陳紅蘭

現(xiàn)代化背景下，隨著信息技術、計算機系統(tǒng)和互聯(lián)網技術的飛速發(fā)展，進一步加速了信息化審計發(fā)展，而在信息系統(tǒng)審計中也相繼暴露出各種全新特征和問題，給信息系統(tǒng)審計帶來一定風險?；谠摲N背景下，需要對信息系統(tǒng)相關審計風險實施深入研究和系統(tǒng)剖析，并針對信息系統(tǒng)審計風險形成有效應對策略，創(chuàng)新審計程序，參考國內外相關理論實踐，立足于審計視角出發(fā)，形成有效的解決方案。

一、現(xiàn)代信息系統(tǒng)審計風險分析

（一）信息系統(tǒng)自身風險

企業(yè)日常業(yè)務實際運行中，因為信息審計系統(tǒng)缺少完善的防控機制，相關信息系統(tǒng)可能存在某些故障隱患和安全風險。如果信息系統(tǒng)內存在各種安全漏洞，容易進一步增加企業(yè)信息系統(tǒng)運行風險。計算機相關基礎硬件設備屬于信息審計系統(tǒng)基礎載體，如果上述基礎載體出現(xiàn)各種運行故障和設備損傷，或所需處理信息數(shù)量龐大，容易進一步增加審計阻礙，增加審計風險。網絡系統(tǒng)等同于信息系統(tǒng)基礎容器，如果網絡系統(tǒng)遭受他人惡意攻擊，則容易導致信息系統(tǒng)直接被暴露于外部風險環(huán)境當中。

（二）審計人員潛在風險

第一，審計人員自身專業(yè)能力和執(zhí)業(yè)水平不足

現(xiàn)代化發(fā)展背景下，審計人員的綜合能力、專業(yè)技術水平以及信息系統(tǒng)操作能力會直接影響審計工作質量和審計效果，決定了審計工作是否能夠順利實現(xiàn)現(xiàn)代化轉型。結合當前國內審計隊伍整體發(fā)展建設狀況分析，盡管目前我國已初步形成一批能力較強和具備扎實專業(yè)技術的優(yōu)秀審計人才，但審計人員掌握的計算機系統(tǒng)相關理論知識和操作技能依然無法滿足現(xiàn)代化信息系統(tǒng)審計要求，導致審計人員出現(xiàn)執(zhí)業(yè)水平和信息系統(tǒng)之間發(fā)展不均的問題，從而對信息系統(tǒng)審計產生一定影響，降低審計效果，增加了審計風險。

第二，審計人員個體知識儲備不足

信息系統(tǒng)審計屬于某種十分復雜的交叉性任務，涉及行為管理、信息系統(tǒng)、專業(yè)審計知識以及計算機系統(tǒng)等多種領域學科，為此需要打造復合型審計人才。結合國內審計行業(yè)實際發(fā)展狀況分析，目前我國主要是以專業(yè)型人才培養(yǎng)為主，復合型審計人才十分短缺。具體而言，某些審計人才盡管擁有多年審計經驗，但接觸信息系統(tǒng)和計算機等先進科技的時間相對較短，短期內無法順利掌握信息系統(tǒng)處理技術，也無法發(fā)揮出信息系統(tǒng)審計優(yōu)勢，容易降低審計效率。該種問題也能夠進一步體現(xiàn)出國內審計行業(yè)工作局限性和先進審計理念的缺乏。國家相關審計單位以及被審計部門應當正確認識信息系統(tǒng)審計并充足重視，充分意識到信息審計系統(tǒng)對國內現(xiàn)代化建設發(fā)展積極作用，助力國內信息系統(tǒng)審計的現(xiàn)代化轉型。

（三）企業(yè)內控缺陷風險

現(xiàn)代企業(yè)管理架構下，企業(yè)高層管理人員除了需要對企業(yè)內各個部門業(yè)務人員工作績效進行科學考核監(jiān)督，保證財務信息準確性和完善，促進企業(yè)資金實現(xiàn)充分利用之外，還需要進一步提升信息系統(tǒng)整體操作的可靠性、穩(wěn)定性和安全性，保證工作中所用各種組織架構和信息系統(tǒng)得以正常運行。

傳統(tǒng)內控措施突出分離各種不相容崗位，傳統(tǒng)內控措施下，系統(tǒng)內各個崗位領域未能順利實現(xiàn)有效分離，無法發(fā)揮出不同部門的互相牽制作用。而處于信息審計系統(tǒng)下，各個子系統(tǒng)和單獨模塊擁有其不同職能范圍，對應崗位人員分工主要是聯(lián)系不同負責領域賦予一定授權。不同于傳統(tǒng)模式下的審計工作流程，信息系統(tǒng)審計涉及的相關證據(jù)以及信息普遍按照數(shù)據(jù)形式在系統(tǒng)內進行存儲，如果被審計單位信息系統(tǒng)內部控制存在缺陷，將限制審計人員對于各種證據(jù)資料的采集工作，導致審計風險進一步擴大。

（四）法律制度風險

第一，缺少專門機構來設計制定相應的審計規(guī)范

立足于國家發(fā)展視角分析，信息系統(tǒng)相關審計規(guī)范主要由國際信息審計系統(tǒng)協(xié)會負責設計制定，并組織專門機構對相關準則、規(guī)范實施合理設計。而從國內發(fā)展層面分析，缺少專門責任機構負責制定信息審計系統(tǒng)各項操作規(guī)范。立足于國內信息審計系統(tǒng)現(xiàn)有規(guī)范制度分析，具體規(guī)范政策制定部門主要包括內部審計協(xié)會、審計署、國務院辦公廳等多種專業(yè)部門。審計規(guī)范對應設計制定機構未能實現(xiàn)全面統(tǒng)一，從而降低信息系統(tǒng)在審計方面的權威性和一致性，無法支持信息系統(tǒng)順利實施各項審計活動。

第二，信息系統(tǒng)在審計工作應用中缺少規(guī)范、科學、細致、完善的法律法規(guī)機制

我國關于應用信息技術實施審計相關研究時間較短，發(fā)展年限有限，為此也尚未針對信息系統(tǒng)審計形成完善的法律法規(guī)規(guī)范體系。結合現(xiàn)實發(fā)展狀況分析，國內關于信息系統(tǒng)審計各項制度規(guī)范普遍為地方相關政府部門發(fā)布具體規(guī)范和相關通知，具體內容是以國家權力單位頒發(fā)各項審計規(guī)范的執(zhí)行和落實為主，在審計工作規(guī)范性執(zhí)行過程中缺少有效保障機制。

二、現(xiàn)代信息系統(tǒng)審計風險應對策略

（一）創(chuàng)新完善信息審計系統(tǒng)

隨著企業(yè)財務工作對于信息系統(tǒng)依賴性的逐漸提升，信息系統(tǒng)審計逐漸成為企業(yè)內部審計長期性工作。為降低信息系統(tǒng)自身風險，需要企業(yè)合理創(chuàng)建完善的信息系統(tǒng)，借助標準評價框架保障整個系統(tǒng)的安全運行，降低系統(tǒng)運行風險，在企業(yè)內部審計系統(tǒng)內合理融入標準審計體系，健全企業(yè)內部審計機制。借助內部審計、外部審計以及系統(tǒng)管理自主查詢等措施提升信息系統(tǒng)操作規(guī)范性、科學性和安全性，為企業(yè)順利實現(xiàn)長期穩(wěn)定發(fā)展奠定基礎保障。借助相關信息系統(tǒng)標準審計體系，能夠規(guī)范企業(yè)各項審計活動，優(yōu)化企業(yè)內控行為。

在應用信息系統(tǒng)實施審計工作中需要合理應用專門審計軟件，審計小組實施信息系統(tǒng)審計中，需要全面整理分析系統(tǒng)內各種信息數(shù)據(jù)，因為系統(tǒng)內部數(shù)據(jù)規(guī)模龐大，類型多樣，進一步擴大了審計人員壓力和負擔，非標準化的審計標準也進一步擴大了審計難度，為此可以合理應用專業(yè)化的數(shù)據(jù)解析軟件，輔助企業(yè)創(chuàng)建高效、科學信息分析模型，企業(yè)可以結合項目審計發(fā)展狀況，對解析軟件進行合理選擇，除去應用專業(yè)數(shù)據(jù)解析軟件之外，企業(yè)可以考慮在信息系統(tǒng)內添加各種程序分析工具，促進信息系統(tǒng)審計不斷優(yōu)化，轉變成大數(shù)據(jù)審計模式，提升整體審計效果。

大數(shù)據(jù)審計主要以信息審計為基礎，按照相關審計原理，面向社會中的各個企事業(yè)單位借助大數(shù)據(jù)技術實施審計工作，可以更加系統(tǒng)、全面、立體發(fā)現(xiàn)各種問題，挖掘出各種隱秘性內容，通過數(shù)據(jù)顯示，從而提升審計結論客觀性，優(yōu)化審計報告效果，激發(fā)出審計工作在風險防控中的預警作用。

（二）加強審計人員培訓管理

第一，正式開展審計工作前需要開展詳細、深入調查工作

審計人員在實施信息系統(tǒng)審計前，需要針對被審計單位的經營狀況、現(xiàn)存環(huán)境以及企業(yè)性質等信息進行全面調查，準確把握信息系統(tǒng)應用狀況。同時做好信息系統(tǒng)實際運行、設計以及整體維護工作，審計人員除了需要充分掌握被審計企業(yè)現(xiàn)有運行制度以及內控機制之外，還需要進行系統(tǒng)檢查和全面觀測不同信息系統(tǒng)框架和各個組成模塊，熟悉整個信息系統(tǒng)審計流程以及功能作用，在需要條件下還需要開展各種專門測試活動，增強信息系統(tǒng)審計的實效性。

第二，企業(yè)內部控制實施定期審計

信息系統(tǒng)內控機制作為信息系統(tǒng)中的重要組成部分，全面融入計算機處理多種環(huán)節(jié)。比如企業(yè)各種活動信息和交易數(shù)據(jù)的傳輸、分析和處理工作，往往在各種重要環(huán)節(jié)內隱藏一定隱患和安全危機，為此需要審計人員重點關注企業(yè)信息系統(tǒng)相關內控機制運行。面向被審計單位中的信息系統(tǒng)開展綜合測試以及科學控制，對內控機制實效性和完善性進行科學評價；面向數(shù)據(jù)庫系統(tǒng)開展實質性檢測，全面審查系統(tǒng)內各種風險事項和交易流程；實時觀測系統(tǒng)內各種不相容崗位是否互相牽制和順利分離；系統(tǒng)檢測被審計企業(yè)對應信息系統(tǒng)是否應用故障掃描和防火線等技術做好日常維護檢查。

第三，重點關注各種核心風險領域

相關審計人員想要促進信息系統(tǒng)順利實現(xiàn)預期審計目標，準確把握內部控制系統(tǒng)各種風險隱患，做好實時監(jiān)控工作，需要對傳統(tǒng)審計弊端進行不斷完善、優(yōu)化和改進。隨后合理利用各種現(xiàn)代化技術和先進的電子信息平臺，對信息系統(tǒng)風險進行科學評價，能夠充分把握企業(yè)內控現(xiàn)狀，同時為企業(yè)日常經營工作提供可靠、準確的財務報告信息。此外，假如信息系統(tǒng)存在內控不足的問題，以及存在各種問題缺陷，需要審計人員聯(lián)系企業(yè)財務報告各種問題缺漏合理制定有效處理策略。

第四，加強審計隊伍共同發(fā)展以及審計人員自我提升

在信息系統(tǒng)應用范圍持續(xù)擴大背景下，精通各種信息技術以及全面把握整個審計流程的人才逐漸受到企業(yè)和社會的廣泛重視和需求。為此需要相關審計人員主動學習云計算、互聯(lián)網、計算機和各種先進信息技術等專業(yè)知識，了解信息系統(tǒng)整體設計程序，進一步優(yōu)化自身專業(yè)素養(yǎng)。在審計隊伍中需要積極吸收信息技術和計算機領域各種專業(yè)人才，或直接咨詢行業(yè)領域專家。各個高等研究院所、教育機構以及事務所需要在授課講解內容中融入信息系統(tǒng)相關操作內容，培養(yǎng)優(yōu)秀的專業(yè)對口人才。除此之外，相關會計事務所也需要積極研發(fā)自身獨有的軟件設備和審計系統(tǒng)，促進被審計企業(yè)和審計單位之間進行順利對接，優(yōu)化審計效率，控制審計風險。

（三）健全企業(yè)內控管理制度

從提升企業(yè)內部控制層面進行相關風險應對主要策略如下：

第一，提升信息系統(tǒng)各種信息數(shù)據(jù)安全性

信息系統(tǒng)整體安全性會從某種程度上直接影響審計數(shù)據(jù)安全，為此需要賦予內部審計人員以數(shù)據(jù)活動監(jiān)測、風險綜合評價、性能審計以及敏感信息搜集等基礎功能，對數(shù)據(jù)庫現(xiàn)存風險問題實施科學評估和準確評價。同時企業(yè)管理層需要進一步提升相關數(shù)據(jù)的加密管理，針對不同用戶實施合理的角色分層設置，明確不同角色的訪問權限，針對信息數(shù)據(jù)的存儲、采集、整合分析以及應用等環(huán)節(jié)實施全面掌控，做好加密處理，提升系統(tǒng)信息數(shù)據(jù)安全性。除此之外，企業(yè)需要針對不同數(shù)據(jù)信息實施有效的分級管理，按照不同數(shù)據(jù)信息的重要程度，將其劃分成多種等級，而各個等級信息的授權權限也各不相同，能夠更好保障信息安全性，特別是保障各種敏感信息安全性，注重數(shù)據(jù)的規(guī)范存儲和科學管理。

第二，進一步優(yōu)化和完善信息系統(tǒng)內控機制

信息系統(tǒng)存在某種發(fā)展特性，無法向傳統(tǒng)模式下審計控制程序進行全面銜接和環(huán)環(huán)相扣，為此需要企業(yè)管理者針對信息系統(tǒng)形成合理的內控機制，針對不同崗位職能設計不相容分離制度，促進企業(yè)信息系統(tǒng)相關賬務處理人員和系統(tǒng)操控維護人員之間實現(xiàn)順利分離，確保各個崗位人員能夠彼此監(jiān)督和各司其職，如此不但能夠進一步控制系統(tǒng)錯誤幾率，同時能夠幫助降低企業(yè)人員的串通舞弊機率。企業(yè)可以組建專業(yè)化信息系統(tǒng)審計委員會，充當企業(yè)中的獨立執(zhí)行機構，統(tǒng)一接受治理層的管理和指揮，優(yōu)化信息系統(tǒng)整體審計操作。

（四）政策層面加強風險應對

第一，擴大信息系統(tǒng)相關風險宣傳工作，提升風險意識

在現(xiàn)代化發(fā)展背景下，社會公眾和相關企業(yè)單位對于信息系統(tǒng)整體安全操作方面依然存在重視程度不足的問題，為了促進相關工作人員順利實施各種審計工作，進一步優(yōu)化審計效率，需要政府部門和國家相關機構加強面向社會大眾和企業(yè)宣傳效果，尤其是針對信息系統(tǒng)審計實施合理的風險控制，加強風險評估，做好風險防控工作，提升信息系統(tǒng)審計整體重視程度，進一步提升審計領域中信息系統(tǒng)功能地位，支持審計工作有序實施。

第二，面向專業(yè)審計人才不斷擴大教育力度

為了合理創(chuàng)建專業(yè)、優(yōu)質的信息系統(tǒng)審計隊伍，對審計人員整體職業(yè)道德進行規(guī)范管理，優(yōu)化審計信息質量，需要進一步改善審計人員專業(yè)技能和綜合水平，培養(yǎng)融合信息技術、法律制度和審計等專業(yè)內容于一體的復合型信息系統(tǒng)審計人才。針對國內信息系統(tǒng)審計專業(yè)資格考核方面，需要進一步形成完善的考核流程和實施細則，可以充分學習借鑒各個發(fā)達國家成功經驗，參考國際各種審計標準。此外，國家教育部門需要和其他高等院校之間進行積極配合，共同培養(yǎng)復合型高水準優(yōu)秀人才，設置信息系統(tǒng)審計相關專業(yè)。

第三，針對信息系統(tǒng)審計工作構建完善的操作體系和基礎準則

基于現(xiàn)有信息系統(tǒng)相關審計體系下，國內的信息系統(tǒng)審計普遍不存在強制性，這一點也是在《信息系統(tǒng)審計指南》和《國家審計準則》等法律條文中明確標注出來的。由此，使得相關審計人員于工作實踐中，以及針對各種審計信息和證據(jù)數(shù)據(jù)進行采集中，容易被各種因素影響，從而限制信息系統(tǒng)審計工作順利實施。為降低審計方面的法律制度風險，企業(yè)可在日常工作實踐中開展內部信息系統(tǒng)審計工作。此外，國家相關部門需要結合信息系統(tǒng)相關審計工作進一步健全各項法律政策和制度法規(guī)，明確劃分審計人員責任職能。

第四，合理設置專門信息系統(tǒng)審計機構

結合其他國家發(fā)展經驗，大部分國家專門針對信息系統(tǒng)設計相應審計規(guī)范，其他組織和地方政府同樣可以針對信息系統(tǒng)進一步形成完善規(guī)范機制，如此容易進一步增強信息系統(tǒng)審計規(guī)范實效性和權威性。除此之外，針對信息系統(tǒng)審計創(chuàng)建統(tǒng)一審計機構，保障信息系統(tǒng)審計順利實施，做好審計監(jiān)督管理。

綜上所述，隨著信息技術的發(fā)展，現(xiàn)代財務審計效率得到提升，但同時也使會計審計更加復雜化，增加審計風險。為此需要針對我國當前信息系統(tǒng)審計中的各種風險隱患進行系統(tǒng)分析，形成有效的應對方案，從多種角度層面入手，剖析信息審計問題，促進審計人員通過不斷培訓學習提升自身專業(yè)能力，健全審計工作各項法律政策，打造完善信息審計系統(tǒng)。