□文/周新宇 耿 暢

（哈爾濱商業(yè)大學 黑龍江·哈爾濱）

［提要］ 當今時代，信息技術(shù)的飛速發(fā)展導(dǎo)致信息系統(tǒng)審計風險也發(fā)生翻天覆地的變化，呈現(xiàn)出一些新問題和新特點。在此背景下，全面的認識和剖析信息系統(tǒng)審計風險，如何優(yōu)化審計程序大大降低審計風險便成為值得思考的課題。目前，部分國家對信息系統(tǒng)審計的研究和應(yīng)用已經(jīng)相對成熟，我國可以把研究重點放在注冊會計師層面的信息系統(tǒng)審計上，同時借鑒國外的理論與實務(wù)。國內(nèi)相關(guān)學者已經(jīng)就信息系統(tǒng)相關(guān)內(nèi)容進行總結(jié)并且各有創(chuàng)新，但是主要都是涉及企業(yè)內(nèi)部控制方面的。所以，從社會審計角度出發(fā)進行有關(guān)信息系統(tǒng)審計風險的研究勢在必行。

一、現(xiàn)代信息系統(tǒng)審計存在的風險及成因

（一）信息系統(tǒng)自身固有的風險。在企業(yè)的日常經(jīng)營活動中，如果信息系統(tǒng)存在安全隱患通常是由于企業(yè)信息系統(tǒng)沒有建立嚴謹?shù)膬?nèi)部控制，這些安全漏洞會導(dǎo)致企業(yè)信息系統(tǒng)面臨較大的風險。因為計算機等硬件設(shè)備相當于信息系統(tǒng)的載體，一旦發(fā)生損壞和故障或涉及的數(shù)據(jù)信息是重大的，將會給審計工作帶來重重阻礙，大大增加了審計風險。而網(wǎng)絡(luò)相當于信息系統(tǒng)的容器，一旦被人惡意攻擊，那么信息系統(tǒng)也將暴露在風險之中。

（二）審計人員潛在的風險

1、審計人員執(zhí)業(yè)水平有待提高。在現(xiàn)代化發(fā)展過程中，審計工作能否高質(zhì)量現(xiàn)代化地完成，同當前的審計工作專業(yè)能力以及綜合水平具有非常緊密的聯(lián)系。從當前我國審計人員隊伍建設(shè)以及發(fā)展現(xiàn)狀來看，雖然已經(jīng)擁有了一定的量具有專業(yè)知識水平和能力的現(xiàn)代化人才，但是鞭長不及馬腹，審計人員在對計算機知識的掌握以及技能的提升程度遠遠不夠，執(zhí)業(yè)水平也與信息系統(tǒng)發(fā)展不相協(xié)調(diào)，這在很大程度上限制了信息系統(tǒng)審計風險控制的效果。

2、審計人員個體知識掌握薄弱。信息系統(tǒng)審計本身具有交叉復(fù)合型，建立在計算機技術(shù)、審計專業(yè)知識、信息系統(tǒng)、行為管理等多個學科之上，因此需要的相關(guān)審計人員也是復(fù)合型審計人才。但從我國的實際情況來看，復(fù)合型審計人才處于極度匱乏的情況。具體來說，部分審計人員雖然是從業(yè)多年的審計師，但是對計算機、信息系統(tǒng)等科技領(lǐng)域并不熟悉，短時間內(nèi)很難掌握信息系統(tǒng)的操作，不僅不能利用信息系統(tǒng)審計的優(yōu)勢，反而影響實際審計工作的效率。出現(xiàn)這種現(xiàn)象表明了當前我國審計工作的發(fā)展并不完善，審計理念不夠先進，國家的審計部門以及被審計單位都沒有對信息系統(tǒng)審計工作的重要性給予一定的重視，也不理解信息系統(tǒng)審計工作對我國社會主義現(xiàn)代化發(fā)展帶來的推動作用，因此在很大程度上制約著我國現(xiàn)代化信息系統(tǒng)審計工作的開展和發(fā)展。

（三）企業(yè)內(nèi)部控制引發(fā)的風險

1、企業(yè)缺乏復(fù)合型管理人員。在網(wǎng)絡(luò)信息系統(tǒng)下，企業(yè)管理層除了要監(jiān)督考核公司內(nèi)部各部門人員的工作效率，確保財務(wù)信息的真實可靠，使企業(yè)資金得到合理利用，還要確保管理信息系統(tǒng)的安全可靠以及電子設(shè)備的正常運轉(zhuǎn)。但是，由于當前學校培育的是專業(yè)型人才，導(dǎo)致社會復(fù)合型技術(shù)人才的缺失，大部分企業(yè)都雇傭不到精通信息技術(shù)與財務(wù)的專業(yè)管理人員，由此加大了審計風險。

2、企業(yè)內(nèi)部控制受到限制。傳統(tǒng)的企業(yè)內(nèi)部控制強調(diào)不相容的崗位相分離，而在會計信息系統(tǒng)下，不同的模塊或子系統(tǒng)，有各自的職責范圍，相關(guān)人員責任分工是根據(jù)其負責的范疇給予相應(yīng)的授權(quán)。這導(dǎo)致不同程度地出現(xiàn)傳統(tǒng)不相容崗位在系統(tǒng)中授權(quán)未實現(xiàn)分離和牽制的情況，不利于企業(yè)內(nèi)部控制信息系統(tǒng)的建設(shè)。與傳統(tǒng)審計流程不同，信息系統(tǒng)審計的信息和證據(jù)都以數(shù)據(jù)的形式存在于存儲系統(tǒng)中，企業(yè)開發(fā)內(nèi)部控制系統(tǒng)也會面臨相當大的困難和成本，審計人員收集所需的審計證據(jù)也因此受到限制，從而一定程度上加大了審計風險。

（四）國家法律制度引發(fā)的風險

1、審計規(guī)范制定專門機構(gòu)尚缺乏。從國際范圍內(nèi)來看，信息系統(tǒng)審計的規(guī)范主要由國際信息系統(tǒng)審計協(xié)會（ISACA）制定，即由專門的機構(gòu)來制定審計規(guī)范及相關(guān)準則。但從我國內(nèi)部來看，并沒有專門的領(lǐng)導(dǎo)機構(gòu)負責信息系統(tǒng)審計規(guī)范的制定。從現(xiàn)有的信息系統(tǒng)審計規(guī)范來看，制定機構(gòu)主要有國務(wù)院辦公廳、審計署、內(nèi)部審計協(xié)會等多個部門。審計規(guī)范制定機構(gòu)尚未統(tǒng)一必然會影響信息系統(tǒng)審計規(guī)范的一致性和權(quán)威性，不利于信息系統(tǒng)審計相關(guān)活動的有效開展。

2、信息系統(tǒng)審計法律制度不規(guī)范。我國的信息技術(shù)審計的發(fā)展年限并不長，因此信息系統(tǒng)審計相關(guān)的法律法規(guī)也并不完善，信息系統(tǒng)審計的規(guī)范體系并未建立。從現(xiàn)在來看，我國信息系統(tǒng)審計規(guī)范主要有2009年實施的《內(nèi)部審計具體準則第28號——信息系統(tǒng)審計》以及更早的一些通知和規(guī)范，2014年開始實施的《第22203號內(nèi)部審計具體準則——信息系統(tǒng)審計》，2019年國務(wù)院辦公廳發(fā)布的《關(guān)于利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》等。除了上文提到的信息系統(tǒng)審計規(guī)范之外，我國一般都是地方部門發(fā)布相關(guān)的通知或者規(guī)范，主要內(nèi)容是對國家權(quán)力機關(guān)發(fā)布的審計規(guī)范的具體實施或執(zhí)行，而對審計規(guī)范實施的保障性內(nèi)容并不多。如果審計人員缺乏足夠的專業(yè)勝任能力和豐富的經(jīng)驗，導(dǎo)致完全遵循硬性的且不健全的審計法規(guī)或準則，由此發(fā)生的疏忽或漏洞的可能性大大增加。

二、信息系統(tǒng)審計風險應(yīng)對策略

（一）審計人員層面的風險應(yīng)對策略

1、審前開展詳盡調(diào)查。在開展審計工作前，審計人員首先要了解被審計單位的性質(zhì)、環(huán)境、經(jīng)營風險、信息系統(tǒng)等基本情況。最重要的是掌握信息系統(tǒng)的相關(guān)設(shè)計、運行以及后續(xù)的維護，審計人員不僅僅需要了解被審單位的內(nèi)部控制體系和制度，而且還要觀察和檢查各個信息系統(tǒng)模塊框架具體功能和流程，必要時實施相關(guān)測試，以保證內(nèi)部控制制度的運行有效性。

2、定期審計內(nèi)部控制。會計信息系統(tǒng)內(nèi)部控制像是企業(yè)信息系統(tǒng)的一員大將，征戰(zhàn)于計算機處理過程的各個環(huán)節(jié)，例如企業(yè)各項交易和事項數(shù)據(jù)的輸入、處理和輸出，但是越重要的部分越暗藏危機。所以，審計人員應(yīng)該對企業(yè)的信息系統(tǒng)內(nèi)部控制保持應(yīng)有的關(guān)注，對被審單位信息系統(tǒng)實施控制測試，評價內(nèi)部控制的健全性和有效性，對數(shù)據(jù)庫實施實質(zhì)性測試，加強對高風險的交易流程和事項的審查，觀察不相容職位是否恰當分離和牽制，檢查被審單位信息系統(tǒng)是否運用防火線、掃描系統(tǒng)等先進信息管理技術(shù)進行日常維護。

3、關(guān)注關(guān)鍵風險領(lǐng)域。審計人員如果想有效實現(xiàn)信息系統(tǒng)控制的目標，并且實時掌握內(nèi)部控制系統(tǒng)中是否存在潛在風險的狀況，就必須改進和完善傳統(tǒng)審計工作中存在的弊端。然后，借助現(xiàn)代化的電子信息平臺，科學合理地對信息系統(tǒng)控制的風險做出及時評價，從而更好地確定內(nèi)部控制的現(xiàn)狀，并且為實際工作中能有效提高財務(wù)報告的時效性提供最基礎(chǔ)的保障。除此之外，如果信息系統(tǒng)的內(nèi)部控制狀況不佳，且存在一定的缺陷，此時審計人員應(yīng)結(jié)合財務(wù)報告中存在的各種缺陷制定相應(yīng)的完善策略。

4、審計人員自我提升及團隊共同發(fā)展。隨著信息系統(tǒng)應(yīng)用的越來越廣泛，熟練掌握審計流程且精通信息技術(shù)的復(fù)合型審計人才急切被社會和大企業(yè)所需要。因此，審計人員應(yīng)該學習信息技術(shù)、互聯(lián)網(wǎng)和云計算處理方面的專業(yè)知識，熟悉信息系統(tǒng)設(shè)計程序，以提高自身的專業(yè)素養(yǎng)。審計隊伍也可以盡可能吸納計算機技術(shù)的專業(yè)人才或者咨詢有關(guān)專家。各大事務(wù)所、教育機構(gòu)和高等院校應(yīng)將信息系統(tǒng)審計納入授課范圍，直接培養(yǎng)專門對口人才。會計師事務(wù)所也要考慮開發(fā)自己的審計系統(tǒng)和軟件，實現(xiàn)審計系統(tǒng)和被審單位會計信息系統(tǒng)的直接對接，以提高審計效率，降低審計風險。

（二）企業(yè)層面的風險應(yīng)對策略

1、提高信息系統(tǒng)數(shù)據(jù)的安全性。首先，審計軟件的安全系數(shù)直接關(guān)系到數(shù)據(jù)的安全，審計軟件應(yīng)具備敏感數(shù)據(jù)發(fā)現(xiàn)、性能審計、風險評估、數(shù)據(jù)活動監(jiān)控等功能，以準確評估數(shù)據(jù)庫所面臨的風險，所以企業(yè)應(yīng)在軟件開發(fā)方面加大投入。其次，企業(yè)管理層應(yīng)盡可能提高數(shù)據(jù)的加密程度，通過對用戶的角色設(shè)置訪問權(quán)限，對數(shù)據(jù)的采集、存儲、分析和使用等過程進行管控，嚴格加密等方式，以較好地確保數(shù)據(jù)安全。再次，企業(yè)需要實行數(shù)據(jù)分級管理。按重要性把數(shù)據(jù)劃分為若干個等級，不同等級的數(shù)據(jù)對應(yīng)不同的授權(quán)權(quán)限數(shù)，借以保護數(shù)據(jù)安全，尤其是敏感數(shù)據(jù)的安全。最后，還要規(guī)范數(shù)據(jù)存儲問題。

2、健全信息系統(tǒng)內(nèi)部控制制度。由于信息系統(tǒng)具有固有的特性，不能像傳統(tǒng)審計控制程序一樣環(huán)環(huán)相扣，這就需要企業(yè)管理層建立健全信息系統(tǒng)的內(nèi)控制度。首先，應(yīng)當建立不相容職權(quán)分離制度，把信息系統(tǒng)維護操作人員與賬務(wù)處理人員相分離，且各司其職、相互監(jiān)督，這樣不僅會減少系統(tǒng)錯誤的發(fā)生，還會大大降低內(nèi)部工作人員發(fā)生相互串通舞弊的可能性。其次，企業(yè)可以成立專門的信息系統(tǒng)審計委員會，作為獨立的內(nèi)部機構(gòu)直接接受治理層的指揮和管理，促進信息系統(tǒng)的質(zhì)量優(yōu)化。

（三）政府層面的風險應(yīng)對策略

1、加大信息系統(tǒng)風險意識宣傳?，F(xiàn)如今，企業(yè)和社會公眾對信息系統(tǒng)安全方面的意識都還不足，為了方便審計工作人員工作順利開展，提高審計效率，國家和政府相關(guān)部門應(yīng)加強對企業(yè)和社會公眾的宣傳力度，特別是針對信息系統(tǒng)審計的風險評估、風險控制以及防范措施方面，以便加大信息系統(tǒng)審計的受重視程度，大力推動信息系統(tǒng)審計地位在審計領(lǐng)域的提升，從而促進工作能夠順利高效地開展。

2、加大審計人才培育力度。為了建立優(yōu)秀的信息系統(tǒng)審計團隊，規(guī)范審計人員的職業(yè)道德，滿足審計信息質(zhì)量要求，首當其沖的是提高審計人員的綜合技能，培養(yǎng)集審計、法律和信息技術(shù)專業(yè)水平于一身的信息系統(tǒng)復(fù)合型審計人員。在完善我國信息系統(tǒng)審計師考試細則和流程方面，我國可以借鑒一些發(fā)達國家的相關(guān)經(jīng)驗，參照國際相關(guān)的審計準則。與此同時，國家教育部應(yīng)聯(lián)合各高等院校共同配合，培養(yǎng)高水平復(fù)合型專業(yè)人才，增加信息系統(tǒng)審計專業(yè)的設(shè)立。

3、完善信息系統(tǒng)審計準則體系。在當前的信息系統(tǒng)審計準則的體系下，我國的信息系統(tǒng)審計都是不具有強制性的，這點是明文規(guī)定在《國家審計準則》和《信息系統(tǒng)審計指南》兩部法律條文中。由此導(dǎo)致審計人員在實際工作中，特別是在收集必要的審計證據(jù)和信息的過程中容易受到多方面的限制，因而審計工作者既出于簡化工作程序、規(guī)避審計困難的目的，又出于降低審計風險、避免審計責任，在實際工作中大多盡可能減少實施信息系統(tǒng)審計的必要。除此之外，國家有關(guān)部門也應(yīng)盡力完善與信息系統(tǒng)審計人員相關(guān)的法律法規(guī)、明確審計人員應(yīng)承擔的法律責任。

4、設(shè)立信息系統(tǒng)審計專門機構(gòu)。在其他國家的前車之鑒的基礎(chǔ)上，絕大部分國家已經(jīng)設(shè)立了專門的信息系統(tǒng)審計規(guī)范制定機構(gòu)。對比我國的情況，多部門都可以制定信息系統(tǒng)審計規(guī)范，地方政府及其他組織也可以制定相應(yīng)的信息系統(tǒng)審計規(guī)范，這樣將會導(dǎo)致審計規(guī)范權(quán)威性的削弱。除此之外，還要創(chuàng)建統(tǒng)一的信息系統(tǒng)審計組織機構(gòu)，以此保證信息系統(tǒng)審計工作能夠得到有效的開展和監(jiān)督。

三、結(jié)論

在信息技術(shù)日益發(fā)展的今天，有效地提升了企業(yè)財務(wù)工作效率的同時，也提高了注冊會計師審計的復(fù)雜性，加大了審計風險，由此信息技術(shù)給財務(wù)報表審計帶來了極大的沖擊，因此研究我國企業(yè)財務(wù)報表審計中的信息系統(tǒng)風險和應(yīng)對措施至關(guān)重要。本文針對信息系統(tǒng)的風險，從審計人員自身、企業(yè)內(nèi)部以及政府及相關(guān)部門三個層面提出了相關(guān)對策，希望能夠引發(fā)審計人員、企業(yè)以及相關(guān)學者的深入思考，激勵審計人員自我學習和提升，豐富信息系統(tǒng)審計相關(guān)法律規(guī)范，共同為我國信息系統(tǒng)審計建設(shè)更高效、更完善的體系道路。