IT審計風(fēng)險構(gòu)成及防范措施探究,職稱論文

IT審計風(fēng)險構(gòu)成及防范措施探究,職稱論文內(nèi)容摘要：對于組織經(jīng)營管理而言,問題的預(yù)防作用勝于問題的解決,對IT審計風(fēng)險的預(yù)防更重要?，F(xiàn)對IT審計的特點以及IT審計風(fēng)險的構(gòu)成進行分析,并提出了降低IT審計的固有風(fēng)險;降低IT審計的控制風(fēng)險;降低IT審計的檢查風(fēng)險等防備措施。本文關(guān)鍵詞語：IT審計,審計的風(fēng)險,防備措施一、IT審計的特點(一)IT審計是一個經(jīng)過IT審計是通過獲取的證據(jù)判定信息系統(tǒng)能否能保證資產(chǎn)的安全、數(shù)據(jù)的完好和組織目的的實現(xiàn),其貫穿于整個信息系統(tǒng)生命周期的全經(jīng)過。(二)IT審計的對象綜合且復(fù)雜IT審計從縱向(生命周期)看,覆蓋了信息系統(tǒng)從開發(fā)、運行、維護到報廢的全生命周期的各種業(yè)務(wù)。從橫向(各階段截面)看,其包含對軟硬件的獲取審計、應(yīng)用程序?qū)徲嫛踩珜徲嫷?。IT審計將審計對象從財務(wù)范疇擴展到了同經(jīng)營活動有關(guān)的一切信息系統(tǒng)。(三)IT審計拓寬了傳統(tǒng)審計的目的傳統(tǒng)審計目的僅僅包括對被審計單位會計報表的合法性、公允性及會計處理方式方法的一貫性發(fā)表審計意見。但IT審計除了上述目的外,還包括信息資產(chǎn)的安全性、數(shù)據(jù)的完好性及系統(tǒng)的可靠性、有效性和效率性。(四)IT審計是一種基于風(fēng)險基礎(chǔ)審計的理論和方式方法IT審計從基于控制的方式方法演變?yōu)榛陲L(fēng)險的方式方法,其內(nèi)涵包括組織風(fēng)險管理的整體框架,如內(nèi)部環(huán)境的控制、目的的設(shè)定、風(fēng)險事項的辨別、風(fēng)險的評估、風(fēng)險的管理與應(yīng)對、信息與溝通以及對風(fēng)險的監(jiān)控。二、IT審計風(fēng)險的構(gòu)成(一)IT審計的固有風(fēng)險IT審計的固有風(fēng)險是指在不對信息系統(tǒng)部署任何控制措施情況下,信息系統(tǒng)本身所具有的風(fēng)險。IT審計的固有風(fēng)險是計算機系統(tǒng)本身所固有的,審計人員只能評估,卻無法控制或影響它。計算機固有風(fēng)險的衡量是主觀的、復(fù)雜的。不同的計算機系統(tǒng)其固有風(fēng)險水平不同。計算機硬件故障或軟件缺乏,易造成會計資料的損壞和丟失,導(dǎo)致會計數(shù)據(jù)處理經(jīng)過中發(fā)生偶發(fā)錯誤。計算時機計系統(tǒng)的高度集成,導(dǎo)致了系統(tǒng)的復(fù)雜性、依靠性和脆弱性,數(shù)據(jù)容易被修改和盜取。用磁性介質(zhì)存儲會計資料,其穩(wěn)定性和安全性較差,計算機病毒的損害容易造成會計數(shù)據(jù)丟失。系統(tǒng)管理人員的技術(shù)達不到管理系統(tǒng)所要求的水平,出現(xiàn)了技術(shù)應(yīng)用和管理錯誤。系統(tǒng)管理人員由于特殊原因此擅自更改會計數(shù)據(jù),或蓄意毀壞、摧毀計算時機計系統(tǒng)。(二)IT審計的檢查風(fēng)險IT審計的檢查風(fēng)險能夠通過調(diào)整本質(zhì)性測試來進行控制,影響計算機審計檢查風(fēng)險的因素本質(zhì)上是由于計算機審計規(guī)范不完善,審計人員本身或者技術(shù)原因造成的影響本質(zhì)性測試正確性的各種因素。1.人員操作風(fēng)險。審計人員在對會計信息系統(tǒng)進行審計時,由于過分依靠計算機運行得出的結(jié)果,而沒有對審計線索進行檢查。審計人員由于知識不夠或業(yè)務(wù)不熟,無法跟蹤審計,遺漏了審計證據(jù)。審計人員不了解會計信息系統(tǒng)的特點,不能審查辨別其內(nèi)部程序控制。2.審計軟件風(fēng)險。這種風(fēng)險是指由于計算機軟件本身缺陷原因造成的風(fēng)險。主要包括計算機審計技術(shù)的開發(fā)和推廣落后于計算時機計技術(shù),并且技術(shù)含量偏低。研究開發(fā)人員對審計業(yè)務(wù)的不熟悉。沒有經(jīng)過相關(guān)部門鑒定,導(dǎo)致軟件運行有風(fēng)險。審計軟件與會計軟件的接口不匹配,導(dǎo)致數(shù)據(jù)不能導(dǎo)出。審計軟件配套升級滯后,影響了審計效率和質(zhì)量。3.管理風(fēng)險。指的是對計算機審計管理制度不健全、不完善而導(dǎo)致的風(fēng)險。主要包括缺乏相關(guān)的計算機審計操作規(guī)范,導(dǎo)致審計人員各行其是,審計目的、內(nèi)容和手段等各不一樣,管理風(fēng)險增大。(三)IT審計的控制風(fēng)險IT審計的控制風(fēng)險是指在計算機系統(tǒng)運行中可能出現(xiàn)的重大錯誤,影響了單位經(jīng)濟活動描繪敘述的真實性,沒能被計算機軟件的程序化控制及時發(fā)現(xiàn)或防止的風(fēng)險。IT審計的控制風(fēng)險大小主要與會計系統(tǒng)程序化設(shè)計的科學(xué)性、合理性和穩(wěn)健性相聯(lián)絡(luò)。1.系統(tǒng)數(shù)據(jù)風(fēng)險。會計數(shù)據(jù)在錄入時缺乏嚴格的控制,采用虛假、篡改和延遲等手段造成錯誤數(shù)據(jù)。數(shù)據(jù)存儲高度集中,卻缺乏嚴格的分級閱讀控制。會計數(shù)據(jù)的處理責(zé)任大部分集中于計算機系統(tǒng)中,集中程度越高,會計風(fēng)險越大。2.系統(tǒng)環(huán)境風(fēng)險。包括軟件環(huán)境風(fēng)險和硬件環(huán)境風(fēng)險,一方面是由于計算機信息系統(tǒng)的復(fù)雜性以及會計系統(tǒng)的聯(lián)網(wǎng)性,另一方面則是由于計算機設(shè)備的多樣化,進而導(dǎo)致系統(tǒng)環(huán)境風(fēng)險的增大,3.系統(tǒng)控制風(fēng)險。由于會計系統(tǒng)的內(nèi)部控制不嚴密造成的風(fēng)險,系統(tǒng)控制是指在人和機器的雙重控制下,還需要建立外部網(wǎng)和網(wǎng)上交易的安全控制。審計人員需要對這些內(nèi)容進行外部控制測試,難度很大。三、IT審計風(fēng)險的防備措施對IT審計風(fēng)險的防備能夠從微觀和宏觀兩個方面進行。微觀上,不僅應(yīng)努力提高審計人員的計算機審計技術(shù)和水平,在審計中選擇恰當(dāng)?shù)膶徲嫾夹g(shù)和方式方法,完善被審計單位的內(nèi)部控制水平。宏觀方面,應(yīng)盡快完善并推廣通用的計算機軟件,同時建立健全的計算機審計準則和標準,還要不斷創(chuàng)新計算機審計理論研究。(一)降低IT審計的固有風(fēng)險1.完善審計軟件的設(shè)計,降低審計線索減少或消失的可能性。一是加強操作的慎重性,只要在打印或存檔后才允許刪除。二是設(shè)置強迫備份,防止數(shù)據(jù)丟失。三是未經(jīng)許可不得更改報表的取數(shù)公式。取消反過賬反結(jié)賬的功能,記錄報表打印的次數(shù)。2.改良數(shù)據(jù)錄入技術(shù),降低錯誤的可能性。一是盡量采取掃描錄入,留有紙質(zhì)備份。二是對于重要的憑證、報表要存盤,方便以后查閱。三是盡量使用自動轉(zhuǎn)賬功能,保證數(shù)據(jù)的完好準確。3.加強內(nèi)部控制機制,減少會計數(shù)據(jù)被修改、刪除和盜用的可能性。一是要配備性能優(yōu)良的硬件設(shè)備,如增加數(shù)據(jù)備份,增加數(shù)據(jù)加密和設(shè)置防火墻等。二是得到后續(xù)軟件支持。三是建立安全穩(wěn)定的運行環(huán)境,合理設(shè)置加密關(guān)口和防火墻。四是加強組織人員素質(zhì),完善規(guī)章制度。(二)降低IT審計的控制風(fēng)險1.根據(jù)不同的操作權(quán)限設(shè)置密碼,提高約束機制的作用。首先,系統(tǒng)管理員為不同崗位的會計人員設(shè)置不同的權(quán)限和初始密碼。其次,會計人員在獲得權(quán)限后更改密碼。最后,要嚴格控制操作權(quán)限的設(shè)置。2.建立組織和銀行之間的網(wǎng)絡(luò)連接,減少數(shù)據(jù)不一致的可能性。一是對組織內(nèi)部的會計業(yè)務(wù)自動掃描原始憑證,依靠軟件自動生成記賬憑證。二是對組織和銀行之間的業(yè)務(wù)建立網(wǎng)絡(luò)連接,傳送實時數(shù)據(jù),保證數(shù)據(jù)的同步一致。3.提高網(wǎng)絡(luò)通信的效率,做好及時維護,保證系統(tǒng)的正常運行。一是選取性能良好的網(wǎng)絡(luò)平臺和配套傳輸設(shè)備。二是選擇運行良好的會計軟件。提高審計人員的計算機使用水平,保證能準確無誤的操作系統(tǒng)。(三)降低IT審計的檢查風(fēng)險1.被審計單位應(yīng)主動與審計師進行溝通,對歷史文件采取統(tǒng)一的存儲格式,降低文件無法閱讀的可能性。一是針對不同時期版本的會計軟件,備份數(shù)據(jù)時要采取統(tǒng)一的格式,以方便審計人員進行審計。二是制定會計軟件相關(guān)的行業(yè)標準,統(tǒng)一數(shù)據(jù)格式和外部接口。2.設(shè)計一套能使檢查風(fēng)險降到最低的審計檢查程序。一是檢查被審計單位的權(quán)限設(shè)置,對操作日志進行審查,尋找疑點。二是檢查被審計單位的取數(shù)公式。三是進行賬實核對、賬證核對、賬賬核對和賬表核對。四是檢查內(nèi)部控制制度的完好性和會計政策的一貫性。IT審計是會計信息化的必然要求,審計人員首先要對IT審計風(fēng)險理論進行系統(tǒng)的研究,構(gòu)建IT審計風(fēng)險理論體系,用理論指導(dǎo)實踐,加強人們對IT審計風(fēng)險的認識。其次,要加強審計人員的審計風(fēng)險教育,強化防備IT審計風(fēng)險的意識,積極糾正IT審計出現(xiàn)的問題,營造良好的IT審計關(guān)系,有效防備IT審計風(fēng)險。以下為參考文獻[1]徐經(jīng)緯.淺淡計算機審計風(fēng)險及其