　　4.2 建立專(zhuān)業(yè)的人才隊伍及完備的管理運作機制

　　建設一支專(zhuān)業(yè)素質(zhì)與綜合能力較高的人才隊伍，并對其中人員進(jìn)行系統化的培訓，使其認識到信息系統審計的重要性。構建專(zhuān)業(yè)化程度較高的非贏(yíng)利行業(yè)協(xié)會(huì )，結合實(shí)際情況制定出統一的信息系統審計標準與行為規范，由相關(guān)行政主管部門(mén)對協(xié)會(huì )的各項工作進(jìn)行監督，保證將國家提出的各項政策有效落實(shí)。 加強與第三方審計機構之間的合作，積極培育專(zhuān)業(yè)人才與復合型人才，定期組織展開(kāi)實(shí)踐活動(dòng)，提高審計師的綜合素質(zhì)與能力。

　　4.3 開(kāi)發(fā)信息系統審計軟件，統一規范數據接口標準

　　就目前國內實(shí)際發(fā)展情況而言，盡管很多企業(yè)已經(jīng)認識到信息系統審計的重要性，但是在實(shí)際應用方面還是存在很多問(wèn)題，與之相關(guān)的軟件系統也相對較少�，F階段看來(lái)，審計軟件市場(chǎng)上隨處都可看到不規范的行為，由于市場(chǎng)規模不大，很多審計軟件無(wú)法將其具備的特殊功能充分發(fā)揮，只是實(shí)現了與財務(wù)軟件相同的部分功能。設計人員要加強與審計人員、使用者之間的交流，了解信息系統的缺陷，及時(shí)采取措施進(jìn)行調試，利用閑暇時(shí)間學(xué)習了解程序設計、數據結構、工程學(xué)等方面的知識，將信息系統審計視為工作重點(diǎn)。目前，信息系統的開(kāi)發(fā)還不夠完善，在實(shí)際應用期間出現了很多問(wèn)題，由于軟件系統的類(lèi)型多樣化，導致數據結構與數據平臺之間存在很大差異，很多軟件系統沒(méi)有設置數據接口，不利于信息系統審計工作的順利進(jìn)行。審計人員要革新傳統的思想與行為模式，明確信息系統審計的內涵與性質(zhì)，積極通過(guò)多種渠道宣傳推行信息系統審計，并對實(shí)際操作過(guò)程中可能會(huì )出現的問(wèn)題進(jìn)行分析。同時(shí)定期組織展開(kāi)與之相關(guān)的實(shí)踐活動(dòng)，鼓勵工作人員積極參與其中，針對具體問(wèn)題進(jìn)行分析，進(jìn)而將個(gè)人意見(jiàn)表達出來(lái)，明確審計工作的業(yè)務(wù)目標，關(guān)注審計軟件的開(kāi)發(fā)與實(shí)際應用，對各個(gè)環(huán)節的工作進(jìn)行監督，提高軟件系統的質(zhì)量。

　　參考文獻：

　　〔1〕張永雄。信息系統審計產(chǎn)生及發(fā)展研究[J].審計與理財，2005（2）：27-28.

　　〔2〕戴勇。信息系統審計與控制研究[D].北京 :北京科技大學(xué)計算機學(xué)院，2002.

　　〔3〕張子瑾。信息系統審計的理論與技術(shù)應用研究[D].大連：東北財經(jīng)大學(xué)工商管理學(xué)院，2010.

【信息系統審計的固有控制及檢查風(fēng)險探析論文】相關(guān)文章：

審計風(fēng)險的控制與防范03-18

審計風(fēng)險與控制芻議03-23

淺析審計風(fēng)險的防范與控制03-20

獨立原則與審計風(fēng)險控制03-21

試論審計風(fēng)險及其控制03-20

探析現代風(fēng)險導向審計方法03-24

經(jīng)濟新常態(tài)下審計風(fēng)險成因與控制論文11-15

信息系統內部控制審計初探03-21

內部控制審計經(jīng)典論文05-23

內部控制審計經(jīng)典論文06-11