浅谈信息系统审计风险与控制

浅谈信息系统审计风险与控制
[摘要] 随着整个社会信息化进程的不断加速，审计面对的已不再是单一的手工会计资料，正逐渐被计算机信息系统本身及其高度集中的大量电子数据所取代。

信息系统给审计带来了不可避免的冲击与挑战，也使审计面临着新的风险和控制。

[关键词] 信息系统审计；审计风险；风险控制
在信息大爆炸的今天，随着被审计对象信息化的高速发展，信息系统越来越多地成为被审计单位内部管理与内部控制的关键工具，审计人员面对的资料已不再是单一的手工会计凭证、账簿和报表，而是计算机信息系统本身及其高度集中的大量电子数据。

信息系统由于其自身所具有的特点给审计带来了不可避免的冲击与挑战，也使审计面临着新的风险。

1 信息系统审计的特点
1.1 审计的环境不同
信息系统审计是否能够发挥有效作用，与前期的审计环境分析、合理审计需求提出密切相关。

例如：审计某施工单位，需要核实施工材料的领用情况。

如果被审计单位没有信息系统，也没有电子数据，这种情况下就不具备开展信息系统审计的条件。

如果审计小组决定将施工材料领用单逐笔输入数据库中进行数据挖掘分析，结果可想而知，浪费时间不说还没有任何成果。

只有从审计实际情况出发，实事求是，客观分析，信息系统审计才能够发挥积极的作用。

1.2 审计的对象不同
信息系统审计拓展了传统审计的内涵，将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统，具有综合性和复杂性。

1.3 审计的目标不同
信息系统审计没有改变审计的目标，但除了上述目标外，还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。

1.4 审计的方法不同
计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比，相应增加了计算机技术的内容。

2 信息系统审计面临的风险
2.1 固有风险
计算机信息系统环境下，下列环节可能导致固有风险增高：①数据录入环节。

计算机信息系统下，大量的数据靠人工录入，有些人工录入时发生的错录和漏录，可能会影响金额的变化而并不影响机制凭证、账簿和报表表面上的相互平衡。

②数据存在环节。

在计算机信息系统环境下，由于存储介质的改变，信息高度集中于计算机信息系统。

一旦用户非法透过计算机系统的“防火墙”，数据被不法分子拷贝，甚至可能被进行非法篡改而不留下任何痕迹。

同时，计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也极易破坏和修改电子数据，造成账实不符，增加固有审计风险的可能性。

③数据传输转移环节。

在信息系统中，有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移，在此过程中可能会出现一些问题，尤其是在需要手工重新录入时。

④介质本身缺乏证明力。

在信息系统中，主要以磁盘、磁带等磁介质作为信息载体，对数据和程序修改可不留痕迹，被复制后的数据很难区分正副本，如果仅依靠磁介质
载体，可能造成责任不清、真伪难辨，使审计证据缺乏法律效力。

2.2 控制风险
计算机信息系统环境下，可能导致许多传统的控制活动已经失去意义。

①交易授权。

在计算机信息系统中，直接由电子数据处理功能取得授权、批准。

②职责划分。

在计算机系统下，一是通过划分操作员的责任范围，设置权限和密码实现人员职责分工。

二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。

由于在计算机信息系统中许多不相容职责相对集中，可能因为不恰当的授权而加大舞弊的风险，权限设置的重叠或跨责任中心越权设置，使这一控制措施有可能形同虚设。

③凭证与记录控制。

在计算机信息系统中，终端操作者把业务直接输入计算机而没有留下任何凭证。

④资产接触与记录控制。

在信息环境下，大部分经营数据集中于电子数据处理部门，如果缺乏适当的控制，未经授权人员可能通过外部指令、甚至远程入侵系统，机密数据很可能被非法复制或篡改。

⑤独立稽核。

在信息系统中，在某个环节发生错误很可能在短时间内使得相应的文件、账簿乃至整个系统的信息失真。

如果是应用程序产生错误，计算机可能会反复产生错误结果。

2.3 检查风险
信息系统审计中检查风险主要产生于以下3个方面：①审计线索难以查找。

在手工环境中，会计账务处理的每一个步都有文字记录和相关人员签章，审计线索清晰；在信息系统环境中，从原始数据录入到报表的自动生成，忽略了中间处理过程；利用信息技术也难以实现如签名、盖章等这些使审计线索证据化的操作，给审计追踪带来了重重困难。

同时，由于各类数据文件都存储在磁介质中，设计者如果没有事先考虑审计的需要，在系统中设置跟踪程序的话，也会很难留下有价值的审计线索，加大审计难度。

②控制测试难度增加。

手工系统下，内部控制的情况看得见、摸得着，有据可查；而在计算机信息系统环境下，内部控制主要依赖于软件本身，内部控制融于系统软件之中，一方面，审计人员无法通过传统审计方法进行控制测试，另一方面也要求审计人员掌握较高的计算机操作水平。

③技术风险难以控制。

在越来越广泛的网络交易中，随着人工干涉越来越少时，对控制信息技术是否有效进行的检查将更具实际意义，降低这种检查风险将比任何时候都更具重要意义。

如在网络灾难导致数据存储平台或数据处理平台瘫痪时，灾难防御计划能使信息处理功能迅速恢复，这些都是任何信息化交易需要加以关注的基本审计风险。

3 信息系统审计风险控制
3.1 固有风险控制
①开展详尽的审前调查。

除了掌握与被审计单位管理的相关的法规及被审计单位内部出台各项管理规定外，重点应了解信息系统的技术文档和操作手册，发放信息系统调查表，对系统模块框架进行实际观察，印证各流程业务之间的衔接，并掌握待分析的业务数据表及所需分析字段的属性含义、掌握信息系统主要模块功能。

同时要掌握与被审计单位业务管理有关的操作流程和规定。

②对计算机信息系统的电子资料的真实性、合法性进行评价，防止和揭露信息系统失真的固有风险。

③了解主要业务流程。

应对各个业务流程模块的内部逻辑和各个模块的大致框架、信息交互，尤其是从数据流方面有整体了解。

3.2 控制风险防范
（1）积极开展计算机信息系统内部控制的事前审计。

对其严密完善性，系统的合规合法性以及系统的可审性等进行评价，保证计算机信息系统运行以后数
据处理结果的真实性和正确性，防止和减少其失真风险的发生。

（2）定期对被审计系统的内部控制制度进行审计。

信息系统审计内部控制的目的与会计手工系统审计的目标是一致的，但是由于计算机特有的自动处理功能的存在，使得其内部控制的要求更为严格，在控制方式、内容、手段等方面均不同于传统审计：①运行审查。

即对信息系统再输入、处理、输出过程中运行情况审查。

②职权审查。

把重要的任务功能按用户或用户组进行分离，以减少无意的误操作、滥用系统资源和对数据的非授权修改。

③人员素质审查。

即对是否有以提高人员素质为目的的控制措施的审查。

④修改方式审查。

应该保证财务信息系统的所有修改都是经过授权、有文档记录、经过彻底（独立地）测试的，确认最后以一种有控制的方式投入使用。

⑤运行环境审查。

必须建立一套控制措施，检测病毒，防止病毒感染财务信息系统。

（3）重视对信息系统事后审计。

通过事后审计，对信息系统的电子账以及打印输出资料的真实性、合法性进行评价，防止和揭露计算机信息失真的风险。

3.3 检查风险控制
一方面，通过综合运用审计取证方法来获取更为充分的审计证据，从而达到降低审计风险的目的。

如在对系统物理控制审计时，要充分运用观察、询问、检查等审计方法；对信息系统保障产生数据真实性、完整性、可靠性等应用控制审计时，要灵活运用重新计算、重新操作等审计方法对业务管理模块进行有效核查等。

另一方面应不断提高审计人员业务素质和道德素养。

这就要求审计人员不仅要有丰富的会计、财务、审计知识和技能，而且还应该掌握计算机知识和应用技术，掌握数据处理和管理技术，不仅要懂得审计软件的操作方法，而且也应当根据审计过程中出现的种种问题，及时编写各种测试、审计程序模块。

主要参考文献
[1]刘伟.信息化环境对内部审计的影响[J].中国管理信息化，2012（3）：18-19.
[2]黄映芬.信息系统下审计证据的可靠性探析[J].审计月刊，2010（4）：28-29.
[3]中国注册会计师协会.审计[M].北京：经济科学出版社，2007.。