信息技术环境中审计的风险及对策

1、  信息技术环境中审计的风险及对策   信息技术环境中审计的风险及对策 近年来，随着金融行业信息化进程的加快，上线运行的业务信息系统涵盖了金融行业的各个领域。而随着计算机信息技术的发展，会计工作也从传统手工方式转型为现代信息模式，会计电算化越来越被各大中型企业所重视。不可避免的，审计的信息化也成为审计工作的发展趋势和必然要求。审计人员面临的审计风险与其便捷之处同时呈现，并日趋严重和扩大，对信息技术环境下审计风险的研究和对其控制对策，已成为当前审计人员面临的一项不可回避的重要课题。 1 现代信息技术环境中审计风险的特征 1.1

2、 目前信息技术自身的不足 随着信息技术应用的不断深入发展和变革，其技术风险也应运而生。技术风险主要是指信息系统出错、信息丢失、服务中断、信息泄露等由于信息技术自身存在的缺陷或不足而导致的技术事故。信息技术目前已经被普遍应用在财务、审计等领域，信息审计模式和传统审计模式之间在持续地分化或组合，尽管在很大程度上加速了审计理论和方法的创新及变革，但亦形成审计风险的新的因素。具体表现在计算机信息系统具有间接性，难以实现通过直接查阅程序对计算机信息系统本身进行系统的审计，而当前对审計信息系统鉴定的主要手段是通过查阅和分析相关的文档、实地观察、座谈及虚拟数据测试等相对间接的审计方法，导致审计风险

3、含糊不清；计算机电子数据具有复杂性，信息技术环境里的审计工作大多数面向被审计单位所拥有的大量电子数据展开，而电子数据被更改后不会留有更改记录，对电子数据的整理、采集、转换、分析造成不便1。 1.2 控制范围增大，不确定性因素增多 控制风险即被审计单位的内部管理和控制没有能够及时地防范抑或是发掘其信息体系存在的问题抑或是不足的可能性。审计信息化所带来的影响，不同于传统手工系统下，企业通过分别设立会计岗位明确责任，以控制内部工作。随着信息技术的发展，企业作为被审计对象的经营环境日趋复杂。会计信息化施行之后，数据处理集中展开，相同的工作量需要的会计人员大比例地降低，不兼容的职务严

4、重合并，在很大程度上造成某些会计人员在没有通过授权的状况下，对于运行中的程序与数据库展开修改及操作处理，严重威胁到会计数据的安全性和准确性3。 1.3 检查的风险因素增加 检查风险即审计工作者经由预定的审计流程没有能够觉察到被审计部门在信息体系的真实性、安全性等层面存在不足的可能性。其特点如下：一是在整个审计过程中，检查风险均独立存在，其不受到控制及技术风险的作用；二是检查风险直接和信息体系审计工作者的工作存在密切联系，反映了信息系统审计工作者审计流程、应用审计程序是否有效2。某些情况下，审计风险不是审计人员故意造成的，而是在审计人员本身无意识的情况下没有察觉到一些客观因素

5、导致的结果。一些由于意外导致的事故，如审计系统运行时发生断电、死机或遭到病毒破坏等，导致计算机内审计系统的数据丢失。此类事故属于无意间造成的后果，由于大部分无章可循，更加难发现。 2 现代信息技术环境中审计风险的成因 2.1 来自系统自身的风险 电子信息数据易被篡改、破坏或丢失。传统的手工记账系统中，书面记录的文字信息作为主要的审计依据，可以及时地对产生的错误及问题展开必要的检查，亦便于辨别及追溯人为的修改及删除数据时留下的痕迹。而在计算机系统中，人为地修改、删除和销毁数据是不留痕迹的，由此导致可靠性极大地降低。信息技术环境里，某些基于传统手工处理环境下的内控举措

6、因为丧失其原有的效用而被取消，许多内控举措在后期被程序化，变为经由实行软件程序而将其对应的功效发挥出来。由于类似防火墙、密码控制等内控技术的持续更新，掌握、测试、评估信息系统内控的状况变成审计需要面对的新难题。并且，基于信息技术的大背景下，会计电算化信息体系的内控方式已经出现了非常大的改变，大多数控制举措均变成以程序的形式创建的3。 2.2 来自审计人员的操作风险 参与审计的审计人员作为审计的主体，在审计过程中所选用的审计方法不合适，会计事务所组织、体制存在缺陷，审计人员自身能力和经验相对不足，内部治理能力缺乏等，都会导致相关的审计风险出现。源自审计工作者的操作风险，是指源

7、自审计工作者的整体素质与审计工作执行中出现的问题造成的风险。当前，我们国家参加审计工作的审计人员中，知识结构不尽合理，人员素质良莠不齐的情况过于普遍。大部分审计工作人员的知识背景只有会计和审计的相关教育，不具备足够的信息技术，不能满足审计对象多元化的要求。而现代信息技术环境中审计所针对的不仅仅是审计和会计问题，审计工作者一定要有充足的信息技术知识储备，且具备一定的计算机技术用以辅助审计工作。知识架构的不科学对于审计工作者的专业水平与业务素质有很大的影响。而专业知识的缺乏，导致部分审计人员的专业知识和职业道德不够高，成为引发审计风险的内在因素。此外，审计业务实行过程中也有某些不足。因为审计工作所

8、涉及的范围很广，审计实务中出现许多不规范的地方，此类随意性及不规范性所造成的问题使审计风险大大上升。基于当代信息技术环境下，审计人员如果因为自身的经验不足而对具体的审计目标把握不准，选择了不恰当的审计程序和方法，不了解自己所选的审查方法是否存在缺陷，也没有运用必要的审计程序与手段尽早地弥补，就无法获得充足的、恰当的证据，造成审计风险的上升。 2.3 来自审计对象、审计范围变化而引起的风险只有依靠数据和真实的会计资料来评价一个责任人的经济责任履行情况，才能获得预期的、合理的评价结果。现代信息技术已经被广泛运用，进而也使得经济活动中的违法行为及造假行为具有更强的隐蔽性。倘若被审计单位的会

9、计信息的真实度下降，审计工作者只要出现疏忽，在很大程度上就会被不真实的信息所蒙蔽，从而无法获得科学、合理的审计结论。产生此问题的原因有可能是被审计单位并未配置具备胜任能力的财务人员，造成各项业务活动未获得及时的、正确的记录，抑或是记录得不够健全，造成会计资料可靠性降低。因为被审计单位运营状况不佳，企业管理者担忧对自身的工作业绩及企业的形象产生负面作用，而有意对会计信息加以隐瞒，使审计工作者无法获得全面、准确的审计资料，特别是基于审计工作者对于被审计单位应用的会计软件的掌握程度不足的状况下，更容易发生类似被审计单位故意藏匿、销毁会计资料的情况。 审计工作中，审计人员要想被审计单位抑或是

10、被审计单位的责任人了解取证，倘若其展开主动的配合，例如给予不真实、不全面的信息及资料，间接阻拦审计人员的审查工作，导致审计人员难以全面地了解情况并及时发现问题，也更容易做出具有偏差的判断和评价，甚至发生过被审计单位贿赂审计工作者，拉拢审计工作者的事件，致使审计风险大幅上升。 在经济业务复杂且内控机制不完善的被审计单位中，运营管理杂乱无章，其会计信息在很大程度上是不真实、不可靠的，固有风险及控制风险均较高。基于此类复杂且无序的经营活动，一旦审计人员没能采用特别的应对措施来控制检查风险，审计的风险就会增大4。 3 防范审计风险的相应对策 3.1 改变审计人员的知识结构

11、 改变审计人员的知识结构，首要任务是提高审计人员的专业素质，这就需要审计部门加强对审计工作人员实施审计程序及运用计算机技术的有关技能培训，提高审计工作者对于有关审计、会计软件的掌握程度，对于即将应用的审计程序有充分的认识，如此能极大地降低计算机审计风险的出现概率。此外，向被审计单位派驻审计工作者的时候，应当权衡审计工作者的专项能力及其与被审计单位的关系，防止审计工作者无法胜任当次审计工作而产生的风险。 3.2 企业建立健全的内部控制制度 信息环境下，企业信息系统的内部控制与企业内部控制是互相关联的，信息化环境下企业内部的控制制度能否起效，在很大程度上依赖于信息系统

12、的有效程度和可靠程度，因此应加强管理层对建立有效的信息系统控制制度的重视程度。信息系统控制的有效性在很大程度上取决于高层管理人员的重视程度。信息系统不仅是技术问题，它也是以人工手动控制为主，并需要企业内上下各级组织机构共同介入，严格制定并实施规章制度。如果企业管理层不能充分地认识到信息技术的风险因素，各类关于建立信息系统控制制度的事项将遇到很大困难，从而降低信息系统控制的有效性。因此，建立健全内部控制制度的前提和重点是得到企业管理层的高度重视。 3.3 创新并完善审计的信息技术 尽管计算机信息体系的发展非常迅猛，有关的硬件与软件设施也有了显著的进步，整个信息体系愈加趋于健全，然而依然有某些潜在的风险因素。由于审计软件本身存在的缺陷或因控制不当造成的非法窜改、窃取等而產生的错误往往