现代信息系统审计风险分析

陈红兰

现代化背景下，随着信息技术、计算机系统和互联网技术的飞速发展，进一步加速了信息化审计发展，而在信息系统审计中也相继暴露出各种全新特征和问题，给信息系统审计带来一定风险。基于该种背景下，需要对信息系统相关审计风险实施深入研究和系统剖析，并针对信息系统审计风险形成有效应对策略，创新审计程序，参考国内外相关理论实践，立足于审计视角出发，形成有效的解决方案。

一、现代信息系统审计风险分析

（一）信息系统自身风险

企业日常业务实际运行中，因为信息审计系统缺少完善的防控机制，相关信息系统可能存在某些故障隐患和安全风险。如果信息系统内存在各种安全漏洞，容易进一步增加企业信息系统运行风险。计算机相关基础硬件设备属于信息审计系统基础载体，如果上述基础载体出现各种运行故障和设备损伤，或所需处理信息数量庞大，容易进一步增加审计阻碍，增加审计风险。网络系统等同于信息系统基础容器，如果网络系统遭受他人恶意攻击，则容易导致信息系统直接被暴露于外部风险环境当中。

（二）审计人员潜在风险

第一，审计人员自身专业能力和执业水平不足

现代化发展背景下，审计人员的综合能力、专业技术水平以及信息系统操作能力会直接影响审计工作质量和审计效果，决定了审计工作是否能够顺利实现现代化转型。结合当前国内审计队伍整体发展建设状况分析，尽管目前我国已初步形成一批能力较强和具备扎实专业技术的优秀审计人才，但审计人员掌握的计算机系统相关理论知识和操作技能依然无法满足现代化信息系统审计要求，导致审计人员出现执业水平和信息系统之间发展不均的问题，从而对信息系统审计产生一定影响，降低审计效果，增加了审计风险。

第二，审计人员个体知识储备不足

信息系统审计属于某种十分复杂的交叉性任务，涉及行为管理、信息系统、专业审计知识以及计算机系统等多种领域学科，为此需要打造复合型审计人才。结合国内审计行业实际发展状况分析，目前我国主要是以专业型人才培养为主，复合型审计人才十分短缺。具体而言，某些审计人才尽管拥有多年审计经验，但接触信息系统和计算机等先进科技的时间相对较短，短期内无法顺利掌握信息系统处理技术，也无法发挥出信息系统审计优势，容易降低审计效率。该种问题也能够进一步体现出国内审计行业工作局限性和先进审计理念的缺乏。国家相关审计单位以及被审计部门应当正确认识信息系统审计并充足重视，充分意识到信息审计系统对国内现代化建设发展积极作用，助力国内信息系统审计的现代化转型。

（三）企业内控缺陷风险

现代企业管理架构下，企业高层管理人员除了需要对企业内各个部门业务人员工作绩效进行科学考核监督，保证财务信息准确性和完善，促进企业资金实现充分利用之外，还需要进一步提升信息系统整体操作的可靠性、稳定性和安全性，保证工作中所用各种组织架构和信息系统得以正常运行。

传统内控措施突出分离各种不相容岗位，传统内控措施下，系统内各个岗位领域未能顺利实现有效分离，无法发挥出不同部门的互相牵制作用。而处于信息审计系统下，各个子系统和单独模块拥有其不同职能范围，对应岗位人员分工主要是联系不同负责领域赋予一定授权。不同于传统模式下的审计工作流程，信息系统审计涉及的相关证据以及信息普遍按照数据形式在系统内进行存储，如果被审计单位信息系统内部控制存在缺陷，将限制审计人员对于各种证据资料的采集工作，导致审计风险进一步扩大。

（四）法律制度风险

第一，缺少专门机构来设计制定相应的审计规范

立足于国家发展视角分析，信息系统相关审计规范主要由国际信息审计系统协会负责设计制定，并组织专门机构对相关准则、规范实施合理设计。而从国内发展层面分析，缺少专门责任机构负责制定信息审计系统各项操作规范。立足于国内信息审计系统现有规范制度分析，具体规范政策制定部门主要包括内部审计协会、审计署、国务院办公厅等多种专业部门。审计规范对应设计制定机构未能实现全面统一，从而降低信息系统在审计方面的权威性和一致性，无法支持信息系统顺利实施各项审计活动。

第二，信息系统在审计工作应用中缺少规范、科学、细致、完善的法律法规机制

我国关于应用信息技术实施审计相关研究时间较短，发展年限有限，为此也尚未针对信息系统审计形成完善的法律法规规范体系。结合现实发展状况分析，国内关于信息系统审计各项制度规范普遍为地方相关政府部门发布具体规范和相关通知，具体内容是以国家权力单位颁发各项审计规范的执行和落实为主，在审计工作规范性执行过程中缺少有效保障机制。

二、现代信息系统审计风险应对策略

（一）创新完善信息审计系统

随着企业财务工作对于信息系统依赖性的逐渐提升，信息系统审计逐渐成为企业内部审计长期性工作。为降低信息系统自身风险，需要企业合理创建完善的信息系统，借助标准评价框架保障整个系统的安全运行，降低系统运行风险，在企业内部审计系统内合理融入标准审计体系，健全企业内部审计机制。借助内部审计、外部审计以及系统管理自主查询等措施提升信息系统操作规范性、科学性和安全性，为企业顺利实现长期稳定发展奠定基础保障。借助相关信息系统标准审计体系，能够规范企业各项审计活动，优化企业内控行为。

在应用信息系统实施审计工作中需要合理应用专门审计软件，审计小组实施信息系统审计中，需要全面整理分析系统内各种信息数据，因为系统内部数据规模庞大，类型多样，进一步扩大了审计人员压力和负担，非标准化的审计标准也进一步扩大了审计难度，为此可以合理应用专业化的数据解析软件，辅助企业创建高效、科学信息分析模型，企业可以结合项目审计发展状况，对解析软件进行合理选择，除去应用专业数据解析软件之外，企业可以考虑在信息系统内添加各种程序分析工具，促进信息系统审计不断优化，转变成大数据审计模式，提升整体审计效果。

大数据审计主要以信息审计为基础，按照相关审计原理，面向社会中的各个企事业单位借助大数据技术实施审计工作，可以更加系统、全面、立体发现各种问题，挖掘出各种隐秘性内容，通过数据显示，从而提升审计结论客观性，优化审计报告效果，激发出审计工作在风险防控中的预警作用。

（二）加强审计人员培训管理

第一，正式开展审计工作前需要开展详细、深入调查工作

审计人员在实施信息系统审计前，需要针对被审计单位的经营状况、现存环境以及企业性质等信息进行全面调查，准确把握信息系统应用状况。同时做好信息系统实际运行、设计以及整体维护工作，审计人员除了需要充分掌握被审计企业现有运行制度以及内控机制之外，还需要进行系统检查和全面观测不同信息系统框架和各个组成模块，熟悉整个信息系统审计流程以及功能作用，在需要条件下还需要开展各种专门测试活动，增强信息系统审计的实效性。

第二，企业内部控制实施定期审计

信息系统内控机制作为信息系统中的重要组成部分，全面融入计算机处理多种环节。比如企业各种活动信息和交易数据的传输、分析和处理工作，往往在各种重要环节内隐藏一定隐患和安全危机，为此需要审计人员重点关注企业信息系统相关内控机制运行。面向被审计单位中的信息系统开展综合测试以及科学控制，对内控机制实效性和完善性进行科学评价；面向数据库系统开展实质性检测，全面审查系统内各种风险事项和交易流程；实时观测系统内各种不相容岗位是否互相牵制和顺利分离；系统检测被审计企业对应信息系统是否应用故障扫描和防火线等技术做好日常维护检查。

第三，重点关注各种核心风险领域

相关审计人员想要促进信息系统顺利实现预期审计目标，准确把握内部控制系统各种风险隐患，做好实时监控工作，需要对传统审计弊端进行不断完善、优化和改进。随后合理利用各种现代化技术和先进的电子信息平台，对信息系统风险进行科学评价，能够充分把握企业内控现状，同时为企业日常经营工作提供可靠、准确的财务报告信息。此外，假如信息系统存在内控不足的问题，以及存在各种问题缺陷，需要审计人员联系企业财务报告各种问题缺漏合理制定有效处理策略。

第四，加强审计队伍共同发展以及审计人员自我提升

在信息系统应用范围持续扩大背景下，精通各种信息技术以及全面把握整个审计流程的人才逐渐受到企业和社会的广泛重视和需求。为此需要相关审计人员主动学习云计算、互联网、计算机和各种先进信息技术等专业知识，了解信息系统整体设计程序，进一步优化自身专业素养。在审计队伍中需要积极吸收信息技术和计算机领域各种专业人才，或直接咨询行业领域专家。各个高等研究院所、教育机构以及事务所需要在授课讲解内容中融入信息系统相关操作内容，培养优秀的专业对口人才。除此之外，相关会计事务所也需要积极研发自身独有的软件设备和审计系统，促进被审计企业和审计单位之间进行顺利对接，优化审计效率，控制审计风险。

（三）健全企业内控管理制度

从提升企业内部控制层面进行相关风险应对主要策略如下：

第一，提升信息系统各种信息数据安全性

信息系统整体安全性会从某种程度上直接影响审计数据安全，为此需要赋予内部审计人员以数据活动监测、风险综合评价、性能审计以及敏感信息搜集等基础功能，对数据库现存风险问题实施科学评估和准确评价。同时企业管理层需要进一步提升相关数据的加密管理，针对不同用户实施合理的角色分层设置，明确不同角色的访问权限，针对信息数据的存储、采集、整合分析以及应用等环节实施全面掌控，做好加密处理，提升系统信息数据安全性。除此之外，企业需要针对不同数据信息实施有效的分级管理，按照不同数据信息的重要程度，将其划分成多种等级，而各个等级信息的授权权限也各不相同，能够更好保障信息安全性，特别是保障各种敏感信息安全性，注重数据的规范存储和科学管理。

第二，进一步优化和完善信息系统内控机制

信息系统存在某种发展特性，无法向传统模式下审计控制程序进行全面衔接和环环相扣，为此需要企业管理者针对信息系统形成合理的内控机制，针对不同岗位职能设计不相容分离制度，促进企业信息系统相关账务处理人员和系统操控维护人员之间实现顺利分离，确保各个岗位人员能够彼此监督和各司其职，如此不但能够进一步控制系统错误几率，同时能够帮助降低企业人员的串通舞弊机率。企业可以组建专业化信息系统审计委员会，充当企业中的独立执行机构，统一接受治理层的管理和指挥，优化信息系统整体审计操作。

（四）政策层面加强风险应对

第一，扩大信息系统相关风险宣传工作，提升风险意识

在现代化发展背景下，社会公众和相关企业单位对于信息系统整体安全操作方面依然存在重视程度不足的问题，为了促进相关工作人员顺利实施各种审计工作，进一步优化审计效率，需要政府部门和国家相关机构加强面向社会大众和企业宣传效果，尤其是针对信息系统审计实施合理的风险控制，加强风险评估，做好风险防控工作，提升信息系统审计整体重视程度，进一步提升审计领域中信息系统功能地位，支持审计工作有序实施。

第二，面向专业审计人才不断扩大教育力度

为了合理创建专业、优质的信息系统审计队伍，对审计人员整体职业道德进行规范管理，优化审计信息质量，需要进一步改善审计人员专业技能和综合水平，培养融合信息技术、法律制度和审计等专业内容于一体的复合型信息系统审计人才。针对国内信息系统审计专业资格考核方面，需要进一步形成完善的考核流程和实施细则，可以充分学习借鉴各个发达国家成功经验，参考国际各种审计标准。此外，国家教育部门需要和其他高等院校之间进行积极配合，共同培养复合型高水准优秀人才，设置信息系统审计相关专业。

第三，针对信息系统审计工作构建完善的操作体系和基础准则

基于现有信息系统相关审计体系下，国内的信息系统审计普遍不存在强制性，这一点也是在《信息系统审计指南》和《国家审计准则》等法律条文中明确标注出来的。由此，使得相关审计人员于工作实践中，以及针对各种审计信息和证据数据进行采集中，容易被各种因素影响，从而限制信息系统审计工作顺利实施。为降低审计方面的法律制度风险，企业可在日常工作实践中开展内部信息系统审计工作。此外，国家相关部门需要结合信息系统相关审计工作进一步健全各项法律政策和制度法规，明确划分审计人员责任职能。

第四，合理设置专门信息系统审计机构

结合其他国家发展经验，大部分国家专门针对信息系统设计相应审计规范，其他组织和地方政府同样可以针对信息系统进一步形成完善规范机制，如此容易进一步增强信息系统审计规范实效性和权威性。除此之外，针对信息系统审计创建统一审计机构，保障信息系统审计顺利实施，做好审计监督管理。

综上所述，随着信息技术的发展，现代财务审计效率得到提升，但同时也使会计审计更加复杂化，增加审计风险。为此需要针对我国当前信息系统审计中的各种风险隐患进行系统分析，形成有效的应对方案，从多种角度层面入手，剖析信息审计问题，促进审计人员通过不断培训学习提升自身专业能力，健全审计工作各项法律政策，打造完善信息审计系统。