IT審計風險評價與控制

隨著信息技術(shù)的高速迅猛發(fā)展，IT系統(tǒng)被廣泛應(yīng)用于社會各領(lǐng)域，全面掌握著組織系統(tǒng)內(nèi)部的管理與防控權(quán)。該系統(tǒng)的安全關(guān)系著整個組織體系的安危，作為該系統(tǒng)的“免疫衛(wèi)士”——IT審計在IT治理、安全以及合規(guī)性操作上起著關(guān)鍵性的作用，是IT系統(tǒng)規(guī)范化和合理化操作的保障，同時也是推動審計技術(shù)和審計行業(yè)發(fā)展的源動力。基于此，該文通過對IT審計風險評價與控制的討論，提出相關(guān)的合理化建議，旨在為我國IT審計事業(yè)的發(fā)展提供參考。

IT審計是針對網(wǎng)絡(luò)信息系統(tǒng)的審計工作，隨著信息技術(shù)的高速速發(fā)展，信息化進程的不斷推進，IT審計的作用越來越凸顯，該系統(tǒng)是促進信息資源規(guī)范化、合理化建設(shè)的有力保證。然而，IT審計由于在技術(shù)上的要求極高，所涉及的范圍極廣，內(nèi)容極為龐雜，相應(yīng)的風險可能性也極高，加之其自身的特點對審計工作來說都是一種巨大的挑戰(zhàn)。而且，隨著技術(shù)的革新推進，IT審計也面臨著一系列新的問題，合理化IT審計風險評價與控制機制是當前IT業(yè)界和科研部門面臨的首要課題。

一、IT審計概述

對于初期的審計環(huán)境進行分析并提出合理化需求是IT有效化審計的關(guān)鍵環(huán)節(jié)，審計單位在沒有信息系統(tǒng)以及電子信息數(shù)據(jù)的情況下是無法進行IT審計的。只有從審計的實際情況出發(fā)，客觀分析，實事求是，才能夠有效地發(fā)揮其作用[1]。IT審計是在原有的傳統(tǒng)審計定義中拓展而來的新內(nèi)涵，是將審計對象從財務(wù)領(lǐng)域拓展到信息系統(tǒng)中，具有一定的復(fù)雜和綜合的性質(zhì)，其宗旨是保證信息資產(chǎn)安全、系統(tǒng)的有效可靠和高效性以及確保系統(tǒng)的完整性，它是IT界的“防護衛(wèi)士”，是IT系統(tǒng)的“晴雨表”。與其他傳統(tǒng)環(huán)境下的審計相比，它在技術(shù)與方法上具有計算機技術(shù)的特征，信息技術(shù)是其堅實的后盾。

二、IT審計風險與控制

IT審計風險。IT環(huán)境下，審計存在一定的固有風險，主要致險因素存在于數(shù)據(jù)錄入及存儲以及傳輸轉(zhuǎn)移等環(huán)節(jié)。在錄入數(shù)據(jù)階段，由于大量的人工操作會出現(xiàn)誤錄數(shù)據(jù)或漏掉數(shù)據(jù)的可能，這就在很大程度上改變了金額的數(shù)據(jù)信息，導(dǎo)致賬面數(shù)據(jù)與實際狀況的失衡。在數(shù)據(jù)存儲過程中，由于存儲媒介的變化，以及“防火墻”等因素，數(shù)據(jù)被非法考錄或是篡改，可能產(chǎn)生一定的風險。與此同時，諸如系統(tǒng)網(wǎng)絡(luò)病毒、電源突然斷電以及程序在處理過程中發(fā)生錯誤，都會造成審計風險加大的可能性。在傳輸?shù)沫h(huán)節(jié)中由于在兩個系統(tǒng)甚至是多個系統(tǒng)中進行操作，都會引發(fā)問題和風險。而且系統(tǒng)本身介質(zhì)也存在一些不足和漏洞，如磁盤等硬件存儲設(shè)備，無法區(qū)分正副本，真假難辨，責任不清，很可能造成審計證據(jù)無法律效力，審計合法性受到威脅。

IT審計的特殊系統(tǒng)環(huán)境，導(dǎo)致很多傳統(tǒng)意義上的審計控制手段無法奏效，致使其存在著一定的控制性風險[2]。在IT中，主要是由電子的數(shù)據(jù)處理的功能直接取得交易授權(quán)，該系統(tǒng)下，在職責劃分上，由于許多的無法容和的職責，很可能在不適當?shù)氖跈?quán)下，導(dǎo)致舞弊風險的發(fā)生，造成跨職責越權(quán)和重疊權(quán)限設(shè)置，從而導(dǎo)致審計控制措施無法發(fā)揮。另外，在該系統(tǒng)環(huán)境下，如果對電子數(shù)據(jù)處理部門不恰當?shù)目刂?，很可能造成機密數(shù)據(jù)被不法分子進行復(fù)制、篡改。由于該系統(tǒng)的時效性和迅速的反應(yīng)力，很可能當某一環(huán)節(jié)出現(xiàn)錯誤，就會導(dǎo)致第一時間內(nèi)相關(guān)文件信息的失真，特別是當應(yīng)用程序發(fā)生錯誤時，很可能造成計算機系統(tǒng)重復(fù)出錯。IT審計中還存在著難查線索、控制測試難度大以及技術(shù)風險控制難等檢查性風險。

IT審計風險控制。針對固有風險的控制主要是進行詳盡的審計前調(diào)查，在掌握審計對象相關(guān)的法規(guī)、管理條例的基礎(chǔ)上，對IT的技術(shù)文檔、系統(tǒng)模塊的框架以及操作手冊等進行實地觀察分析，在掌握主要系統(tǒng)模塊功能的同時，還要了解審計對象單位的相關(guān)操作流程和規(guī)定，并及時對電子資料數(shù)據(jù)進行真實性和合法性的評價，防止出現(xiàn)數(shù)據(jù)系統(tǒng)不真實的固有風險發(fā)生。做好事前審計，保證計算機信息系統(tǒng)運行以及數(shù)據(jù)處理結(jié)果方面的正確真實性，避免不真實的風險發(fā)生，定期進行審計[3]。通過對審計獲取證據(jù)的綜合方法進行審計證據(jù)的收集，降低審計中的檢查風險。

三、IT審計風險評價

IT審計風險評價的程序主要包括風險的分析、辨識以及風險的評價三個部分，風險評價是以風險的辨識與分析的結(jié)果為依據(jù)的，評價是辨識和分析的最終目的。風險評價是在辨識和分析的基礎(chǔ)上考量分析風險結(jié)構(gòu)對組織目標實現(xiàn)的影響度的高低以及風險價值的評估[4]，通過定期的前提假設(shè)進行定量的估算與對比，并對結(jié)果參數(shù)進行調(diào)控和完善，完成IT審計風險的最終值的得出。

風險辨識主要是審計人員在熟悉審計程序后，通過審計調(diào)查，以及對結(jié)果的整合，識別IT的安全有效和可靠性，分析其可能的潛在的危害性。風險分析是在風險識別的基礎(chǔ)上對IT審計風險的形式及其特征進行明確的界定和敘述，分析和敘述發(fā)生風險的必要條件及可能性的大小，主要通過定量和定性分析方法，來分析各種風險因子。

對于IT審計風險評價當前主要采用的是定性和定量相結(jié)合的評價方法，在分析風險因子的基礎(chǔ)上，根據(jù)相關(guān)的數(shù)據(jù)資料并利用數(shù)學(xué)及統(tǒng)計方法進行計算，換算出未來風險概率，這種定量的分析得出結(jié)果。另外，就是根據(jù)審計人員的經(jīng)驗等定性的材料進行分析。具體的方法主要有因素、蒙特卡羅方法、經(jīng)驗以及層次等分析方法進行評價。雖然目前，我國在IT審計的評價和控制上已經(jīng)形成了一定的方式方法，但是仍存在一些問題，基于此，筆者提出了相關(guān)的合理化建議，以期待給IT審計工作帶來一定的參考價值。

四、IT審計風險評價與控制的合理化建議

從體系法規(guī)上看，應(yīng)加強IT審計立法，規(guī)范IT審計行為，制定IT審計職業(yè)準則。在立法建設(shè)中要根據(jù)我國的國情，借鑒國外的相關(guān)法規(guī)政策，制定與IT審計相匹配的法律體系，并在不斷的實踐中探索新的科學(xué)的合理的程序與方法，實現(xiàn)審計人員在工作中有法可依、有法可循。

加強專業(yè)人員隊伍的建設(shè)，建立完備的管理機制。加強對從業(yè)人員的專業(yè)系統(tǒng)化培訓(xùn)，提高審計隊伍的綜合素質(zhì)，構(gòu)建專業(yè)化的行業(yè)協(xié)會組織[5]，并結(jié)合自身的具體情況制定相關(guān)標準和法律行政規(guī)范。加強政府對其的監(jiān)督，確保國家各項基本政策的落實和有效實施，積極培育復(fù)合型專業(yè)人才，定期開展各類的實踐活動，提高審計師的各項能力素質(zhì)，促進審計工作的專業(yè)化，有效化發(fā)展。建立完備的管理運營機制，提高審計效率，強調(diào)內(nèi)部控制的作用，充分發(fā)揮審計工作的時效性，建立健全審計監(jiān)督機制，保證組織內(nèi)部的健康、安全、穩(wěn)定的運作，真正發(fā)揮其“免疫衛(wèi)士”的作用。

隨著信息技術(shù)不斷革新發(fā)展，我國信息化程度的不斷加深，為了適應(yīng)日益激烈的市場競爭，提升組織內(nèi)部的核心競爭力和生存力，組織內(nèi)部加大推進信息系統(tǒng)建設(shè)的力度，從而產(chǎn)生了對信息系統(tǒng)審計的巨大需求，IT審計應(yīng)運而生并不斷地發(fā)展壯大，該審計在優(yōu)化組織資源信息結(jié)構(gòu)以及內(nèi)部管理中起著重要的作用，是保證組織健康、全面、可持續(xù)發(fā)展的基石。合理化IT審計風險評價與控制，提升審計質(zhì)量具有重要的理論和實踐意義，應(yīng)得到社會和IT業(yè)界的廣泛關(guān)

注，共同推進IT審計的有效化、合理化發(fā)展步伐。

（作者單位：（1沈陽農(nóng)業(yè)大學(xué)；2.吉林大學(xué)）