淺談信息系統審計風險與控制

孫晶

[摘要] 隨著整個社會信息化進程的不斷加速，審計面對的已不再是單一的手工會計資料，正逐漸被計算機信息系統本身及其高度集中的大量電子數據所取代。信息系統給審計帶來了不可避免的沖擊與挑戰，也使審計面臨著新的風險和控制。

[關鍵詞] 信息系統審計；審計風險；風險控制

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 22. 010

[中圖分類號]F239[文獻標識碼]A[文章編號]1673 - 0194（2012）22- 0018- 02

在信息大爆炸的今天，隨著被審計對象信息化的高速發展，信息系統越來越多地成為被審計單位內部管理與內部控制的關鍵工具，審計人員面對的資料已不再是單一的手工會計憑證、賬簿和報表，而是計算機信息系統本身及其高度集中的大量電子數據。信息系統由于其自身所具有的特點給審計帶來了不可避免的沖擊與挑戰，也使審計面臨著新的風險。

1信息系統審計的特點

1.1 審計的環境不同

信息系統審計是否能夠發揮有效作用，與前期的審計環境分析、合理審計需求提出密切相關。例如：審計某施工單位，需要核實施工材料的領用情況。如果被審計單位沒有信息系統，也沒有電子數據，這種情況下就不具備開展信息系統審計的條件。如果審計小組決定將施工材料領用單逐筆輸入數據庫中進行數據挖掘分析，結果可想而知，浪費時間不說還沒有任何成果。只有從審計實際情況出發，實事求是，客觀分析，信息系統審計才能夠發揮積極的作用。

1.2 審計的對象不同

信息系統審計拓展了傳統審計的內涵，將審計對象從財務范疇擴展到了同經營活動有關的一切信息系統，具有綜合性和復雜性。

1.3 審計的目標不同

信息系統審計沒有改變審計的目標，但除了上述目標外，還包括信息資產的安全性、數據的完整性及系統的可靠性、有效性和效率性。

1.4 審計的方法不同

計算機信息系統環境下審計技術方法與手工環境下傳統的審計技術方法相比，相應增加了計算機技術的內容。

2信息系統審計面臨的風險

2.1 固有風險

計算機信息系統環境下，下列環節可能導致固有風險增高：①數據錄入環節。計算機信息系統下，大量的數據靠人工錄入，有些人工錄入時發生的錯錄和漏錄，可能會影響金額的變化而并不影響機制憑證、賬簿和報表表面上的相互平衡。②數據存在環節。在計算機信息系統環境下，由于存儲介質的改變，信息高度集中于計算機信息系統。一旦用戶非法透過計算機系統的“防火墻”，數據被不法分子拷貝，甚至可能被進行非法篡改而不留下任何痕跡。同時，計算機病毒、電源故障、操作失誤、程序處理錯誤和網絡傳輸故障也極易破壞和修改電子數據，造成賬實不符，增加固有審計風險的可能性。③數據傳輸轉移環節。在信息系統中，有些數據需要在兩個財務信息系統或財務信息系統與業務信息系統之間相互轉移，在此過程中可能會出現一些問題，尤其是在需要手工重新錄入時。④介質本身缺乏證明力。在信息系統中，主要以磁盤、磁帶等磁介質作為信息載體，對數據和程序修改可不留痕跡，被復制后的數據很難區分正副本，如果僅依靠磁介質載體，可能造成責任不清、真偽難辨，使審計證據缺乏法律效力。

2.2 控制風險

計算機信息系統環境下，可能導致許多傳統的控制活動已經失去意義。

①交易授權。在計算機信息系統中，直接由電子數據處理功能取得授權、批準。②職責劃分。在計算機系統下，一是通過劃分操作員的責任范圍，設置權限和密碼實現人員職責分工。二是通過軟件設計劃分若干子系統或功能模塊設置不同的責任中心。由于在計算機信息系統中許多不相容職責相對集中，可能因為不恰當的授權而加大舞弊的風險，權限設置的重疊或跨責任中心越權設置，使這一控制措施有可能形同虛設。③憑證與記錄控制。在計算機信息系統中，終端操作者把業務直接輸入計算機而沒有留下任何憑證。④資產接觸與記錄控制。在信息環境下，大部分經營數據集中于電子數據處理部門，如果缺乏適當的控制，未經授權人員可能通過外部指令、甚至遠程入侵系統，機密數據很可能被非法復制或篡改。⑤獨立稽核。在信息系統中，在某個環節發生錯誤很可能在短時間內使得相應的文件、賬簿乃至整個系統的信息失真。如果是應用程序產生錯誤，計算機可能會反復產生錯誤結果。

2.3 檢查風險

信息系統審計中檢查風險主要產生于以下3個方面：①審計線索難以查找。在手工環境中，會計賬務處理的每一個步都有文字記錄和相關人員簽章，審計線索清晰；在信息系統環境中，從原始數據錄入到報表的自動生成，忽略了中間處理過程；利用信息技術也難以實現如簽名、蓋章等這些使審計線索證據化的操作，給審計追蹤帶來了重重困難。同時，由于各類數據文件都存儲在磁介質中，設計者如果沒有事先考慮審計的需要，在系統中設置跟蹤程序的話，也會很難留下有價值的審計線索，加大審計難度。②控制測試難度增加。手工系統下，內部控制的情況看得見、摸得著，有據可查；而在計算機信息系統環境下，內部控制主要依賴于軟件本身，內部控制融于系統軟件之中，一方面，審計人員無法通過傳統審計方法進行控制測試，另一方面也要求審計人員掌握較高的計算機操作水平。③技術風險難以控制。在越來越廣泛的網絡交易中，隨著人工干涉越來越少時，對控制信息技術是否有效進行的檢查將更具實際意義，降低這種檢查風險將比任何時候都更具重要意義。如在網絡災難導致數據存儲平臺或數據處理平臺癱瘓時，災難防御計劃能使信息處理功能迅速恢復，這些都是任何信息化交易需要加以關注的基本審計風險。

3信息系統審計風險控制

3.1 固有風險控制

①開展詳盡的審前調查。除了掌握與被審計單位管理的相關的法規及被審計單位內部出臺各項管理規定外，重點應了解信息系統的技術文檔和操作手冊，發放信息系統調查表，對系統模塊框架進行實際觀察，印證各流程業務之間的銜接，并掌握待分析的業務數據表及所需分析字段的屬性含義、掌握信息系統主要模塊功能。同時要掌握與被審計單位業務管理有關的操作流程和規定。②對計算機信息系統的電子資料的真實性、合法性進行評價，防止和揭露信息系統失真的固有風險。③了解主要業務流程。應對各個業務流程模塊的內部邏輯和各個模塊的大致框架、信息交互，尤其是從數據流方面有整體了解。

3.2 控制風險防范

（1）積極開展計算機信息系統內部控制的事前審計。對其嚴密完善性，系統的合規合法性以及系統的可審性等進行評價，保證計算機信息系統運行以后數據處理結果的真實性和正確性，防止和減少其失真風險的發生。

（2）定期對被審計系統的內部控制制度進行審計。信息系統審計內部控制的目的與會計手工系統審計的目標是一致的，但是由于計算機特有的自動處理功能的存在，使得其內部控制的要求更為嚴格，在控制方式、內容、手段等方面均不同于傳統審計：①運行審查。即對信息系統再輸入、處理、輸出過程中運行情況審查。②職權審查。把重要的任務功能按用戶或用戶組進行分離，以減少無意的誤操作、濫用系統資源和對數據的非授權修改。③人員素質審查。即對是否有以提高人員素質為目的的控制措施的審查。④修改方式審查。應該保證財務信息系統的所有修改都是經過授權、有文檔記錄、經過徹底（獨立地）測試的，確認最后以一種有控制的方式投入使用。⑤運行環境審查。必須建立一套控制措施，檢測病毒，防止病毒感染財務信息系統。

（3）重視對信息系統事后審計。通過事后審計，對信息系統的電子賬以及打印輸出資料的真實性、合法性進行評價，防止和揭露計算機信息失真的風險。

3.3 檢查風險控制

一方面，通過綜合運用審計取證方法來獲取更為充分的審計證據，從而達到降低審計風險的目的。如在對系統物理控制審計時，要充分運用觀察、詢問、檢查等審計方法；對信息系統保障產生數據真實性、完整性、可靠性等應用控制審計時，要靈活運用重新計算、重新操作等審計方法對業務管理模塊進行有效核查等。另一方面應不斷提高審計人員業務素質和道德素養。這就要求審計人員不僅要有豐富的會計、財務、審計知識和技能，而且還應該掌握計算機知識和應用技術，掌握數據處理和管理技術，不僅要懂得審計軟件的操作方法，而且也應當根據審計過程中出現的種種問題，及時編寫各種測試、審計程序模塊。

主要參考文獻

[1]劉偉.信息化環境對內部審計的影響[J].中國管理信息化，2012（3）：18-19.

[2]黃映芬.信息系統下審計證據的可靠性探析[J].審計月刊，2010（4）：28-29.

[3]中國注冊會計師協會.審計[M].北京：經濟科學出版社，2007.