现代信息系统审计风险探究
前言:本站为你精心整理了现代信息系统审计风险探究范文,希望能为你的创作提供参考价值,我们的客服老师可以帮助你提供个性化的参考范文,欢迎咨询。
[提要]当今时代,信息技术的飞速发展导致信息系统审计风险也发生翻天覆地的变化,呈现出一些新问题和新特点。在此背景下,全面的认识和剖析信息系统审计风险,如何优化审计程序大大降低审计风险便成为值得思考的课题。目前,部分国家对信息系统审计的研究和应用已经相对成熟,我国可以把研究重点放在注册会计师层面的信息系统审计上,同时借鉴国外的理论与实务。国内相关学者已经就信息系统相关内容进行总结并且各有创新,但是主要都是涉及企业内部控制方面的。所以,从社会审计角度出发进行有关信息系统审计风险的研究势在必行。
关键词:信息系统审计;审计风险;风险控制
(一)信息系统自身固有的风险。在企业的日常经营活动中,如果信息系统存在安全隐患通常是由于企业信息系统没有建立严谨的内部控制,这些安全漏洞会导致企业信息系统面临较大的风险。因为计算机等硬件设备相当于信息系统的载体,一旦发生损坏和故障或涉及的数据信息是重大的,将会给审计工作带来重重阻碍,大大增加了审计风险。而网络相当于信息系统的容器,一旦被人恶意攻击,那么信息系统也将暴露在风险之中。
(二)审计人员潜在的风险。1、审计人员执业水平有待提高。在现代化发展过程中,审计工作能否高质量现代化地完成,同当前的审计工作专业能力以及综合水平具有非常紧密的联系。从当前我国审计人员队伍建设以及发展现状来看,虽然已经拥有了一定的量具有专业知识水平和能力的现代化人才,但是鞭长不及马腹,审计人员在对计算机知识的掌握以及技能的提升程度远远不够,执业水平也与信息系统发展不相协调,这在很大程度上限制了信息系统审计风险控制的效果。2、审计人员个体知识掌握薄弱。信息系统审计本身具有交叉复合型,建立在计算机技术、审计专业知识、信息系统、行为管理等多个学科之上,因此需要的相关审计人员也是复合型审计人才。但从我国的实际情况来看,复合型审计人才处于极度匮乏的情况。具体来说,部分审计人员虽然是从业多年的审计师,但是对计算机、信息系统等科技领域并不熟悉,短时间内很难掌握信息系统的操作,不仅不能利用信息系统审计的优势,反而影响实际审计工作的效率。出现这种现象表明了当前我国审计工作的发展并不完善,审计理念不够先进,国家的审计部门以及被审计单位都没有对信息系统审计工作的重要性给予一定的重视,也不理解信息系统审计工作对我国社会主义现代化发展带来的推动作用,因此在很大程度上制约着我国现代化信息系统审计工作的开展和发展。
(三)企业内部控制引发的风险。1、企业缺乏复合型管理人员。在网络信息系统下,企业管理层除了要监督考核公司内部各部门人员的工作效率,确保财务信息的真实可靠,使企业资金得到合理利用,还要确保管理信息系统的安全可靠以及电子设备的正常运转。但是,由于当前学校培育的是专业型人才,导致社会复合型技术人才的缺失,大部分企业都雇佣不到精通信息技术与财务的专业管理人员,由此加大了审计风险。2、企业内部控制受到限制。传统的企业内部控制强调不相容的岗位相分离,而在会计信息系统下,不同的模块或子系统,有各自的职责范围,相关人员责任分工是根据其负责的范畴给予相应的授权。这导致不同程度地出现传统不相容岗位在系统中授权未实现分离和牵制的情况,不利于企业内部控制信息系统的建设。与传统审计流程不同,信息系统审计的信息和证据都以数据的形式存在于存储系统中,企业开发内部控制系统也会面临相当大的困难和成本,审计人员收集所需的审计证据也因此受到限制,从而一定程度上加大了审计风险。
(四)国家法律制度引发的风险。1、审计规范制定专门机构尚缺乏。从国际范围内来看,信息系统审计的规范主要由国际信息系统审计协会(ISACA)制定,即由专门的机构来制定审计规范及相关准则。但从我国内部来看,并没有专门的领导机构负责信息系统审计规范的制定。从现有的信息系统审计规范来看,制定机构主要有国务院办公厅、审计署、内部审计协会等多个部门。审计规范制定机构尚未统一必然会影响信息系统审计规范的一致性和权威性,不利于信息系统审计相关活动的有效开展。2、信息系统审计法律制度不规范。我国的信息技术审计的发展年限并不长,因此信息系统审计相关的法律法规也并不完善,信息系统审计的规范体系并未建立。从现在来看,我国信息系统审计规范主要有2009年实施的《内部审计具体准则第28号———信息系统审计》以及更早的一些通知和规范,2014年开始实施的《第22203号内部审计具体准则———信息系统审计》,2019年国务院办公厅的《关于利用计算机信息系统开展审计工作有关问题的通知》等。除了上文提到的信息系统审计规范之外,我国一般都是地方部门相关的通知或者规范,主要内容是对国家权力机关的审计规范的具体实施或执行,而对审计规范实施的保障性内容并不多。如果审计人员缺乏足够的专业胜任能力和丰富的经验,导致完全遵循硬性的且不健全的审计法规或准则,由此发生的疏忽或漏洞的可能性大大增加。
二、信息系统审计风险应对策略
(一)审计人员层面的风险应对策略。1、审前开展详尽调查。在开展审计工作前,审计人员首先要了解被审计单位的性质、环境、经营风险、信息系统等基本情况。最重要的是掌握信息系统的相关设计、运行以及后续的维护,审计人员不仅仅需要了解被审单位的内部控制体系和制度,而且还要观察和检查各个信息系统模块框架具体功能和流程,必要时实施相关测试,以保证内部控制制度的运行有效性。2、定期审计内部控制。会计信息系统内部控制像是企业信息系统的一员大将,征战于计算机处理过程的各个环节,例如企业各项交易和事项数据的输入、处理和输出,但是越重要的部分越暗藏危机。所以,审计人员应该对企业的信息系统内部控制保持应有的关注,对被审单位信息系统实施控制测试,评价内部控制的健全性和有效性,对数据库实施实质性测试,加强对高风险的交易流程和事项的审查,观察不相容职位是否恰当分离和牵制,检查被审单位信息系统是否运用防火线、扫描系统等先进信息管理技术进行日常维护。3、关注关键风险领域。审计人员如果想有效实现信息系统控制的目标,并且实时掌握内部控制系统中是否存在潜在风险的状况,就必须改进和完善传统审计工作中存在的弊端。然后,借助现代化的电子信息平台,科学合理地对信息系统控制的风险做出及时评价,从而更好地确定内部控制的现状,并且为实际工作中能有效提高财务报告的时效性提供最基础的保障。除此之外,如果信息系统的内部控制状况不佳,且存在一定的缺陷,此时审计人员应结合财务报告中存在的各种缺陷制定相应的完善策略。4、审计人员自我提升及团队共同发展。随着信息系统应用的越来越广泛,熟练掌握审计流程且精通信息技术的复合型审计人才急切被社会和大企业所需要。因此,审计人员应该学习信息技术、互联网和云计算处理方面的专业知识,熟悉信息系统设计程序,以提高自身的专业素养。审计队伍也可以尽可能吸纳计算机技术的专业人才或者咨询有关专家。各大事务所、教育机构和高等院校应将信息系统审计纳入授课范围,直接培养专门对口人才。会计师事务所也要考虑开发自己的审计系统和软件,实现审计系统和被审单位会计信息系统的直接对接,以提高审计效率,降低审计风险。
(二)企业层面的风险应对策略。1、提高信息系统数据的安全性。首先,审计软件的安全系数直接关系到数据的安全,审计软件应具备敏感数据发现、性能审计、风险评估、数据活动监控等功能,以准确评估数据库所面临的风险,所以企业应在软件开发方面加大投入。其次,企业管理层应尽可能提高数据的加密程度,通过对用户的角色设置访问权限,对数据的采集、存储、分析和使用等过程进行管控,严格加密等方式,以较好地确保数据安全。再次,企业需要实行数据分级管理。按重要性把数据划分为若干个等级,不同等级的数据对应不同的授权权限数,借以保护数据安全,尤其是敏感数据的安全。最后,还要规范数据存储问题。2、健全信息系统内部控制制度。由于信息系统具有固有的特性,不能像传统审计控制程序一样环环相扣,这就需要企业管理层建立健全信息系统的内控制度。首先,应当建立不相容职权分离制度,把信息系统维护操作人员与账务处理人员相分离,且各司其职、相互监督,这样不仅会减少系统错误的发生,还会大大降低内部工作人员发生相互串通舞弊的可能性。其次,企业可以成立专门的信息系统审计委员会,作为独立的内部机构直接接受治理层的指挥和管理,促进信息系统的质量优化。
(三)政府层面的风险应对策略。1、加大信息系统风险意识宣传。现如今,企业和社会公众对信息系统安全方面的意识都还不足,为了方便审计工作人员工作顺利开展,提高审计效率,国家和政府相关部门应加强对企业和社会公众的宣传力度,特别是针对信息系统审计的风险评估、风险控制以及防范措施方面,以便加大信息系统审计的受重视程度,大力推动信息系统审计地位在审计领域的提升,从而促进工作能够顺利高效地开展。2、加大审计人才培育力度。为了建立优秀的信息系统审计团队,规范审计人员的职业道德,满足审计信息质量要求,首当其冲的是提高审计人员的综合技能,培养集审计、法律和信息技术专业水平于一身的信息系统复合型审计人员。在完善我国信息系统审计师考试细则和流程方面,我国可以借鉴一些发达国家的相关经验,参照国际相关的审计准则。与此同时,国家教育部应联合各高等院校共同配合,培养高水平复合型专业人才,增加信息系统审计专业的设立。3、完善信息系统审计准则体系。在当前的信息系统审计准则的体系下,我国的信息系统审计都是不具有强制性的,这点是明文规定在《国家审计准则》和《信息系统审计指南》两部法律条文中。由此导致审计人员在实际工作中,特别是在收集必要的审计证据和信息的过程中容易受到多方面的限制,因而审计工作者既出于简化工作程序、规避审计困难的目的,又出于降低审计风险、避免审计责任,在实际工作中大多尽可能减少实施信息系统审计的必要。除此之外,国家有关部门也应尽力完善与信息系统审计人员相关的法律法规、明确审计人员应承担的法律责任。4、设立信息系统审计专门机构。在其他国家的前车之鉴的基础上,绝大部分国家已经设立了专门的信息系统审计规范制定机构。对比我国的情况,多部门都可以制定信息系统审计规范,地方政府及其他组织也可以制定相应的信息系统审计规范,这样将会导致审计规范权威性的削弱。除此之外,还要创建统一的信息系统审计组织机构,以此保证信息系统审计工作能够得到有效的开展和监督。
三、结论
在信息技术日益发展的今天,有效地提升了企业财务工作效率的同时,也提高了注册会计师审计的复杂性,加大了审计风险,由此信息技术给财务报表审计带来了极大的冲击,因此研究我国企业财务报表审计中的信息系统风险和应对措施至关重要。本文针对信息系统的风险,从审计人员自身、企业内部以及政府及相关部门三个层面提出了相关对策,希望能够引发审计人员、企业以及相关学者的深入思考,激励审计人员自我学习和提升,丰富信息系统审计相关法律规范,共同为我国信息系统审计建设更高效、更完善的体系道路。
参考文献:
[1]吴雅倩.大数据环境下的信息系统审计[J].江苏商论,2019(10).
[2]申亚君.浅谈信息系统审计的工作经验[J].信息系统工程,2020(02).
[3]茆敏.浅议信息系统审计风险[J].中国管理信息化,2016(01).
作者:周新宇 耿畅 单位:哈尔滨商业大学
