導語：淺析信息系統審計風險一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

［摘要］信息技術在各行業迅速普及，信息系統給企業帶來社會經濟效益的同時，其自身特點給企業帶來了不容忽視的風險，因此信息系統審計顯得尤為重要。本文從信息系統審計風險的類型和特征入手，分析了產生審計風險的原因，進一步提出了防范信息系統審計風險的措施。

［關鍵詞］審計風險；防范措施；信息系統審計

在信息化環境下，信息系統在安全性、可靠性和有效性上可能存在缺陷或發生錯誤的隱患，行業的信息系統中可能存在一系列風險因素，進而增加經營管理風險的可能性，對信息系統進行充分審計利于降低甚至規避相關的風險。

1信息系統審計風險類型

信息系統審計風險包括以下三個方面：其一是被審計單位信息系統自身潛在的風險，即固有風險；其二是被審計單位內部控制存在缺陷產生的風險，即控制風險；其三是審計師在信息系統審計過程中產生的風險，即檢查風險。下面具體分析面臨的審計風險。

1.1固有風險

固有風險的產生是由于企業自身的因素，與信息系統審計沒有關系。固有風險是在信息系統不存在相關內部控制的前提下，信息系統或其子系統發生重大錯誤的可能性。當企業的信息系統存在安全漏洞，系統內的相關電子數據或程序遭受破壞時，信息系統存在的固有風險偏高。信息系統審計的固有風險與計算機硬件配置、軟件質量以及網絡安全有關。主要表現在：①系統設計風險。由于信息不對稱和知識結構的不完善使得系統開發人員設計出的信息系統與系統使用者的需求不匹配，那么就必然帶來漏洞。②系統風險。信息系統的硬件配置不完善，軟件質量不可靠，系統自控功能較弱而產生系統風險。③系統環境風險。電子數據大量集中在系統的信息中心，同時信息系統實現數據的高速處理，在此過程中，系統內數據遭到破壞或者處理時出現失誤。

1.2控制風險

控制風險也與信息系統審計無關，是信息系統或其子系統發生重大錯誤并且沒有被內部控制及時防止或發現糾正而產生的風險。信息系統在處理相關數據時，絕大多數的處理流程和相應的控制程序存在于系統中。在信息系統環境中，其控制范圍發生一定的變化，具有其特殊性，包括系統組織操作、安全和數據處理等方面，所以很多一般的控制活動會失效。主要表現在：①約束機制失效風險。在信息系統環境下，交易授權直接由電子數據處理功能取得，信息系統中各崗位不相容職責分配較為集中，因不恰當的授權而促使舞弊行為發生。②系統數據的安全性風險。為保證系統數據的安全性和保密性，與書面資料相一致，防止系統數據被篡改或非法復制，監控和管理信息系統的有效運行，需要對人員權限進行適當有效的控制，對日常電子數據進行維護，保障信息系統的安全。

1.3檢查風險

檢查風險主要是與信息系統審計有關，是信息系統審計人員作為獨立第三方通過實質性測試程序未能檢查出其存在重大錯誤而產生的風險。信息系統審計的檢查風險貫穿于審計過程，是唯一可以通過審計人員控制的風險。在信息系統環境下，審計人員的自身素養以及信息技術水平是影響檢查風險的重要因素。主要表現在：①審計人員執業能力風險。信息系統的復雜性要求審計人員必須具備更加豐富的知識和技能，不僅要掌握會計、財務、審計知識，還要熟悉網絡技術、信息處理以及管理技術。同時，人工操作將逐漸減少，信息技術是否有效運用的檢查逐漸體現出了現實價值。②審計人員職業道德風險。在審計過程中，審計人員應保持其作為第三方的獨立性。審計人員在信息系統環境下應保持其職業謹慎性，恰當地選擇審計程序和方法，完成審計任務，降低審計過程中的檢查風險。

2信息系統審計風險的特征

信息系統審計與其他審計不同，導致審計風險發生了很大變化，并且表現出不同的特征。其主要表現在以下幾個方面。

2.1隱蔽性

信息系統審計工作主要面對被審計單位系統中大量的電子數據，操作人員使用信息系統負責處理數據輸入和輸出環節的信息，中間流程的數據處理幾乎完全由計算機自己完成。與一般的審計證據不同，審計人員在獲取審計證據時要考慮電子數據復雜和易被破壞的特點，在對數據信息采集、整理和分析過程中審計風險隱蔽性加大，不易懷疑計算機系統的數據處理能力，從而不易發現其存在的問題，審計人員的控制方法不能得以有效實施。

2．2不可控性

信息系統擁有高質量硬件軟件可以保障系統的穩定性。審計人員對更新的審計軟件的熟悉程度影響其在信息系統審計過程中的操作和分析。信息系統數據處理相對集中高效，磁介質存儲信息使得數據存儲載體發生改變，系統內部控制轉而以計算機系統內部控制為主。而系統自身的運行有效、控制失靈等安全隱患也造成了審計風險的不可控性。

2.3群發性

信息系統中同種業務的數據處理采用相同程序，該程序設計開發錯誤未被發現，那么會出現錯誤的反復性。信息系統數據處理的整個流程幾乎完全由計算機完成，某一審計程序未能發現信息系統存在的審計風險可能會連續地引發接下來的程序中的風險，一旦上個流程出現錯誤，必然導致下面的業務處理流程的數據失真，最終對企業生產經營決策產生重大影響。

3信息系統審計風險產生的原因

信息化環境造成了信息系統審計的困難，使審計風險愈發復雜，以下將從客觀原因和主觀原因進行簡單剖析。

3.1客觀原因

客觀原因是其由信息化環境引起的。信息化環境下，一方面，電子數據易被更改、破壞，影響了審計證據的可靠性。信息網絡自身風險較大，出現突發性故障的概率較高，外在不和諧因素如病毒的入侵，黑客破壞隨時威脅系統的安全，導致信息系統環境風險增大。同時系統的設計存在缺陷，計算機硬件配置與軟件質量較差，使得系統自控較弱，容易造成審計線索缺失；另一方面，行業的信息系統中可能存在功能缺陷、控制缺陷、不恰當授權等風險因素，加大審計風險，影響審計效率和質量。目前我國信息系統審計還處于初步發展階段，對于信息系統審計沒有健全的法律法規和審計準則，相關的法規準則缺失，審計人員在執行審計業務時沒有相應的職業規范可循，必然影響審計工作質量，加大了信息系統審計方面的風險。

3.2主觀原因

主觀原因主要是其由審計人員自身特點引起的。由于信息技術的不斷更新和發展，審計證據的難獲取性，審計線索的隱蔽性等，信息系統審計人員不具備應有的專業能力，審計人員的執業水平與信息系統發展不協調。信息系統中大量的電子數據需要處理，此過程都在計算機內進行，審計線索更加隱蔽，審計人員很難發現問題或者錯誤，所以審計人員必須利用先進的審計技術，從而降低檢查風險。審計人員對會計軟件和計算機系統知識掌握薄弱，信息技術運用不靈活，必然帶來審計風險。信息化環境下存在信息系統安全風險和審計軟件風險，當審計人員對審計軟件了解不足或對審計業務不夠熟悉時，造成審計上的漏洞甚至發生錯誤。企業的信息系統中蘊含海量的電子數據，審計人員需要在保證企業信息系統正常工作的情況下進行審計業務，造成聯網的其他企業與之相關的非經濟業務活動的困擾，審計人員在獲取有用的信息難度加大。

4信息系統審計風險的防范措施

通過對信息系統審計風險的分析后，為了降低審計風險，必須采取有效的應對措施，從而保障信息系統審計的內外部環境優化，提升審計質量。

4.1建立和健全信息系統審計法律法規和準則體系

在信息化環境下，信息系統審計的審計對象、技術和方法等發生了轉變，傳統的法律法規和審計準則不能完全適用于該審計，而我國目前尚未制定和出臺相關信息系統審計準則和法律。在國際上，國際信息系統審計協會（ISACA）的信息系統審計準則是目前國際上通用的信息系統準則，其中包括了審計準則、審計指南和審計程序三個方面①。此外，其他組織如國際會計師聯合會和國際內部審計師協會也制定了相關的規范。我國在借鑒國際信息系統審計的實踐經驗的同時，可以結合國內注冊會計師管理情況，制定出我國特色的信息系統審計準則和法律，為降低信息系統審計風險提供有力保障。

4.2加強信息系統內部控制建設

信息系統運行得安全可靠需要健全有效的信息系統內部控制。在高度自動化的信息環境中，信息系統的設計開發者和使用者是系統內部控制及其審計的主要參與人員，其應當全面投入到信息系統的內部控制構建中去。為有效降低審計風險，建立信息系統內部控制體系勢在必行。具體表現在：一是要改善內部控制環境并加強風險評估程序，將制定的內控制度落到實處并自行評估和評價，對其有效性進行信息反饋，便于進一步完善信息系統的內部控制；二是強化內部控制的技術應用。只有涉及內部控制相關的技術得到有效運用，才能降低被審計單位對內控的依賴程度。此類技術包括監控系統、綜合分析平臺、防火墻的建立和權限管理等。

4.3運用先進的信息系統審計技術方法

先進審計技術方法的運用便于提高審計效率和提升審計質量。審計人員獲得充分適當的審計證據來實現審計目標需要其具備熟練的技術方法。目前我國信息系統審計技術保持迅速發展的態勢，并逐漸縮小與歐美發達國家的差距。先進的信息系統審計技術包括了相關的安全審計技術、數據挖掘技術以及信息系統審計證據生成技術等，我國需要對這些技術領域的研究全面加強，同時在其完善后應及時投入運用，不斷推進審計技術的更新，從而使之達到先進水平。

4.4加大信息系統審計人才培養力度

信息系統審計人員的職業能力和專業素養是提升信息系統審計質量的保障。在信息系統環境下，審計人員需要具備全面的知識，包括審計、會計、計算機技術和信息系統管理等，同時這樣全方位的審計人才又相當缺乏，所以培養高素質的審計人才，任務顯得尤為重要和艱難。我國信息系統的人才培養需要學歷教育、社會實踐和培訓有效結合，各高校開設審計與計算機融合的相關專業和課程，加強信息系統理論知識的學習，審計機構適時提供培訓，并安排審計人員真正應用實踐，這樣才能有力地促進信息系統審計人才的培養。

作者:茆敏 單位:南京審計學院

參考文獻

［1］孫晶．淺談信息系統審計風險與控制［J］．中國管理信息化，2012（22）：18－19．

［2］胡曉明．風險導向信息系統審計及其發展思路［J］．經濟管理，2007（2）：63－66．

［3］謝岳山．聯網環境下信息系統審計的體系架構［J］．審計研究，2009（5）：37－39．

［4］王振武，張子瑾．信息系統審計理論結構框架研究［J］．會計之友，2011（21）：91－96．

［5］劉園瑤．信息系統審計國內研究綜述［J］．現代商貿工業，2011，23（16）：48－49．

［6］薛麗．信息化環境下審計風險的防范［J］．安徽工業大學學報，2009，26（3）：53－54．

［7］唐琳，付達杰．網絡環境下的信息系統審計問題及其發展策略［J］．科技廣場，2012（6）：148－150．

［8］張金城，李庭燎，沈靜秋．信息系統績效評價與審計［M］．南京：東南大學出版社，2014．