信息系统审计风险控制研究.docVIP

信息系统审计风险控制研究 摘要：近年来，随着互联网时代的到来，使得信息技术日益成熟，但尽管是在互联网技术使用广泛的当下，信息系统的审计风险问题仍然存在。无论是固有风险、控制风险还是检查风险，这些信息系统审计风险，都在一定程度上影响和限制了信息系统的有效运作。COBIT控制理念作为信息系统审计风险控制体系的重要理念，对其起到启示和优化建设作用。 关键词：COBIT;控制理念;信息系统;审计;风险控制 基于COBIT控制理念，COBIT控制理念的控制目标主要分为五点。第一是高效性，通过最高层或最经济的模式，利用现有资源来提供充分的信息，实现信息系统信息对称性的强化。第二是机密性，对于涉及敏感话题的信息予以保护，对于未经授权的信息和话题等进行有效维护，尽可能避免隐私或敏感信息被披露。第三是完整性，通过精准完全的信息，实现有效的商业评价或期望。第四是可用性，在应对商业处理需求时，信息是切实可用的。第五是准时信息可靠性，他们为管理者日常经营管理提供有效的信息基础。COBIT控制理念对信用系统审计风险控制体系的形成有直接贡献。 1信息系统审计风险的类别和特征 1.1固有风险。所谓固有风险，通常是由于企业自身缘故而导致的风险，这部分风险与信息系统审计并没有直接关系。当企业经营管理过程中，企业信息系统没有内部控制，信息系统就可能存在安全隐患，这些安全漏洞会导致企业信息系统面临较大的风险。一般来说，固有风险包括系统设计风险、系统风险和系统环境风险，我们从不同的角度对信息系统本身做出综合分析，系统设计风险，主要是基于信息不对称问题做出考虑。1.2控制风险。所谓控制风险，它与企业信息系统审计业务直接关联，通常是企业信息出现重大错误，内部控制人员却未能及时纠正或防止该错误而导致的风险。在现代化发展过程中，互联网时代的到来，使得各行各业对互联网技术的应用不断增多，信息系统的普及度也日益增广。但尽管是在这样的前提下，部分企业仍然疏于对信息系统数据处理的高度重视，处理流程和控制程序方面存在一定的限制。无论是约束机制失效风险，还是系统数据安全性风险，都会对信息系统本身造成威胁。1.3检查风险。所谓检查风险，它与信息系统审计有直接关联，通常是指信息系统审计人员在加强信息数据筛选和审核时，对于实质性测试工具未发挥有效作用，相关测试程序也未能检查出系统风险。通常来说，当审计人员职业能力水平较低时，他们可能由于信息系统过于复杂，而无法实现有效的安全隐患防范。除此之外，当审计人员出现职业道德问题时，他们也不能在信息系统环境下实现职业操守与职业机密。换言之，审计人员所选择的审计方法和审计程序，并不足以让他们完成相应的审计任务，审计过程中所存在的检查风险就会比较突出。 2信息系统审计风险形成的原因分析 2.1信息化审计环境过于波动。基于目前的发展，信息系统审计风险之所以存在，这主要是由于信息化环境过于波动，在电子数据容易被更改或破坏的前提下，信息系统的审计管理是相对困难的。当审计工作人员需要在现有的信息系统基础上，筛选和整理与信息系统审计风险相关的数据资料，做好有效的数据分析和整理时，一旦他们所获取的电子数据是已被更改或破坏的，信息系统审计证据的采集就会受到限制。尤其是在信息化审计环境过于波动的前提下，信息系统环境风险不断加大，当信息系统的设计本身存在缺陷时，审计工作人员无法根据波动的环境，做好有效的信息筛选，信息系统审计风险由此产生。2.2信息系统审计缺少规范的法律法规。任何行业的发展都需要有相应的法律法规和审计准则为之提供保障，但从目前的发展来看，审计准则只针对一般行业有所限定，对于信息系统却未做出有效的审计管理，相关法律法规也不够健全。在日常加强信息系统审计风险控制与管理过程中，审计工作人员只能按照既定的条例完成相应的审计工作，他们没有办法参照健全的法律法规或审计准则，实现对审计业务执行的规范化操作，此时，部分审计工作人员就由于执业规范性的缺失，出现审计工作质量上的疏忽，信息系统审计风险的加大是显而易见的。2.3审计人员执业水平与信息系统发展。不协调在现代化发展过程中，各行各业都追求德智体美劳全方位发展的优秀人才，信息系统审计人才队伍建设也不例外。但基于当前的发展，审计人员执业水平与信息系统发展不协调，这在很大程度上限制了信息系统审计风险控制的效果。在前期发展过程中，信息系统审计难度较小，审计人员能够以目前已有的执业水平完成相应的审计工作，但在发展进入到中后期时，信息系统审计难度不断加大，审计人员需要提升原有的执业水平，以适应新阶段的新系统发展需求，但从实际发展来看，只有少部分审计人员通过系统地学习提升了个人水准，大部分审计人员的执业水平仍不太协调。2.4审计人员个体知识掌握薄弱。随着信息系统复