论信息系统审计的审计风险

祝诗琪

浙江师范师范大学行知学院 浙江金华 321004

论信息系统审计的审计风险

祝诗琪

浙江师范师范大学行知学院 浙江金华 321004

信息系统审计要抓住三个关键点，即安全性、有效性（可靠性）和经济性。由于信息系统本身特点所具有的脆弱性，将使审计遇到风险。审计风险因客户的信息系统和内部控制使用计算机而呈现出新的特征。

信息系统；审计；安全；风险

一、我国信息系统审计发展现状

随着计算机技术、信息技术和网络技术的广泛应用与普及，企业的经营、管理和核算模式正在发生较大的变化，各种计算机管理系统不断涌现，由此引发的企业会计信息系统和经营管理系统的构成要素的变革使审计人员面临的原始资料不再仅仅是手工的凭证、账簿和报表，而是计算机信息系统本身及其高度集中的大量电子数据。在这种情况下，以审查真实性、合法性和效益性为目的的国家审计，不可避免地受到审计对象信息化高速发展所带来的冲击与挑战。

但由于信息系统本身特点所具有的脆弱性，将使审计遇到风险。审计风险因客户的信息系统和内部控制使用计算机而呈现出新的特征。作为科技发展产物的信息系统审计，对审计人员来说是作为一种全新的审计方式，如何降低信息系统审计风险，怎样防范信息系统审计风险，正在成为审计理论和审计实践面临的新课题。

二、信息系统审计范围

信息系统审计范围包括与信息系统有关的所有领域，例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等。

三、信息系统审计的内容和重点审计环节

会计信息系统审计是由会计数据体系、计算机硬件和软件以及系统工作和维护人员组成，所以会计信息系统的审计内容与传统的手工会计系统也存在着较大的差别。会计信息系统审计主要包括以下内容：

（一）对内部控制进行审计

一方面是企业的内部控制能在多大程度上确保会计信息系统中会计记录的正确性和可靠性，如输入、输出的授权控制，业务受理的审核等。另一方面是内部控制的有效执行能在多大程度上保护资产的完整性。通过以上两方面的评价，可以判断企业内部控制系统能在多大程度上防止或发现会计报表中的错误以及经营过程的舞弊。

（二）对会计信息系统程序的审计

会计信息系统的核心就是会计软件。会计软件程序质量的高与低直接决定了会计信息系统整体水平的高低。审计的主要内容是审计会计软件程序对数据进行处理和控制的及时性、正确性和可靠性，以及程序的纠错能力和容错能力。

（三）对会计数据的审计

会计数据处理的真实性、正确性、可靠性直接影响会计信息的真实性、正确性、可靠性，所以会计数据的审计是至关重要的。审计人员可采用抽查原始凭证与机内凭证相对比，抽查打印日记账与机内日记账相核对等方法，同时也可采用利用计算机辅助审计软件的功能来完成审计，从而降低审计风险。

四、信息系统审计风险及策略

关于审计风险，是指当财务报表存在重大错报风险时，注册会计师发表不恰当审计意见的可能性。可以认为审计风险应该包括以下三个层次：审计人员未能觉察出重大错误的风险、审计人员发表了一个不恰当审计意见的风险、审计职业风险。因而信息系统审计风险由固有风险、控制风险和检查风险三个要素组成。

1.存在原始数据被录入错漏的可能性。在信息系统中，大量的基础数据依靠人工录入，如果被录入信息的错漏在信息系统设定值之内，或信息系统未对录入值进行限制校对，就将错误予以掩盖，从而可能产生新的审计风险因素。

2.存在审计线索被减少或消除的可能性。手工环境中，会计处理的每一个步骤都有文字记录和经手人签名，审计线索清晰。但在信息系统环境中，从原始数据录入到报表的自动生成，主要由信息系统完成，存储介质只记录最后处理结果，忽略中间处理过程，数据形成依据的记录减少。

审计风险的防范和控制为了有效地降低网络审计风险，就必须采取相应的防范和控制措施：

（一）加强审计软件的开发

对信息系统审计，如果仍然采用常规的手工系统的那一套审计技术与方法，很难达到审计的目的。为适应会计信息化环境下的各种财务软件的发展，我们必须要提高开发审计软件的速度，加快审计软件更新换代的步伐，开发通用审计软件和专用审计软件，还可以引进计算机审计软件的技术，组织对有推广价值的审计软件进行评审，促进审计软件的商品化。

（二）提高审计风险的防范能力

随着网络系统地运用，信息的载体已经由纸介质过渡到磁性介质。档案保存的风险还很大，而且这种存储媒体是易变的，通过信息技术容易被访问和滥用，犯罪人员可以通过获取口令或非法访问数据库中的所有数据，是存储的信息数据易受舞弊犯罪人员的攻击。这些都增加了审计风险。因此必须采取积极措施进行分险防范，制定各种严格的风险防范规章制度进行规范，包括网络管理规定、系统运行中的安全保密规定、会计核算软件运行管理规定、计算机软件开发的规定等。

（三）加强审计专业人员的培养

会计信息化使审计的范围不断扩大，给审计人员带来了巨大的压力。加快审计人员的知识更新，以适应会计信息化审计的要求。对审计专业人员的培养，既包括对审计人员计算机专业知识的培养和财务知识、审计知识的更新，也包括对计算机人员财务知识和审计知识的培养和计算机知识的更新，促进两者及早合二为一，真正适应会计信息化审计工作的需要。

（指导老师：马林东）