現(xiàn)代信息系統(tǒng)審計風(fēng)險分析

陳紅蘭

現(xiàn)代化背景下，隨著信息技術(shù)、計算機系統(tǒng)和互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，進一步加速了信息化審計發(fā)展，而在信息系統(tǒng)審計中也相繼暴露出各種全新特征和問題，給信息系統(tǒng)審計帶來一定風(fēng)險。基于該種背景下，需要對信息系統(tǒng)相關(guān)審計風(fēng)險實施深入研究和系統(tǒng)剖析，并針對信息系統(tǒng)審計風(fēng)險形成有效應(yīng)對策略，創(chuàng)新審計程序，參考國內(nèi)外相關(guān)理論實踐，立足于審計視角出發(fā)，形成有效的解決方案。

一、現(xiàn)代信息系統(tǒng)審計風(fēng)險分析

（一）信息系統(tǒng)自身風(fēng)險

企業(yè)日常業(yè)務(wù)實際運行中，因為信息審計系統(tǒng)缺少完善的防控機制，相關(guān)信息系統(tǒng)可能存在某些故障隱患和安全風(fēng)險。如果信息系統(tǒng)內(nèi)存在各種安全漏洞，容易進一步增加企業(yè)信息系統(tǒng)運行風(fēng)險。計算機相關(guān)基礎(chǔ)硬件設(shè)備屬于信息審計系統(tǒng)基礎(chǔ)載體，如果上述基礎(chǔ)載體出現(xiàn)各種運行故障和設(shè)備損傷，或所需處理信息數(shù)量龐大，容易進一步增加審計阻礙，增加審計風(fēng)險。網(wǎng)絡(luò)系統(tǒng)等同于信息系統(tǒng)基礎(chǔ)容器，如果網(wǎng)絡(luò)系統(tǒng)遭受他人惡意攻擊，則容易導(dǎo)致信息系統(tǒng)直接被暴露于外部風(fēng)險環(huán)境當(dāng)中。

（二）審計人員潛在風(fēng)險

第一，審計人員自身專業(yè)能力和執(zhí)業(yè)水平不足

現(xiàn)代化發(fā)展背景下，審計人員的綜合能力、專業(yè)技術(shù)水平以及信息系統(tǒng)操作能力會直接影響審計工作質(zhì)量和審計效果，決定了審計工作是否能夠順利實現(xiàn)現(xiàn)代化轉(zhuǎn)型。結(jié)合當(dāng)前國內(nèi)審計隊伍整體發(fā)展建設(shè)狀況分析，盡管目前我國已初步形成一批能力較強和具備扎實專業(yè)技術(shù)的優(yōu)秀審計人才，但審計人員掌握的計算機系統(tǒng)相關(guān)理論知識和操作技能依然無法滿足現(xiàn)代化信息系統(tǒng)審計要求，導(dǎo)致審計人員出現(xiàn)執(zhí)業(yè)水平和信息系統(tǒng)之間發(fā)展不均的問題，從而對信息系統(tǒng)審計產(chǎn)生一定影響，降低審計效果，增加了審計風(fēng)險。

第二，審計人員個體知識儲備不足

信息系統(tǒng)審計屬于某種十分復(fù)雜的交叉性任務(wù)，涉及行為管理、信息系統(tǒng)、專業(yè)審計知識以及計算機系統(tǒng)等多種領(lǐng)域?qū)W科，為此需要打造復(fù)合型審計人才。結(jié)合國內(nèi)審計行業(yè)實際發(fā)展?fàn)顩r分析，目前我國主要是以專業(yè)型人才培養(yǎng)為主，復(fù)合型審計人才十分短缺。具體而言，某些審計人才盡管擁有多年審計經(jīng)驗，但接觸信息系統(tǒng)和計算機等先進科技的時間相對較短，短期內(nèi)無法順利掌握信息系統(tǒng)處理技術(shù)，也無法發(fā)揮出信息系統(tǒng)審計優(yōu)勢，容易降低審計效率。該種問題也能夠進一步體現(xiàn)出國內(nèi)審計行業(yè)工作局限性和先進審計理念的缺乏。國家相關(guān)審計單位以及被審計部門應(yīng)當(dāng)正確認識信息系統(tǒng)審計并充足重視，充分意識到信息審計系統(tǒng)對國內(nèi)現(xiàn)代化建設(shè)發(fā)展積極作用，助力國內(nèi)信息系統(tǒng)審計的現(xiàn)代化轉(zhuǎn)型。

（三）企業(yè)內(nèi)控缺陷風(fēng)險

現(xiàn)代企業(yè)管理架構(gòu)下，企業(yè)高層管理人員除了需要對企業(yè)內(nèi)各個部門業(yè)務(wù)人員工作績效進行科學(xué)考核監(jiān)督，保證財務(wù)信息準(zhǔn)確性和完善，促進企業(yè)資金實現(xiàn)充分利用之外，還需要進一步提升信息系統(tǒng)整體操作的可靠性、穩(wěn)定性和安全性，保證工作中所用各種組織架構(gòu)和信息系統(tǒng)得以正常運行。

傳統(tǒng)內(nèi)控措施突出分離各種不相容崗位，傳統(tǒng)內(nèi)控措施下，系統(tǒng)內(nèi)各個崗位領(lǐng)域未能順利實現(xiàn)有效分離，無法發(fā)揮出不同部門的互相牽制作用。而處于信息審計系統(tǒng)下，各個子系統(tǒng)和單獨模塊擁有其不同職能范圍，對應(yīng)崗位人員分工主要是聯(lián)系不同負責(zé)領(lǐng)域賦予一定授權(quán)。不同于傳統(tǒng)模式下的審計工作流程，信息系統(tǒng)審計涉及的相關(guān)證據(jù)以及信息普遍按照數(shù)據(jù)形式在系統(tǒng)內(nèi)進行存儲，如果被審計單位信息系統(tǒng)內(nèi)部控制存在缺陷，將限制審計人員對于各種證據(jù)資料的采集工作，導(dǎo)致審計風(fēng)險進一步擴大。

（四）法律制度風(fēng)險

第一，缺少專門機構(gòu)來設(shè)計制定相應(yīng)的審計規(guī)范

立足于國家發(fā)展視角分析，信息系統(tǒng)相關(guān)審計規(guī)范主要由國際信息審計系統(tǒng)協(xié)會負責(zé)設(shè)計制定，并組織專門機構(gòu)對相關(guān)準(zhǔn)則、規(guī)范實施合理設(shè)計。而從國內(nèi)發(fā)展層面分析，缺少專門責(zé)任機構(gòu)負責(zé)制定信息審計系統(tǒng)各項操作規(guī)范。立足于國內(nèi)信息審計系統(tǒng)現(xiàn)有規(guī)范制度分析，具體規(guī)范政策制定部門主要包括內(nèi)部審計協(xié)會、審計署、國務(wù)院辦公廳等多種專業(yè)部門。審計規(guī)范對應(yīng)設(shè)計制定機構(gòu)未能實現(xiàn)全面統(tǒng)一，從而降低信息系統(tǒng)在審計方面的權(quán)威性和一致性，無法支持信息系統(tǒng)順利實施各項審計活動。

第二，信息系統(tǒng)在審計工作應(yīng)用中缺少規(guī)范、科學(xué)、細致、完善的法律法規(guī)機制

我國關(guān)于應(yīng)用信息技術(shù)實施審計相關(guān)研究時間較短，發(fā)展年限有限，為此也尚未針對信息系統(tǒng)審計形成完善的法律法規(guī)規(guī)范體系。結(jié)合現(xiàn)實發(fā)展?fàn)顩r分析，國內(nèi)關(guān)于信息系統(tǒng)審計各項制度規(guī)范普遍為地方相關(guān)政府部門發(fā)布具體規(guī)范和相關(guān)通知，具體內(nèi)容是以國家權(quán)力單位頒發(fā)各項審計規(guī)范的執(zhí)行和落實為主，在審計工作規(guī)范性執(zhí)行過程中缺少有效保障機制。

二、現(xiàn)代信息系統(tǒng)審計風(fēng)險應(yīng)對策略

（一）創(chuàng)新完善信息審計系統(tǒng)

隨著企業(yè)財務(wù)工作對于信息系統(tǒng)依賴性的逐漸提升，信息系統(tǒng)審計逐漸成為企業(yè)內(nèi)部審計長期性工作。為降低信息系統(tǒng)自身風(fēng)險，需要企業(yè)合理創(chuàng)建完善的信息系統(tǒng)，借助標(biāo)準(zhǔn)評價框架保障整個系統(tǒng)的安全運行，降低系統(tǒng)運行風(fēng)險，在企業(yè)內(nèi)部審計系統(tǒng)內(nèi)合理融入標(biāo)準(zhǔn)審計體系，健全企業(yè)內(nèi)部審計機制。借助內(nèi)部審計、外部審計以及系統(tǒng)管理自主查詢等措施提升信息系統(tǒng)操作規(guī)范性、科學(xué)性和安全性，為企業(yè)順利實現(xiàn)長期穩(wěn)定發(fā)展奠定基礎(chǔ)保障。借助相關(guān)信息系統(tǒng)標(biāo)準(zhǔn)審計體系，能夠規(guī)范企業(yè)各項審計活動，優(yōu)化企業(yè)內(nèi)控行為。

在應(yīng)用信息系統(tǒng)實施審計工作中需要合理應(yīng)用專門審計軟件，審計小組實施信息系統(tǒng)審計中，需要全面整理分析系統(tǒng)內(nèi)各種信息數(shù)據(jù)，因為系統(tǒng)內(nèi)部數(shù)據(jù)規(guī)模龐大，類型多樣，進一步擴大了審計人員壓力和負擔(dān)，非標(biāo)準(zhǔn)化的審計標(biāo)準(zhǔn)也進一步擴大了審計難度，為此可以合理應(yīng)用專業(yè)化的數(shù)據(jù)解析軟件，輔助企業(yè)創(chuàng)建高效、科學(xué)信息分析模型，企業(yè)可以結(jié)合項目審計發(fā)展?fàn)顩r，對解析軟件進行合理選擇，除去應(yīng)用專業(yè)數(shù)據(jù)解析軟件之外，企業(yè)可以考慮在信息系統(tǒng)內(nèi)添加各種程序分析工具，促進信息系統(tǒng)審計不斷優(yōu)化，轉(zhuǎn)變成大數(shù)據(jù)審計模式，提升整體審計效果。

大數(shù)據(jù)審計主要以信息審計為基礎(chǔ)，按照相關(guān)審計原理，面向社會中的各個企事業(yè)單位借助大數(shù)據(jù)技術(shù)實施審計工作，可以更加系統(tǒng)、全面、立體發(fā)現(xiàn)各種問題，挖掘出各種隱秘性內(nèi)容，通過數(shù)據(jù)顯示，從而提升審計結(jié)論客觀性，優(yōu)化審計報告效果，激發(fā)出審計工作在風(fēng)險防控中的預(yù)警作用。

（二）加強審計人員培訓(xùn)管理

第一，正式開展審計工作前需要開展詳細、深入調(diào)查工作

審計人員在實施信息系統(tǒng)審計前，需要針對被審計單位的經(jīng)營狀況、現(xiàn)存環(huán)境以及企業(yè)性質(zhì)等信息進行全面調(diào)查，準(zhǔn)確把握信息系統(tǒng)應(yīng)用狀況。同時做好信息系統(tǒng)實際運行、設(shè)計以及整體維護工作，審計人員除了需要充分掌握被審計企業(yè)現(xiàn)有運行制度以及內(nèi)控機制之外，還需要進行系統(tǒng)檢查和全面觀測不同信息系統(tǒng)框架和各個組成模塊，熟悉整個信息系統(tǒng)審計流程以及功能作用，在需要條件下還需要開展各種專門測試活動，增強信息系統(tǒng)審計的實效性。

第二，企業(yè)內(nèi)部控制實施定期審計

信息系統(tǒng)內(nèi)控機制作為信息系統(tǒng)中的重要組成部分，全面融入計算機處理多種環(huán)節(jié)。比如企業(yè)各種活動信息和交易數(shù)據(jù)的傳輸、分析和處理工作，往往在各種重要環(huán)節(jié)內(nèi)隱藏一定隱患和安全危機，為此需要審計人員重點關(guān)注企業(yè)信息系統(tǒng)相關(guān)內(nèi)控機制運行。面向被審計單位中的信息系統(tǒng)開展綜合測試以及科學(xué)控制，對內(nèi)控機制實效性和完善性進行科學(xué)評價；面向數(shù)據(jù)庫系統(tǒng)開展實質(zhì)性檢測，全面審查系統(tǒng)內(nèi)各種風(fēng)險事項和交易流程；實時觀測系統(tǒng)內(nèi)各種不相容崗位是否互相牽制和順利分離；系統(tǒng)檢測被審計企業(yè)對應(yīng)信息系統(tǒng)是否應(yīng)用故障掃描和防火線等技術(shù)做好日常維護檢查。

第三，重點關(guān)注各種核心風(fēng)險領(lǐng)域

相關(guān)審計人員想要促進信息系統(tǒng)順利實現(xiàn)預(yù)期審計目標(biāo)，準(zhǔn)確把握內(nèi)部控制系統(tǒng)各種風(fēng)險隱患，做好實時監(jiān)控工作，需要對傳統(tǒng)審計弊端進行不斷完善、優(yōu)化和改進。隨后合理利用各種現(xiàn)代化技術(shù)和先進的電子信息平臺，對信息系統(tǒng)風(fēng)險進行科學(xué)評價，能夠充分把握企業(yè)內(nèi)控現(xiàn)狀，同時為企業(yè)日常經(jīng)營工作提供可靠、準(zhǔn)確的財務(wù)報告信息。此外，假如信息系統(tǒng)存在內(nèi)控不足的問題，以及存在各種問題缺陷，需要審計人員聯(lián)系企業(yè)財務(wù)報告各種問題缺漏合理制定有效處理策略。

第四，加強審計隊伍共同發(fā)展以及審計人員自我提升

在信息系統(tǒng)應(yīng)用范圍持續(xù)擴大背景下，精通各種信息技術(shù)以及全面把握整個審計流程的人才逐漸受到企業(yè)和社會的廣泛重視和需求。為此需要相關(guān)審計人員主動學(xué)習(xí)云計算、互聯(lián)網(wǎng)、計算機和各種先進信息技術(shù)等專業(yè)知識，了解信息系統(tǒng)整體設(shè)計程序，進一步優(yōu)化自身專業(yè)素養(yǎng)。在審計隊伍中需要積極吸收信息技術(shù)和計算機領(lǐng)域各種專業(yè)人才，或直接咨詢行業(yè)領(lǐng)域?qū)＜?。各個高等研究院所、教育機構(gòu)以及事務(wù)所需要在授課講解內(nèi)容中融入信息系統(tǒng)相關(guān)操作內(nèi)容，培養(yǎng)優(yōu)秀的專業(yè)對口人才。除此之外，相關(guān)會計事務(wù)所也需要積極研發(fā)自身獨有的軟件設(shè)備和審計系統(tǒng)，促進被審計企業(yè)和審計單位之間進行順利對接，優(yōu)化審計效率，控制審計風(fēng)險。

（三）健全企業(yè)內(nèi)控管理制度

從提升企業(yè)內(nèi)部控制層面進行相關(guān)風(fēng)險應(yīng)對主要策略如下：

第一，提升信息系統(tǒng)各種信息數(shù)據(jù)安全性

信息系統(tǒng)整體安全性會從某種程度上直接影響審計數(shù)據(jù)安全，為此需要賦予內(nèi)部審計人員以數(shù)據(jù)活動監(jiān)測、風(fēng)險綜合評價、性能審計以及敏感信息搜集等基礎(chǔ)功能，對數(shù)據(jù)庫現(xiàn)存風(fēng)險問題實施科學(xué)評估和準(zhǔn)確評價。同時企業(yè)管理層需要進一步提升相關(guān)數(shù)據(jù)的加密管理，針對不同用戶實施合理的角色分層設(shè)置，明確不同角色的訪問權(quán)限，針對信息數(shù)據(jù)的存儲、采集、整合分析以及應(yīng)用等環(huán)節(jié)實施全面掌控，做好加密處理，提升系統(tǒng)信息數(shù)據(jù)安全性。除此之外，企業(yè)需要針對不同數(shù)據(jù)信息實施有效的分級管理，按照不同數(shù)據(jù)信息的重要程度，將其劃分成多種等級，而各個等級信息的授權(quán)權(quán)限也各不相同，能夠更好保障信息安全性，特別是保障各種敏感信息安全性，注重數(shù)據(jù)的規(guī)范存儲和科學(xué)管理。

第二，進一步優(yōu)化和完善信息系統(tǒng)內(nèi)控機制

信息系統(tǒng)存在某種發(fā)展特性，無法向傳統(tǒng)模式下審計控制程序進行全面銜接和環(huán)環(huán)相扣，為此需要企業(yè)管理者針對信息系統(tǒng)形成合理的內(nèi)控機制，針對不同崗位職能設(shè)計不相容分離制度，促進企業(yè)信息系統(tǒng)相關(guān)賬務(wù)處理人員和系統(tǒng)操控維護人員之間實現(xiàn)順利分離，確保各個崗位人員能夠彼此監(jiān)督和各司其職，如此不但能夠進一步控制系統(tǒng)錯誤幾率，同時能夠幫助降低企業(yè)人員的串通舞弊機率。企業(yè)可以組建專業(yè)化信息系統(tǒng)審計委員會，充當(dāng)企業(yè)中的獨立執(zhí)行機構(gòu)，統(tǒng)一接受治理層的管理和指揮，優(yōu)化信息系統(tǒng)整體審計操作。

（四）政策層面加強風(fēng)險應(yīng)對

第一，擴大信息系統(tǒng)相關(guān)風(fēng)險宣傳工作，提升風(fēng)險意識

在現(xiàn)代化發(fā)展背景下，社會公眾和相關(guān)企業(yè)單位對于信息系統(tǒng)整體安全操作方面依然存在重視程度不足的問題，為了促進相關(guān)工作人員順利實施各種審計工作，進一步優(yōu)化審計效率，需要政府部門和國家相關(guān)機構(gòu)加強面向社會大眾和企業(yè)宣傳效果，尤其是針對信息系統(tǒng)審計實施合理的風(fēng)險控制，加強風(fēng)險評估，做好風(fēng)險防控工作，提升信息系統(tǒng)審計整體重視程度，進一步提升審計領(lǐng)域中信息系統(tǒng)功能地位，支持審計工作有序?qū)嵤?/p>

第二，面向?qū)I(yè)審計人才不斷擴大教育力度

為了合理創(chuàng)建專業(yè)、優(yōu)質(zhì)的信息系統(tǒng)審計隊伍，對審計人員整體職業(yè)道德進行規(guī)范管理，優(yōu)化審計信息質(zhì)量，需要進一步改善審計人員專業(yè)技能和綜合水平，培養(yǎng)融合信息技術(shù)、法律制度和審計等專業(yè)內(nèi)容于一體的復(fù)合型信息系統(tǒng)審計人才。針對國內(nèi)信息系統(tǒng)審計專業(yè)資格考核方面，需要進一步形成完善的考核流程和實施細則，可以充分學(xué)習(xí)借鑒各個發(fā)達國家成功經(jīng)驗，參考國際各種審計標(biāo)準(zhǔn)。此外，國家教育部門需要和其他高等院校之間進行積極配合，共同培養(yǎng)復(fù)合型高水準(zhǔn)優(yōu)秀人才，設(shè)置信息系統(tǒng)審計相關(guān)專業(yè)。

第三，針對信息系統(tǒng)審計工作構(gòu)建完善的操作體系和基礎(chǔ)準(zhǔn)則

基于現(xiàn)有信息系統(tǒng)相關(guān)審計體系下，國內(nèi)的信息系統(tǒng)審計普遍不存在強制性，這一點也是在《信息系統(tǒng)審計指南》和《國家審計準(zhǔn)則》等法律條文中明確標(biāo)注出來的。由此，使得相關(guān)審計人員于工作實踐中，以及針對各種審計信息和證據(jù)數(shù)據(jù)進行采集中，容易被各種因素影響，從而限制信息系統(tǒng)審計工作順利實施。為降低審計方面的法律制度風(fēng)險，企業(yè)可在日常工作實踐中開展內(nèi)部信息系統(tǒng)審計工作。此外，國家相關(guān)部門需要結(jié)合信息系統(tǒng)相關(guān)審計工作進一步健全各項法律政策和制度法規(guī)，明確劃分審計人員責(zé)任職能。

第四，合理設(shè)置專門信息系統(tǒng)審計機構(gòu)

結(jié)合其他國家發(fā)展經(jīng)驗，大部分國家專門針對信息系統(tǒng)設(shè)計相應(yīng)審計規(guī)范，其他組織和地方政府同樣可以針對信息系統(tǒng)進一步形成完善規(guī)范機制，如此容易進一步增強信息系統(tǒng)審計規(guī)范實效性和權(quán)威性。除此之外，針對信息系統(tǒng)審計創(chuàng)建統(tǒng)一審計機構(gòu)，保障信息系統(tǒng)審計順利實施，做好審計監(jiān)督管理。

綜上所述，隨著信息技術(shù)的發(fā)展，現(xiàn)代財務(wù)審計效率得到提升，但同時也使會計審計更加復(fù)雜化，增加審計風(fēng)險。為此需要針對我國當(dāng)前信息系統(tǒng)審計中的各種風(fēng)險隱患進行系統(tǒng)分析，形成有效的應(yīng)對方案，從多種角度層面入手，剖析信息審計問題，促進審計人員通過不斷培訓(xùn)學(xué)習(xí)提升自身專業(yè)能力，健全審計工作各項法律政策，打造完善信息審計系統(tǒng)。