信息化环境下审计重点和难点探讨.docVIP

信息化环境下审计的重点和难点探讨 　　摘 要：深入分析信息化环境下审计的重点，包括评估信息系统风险、内部控制有效性、系统安全可靠性。如何确定评价标准、寻找审计线索、降低审计风险、如何审计评价、审计人员如何适应信息化要求等方面阐述审计重点难点。? 　　关键词：信息系统;内部控制;审计? 　　中图分类号：F23文献标识码：A文章编号：1672-3198（2008）08-0236-02?? 　　 　　1 信息化环境对内部控制及审计的影响? 　　 　　（1）手工会计系统中严格的控制制度在信息化环境下逐渐减弱或消失。凭证要客观反映经济业务的实质，如发现错弊，凭证会成为追查责任的依据。在信息化环境下，终端操作者把业务直接输入计算机而没有留下任何凭证。? 　　（2）手工会计系统所具有的分工功能逐渐被归并。在手工会计系统中，不相容岗位职责分离，如记录总帐和记录明细帐的职责要分工。在信息系统中，这些分工逐渐被并入电子数据处理系统中。? 　　（3）信息系统可以自动授权、批准。在手工会计系统中，一项经济业务都要经过相关的人员签名（或盖章），但在先进的企业资源计划（ERP）系统，直接由电子数据处理功能取得授权、批准。? 　　（4）信息化环境下数据容易丢失、被盗窃和被篡改。在手工会计系统中，由于各项经济业务以书面记录，如果控制适当，不易丢失或被复制，即使舞弊人员篡改帐表单证也会留下痕迹。但在信息系统中，各项经济业务存储于磁介质，是肉眼不可见的，而且这些磁介质在受热、受潮或强电磁场下都会损坏。因此，存储于磁介质的信息有较大的灭失风险。? 　　（5）磁介质的信息缺乏证明力。在手工会计系统中，信息被记录于凭证、账簿，以纸作为载体，如果改动会留下痕迹。在信息系统中，主要以磁盘、磁带等作为信息载体，如前所述，对磁介质的数据和程序修改可不留痕迹，被复制后的数据很难区分正副本，如果仅依靠磁介质载体，可能造成责任不清、真伪难辨，使审计证据缺乏法律效力。? 　　（6）数据与责任高度集中。在手工会计系统中，许多资料被分散保存，未经授权人员很难浏览所有数据。但在信息环境下，大部分经营数据集中于电子数据处理部门，如果缺乏适当的控制，未经授权人员可能通过外部指令、甚至远程入侵系统，机密数据很可能被非法复制或篡改。? 　　数据高度集中的主要风险是责任高度集中。在信息环境下，原始数据一经输入计算机，就由计算机按程序指令自动处理，主要责任都高度集中于电子数据处理系统。? 　　（7）差错反复发生。在手工会计系统中，数据处理由多个人完成，一个部门或人员的差错大部分可以在下一个环节被发现并改正。在信息系统中，在某个环节发生错误很可能在短时间内使得相应的文件、账簿乃至整个系统的信息失真。如果是应用程序产生错误，计算机会反复产生错误结果。? 　　（8）信息系统没有留下充分的审计线索。在信息化环境下，各类数据文件都存储在磁介质中，设计者如果没有考虑审计的需要，在系统中设置跟踪程序的话，很难留下有价值的审计线索，加大审计难度。? 　　 　　2 系统内部控制审计的重点? 　　 　　2.1 测评信息系统内部控制的风险? 　　内部控制与企业的风险策略紧密联系，促成公司治理与内部控制之间良性的互动关系。通过内部审计视角，对经营中不断变化的风险因素进行观察，对管理的缺陷或失败进行快速报告，促使董事会和高级管理层做出快速反应，及时防范和纠正不正当行为，使内部审计有机地融入公司治理和风险管理过程中，发挥内部审计在管理中的作用，促进企业提高管理风险能力。? 　　信息系统的风险管理主要指信息系统内部控制能够识别影响组织目标实现的风险并建立风险管理预警机制。审计任务是评价风险管理机制的健全性和有效性，发现可能存在的漏洞，分析这些漏洞风险，提出审计建议。重点包括：可能引发风险的因素，风险发生的概率和后果，管理风险的能力，管理风险的具体方法及效果。? 　　在审计过程中需要使用风险分析工具。风险分析为评价内部控制提供一个量化的分析工具，计算公式是：? 　　一定期间的风险损失额=平均风险损失×风险发生的概率? 　　风险评估不仅重视与内部控制系统直接相关的因素，还重视环境因素，审计人员不仅依据实质性测试结果，还应该观察其审计环境形成审计结论。因此审计师在执行测试时，除了财务数据分析，还要对被审计单位的经营与战略、长期发展目标、服务与市场、经营渠道、主要客户、使用材料以及竞争环境等进行研究。? 　　2.2 测评信息系统内部控制的健全有效性? 　　在风险评估的基础上，从一般控制和应用控制两方面评价信息系统有关控制的健全和有效性。一般控制是对系统构成要素及数据处理环境的控制，包括组织控制、硬件和软件控制、系统安全控制、系统开发与维护控制等，是信息系统安全可靠运行和处理的前提。应用