信息系統審計的固有控制及檢查風險探析論文

信息系統審計的固有控制及檢查風險探析論文

　　信息系統審計風險指在信息系統環境下，計算機系統的效益性、安全性和可靠性存在發生錯誤的隱患，而審計人員在審計后，因發表了不恰當的審計意見使審計主體遭受損失的可能性。信息系統審計風險模型為：審計風險=固有風險×控制風險×檢查風險；從定性角度看，固有風險和控制風險的綜合水平與檢查風險之間是成反比的，固有風險和控制風險的綜合水平越高，審計人員的檢查風險水平越低；反之亦然。固有風險和控制風險已成既定事實，審計人員無法改變，只能對其進行合理評估，確定檢查風險水平以開展實質性測試，從而將審計風險控制在可接受的范圍內。

　　1 信息系統審計的固有風險分析及評價

　　1.1 信息系統審計固有風險的產生因素分析

　　信息系統審計固有風險是在假定未對計算機會計軟硬件系統進行安全控制的情況下，信息系統發生的運行失�；驍祿�錯誤等風險。計算機對業務信息處理的準確性、實時性和系統的復雜性、脆弱性都會影響到信息系統審計的固有風險。

　　首先，信息系統的運行環境會受到計算機硬件質量、軟件穩定性、人工錄入初始信息的準確性等因素的影響；其次，由于數據的收集、處理及儲存都高度集中于電子數據處理中心，數據更容易丟失、盜竊或被篡改。電子商務環境下，傳統意義上的單據、憑證和賬簿等紙質記錄以計算機信息的形式在網上交互并存儲在磁性介質中，這些都是無法通過肉眼判斷的。不僅如此，在計算機中導入原始信息后，信息系統將根據指令自動處理交易信息、財務信息，這些信息都是無法永久保存的。信息系統的復雜性和脆弱性，增加了信息系統審計的固有風險。 信息系統審計固有風險的影響因素主要包括：（1）計算機硬件系統的安全性；（2）軟件系統質量，包括系統研制與開發的漏洞、職責權限劃分不明確、不相容職務沒有被嚴格區分等；（3）數據文件的完整性、經濟業務的開展是否合法、網絡會計信息的錄入是否準確；（4）程序模塊的安全性、穩定性和隱蔽性。

　　1.2 對信息系統固有風險的識別

　　信息系統固有風險存在于信息系統開發、運行和維護的整個過程中，審計人員應從系統工程和項目管理兩方面來進行全面識別，其中涉及到企業性質、行業狀況、企業管理體制和機制、會計方法、會計人員業務能力和職業道德等多個方面。根據風險來源的不同，筆者總結了信息系統的固有風險，如下圖所示：

　　1.3 對信息系統固有風險的評價

　　信息系統固有風險的影響因素相互聯系并相互制約，在信息系統環境復雜、數據量較少時，簡單的定性和定量分析往往無法做出全面的評價。本文嘗試采用美國運籌學家 T.L.Salty 在上世紀 70 年代提出的 AHP（analytic hierarchy process）層次分析法將定性與定量相結合，把復雜問題分解，按照其中的關系進行分組，形成有序遞階層次結構圖，通過各元素的兩兩比較，確定層次中諸因素的相對重要性，進而判斷各因素相對重要性的總順序。采用AHP 法評價信息系統固有風險的具體過程如下圖所示：

　　2 信息系統審計的控制風險分析及評價

　　2.1 信息系統審計的控制風險影響因素分析

　　信息系統審計的控制風險是指組成信息系統的軟、硬件系統在應用、運行時發生錯誤，而內部控制制度不夠健全，導致其無法發現并及時糾正信息系統可能出現的各種錯誤的風險。影響該風險的因素包括：

　　（1）內部控制不健全或未發揮效力；

　�。�2）軟件系統的應用測試不嚴密；

　�。�3） 軟件系統的設計有缺陷，如軟件系統數據控制設計不嚴密、日志記錄不完整、缺乏系統運行故障的事后恢復措施或數據備份方案、系統沒有預留審計接口等。

　　2.2 信息系統審計的控制風險識別和評價

　　為保證內部控制與管理工作的順利進行，首先必須要確定控制對象與控制范圍，在實際操作過程中需要引起重視的是應用控制和一般控制。一般控制就是對信息系統的各項功能與運行環境等進行檢查，避免因各方面因素的影響，導致系統功能缺失，無法正常運作。應用控制就是對數據處理與功能模塊的運作過程進行控制，因子系統的控制要求及敏感度不同，應用控制過程中存在很大差異。

　　2.2.1 信息系統一般控制的審計

　　信息系統一般控制的審計主要包括：

　�。�1） 組織控制的審計。結合現實情況制定出科學合理的內部控制與管理制度，對組織結構進行調整，保證系統功能的完整性，明確組織控制的職能與權責；

　�。�2）數據資源控制的審計。 將控制措施導入信息系統中，對工作人員的操作程序進行管理，使用者必須通過身份識別或指紋驗證才能進行操作；

　　（3） 安全控制的審計。用戶只有輸入正確的用戶名與密碼后才能進入系統，使用者要保證自身行為規范，不得任意修改、刪除文件與數據，不得利用計算機從事違法活動；

　�。�4）硬件、系統軟件控制的審計。審計工作中要對硬件控制等工作給予重點關注，對生產商的經營范圍、產品許可、使用說明、生產資質等進行審核；重點關注硬件設備的選擇與實際應用，根據用戶的實際需要推薦最合適的產品，例如服務器、交換機等，滿足不同客戶的多元化需求。僅重視硬件控制是不夠的，還要將其與軟件控制結合，對系統程序和結構進行適當調整，側重于系統安全、文件保護、錯誤處置等方面，保證儲存在信息系統中的各類數據都是真實有效的；工作人員要對不良行為進行約束，凡是沒有授權的人員不得擅自進出操作室。

　　2.2.2 信息系統應用控制的審計

　　應用控制是基于控制要求與敏感環節對系統功能進行的完善和控制，用戶只有輸入正確的用戶名與密碼后才能進入系統，應用項目與系統分具體包括：

　�。�1）輸入控制的審計。在數據源文件導入系統之前須進行審核，詳細記錄源文件中涉及的信息；實際操作中可考慮以數字檢測、終端編輯等形式對輸入數據的合理性、完整性、可用性進行測試；如果是以成批輸入的形式將數據信息輸入系統，可以考慮通過批總量控制進行驗證，同時還要以獨立控制程序進行檢測，保證輸出量與輸入量的一致性。

　�。�2）處理控制的審計。通過處理控制對系統數據的可靠性與安全性進行檢測，最終目的是保證導入系統的數據信息是真實有效的，同時要嚴格按照既定程序進行操作。

　�。�3）輸出控制的審計。若發現信息系統中存在漏洞，則必須檢查系統功能與結構，監督數據輸出與導入的整個過程，未得到授權的人員不得擅自更改數據或接觸系統。

　　3 信息系統審計的檢查風險分析及確定

　　3.1 信息系統審計檢查風險的因素分析

　　信息系統審計的檢查風險指的是被審單位信息系統內部控制未及時發現安全隱患或糾正數據錯誤，審計人員通過符合性測試和實質性測試也未發現信息系統異常的風險。因受審計資源、審計時間等因素的影響，審計人員不能根除檢查風險。審計人員可通過研究和評價被審計單位的內部控制，對被審計單位固有風險和控制風險的高低作出評價，在此基礎上確定實質性測試的性質、時間和范圍，以便將檢查風險及總體審計風險降至可接受的水平。

　　導致信息系統審計檢查風險增加的因素主要有：

　�。�1）審計人員不具備扎實的計算機與信息系統知識，不了解系統軟件、硬件等方面的設計及運行狀況，無法開展全面、有效的實質性測試和審查；

　�。�2）審計軟件的開發不完善，運用還未形成比較統一的標準，可能存在某些缺陷，實際操作中有很多問題沒能進行處理；

　　（3）因信息系統類型的多樣化和軟件的更新換代，審計軟件所需數據結構與信息系統數據格式、數據平臺之間存在較大差異，很多信息系統未設置審計數據接口。

　　3.2 信息系統審計檢查風險的確定

　　審計人員在進行實質性測試時可以對檢查風險進行調節，根據審計風險模型：審計風險（AR）=固有風險（IR）* 控制風險（CR）* 檢查風險（DR），我們能夠得出 DR=AR/CR* IR. 在 AR、CR、IR 已知時，可計算出 DR.一般認為檢查風險是審計風險中的β風險（誤受險），檢查風險決定了注冊會計師計劃收集的證據的數量，利用審計風險模型計算出的檢查風險可用來確定實質性測試的樣本規模。檢查風險較低時，表明注冊會計師不愿承擔較大的未能發現錯誤的風險，這時就必須收集相當多的證據。審計人員根據所得的檢查風險水平，利用統計抽樣模型決定所要收集的審計證據的數量。

　　4 信息系統審計風險的應對措施

　　4.1 加強立法，建立我國信息系統審計執業準則體系

　　與發達國家相比，我國的信息系統審計事業較為落后，迄今僅有一個準則和兩個規范性文件被頒布，構成不了體系，且大都是滯后的時效內容。因此，我國急需架構信息系統審計執業準則規范體系，這一體系應當既適應我國國情，又要和國際接軌。加強立法建設，制定一批與信息系統審計相配套的法律法規，同時在實踐中摸索總結出一套程序和方法，作為信息系統審計評價的指標體系，實現審計人員有法可依、有據可查。

　　4.2 建立專業的人才隊伍及完備的管理運作機制

　　建設一支專業素質與綜合能力較高的人才隊伍，并對其中人員進行系統化的培訓，使其認識到信息系統審計的重要性。構建專業化程度較高的非贏利行業協會，結合實際情況制定出統一的信息系統審計標準與行為規范，由相關行政主管部門對協會的各項工作進行監督，保證將國家提出的各項政策有效落實。 加強與第三方審計機構之間的合作，積極培育專業人才與復合型人才，定期組織展開實踐活動，提高審計師的綜合素質與能力。

　　4.3 開發信息系統審計軟件，統一規范數據接口標準

　　就目前國內實際發展情況而言，盡管很多企業已經認識到信息系統審計的重要性，但是在實際應用方面還是存在很多問題，與之相關的軟件系統也相對較少�，F階段看來，審計軟件市場上隨處都可看到不規范的行為，由于市場規模不大，很多審計軟件無法將其具備的特殊功能充分發揮，只是實現了與財務軟件相同的部分功能。設計人員要加強與審計人員、使用者之間的交流，了解信息系統的缺陷，及時采取措施進行調試，利用閑暇時間學習了解程序設計、數據結構、工程學等方面的知識，將信息系統審計視為工作重點。目前，信息系統的開發還不夠完善，在實際應用期間出現了很多問題，由于軟件系統的類型多樣化，導致數據結構與數據平臺之間存在很大差異，很多軟件系統沒有設置數據接口，不利于信息系統審計工作的順利進行。審計人員要革新傳統的思想與行為模式，明確信息系統審計的內涵與性質，積極通過多種渠道宣傳推行信息系統審計，并對實際操作過程中可能會出現的問題進行分析。同時定期組織展開與之相關的實踐活動，鼓勵工作人員積極參與其中，針對具體問題進行分析，進而將個人意見表達出來，明確審計工作的業務目標，關注審計軟件的開發與實際應用，對各個環節的工作進行監督，提高軟件系統的質量。

　　參考文獻：

　　〔1〕張永雄。信息系統審計產生及發展研究[J].審計與理財，2005（2）：27-28.

　　〔2〕戴勇。信息系統審計與控制研究[D].北京 :北京科技大學計算機學院，2002.

　　〔3〕張子瑾。信息系統審計的理論與技術應用研究[D].大連：東北財經大學工商管理學院，2010.

【信息系統審計的固有控制及檢查風險探析論文】相關文章：

審計風險的控制與防范03-18

審計風險與控制芻議03-23

淺析審計風險的防范與控制03-20

獨立原則與審計風險控制03-21

試論審計風險及其控制03-20

探析現代風險導向審計方法03-24

經濟新常態下審計風險成因與控制論文11-15

信息系統內部控制審計初探03-21

內部控制審計經典論文05-23

內部控制審計經典論文06-11