史 宏

随着信息技术的迅猛发展，被审计单位为了提升自身的管理水平普遍采用网络信息系统作为现代管理工具，被审计资料中涉及信息技术的内容越来越多，于是信息系统审计成为当代审计发展中必不可少的组成部分，其产生的审计风险在审计工作中所占比重也日益增加。可以说直接关系到审计项目质量的高低。因此，在审计过程中如何防范和控制由信息系统审计产生的风险，已成为当前控制审计风险、提高审计质量面临的新任务。

一、信息技术在审计项目质量中的影响力越来越大

（一）新《审计准则》将对信息技术的要求明确到审计全过程

2011年1月1日起施行的《审计准则》在第二十三条、第二十九条、第六十条等对信息技术在审计过程中的应用进行了具体规定，分别从审计人员职业胜任能力、审计项目的选定、审计调查的内容、信息系统控制、审计调查方法、审计判断影响因素、审计应对措施、审计获取证据方法等方面进行了阐述，清晰地表明了信息技术在审计过程中应当作为的方方面面。但由于被审计单位信息系统种类繁多，后台数据库结构不尽一致，客观上信息技术审计人员自由裁量权较大，运用职业判断保持职业谨慎风险也就较大。如何有效防范、控制风险将成为一个长期的课题。

（二）信息技术在审计过程中应用和信息系统审计辨析

新《审计准则》发布前，计算机在审计中的应用有过大致三个阶段，第一阶段是作为文字处理技术应用，主要是文档和表格；第二阶段是作用审计辅助手段的应用，主要是一些专业小软件的使用；第三阶段是随着网络的运用和发展，提出对信息系统进行审计，近两年常常是作为独立审计项目进行，一般称之为信息系统审计。

（三）信息系统审计将成为未来审计的重要基础

随着局域网等网络系统和会计信息系统在财政、财务管理中的广泛应用，信息系统将成为被审计资料的重要组成部分，审计前对被审计单位的信息系统进行调查、采集、评估，审计中查证等，也将成为审计的重要程序和内容，成为整个审计项目开展的基础，为审计人员的下一步合规、合法、经济责任、绩效审计奠定基础。因此，探讨信息系统审计风险防范和控制，还具有十分重要的实践意义。

二、信息系统审计风险分析

（一）信息系统审计的固有风险

信息系统审计固有风险，是指在不考虑会计信息系统规范的前提下，计算机会计信息系统处理数据发生错误的可能性。固有风险的存在与审计无关，它是由计算机软硬件系统所固有的特点决定的，其风险水平与系统硬件质量、软件稳定性及运行环境紧密相关，一方面会因为会计业务信息系统处理的实时性、准确性而降低，另一方面又可能因为会计业务信息系统的复杂性而增加。

（二）信息系统审计的控制风险

信息系统审计的控制风险，是指被审计单位内部会计信息系统软硬件系统的应用、操作和管理规范等安全控制制度不够健全、有效，导致无法恰当地防止、发现和及时纠正会计信息系统可能出现各种错误的风险。它与内部控制制度执行的有效性有关，与审计无关，属于内部控制的范畴，审计人员只能评估其风险水平而不能对其实施控制和影响。其风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识，因而较为复杂且难以准确计量。

三、信息系统审计风险的防范和控制对策分析

（一）提高评估信息系统审计固有风险和控制风险水平正确性的对策

新审计准则第六十二条中规定“审计人员可以从下列方面调查了解被审计单位信息系统控制情况：（1）一般控制，即保障信息系统正常运行的稳定性、有效性、安全性等方面的控制；（2）应用控制，即保障信息系统产生的数据的真实性、完整性、可靠性等方面的控制。通过前面对信息系统审计固有风险和控制风险成因分析，结合信息系统审计风险模型，为提高评估固有风险和控制风险水平的正确性，应着重考察以下几个方面：

一是考察被审计单位信息系统硬件设备运行环境的安全性。包括机房建设的合规性、硬件运行的稳定性、电源供应的稳定性以及各项安全控制制度是否健全并是否得到有效落实。信息系统是否进行软硬件和电子数据的备份，备份方案是否全面。

二是考察被审计单位的会计软件系统是否合格，各项功能设置是否安全可靠，其运行的稳定性及信息系统内部控制的合规性。

三是考察被审计单位组织控制是否健全。系统数据管理员、维修员、操作员和审核记账等人员的配备是否科学合理，职责权限分工是否明确，不相容职务有没有严格分离，是否通过设立相互稽核、相互监督、相互制约的机制，来保障会计信息的真实性、可靠性。

（二）降低信息系统审计检查风险的对策

一是加强审计队伍建设，提高审计人员的专业素质和道德素养。在新《审计准则》第二十三条中规定“审计机关应当合理配备审计人员，组成审计组，确保其在整体上具备与审计项目相适应的职业胜任能力。被审计单位的信息技术对实现审计目标有重大影响的，审计组的整体胜任能力应当包括信息技术方面的胜任能力”。这就要求审计人员必须熟练掌握审计、计算机和信息系统等方面知识。

二是努力开发实用高效的计算机审计作业软件。审计部门应加强与计算机软件公司的合作，开发功能完备的高性能通用型审计作业软件。随着审计署金审工程一期现场审计实施系统（AO）的广泛应用和金审工程二期联网审计软件的不断推广，从而大大降低了审计作业软件存在缺陷的可能性。审计部门也要加强与会计行业的沟通，提倡采用统一的会计电算化软件，同时会计软件的设计应尽可能考虑审计需求，保留审计线索并预留审计接口，最重要的是统一存储数据的格式标准，尽量使会计软件均预留国标数据备份接口，避免数据格式转换或重复录入的非效率性和可能出现的错误，从而降低审计风险。

三是国家有关部门应积极完善相关法律法规和制定有关信息系统审计准则。法律法规、审计准则是审计人员判断是非的标准和尺度。信息系统审计有别于传统审计业务，它的特殊性和进行审计所需的专业技术要求制定出信息系统审计准则，相关部门应尽早出台适合我国国家审计的信息系统审计准则及相关信息系统审计法规，以使相关实践有章可循，从整体上降低风险水平。

通过对信息系统审计风险三个构成要素的成因和风险防范、控制分析，主要目的是为了在新《审计准则》指导下，更好地开展信息系统审计，减少信息系统审计风险，提高审计质量。应对审计机关在审计工作中客观存在的审计风险，信息系统审计人员同样必须保持职业谨慎，充分运用专业判断，对被审计单位信息系统的审计风险各要素进行全面的评估，确定可接受的审计风险水平，从而促进信息技术在审计过程中的高效应用，为审计工作发挥保障经济社会健康运行的“免疫系统”作用勇于作为。