隨著會計電算化的普及，網(wǎng)絡(luò)化發(fā)展以及企業(yè)基于ERP的組織實施，經(jīng)濟(jì)活動的記錄越來越多地反映在計算機(jī)中，而信息存儲與管理方式的變更帶來了新的審計風(fēng)險。基于風(fēng)險導(dǎo)向?qū)徲嫷哪Ｐ蜑椋?/p>

審計風(fēng)險=重大錯報風(fēng)險×檢查風(fēng)險

其中重大錯報風(fēng)險強(qiáng)調(diào)由企業(yè)本身引起的錯報風(fēng)險，主要通過分析企業(yè)的綜合環(huán)境以及內(nèi)部控制情況來判斷。當(dāng)企業(yè)應(yīng)用信息系統(tǒng)處理經(jīng)濟(jì)業(yè)務(wù)時，信息系統(tǒng)帶來的風(fēng)險就必然會成為重大錯報風(fēng)險的重要組成部分。

一、信息系統(tǒng)引起的重大錯報風(fēng)險

(一)整體控制環(huán)境的風(fēng)險

通過計算機(jī)信息系統(tǒng)處理經(jīng)濟(jì)業(yè)務(wù)，企業(yè)的整體控制環(huán)境和手工處理時相比，結(jié)構(gòu)更為復(fù)雜，內(nèi)容更為廣泛，風(fēng)險的因素也更為多樣，從而可能導(dǎo)致整體重大錯報風(fēng)險的增加。傳統(tǒng)的手工會計系統(tǒng)中，經(jīng)濟(jì)業(yè)務(wù)反映在書面記錄中并按照預(yù)先設(shè)定的過程傳遞并保留痕跡。但在信息系統(tǒng)的控制環(huán)境下，只需將原始財務(wù)甚至業(yè)務(wù)數(shù)據(jù)錄入系統(tǒng)，會計憑證直至報表就可以自動生成。因此，財務(wù)數(shù)據(jù)的錯報風(fēng)險不止與傳統(tǒng)的財務(wù)管理流程、人員操守等相關(guān)，更與信息系統(tǒng)的運行及其處理相關(guān)。

（二）數(shù)據(jù)存儲和修改的風(fēng)險

當(dāng)企業(yè)的數(shù)據(jù)存放在信息系統(tǒng)中時，數(shù)據(jù)的安全性和可靠性直接影響企業(yè)的重大錯報風(fēng)險。傳統(tǒng)的數(shù)據(jù)存放在紙質(zhì)條件下，只需對紙質(zhì)媒介進(jìn)行保護(hù)，相對易于實現(xiàn)。而當(dāng)數(shù)據(jù)保存在電子媒介時，一旦非法用戶破解口令密碼，或通過技術(shù)手段直接進(jìn)入系統(tǒng)內(nèi)部，就有可能對數(shù)據(jù)進(jìn)行修改或刪除。另外，當(dāng)數(shù)據(jù)存儲在紙質(zhì)媒介時，如果對數(shù)據(jù)進(jìn)行篡改，一般會留下修改痕跡。而在信息系統(tǒng)中，除非設(shè)置并開啟足夠的系統(tǒng)日志記錄并及時進(jìn)行檢查，否則很難及時發(fā)現(xiàn)非法的信息修改或?qū)Ψ欠ǖ男薷倪M(jìn)行追蹤。

（三）系統(tǒng)運行的風(fēng)險

首先，當(dāng)企業(yè)的經(jīng)濟(jì)業(yè)務(wù)依賴于信息系統(tǒng)時，系統(tǒng)的運行錯誤可能導(dǎo)致數(shù)據(jù)的失真甚至丟失。處于網(wǎng)絡(luò)中的信息系統(tǒng)可能受到病毒的攻擊，從而影響系統(tǒng)的正常運行。另外，網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)存儲媒介、電源等硬件均存在不穩(wěn)定性，非正常溫度、濕度會影響其運行，從而影響其中存儲或運行的數(shù)據(jù)。

其次，系統(tǒng)的開發(fā)和維護(hù)過程也存在錯報隱患。比如系統(tǒng)開發(fā)過程中留有的后門，將不符合會計準(zhǔn)則的甚至非授權(quán)的程序編寫到系統(tǒng)中，維護(hù)時直接對系統(tǒng)數(shù)據(jù)庫文件的修改等，均會增加企業(yè)的重大錯報風(fēng)險。

二、信息系統(tǒng)環(huán)境下對重大錯報風(fēng)險的判斷方法

（一）整體控制環(huán)境的評價

從被審計單位整體的運行情況及對信息系統(tǒng)的依賴程度出發(fā)，從風(fēng)險評估的角度，了解信息系統(tǒng)的整體情況，包括信息系統(tǒng)戰(zhàn)略，系統(tǒng)架構(gòu)及數(shù)據(jù)流轉(zhuǎn)，并著重了解公司對信息系統(tǒng)的控制情況，判斷內(nèi)部控制制度是否充分考慮了信息系統(tǒng)的影響。另外，對系統(tǒng)使用人員的素質(zhì)和能力進(jìn)行考察。了解的重點由業(yè)務(wù)部門向業(yè)務(wù)部門與信息系統(tǒng)部門相結(jié)合轉(zhuǎn)移，由手工控制向手工系統(tǒng)控制相結(jié)合轉(zhuǎn)移。

（二）數(shù)據(jù)安全性、完整性的評價

在信息系統(tǒng)環(huán)境下，針對數(shù)據(jù)的安全性、完整性擴(kuò)展內(nèi)部控制測試范圍，通過詢問業(yè)務(wù)人員、計算機(jī)技術(shù)人員等方法，了解訪問權(quán)限設(shè)置、口令密碼及日志審核等控制。

（1）了解被審計單位是否設(shè)置了職能分工并在系統(tǒng)中予以實現(xiàn)。公司應(yīng)該針對不同業(yè)務(wù)部門及崗位級別設(shè)置權(quán)限分工，比如系統(tǒng)開發(fā)人員與維護(hù)人員、財務(wù)錄入與審核人員、日常業(yè)務(wù)處理與異常業(yè)務(wù)審核等人員的職責(zé)分離。更重要的是，相關(guān)的職責(zé)分離應(yīng)在相應(yīng)的信息系統(tǒng)中予以設(shè)置和實現(xiàn)。

（2）了解被審計單位用戶賬號和口令的管理。在實現(xiàn)通過不同賬號進(jìn)行職責(zé)分離的基礎(chǔ)上，為了確保使用某賬號進(jìn)行操作的確為授權(quán)人員，就必須防止賬號的誤用。如果系統(tǒng)允許，應(yīng)通過系統(tǒng)控制的方法，強(qiáng)制信息系統(tǒng)使用者的密碼策略，如密碼長度、復(fù)雜度、定期更改、密碼嘗試次數(shù)等。如果系統(tǒng)不允許，也應(yīng)通過書面規(guī)定及培訓(xùn)強(qiáng)化用戶的密碼保護(hù)意識，減少因為密碼被猜中而濫用系統(tǒng)中職權(quán)的行為。

（3）了解被審計單位對自身系統(tǒng)風(fēng)險的評估以及監(jiān)控情況。對于系統(tǒng)服務(wù)器、重要的系統(tǒng)、數(shù)據(jù)庫、主配置文件以及敏感部門或人員使用的機(jī)器開啟日志特別是安全日志監(jiān)控，并定期進(jìn)行檢查，對于發(fā)現(xiàn)的情況及時進(jìn)行處理。

（三）對系統(tǒng)運行風(fēng)險的評價

對關(guān)鍵信息系統(tǒng)，通過現(xiàn)場檢查系統(tǒng)環(huán)境、檢查信息系統(tǒng)文檔等方法，了解被審計單位對系統(tǒng)的控制情況。

(1)了解被審計單位對系統(tǒng)的安全保障。例如如何阻止非法入侵，避免病毒的傳播等。通過檢查網(wǎng)絡(luò)拓?fù)鋱D，了解網(wǎng)絡(luò)架構(gòu)，檢查主要服務(wù)器的網(wǎng)段是否隔離，是否設(shè)置了軟件、硬件防火墻，是否安裝了防病毒軟件并及時對病毒庫進(jìn)行更新等。

(2)了解被審計單位對硬件設(shè)備的管理情況，包括機(jī)房的管理制度，硬件的運行監(jiān)控、系統(tǒng)的備份策略等。比如是否對機(jī)房的溫濕度進(jìn)行檢查，是否對關(guān)鍵服務(wù)器的運行及容量進(jìn)行監(jiān)控，是否定期保養(yǎng)重要的硬件設(shè)備，是否對關(guān)鍵的系統(tǒng)定期備份等。

(3)了解被審計單位系統(tǒng)開發(fā)和系統(tǒng)變更的控制，包括檢查系統(tǒng)開發(fā)與變更策略與流程。比如開發(fā)環(huán)境、測試環(huán)境是否與運行環(huán)境相分離，以及遷移到運行環(huán)境中前是否通過了足夠的測試與授權(quán)等。

參考文獻(xiàn)：

[1]李小菊，張曉明.計算機(jī)輔助審計風(fēng)險和證據(jù)成本探討.信息技術(shù)，2011.7

[2]鄭煦平.IT環(huán)境下的審計風(fēng)險判斷