信息系統(tǒng)審計的固有控制及檢查風(fēng)險探析論文

　　信息系統(tǒng)審計風(fēng)險指在信息系統(tǒng)環(huán)境下，計算機系統(tǒng)的效益性、安全性和可靠性存在發(fā)生錯誤的隱患，而審計人員在審計后，因發(fā)表了不恰當?shù)膶徲嬕庖娛箤徲嬛黧w遭受損失的可能性。信息系統(tǒng)審計風(fēng)險模型為：審計風(fēng)險=固有風(fēng)險×控制風(fēng)險×檢查風(fēng)險；從定性角度看，固有風(fēng)險和控制風(fēng)險的綜合水平與檢查風(fēng)險之間是成反比的，固有風(fēng)險和控制風(fēng)險的綜合水平越高，審計人員的檢查風(fēng)險水平越低；反之亦然。固有風(fēng)險和控制風(fēng)險已成既定事實，審計人員無法改變，只能對其進行合理評估，確定檢查風(fēng)險水平以開展實質(zhì)性測試，從而將審計風(fēng)險控制在可接受的范圍內(nèi)。

　　1 信息系統(tǒng)審計的固有風(fēng)險分析及評價

　　1.1 信息系統(tǒng)審計固有風(fēng)險的產(chǎn)生因素分析

　　信息系統(tǒng)審計固有風(fēng)險是在假定未對計算機會計軟硬件系統(tǒng)進行安全控制的情況下，信息系統(tǒng)發(fā)生的運行失�；驍�(shù)據(jù)錯誤等風(fēng)險。計算機對業(yè)務(wù)信息處理的準確性、實時性和系統(tǒng)的復(fù)雜性、脆弱性都會影響到信息系統(tǒng)審計的固有風(fēng)險。

　　首先，信息系統(tǒng)的運行環(huán)境會受到計算機硬件質(zhì)量、軟件穩(wěn)定性、人工錄入初始信息的準確性等因素的影響；其次，由于數(shù)據(jù)的收集、處理及儲存都高度集中于電子數(shù)據(jù)處理中心，數(shù)據(jù)更容易丟失、盜竊或被篡改。電子商務(wù)環(huán)境下，傳統(tǒng)意義上的單據(jù)、憑證和賬簿等紙質(zhì)記錄以計算機信息的形式在網(wǎng)上交互并存儲在磁性介質(zhì)中，這些都是無法通過肉眼判斷的。不僅如此，在計算機中導(dǎo)入原始信息后，信息系統(tǒng)將根據(jù)指令自動處理交易信息、財務(wù)信息，這些信息都是無法永久保存的。信息系統(tǒng)的復(fù)雜性和脆弱性，增加了信息系統(tǒng)審計的固有風(fēng)險。 信息系統(tǒng)審計固有風(fēng)險的影響因素主要包括：（1）計算機硬件系統(tǒng)的安全性；（2）軟件系統(tǒng)質(zhì)量，包括系統(tǒng)研制與開發(fā)的漏洞、職責(zé)權(quán)限劃分不明確、不相容職務(wù)沒有被嚴格區(qū)分等；（3）數(shù)據(jù)文件的完整性、經(jīng)濟業(yè)務(wù)的開展是否合法、網(wǎng)絡(luò)會計信息的錄入是否準確；（4）程序模塊的安全性、穩(wěn)定性和隱蔽性。

　　1.2 對信息系統(tǒng)固有風(fēng)險的識別

　　信息系統(tǒng)固有風(fēng)險存在于信息系統(tǒng)開發(fā)、運行和維護的整個過程中，審計人員應(yīng)從系統(tǒng)工程和項目管理兩方面來進行全面識別，其中涉及到企業(yè)性質(zhì)、行業(yè)狀況、企業(yè)管理體制和機制、會計方法、會計人員業(yè)務(wù)能力和職業(yè)道德等多個方面。根據(jù)風(fēng)險來源的不同，筆者總結(jié)了信息系統(tǒng)的固有風(fēng)險，如下圖所示：

　　1.3 對信息系統(tǒng)固有風(fēng)險的評價

　　信息系統(tǒng)固有風(fēng)險的影響因素相互聯(lián)系并相互制約，在信息系統(tǒng)環(huán)境復(fù)雜、數(shù)據(jù)量較少時，簡單的定性和定量分析往往無法做出全面的評價。本文嘗試采用美國運籌學(xué)家 T.L.Salty 在上世紀 70 年代提出的 AHP（analytic hierarchy process）層次分析法將定性與定量相結(jié)合，把復(fù)雜問題分解，按照其中的關(guān)系進行分組，形成有序遞階層次結(jié)構(gòu)圖，通過各元素的兩兩比較，確定層次中諸因素的相對重要性，進而判斷各因素相對重要性的總順序。采用AHP 法評價信息系統(tǒng)固有風(fēng)險的具體過程如下圖所示：

　　2 信息系統(tǒng)審計的控制風(fēng)險分析及評價

　　2.1 信息系統(tǒng)審計的控制風(fēng)險影響因素分析

　　信息系統(tǒng)審計的控制風(fēng)險是指組成信息系統(tǒng)的軟、硬件系統(tǒng)在應(yīng)用、運行時發(fā)生錯誤，而內(nèi)部控制制度不夠健全，導(dǎo)致其無法發(fā)現(xiàn)并及時糾正信息系統(tǒng)可能出現(xiàn)的各種錯誤的風(fēng)險。影響該風(fēng)險的因素包括：

　�。�1）內(nèi)部控制不健全或未發(fā)揮效力；

　　（2）軟件系統(tǒng)的應(yīng)用測試不嚴密；

　�。�3） 軟件系統(tǒng)的設(shè)計有缺陷，如軟件系統(tǒng)數(shù)據(jù)控制設(shè)計不嚴密、日志記錄不完整、缺乏系統(tǒng)運行故障的事后恢復(fù)措施或數(shù)據(jù)備份方案、系統(tǒng)沒有預(yù)留審計接口等。

　　2.2 信息系統(tǒng)審計的控制風(fēng)險識別和評價

　　為保證內(nèi)部控制與管理工作的順利進行，首先必須要確定控制對象與控制范圍，在實際操作過程中需要引起重視的是應(yīng)用控制和一般控制。一般控制就是對信息系統(tǒng)的各項功能與運行環(huán)境等進行檢查，避免因各方面因素的影響，導(dǎo)致系統(tǒng)功能缺失，無法正常運作。應(yīng)用控制就是對數(shù)據(jù)處理與功能模塊的運作過程進行控制，因子系統(tǒng)的控制要求及敏感度不同，應(yīng)用控制過程中存在很大差異。

　　2.2.1 信息系統(tǒng)一般控制的審計

　　信息系統(tǒng)一般控制的審計主要包括：

　　（1） 組織控制的審計。結(jié)合現(xiàn)實情況制定出科學(xué)合理的內(nèi)部控制與管理制度，對組織結(jié)構(gòu)進行調(diào)整，保證系統(tǒng)功能的完整性，明確組織控制的職能與權(quán)責(zé)；

　�。�2）數(shù)據(jù)資源控制的審計。 將控制措施導(dǎo)入信息系統(tǒng)中，對工作人員的操作程序進行管理，使用者必須通過身份識別或指紋驗證才能進行操作；

　�。�3） 安全控制的審計。用戶只有輸入正確的用戶名與密碼后才能進入系統(tǒng)，使用者要保證自身行為規(guī)范，不得任意修改、刪除文件與數(shù)據(jù)，不得利用計算機從事違法活動；

　�。�4）硬件、系統(tǒng)軟件控制的審計。審計工作中要對硬件控制等工作給予重點關(guān)注，對生產(chǎn)商的經(jīng)營范圍、產(chǎn)品許可、使用說明、生產(chǎn)資質(zhì)等進行審核；重點關(guān)注硬件設(shè)備的選擇與實際應(yīng)用，根據(jù)用戶的實際需要推薦最合適的產(chǎn)品，例如服務(wù)器、交換機等，滿足不同客戶的多元化需求。僅重視硬件控制是不夠的，還要將其與軟件控制結(jié)合，對系統(tǒng)程序和結(jié)構(gòu)進行適當調(diào)整，側(cè)重于系統(tǒng)安全、文件保護、錯誤處置等方面，保證儲存在信息系統(tǒng)中的各類數(shù)據(jù)都是真實有效的；工作人員要對不良行為進行約束，凡是沒有授權(quán)的人員不得擅自進出操作室。

　　2.2.2 信息系統(tǒng)應(yīng)用控制的審計

　　應(yīng)用控制是基于控制要求與敏感環(huán)節(jié)對系統(tǒng)功能進行的完善和控制，用戶只有輸入正確的用戶名與密碼后才能進入系統(tǒng)，應(yīng)用項目與系統(tǒng)分具體包括：

　　（1）輸入控制的審計。在數(shù)據(jù)源文件導(dǎo)入系統(tǒng)之前須進行審核，詳細記錄源文件中涉及的信息；實際操作中可考慮以數(shù)字檢測、終端編輯等形式對輸入數(shù)據(jù)的合理性、完整性、可用性進行測試；如果是以成批輸入的形式將數(shù)據(jù)信息輸入系統(tǒng)，可以考慮通過批總量控制進行驗證，同時還要以獨立控制程序進行檢測，保證輸出量與輸入量的一致性。

　�。�2）處理控制的審計。通過處理控制對系統(tǒng)數(shù)據(jù)的可靠性與安全性進行檢測，最終目的是保證導(dǎo)入系統(tǒng)的數(shù)據(jù)信息是真實有效的，同時要嚴格按照既定程序進行操作。

　　（3）輸出控制的審計。若發(fā)現(xiàn)信息系統(tǒng)中存在漏洞，則必須檢查系統(tǒng)功能與結(jié)構(gòu)，監(jiān)督數(shù)據(jù)輸出與導(dǎo)入的整個過程，未得到授權(quán)的人員不得擅自更改數(shù)據(jù)或接觸系統(tǒng)。

　　3 信息系統(tǒng)審計的檢查風(fēng)險分析及確定

　　3.1 信息系統(tǒng)審計檢查風(fēng)險的因素分析

　　信息系統(tǒng)審計的檢查風(fēng)險指的是被審單位信息系統(tǒng)內(nèi)部控制未及時發(fā)現(xiàn)安全隱患或糾正數(shù)據(jù)錯誤，審計人員通過符合性測試和實質(zhì)性測試也未發(fā)現(xiàn)信息系統(tǒng)異常的風(fēng)險。因受審計資源、審計時間等因素的影響，審計人員不能根除檢查風(fēng)險。審計人員可通過研究和評價被審計單位的內(nèi)部控制，對被審計單位固有風(fēng)險和控制風(fēng)險的高低作出評價，在此基礎(chǔ)上確定實質(zhì)性測試的性質(zhì)、時間和范圍，以便將檢查風(fēng)險及總體審計風(fēng)險降至可接受的水平。

　　導(dǎo)致信息系統(tǒng)審計檢查風(fēng)險增加的因素主要有：

　�。�1）審計人員不具備扎實的計算機與信息系統(tǒng)知識，不了解系統(tǒng)軟件、硬件等方面的設(shè)計及運行狀況，無法開展全面、有效的實質(zhì)性測試和審查；

　�。�2）審計軟件的開發(fā)不完善，運用還未形成比較統(tǒng)一的標準，可能存在某些缺陷，實際操作中有很多問題沒能進行處理；

　　（3）因信息系統(tǒng)類型的多樣化和軟件的更新?lián)Q代，審計軟件所需數(shù)據(jù)結(jié)構(gòu)與信息系統(tǒng)數(shù)據(jù)格式、數(shù)據(jù)平臺之間存在較大差異，很多信息系統(tǒng)未設(shè)置審計數(shù)據(jù)接口。

　　3.2 信息系統(tǒng)審計檢查風(fēng)險的確定

　　審計人員在進行實質(zhì)性測試時可以對檢查風(fēng)險進行調(diào)節(jié)，根據(jù)審計風(fēng)險模型：審計風(fēng)險（AR）=固有風(fēng)險（IR）* 控制風(fēng)險（CR）* 檢查風(fēng)險（DR），我們能夠得出 DR=AR/CR* IR. 在 AR、CR、IR 已知時，可計算出 DR.一般認為檢查風(fēng)險是審計風(fēng)險中的β風(fēng)險（誤受險），檢查風(fēng)險決定了注冊會計師計劃收集的證據(jù)的數(shù)量，利用審計風(fēng)險模型計算出的檢查風(fēng)險可用來確定實質(zhì)性測試的樣本規(guī)模。檢查風(fēng)險較低時，表明注冊會計師不愿承擔較大的未能發(fā)現(xiàn)錯誤的風(fēng)險，這時就必須收集相當多的證據(jù)。審計人員根據(jù)所得的檢查風(fēng)險水平，利用統(tǒng)計抽樣模型決定所要收集的審計證據(jù)的數(shù)量。

　　4 信息系統(tǒng)審計風(fēng)險的應(yīng)對措施

　　4.1 加強立法，建立我國信息系統(tǒng)審計執(zhí)業(yè)準則體系

　　與發(fā)達國家相比，我國的信息系統(tǒng)審計事業(yè)較為落后，迄今僅有一個準則和兩個規(guī)范性文件被頒布，構(gòu)成不了體系，且大都是滯后的時效內(nèi)容。因此，我國急需架構(gòu)信息系統(tǒng)審計執(zhí)業(yè)準則規(guī)范體系，這一體系應(yīng)當既適應(yīng)我國國情，又要和國際接軌。加強立法建設(shè)，制定一批與信息系統(tǒng)審計相配套的法律法規(guī)，同時在實踐中摸索總結(jié)出一套程序和方法，作為信息系統(tǒng)審計評價的指標體系，實現(xiàn)審計人員有法可依、有據(jù)可查。

　　4.2 建立專業(yè)的人才隊伍及完備的管理運作機制

　　建設(shè)一支專業(yè)素質(zhì)與綜合能力較高的人才隊伍，并對其中人員進行系統(tǒng)化的培訓(xùn)，使其認識到信息系統(tǒng)審計的重要性。構(gòu)建專業(yè)化程度較高的非贏利行業(yè)協(xié)會，結(jié)合實際情況制定出統(tǒng)一的信息系統(tǒng)審計標準與行為規(guī)范，由相關(guān)行政主管部門對協(xié)會的各項工作進行監(jiān)督，保證將國家提出的各項政策有效落實。 加強與第三方審計機構(gòu)之間的合作，積極培育專業(yè)人才與復(fù)合型人才，定期組織展開實踐活動，提高審計師的綜合素質(zhì)與能力。

　　4.3 開發(fā)信息系統(tǒng)審計軟件，統(tǒng)一規(guī)范數(shù)據(jù)接口標準

　　就目前國內(nèi)實際發(fā)展情況而言，盡管很多企業(yè)已經(jīng)認識到信息系統(tǒng)審計的重要性，但是在實際應(yīng)用方面還是存在很多問題，與之相關(guān)的軟件系統(tǒng)也相對較少�，F(xiàn)階段看來，審計軟件市場上隨處都可看到不規(guī)范的行為，由于市場規(guī)模不大，很多審計軟件無法將其具備的特殊功能充分發(fā)揮，只是實現(xiàn)了與財務(wù)軟件相同的部分功能。設(shè)計人員要加強與審計人員、使用者之間的交流，了解信息系統(tǒng)的缺陷，及時采取措施進行調(diào)試，利用閑暇時間學(xué)習(xí)了解程序設(shè)計、數(shù)據(jù)結(jié)構(gòu)、工程學(xué)等方面的知識，將信息系統(tǒng)審計視為工作重點。目前，信息系統(tǒng)的開發(fā)還不夠完善，在實際應(yīng)用期間出現(xiàn)了很多問題，由于軟件系統(tǒng)的類型多樣化，導(dǎo)致數(shù)據(jù)結(jié)構(gòu)與數(shù)據(jù)平臺之間存在很大差異，很多軟件系統(tǒng)沒有設(shè)置數(shù)據(jù)接口，不利于信息系統(tǒng)審計工作的順利進行。審計人員要革新傳統(tǒng)的思想與行為模式，明確信息系統(tǒng)審計的內(nèi)涵與性質(zhì)，積極通過多種渠道宣傳推行信息系統(tǒng)審計，并對實際操作過程中可能會出現(xiàn)的問題進行分析。同時定期組織展開與之相關(guān)的實踐活動，鼓勵工作人員積極參與其中，針對具體問題進行分析，進而將個人意見表達出來，明確審計工作的業(yè)務(wù)目標，關(guān)注審計軟件的開發(fā)與實際應(yīng)用，對各個環(huán)節(jié)的工作進行監(jiān)督，提高軟件系統(tǒng)的質(zhì)量。

　　參考文獻：

　　〔1〕張永雄。信息系統(tǒng)審計產(chǎn)生及發(fā)展研究[J].審計與理財，2005（2）：27-28.

　　〔2〕戴勇。信息系統(tǒng)審計與控制研究[D].北京 :北京科技大學(xué)計算機學(xué)院，2002.

　　〔3〕張子瑾。信息系統(tǒng)審計的理論與技術(shù)應(yīng)用研究[D].大連：東北財經(jīng)大學(xué)工商管理學(xué)院，2010.

【信息系統(tǒng)審計的固有控制及檢查風(fēng)險探析論文】相關(guān)文章：

審計風(fēng)險的控制與防范03-18

審計風(fēng)險與控制芻議03-23

淺析審計風(fēng)險的防范與控制03-20

獨立原則與審計風(fēng)險控制03-21

試論審計風(fēng)險及其控制03-20

經(jīng)濟新常態(tài)下審計風(fēng)險成因與控制論文11-15

信息系統(tǒng)內(nèi)部控制審計初探03-21

內(nèi)部控制審計經(jīng)典論文05-23

內(nèi)部控制審計經(jīng)典論文06-11