摘要:对于组织经营管理而言, 问题的预防作用胜于问题的解决, 对IT审计风险的预防更重要。现对IT审计的特点及IT审计风险的构成进行分析, 并提出了降低IT审计的固有风险;降低IT审计的控制风险;降低IT审计的检查风险等防范措施。
关键词:IT审计,审计的风险,防范措施
一、IT审计的特点
(一) IT审计是一个过程
IT审计是通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现, 其贯穿于整个信息系统生命周期的全过程。
(二) IT审计的对象综合且复杂
IT审计从纵向 (生命周期) 看, 覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务。从横向 (各阶段截面) 看, 其包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
(三) IT审计拓宽了传统审计的目标
传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”。但IT审计除了上述目标外, 还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
(四) IT审计是一种基于风险基础审计的理论和方法
IT审计从基于控制的方法演变为基于风险的方法, 其内涵包括组织风险管理的整体框架, 如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、IT审计风险的构成
(一) IT审计的固有风险
IT审计的固有风险是指在不对信息系统部署任何控制措施情况下, 信息系统自身所具有的风险。IT审计的固有风险是计算机系统本身所固有的, 审计人员只能评估, 却无法控制或影响它。计算机固有风险的衡量是主观的、复杂的。不同的计算机系统其固有风险水平不同。计算机硬件故障或软件不足, 易造成会计资料的损坏和丢失, 导致会计数据处理过程中发生偶发错误。计算机会计系统的高度集成, 导致了系统的复杂性、依赖性和脆弱性, 数据容易被修改和盗取。用磁性介质存储会计资料, 其稳定性和安全性较差, 计算机病毒的侵害容易造成会计数据丢失。系统管理人员的技术达不到管理系统所要求的水平, 出现了技术应用和管理错误。系统管理人员由于特殊原因而擅自更改会计数据, 或蓄意破坏、摧毁计算机会计系统。
(二) IT审计的检查风险
IT审计的检查风险可以通过调整实质性测试来进行控制, 影响计算机审计检查风险的因素实质上是由于计算机审计规范不完善, 审计人员自身或者技术原因造成的影响实质性测试正确性的各种因素。
1. 人员操作风险。
审计人员在对会计信息系统进行审计时, 由于过分依赖计算机运行得出的结果, 而没有对审计线索进行检查。审计人员由于知识不够或业务不熟, 无法跟踪审计, 遗漏了审计证据。审计人员不了解会计信息系统的特点, 不能审查识别其内部程序控制。
2. 审计软件风险。
这种风险是指由于计算机软件本身缺陷原因造成的风险。主要包括计算机审计技术的开发和推广落后于计算机会计技术, 并且技术含量偏低。研究开发人员对审计业务的不熟悉。没有经过相关部门鉴定, 导致软件运行有风险。审计软件与会计软件的接口不匹配, 导致数据不能导出。审计软件配套升级滞后, 影响了审计效率和质量。
3. 管理风险。
指的是对计算机审计管理制度不健全、不完善而导致的风险。主要包括缺乏相关的计算机审计操作规范, 导致审计人员各行其是, 审计目标、内容和手段等各不相同, 管理风险增大。
(三) IT审计的控制风险
IT审计的控制风险是指在计算机系统运行中可能出现的重大错误, 影响了单位经济活动描述的真实性, 没能被计算机软件的程序化控制及时发现或防止的风险。IT审计的控制风险大小主要与会计系统程序化设计的科学性、合理性和稳健性相联系。
1. 系统数据风险。
会计数据在录入时缺乏严格的控制, 采用虚假、篡改和延迟等手段造成错误数据。数据存储高度集中, 却缺乏严格的分级浏览控制。会计数据的处理责任大部分集中于计算机系统中, 集中程度越高, 会计风险越大。
2. 系统环境风险。
包括软件环境风险和硬件环境风险, 一方面是因为计算机信息系统的复杂性以及会计系统的联网性, 另一方面则是因为计算机设备的多样化, 从而导致系统环境风险的增大,
3. 系统控制风险。
由于会计系统的内部控制不严密造成的风险, 系统控制是指在人和机器的双重控制下, 还需要建立外部网和网上交易的安全控制。审计人员需要对这些内容进行外部控制测试, 难度很大。
三、IT审计风险的防范措施
对IT审计风险的防范可以从微观和宏观两个方面进行。微观上, 不仅应努力提高审计人员的计算机审计技术和水平, 在审计中选择恰当的审计技术和方法, 完善被审计单位的内部控制水平。宏观方面, 应尽快完善并推广通用的计算机软件, 同时建立健全的计算机审计准则和标准, 还要不断创新计算机审计理论研究。
(一) 降低IT审计的固有风险
1. 完善审计软件的设计, 降低审计线索减少或消失的可能性。
一是加强操作的谨慎性, 只有在打印或存档后才允许删除。二是设置强制备份, 防止数据丢失。三是未经许可不得更改报表的取数公式。取消反过账反结账的功能, 记录报表打印的次数。
2. 改进数据录入技术, 降低错误的可能性。
一是尽量采取扫描录入, 留有纸质备份。二是对于重要的凭证、报表要存盘, 方便以后查阅。三是尽量使用自动转账功能, 保证数据的完整准确。
3. 加强内部控制机制, 减少会计数据被修改、删除和盗用的可能性。
一是要配备性能优良的硬件设备, 如增加数据备份, 增加数据加密和设置防火墙等。二是得到后续软件支持。三是建立安全稳定的运行环境, 合理设置加密关口和防火墙。四是加强组织人员素质, 完善规章制度。
(二) 降低IT审计的控制风险
1. 按照不同的操作权限设置密码, 提高约束机制的作用。
首先, 系统管理员为不同岗位的会计人员设置不同的权限和初始密码。其次, 会计人员在获得权限后更改密码。最后, 要严格控制操作权限的设置。
2. 建立组织和银行之间的网络连接, 减少数据不一致的可能性。
一是对组织内部的会计业务自动扫描原始凭证, 依靠软件自动生成记账凭证。二是对组织和银行之间的业务建立网络连接, 传送实时数据, 保证数据的同步一致。
3. 提高网络通信的效率, 做好及时维护, 保证系统的正常运行。
一是选取性能良好的网络平台和配套传输设备。二是选择运行良好的会计软件。提高审计人员的计算机使用水平, 保证能准确无误的操作系统。
(三) 降低IT审计的检查风险
1. 被审计单位应主动与审计师进行沟通, 对历史文件采取统一的存储格式, 降低文件无法阅读的可能性。一是针对不同时期版本的会计软件, 备份数据时要采取统一的格式, 以方便审计人员进行审计。二是制定会计软件相关的行业标准, 统一数据格式和外部接口。
2. 设计一套能使检查风险降到最低的审计检查程序。一是检查被审计单位的权限设置, 对操作日志进行审查, 寻找疑点。二是检查被审计单位的取数公式。三是进行账实核对、账证核对、账账核对和账表核对。四是检查内部控制制度的完整性和会计政策的一贯性。IT审计是会计信息化的必然要求, 审计人员首先要对IT审计风险理论进行系统的研究, 构建IT审计风险理论体系, 用理论指导实践, 加强人们对IT审计风险的认识。其次, 要加强审计人员的审计风险教育, 强化防范IT审计风险的意识, 积极纠正IT审计出现的问题, 营造良好的IT审计关系, 有效防范IT审计风险。
参考文献
[1]徐经纬.浅淡计算机审计风险及其防范对策[J].经济研究导刊, 2009 (16) .
[2]张继伟.计算机审计风险成因及其防范对策[J].财会通讯, 2009 (22) .
[3]武东萍.计算机审计风险探析[J].经济问题, 2009 (3) .
[4]肖军, 翁晓华.关于计算机审计技术在内部审计中的实践研究[J].商业会计, 2011 (2) .
