信息系统审计风险及其防范与控制
丁祥宏(江苏省海安县审计局)
[摘要]本文结合《中华人民共和国国家审计准则》,从信息系统审计的角度,分析信息系统审计风险涵义、信息系统审计风险的成因、风险环节、风险防范等方面,以期抛砖引玉,促进信息系统审计水平的提高。 [关键词]信息系统审计 风险 防范 控制
当前,各级审计机关的审计环境正面临着较大的变化,尤其是随着计算机信息化技术的推广,被审计单位信息化管理水平越来越高,在对被审计单位财务数据审计中已较难直接发现一些重大问题,使得信息系统审计逐渐成为各级审计机关重要工作方向。所以有必要对信息系统审计中的审计风险进行探索研究,最终将审计风险控制在可以接受程度,从而得了公允的审计结论。本文结合《中华人民共和国国家审计准则》(8号令),从信息系统审计的角度,探导了信息系统审计风险涵义、风险成因、风险环节、风险防范等方面内容,以期抛砖引玉,促进信息系统审计水平的提高。
一、信息系统审计风险涵义及其成因
(一)涵义
信息系统是指单位由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。信息系统进行管理信息的收集、加工、存储、传输、维护和使用,促进了管理工作的提升,其运行过程产生的数据是财务系统核算的基础依据之一。其主要特征有:进入系统必须验证授权;操作系统留有痕迹;系统分为两大模块:系统管理模块、业务管理模块;数据增、删、改、查和备份结果可以导出。
审计风险是指被审计单位财务数据中存在重大错报和漏报,审计人员发表了不恰当审计意见的可能性。审计风险主要由两方面风险构成:一是被审计单位财务数据存在重大错弊未被发现;二是被审计单位实际不存在信息错误,而审计人员作出与客观事实不相适应的结论。
信息系统审计风险是指被审计单位信息系统中因信息系统参数设置不当、业务数据处理过程存在漏洞或者故意设置系统后门,致使信息系统管理的业务数据结果不真实、不完整,形成较大的资金管理漏洞而审计人员未能发现的审计风险,此外,审计报告未能穷尽信息系统审计发现的问题也是审计风险之一。
(二)成因
1、信息系统审计风险的外部原因
(1)经济环境对审计风险的影响。随着经济的发展,被审计单位的行为存在较大的不确定性,主要表现在:政府部门机构改革、管理职能的调整和变化;事业部门既要代行政府管理职能又要从事事业经营;企业存在改组、兼并、重组等事项。这就使审计人员对被审计单位变化状况难以有全面的了解和评价,获取正确结论的难度加大,从而增加了审计风险。
(2)信息系统业务环境对审计风险的影响。被审计单位信息系统主要集成了被审计单位日常经济管理业务,在内部控制制度不全和内部控制制度执行不力情况下,相关业务规范流程未能有效执行,使审计人员不能及时发现问题。
(3)审计业务操作规范的影响。
2011年1月1日起施行的《中华人民共和国国家审计准则》(8号令)对信息系统审计进行了规定,主要条款分布在第二十三条、第六十条、第六十一条、第六十二条、第六十三条、第六十九条、第七十三条、第九十二条,分别从审计人员职业胜任能力、审计调查的内容、内部业务流程、信息系统控制、审计调查方法、审计判断影响因素、审计应对措施、审计获取证据方法等方面进行规定。但上述规定未能针对不同的信息系统数据库特征确定审计分析的重点方向,审计人员自由裁量的余地较大,审计人员运用职业判断保持职业谨慎风险也较大。
(4)信息化技术的应用对审计风险的影响。
信息系统管理环境中,被审计单位经济活动记录已变成了由计算机程序完成,如果程序设计不当和预留有系统后门,或者在业务处理过程中将信息修改、删除、转移,系统虽然留有痕迹,但由于操作日志数据量特别巨大,而审计人员没有及时发现问题,也就加大的审计风险。
2、审计风险形成的内部原因
(1)审计人员的专业水平和道德素质不高。审计工作是一种专业性较高的工作,特别是信息系统审计,对审计人员的技术要求更高,不懂数据库知识,就取不了对审计结果有重大影响的数据,审计结果客观性就无从谈起;不能熟练运用增加、删除、合并多个结果集、更新、子查询、数值转换等数据分析技术,就会很难发现信息系统中存在的问题;如果审计人员职业道德水平较差,发现了问题不披露,审计质量也会受到影响,从而形成审计风险。
(2)被审计单位信息系统内部控制机制较差。内部控制与审计紧紧相联,在信息系统业务处理流程中,如果存在重要岗位未能设计重要控制,或者本应相牵制的(如报销和复核两岗位)未有有效牵制,或者数据库管理员岗位可以从事前台数据操作等问题,审计风险就会加大。
(3)信息系统的复杂化。信息系统的设计者为了确保信息系统的通用性要求,在系统模块可变性,系统可扩张能力的变化性上总是留有余地,而信息系统本身存在用户的多样性,系统授权与岗位职责衔接上的不对称性,这就使信息系统中产生业务记录中不恰当业务的可能性大大提高。
(4)信息系统数据处理中心数据库地域位置的变化。近年来,“云计算”概念风起云涌,被审计单位为了节约系统资源,采用商业模式将信息系统资源由分布式计算机转移到远程数据处理中心服务器上进行数据处理,然后根据需要访问计算机和存储系统。这种变化是信息技术革命性的变化,无疑给审计信息系统提出了更高的技术要求,也带来了较大的审计风险。
二、信息系统审计风险存在的主要环节
(一)审计承诺的风险
要求被审计单位对提供的相关财务数据和业务数据进行真实性、完整性承诺,是近年来各级审计机关降低审计风险的重要措施之一,但信息系统审计中,由于系统数据量特别大,表与表之间关联数据具有多样性,审计人员取得被审计单位的信息系统全部数据的可能性几乎为零。这恰恰是审计人员得出客观、真实审计结论的基础,因此,要求被审计单位承诺也就成了审计风险的源头。
(二)审计抽样的风险
由于被审计单位信息数据海量特征,而有时审计工作由于财力、物力、人力和时间的限制性,难以搭建信息系统的模拟平台,用于对系统进行模拟测试,这就使得在对信息系统审计时不得不大量采用抽样方法,在由样本审计结果推出总体结论时,要达到公允的程度不容易,误差必须控制在可容忍范围内。因此确定合适的样本仍然要求审计人员进行经验判断,也同时增加了审计风险。
(三)审计取证上的风险
《中华人民共和国国家审计准则》(8号令)第二节“审计证据”对审计取证进行了规定,信息系统审计过程中,由于系统后台数据是以代码表示的,在获取审计证据时,取得适当和充分的审计证据尤其重要,在内控制度较健全、信息系统管理员较负责任的单位,审计人员依赖内部证据可以得出证明审计结论的证据,但如果被审计单位信息内部控制不全,以及审计过程中不能得到系统管理员的有效配合,就难以获取与信息系统息息相关的系统控制全部配置参数和反映交易记录的电子数据;有些被审计的信息系统故意设置了系统后门,在获取审计分析数据时,有极大可能性审计人员未能获取全部相关信息。审计取证不足,审计得出的结论就会有失偏颇。
(四)审计报告的风险
审计报告是审计的成果,也是追究审计责任和承担审计风险的具体依据。审计人员的职业道德、审计过程的独立性、审计取证的完整性是得出恰如其分审计报告的关健,信息系统审计报告的撰写除了存在隐瞒不报的风险外,还存在定性依据不恰当、处理处罚依据不合法等风险。
信息系统审计风险的防范和控制
(一)加强审计队伍建设,提高专业素质和道德素养
审计风险的高低在很大程度上取决于审计人员的素质高低。在信息系统审计中,需要大量应用数据库更新、子查询、左联结、函数运用、汇总统计、内联结、数值转换等分析技术,这就要求审计人员必须熟练掌握数据库分析技术。为了防范审计报告中未能穷尽所有查出问题,无论是二级复核还是三级复核人员,都必须掌握相关分析技术。近年来,各级审计机关纷纷组织审计人员参加全国审计系统计算机中级水平考试,该方法不失为提高审计人员技术素质的必要手段,但从培训内容看,主要是针对SQL SERVER数据库内容进行审计分析,而实际审计中,许多被审计单位信息系统后台数据库采用ORICLE 数据库,该数据库较SQL SERVER数据库更复杂,因此应继续加大审计人员计算机分析技术培训力度,不断提高专业水平,以确保审计质量,降低审计风险。
(二)详细了解系统模块构成,掌握业务操作流程
开展详尽的审前调查,除了掌握与被审计单位管理的相关的法规及被审计单位内部出台各项管理规定外,重点在了解信息系统的技术文档和操作手册, 发放信息系统调查表如内控制度调查表、系统前台和数据库操作员姓名、角色权限调查表、系统数据库版本结构和数据终端调查表、系统安全备份调查表、系统用户岗位职责调查表、被审计单位人员名单及人员性质调查表等。对系统模块框架进行了实际观察,印证各流程业务之间的衔接,并掌握待分析的业务数据表及所需分析字段的属性含义、掌握信息系统主要模块功能。同时要掌握与被审计单位业务管理有关的操作流程和规定。
(三)灵活运用多种审计方法
《中华人民共和国国家审计准则》(8号令)第九十二条对审计取证的方法进行了规范,主要有检查、观察、询问、外部调查、重新计算、重新操作、分析等方法。对信息系统审计而言,运用上述方法主要体现在对系统物理控制审计上,要充分运用观察、询问、检查等审计方法,在对信息系统保障产生数据真实性、完整性、可靠性等应用控制审计上,要灵活运用重新计算、重新操作等审计方法对业务管理模块进行有效核查,在对系统保障正常运行的稳定性、有效性、安全性等一般控制审计上,要灵活运用询问、外部调查、分析等审计方法对系统管理模块进行有效核查,通过综合运用上述方法来获取审计证据,所获得审计证据无论从数量上还是从质量上都显得更充分,从而达到降低审计风险的目的。
(四)加强被审计单位的内部控制制度建设
信息系统运行的重要保障前提是相关内部控制制度的有效执行,只有相关业务操作流程规范、操作结果可核查、相关牵制有效,信息系统业务管理模块中的差错才会相对较少,审计风险水平才会可控。审计机关和人员要从如何加强信息系统业务管理、建立和完善内部牵制控制制度等方面提出合理化审计建议,以期保证审计风险可控。
(五)取得信息系统数据库管理员的大力支持
对信息系统审计某种程度上是对信息系统数据库管理员工作的检查,特别是对系统用户授权管理的审计,更是直接对管理员工作的复查,审计人员要解释对授权管理的检查的最终目的是为了检查有无因用户授权不当问题,该问题是否给系统管理的资金形成重大损失。审计人员必须取得被审计单位数据管理员的支持,求得其对审计的理解。
在获取审计分析数据上,要通过观察前台数据模块特点,通过数据库管理员获取有用的审计分析数据,坚决杜绝审计人员直接从系统获取审计分析数据,防范因操作不当引起被审计单位信息系统瘫痪的重大风险。 (丁祥宏)
参考资料:①《中华人民共和国国家审计准则》(8号令)
②《试论审计风险及其防范与控制》---《西安交通大学学报》(2002年第02期)
③《云计算介绍与运用》
当前,各级审计机关的审计环境正面临着较大的变化,尤其是随着计算机信息化技术的推广,被审计单位信息化管理水平越来越高,在对被审计单位财务数据审计中已较难直接发现一些重大问题,使得信息系统审计逐渐成为各级审计机关重要工作方向。所以有必要对信息系统审计中的审计风险进行探索研究,最终将审计风险控制在可以接受程度,从而得了公允的审计结论。本文结合《中华人民共和国国家审计准则》(8号令),从信息系统审计的角度,探导了信息系统审计风险涵义、风险成因、风险环节、风险防范等方面内容,以期抛砖引玉,促进信息系统审计水平的提高。
一、信息系统审计风险涵义及其成因
(一)涵义
信息系统是指单位由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。信息系统进行管理信息的收集、加工、存储、传输、维护和使用,促进了管理工作的提升,其运行过程产生的数据是财务系统核算的基础依据之一。其主要特征有:进入系统必须验证授权;操作系统留有痕迹;系统分为两大模块:系统管理模块、业务管理模块;数据增、删、改、查和备份结果可以导出。
审计风险是指被审计单位财务数据中存在重大错报和漏报,审计人员发表了不恰当审计意见的可能性。审计风险主要由两方面风险构成:一是被审计单位财务数据存在重大错弊未被发现;二是被审计单位实际不存在信息错误,而审计人员作出与客观事实不相适应的结论。
信息系统审计风险是指被审计单位信息系统中因信息系统参数设置不当、业务数据处理过程存在漏洞或者故意设置系统后门,致使信息系统管理的业务数据结果不真实、不完整,形成较大的资金管理漏洞而审计人员未能发现的审计风险,此外,审计报告未能穷尽信息系统审计发现的问题也是审计风险之一。
(二)成因
1、信息系统审计风险的外部原因
(1)经济环境对审计风险的影响。随着经济的发展,被审计单位的行为存在较大的不确定性,主要表现在:政府部门机构改革、管理职能的调整和变化;事业部门既要代行政府管理职能又要从事事业经营;企业存在改组、兼并、重组等事项。这就使审计人员对被审计单位变化状况难以有全面的了解和评价,获取正确结论的难度加大,从而增加了审计风险。
(2)信息系统业务环境对审计风险的影响。被审计单位信息系统主要集成了被审计单位日常经济管理业务,在内部控制制度不全和内部控制制度执行不力情况下,相关业务规范流程未能有效执行,使审计人员不能及时发现问题。
(3)审计业务操作规范的影响。
2011年1月1日起施行的《中华人民共和国国家审计准则》(8号令)对信息系统审计进行了规定,主要条款分布在第二十三条、第六十条、第六十一条、第六十二条、第六十三条、第六十九条、第七十三条、第九十二条,分别从审计人员职业胜任能力、审计调查的内容、内部业务流程、信息系统控制、审计调查方法、审计判断影响因素、审计应对措施、审计获取证据方法等方面进行规定。但上述规定未能针对不同的信息系统数据库特征确定审计分析的重点方向,审计人员自由裁量的余地较大,审计人员运用职业判断保持职业谨慎风险也较大。
(4)信息化技术的应用对审计风险的影响。
信息系统管理环境中,被审计单位经济活动记录已变成了由计算机程序完成,如果程序设计不当和预留有系统后门,或者在业务处理过程中将信息修改、删除、转移,系统虽然留有痕迹,但由于操作日志数据量特别巨大,而审计人员没有及时发现问题,也就加大的审计风险。
2、审计风险形成的内部原因
(1)审计人员的专业水平和道德素质不高。审计工作是一种专业性较高的工作,特别是信息系统审计,对审计人员的技术要求更高,不懂数据库知识,就取不了对审计结果有重大影响的数据,审计结果客观性就无从谈起;不能熟练运用增加、删除、合并多个结果集、更新、子查询、数值转换等数据分析技术,就会很难发现信息系统中存在的问题;如果审计人员职业道德水平较差,发现了问题不披露,审计质量也会受到影响,从而形成审计风险。
(2)被审计单位信息系统内部控制机制较差。内部控制与审计紧紧相联,在信息系统业务处理流程中,如果存在重要岗位未能设计重要控制,或者本应相牵制的(如报销和复核两岗位)未有有效牵制,或者数据库管理员岗位可以从事前台数据操作等问题,审计风险就会加大。
(3)信息系统的复杂化。信息系统的设计者为了确保信息系统的通用性要求,在系统模块可变性,系统可扩张能力的变化性上总是留有余地,而信息系统本身存在用户的多样性,系统授权与岗位职责衔接上的不对称性,这就使信息系统中产生业务记录中不恰当业务的可能性大大提高。
(4)信息系统数据处理中心数据库地域位置的变化。近年来,“云计算”概念风起云涌,被审计单位为了节约系统资源,采用商业模式将信息系统资源由分布式计算机转移到远程数据处理中心服务器上进行数据处理,然后根据需要访问计算机和存储系统。这种变化是信息技术革命性的变化,无疑给审计信息系统提出了更高的技术要求,也带来了较大的审计风险。
二、信息系统审计风险存在的主要环节
(一)审计承诺的风险
要求被审计单位对提供的相关财务数据和业务数据进行真实性、完整性承诺,是近年来各级审计机关降低审计风险的重要措施之一,但信息系统审计中,由于系统数据量特别大,表与表之间关联数据具有多样性,审计人员取得被审计单位的信息系统全部数据的可能性几乎为零。这恰恰是审计人员得出客观、真实审计结论的基础,因此,要求被审计单位承诺也就成了审计风险的源头。
(二)审计抽样的风险
由于被审计单位信息数据海量特征,而有时审计工作由于财力、物力、人力和时间的限制性,难以搭建信息系统的模拟平台,用于对系统进行模拟测试,这就使得在对信息系统审计时不得不大量采用抽样方法,在由样本审计结果推出总体结论时,要达到公允的程度不容易,误差必须控制在可容忍范围内。因此确定合适的样本仍然要求审计人员进行经验判断,也同时增加了审计风险。
(三)审计取证上的风险
《中华人民共和国国家审计准则》(8号令)第二节“审计证据”对审计取证进行了规定,信息系统审计过程中,由于系统后台数据是以代码表示的,在获取审计证据时,取得适当和充分的审计证据尤其重要,在内控制度较健全、信息系统管理员较负责任的单位,审计人员依赖内部证据可以得出证明审计结论的证据,但如果被审计单位信息内部控制不全,以及审计过程中不能得到系统管理员的有效配合,就难以获取与信息系统息息相关的系统控制全部配置参数和反映交易记录的电子数据;有些被审计的信息系统故意设置了系统后门,在获取审计分析数据时,有极大可能性审计人员未能获取全部相关信息。审计取证不足,审计得出的结论就会有失偏颇。
(四)审计报告的风险
审计报告是审计的成果,也是追究审计责任和承担审计风险的具体依据。审计人员的职业道德、审计过程的独立性、审计取证的完整性是得出恰如其分审计报告的关健,信息系统审计报告的撰写除了存在隐瞒不报的风险外,还存在定性依据不恰当、处理处罚依据不合法等风险。
信息系统审计风险的防范和控制
(一)加强审计队伍建设,提高专业素质和道德素养
审计风险的高低在很大程度上取决于审计人员的素质高低。在信息系统审计中,需要大量应用数据库更新、子查询、左联结、函数运用、汇总统计、内联结、数值转换等分析技术,这就要求审计人员必须熟练掌握数据库分析技术。为了防范审计报告中未能穷尽所有查出问题,无论是二级复核还是三级复核人员,都必须掌握相关分析技术。近年来,各级审计机关纷纷组织审计人员参加全国审计系统计算机中级水平考试,该方法不失为提高审计人员技术素质的必要手段,但从培训内容看,主要是针对SQL SERVER数据库内容进行审计分析,而实际审计中,许多被审计单位信息系统后台数据库采用ORICLE 数据库,该数据库较SQL SERVER数据库更复杂,因此应继续加大审计人员计算机分析技术培训力度,不断提高专业水平,以确保审计质量,降低审计风险。
(二)详细了解系统模块构成,掌握业务操作流程
开展详尽的审前调查,除了掌握与被审计单位管理的相关的法规及被审计单位内部出台各项管理规定外,重点在了解信息系统的技术文档和操作手册, 发放信息系统调查表如内控制度调查表、系统前台和数据库操作员姓名、角色权限调查表、系统数据库版本结构和数据终端调查表、系统安全备份调查表、系统用户岗位职责调查表、被审计单位人员名单及人员性质调查表等。对系统模块框架进行了实际观察,印证各流程业务之间的衔接,并掌握待分析的业务数据表及所需分析字段的属性含义、掌握信息系统主要模块功能。同时要掌握与被审计单位业务管理有关的操作流程和规定。
(三)灵活运用多种审计方法
《中华人民共和国国家审计准则》(8号令)第九十二条对审计取证的方法进行了规范,主要有检查、观察、询问、外部调查、重新计算、重新操作、分析等方法。对信息系统审计而言,运用上述方法主要体现在对系统物理控制审计上,要充分运用观察、询问、检查等审计方法,在对信息系统保障产生数据真实性、完整性、可靠性等应用控制审计上,要灵活运用重新计算、重新操作等审计方法对业务管理模块进行有效核查,在对系统保障正常运行的稳定性、有效性、安全性等一般控制审计上,要灵活运用询问、外部调查、分析等审计方法对系统管理模块进行有效核查,通过综合运用上述方法来获取审计证据,所获得审计证据无论从数量上还是从质量上都显得更充分,从而达到降低审计风险的目的。
(四)加强被审计单位的内部控制制度建设
信息系统运行的重要保障前提是相关内部控制制度的有效执行,只有相关业务操作流程规范、操作结果可核查、相关牵制有效,信息系统业务管理模块中的差错才会相对较少,审计风险水平才会可控。审计机关和人员要从如何加强信息系统业务管理、建立和完善内部牵制控制制度等方面提出合理化审计建议,以期保证审计风险可控。
(五)取得信息系统数据库管理员的大力支持
对信息系统审计某种程度上是对信息系统数据库管理员工作的检查,特别是对系统用户授权管理的审计,更是直接对管理员工作的复查,审计人员要解释对授权管理的检查的最终目的是为了检查有无因用户授权不当问题,该问题是否给系统管理的资金形成重大损失。审计人员必须取得被审计单位数据管理员的支持,求得其对审计的理解。
在获取审计分析数据上,要通过观察前台数据模块特点,通过数据库管理员获取有用的审计分析数据,坚决杜绝审计人员直接从系统获取审计分析数据,防范因操作不当引起被审计单位信息系统瘫痪的重大风险。 (丁祥宏)
参考资料:①《中华人民共和国国家审计准则》(8号令)
②《试论审计风险及其防范与控制》---《西安交通大学学报》(2002年第02期)
③《云计算介绍与运用》
| 【关闭】 【打印】 |
