王琪

（安徽財經大學 管理科學與工程學院， 安徽 蚌埠233030）

信息系統(tǒng)審計的風險分析及評價研究

王琪

（安徽財經大學 管理科學與工程學院， 安徽 蚌埠233030）

隨著計算機技術在財務處理、管理控制環(huán)節(jié)的深層次應用，企業(yè)越來越依賴于高度集成的信息系統(tǒng)，這就亟需審計來評估信息系統(tǒng)風險,進一步健全信息系統(tǒng)內部控制，從而有效管理并降低風險發(fā)生的可能性.如何降低、防范信息系統(tǒng)審計風險，正在成為審計理論和審計實踐面臨的新課題.本文依據(jù)傳統(tǒng)審計風險理論，分析評價了信息系統(tǒng)審計的風險，并針對信息系統(tǒng)審計風險提出了幾點應對措施.

信息系統(tǒng)；風險；審計

信息系統(tǒng)審計風險指在信息系統(tǒng)環(huán)境下，計算機系統(tǒng)的效益性、安全性和可靠性存在發(fā)生錯誤的隱患，而審計人員在審計后，因發(fā)表了不恰當?shù)膶徲嬕庖娛箤徲嬛黧w遭受損失的可能性.信息系統(tǒng)審計風險模型為：審計風險＝固有風險×控制風險×檢查風險；從定性角度看，固有風險和控制風險的綜合水平與檢查風險之間是成反比的，固有風險和控制風險的綜合水平越高，審計人員的檢查風險水平越低；反之亦然.固有風險和控制風險已成既定事實，審計人員無法改變，只能對其進行合理評估，確定檢查風險水平以開展實質性測試，從而將審計風險控制在可接受的范圍內.

1 信息系統(tǒng)審計的固有風險分析及評價

1.1 信息系統(tǒng)審計固有風險的產生因素分析

信息系統(tǒng)審計固有風險是在假定未對計算機會計軟硬件系統(tǒng)進行安全控制的情況下，信息系統(tǒng)發(fā)生的運行失?；驍?shù)據(jù)錯誤等風險.計算機對業(yè)務信息處理的準確性、實時性和系統(tǒng)的復雜性、脆弱性都會影響到信息系統(tǒng)審計的固有風險.

首先，信息系統(tǒng)的運行環(huán)境會受到計算機硬件質量、軟件穩(wěn)定性、人工錄入初始信息的準確性等因素的影響；其次，由于數(shù)據(jù)的收集、處理及儲存都高度集中于電子數(shù)據(jù)處理中心，數(shù)據(jù)更容易丟失、盜竊或被篡改.電子商務環(huán)境下，傳統(tǒng)意義上的單據(jù)、憑證和賬簿等紙質記錄以計算機信息的形式在網上交互并存儲在磁性介質中，這些都是無法通過肉眼判斷的.不僅如此，在計算機中導入原始信息后，信息系統(tǒng)將根據(jù)指令自動處理交易信息、財務信息，這些信息都是無法永久保存的.信息系統(tǒng)的復雜性和脆弱性，增加了信息系統(tǒng)審計的固有風險.信息系統(tǒng)審計固有風險的影響因素主要包括：(1)計算機硬件系統(tǒng)的安全性；(2)軟件系統(tǒng)質量，包括系統(tǒng)研制與開發(fā)的漏洞、職責權限劃分不明確、不相容職務沒有被嚴格區(qū)分等；(3)數(shù)據(jù)文件的完整性、經濟業(yè)務的開展是否合法、網絡會計信息的錄入是否準確；(4)程序模塊的安全性、穩(wěn)定性和隱蔽性.

1.2 對信息系統(tǒng)固有風險的識別

信息系統(tǒng)固有風險存在于信息系統(tǒng)開發(fā)、運行和維護的整個過程中，審計人員應從系統(tǒng)工程和項目管理兩方面來進行全面識別，其中涉及到企業(yè)性質、行業(yè)狀況、企業(yè)管理體制和機制、會計方法、會計人員業(yè)務能力和職業(yè)道德等多個方面.根據(jù)風險來源的不同，筆者總結了信息系統(tǒng)的固有風險，如下圖所示：

1.3 對信息系統(tǒng)固有風險的評價

信息系統(tǒng)固有風險的影響因素相互聯(lián)系并相互制約，在信息系統(tǒng)環(huán)境復雜、數(shù)據(jù)量較少時，簡單的定性和定量分析往往無法做出全面的評價.本文嘗試采用美國運籌學家T.L.Salty在上世紀70年代提出的AHP(analytic hierarchy process)層次分析法將定性與定量相結合，把復雜問題分解，按照其中的關系進行分組，形成有序遞階層次結構圖，通過各元素的兩兩比較，確定層次中諸因素的相對重要性，進而判斷各因素相對重要性的總順序.采用AHP法評價信息系統(tǒng)固有風險的具體過程如下圖所示：

2 信息系統(tǒng)審計的控制風險分析及評價

2.1 信息系統(tǒng)審計的控制風險影響因素分析

信息系統(tǒng)審計的控制風險是指組成信息系統(tǒng)的軟、硬件系統(tǒng)在應用、運行時發(fā)生錯誤，而內部控制制度不夠健全，導致其無法發(fā)現(xiàn)并及時糾正信息系統(tǒng)可能出現(xiàn)的各種錯誤的風險.影響該風險的因素包括：(1)內部控制不健全或未發(fā)揮效力；(2)軟件系統(tǒng)的應用測試不嚴密；(3)軟件系統(tǒng)的設計有缺陷，如軟件系統(tǒng)數(shù)據(jù)控制設計不嚴密、日志記錄不完整、缺乏系統(tǒng)運行故障的事后恢復措施或數(shù)據(jù)備份方案、系統(tǒng)沒有預留審計接口等.

2.2 信息系統(tǒng)審計的控制風險識別和評價

為保證內部控制與管理工作的順利進行，首先必須要確定控制對象與控制范圍，在實際操作過程中需要引起重視的是應用控制和一般控制.一般控制就是對信息系統(tǒng)的各項功能與運行環(huán)境等進行檢查，避免因各方面因素的影響，導致系統(tǒng)功能缺失，無法正常運作.應用控制就是對數(shù)據(jù)處理與功能模塊的運作過程進行控制，因子系統(tǒng)的控制要求及敏感度不同，應用控制過程中存在很大差異. 2.2.1信息系統(tǒng)一般控制的審計

信息系統(tǒng)一般控制的審計主要包括：（1） 組織控制的審計.結合現(xiàn)實情況制定出科學合理的內部控制與管理制度，對組織結構進行調整，保證系統(tǒng)功能的完整性，明確組織控制的職能與權責；（2）數(shù)據(jù)資源控制的審計.將控制措施導入信息系統(tǒng)中，對工作人員的操作程序進行管理，使用者必須通過身份識別或指紋驗證才能進行操作；（3） 安全控制的審計.用戶只有輸入正確的用戶名與密碼后才能進入系統(tǒng)，使用者要保證自身行為規(guī)范，不得任意修改、刪除文件與數(shù)據(jù)，不得利用計算機從事違法活動；（4）硬件、系統(tǒng)軟件控制的審計.審計工作中要對硬件控制等工作給予重點關注，對生產商的經營范圍、產品許可、使用說明、生產資質等進行審核；重點關注硬件設備的選擇與實際應用，根據(jù)用戶的實際需要推薦最合適的產品，例如服務器、交換機等，滿足不同客戶的多元化需求.僅重視硬件控制是不夠的，還要將其與軟件控制結合，對系統(tǒng)程序和結構進行適當調整，側重于系統(tǒng)安全、文件保護、錯誤處置等方面，保證儲存在信息系統(tǒng)中的各類數(shù)據(jù)都是真實有效的；工作人員要對不良行為進行約束，凡是沒有授權的人員不得擅自進出操作室.

2.2.2 信息系統(tǒng)應用控制的審計

應用控制是基于控制要求與敏感環(huán)節(jié)對系統(tǒng)功能進行的完善和控制，用戶只有輸入正確的用戶名與密碼后才能進入系統(tǒng)，應用項目與系統(tǒng)分具體包括：（1）輸入控制的審計.在數(shù)據(jù)源文件導入系統(tǒng)之前須進行審核，詳細記錄源文件中涉及的信息；實際操作中可考慮以數(shù)字檢測、終端編輯等形式對輸入數(shù)據(jù)的合理性、完整性、可用性進行測試；如果是以成批輸入的形式將數(shù)據(jù)信息輸入系統(tǒng)，可以考慮通過批總量控制進行驗證，同時還要以獨立控制程序進行檢測，保證輸出量與輸入量的一致性.（2）處理控制的審計.通過處理控制對系統(tǒng)數(shù)據(jù)的可靠性與安全性進行檢測，最終目的是保證導入系統(tǒng)的數(shù)據(jù)信息是真實有效的，同時要嚴格按照既定程序進行操作.（3）輸出控制的審計.若發(fā)現(xiàn)信息系統(tǒng)中存在漏洞，則必須檢查系統(tǒng)功能與結構，監(jiān)督數(shù)據(jù)輸出與導入的整個過程，未得到授權的人員不得擅自更改數(shù)據(jù)或接觸系統(tǒng).

3 信息系統(tǒng)審計的檢查風險分析及確定

3.1 信息系統(tǒng)審計檢查風險的因素分析

信息系統(tǒng)審計的檢查風險指的是被審單位信息系統(tǒng)內部控制未及時發(fā)現(xiàn)安全隱患或糾正數(shù)據(jù)錯誤，審計人員通過符合性測試和實質性測試也未發(fā)現(xiàn)信息系統(tǒng)異常的風險.因受審計資源、審計時間等因素的影響，審計人員不能根除檢查風險.審計人員可通過研究和評價被審計單位的內部控制，對被審計單位固有風險和控制風險的高低作出評價，在此基礎上確定實質性測試的性質、時間和范圍，以便將檢查風險及總體審計風險降至可接受的水平.

導致信息系統(tǒng)審計檢查風險增加的因素主要有：

（1）審計人員不具備扎實的計算機與信息系統(tǒng)知識，不了解系統(tǒng)軟件、硬件等方面的設計及運行狀況，無法開展全面、有效的實質性測試和審查；

（2）審計軟件的開發(fā)不完善，運用還未形成比較統(tǒng)一的標準，可能存在某些缺陷，實際操作中有很多問題沒能進行處理；

（3）因信息系統(tǒng)類型的多樣化和軟件的更新?lián)Q代，審計軟件所需數(shù)據(jù)結構與信息系統(tǒng)數(shù)據(jù)格式、數(shù)據(jù)平臺之間存在較大差異，很多信息系統(tǒng)未設置審計數(shù)據(jù)接口.

3.2 信息系統(tǒng)審計檢查風險的確定

審計人員在進行實質性測試時可以對檢查風險進行調節(jié)，根據(jù)審計風險模型：審計風險（AR）=固有風險（IR）*控制風險（CR）*檢查風險（DR），我們能夠得出DR=AR/CR*IR.在AR、CR、IR已知時，可計算出DR.一般認為檢查風險是審計風險中的 β 風險(誤受險)，檢查風險決定了注冊會計師計劃收集的證據(jù)的數(shù)量，利用審計風險模型計算出的檢查風險可用來確定實質性測試的樣本規(guī)模.檢查風險較低時，表明注冊會計師不愿承擔較大的未能發(fā)現(xiàn)錯誤的風險，這時就必須收集相當多的證據(jù).審計人員根據(jù)所得的檢查風險水平，利用統(tǒng)計抽樣模型決定所要收集的審計證據(jù)的數(shù)量.

4 信息系統(tǒng)審計風險的應對措施

4.1 加強立法，建立我國信息系統(tǒng)審計執(zhí)業(yè)準則體系

與發(fā)達國家相比，我國的信息系統(tǒng)審計事業(yè)較為落后，迄今僅有一個準則和兩個規(guī)范性文件被頒布，構成不了體系，且大都是滯后的時效內容.因此，我國急需架構信息系統(tǒng)審計執(zhí)業(yè)準則規(guī)范體系，這一體系應當既適應我國國情，又要和國際接軌.加強立法建設，制定一批與信息系統(tǒng)審計相配套的法律法規(guī)，同時在實踐中摸索總結出一套程序和方法，作為信息系統(tǒng)審計評價的指標體系，實現(xiàn)審計人員有法可依、有據(jù)可查.

4.2 建立專業(yè)的人才隊伍及完備的管理運作機制

建設一支專業(yè)素質與綜合能力較高的人才隊伍，并對其中人員進行系統(tǒng)化的培訓，使其認識到信息系統(tǒng)審計的重要性.構建專業(yè)化程度較高的非贏利行業(yè)協(xié)會，結合實際情況制定出統(tǒng)一的信息系統(tǒng)審計標準與行為規(guī)范，由相關行政主管部門對協(xié)會的各項工作進行監(jiān)督，保證將國家提出的各項政策有效落實.加強與第三方審計機構之間的合作，積極培育專業(yè)人才與復合型人才，定期組織展開實踐活動，提高審計師的綜合素質與能力.

4.3 開發(fā)信息系統(tǒng)審計軟件，統(tǒng)一規(guī)范數(shù)據(jù)接口標準

就目前國內實際發(fā)展情況而言，盡管很多企業(yè)已經認識到信息系統(tǒng)審計的重要性，但是在實際應用方面還是存在很多問題，與之相關的軟件系統(tǒng)也相對較少.現(xiàn)階段看來，審計軟件市場上隨處都可看到不規(guī)范的行為，由于市場規(guī)模不大，很多審計軟件無法將其具備的特殊功能充分發(fā)揮，只是實現(xiàn)了與財務軟件相同的部分功能.設計人員要加強與審計人員、使用者之間的交流，了解信息系統(tǒng)的缺陷，及時采取措施進行調試，利用閑暇時間學習了解程序設計、數(shù)據(jù)結構、工程學等方面的知識，將信息系統(tǒng)審計視為工作重點.目前，信息系統(tǒng)的開發(fā)還不夠完善，在實際應用期間出現(xiàn)了很多問題，由于軟件系統(tǒng)的類型多樣化，導致數(shù)據(jù)結構與數(shù)據(jù)平臺之間存在很大差異，很多軟件系統(tǒng)沒有設置數(shù)據(jù)接口，不利于信息系統(tǒng)審計工作的順利進行.審計人員要革新傳統(tǒng)的思想與行為模式，明確信息系統(tǒng)審計的內涵與性質，積極通過多種渠道宣傳推行信息系統(tǒng)審計，并對實際操作過程中可能會出現(xiàn)的問題進行分析.同時定期組織展開與之相關的實踐活動，鼓勵工作人員積極參與其中，針對具體問題進行分析，進而將個人意見表達出來，明確審計工作的業(yè)務目標，關注審計軟件的開發(fā)與實際應用，對各個環(huán)節(jié)的工作進行監(jiān)督，提高軟件系統(tǒng)的質量.

〔1〕張永雄.信息系統(tǒng)審計產生及發(fā)展研究[J].審計與理財,2005(2)：27-28.

〔2〕戴勇.信息系統(tǒng)審計與控制研究[D].北京：北京科技大學計算機學院,2002.

〔3〕張子瑾.信息系統(tǒng)審計的理論與技術應用研究[D].大連：東北財經大學工商管理學院,2010.

F239.4

A

1673-260X（2014）06-0111-03