淺談IT審計(jì)風(fēng)險(xiǎn)構(gòu)成及防范措施

張強(qiáng)

摘要：對(duì)于組織經(jīng)營(yíng)管理而言，問題的預(yù)防作用勝于問題的解決，對(duì)IT審計(jì)風(fēng)險(xiǎn)的預(yù)防更重要。現(xiàn)對(duì)IT審計(jì)的特點(diǎn)及IT審計(jì)風(fēng)險(xiǎn)的構(gòu)成進(jìn)行分析，并提出了降低IT審計(jì)的固有風(fēng)險(xiǎn);降低IT審計(jì)的控制風(fēng)險(xiǎn);降低IT審計(jì)的檢查風(fēng)險(xiǎn)等防范措施。

關(guān)鍵詞：IT審計(jì);審計(jì)的風(fēng)險(xiǎn);防范措施

中圖分類號(hào)：F239? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1005-913X（2019）06-0095-02

一、IT審計(jì)的特點(diǎn)

（一）IT審計(jì)是一個(gè)過程

IT審計(jì)是通過獲取的證據(jù)判斷信息系統(tǒng)是否能保證資產(chǎn)的安全、數(shù)據(jù)的完整和組織目標(biāo)的實(shí)現(xiàn)，其貫穿于整個(gè)信息系統(tǒng)生命周期的全過程。

（二）IT審計(jì)的對(duì)象綜合且復(fù)雜

IT審計(jì)從縱向（生命周期）看，覆蓋了信息系統(tǒng)從開發(fā)、運(yùn)行、維護(hù)到報(bào)廢的全生命周期的各種業(yè)務(wù)。從橫向（各階段截面）看，其包含對(duì)軟硬件的獲取審計(jì)、應(yīng)用程序?qū)徲?jì)、安全審計(jì)等。IT審計(jì)將審計(jì)對(duì)象從財(cái)務(wù)范疇擴(kuò)展到了同經(jīng)營(yíng)活動(dòng)有關(guān)的一切信息系統(tǒng)。

（三）IT審計(jì)拓寬了傳統(tǒng)審計(jì)的目標(biāo)

傳統(tǒng)審計(jì)目標(biāo)僅僅包括“對(duì)被審計(jì)單位會(huì)計(jì)報(bào)表的合法性、公允性及會(huì)計(jì)處理方法的一貫性發(fā)表審計(jì)意見”。但I(xiàn)T審計(jì)除了上述目標(biāo)外，還包括信息資產(chǎn)的安全性、數(shù)據(jù)的完整性及系統(tǒng)的可靠性、有效性和效率性。

（四）IT審計(jì)是一種基于風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的理論和方法

IT審計(jì)從基于控制的方法演變?yōu)榛陲L(fēng)險(xiǎn)的方法，其內(nèi)涵包括組織風(fēng)險(xiǎn)管理的整體框架，如內(nèi)部環(huán)境的控制、目標(biāo)的設(shè)定、風(fēng)險(xiǎn)事項(xiàng)的識(shí)別、風(fēng)險(xiǎn)的評(píng)估、風(fēng)險(xiǎn)的管理與應(yīng)對(duì)、信息與溝通以及對(duì)風(fēng)險(xiǎn)的監(jiān)控。

二、IT審計(jì)風(fēng)險(xiǎn)的構(gòu)成

（一）IT審計(jì)的固有風(fēng)險(xiǎn)

IT審計(jì)的固有風(fēng)險(xiǎn)是指在不對(duì)信息系統(tǒng)部署任何控制措施情況下，信息系統(tǒng)自身所具有的風(fēng)險(xiǎn)。IT審計(jì)的固有風(fēng)險(xiǎn)是計(jì)算機(jī)系統(tǒng)本身所固有的，審計(jì)人員只能評(píng)估，卻無法控制或影響它。計(jì)算機(jī)固有風(fēng)險(xiǎn)的衡量是主觀的、復(fù)雜的。不同的計(jì)算機(jī)系統(tǒng)其固有風(fēng)險(xiǎn)水平不同。計(jì)算機(jī)硬件故障或軟件不足，易造成會(huì)計(jì)資料的損壞和丟失，導(dǎo)致會(huì)計(jì)數(shù)據(jù)處理過程中發(fā)生偶發(fā)錯(cuò)誤。計(jì)算機(jī)會(huì)計(jì)系統(tǒng)的高度集成，導(dǎo)致了系統(tǒng)的復(fù)雜性、依賴性和脆弱性，數(shù)據(jù)容易被修改和盜取。用磁性介質(zhì)存儲(chǔ)會(huì)計(jì)資料，其穩(wěn)定性和安全性較差，計(jì)算機(jī)病毒的侵害容易造成會(huì)計(jì)數(shù)據(jù)丟失。系統(tǒng)管理人員的技術(shù)達(dá)不到管理系統(tǒng)所要求的水平，出現(xiàn)了技術(shù)應(yīng)用和管理錯(cuò)誤。系統(tǒng)管理人員由于特殊原因而擅自更改會(huì)計(jì)數(shù)據(jù)，或蓄意破壞、摧毀計(jì)算機(jī)會(huì)計(jì)系統(tǒng)。

（二）IT審計(jì)的檢查風(fēng)險(xiǎn)

IT審計(jì)的檢查風(fēng)險(xiǎn)可以通過調(diào)整實(shí)質(zhì)性測(cè)試來進(jìn)行控制，影響計(jì)算機(jī)審計(jì)檢查風(fēng)險(xiǎn)的因素實(shí)質(zhì)上是由于計(jì)算機(jī)審計(jì)規(guī)范不完善，審計(jì)人員自身或者技術(shù)原因造成的影響實(shí)質(zhì)性測(cè)試正確性的各種因素。

1.人員操作風(fēng)險(xiǎn)。審計(jì)人員在對(duì)會(huì)計(jì)信息系統(tǒng)進(jìn)行審計(jì)時(shí)，由于過分依賴計(jì)算機(jī)運(yùn)行得出的結(jié)果，而沒有對(duì)審計(jì)線索進(jìn)行檢查。審計(jì)人員由于知識(shí)不夠或業(yè)務(wù)不熟，無法跟蹤審計(jì)，遺漏了審計(jì)證據(jù)。審計(jì)人員不了解會(huì)計(jì)信息系統(tǒng)的特點(diǎn)，不能審查識(shí)別其內(nèi)部程序控制。

2.審計(jì)軟件風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)是指由于計(jì)算機(jī)軟件本身缺陷原因造成的風(fēng)險(xiǎn)。主要包括計(jì)算機(jī)審計(jì)技術(shù)的開發(fā)和推廣落后于計(jì)算機(jī)會(huì)計(jì)技術(shù)，并且技術(shù)含量偏低。研究開發(fā)人員對(duì)審計(jì)業(yè)務(wù)的不熟悉。沒有經(jīng)過相關(guān)部門鑒定，導(dǎo)致軟件運(yùn)行有風(fēng)險(xiǎn)。審計(jì)軟件與會(huì)計(jì)軟件的接口不匹配，導(dǎo)致數(shù)據(jù)不能導(dǎo)出。審計(jì)軟件配套升級(jí)滯后，影響了審計(jì)效率和質(zhì)量。

3.管理風(fēng)險(xiǎn)。指的是對(duì)計(jì)算機(jī)審計(jì)管理制度不健全、不完善而導(dǎo)致的風(fēng)險(xiǎn)。主要包括缺乏相關(guān)的計(jì)算機(jī)審計(jì)操作規(guī)范，導(dǎo)致審計(jì)人員各行其是，審計(jì)目標(biāo)、內(nèi)容和手段等各不相同，管理風(fēng)險(xiǎn)增大。

（三）IT審計(jì)的控制風(fēng)險(xiǎn)

IT審計(jì)的控制風(fēng)險(xiǎn)是指在計(jì)算機(jī)系統(tǒng)運(yùn)行中可能出現(xiàn)的重大錯(cuò)誤，影響了單位經(jīng)濟(jì)活動(dòng)描述的真實(shí)性，沒能被計(jì)算機(jī)軟件的程序化控制及時(shí)發(fā)現(xiàn)或防止的風(fēng)險(xiǎn)。IT審計(jì)的控制風(fēng)險(xiǎn)大小主要與會(huì)計(jì)系統(tǒng)程序化設(shè)計(jì)的科學(xué)性、合理性和穩(wěn)健性相聯(lián)系。

1.系統(tǒng)數(shù)據(jù)風(fēng)險(xiǎn)。會(huì)計(jì)數(shù)據(jù)在錄入時(shí)缺乏嚴(yán)格的控制，采用虛假、篡改和延遲等手段造成錯(cuò)誤數(shù)據(jù)。數(shù)據(jù)存儲(chǔ)高度集中，卻缺乏嚴(yán)格的分級(jí)瀏覽控制。會(huì)計(jì)數(shù)據(jù)的處理責(zé)任大部分集中于計(jì)算機(jī)系統(tǒng)中，集中程度越高，會(huì)計(jì)風(fēng)險(xiǎn)越大。

2.系統(tǒng)環(huán)境風(fēng)險(xiǎn)。包括軟件環(huán)境風(fēng)險(xiǎn)和硬件環(huán)境風(fēng)險(xiǎn)，一方面是因?yàn)橛?jì)算機(jī)信息系統(tǒng)的復(fù)雜性以及會(huì)計(jì)系統(tǒng)的聯(lián)網(wǎng)性，另一方面則是因?yàn)橛?jì)算機(jī)設(shè)備的多樣化，從而導(dǎo)致系統(tǒng)環(huán)境風(fēng)險(xiǎn)的增大，

3.系統(tǒng)控制風(fēng)險(xiǎn)。由于會(huì)計(jì)系統(tǒng)的內(nèi)部控制不嚴(yán)密造成的風(fēng)險(xiǎn)，系統(tǒng)控制是指在人和機(jī)器的雙重控制下，還需要建立外部網(wǎng)和網(wǎng)上交易的安全控制。審計(jì)人員需要對(duì)這些內(nèi)容進(jìn)行外部控制測(cè)試，難度很大。

三、IT審計(jì)風(fēng)險(xiǎn)的防范措施

對(duì)IT審計(jì)風(fēng)險(xiǎn)的防范可以從微觀和宏觀兩個(gè)方面進(jìn)行。微觀上，不僅應(yīng)努力提高審計(jì)人員的計(jì)算機(jī)審計(jì)技術(shù)和水平，在審計(jì)中選擇恰當(dāng)?shù)膶徲?jì)技術(shù)和方法，完善被審計(jì)單位的內(nèi)部控制水平。宏觀方面，應(yīng)盡快完善并推廣通用的計(jì)算機(jī)軟件，同時(shí)建立健全的計(jì)算機(jī)審計(jì)準(zhǔn)則和標(biāo)準(zhǔn)，還要不斷創(chuàng)新計(jì)算機(jī)審計(jì)理論研究。

（一）降低IT審計(jì)的固有風(fēng)險(xiǎn)

1.完善審計(jì)軟件的設(shè)計(jì)，降低審計(jì)線索減少或消失的可能性。一是加強(qiáng)操作的謹(jǐn)慎性，只有在打印或存檔后才允許刪除。二是設(shè)置強(qiáng)制備份，防止數(shù)據(jù)丟失。三是未經(jīng)許可不得更改報(bào)表的取數(shù)公式。取消反過賬反結(jié)賬的功能，記錄報(bào)表打印的次數(shù)。

2.改進(jìn)數(shù)據(jù)錄入技術(shù)，降低錯(cuò)誤的可能性。一是盡量采取掃描錄入，留有紙質(zhì)備份。二是對(duì)于重要的憑證、報(bào)表要存盤，方便以后查閱。三是盡量使用自動(dòng)轉(zhuǎn)賬功能，保證數(shù)據(jù)的完整準(zhǔn)確。

3.加強(qiáng)內(nèi)部控制機(jī)制，減少會(huì)計(jì)數(shù)據(jù)被修改、刪除和盜用的可能性。一是要配備性能優(yōu)良的硬件設(shè)備，如增加數(shù)據(jù)備份，增加數(shù)據(jù)加密和設(shè)置防火墻等。二是得到后續(xù)軟件支持。三是建立安全穩(wěn)定的運(yùn)行環(huán)境，合理設(shè)置加密關(guān)口和防火墻。四是加強(qiáng)組織人員素質(zhì)，完善規(guī)章制度。

（二）降低IT審計(jì)的控制風(fēng)險(xiǎn)

1.按照不同的操作權(quán)限設(shè)置密碼，提高約束機(jī)制的作用。首先，系統(tǒng)管理員為不同崗位的會(huì)計(jì)人員設(shè)置不同的權(quán)限和初始密碼。其次，會(huì)計(jì)人員在獲得權(quán)限后更改密碼。最后，要嚴(yán)格控制操作權(quán)限的設(shè)置。

2.建立組織和銀行之間的網(wǎng)絡(luò)連接，減少數(shù)據(jù)不一致的可能性。一是對(duì)組織內(nèi)部的會(huì)計(jì)業(yè)務(wù)自動(dòng)掃描原始憑證，依靠軟件自動(dòng)生成記賬憑證。二是對(duì)組織和銀行之間的業(yè)務(wù)建立網(wǎng)絡(luò)連接，傳送實(shí)時(shí)數(shù)據(jù)，保證數(shù)據(jù)的同步一致。

3.提高網(wǎng)絡(luò)通信的效率，做好及時(shí)維護(hù)，保證系統(tǒng)的正常運(yùn)行。一是選取性能良好的網(wǎng)絡(luò)平臺(tái)和配套傳輸設(shè)備。二是選擇運(yùn)行良好的會(huì)計(jì)軟件。提高審計(jì)人員的計(jì)算機(jī)使用水平，保證能準(zhǔn)確無誤的操作系統(tǒng)。

（三）降低IT審計(jì)的檢查風(fēng)險(xiǎn)

1.被審計(jì)單位應(yīng)主動(dòng)與審計(jì)師進(jìn)行溝通，對(duì)歷史文件采取統(tǒng)一的存儲(chǔ)格式，降低文件無法閱讀的可能性。一是針對(duì)不同時(shí)期版本的會(huì)計(jì)軟件，備份數(shù)據(jù)時(shí)要采取統(tǒng)一的格式，以方便審計(jì)人員進(jìn)行審計(jì)。二是制定會(huì)計(jì)軟件相關(guān)的行業(yè)標(biāo)準(zhǔn)，統(tǒng)一數(shù)據(jù)格式和外部接口。

2.設(shè)計(jì)一套能使檢查風(fēng)險(xiǎn)降到最低的審計(jì)檢查程序。一是檢查被審計(jì)單位的權(quán)限設(shè)置，對(duì)操作日志進(jìn)行審查，尋找疑點(diǎn)。二是檢查被審計(jì)單位的取數(shù)公式。三是進(jìn)行賬實(shí)核對(duì)、賬證核對(duì)、賬賬核對(duì)和賬表核對(duì)。四是檢查內(nèi)部控制制度的完整性和會(huì)計(jì)政策的一貫性。IT審計(jì)是會(huì)計(jì)信息化的必然要求，審計(jì)人員首先要對(duì)IT審計(jì)風(fēng)險(xiǎn)理論進(jìn)行系統(tǒng)的研究，構(gòu)建IT審計(jì)風(fēng)險(xiǎn)理論體系，用理論指導(dǎo)實(shí)踐，加強(qiáng)人們對(duì)IT審計(jì)風(fēng)險(xiǎn)的認(rèn)識(shí)。其次，要加強(qiáng)審計(jì)人員的審計(jì)風(fēng)險(xiǎn)教育，強(qiáng)化防范IT審計(jì)風(fēng)險(xiǎn)的意識(shí)，積極糾正IT審計(jì)出現(xiàn)的問題，營(yíng)造良好的IT審計(jì)關(guān)系，有效防范IT審計(jì)風(fēng)險(xiǎn)。

參考文獻(xiàn)：

[1] 徐經(jīng)緯.淺淡計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)及其防范對(duì)策[J].經(jīng)濟(jì)研究導(dǎo)刊，2009（16）.

[2] 張繼偉.計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)成因及其防范對(duì)策[J].財(cái)會(huì)通訊，2009（22）.

[3] 武東萍.計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)探析[J].經(jīng)濟(jì)問題，2009（3）.

[4] 肖 軍，翁曉華.關(guān)于計(jì)算機(jī)審計(jì)技術(shù)在內(nèi)部審計(jì)中的實(shí)踐研究[J].商業(yè)會(huì)計(jì)，2011（2）.

[責(zé)任編輯：龐 林]