浅析信息系统审计风险

时间:2022-01-19 08:59:55

导语:浅析信息系统审计风险一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。

浅析信息系统审计风险

[摘要]信息技术在各行业迅速普及,信息系统给企业带来社会经济效益的同时,其自身特点给企业带来了不容忽视的风险,因此信息系统审计显得尤为重要。本文从信息系统审计风险的类型和特征入手,分析了产生审计风险的原因,进一步提出了防范信息系统审计风险的措施。

[关键词]审计风险;防范措施;信息系统审计

在信息化环境下,信息系统在安全性、可靠性和有效性上可能存在缺陷或发生错误的隐患,行业的信息系统中可能存在一系列风险因素,进而增加经营管理风险的可能性,对信息系统进行充分审计利于降低甚至规避相关的风险。

1信息系统审计风险类型

信息系统审计风险包括以下三个方面:其一是被审计单位信息系统自身潜在的风险,即固有风险;其二是被审计单位内部控制存在缺陷产生的风险,即控制风险;其三是审计师在信息系统审计过程中产生的风险,即检查风险。下面具体分析面临的审计风险。

1.1固有风险

固有风险的产生是由于企业自身的因素,与信息系统审计没有关系。固有风险是在信息系统不存在相关内部控制的前提下,信息系统或其子系统发生重大错误的可能性。当企业的信息系统存在安全漏洞,系统内的相关电子数据或程序遭受破坏时,信息系统存在的固有风险偏高。信息系统审计的固有风险与计算机硬件配置、软件质量以及网络安全有关。主要表现在:①系统设计风险。由于信息不对称和知识结构的不完善使得系统开发人员设计出的信息系统与系统使用者的需求不匹配,那么就必然带来漏洞。②系统风险。信息系统的硬件配置不完善,软件质量不可靠,系统自控功能较弱而产生系统风险。③系统环境风险。电子数据大量集中在系统的信息中心,同时信息系统实现数据的高速处理,在此过程中,系统内数据遭到破坏或者处理时出现失误。

1.2控制风险

控制风险也与信息系统审计无关,是信息系统或其子系统发生重大错误并且没有被内部控制及时防止或发现纠正而产生的风险。信息系统在处理相关数据时,绝大多数的处理流程和相应的控制程序存在于系统中。在信息系统环境中,其控制范围发生一定的变化,具有其特殊性,包括系统组织操作、安全和数据处理等方面,所以很多一般的控制活动会失效。主要表现在:①约束机制失效风险。在信息系统环境下,交易授权直接由电子数据处理功能取得,信息系统中各岗位不相容职责分配较为集中,因不恰当的授权而促使舞弊行为发生。②系统数据的安全性风险。为保证系统数据的安全性和保密性,与书面资料相一致,防止系统数据被篡改或非法复制,监控和管理信息系统的有效运行,需要对人员权限进行适当有效的控制,对日常电子数据进行维护,保障信息系统的安全。

1.3检查风险

检查风险主要是与信息系统审计有关,是信息系统审计人员作为独立第三方通过实质性测试程序未能检查出其存在重大错误而产生的风险。信息系统审计的检查风险贯穿于审计过程,是唯一可以通过审计人员控制的风险。在信息系统环境下,审计人员的自身素养以及信息技术水平是影响检查风险的重要因素。主要表现在:①审计人员执业能力风险。信息系统的复杂性要求审计人员必须具备更加丰富的知识和技能,不仅要掌握会计、财务、审计知识,还要熟悉网络技术、信息处理以及管理技术。同时,人工操作将逐渐减少,信息技术是否有效运用的检查逐渐体现出了现实价值。②审计人员职业道德风险。在审计过程中,审计人员应保持其作为第三方的独立性。审计人员在信息系统环境下应保持其职业谨慎性,恰当地选择审计程序和方法,完成审计任务,降低审计过程中的检查风险。

2信息系统审计风险的特征

信息系统审计与其他审计不同,导致审计风险发生了很大变化,并且表现出不同的特征。其主要表现在以下几个方面。

2.1隐蔽性

信息系统审计工作主要面对被审计单位系统中大量的电子数据,操作人员使用信息系统负责处理数据输入和输出环节的信息,中间流程的数据处理几乎完全由计算机自己完成。与一般的审计证据不同,审计人员在获取审计证据时要考虑电子数据复杂和易被破坏的特点,在对数据信息采集、整理和分析过程中审计风险隐蔽性加大,不易怀疑计算机系统的数据处理能力,从而不易发现其存在的问题,审计人员的控制方法不能得以有效实施。

2.2不可控性

信息系统拥有高质量硬件软件可以保障系统的稳定性。审计人员对更新的审计软件的熟悉程度影响其在信息系统审计过程中的操作和分析。信息系统数据处理相对集中高效,磁介质存储信息使得数据存储载体发生改变,系统内部控制转而以计算机系统内部控制为主。而系统自身的运行有效、控制失灵等安全隐患也造成了审计风险的不可控性。

2.3群发性

信息系统中同种业务的数据处理采用相同程序,该程序设计开发错误未被发现,那么会出现错误的反复性。信息系统数据处理的整个流程几乎完全由计算机完成,某一审计程序未能发现信息系统存在的审计风险可能会连续地引发接下来的程序中的风险,一旦上个流程出现错误,必然导致下面的业务处理流程的数据失真,最终对企业生产经营决策产生重大影响。

3信息系统审计风险产生的原因

信息化环境造成了信息系统审计的困难,使审计风险愈发复杂,以下将从客观原因和主观原因进行简单剖析。

3.1客观原因

客观原因是其由信息化环境引起的。信息化环境下,一方面,电子数据易被更改、破坏,影响了审计证据的可靠性。信息网络自身风险较大,出现突发性故障的概率较高,外在不和谐因素如病毒的入侵,黑客破坏随时威胁系统的安全,导致信息系统环境风险增大。同时系统的设计存在缺陷,计算机硬件配置与软件质量较差,使得系统自控较弱,容易造成审计线索缺失;另一方面,行业的信息系统中可能存在功能缺陷、控制缺陷、不恰当授权等风险因素,加大审计风险,影响审计效率和质量。目前我国信息系统审计还处于初步发展阶段,对于信息系统审计没有健全的法律法规和审计准则,相关的法规准则缺失,审计人员在执行审计业务时没有相应的职业规范可循,必然影响审计工作质量,加大了信息系统审计方面的风险。

3.2主观原因

主观原因主要是其由审计人员自身特点引起的。由于信息技术的不断更新和发展,审计证据的难获取性,审计线索的隐蔽性等,信息系统审计人员不具备应有的专业能力,审计人员的执业水平与信息系统发展不协调。信息系统中大量的电子数据需要处理,此过程都在计算机内进行,审计线索更加隐蔽,审计人员很难发现问题或者错误,所以审计人员必须利用先进的审计技术,从而降低检查风险。审计人员对会计软件和计算机系统知识掌握薄弱,信息技术运用不灵活,必然带来审计风险。信息化环境下存在信息系统安全风险和审计软件风险,当审计人员对审计软件了解不足或对审计业务不够熟悉时,造成审计上的漏洞甚至发生错误。企业的信息系统中蕴含海量的电子数据,审计人员需要在保证企业信息系统正常工作的情况下进行审计业务,造成联网的其他企业与之相关的非经济业务活动的困扰,审计人员在获取有用的信息难度加大。

4信息系统审计风险的防范措施

通过对信息系统审计风险的分析后,为了降低审计风险,必须采取有效的应对措施,从而保障信息系统审计的内外部环境优化,提升审计质量。

4.1建立和健全信息系统审计法律法规和准则体系

在信息化环境下,信息系统审计的审计对象、技术和方法等发生了转变,传统的法律法规和审计准则不能完全适用于该审计,而我国目前尚未制定和出台相关信息系统审计准则和法律。在国际上,国际信息系统审计协会(ISACA)的信息系统审计准则是目前国际上通用的信息系统准则,其中包括了审计准则、审计指南和审计程序三个方面①。此外,其他组织如国际会计师联合会和国际内部审计师协会也制定了相关的规范。我国在借鉴国际信息系统审计的实践经验的同时,可以结合国内注册会计师管理情况,制定出我国特色的信息系统审计准则和法律,为降低信息系统审计风险提供有力保障。

4.2加强信息系统内部控制建设

信息系统运行得安全可靠需要健全有效的信息系统内部控制。在高度自动化的信息环境中,信息系统的设计开发者和使用者是系统内部控制及其审计的主要参与人员,其应当全面投入到信息系统的内部控制构建中去。为有效降低审计风险,建立信息系统内部控制体系势在必行。具体表现在:一是要改善内部控制环境并加强风险评估程序,将制定的内控制度落到实处并自行评估和评价,对其有效性进行信息反馈,便于进一步完善信息系统的内部控制;二是强化内部控制的技术应用。只有涉及内部控制相关的技术得到有效运用,才能降低被审计单位对内控的依赖程度。此类技术包括监控系统、综合分析平台、防火墙的建立和权限管理等。

4.3运用先进的信息系统审计技术方法

先进审计技术方法的运用便于提高审计效率和提升审计质量。审计人员获得充分适当的审计证据来实现审计目标需要其具备熟练的技术方法。目前我国信息系统审计技术保持迅速发展的态势,并逐渐缩小与欧美发达国家的差距。先进的信息系统审计技术包括了相关的安全审计技术、数据挖掘技术以及信息系统审计证据生成技术等,我国需要对这些技术领域的研究全面加强,同时在其完善后应及时投入运用,不断推进审计技术的更新,从而使之达到先进水平。

4.4加大信息系统审计人才培养力度

信息系统审计人员的职业能力和专业素养是提升信息系统审计质量的保障。在信息系统环境下,审计人员需要具备全面的知识,包括审计、会计、计算机技术和信息系统管理等,同时这样全方位的审计人才又相当缺乏,所以培养高素质的审计人才,任务显得尤为重要和艰难。我国信息系统的人才培养需要学历教育、社会实践和培训有效结合,各高校开设审计与计算机融合的相关专业和课程,加强信息系统理论知识的学习,审计机构适时提供培训,并安排审计人员真正应用实践,这样才能有力地促进信息系统审计人才的培养。

作者:茆敏 单位:南京审计学院

参考文献

[1]孙晶.浅谈信息系统审计风险与控制[J].中国管理信息化,2012(22):18-19.

[2]胡晓明.风险导向信息系统审计及其发展思路[J].经济管理,2007(2):63-66.

[3]谢岳山.联网环境下信息系统审计的体系架构[J].审计研究,2009(5):37-39.

[4]王振武,张子瑾.信息系统审计理论结构框架研究[J].会计之友,2011(21):91-96.

[5]刘园瑶.信息系统审计国内研究综述[J].现代商贸工业,2011,23(16):48-49.

[6]薛丽.信息化环境下审计风险的防范[J].安徽工业大学学报,2009,26(3):53-54.

[7]唐琳,付达杰.网络环境下的信息系统审计问题及其发展策略[J].科技广场,2012(6):148-150.

[8]张金城,李庭燎,沈静秋.信息系统绩效评价与审计[M].南京:东南大学出版社,2014.