电子政务信息系统审计中风险分析.docVIP

电子政务信息系统审计中风险分析摘要:由于信息化应用的背景和电子政务的特殊性，电子政务信息系统审计存在着非常复杂的审计风险。以审计风险理论为基础，并借鉴COSO风险管理理论，提出了电子政务信息系统审计风险研究框架，并具体阐述了电子政务信息系统审计中固有风险的识别、评价方法，以及控制风险和检查风险的评价 关键词：电子政务 信息系统审计 审计风险 风险管理 一、电子政务信息系统审计风险研究的意义、方法 电子政务是国家信息化建设的重点工作，其成功与否直接影响着我国政府改革的进程，然而信息化建设往往伴随着巨大的风险，所以必须对电子政务信息系统的建设实施科学全面的审计。在信息系统审计的过程中，审计人员通过收集证据来判断系统本身是否达到保护资源安全，数据完整，系统稳定、有效和高效等目标，但有时会出现审计人员发现不了系统内部存在的缺陷或错误的情况，这说明对信息系统的审计可能出现判断出错的可能性，这种可能性就是信息系统审计风险。而电子政务信息系统审计由于电子政务的特殊性而存在着更为复杂的审计风险 在这样的环境下，研究电子政务信息系统的审计风险具有非常重要的意义。国内外对传统审计领域中的审计风险研究已经相当成熟，而对电子政务环境下审计风险的研究数量相对较少且处于初步探索阶段。国内的朱萍等以审计风险模型为基础，认为应通过合理评估固有风险和控制风险的水平来确定检查风险，达到降低审计风险的目的，并重点阐述了控制风险的评估[1]。孙纲以审计理论和评价理论为基础，构建了审计风险评价方法体系，最后通过比较期望审计风险与实际审计风险作为审计终止标准的方法来降低总体审计风险[2]。还有一些学者针对电子商务环境下的审计风险做了研究：王乐声从传统审计风险模型的固有风险、控制风险、检查风险三个要素着手提出了降低电子商务审计风险的对策[3]。刘知强通过文献分析法及专家咨询法两种方式设计了电子商务环境下审计风险量表，对电子商务环境下的审计风险进行了识别分析，并在量表的基础上建立了适应电子商务环境下的审计风险模型[4] 本文对电子政务信息系统审计风险的研究将借鉴COSO（Committee of Sponsoring Organization，内部控制委员会）在XX年发布的《企业风险管理――整体框架》[5]。该框架是在1992年发布的《内部控制――整体架构》的基础上提出的，重点阐述了八要素风险管理理论；与原来的五要素内部控制框架不同，它更侧重于风险管理，强调内部控制是风险管理必不可少的一部分。该框架对于企业风险管理的定义具有广泛的适用性，适用于各种类型的组织、行业和部门，也成为了衡量企业风险管理是否有效的一个标准，对于我们开展电子政务信息系统审计风险研究具有很好的借鉴作用[6] 对电子政务信息系统审计的风险研究首先应以传统审计风险理论为前提，传统审计风险包括固有风险、控制风险和检查风险三个组成要素，它们之间的相互关系可以从定量和定性两个方面加以考察 从定量的角度看，审计风险及组成要素的相互关系可用以下公式表示： 审计风险=固有风险×控制风险×检查风险 这个公式也被称作传统审计风险模型 从定性的角度看，检查风险与固有风险和控制风险的综合水平之间存在着反比关系，固有风险和控制风险的综合水平越高，审计人员可接受的检查风险水平越低；反之亦然。对于固有风险和控制风险，它在审计人员审计过程中已成为既定的事实，审计人员无法改变它，但可通过对被审计单位的了解和测试来合理评估固有风险和控制风险，评估的目的是为了确定检查风险水平，并据此来开展实质性测试以降低检查风险，从而最终将审计风险控制于可接受的水平 二、电子政务信息系统审计风险研究框架 基于传统的审计风险模型和审计风险各要素的定性关系，并借鉴COSO风险管理理论，本文提出了电子政务信息系统的审计风险研究框架（见图1） 图1 电子政务信息系统的审计风险研究框架 下文将分别对电子政务信息系统固有风险的识别、固有风险的评价以及控制风险的评价和检查风险的评价等几方面进行讨论 ⒈固有风险识别 所谓固有风险识别，是指电子政务信息系统审计人员对电子政务信息系统固有风险的发生领域进行识别和分析，以确定风险的来源，描述风险特征。从电子政务建设的整个生命周期来看，其固有风险贯穿于电子政务信息系统建设项目的始终，所以应将电子政务看作一个大系统并从系统工程和项目管理的角度来对电子政务信息系统的固有风险进行全面识别，无论风险性质和风险大小，都应尽可能全面地找出其存在的固有风险[7] 根据系统分析法，电子政务信息系统的固有风险可划分为系统风险和非系统风险。系统风险是电子政务信息系统的特别风险，是由其本身的开发、建设、管理等活动带来的；非系统风险是指电子政务建设之外的某种因素引起的可能