浅谈IT审计风险构成及防范措施.doc

浅谈IT审计风险构成及防范措施
摘要:对于组织经营管理而言,问题的预防作用胜于问题的解决,对IT审计风险的预防更重要。现对IT审计的特点及IT审计风险的构成进行分析,并提出了降低IT审计的固有风险;降低IT审计的控制风险;降低IT审计的检查风险等防范措施。
关键词:IT审计;审计的风险;防范措施
中图分类号:F239 文献标识码:A
文章编号:1005-913X(2019)06-0095-02
一、IT审计的特点
(一)IT审计是一个过程
IT审计是通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,其贯穿于整个信息系统生命周期的全过程。
(二)IT审计的对象综合且复杂
IT审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务。从横向(各阶段截面)看,其包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
(三)IT审计拓宽了传统审计的目标
传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”。但IT审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
(四)IT审计是一种基于风险基础审计的理论和方法
IT审计从基于控制的方法演变为基于风险的方法,其内涵包括组织风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、IT审计风险的构成
(一)IT审计的固有风险
IT审计的固有风险是指在不对信息系统部署任何控制措施情况下,信息系统自身所具有的风险。IT审计的固有风险是计算机系统本身所固有的,审计人员只能评估,却无法控制或影响它。计算机固有风险的衡量是主观的、复杂的。不同的计算机系统其固有风险水平不同。计算机硬件故障或软件不足,易造成会计资料的损坏和丢失,导致会计数据处理过程中发生偶发错误。计算机会计系统的高度集成,导致了系统的复杂性、依赖性和脆弱性,数据容易被修改和盗取。用磁性介质存储会计资料,其稳定性和安全性较差,计算机病毒的侵害容易造成会计数据丢失。系统管理人员的技术达不到管理系统所要求的水平,出现了技术应用和管理错误。系统管理人员由于特殊原因而擅自更改会计数据,或蓄意破坏、摧毁计算机会计系统。
(二)IT审计的检查风险
IT审计的检查风险可以通过调整实质性测试来进行控制,影响计算机审计检查风险的因素实质上是由于计算机审计规范不完善,审计人员自身或者技术原因造成的影响实质性测试正确性的各种因素。
1.人员操作风险。审计人员在对会计信息系统进行审计时,由于过分依赖计算机运行得出的结果,而没有对审计线索进行检查。审计人员由于知识不够或业务不熟,无法跟踪审计,遗漏了审计证据。审计人员不了解会计信息系统的特点,不能审查识别其内部程序控制。
2.审计软件风险。这种风险是指由于计算机软件本身缺陷原因造成的风险。主要包括计算机审计技术的开发和推广落后于计算机会计技术,并且技术含量偏低。研究开发人员对审计业务的不