王琪

（安徽财经大学 管理科学与工程学院， 安徽 蚌埠233030）

信息系统审计的风险分析及评价研究

王琪

（安徽财经大学 管理科学与工程学院， 安徽 蚌埠233030）

随着计算机技术在财务处理、管理控制环节的深层次应用，企业越来越依赖于高度集成的信息系统，这就亟需审计来评估信息系统风险,进一步健全信息系统内部控制，从而有效管理并降低风险发生的可能性.如何降低、防范信息系统审计风险，正在成为审计理论和审计实践面临的新课题.本文依据传统审计风险理论，分析评价了信息系统审计的风险，并针对信息系统审计风险提出了几点应对措施.

信息系统；风险；审计

信息系统审计风险指在信息系统环境下，计算机系统的效益性、安全性和可靠性存在发生错误的隐患，而审计人员在审计后，因发表了不恰当的审计意见使审计主体遭受损失的可能性.信息系统审计风险模型为：审计风险＝固有风险×控制风险×检查风险；从定性角度看，固有风险和控制风险的综合水平与检查风险之间是成反比的，固有风险和控制风险的综合水平越高，审计人员的检查风险水平越低；反之亦然.固有风险和控制风险已成既定事实，审计人员无法改变，只能对其进行合理评估，确定检查风险水平以开展实质性测试，从而将审计风险控制在可接受的范围内.

1 信息系统审计的固有风险分析及评价

1.1 信息系统审计固有风险的产生因素分析

信息系统审计固有风险是在假定未对计算机会计软硬件系统进行安全控制的情况下，信息系统发生的运行失常或数据错误等风险.计算机对业务信息处理的准确性、实时性和系统的复杂性、脆弱性都会影响到信息系统审计的固有风险.

首先，信息系统的运行环境会受到计算机硬件质量、软件稳定性、人工录入初始信息的准确性等因素的影响；其次，由于数据的收集、处理及储存都高度集中于电子数据处理中心，数据更容易丢失、盗窃或被篡改.电子商务环境下，传统意义上的单据、凭证和账簿等纸质记录以计算机信息的形式在网上交互并存储在磁性介质中，这些都是无法通过肉眼判断的.不仅如此，在计算机中导入原始信息后，信息系统将根据指令自动处理交易信息、财务信息，这些信息都是无法永久保存的.信息系统的复杂性和脆弱性，增加了信息系统审计的固有风险.信息系统审计固有风险的影响因素主要包括：(1)计算机硬件系统的安全性；(2)软件系统质量，包括系统研制与开发的漏洞、职责权限划分不明确、不相容职务没有被严格区分等；(3)数据文件的完整性、经济业务的开展是否合法、网络会计信息的录入是否准确；(4)程序模块的安全性、稳定性和隐蔽性.

1.2 对信息系统固有风险的识别

信息系统固有风险存在于信息系统开发、运行和维护的整个过程中，审计人员应从系统工程和项目管理两方面来进行全面识别，其中涉及到企业性质、行业状况、企业管理体制和机制、会计方法、会计人员业务能力和职业道德等多个方面.根据风险来源的不同，笔者总结了信息系统的固有风险，如下图所示：

1.3 对信息系统固有风险的评价

信息系统固有风险的影响因素相互联系并相互制约，在信息系统环境复杂、数据量较少时，简单的定性和定量分析往往无法做出全面的评价.本文尝试采用美国运筹学家T.L.Salty在上世纪70年代提出的AHP(analytic hierarchy process)层次分析法将定性与定量相结合，把复杂问题分解，按照其中的关系进行分组，形成有序递阶层次结构图，通过各元素的两两比较，确定层次中诸因素的相对重要性，进而判断各因素相对重要性的总顺序.采用AHP法评价信息系统固有风险的具体过程如下图所示：

2 信息系统审计的控制风险分析及评价

2.1 信息系统审计的控制风险影响因素分析

信息系统审计的控制风险是指组成信息系统的软、硬件系统在应用、运行时发生错误，而内部控制制度不够健全，导致其无法发现并及时纠正信息系统可能出现的各种错误的风险.影响该风险的因素包括：(1)内部控制不健全或未发挥效力；(2)软件系统的应用测试不严密；(3)软件系统的设计有缺陷，如软件系统数据控制设计不严密、日志记录不完整、缺乏系统运行故障的事后恢复措施或数据备份方案、系统没有预留审计接口等.

2.2 信息系统审计的控制风险识别和评价

为保证内部控制与管理工作的顺利进行，首先必须要确定控制对象与控制范围，在实际操作过程中需要引起重视的是应用控制和一般控制.一般控制就是对信息系统的各项功能与运行环境等进行检查，避免因各方面因素的影响，导致系统功能缺失，无法正常运作.应用控制就是对数据处理与功能模块的运作过程进行控制，因子系统的控制要求及敏感度不同，应用控制过程中存在很大差异. 2.2.1信息系统一般控制的审计

信息系统一般控制的审计主要包括：（1） 组织控制的审计.结合现实情况制定出科学合理的内部控制与管理制度，对组织结构进行调整，保证系统功能的完整性，明确组织控制的职能与权责；（2）数据资源控制的审计.将控制措施导入信息系统中，对工作人员的操作程序进行管理，使用者必须通过身份识别或指纹验证才能进行操作；（3） 安全控制的审计.用户只有输入正确的用户名与密码后才能进入系统，使用者要保证自身行为规范，不得任意修改、删除文件与数据，不得利用计算机从事违法活动；（4）硬件、系统软件控制的审计.审计工作中要对硬件控制等工作给予重点关注，对生产商的经营范围、产品许可、使用说明、生产资质等进行审核；重点关注硬件设备的选择与实际应用，根据用户的实际需要推荐最合适的产品，例如服务器、交换机等，满足不同客户的多元化需求.仅重视硬件控制是不够的，还要将其与软件控制结合，对系统程序和结构进行适当调整，侧重于系统安全、文件保护、错误处置等方面，保证储存在信息系统中的各类数据都是真实有效的；工作人员要对不良行为进行约束，凡是没有授权的人员不得擅自进出操作室.

2.2.2 信息系统应用控制的审计

应用控制是基于控制要求与敏感环节对系统功能进行的完善和控制，用户只有输入正确的用户名与密码后才能进入系统，应用项目与系统分具体包括：（1）输入控制的审计.在数据源文件导入系统之前须进行审核，详细记录源文件中涉及的信息；实际操作中可考虑以数字检测、终端编辑等形式对输入数据的合理性、完整性、可用性进行测试；如果是以成批输入的形式将数据信息输入系统，可以考虑通过批总量控制进行验证，同时还要以独立控制程序进行检测，保证输出量与输入量的一致性.（2）处理控制的审计.通过处理控制对系统数据的可靠性与安全性进行检测，最终目的是保证导入系统的数据信息是真实有效的，同时要严格按照既定程序进行操作.（3）输出控制的审计.若发现信息系统中存在漏洞，则必须检查系统功能与结构，监督数据输出与导入的整个过程，未得到授权的人员不得擅自更改数据或接触系统.

3 信息系统审计的检查风险分析及确定

3.1 信息系统审计检查风险的因素分析

信息系统审计的检查风险指的是被审单位信息系统内部控制未及时发现安全隐患或纠正数据错误，审计人员通过符合性测试和实质性测试也未发现信息系统异常的风险.因受审计资源、审计时间等因素的影响，审计人员不能根除检查风险.审计人员可通过研究和评价被审计单位的内部控制，对被审计单位固有风险和控制风险的高低作出评价，在此基础上确定实质性测试的性质、时间和范围，以便将检查风险及总体审计风险降至可接受的水平.

导致信息系统审计检查风险增加的因素主要有：

（1）审计人员不具备扎实的计算机与信息系统知识，不了解系统软件、硬件等方面的设计及运行状况，无法开展全面、有效的实质性测试和审查；

（2）审计软件的开发不完善，运用还未形成比较统一的标准，可能存在某些缺陷，实际操作中有很多问题没能进行处理；

（3）因信息系统类型的多样化和软件的更新换代，审计软件所需数据结构与信息系统数据格式、数据平台之间存在较大差异，很多信息系统未设置审计数据接口.

3.2 信息系统审计检查风险的确定

审计人员在进行实质性测试时可以对检查风险进行调节，根据审计风险模型：审计风险（AR）=固有风险（IR）*控制风险（CR）*检查风险（DR），我们能够得出DR=AR/CR*IR.在AR、CR、IR已知时，可计算出DR.一般认为检查风险是审计风险中的 β 风险(误受险)，检查风险决定了注册会计师计划收集的证据的数量，利用审计风险模型计算出的检查风险可用来确定实质性测试的样本规模.检查风险较低时，表明注册会计师不愿承担较大的未能发现错误的风险，这时就必须收集相当多的证据.审计人员根据所得的检查风险水平，利用统计抽样模型决定所要收集的审计证据的数量.

4 信息系统审计风险的应对措施

4.1 加强立法，建立我国信息系统审计执业准则体系

与发达国家相比，我国的信息系统审计事业较为落后，迄今仅有一个准则和两个规范性文件被颁布，构成不了体系，且大都是滞后的时效内容.因此，我国急需架构信息系统审计执业准则规范体系，这一体系应当既适应我国国情，又要和国际接轨.加强立法建设，制定一批与信息系统审计相配套的法律法规，同时在实践中摸索总结出一套程序和方法，作为信息系统审计评价的指标体系，实现审计人员有法可依、有据可查.

4.2 建立专业的人才队伍及完备的管理运作机制

建设一支专业素质与综合能力较高的人才队伍，并对其中人员进行系统化的培训，使其认识到信息系统审计的重要性.构建专业化程度较高的非赢利行业协会，结合实际情况制定出统一的信息系统审计标准与行为规范，由相关行政主管部门对协会的各项工作进行监督，保证将国家提出的各项政策有效落实.加强与第三方审计机构之间的合作，积极培育专业人才与复合型人才，定期组织展开实践活动，提高审计师的综合素质与能力.

4.3 开发信息系统审计软件，统一规范数据接口标准

就目前国内实际发展情况而言，尽管很多企业已经认识到信息系统审计的重要性，但是在实际应用方面还是存在很多问题，与之相关的软件系统也相对较少.现阶段看来，审计软件市场上随处都可看到不规范的行为，由于市场规模不大，很多审计软件无法将其具备的特殊功能充分发挥，只是实现了与财务软件相同的部分功能.设计人员要加强与审计人员、使用者之间的交流，了解信息系统的缺陷，及时采取措施进行调试，利用闲暇时间学习了解程序设计、数据结构、工程学等方面的知识，将信息系统审计视为工作重点.目前，信息系统的开发还不够完善，在实际应用期间出现了很多问题，由于软件系统的类型多样化，导致数据结构与数据平台之间存在很大差异，很多软件系统没有设置数据接口，不利于信息系统审计工作的顺利进行.审计人员要革新传统的思想与行为模式，明确信息系统审计的内涵与性质，积极通过多种渠道宣传推行信息系统审计，并对实际操作过程中可能会出现的问题进行分析.同时定期组织展开与之相关的实践活动，鼓励工作人员积极参与其中，针对具体问题进行分析，进而将个人意见表达出来，明确审计工作的业务目标，关注审计软件的开发与实际应用，对各个环节的工作进行监督，提高软件系统的质量.

〔1〕张永雄.信息系统审计产生及发展研究[J].审计与理财,2005(2)：27-28.

〔2〕戴勇.信息系统审计与控制研究[D].北京：北京科技大学计算机学院,2002.

〔3〕张子瑾.信息系统审计的理论与技术应用研究[D].大连：东北财经大学工商管理学院,2010.

F239.4

A

1673-260X（2014）06-0111-03