摘要:由于网络技术的不断进步,信息系统审计技术也取得了突飞猛进的发展,但与此同同时,也对信息系统审计风险控制工作提出了更高的要求。所以如何加强信息系统审计风险控制工作,便成为了相关工作者的重要工作内容,那么下面我们就来具体的讨论一下。
关键词:信息系统审计风险;控制;思考
在信息量巨大的当今社会,由于系统审计技术的快速发展,让它成为审计管理工作的重要工具。尤其如今审计工作人员所面临的工作任务,已不再只是对手工会计凭证、报表进行处理,而是要面临庞大的信息化数据,因此也就意味着如果不能够加强信息系统审计水平,就极有可能造成信息系统审计风险的发生,所以如何避免此类情况则成为了相关工作者的重要工作内容,那么下面我们就来具体的讨论一下相关的话题。
一、特点
(一)审计环境不同
若想体现出信息审计系统的巨大作用,就一定要做好审计环境分析的工作。比如:在对一个单位的财务进行审计期间,要是接受审计的单位没有创建信息体统,那么就不能进行有关系统审计的工作。试想一下,在对财务状况进行分析的时候,要是审计人员只是依靠人工操作,将一个个相关的审计数据输入到数据库的话,不但会消耗过多的时间,而且不一定取得实质性的效果。因此,必须要根据审计的现实状况,来进行认真的分析,这样才可以体现出信息系统审计的价值。
(二)设计的对象不同
信息系统审计丰富了过去审计形式的内容,把审计工作由财务扩充成了和经营活动相关的所有信息系统,因此具备了相当大的综合性。
(三)目标不同
由传统的审计形式转变到信息系统审计之后,在工作目标上并没有发生任何改变,不过却增添了加强对信息资产的安全性、数据完整性等工作目标。
(四)审计方法的不同
和传统的审计形式进行比较发现,信息系统审计由于需要对计算机进行操作,因此增添了与计算机技术有关的内容。
二、信息系统审计定义两层含义:
(一)电子数据处理;影响主要表现在(1)对审计线索的影响(2)对审计方法和技术的影响:技术方法复杂化(3)对审计人员的影响:知识构成要求发生变化;会计、审计、计算机等知识和技能等;(二)审计机关根据公认的标准和指导规范,对被审计单位所运用的信息系统,从计划、研发、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现,并提出一系列改进建议的管理活动。
三、面临的风险
(一)固有风险
在采用了信息系统审计之后,会增大审计风险出现的概率,具体表现在:(1)数据录入环节。信息系统审计,需要人工的处理,才能够将数据录入到系统当中,一旦在工作中出现失误,那么就会造成金额发生变化,从而就有可能影响审计结果。(2)数据储存环节。储存介质会在信息系统审计模式下发生变动,这样信息就会大量的存在于信息系统当中,如果要是某些黑客采用不正当的方式,穿过防火墙,窃取重要数据的话,那么就会造成极为严重的后果。另外,如果计算机出现故障或者病毒,也非常容易导致电子数据遭到破坏,从而发生财务状况和现实情况完全不符的现象出现,这样就很大程度的增大了审计风险。(3)数据传输转移环节。在利用信息系统的时候,要从被审计单位提取数据,而在提取期间,由于财务系统的多样化与审计系统之间数据转换,有时候会发生一些问题,从而增加了风险的发生概率。
(二)控制风险
1.审计人员计算机专业水平不高。在审计中首先是运用计算机分析、编程,筛选出疑点数据,然后根据疑点快速核实情况,得出审计结果,然而审计人员在这些方面的工作一直出现误差,直接影响了审计结果。2.职责划分。在信息系统下,若想对员工的职责进行划分,主要通过两种形式,首先是明确员工的工作责任,其次是根据软件设计的具体情况,来对其子系统设置不同的职责。但在信息系统里,存在大量互不兼容的职责,或许会因为这个缘故导致在授权的过程中出现错误,进而增加出现审计风险的概率,最终有可能让职责划分这一工作环节失去它原本的作用。3.独立稽核。在信息系统当中,如果一个工作细节出现失误,极有可能会让与之有关联的账簿发生信息失真的情况。要是应用程序出现故障的话,那么就会导致计算机在审计期间出现多次失误,进而让出现审计风险的概率进一步的提高。
四、措施
对信息系统审计进行有效的控制,第一要做的,就是要提前制止可能要出现的审计风险,第二就是在风险发生后,能够及时的采取有效的防范措施,并确保损失的程度能够降到最低。那么如何进行有效的控制,下面我们来重点的讨论一下;
(一)固有风险控制
1.开展详细的审前调查。工作人员不只是要了解审计单位管理的一些相关措施,同时,对信息系统所设定的操作方案也要进行细致的掌握,而且还要对系统模块框架进行认真的观察,保证每个操作细节能够得到良好的衔接。另外,对于准备接受审计的单位,相关工作人员要充分了解具体的操作规定。2.要确保信息系统当中,所有资料具有合法性,这样就可以避免信息被窃取。3.工作人员要掌握好信息系统审计工作中的重要环节。其中,较关键的部分在于对每个模块的具体功能、数据流,要有一个充分的掌握。
(二)控制风险防范
1.对审计信息系统进行严格的管理,并且还要创建完善的评价体系,以此对系统的审计能力做出客观的评价,这样就能够确保信息系统在审计的过程中,可以得到精确的数据,从而有效的避免了信息失真的情况出现。2.审计署要对审计系统的内部控制制度进行完善在这方面的工作目标上,其实和手工审计是一样的,不过因为计算机中具有自动处理的能力,所以对它的内部控制工作通常都有很高的要求,而且无论是在控制形式,还是手段上,都和过去的审计方式有所不同:(1)运行审查。这方面的工作主要是对信息进行第二次的处理,并对信息输出的环节要进行严格地审计。(2)职权审查。将关键的任务功能根据客户的具体情况来进行划分,这样就可以降低操作失误的概率,同时还可以防止系统资源被非法的篡改。(3)人员素质审查。顾名思义,就是说要创建出一个能够提升员工综合素质的控制措施体系。(4)修改方式审计。要确保是在授权完成后,并有专门的文档,以及进行过单独测试的情况下,财务信息系统才能够进行正式的工作。(5)运行环境审计。一定要创建出具有详细的控制措施,以及能够检查和清除病毒的财务信息系统。
(三)进一步完善信息系统审计组织机构
之所以要创建信息系统审计组织机构,关键在于要对信息系统审计行业来进行严格的管理与监督。一些信息系统审计组织属于内部审计,而且还是非盈利,不过它们却与该组织的创建国家,在文化上面具有很多相似的地方,因此在组织运行方面很具有成效。与之相比,我国目前由于国情的关系,在一些重要事务上还必须要由政府人员出面解决,才能够起到权威性的作用。所以,我国最好要建立一个信息系统审计研究部门,这个部门主要是管理信息系统审计的具体操作方法、对该职业如何进行规划等等工作。同时,若想降低在信息系统审计期间,有可能形成的风险,还要以最快的速度创建专业的信息系统审计组织,这样的话,不但可以在整体上,让信息系统审计工作得到有效的监督,更重要的是,还能够很好的降低信息系统审计出现风险的概率。
五、结束语
通过以上内容我们能够了解到,若想解决信息系统审计所存在的风险,就一定要对固有风险采取有效的控制措施,其中最重要的工作环节就在于要开展详细的审前调查,以及确保所有的信息系统资料具有合法性。另外,还要创建信息系统审计组织机构,以此保证信息系统审计工作能够得到有效的监督。因此,在今后的工作中,相关工作者要积极努力,认真探索,争取制定出更为完善的措施,以此让我国的信息系统审计风险控制水平迈向一个新的高度。
参考文献
[1]金治中.加强信息系统审计风险控制的若干思考[J].财务与会计,2012,11:57-58.
[2]章亮.我国信息系统审计发展的现状、问题及其改进[D].首都经济贸易大学,2014.
[3]茆敏.浅议信息系统审计风险[J].中国管理信息化,2016,01:39-41.
[4]王琪.信息系统审计的风险分析及评价研究[J].赤峰学院学报(自然科学版),2014,12:111-113.
作者:侯乔波
