信息系統(tǒng)審計(jì)的固有控制及檢查風(fēng)險(xiǎn)探析論文

　　信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)指在信息系統(tǒng)環(huán)境下，計(jì)算機(jī)系統(tǒng)的效益性、安全性和可靠性存在發(fā)生錯(cuò)誤的隱患，而審計(jì)人員在審計(jì)后，因發(fā)表了不恰當(dāng)?shù)膶徲?jì)意見(jiàn)使審計(jì)主體遭受損失的可能性。信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)模型為：審計(jì)風(fēng)險(xiǎn)=固有風(fēng)險(xiǎn)×控制風(fēng)險(xiǎn)×檢查風(fēng)險(xiǎn)；從定性角度看，固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的綜合水平與檢查風(fēng)險(xiǎn)之間是成反比的，固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的綜合水平越高，審計(jì)人員的檢查風(fēng)險(xiǎn)水平越低；反之亦然。固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)已成既定事實(shí)，審計(jì)人員無(wú)法改變，只能對(duì)其進(jìn)行合理評(píng)估，確定檢查風(fēng)險(xiǎn)水平以開(kāi)展實(shí)質(zhì)性測(cè)試，從而將審計(jì)風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。

　　1 信息系統(tǒng)審計(jì)的固有風(fēng)險(xiǎn)分析及評(píng)價(jià)

　　1.1 信息系統(tǒng)審計(jì)固有風(fēng)險(xiǎn)的產(chǎn)生因素分析

　　信息系統(tǒng)審計(jì)固有風(fēng)險(xiǎn)是在假定未對(duì)計(jì)算機(jī)會(huì)計(jì)軟硬件系統(tǒng)進(jìn)行安全控制的情況下，信息系統(tǒng)發(fā)生的運(yùn)行失�；驍�(shù)據(jù)錯(cuò)誤等風(fēng)險(xiǎn)。計(jì)算機(jī)對(duì)業(yè)務(wù)信息處理的準(zhǔn)確性、實(shí)時(shí)性和系統(tǒng)的復(fù)雜性、脆弱性都會(huì)影響到信息系統(tǒng)審計(jì)的固有風(fēng)險(xiǎn)。

　　首先，信息系統(tǒng)的運(yùn)行環(huán)境會(huì)受到計(jì)算機(jī)硬件質(zhì)量、軟件穩(wěn)定性、人工錄入初始信息的準(zhǔn)確性等因素的影響；其次，由于數(shù)據(jù)的收集、處理及儲(chǔ)存都高度集中于電子數(shù)據(jù)處理中心，數(shù)據(jù)更容易丟失、盜竊或被篡改。電子商務(wù)環(huán)境下，傳統(tǒng)意義上的單據(jù)、憑證和賬簿等紙質(zhì)記錄以計(jì)算機(jī)信息的形式在網(wǎng)上交互并存儲(chǔ)在磁性介質(zhì)中，這些都是無(wú)法通過(guò)肉眼判斷的。不僅如此，在計(jì)算機(jī)中導(dǎo)入原始信息后，信息系統(tǒng)將根據(jù)指令自動(dòng)處理交易信息、財(cái)務(wù)信息，這些信息都是無(wú)法永久保存的。信息系統(tǒng)的復(fù)雜性和脆弱性，增加了信息系統(tǒng)審計(jì)的固有風(fēng)險(xiǎn)。 信息系統(tǒng)審計(jì)固有風(fēng)險(xiǎn)的影響因素主要包括：（1）計(jì)算機(jī)硬件系統(tǒng)的安全性；（2）軟件系統(tǒng)質(zhì)量，包括系統(tǒng)研制與開(kāi)發(fā)的漏洞、職責(zé)權(quán)限劃分不明確、不相容職務(wù)沒(méi)有被嚴(yán)格區(qū)分等；（3）數(shù)據(jù)文件的完整性、經(jīng)濟(jì)業(yè)務(wù)的開(kāi)展是否合法、網(wǎng)絡(luò)會(huì)計(jì)信息的錄入是否準(zhǔn)確；（4）程序模塊的安全性、穩(wěn)定性和隱蔽性。

　　1.2 對(duì)信息系統(tǒng)固有風(fēng)險(xiǎn)的識(shí)別

　　信息系統(tǒng)固有風(fēng)險(xiǎn)存在于信息系統(tǒng)開(kāi)發(fā)、運(yùn)行和維護(hù)的整個(gè)過(guò)程中，審計(jì)人員應(yīng)從系統(tǒng)工程和項(xiàng)目管理兩方面來(lái)進(jìn)行全面識(shí)別，其中涉及到企業(yè)性質(zhì)、行業(yè)狀況、企業(yè)管理體制和機(jī)制、會(huì)計(jì)方法、會(huì)計(jì)人員業(yè)務(wù)能力和職業(yè)道德等多個(gè)方面。根據(jù)風(fēng)險(xiǎn)來(lái)源的不同，筆者總結(jié)了信息系統(tǒng)的固有風(fēng)險(xiǎn)，如下圖所示：

　　1.3 對(duì)信息系統(tǒng)固有風(fēng)險(xiǎn)的評(píng)價(jià)

　　信息系統(tǒng)固有風(fēng)險(xiǎn)的影響因素相互聯(lián)系并相互制約，在信息系統(tǒng)環(huán)境復(fù)雜、數(shù)據(jù)量較少時(shí)，簡(jiǎn)單的定性和定量分析往往無(wú)法做出全面的評(píng)價(jià)。本文嘗試采用美國(guó)運(yùn)籌學(xué)家 T.L.Salty 在上世紀(jì) 70 年代提出的 AHP（analytic hierarchy process）層次分析法將定性與定量相結(jié)合，把復(fù)雜問(wèn)題分解，按照其中的關(guān)系進(jìn)行分組，形成有序遞階層次結(jié)構(gòu)圖，通過(guò)各元素的兩兩比較，確定層次中諸因素的相對(duì)重要性，進(jìn)而判斷各因素相對(duì)重要性的總順序。采用AHP 法評(píng)價(jià)信息系統(tǒng)固有風(fēng)險(xiǎn)的具體過(guò)程如下圖所示：

　　2 信息系統(tǒng)審計(jì)的控制風(fēng)險(xiǎn)分析及評(píng)價(jià)

　　2.1 信息系統(tǒng)審計(jì)的控制風(fēng)險(xiǎn)影響因素分析

　　信息系統(tǒng)審計(jì)的控制風(fēng)險(xiǎn)是指組成信息系統(tǒng)的軟、硬件系統(tǒng)在應(yīng)用、運(yùn)行時(shí)發(fā)生錯(cuò)誤，而內(nèi)部控制制度不夠健全，導(dǎo)致其無(wú)法發(fā)現(xiàn)并及時(shí)糾正信息系統(tǒng)可能出現(xiàn)的各種錯(cuò)誤的風(fēng)險(xiǎn)。影響該風(fēng)險(xiǎn)的因素包括：

　�。�1）內(nèi)部控制不健全或未發(fā)揮效力；

　�。�2）軟件系統(tǒng)的應(yīng)用測(cè)試不嚴(yán)密；

　　（3） 軟件系統(tǒng)的設(shè)計(jì)有缺陷，如軟件系統(tǒng)數(shù)據(jù)控制設(shè)計(jì)不嚴(yán)密、日志記錄不完整、缺乏系統(tǒng)運(yùn)行故障的事后恢復(fù)措施或數(shù)據(jù)備份方案、系統(tǒng)沒(méi)有預(yù)留審計(jì)接口等。

　　2.2 信息系統(tǒng)審計(jì)的控制風(fēng)險(xiǎn)識(shí)別和評(píng)價(jià)

　　為保證內(nèi)部控制與管理工作的順利進(jìn)行，首先必須要確定控制對(duì)象與控制范圍，在實(shí)際操作過(guò)程中需要引起重視的是應(yīng)用控制和一般控制。一般控制就是對(duì)信息系統(tǒng)的各項(xiàng)功能與運(yùn)行環(huán)境等進(jìn)行檢查，避免因各方面因素的影響，導(dǎo)致系統(tǒng)功能缺失，無(wú)法正常運(yùn)作。應(yīng)用控制就是對(duì)數(shù)據(jù)處理與功能模塊的運(yùn)作過(guò)程進(jìn)行控制，因子系統(tǒng)的控制要求及敏感度不同，應(yīng)用控制過(guò)程中存在很大差異。

　　2.2.1 信息系統(tǒng)一般控制的審計(jì)

　　信息系統(tǒng)一般控制的審計(jì)主要包括：

　�。�1） 組織控制的審計(jì)。結(jié)合現(xiàn)實(shí)情況制定出科學(xué)合理的內(nèi)部控制與管理制度，對(duì)組織結(jié)構(gòu)進(jìn)行調(diào)整，保證系統(tǒng)功能的完整性，明確組織控制的職能與權(quán)責(zé)；

　�。�2）數(shù)據(jù)資源控制的審計(jì)。 將控制措施導(dǎo)入信息系統(tǒng)中，對(duì)工作人員的操作程序進(jìn)行管理，使用者必須通過(guò)身份識(shí)別或指紋驗(yàn)證才能進(jìn)行操作；

　�。�3） 安全控制的審計(jì)。用戶只有輸入正確的用戶名與密碼后才能進(jìn)入系統(tǒng)，使用者要保證自身行為規(guī)范，不得任意修改、刪除文件與數(shù)據(jù)，不得利用計(jì)算機(jī)從事違法活動(dòng)；

　�。�4）硬件、系統(tǒng)軟件控制的審計(jì)。審計(jì)工作中要對(duì)硬件控制等工作給予重點(diǎn)關(guān)注，對(duì)生產(chǎn)商的經(jīng)營(yíng)范圍、產(chǎn)品許可、使用說(shuō)明、生產(chǎn)資質(zhì)等進(jìn)行審核；重點(diǎn)關(guān)注硬件設(shè)備的選擇與實(shí)際應(yīng)用，根據(jù)用戶的實(shí)際需要推薦最合適的產(chǎn)品，例如服務(wù)器、交換機(jī)等，滿足不同客戶的多元化需求。僅重視硬件控制是不夠的，還要將其與軟件控制結(jié)合，對(duì)系統(tǒng)程序和結(jié)構(gòu)進(jìn)行適當(dāng)調(diào)整，側(cè)重于系統(tǒng)安全、文件保護(hù)、錯(cuò)誤處置等方面，保證儲(chǔ)存在信息系統(tǒng)中的各類數(shù)據(jù)都是真實(shí)有效的；工作人員要對(duì)不良行為進(jìn)行約束，凡是沒(méi)有授權(quán)的人員不得擅自進(jìn)出操作室。

　　2.2.2 信息系統(tǒng)應(yīng)用控制的審計(jì)

　　應(yīng)用控制是基于控制要求與敏感環(huán)節(jié)對(duì)系統(tǒng)功能進(jìn)行的完善和控制，用戶只有輸入正確的用戶名與密碼后才能進(jìn)入系統(tǒng)，應(yīng)用項(xiàng)目與系統(tǒng)分具體包括：

　　（1）輸入控制的審計(jì)。在數(shù)據(jù)源文件導(dǎo)入系統(tǒng)之前須進(jìn)行審核，詳細(xì)記錄源文件中涉及的信息；實(shí)際操作中可考慮以數(shù)字檢測(cè)、終端編輯等形式對(duì)輸入數(shù)據(jù)的合理性、完整性、可用性進(jìn)行測(cè)試；如果是以成批輸入的形式將數(shù)據(jù)信息輸入系統(tǒng)，可以考慮通過(guò)批總量控制進(jìn)行驗(yàn)證，同時(shí)還要以獨(dú)立控制程序進(jìn)行檢測(cè)，保證輸出量與輸入量的一致性。

　�。�2）處理控制的審計(jì)。通過(guò)處理控制對(duì)系統(tǒng)數(shù)據(jù)的可靠性與安全性進(jìn)行檢測(cè)，最終目的是保證導(dǎo)入系統(tǒng)的數(shù)據(jù)信息是真實(shí)有效的，同時(shí)要嚴(yán)格按照既定程序進(jìn)行操作。

　�。�3）輸出控制的審計(jì)。若發(fā)現(xiàn)信息系統(tǒng)中存在漏洞，則必須檢查系統(tǒng)功能與結(jié)構(gòu)，監(jiān)督數(shù)據(jù)輸出與導(dǎo)入的整個(gè)過(guò)程，未得到授權(quán)的人員不得擅自更改數(shù)據(jù)或接觸系統(tǒng)。

　　3 信息系統(tǒng)審計(jì)的檢查風(fēng)險(xiǎn)分析及確定

　　3.1 信息系統(tǒng)審計(jì)檢查風(fēng)險(xiǎn)的因素分析

　　信息系統(tǒng)審計(jì)的檢查風(fēng)險(xiǎn)指的是被審單位信息系統(tǒng)內(nèi)部控制未及時(shí)發(fā)現(xiàn)安全隱患或糾正數(shù)據(jù)錯(cuò)誤，審計(jì)人員通過(guò)符合性測(cè)試和實(shí)質(zhì)性測(cè)試也未發(fā)現(xiàn)信息系統(tǒng)異常的風(fēng)險(xiǎn)。因受審計(jì)資源、審計(jì)時(shí)間等因素的影響，審計(jì)人員不能根除檢查風(fēng)險(xiǎn)。審計(jì)人員可通過(guò)研究和評(píng)價(jià)被審計(jì)單位的內(nèi)部控制，對(duì)被審計(jì)單位固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的高低作出評(píng)價(jià)，在此基礎(chǔ)上確定實(shí)質(zhì)性測(cè)試的性質(zhì)、時(shí)間和范圍，以便將檢查風(fēng)險(xiǎn)及總體審計(jì)風(fēng)險(xiǎn)降至可接受的水平。

　　導(dǎo)致信息系統(tǒng)審計(jì)檢查風(fēng)險(xiǎn)增加的因素主要有：

　　（1）審計(jì)人員不具備扎實(shí)的計(jì)算機(jī)與信息系統(tǒng)知識(shí)，不了解系統(tǒng)軟件、硬件等方面的設(shè)計(jì)及運(yùn)行狀況，無(wú)法開(kāi)展全面、有效的實(shí)質(zhì)性測(cè)試和審查；

　�。�2）審計(jì)軟件的開(kāi)發(fā)不完善，運(yùn)用還未形成比較統(tǒng)一的標(biāo)準(zhǔn)，可能存在某些缺陷，實(shí)際操作中有很多問(wèn)題沒(méi)能進(jìn)行處理；

　�。�3）因信息系統(tǒng)類型的多樣化和軟件的更新?lián)Q代，審計(jì)軟件所需數(shù)據(jù)結(jié)構(gòu)與信息系統(tǒng)數(shù)據(jù)格式、數(shù)據(jù)平臺(tái)之間存在較大差異，很多信息系統(tǒng)未設(shè)置審計(jì)數(shù)據(jù)接口。

　　3.2 信息系統(tǒng)審計(jì)檢查風(fēng)險(xiǎn)的確定

　　審計(jì)人員在進(jìn)行實(shí)質(zhì)性測(cè)試時(shí)可以對(duì)檢查風(fēng)險(xiǎn)進(jìn)行調(diào)節(jié)，根據(jù)審計(jì)風(fēng)險(xiǎn)模型：審計(jì)風(fēng)險(xiǎn)（AR）=固有風(fēng)險(xiǎn)（IR）* 控制風(fēng)險(xiǎn)（CR）* 檢查風(fēng)險(xiǎn)（DR），我們能夠得出 DR=AR/CR* IR. 在 AR、CR、IR 已知時(shí)，可計(jì)算出 DR.一般認(rèn)為檢查風(fēng)險(xiǎn)是審計(jì)風(fēng)險(xiǎn)中的β風(fēng)險(xiǎn)（誤受險(xiǎn)），檢查風(fēng)險(xiǎn)決定了注冊(cè)會(huì)計(jì)師計(jì)劃收集的證據(jù)的數(shù)量，利用審計(jì)風(fēng)險(xiǎn)模型計(jì)算出的檢查風(fēng)險(xiǎn)可用來(lái)確定實(shí)質(zhì)性測(cè)試的樣本規(guī)模。檢查風(fēng)險(xiǎn)較低時(shí)，表明注冊(cè)會(huì)計(jì)師不愿承擔(dān)較大的未能發(fā)現(xiàn)錯(cuò)誤的風(fēng)險(xiǎn)，這時(shí)就必須收集相當(dāng)多的證據(jù)。審計(jì)人員根據(jù)所得的檢查風(fēng)險(xiǎn)水平，利用統(tǒng)計(jì)抽樣模型決定所要收集的審計(jì)證據(jù)的數(shù)量。

　　4 信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的應(yīng)對(duì)措施

　　4.1 加強(qiáng)立法，建立我國(guó)信息系統(tǒng)審計(jì)執(zhí)業(yè)準(zhǔn)則體系

　　與發(fā)達(dá)國(guó)家相比，我國(guó)的信息系統(tǒng)審計(jì)事業(yè)較為落后，迄今僅有一個(gè)準(zhǔn)則和兩個(gè)規(guī)范性文件被頒布，構(gòu)成不了體系，且大都是滯后的時(shí)效內(nèi)容。因此，我國(guó)急需架構(gòu)信息系統(tǒng)審計(jì)執(zhí)業(yè)準(zhǔn)則規(guī)范體系，這一體系應(yīng)當(dāng)既適應(yīng)我國(guó)國(guó)情，又要和國(guó)際接軌。加強(qiáng)立法建設(shè)，制定一批與信息系統(tǒng)審計(jì)相配套的法律法規(guī)，同時(shí)在實(shí)踐中摸索總結(jié)出一套程序和方法，作為信息系統(tǒng)審計(jì)評(píng)價(jià)的指標(biāo)體系，實(shí)現(xiàn)審計(jì)人員有法可依、有據(jù)可查。

　　4.2 建立專業(yè)的人才隊(duì)伍及完備的管理運(yùn)作機(jī)制

　　建設(shè)一支專業(yè)素質(zhì)與綜合能力較高的人才隊(duì)伍，并對(duì)其中人員進(jìn)行系統(tǒng)化的培訓(xùn)，使其認(rèn)識(shí)到信息系統(tǒng)審計(jì)的重要性。構(gòu)建專業(yè)化程度較高的非贏利行業(yè)協(xié)會(huì)，結(jié)合實(shí)際情況制定出統(tǒng)一的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)與行為規(guī)范，由相關(guān)行政主管部門對(duì)協(xié)會(huì)的各項(xiàng)工作進(jìn)行監(jiān)督，保證將國(guó)家提出的各項(xiàng)政策有效落實(shí)。 加強(qiáng)與第三方審計(jì)機(jī)構(gòu)之間的合作，積極培育專業(yè)人才與復(fù)合型人才，定期組織展開(kāi)實(shí)踐活動(dòng)，提高審計(jì)師的綜合素質(zhì)與能力。

　　4.3 開(kāi)發(fā)信息系統(tǒng)審計(jì)軟件，統(tǒng)一規(guī)范數(shù)據(jù)接口標(biāo)準(zhǔn)

　　就目前國(guó)內(nèi)實(shí)際發(fā)展情況而言，盡管很多企業(yè)已經(jīng)認(rèn)識(shí)到信息系統(tǒng)審計(jì)的重要性，但是在實(shí)際應(yīng)用方面還是存在很多問(wèn)題，與之相關(guān)的軟件系統(tǒng)也相對(duì)較少。現(xiàn)階段看來(lái)，審計(jì)軟件市場(chǎng)上隨處都可看到不規(guī)范的行為，由于市場(chǎng)規(guī)模不大，很多審計(jì)軟件無(wú)法將其具備的特殊功能充分發(fā)揮，只是實(shí)現(xiàn)了與財(cái)務(wù)軟件相同的部分功能。設(shè)計(jì)人員要加強(qiáng)與審計(jì)人員、使用者之間的交流，了解信息系統(tǒng)的缺陷，及時(shí)采取措施進(jìn)行調(diào)試，利用閑暇時(shí)間學(xué)習(xí)了解程序設(shè)計(jì)、數(shù)據(jù)結(jié)構(gòu)、工程學(xué)等方面的知識(shí)，將信息系統(tǒng)審計(jì)視為工作重點(diǎn)。目前，信息系統(tǒng)的開(kāi)發(fā)還不夠完善，在實(shí)際應(yīng)用期間出現(xiàn)了很多問(wèn)題，由于軟件系統(tǒng)的類型多樣化，導(dǎo)致數(shù)據(jù)結(jié)構(gòu)與數(shù)據(jù)平臺(tái)之間存在很大差異，很多軟件系統(tǒng)沒(méi)有設(shè)置數(shù)據(jù)接口，不利于信息系統(tǒng)審計(jì)工作的順利進(jìn)行。審計(jì)人員要革新傳統(tǒng)的思想與行為模式，明確信息系統(tǒng)審計(jì)的內(nèi)涵與性質(zhì)，積極通過(guò)多種渠道宣傳推行信息系統(tǒng)審計(jì)，并對(duì)實(shí)際操作過(guò)程中可能會(huì)出現(xiàn)的問(wèn)題進(jìn)行分析。同時(shí)定期組織展開(kāi)與之相關(guān)的實(shí)踐活動(dòng)，鼓勵(lì)工作人員積極參與其中，針對(duì)具體問(wèn)題進(jìn)行分析，進(jìn)而將個(gè)人意見(jiàn)表達(dá)出來(lái)，明確審計(jì)工作的業(yè)務(wù)目標(biāo)，關(guān)注審計(jì)軟件的開(kāi)發(fā)與實(shí)際應(yīng)用，對(duì)各個(gè)環(huán)節(jié)的工作進(jìn)行監(jiān)督，提高軟件系統(tǒng)的質(zhì)量。

　　參考文獻(xiàn)：

　　〔1〕張永雄。信息系統(tǒng)審計(jì)產(chǎn)生及發(fā)展研究[J].審計(jì)與理財(cái)，2005（2）：27-28.

　　〔2〕戴勇。信息系統(tǒng)審計(jì)與控制研究[D].北京 :北京科技大學(xué)計(jì)算機(jī)學(xué)院，2002.

　　〔3〕張子瑾。信息系統(tǒng)審計(jì)的理論與技術(shù)應(yīng)用研究[D].大連：東北財(cái)經(jīng)大學(xué)工商管理學(xué)院，2010.

【信息系統(tǒng)審計(jì)的固有控制及檢查風(fēng)險(xiǎn)探析論文】相關(guān)文章：

審計(jì)風(fēng)險(xiǎn)的控制與防范03-18

審計(jì)風(fēng)險(xiǎn)與控制芻議03-23

淺析審計(jì)風(fēng)險(xiǎn)的防范與控制03-20

獨(dú)立原則與審計(jì)風(fēng)險(xiǎn)控制03-21

試論審計(jì)風(fēng)險(xiǎn)及其控制03-20

探析現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)方法03-24

經(jīng)濟(jì)新常態(tài)下審計(jì)風(fēng)險(xiǎn)成因與控制論文11-15

信息系統(tǒng)內(nèi)部控制審計(jì)初探03-21

內(nèi)部控制審計(jì)經(jīng)典論文05-23

內(nèi)部控制審計(jì)經(jīng)典論文06-11