IT審計風險構(gòu)成及防范措施探究,職稱論文

IT審計風險構(gòu)成及防范措施探究,職稱論文內(nèi)容摘要：對于組織經(jīng)營管理而言,問題的預防作用勝于問題的解決,對IT審計風險的預防更重要?，F(xiàn)對IT審計的特點以及IT審計風險的構(gòu)成進行分析,并提出了降低IT審計的固有風險;降低IT審計的控制風險;降低IT審計的檢查風險等防備措施。本文關(guān)鍵詞語：IT審計,審計的風險,防備措施一、IT審計的特點(一)IT審計是一個經(jīng)過IT審計是通過獲取的證據(jù)判定信息系統(tǒng)能否能保證資產(chǎn)的安全、數(shù)據(jù)的完好和組織目的的實現(xiàn),其貫穿于整個信息系統(tǒng)生命周期的全經(jīng)過。(二)IT審計的對象綜合且復雜IT審計從縱向(生命周期)看,覆蓋了信息系統(tǒng)從開發(fā)、運行、維護到報廢的全生命周期的各種業(yè)務。從橫向(各階段截面)看,其包含對軟硬件的獲取審計、應用程序?qū)徲嫛踩珜徲嫷取T審計將審計對象從財務范疇擴展到了同經(jīng)營活動有關(guān)的一切信息系統(tǒng)。(三)IT審計拓寬了傳統(tǒng)審計的目的傳統(tǒng)審計目的僅僅包括對被審計單位會計報表的合法性、公允性及會計處理方式方法的一貫性發(fā)表審計意見。但IT審計除了上述目的外,還包括信息資產(chǎn)的安全性、數(shù)據(jù)的完好性及系統(tǒng)的可靠性、有效性和效率性。(四)IT審計是一種基于風險基礎審計的理論和方式方法IT審計從基于控制的方式方法演變?yōu)榛陲L險的方式方法,其內(nèi)涵包括組織風險管理的整體框架,如內(nèi)部環(huán)境的控制、目的的設定、風險事項的辨別、風險的評估、風險的管理與應對、信息與溝通以及對風險的監(jiān)控。二、IT審計風險的構(gòu)成(一)IT審計的固有風險IT審計的固有風險是指在不對信息系統(tǒng)部署任何控制措施情況下,信息系統(tǒng)本身所具有的風險。IT審計的固有風險是計算機系統(tǒng)本身所固有的,審計人員只能評估,卻無法控制或影響它。計算機固有風險的衡量是主觀的、復雜的。不同的計算機系統(tǒng)其固有風險水平不同。計算機硬件故障或軟件缺乏,易造成會計資料的損壞和丟失,導致會計數(shù)據(jù)處理經(jīng)過中發(fā)生偶發(fā)錯誤。計算時機計系統(tǒng)的高度集成,導致了系統(tǒng)的復雜性、依靠性和脆弱性,數(shù)據(jù)容易被修改和盜取。用磁性介質(zhì)存儲會計資料,其穩(wěn)定性和安全性較差,計算機病毒的損害容易造成會計數(shù)據(jù)丟失。系統(tǒng)管理人員的技術(shù)達不到管理系統(tǒng)所要求的水平,出現(xiàn)了技術(shù)應用和管理錯誤。系統(tǒng)管理人員由于特殊原因此擅自更改會計數(shù)據(jù),或蓄意毀壞、摧毀計算時機計系統(tǒng)。(二)IT審計的檢查風險IT審計的檢查風險能夠通過調(diào)整本質(zhì)性測試來進行控制,影響計算機審計檢查風險的因素本質(zhì)上是由于計算機審計規(guī)范不完善,審計人員本身或者技術(shù)原因造成的影響本質(zhì)性測試正確性的各種因素。1.人員操作風險。審計人員在對會計信息系統(tǒng)進行審計時,由于過分依靠計算機運行得出的結(jié)果,而沒有對審計線索進行檢查。審計人員由于知識不夠或業(yè)務不熟,無法跟蹤審計,遺漏了審計證據(jù)。審計人員不了解會計信息系統(tǒng)的特點,不能審查辨別其內(nèi)部程序控制。2.審計軟件風險。這種風險是指由于計算機軟件本身缺陷原因造成的風險。主要包括計算機審計技術(shù)的開發(fā)和推廣落后于計算時機計技術(shù),并且技術(shù)含量偏低。研究開發(fā)人員對審計業(yè)務的不熟悉。沒有經(jīng)過相關(guān)部門鑒定,導致軟件運行有風險。審計軟件與會計軟件的接口不匹配,導致數(shù)據(jù)不能導出。審計軟件配套升級滯后,影響了審計效率和質(zhì)量。3.管理風險。指的是對計算機審計管理制度不健全、不完善而導致的風險。主要包括缺乏相關(guān)的計算機審計操作規(guī)范,導致審計人員各行其是,審計目的、內(nèi)容和手段等各不一樣,管理風險增大。(三)IT審計的控制風險IT審計的控制風險是指在計算機系統(tǒng)運行中可能出現(xiàn)的重大錯誤,影響了單位經(jīng)濟活動描繪敘述的真實性,沒能被計算機軟件的程序化控制及時發(fā)現(xiàn)或防止的風險。IT審計的控制風險大小主要與會計系統(tǒng)程序化設計的科學性、合理性和穩(wěn)健性相聯(lián)絡。1.系統(tǒng)數(shù)據(jù)風險。會計數(shù)據(jù)在錄入時缺乏嚴格的控制,采用虛假、篡改和延遲等手段造成錯誤數(shù)據(jù)。數(shù)據(jù)存儲高度集中,卻缺乏嚴格的分級閱讀控制。會計數(shù)據(jù)的處理責任大部分集中于計算機系統(tǒng)中,集中程度越高,會計風險越大。2.系統(tǒng)環(huán)境風險。包括軟件環(huán)境風險和硬件環(huán)境風險,一方面是由于計算機信息系統(tǒng)的復雜性以及會計系統(tǒng)的聯(lián)網(wǎng)性,另一方面則是由于計算機設備的多樣化,進而導致系統(tǒng)環(huán)境風險的增大,3.系統(tǒng)控制風險。由于會計系統(tǒng)的內(nèi)部控制不嚴密造成的風險,系統(tǒng)控制是指在人和機器的雙重控制下,還需要建立外部網(wǎng)和網(wǎng)上交易的安全控制。審計人員需要對這些內(nèi)容進行外部控制測試,難度很大。三、IT審計風險的防備措施對IT審計風險的防備能夠從微觀和宏觀兩個方面進行。微觀上,不僅應努力提高審計人員的計算機審計技術(shù)和水平,在審計中選擇恰當?shù)膶徲嫾夹g(shù)和方式方法,完善被審計單位的內(nèi)部控制水平。宏觀方面,應盡快完善并推廣通用的計算機軟件,同時建立健全的計算機審計準則和標準,還要不斷創(chuàng)新計算機審計理論研究。(一)降低IT審計的固有風險1.完善審計軟件的設計,降低審計線索減少或消失的可能性。一是加強操作的慎重性,只要在打印或存檔后才允許刪除。二是設置強迫備份,防止數(shù)據(jù)丟失。三是未經(jīng)許可不得更改報表的取數(shù)公式。取消反過賬反結(jié)賬的功能,記錄報表打印的次數(shù)。2.改良數(shù)據(jù)錄入技術(shù),降低錯誤的可能性。一是盡量采取掃描錄入,留有紙質(zhì)備份。二是對于重要的憑證、報表要存盤,方便以后查閱。三是盡量使用自動轉(zhuǎn)賬功能,保證數(shù)據(jù)的完好準確。3.加強內(nèi)部控制機制,減少會計數(shù)據(jù)被修改、刪除和盜用的可能性。一是要配備性能優(yōu)良的硬件設備,如增加數(shù)據(jù)備份,增加數(shù)據(jù)加密和設置防火墻等。二是得到后續(xù)軟件支持。三是建立安全穩(wěn)定的運行環(huán)境,合理設置加密關(guān)口和防火墻。四是加強組織人員素質(zhì),完善規(guī)章制度。(二)降低IT審計的控制風險1.根據(jù)不同的操作權(quán)限設置密碼,提高約束機制的作用。首先,系統(tǒng)管理員為不同崗位的會計人員設置不同的權(quán)限和初始密碼。其次,會計人員在獲得權(quán)限后更改密碼。最后,要嚴格控制操作權(quán)限的設置。2.建立組織和銀行之間的網(wǎng)絡連接,減少數(shù)據(jù)不一致的可能性。一是對組織內(nèi)部的會計業(yè)務自動掃描原始憑證,依靠軟件自動生成記賬憑證。二是對組織和銀行之間的業(yè)務建立網(wǎng)絡連接,傳送實時數(shù)據(jù),保證數(shù)據(jù)的同步一致。3.提高網(wǎng)絡通信的效率,做好及時維護,保證系統(tǒng)的正常運行。一是選取性能良好的網(wǎng)絡平臺和配套傳輸設備。二是選擇運行良好的會計軟件。提高審計人員的計算機使用水平,保證能準確無誤的操作系統(tǒng)。(三)降低IT審計的檢查風險1.被審計單位應主動與審計師進行溝通,對歷史文件采取統(tǒng)一的存儲格式,降低文件無法閱讀的可能性。一是針對不同時期版本的會計軟件,備份數(shù)據(jù)時要采取統(tǒng)一的格式,以方便審計人員進行審計。二是制定會計軟件相關(guān)的行業(yè)標準,統(tǒng)一數(shù)據(jù)格式和外部接口。2.設計一套能使檢查風險降到最低的審計檢查程序。一是檢查被審計單位的權(quán)限設置,對操作日志進行審查,尋找疑點。二是檢查被審計單位的取數(shù)公式。三是進行賬實核對、賬證核對、賬賬核對和賬表核對。四是檢查內(nèi)部控制制度的完好性和會計政策的一貫性。IT審計是會計信息化的必然要求,審計人員首先要對IT審計風險理論進行系統(tǒng)的研究,構(gòu)建IT審計風險理論體系,用理論指導實踐,加強人們對IT審計風險的認識。其次,要加強審計人員的審計風險教育,強化防備IT審計風險的意識,積極糾正IT審計出現(xiàn)的問題,營造良好的IT審計關(guān)系,有效防備IT審計風險。以下為參考文獻[1]徐經(jīng)緯.淺淡計算機審計風險及其