信息系統(tǒng)審計的風(fēng)險評估和管理研究

信理效率的同時降低信息化帶來的風(fēng)險。隨著信息技術(shù)的迅猛發(fā)展和廣泛應(yīng)用，信息系統(tǒng)已成為企事業(yè)單位運營不可或缺的重要支撐，而面臨的信息系統(tǒng)風(fēng)險也隨之而來，信息系統(tǒng)審計通過對信息系統(tǒng)的運行狀況進(jìn)行檢查與評價，可以確保資產(chǎn)的安全、數(shù)據(jù)的完整以及有效利用組織資源，對企事業(yè)單位健康可持續(xù)發(fā)展至關(guān)重要。

一、信息系統(tǒng)審計概述

（一）信息系統(tǒng)審計定義

信息系統(tǒng)是指由網(wǎng)絡(luò)、計算機硬件、軟件和信息資源組成的一個數(shù)字化系統(tǒng)，可通過對人力、物力、財力、設(shè)備、技術(shù)等資源分析，加工處理并編制成各種信息資料，提供給管理人員，進(jìn)而為合理和科學(xué)的決策提供支撐。

信息系統(tǒng)審計是指企事業(yè)單位為了信息系統(tǒng)能夠準(zhǔn)確存儲數(shù)據(jù)和信息，輸出數(shù)據(jù)結(jié)果有效、運行過程安全而進(jìn)行的一系列審查評價過程。信息系統(tǒng)審計環(huán)節(jié)主要包括信息系統(tǒng)計劃環(huán)節(jié)、研發(fā)環(huán)節(jié)、實施環(huán)節(jié)及運行維護環(huán)節(jié)。

（二）信息系統(tǒng)審計目標(biāo)

信息系統(tǒng)審計的目標(biāo)是通過監(jiān)督企事業(yè)單位信息系統(tǒng)的安全性、可靠性和經(jīng)濟性，揭示信息系統(tǒng)規(guī)劃、建設(shè)和運行管理中存在的突出問題和重大風(fēng)險隱患，提出審計意見和建議，保障信息系統(tǒng)安全、可靠和高效運行。具體來說，信息系統(tǒng)審計的目標(biāo)包括以下幾個方面：一是安全性。安全性是指確保信息系統(tǒng)的運行狀況能夠保證資產(chǎn)的安全，防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露。二是可靠性。可靠性是指判斷信息系統(tǒng)能夠穩(wěn)定運行，確保數(shù)據(jù)的完整性和系統(tǒng)的可用性。三是經(jīng)濟性。經(jīng)濟性是指通過評估信息系統(tǒng)的建設(shè)和運行是否符合成本效益原則，確保資源的有效利用。四是有效性。有效性是指通過收集和評價審計證據(jù)，判斷信息系統(tǒng)是否能夠有效實現(xiàn)組織目標(biāo)。五是效率性。效率性是指評價信息系統(tǒng)的運行是否高效，確保資源的合理分配和使用。

（三）信息系統(tǒng)審計操作流程

1.審計規(guī)劃階段

了解信息系統(tǒng)總體情況。通過了解信息系統(tǒng)的總體情況，可以有效了解信息系統(tǒng)的組成、運行環(huán)境和控制環(huán)境，根據(jù)所掌握情況，確定審計的困難、所需時間和人員情況等。初步評價信息系統(tǒng)的內(nèi)部控制及外部控制。其中信息系統(tǒng)的內(nèi)部控制包括一般控制和應(yīng)用控制。一般控制是指信息系統(tǒng)構(gòu)成要素的控制，包括操作系統(tǒng)、硬件及軟件控制，為應(yīng)用程序的正常運行提供基礎(chǔ)保障。應(yīng)用控制是指對信息系統(tǒng)中具體的數(shù)據(jù)處理進(jìn)行的控制，包括輸入控制、處理控制和輸出控制。外部控制是指外部力量對組織或個人進(jìn)行的控制。初步了解信息系統(tǒng)的內(nèi)部控制和外部控制有助于后續(xù)審計工作的進(jìn)度提升。

識別信息系統(tǒng)的重要性。為了有效實現(xiàn)審計目標(biāo)，合理使用審計資源，審計人員應(yīng)對信息系統(tǒng)重要性進(jìn)行識別。編制審計計劃。審計人員在了解信息系統(tǒng)的總體情況、初步評價信息系統(tǒng)的內(nèi)外部控制環(huán)境與識別信息系統(tǒng)的重要性之后可以根據(jù)以往審計情況、審計資源以及自身經(jīng)驗等編制一個初步的審計計劃，統(tǒng)領(lǐng)后續(xù)工作。

2.審計實施階段

信息系統(tǒng)開發(fā)階段的審計。信息系統(tǒng)開發(fā)階段的審計主要是評估信息系統(tǒng)開發(fā)的總體規(guī)劃是否符合組織的戰(zhàn)略目標(biāo)和業(yè)務(wù)需求、檢查系統(tǒng)開發(fā)過程中是否遵循了既定的開發(fā)標(biāo)準(zhǔn)和規(guī)范，確保開發(fā)過程的質(zhì)量和安全性，以及檢查系統(tǒng)開發(fā)過程中產(chǎn)生的必要文檔是否合規(guī)保存。

內(nèi)部控制系統(tǒng)審計。評估信息系統(tǒng)的內(nèi)部控制措施是否有效，能夠防止錯誤和欺詐，保護資產(chǎn)安全。應(yīng)用程序?qū)徲嫛彶閼?yīng)用程序的設(shè)計、開發(fā)和實施是否符合相關(guān)標(biāo)準(zhǔn)和規(guī)范，確保應(yīng)用程序的功能和性能滿足業(yè)務(wù)需求。數(shù)據(jù)文件審計。檢查數(shù)據(jù)文件的完整性、準(zhǔn)確性和安全性，確保數(shù)據(jù)在存儲、處理和傳輸過程中不被篡改或丟失。

3.審計完成階段

審計完成階段的工作主要包括三部分：首先將審計過程中搜集到的證據(jù)整理與評價，其次是根據(jù)整理與評價的證據(jù)形成審計意見，最后是根據(jù)審計意見編制出審計報告并提出相應(yīng)的改進(jìn)建議。

二、信息系統(tǒng)審計風(fēng)險評估

（一）信息系統(tǒng)審計風(fēng)險評估意義

風(fēng)險評估是信息系統(tǒng)審計的第一步，準(zhǔn)確分析信息系統(tǒng)產(chǎn)生風(fēng)險原因，可以針對性地提出相應(yīng)風(fēng)險管理策略，實現(xiàn)有的放矢，高效實現(xiàn)信息系統(tǒng)風(fēng)險管控。

信息系統(tǒng)審計風(fēng)險評估是指對信息系統(tǒng)中的審計風(fēng)險進(jìn)行系統(tǒng)評估與分析的過程，通過這一過程可以有效地識別、量化與分析信息系統(tǒng)審計工作中潛在風(fēng)險。首先，風(fēng)險評估是信息系統(tǒng)審計的核心環(huán)節(jié)。風(fēng)險評估貫穿信息系統(tǒng)審計的全過程，是確保審計有效性和準(zhǔn)確性的關(guān)鍵環(huán)節(jié)，從而最大限度地保障信息安全。其次，風(fēng)險評估可以確保信息系統(tǒng)審計的準(zhǔn)確性，企事業(yè)單位通過對信息系統(tǒng)審計進(jìn)行風(fēng)險評估，可以更好地了解信息系統(tǒng)的安全狀況，及時發(fā)現(xiàn)潛在問題，并采取相應(yīng)的措施進(jìn)行防范和應(yīng)對，從而減少審計過程中的誤差和遺漏，提高審計工作的準(zhǔn)確性和效率。最后，風(fēng)險評估可以提升企事業(yè)單位核心競爭力。風(fēng)險評估通過識別、分析和評價信息系統(tǒng)可能面臨的各種風(fēng)險，及時發(fā)現(xiàn)潛在問題并采取相應(yīng)的措施進(jìn)行防范和應(yīng)對，從而提高信息系統(tǒng)的安全性和穩(wěn)定性。

（二）信息系統(tǒng)審計風(fēng)險評估方法選擇

信息系統(tǒng)審計風(fēng)險評估方法的選擇應(yīng)根據(jù)審計目標(biāo)、資源限制以及審計對象的特點來決定。常見的評估方法包括定性評估方法、定量評估方法、綜合評估方法、風(fēng)險因素分析法、內(nèi)部控制評價法和模糊綜合評價法等。

定性評估方法主要依賴于專業(yè)人員的經(jīng)驗、知識以及對系統(tǒng)的理解，通過對信息系統(tǒng)進(jìn)行全面的分析和評估，側(cè)重于對風(fēng)險存在和可能對系統(tǒng)產(chǎn)生的影響程度進(jìn)行主觀判斷。常用的定性評估方法包括故障樹分析法和事件樹分析法，適用于對系統(tǒng)脆弱性、威脅以及可能造成的損失進(jìn)行初步評估。

定量評估方法則更加精確和客觀，通過量化分析和模擬計算來評估風(fēng)險，利用數(shù)學(xué)模型和工具對風(fēng)險進(jìn)行量化計算。通過評估指標(biāo)的層次分析、權(quán)重分配和累積評分等方式，對各個風(fēng)險因素進(jìn)行全面的評估和排序。這種方法能夠在全面考慮各種風(fēng)險因素的基礎(chǔ)上，為組織提供更加科學(xué)、合理的風(fēng)險控制建議。

風(fēng)險因素分析法側(cè)重于深入分析可能導(dǎo)致風(fēng)險發(fā)生的各種因素，并評估這些因素可能引發(fā)風(fēng)險的概率。通過調(diào)查風(fēng)險源、識別風(fēng)險轉(zhuǎn)化條件以及預(yù)測風(fēng)險后果，能夠幫助組織更加全面地了解信息系統(tǒng)面臨的風(fēng)險狀況，從而制定有效的應(yīng)對措施。

內(nèi)部控制評價法通過評估組織的內(nèi)部控制結(jié)構(gòu)來確定審計風(fēng)險。這種方法在控制風(fēng)險評估中尤為重要，通過加強內(nèi)部控制，組織可以有效地降低信息系統(tǒng)面臨的風(fēng)險。

三、信息系統(tǒng)風(fēng)險產(chǎn)生原因

企事業(yè)單位通過風(fēng)險評估可以識別出信息系統(tǒng)產(chǎn)生風(fēng)險的原因，主要包括信息系統(tǒng)自身存在的風(fēng)險、審計人員素質(zhì)不足引發(fā)的風(fēng)險與內(nèi)部控制不完善引發(fā)的風(fēng)險。

（一）信息系統(tǒng)自身存在的風(fēng)險

信息系統(tǒng)作為以互聯(lián)網(wǎng)技術(shù)為依托的平臺化系統(tǒng)，其本身設(shè)計和運行過程中存在固有風(fēng)險。技術(shù)風(fēng)險是其固有風(fēng)險之一，技術(shù)風(fēng)險主要包括系統(tǒng)漏洞、病毒感染、黑客攻擊等風(fēng)險。由于信息系統(tǒng)自身的設(shè)計缺陷或技術(shù)更新不及時，可能導(dǎo)致系統(tǒng)存在被攻擊的隱患。一旦黑客利用這些漏洞入侵系統(tǒng)，不僅可能造成重要數(shù)據(jù)的泄露，還可能導(dǎo)致整個系統(tǒng)的癱瘓，給企事業(yè)單位帶來巨大的經(jīng)濟損失。

（二）審計人員素質(zhì)不足引發(fā)的風(fēng)險

審計人員素質(zhì)不足引發(fā)的風(fēng)險主要體現(xiàn)在兩方面：首先是審計人員業(yè)務(wù)素質(zhì)較低，可能導(dǎo)致他們在審計過程中無法準(zhǔn)確識別和評估風(fēng)險，例如無法發(fā)現(xiàn)財務(wù)報表中的錯誤或舞弊行為，從而影響審計結(jié)果的準(zhǔn)確性和可靠性。其次是審計人員技能操作不足，信息系統(tǒng)審計需要審計人員具備較高的計算機技能，如果審計人員不具備這些技能，可能導(dǎo)致在處理海量數(shù)據(jù)時出現(xiàn)錯誤，或者無法及時發(fā)現(xiàn)電子數(shù)據(jù)中的異常情況，增加審計風(fēng)險。

（三）內(nèi)部控制不完善引發(fā)的風(fēng)險

信息化環(huán)境下，內(nèi)部控制不只存在于人工控制，大部分內(nèi)部控制措施被設(shè)置在計算機信息系統(tǒng)的內(nèi)部，是一種人機結(jié)合的控制模式。因此，內(nèi)部控制完善與否直接影響信息系統(tǒng)輸出結(jié)果的可靠程度。完善的內(nèi)部控制制度可以保障信息系統(tǒng)記錄與輸出的數(shù)據(jù)真實可靠，真正反映管理和營運情況。

四、信息系統(tǒng)審計風(fēng)險應(yīng)對策略

信息系統(tǒng)風(fēng)險管控是企事業(yè)單位完成風(fēng)險評估后的最重要一步，對信息系統(tǒng)風(fēng)險進(jìn)行管理控制，助力企事業(yè)單位可持續(xù)發(fā)展。

（一）信息系統(tǒng)層面風(fēng)險應(yīng)對策略

信息系統(tǒng)層面的風(fēng)險，企事業(yè)單位可以通過加強技術(shù)風(fēng)險管理，定期評估技術(shù)系統(tǒng)、設(shè)備和流程，識別潛在的風(fēng)險點，及時采取措施解決，并進(jìn)行持續(xù)的技術(shù)風(fēng)險評估。加強數(shù)據(jù)安全控制也是技術(shù)風(fēng)險管理的重要方面，審計過程中涉及大量的敏感信息，數(shù)據(jù)泄露可能會導(dǎo)致嚴(yán)重的后果。因此，審計部門應(yīng)采取措施保護數(shù)據(jù)安全，包括強化網(wǎng)絡(luò)安全、定期維護網(wǎng)絡(luò)安全系統(tǒng)、進(jìn)行系統(tǒng)漏洞掃描，并培訓(xùn)員工關(guān)于數(shù)據(jù)安全的重要性，防止網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露。

（二）審計人員層面風(fēng)險應(yīng)對策略

提升審計人員的專業(yè)素質(zhì)能力和數(shù)據(jù)處理能力是重中之重。首先，加強培訓(xùn)和實踐是提升信息系統(tǒng)審計人員能力與素質(zhì)的關(guān)鍵。通過組織業(yè)務(wù)培訓(xùn)和專題講座，增強審計人員的業(yè)務(wù)本領(lǐng)，并合理安排業(yè)務(wù)骨干和新進(jìn)人員的比例，采取以老帶新的模式，幫助新進(jìn)審計人員快速掌握審計工作流程和方法。此外，鼓勵審計人員參加計算機中級培訓(xùn)，掌握數(shù)據(jù)庫技術(shù)對審計數(shù)據(jù)進(jìn)行采集與分析的能力，通過實踐提升業(yè)務(wù)能力。其次，注重理論學(xué)習(xí)也是提升信息系統(tǒng)審計人員能力與素質(zhì)的重要途徑。要求審計人員深入學(xué)習(xí)相關(guān)理論和政策，及時掌握與工作密切相關(guān)的政策、法規(guī)，通過理論結(jié)合實踐，提高總結(jié)、概括和分析問題的能力。最后，提升數(shù)據(jù)分析能力在信息系統(tǒng)審計中尤為重要。審計人員需要熟練掌握SQL（結(jié)構(gòu)化查詢語言）等數(shù)據(jù)分析工具，通過對財務(wù)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)及跨行業(yè)數(shù)據(jù)的關(guān)聯(lián)比對，提高運用信息化技術(shù)發(fā)現(xiàn)線索、篩查疑點的能力。

（三）內(nèi)部控制層面風(fēng)險應(yīng)對策略

完善企事業(yè)單位信息系統(tǒng)內(nèi)部控制制度可以確保信息的準(zhǔn)確性、安全性以及系統(tǒng)的有效性，可通過建立健全信息化審計體系和加強內(nèi)部審計機制來完善內(nèi)部控制制度，從而應(yīng)對信息系統(tǒng)審計風(fēng)險。建立健全的信息化審計體系。建立健全的信息化審計體系是確保審計質(zhì)量和效率的關(guān)鍵，它涉及審計工作的各個方面，從數(shù)據(jù)采集、處理到分析和報告，每個環(huán)節(jié)都需精確控制。加強內(nèi)部審計機制。內(nèi)部審計機制是一種存在于企事業(yè)單位內(nèi)部，為企事業(yè)單位發(fā)展提供監(jiān)督、檢查與評價的活動。不僅可以保證信息的真實、合法與完整，還可以提升內(nèi)部控制的完善程度。內(nèi)部審計通過評價和監(jiān)督內(nèi)部控制的運行，提供管理咨詢與建議，幫助優(yōu)化內(nèi)部控制環(huán)境，從而提升內(nèi)部控制的完善程度。

五、結(jié)語

隨著智能時代的發(fā)展，信息系統(tǒng)審計成為企事業(yè)單位內(nèi)部監(jiān)督工作的重中之重。風(fēng)險評估作為信息系統(tǒng)審計的第一步也是最重要的一步，對企事業(yè)單位具有重要意義。通過對信息系統(tǒng)進(jìn)行風(fēng)險評估，分析信息系統(tǒng)不同層面產(chǎn)生風(fēng)險的原因，針對性提出不同風(fēng)險層面的應(yīng)對策略，助力企事業(yè)單位高質(zhì)量發(fā)展。圖作者單位：廣東醫(yī)科大學(xué)