浅议信息系统审计风险及控制.docVIP

浅议信息系统审计风险及控制[摘 要] 随着整个社会信息化进程的不断加速，审计面对的已不再是单一的手工会计资料，正逐渐被计算机信息系统本身及其高度集中的大量电子数据所取代。信息系统给审计带来了不可避免的冲击与挑战，也使审计面临着新的风险和控制。 [关键词] 信息系统审计；审计风险；风险控制 doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 22. 010 [中图分类号] F239 [文献标识码] A [文章编号] 1673 - 0194（2012）22- 0018- 02 在信息大爆炸的今天，随着被审计对象信息化的高速发展，信息系统越来越多地成为被审计单位内部管理与内部控制的关键工具，审计人员面对的资料已不再是单一的手工会计凭证、账簿和报表，而是计算机信息系统本身及其高度集中的大量电子数据。信息系统由于其自身所具有的特点给审计带来了不可避免的冲击与挑战，也使审计面临着新的风险。 1 信息系统审计的特点 1.1 审计的环境不同 信息系统审计是否能够发挥有效作用，与前期的审计环境分析、合理审计需求提出密切相关。例如：审计某施工单位，需要核实施工材料的领用情况。如果被审计单位没有信息系统，也没有电子数据，这种情况下就不具备开展信息系统审计的条件。如果审计小组决定将施工材料领用单逐笔输入数据库中进行数据挖掘分析，结果可想而知，浪费时间不说还没有任何成果。只有从审计实际情况出发，实事求是，客观分析，信息系统审计才能够发挥积极的作用。 1.2 审计的对象不同 信息系统审计拓展了传统审计的内涵，将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统，具有综合性和复杂性。 1.3 审计的目标不同 信息系统审计没有改变审计的目标，但除了上述目标外，还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。 1.4 审计的方法不同 计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比，相应增加了计算机技术的内容。 2 信息系统审计面临的风险 2.1 固有风险 计算机信息系统环境下，下列环节可能导致固有风险增高：①数据录入环节。计算机信息系统下，大量的数据靠人工录入，有些人工录入时发生的错录和漏录，可能会影响金额的变化而并不影响机制凭证、账簿和报表表面上的相互平衡。②数据存在环节。在计算机信息系统环境下，由于存储介质的改变，信息高度集中于计算机信息系统。一旦用户非法透过计算机系统的“防火墙”，数据被不法分子拷贝，甚至可能被进行非法篡改而不留下任何痕迹。同时，计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也极易破坏和修改电子数据，造成账实不符，增加固有审计风险的可能性。③数据传输转移环节。在信息系统中，有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移，在此过程中可能会出现一些问题，尤其是在需要手工重新录入时。④介质本身缺乏证明力。在信息系统中，主要以磁盘、磁带等磁介质作为信息载体，对数据和程序修改可不留痕迹，被复制后的数据很难区分正副本，如果仅依靠磁介质载体，可能造成责任不清、真伪难辨，使审计证据缺乏法律效力。 2.2 控制风险 计算机信息系统环境下，可能导致许多传统的控制活动已经失去意义。 ①交易授权。在计算机信息系统中，直接由电子数据处理功能取得授权、批准。②职责划分。在计算机系统下，一是通过划分操作员的责任范围，设置权限和密码实现人员职责分工。二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于在计算机信息系统中许多不相容职责相对集中，可能因为不恰当的授权而加大舞弊的风险，权限设置的重叠或跨责任中心越权设置，使这一控制措施有可能形同虚设。③凭证与记录控制。在计算机信息系统中，终端操作者把业务直接输入计算机而没有留下任何凭证。④资产接触与记录控制。在信息环境下，大部分经营数据集中于电子数据处理部门，如果缺乏适当的控制，未经授权人员可能通过外部指令、甚至远程入侵系统，机密数据很可能被非法复制或篡改。⑤独立稽核。在信息系统中，在某个环节发生错误很可能在短时间内使得相应的文件、账簿乃至整个系统的信息失真。如果是应用程序产生错误，计算机可能会反复产生错误结果。 2.3 检查风险 信息系统审计中检查风险主要产生于以下3个方面：①审计线索难以查找。在手工环境中，会计账务处理的每一个步都有文字记录和相关人员签章，审计线索清晰；在信息系统环境中，从原始数据录入到报表的自动生成，忽略了中间处理过程；利用信息技术也难以实现如签名、盖章等这些使审计线索证据化的操作，给审计追踪带来了重重困难。同时，由于各类数据文件都存储在磁介质中，设计者如果没有事先考虑审计的需要，在系