IT審計(jì)風(fēng)險(xiǎn)構(gòu)成及防范措施探究,職稱論文

IT審計(jì)風(fēng)險(xiǎn)構(gòu)成及防范措施探究,職稱論文內(nèi)容摘要：對于組織經(jīng)營管理而言,問題的預(yù)防作用勝于問題的解決,對IT審計(jì)風(fēng)險(xiǎn)的預(yù)防更重要?，F(xiàn)對IT審計(jì)的特點(diǎn)以及IT審計(jì)風(fēng)險(xiǎn)的構(gòu)成進(jìn)行分析,并提出了降低IT審計(jì)的固有風(fēng)險(xiǎn);降低IT審計(jì)的控制風(fēng)險(xiǎn);降低IT審計(jì)的檢查風(fēng)險(xiǎn)等防備措施。本文關(guān)鍵詞語：IT審計(jì),審計(jì)的風(fēng)險(xiǎn),防備措施一、IT審計(jì)的特點(diǎn)(一)IT審計(jì)是一個(gè)經(jīng)過IT審計(jì)是通過獲取的證據(jù)判定信息系統(tǒng)能否能保證資產(chǎn)的安全、數(shù)據(jù)的完好和組織目的的實(shí)現(xiàn),其貫穿于整個(gè)信息系統(tǒng)生命周期的全經(jīng)過。(二)IT審計(jì)的對象綜合且復(fù)雜IT審計(jì)從縱向(生命周期)看,覆蓋了信息系統(tǒng)從開發(fā)、運(yùn)行、維護(hù)到報(bào)廢的全生命周期的各種業(yè)務(wù)。從橫向(各階段截面)看,其包含對軟硬件的獲取審計(jì)、應(yīng)用程序?qū)徲?jì)、安全審計(jì)等。IT審計(jì)將審計(jì)對象從財(cái)務(wù)范疇擴(kuò)展到了同經(jīng)營活動有關(guān)的一切信息系統(tǒng)。(三)IT審計(jì)拓寬了傳統(tǒng)審計(jì)的目的傳統(tǒng)審計(jì)目的僅僅包括對被審計(jì)單位會計(jì)報(bào)表的合法性、公允性及會計(jì)處理方式方法的一貫性發(fā)表審計(jì)意見。但I(xiàn)T審計(jì)除了上述目的外,還包括信息資產(chǎn)的安全性、數(shù)據(jù)的完好性及系統(tǒng)的可靠性、有效性和效率性。(四)IT審計(jì)是一種基于風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的理論和方式方法IT審計(jì)從基于控制的方式方法演變?yōu)榛陲L(fēng)險(xiǎn)的方式方法,其內(nèi)涵包括組織風(fēng)險(xiǎn)管理的整體框架,如內(nèi)部環(huán)境的控制、目的的設(shè)定、風(fēng)險(xiǎn)事項(xiàng)的辨別、風(fēng)險(xiǎn)的評估、風(fēng)險(xiǎn)的管理與應(yīng)對、信息與溝通以及對風(fēng)險(xiǎn)的監(jiān)控。二、IT審計(jì)風(fēng)險(xiǎn)的構(gòu)成(一)IT審計(jì)的固有風(fēng)險(xiǎn)IT審計(jì)的固有風(fēng)險(xiǎn)是指在不對信息系統(tǒng)部署任何控制措施情況下,信息系統(tǒng)本身所具有的風(fēng)險(xiǎn)。IT審計(jì)的固有風(fēng)險(xiǎn)是計(jì)算機(jī)系統(tǒng)本身所固有的,審計(jì)人員只能評估,卻無法控制或影響它。計(jì)算機(jī)固有風(fēng)險(xiǎn)的衡量是主觀的、復(fù)雜的。不同的計(jì)算機(jī)系統(tǒng)其固有風(fēng)險(xiǎn)水平不同。計(jì)算機(jī)硬件故障或軟件缺乏,易造成會計(jì)資料的損壞和丟失,導(dǎo)致會計(jì)數(shù)據(jù)處理經(jīng)過中發(fā)生偶發(fā)錯誤。計(jì)算時(shí)機(jī)計(jì)系統(tǒng)的高度集成,導(dǎo)致了系統(tǒng)的復(fù)雜性、依靠性和脆弱性,數(shù)據(jù)容易被修改和盜取。用磁性介質(zhì)存儲會計(jì)資料,其穩(wěn)定性和安全性較差,計(jì)算機(jī)病毒的損害容易造成會計(jì)數(shù)據(jù)丟失。系統(tǒng)管理人員的技術(shù)達(dá)不到管理系統(tǒng)所要求的水平,出現(xiàn)了技術(shù)應(yīng)用和管理錯誤。系統(tǒng)管理人員由于特殊原因此擅自更改會計(jì)數(shù)據(jù),或蓄意毀壞、摧毀計(jì)算時(shí)機(jī)計(jì)系統(tǒng)。(二)IT審計(jì)的檢查風(fēng)險(xiǎn)IT審計(jì)的檢查風(fēng)險(xiǎn)能夠通過調(diào)整本質(zhì)性測試來進(jìn)行控制,影響計(jì)算機(jī)審計(jì)檢查風(fēng)險(xiǎn)的因素本質(zhì)上是由于計(jì)算機(jī)審計(jì)規(guī)范不完善,審計(jì)人員本身或者技術(shù)原因造成的影響本質(zhì)性測試正確性的各種因素。1.人員操作風(fēng)險(xiǎn)。審計(jì)人員在對會計(jì)信息系統(tǒng)進(jìn)行審計(jì)時(shí),由于過分依靠計(jì)算機(jī)運(yùn)行得出的結(jié)果,而沒有對審計(jì)線索進(jìn)行檢查。審計(jì)人員由于知識不夠或業(yè)務(wù)不熟,無法跟蹤審計(jì),遺漏了審計(jì)證據(jù)。審計(jì)人員不了解會計(jì)信息系統(tǒng)的特點(diǎn),不能審查辨別其內(nèi)部程序控制。2.審計(jì)軟件風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)是指由于計(jì)算機(jī)軟件本身缺陷原因造成的風(fēng)險(xiǎn)。主要包括計(jì)算機(jī)審計(jì)技術(shù)的開發(fā)和推廣落后于計(jì)算時(shí)機(jī)計(jì)技術(shù),并且技術(shù)含量偏低。研究開發(fā)人員對審計(jì)業(yè)務(wù)的不熟悉。沒有經(jīng)過相關(guān)部門鑒定,導(dǎo)致軟件運(yùn)行有風(fēng)險(xiǎn)。審計(jì)軟件與會計(jì)軟件的接口不匹配,導(dǎo)致數(shù)據(jù)不能導(dǎo)出。審計(jì)軟件配套升級滯后,影響了審計(jì)效率和質(zhì)量。3.管理風(fēng)險(xiǎn)。指的是對計(jì)算機(jī)審計(jì)管理制度不健全、不完善而導(dǎo)致的風(fēng)險(xiǎn)。主要包括缺乏相關(guān)的計(jì)算機(jī)審計(jì)操作規(guī)范,導(dǎo)致審計(jì)人員各行其是,審計(jì)目的、內(nèi)容和手段等各不一樣,管理風(fēng)險(xiǎn)增大。(三)IT審計(jì)的控制風(fēng)險(xiǎn)IT審計(jì)的控制風(fēng)險(xiǎn)是指在計(jì)算機(jī)系統(tǒng)運(yùn)行中可能出現(xiàn)的重大錯誤,影響了單位經(jīng)濟(jì)活動描繪敘述的真實(shí)性,沒能被計(jì)算機(jī)軟件的程序化控制及時(shí)發(fā)現(xiàn)或防止的風(fēng)險(xiǎn)。IT審計(jì)的控制風(fēng)險(xiǎn)大小主要與會計(jì)系統(tǒng)程序化設(shè)計(jì)的科學(xué)性、合理性和穩(wěn)健性相聯(lián)絡(luò)。1.系統(tǒng)數(shù)據(jù)風(fēng)險(xiǎn)。會計(jì)數(shù)據(jù)在錄入時(shí)缺乏嚴(yán)格的控制,采用虛假、篡改和延遲等手段造成錯誤數(shù)據(jù)。數(shù)據(jù)存儲高度集中,卻缺乏嚴(yán)格的分級閱讀控制。會計(jì)數(shù)據(jù)的處理責(zé)任大部分集中于計(jì)算機(jī)系統(tǒng)中,集中程度越高,會計(jì)風(fēng)險(xiǎn)越大。2.系統(tǒng)環(huán)境風(fēng)險(xiǎn)。包括軟件環(huán)境風(fēng)險(xiǎn)和硬件環(huán)境風(fēng)險(xiǎn),一方面是由于計(jì)算機(jī)信息系統(tǒng)的復(fù)雜性以及會計(jì)系統(tǒng)的聯(lián)網(wǎng)性,另一方面則是由于計(jì)算機(jī)設(shè)備的多樣化,進(jìn)而導(dǎo)致系統(tǒng)環(huán)境風(fēng)險(xiǎn)的增大,3.系統(tǒng)控制風(fēng)險(xiǎn)。由于會計(jì)系統(tǒng)的內(nèi)部控制不嚴(yán)密造成的風(fēng)險(xiǎn),系統(tǒng)控制是指在人和機(jī)器的雙重控制下,還需要建立外部網(wǎng)和網(wǎng)上交易的安全控制。審計(jì)人員需要對這些內(nèi)容進(jìn)行外部控制測試,難度很大。三、IT審計(jì)風(fēng)險(xiǎn)的防備措施對IT審計(jì)風(fēng)險(xiǎn)的防備能夠從微觀和宏觀兩個(gè)方面進(jìn)行。微觀上,不僅應(yīng)努力提高審計(jì)人員的計(jì)算機(jī)審計(jì)技術(shù)和水平,在審計(jì)中選擇恰當(dāng)?shù)膶徲?jì)技術(shù)和方式方法,完善被審計(jì)單位的內(nèi)部控制水平。宏觀方面,應(yīng)盡快完善并推廣通用的計(jì)算機(jī)軟件,同時(shí)建立健全的計(jì)算機(jī)審計(jì)準(zhǔn)則和標(biāo)準(zhǔn),還要不斷創(chuàng)新計(jì)算機(jī)審計(jì)理論研究。(一)降低IT審計(jì)的固有風(fēng)險(xiǎn)1.完善審計(jì)軟件的設(shè)計(jì),降低審計(jì)線索減少或消失的可能性。一是加強(qiáng)操作的慎重性,只要在打印或存檔后才允許刪除。二是設(shè)置強(qiáng)迫備份,防止數(shù)據(jù)丟失。三是未經(jīng)許可不得更改報(bào)表的取數(shù)公式。取消反過賬反結(jié)賬的功能,記錄報(bào)表打印的次數(shù)。2.改良數(shù)據(jù)錄入技術(shù),降低錯誤的可能性。一是盡量采取掃描錄入,留有紙質(zhì)備份。二是對于重要的憑證、報(bào)表要存盤,方便以后查閱。三是盡量使用自動轉(zhuǎn)賬功能,保證數(shù)據(jù)的完好準(zhǔn)確。3.加強(qiáng)內(nèi)部控制機(jī)制,減少會計(jì)數(shù)據(jù)被修改、刪除和盜用的可能性。一是要配備性能優(yōu)良的硬件設(shè)備,如增加數(shù)據(jù)備份,增加數(shù)據(jù)加密和設(shè)置防火墻等。二是得到后續(xù)軟件支持。三是建立安全穩(wěn)定的運(yùn)行環(huán)境,合理設(shè)置加密關(guān)口和防火墻。四是加強(qiáng)組織人員素質(zhì),完善規(guī)章制度。(二)降低IT審計(jì)的控制風(fēng)險(xiǎn)1.根據(jù)不同的操作權(quán)限設(shè)置密碼,提高約束機(jī)制的作用。首先,系統(tǒng)管理員為不同崗位的會計(jì)人員設(shè)置不同的權(quán)限和初始密碼。其次,會計(jì)人員在獲得權(quán)限后更改密碼。最后,要嚴(yán)格控制操作權(quán)限的設(shè)置。2.建立組織和銀行之間的網(wǎng)絡(luò)連接,減少數(shù)據(jù)不一致的可能性。一是對組織內(nèi)部的會計(jì)業(yè)務(wù)自動掃描原始憑證,依靠軟件自動生成記賬憑證。二是對組織和銀行之間的業(yè)務(wù)建立網(wǎng)絡(luò)連接,傳送實(shí)時(shí)數(shù)據(jù),保證數(shù)據(jù)的同步一致。3.提高網(wǎng)絡(luò)通信的效率,做好及時(shí)維護(hù),保證系統(tǒng)的正常運(yùn)行。一是選取性能良好的網(wǎng)絡(luò)平臺和配套傳輸設(shè)備。二是選擇運(yùn)行良好的會計(jì)軟件。提高審計(jì)人員的計(jì)算機(jī)使用水平,保證能準(zhǔn)確無誤的操作系統(tǒng)。(三)降低IT審計(jì)的檢查風(fēng)險(xiǎn)1.被審計(jì)單位應(yīng)主動與審計(jì)師進(jìn)行溝通,對歷史文件采取統(tǒng)一的存儲格式,降低文件無法閱讀的可能性。一是針對不同時(shí)期版本的會計(jì)軟件,備份數(shù)據(jù)時(shí)要采取統(tǒng)一的格式,以方便審計(jì)人員進(jìn)行審計(jì)。二是制定會計(jì)軟件相關(guān)的行業(yè)標(biāo)準(zhǔn),統(tǒng)一數(shù)據(jù)格式和外部接口。2.設(shè)計(jì)一套能使檢查風(fēng)險(xiǎn)降到最低的審計(jì)檢查程序。一是檢查被審計(jì)單位的權(quán)限設(shè)置,對操作日志進(jìn)行審查,尋找疑點(diǎn)。二是檢查被審計(jì)單位的取數(shù)公式。三是進(jìn)行賬實(shí)核對、賬證核對、賬賬核對和賬表核對。四是檢查內(nèi)部控制制度的完好性和會計(jì)政策的一貫性。IT審計(jì)是會計(jì)信息化的必然要求,審計(jì)人員首先要對IT審計(jì)風(fēng)險(xiǎn)理論進(jìn)行系統(tǒng)的研究,構(gòu)建IT審計(jì)風(fēng)險(xiǎn)理論體系,用理論指導(dǎo)實(shí)踐,加強(qiáng)人們對IT審計(jì)風(fēng)險(xiǎn)的認(rèn)識。其次,要加強(qiáng)審計(jì)人員的審計(jì)風(fēng)險(xiǎn)教育,強(qiáng)化防備IT審計(jì)風(fēng)險(xiǎn)的意識,積極糾正IT審計(jì)出現(xiàn)的問題,營造良好的IT審計(jì)關(guān)系,有效防備IT審計(jì)風(fēng)險(xiǎn)。以下為參考文獻(xiàn)[1]徐經(jīng)緯.淺淡計(jì)算機(jī)審計(jì)風(fēng)險(xiǎn)及其