隨著信息技術(shù)的高速迅猛發(fā)展，IT系統(tǒng)被廣泛應(yīng)用于社會(huì)各領(lǐng)域，全面掌握著組織系統(tǒng)內(nèi)部的管理與防控權(quán)。該系統(tǒng)的安全關(guān)系著整個(gè)組織體系的安危，作為該系統(tǒng)的“免疫衛(wèi)士”——IT審計(jì)在IT治理、安全以及合規(guī)性操作上起著關(guān)鍵性的作用，是IT系統(tǒng)規(guī)范化和合理化操作的保障，同時(shí)也是推動(dòng)審計(jì)技術(shù)和審計(jì)行業(yè)發(fā)展的源動(dòng)力?；诖?，該文通過(guò)對(duì)IT審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)與控制的討論，提出相關(guān)的合理化建議，旨在為我國(guó)IT審計(jì)事業(yè)的發(fā)展提供參考。

IT審計(jì)是針對(duì)網(wǎng)絡(luò)信息系統(tǒng)的審計(jì)工作，隨著信息技術(shù)的高速速發(fā)展，信息化進(jìn)程的不斷推進(jìn)，IT審計(jì)的作用越來(lái)越凸顯，該系統(tǒng)是促進(jìn)信息資源規(guī)范化、合理化建設(shè)的有力保證。然而，IT審計(jì)由于在技術(shù)上的要求極高，所涉及的范圍極廣，內(nèi)容極為龐雜，相應(yīng)的風(fēng)險(xiǎn)可能性也極高，加之其自身的特點(diǎn)對(duì)審計(jì)工作來(lái)說(shuō)都是一種巨大的挑戰(zhàn)。而且，隨著技術(shù)的革新推進(jìn)，IT審計(jì)也面臨著一系列新的問(wèn)題，合理化IT審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)與控制機(jī)制是當(dāng)前IT業(yè)界和科研部門面臨的首要課題。

一、IT審計(jì)概述

對(duì)于初期的審計(jì)環(huán)境進(jìn)行分析并提出合理化需求是IT有效化審計(jì)的關(guān)鍵環(huán)節(jié)，審計(jì)單位在沒(méi)有信息系統(tǒng)以及電子信息數(shù)據(jù)的情況下是無(wú)法進(jìn)行IT審計(jì)的。只有從審計(jì)的實(shí)際情況出發(fā)，客觀分析，實(shí)事求是，才能夠有效地發(fā)揮其作用[1]。IT審計(jì)是在原有的傳統(tǒng)審計(jì)定義中拓展而來(lái)的新內(nèi)涵，是將審計(jì)對(duì)象從財(cái)務(wù)領(lǐng)域拓展到信息系統(tǒng)中，具有一定的復(fù)雜和綜合的性質(zhì)，其宗旨是保證信息資產(chǎn)安全、系統(tǒng)的有效可靠和高效性以及確保系統(tǒng)的完整性，它是IT界的“防護(hù)衛(wèi)士”，是IT系統(tǒng)的“晴雨表”。與其他傳統(tǒng)環(huán)境下的審計(jì)相比，它在技術(shù)與方法上具有計(jì)算機(jī)技術(shù)的特征，信息技術(shù)是其堅(jiān)實(shí)的后盾。

二、IT審計(jì)風(fēng)險(xiǎn)與控制

IT審計(jì)風(fēng)險(xiǎn)。IT環(huán)境下，審計(jì)存在一定的固有風(fēng)險(xiǎn)，主要致險(xiǎn)因素存在于數(shù)據(jù)錄入及存儲(chǔ)以及傳輸轉(zhuǎn)移等環(huán)節(jié)。在錄入數(shù)據(jù)階段，由于大量的人工操作會(huì)出現(xiàn)誤錄數(shù)據(jù)或漏掉數(shù)據(jù)的可能，這就在很大程度上改變了金額的數(shù)據(jù)信息，導(dǎo)致賬面數(shù)據(jù)與實(shí)際狀況的失衡。在數(shù)據(jù)存儲(chǔ)過(guò)程中，由于存儲(chǔ)媒介的變化，以及“防火墻”等因素，數(shù)據(jù)被非法考錄或是篡改，可能產(chǎn)生一定的風(fēng)險(xiǎn)。與此同時(shí)，諸如系統(tǒng)網(wǎng)絡(luò)病毒、電源突然斷電以及程序在處理過(guò)程中發(fā)生錯(cuò)誤，都會(huì)造成審計(jì)風(fēng)險(xiǎn)加大的可能性。在傳輸?shù)沫h(huán)節(jié)中由于在兩個(gè)系統(tǒng)甚至是多個(gè)系統(tǒng)中進(jìn)行操作，都會(huì)引發(fā)問(wèn)題和風(fēng)險(xiǎn)。而且系統(tǒng)本身介質(zhì)也存在一些不足和漏洞，如磁盤等硬件存儲(chǔ)設(shè)備，無(wú)法區(qū)分正副本，真假難辨，責(zé)任不清，很可能造成審計(jì)證據(jù)無(wú)法律效力，審計(jì)合法性受到威脅。

IT審計(jì)的特殊系統(tǒng)環(huán)境，導(dǎo)致很多傳統(tǒng)意義上的審計(jì)控制手段無(wú)法奏效，致使其存在著一定的控制性風(fēng)險(xiǎn)[2]。在IT中，主要是由電子的數(shù)據(jù)處理的功能直接取得交易授權(quán)，該系統(tǒng)下，在職責(zé)劃分上，由于許多的無(wú)法容和的職責(zé)，很可能在不適當(dāng)?shù)氖跈?quán)下，導(dǎo)致舞弊風(fēng)險(xiǎn)的發(fā)生，造成跨職責(zé)越權(quán)和重疊權(quán)限設(shè)置，從而導(dǎo)致審計(jì)控制措施無(wú)法發(fā)揮。另外，在該系統(tǒng)環(huán)境下，如果對(duì)電子數(shù)據(jù)處理部門不恰當(dāng)?shù)目刂?，很可能造成機(jī)密數(shù)據(jù)被不法分子進(jìn)行復(fù)制、篡改。由于該系統(tǒng)的時(shí)效性和迅速的反應(yīng)力，很可能當(dāng)某一環(huán)節(jié)出現(xiàn)錯(cuò)誤，就會(huì)導(dǎo)致第一時(shí)間內(nèi)相關(guān)文件信息的失真，特別是當(dāng)應(yīng)用程序發(fā)生錯(cuò)誤時(shí)，很可能造成計(jì)算機(jī)系統(tǒng)重復(fù)出錯(cuò)。IT審計(jì)中還存在著難查線索、控制測(cè)試難度大以及技術(shù)風(fēng)險(xiǎn)控制難等檢查性風(fēng)險(xiǎn)。

IT審計(jì)風(fēng)險(xiǎn)控制。針對(duì)固有風(fēng)險(xiǎn)的控制主要是進(jìn)行詳盡的審計(jì)前調(diào)查，在掌握審計(jì)對(duì)象相關(guān)的法規(guī)、管理?xiàng)l例的基礎(chǔ)上，對(duì)IT的技術(shù)文檔、系統(tǒng)模塊的框架以及操作手冊(cè)等進(jìn)行實(shí)地觀察分析，在掌握主要系統(tǒng)模塊功能的同時(shí)，還要了解審計(jì)對(duì)象單位的相關(guān)操作流程和規(guī)定，并及時(shí)對(duì)電子資料數(shù)據(jù)進(jìn)行真實(shí)性和合法性的評(píng)價(jià)，防止出現(xiàn)數(shù)據(jù)系統(tǒng)不真實(shí)的固有風(fēng)險(xiǎn)發(fā)生。做好事前審計(jì)，保證計(jì)算機(jī)信息系統(tǒng)運(yùn)行以及數(shù)據(jù)處理結(jié)果方面的正確真實(shí)性，避免不真實(shí)的風(fēng)險(xiǎn)發(fā)生，定期進(jìn)行審計(jì)[3]。通過(guò)對(duì)審計(jì)獲取證據(jù)的綜合方法進(jìn)行審計(jì)證據(jù)的收集，降低審計(jì)中的檢查風(fēng)險(xiǎn)。

三、IT審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)

IT審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)的程序主要包括風(fēng)險(xiǎn)的分析、辨識(shí)以及風(fēng)險(xiǎn)的評(píng)價(jià)三個(gè)部分，風(fēng)險(xiǎn)評(píng)價(jià)是以風(fēng)險(xiǎn)的辨識(shí)與分析的結(jié)果為依據(jù)的，評(píng)價(jià)是辨識(shí)和分析的最終目的。風(fēng)險(xiǎn)評(píng)價(jià)是在辨識(shí)和分析的基礎(chǔ)上考量分析風(fēng)險(xiǎn)結(jié)構(gòu)對(duì)組織目標(biāo)實(shí)現(xiàn)的影響度的高低以及風(fēng)險(xiǎn)價(jià)值的評(píng)估[4]，通過(guò)定期的前提假設(shè)進(jìn)行定量的估算與對(duì)比，并對(duì)結(jié)果參數(shù)進(jìn)行調(diào)控和完善，完成IT審計(jì)風(fēng)險(xiǎn)的最終值的得出。

風(fēng)險(xiǎn)辨識(shí)主要是審計(jì)人員在熟悉審計(jì)程序后，通過(guò)審計(jì)調(diào)查，以及對(duì)結(jié)果的整合，識(shí)別IT的安全有效和可靠性，分析其可能的潛在的危害性。風(fēng)險(xiǎn)分析是在風(fēng)險(xiǎn)識(shí)別的基礎(chǔ)上對(duì)IT審計(jì)風(fēng)險(xiǎn)的形式及其特征進(jìn)行明確的界定和敘述，分析和敘述發(fā)生風(fēng)險(xiǎn)的必要條件及可能性的大小，主要通過(guò)定量和定性分析方法，來(lái)分析各種風(fēng)險(xiǎn)因子。

對(duì)于IT審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)當(dāng)前主要采用的是定性和定量相結(jié)合的評(píng)價(jià)方法，在分析風(fēng)險(xiǎn)因子的基礎(chǔ)上，根據(jù)相關(guān)的數(shù)據(jù)資料并利用數(shù)學(xué)及統(tǒng)計(jì)方法進(jìn)行計(jì)算，換算出未來(lái)風(fēng)險(xiǎn)概率，這種定量的分析得出結(jié)果。另外，就是根據(jù)審計(jì)人員的經(jīng)驗(yàn)等定性的材料進(jìn)行分析。具體的方法主要有因素、蒙特卡羅方法、經(jīng)驗(yàn)以及層次等分析方法進(jìn)行評(píng)價(jià)。雖然目前，我國(guó)在IT審計(jì)的評(píng)價(jià)和控制上已經(jīng)形成了一定的方式方法，但是仍存在一些問(wèn)題，基于此，筆者提出了相關(guān)的合理化建議，以期待給IT審計(jì)工作帶來(lái)一定的參考價(jià)值。

四、IT審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)與控制的合理化建議

從體系法規(guī)上看，應(yīng)加強(qiáng)IT審計(jì)立法，規(guī)范IT審計(jì)行為，制定IT審計(jì)職業(yè)準(zhǔn)則。在立法建設(shè)中要根據(jù)我國(guó)的國(guó)情，借鑒國(guó)外的相關(guān)法規(guī)政策，制定與IT審計(jì)相匹配的法律體系，并在不斷的實(shí)踐中探索新的科學(xué)的合理的程序與方法，實(shí)現(xiàn)審計(jì)人員在工作中有法可依、有法可循。

加強(qiáng)專業(yè)人員隊(duì)伍的建設(shè)，建立完備的管理機(jī)制。加強(qiáng)對(duì)從業(yè)人員的專業(yè)系統(tǒng)化培訓(xùn)，提高審計(jì)隊(duì)伍的綜合素質(zhì)，構(gòu)建專業(yè)化的行業(yè)協(xié)會(huì)組織[5]，并結(jié)合自身的具體情況制定相關(guān)標(biāo)準(zhǔn)和法律行政規(guī)范。加強(qiáng)政府對(duì)其的監(jiān)督，確保國(guó)家各項(xiàng)基本政策的落實(shí)和有效實(shí)施，積極培育復(fù)合型專業(yè)人才，定期開(kāi)展各類的實(shí)踐活動(dòng)，提高審計(jì)師的各項(xiàng)能力素質(zhì)，促進(jìn)審計(jì)工作的專業(yè)化，有效化發(fā)展。建立完備的管理運(yùn)營(yíng)機(jī)制，提高審計(jì)效率，強(qiáng)調(diào)內(nèi)部控制的作用，充分發(fā)揮審計(jì)工作的時(shí)效性，建立健全審計(jì)監(jiān)督機(jī)制，保證組織內(nèi)部的健康、安全、穩(wěn)定的運(yùn)作，真正發(fā)揮其“免疫衛(wèi)士”的作用。

隨著信息技術(shù)不斷革新發(fā)展，我國(guó)信息化程度的不斷加深，為了適應(yīng)日益激烈的市場(chǎng)競(jìng)爭(zhēng)，提升組織內(nèi)部的核心競(jìng)爭(zhēng)力和生存力，組織內(nèi)部加大推進(jìn)信息系統(tǒng)建設(shè)的力度，從而產(chǎn)生了對(duì)信息系統(tǒng)審計(jì)的巨大需求，IT審計(jì)應(yīng)運(yùn)而生并不斷地發(fā)展壯大，該審計(jì)在優(yōu)化組織資源信息結(jié)構(gòu)以及內(nèi)部管理中起著重要的作用，是保證組織健康、全面、可持續(xù)發(fā)展的基石。合理化IT審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)與控制，提升審計(jì)質(zhì)量具有重要的理論和實(shí)踐意義，應(yīng)得到社會(huì)和IT業(yè)界的廣泛關(guān)

注，共同推進(jìn)IT審計(jì)的有效化、合理化發(fā)展步伐。

（作者單位：（1沈陽(yáng)農(nóng)業(yè)大學(xué)；2.吉林大學(xué)）