IT审计面临的主要风险与防范机制,审计论文.docx

《IT审计面临的主要风险与防范机制,审计论文.docx》由会员分享，可在线阅读，更多相关《IT审计面临的主要风险与防范机制,审计论文.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、IT审计面临的主要风险与防范机制,审计论文内容摘要：对于组织经营管理而言, 问题的预防作用胜于问题的解决, 对IT审计风险的预防更重要。现对IT审计的特点以及IT审计风险的构成进行分析, 并提出了降低IT审计的固有风险;降低IT审计的控制风险;降低IT审计的检查风险等防备措施。 本文关键词语：IT审计;审计的风险;防备措施; 一、IT审计的特点 (一) IT审计是一个经过 IT审计是通过获取的证据判定信息系统能否能保证资产的安全、数据的完好和组织目的的实现, 其贯穿于整个信息系统生命周期的全经过。 (二) IT审计的对象综合且复杂 IT审计从纵向 (生命周期) 看, 覆盖了信息系统从开发、运行

2、、维护到报废的全生命周期的各种业务。从横向 (各阶段截面) 看, 其包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。 (三) IT审计拓宽了传统审计的目的 传统审计目的仅仅包括 对被审计单位会计报表的合法性、公允性及会计处理方式方法的一贯性发表审计意见 。但IT审计除了上述目的外, 还包括信息资产的安全性、数据的完好性及系统的可靠性、有效性和效率性。 (四) IT审计是一种基于风险基础审计的理论和方式方法 IT审计从基于控制的方式方法演变为基于风险的方式方法, 其内涵包括组织风险管理的整体框架, 如内部环境的控制、目的的设定、

3、风险事项的辨别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。 二、IT审计风险的构成 (一) IT审计的固有风险 IT审计的固有风险是指在不对信息系统部署任何控制措施情况下, 信息系统本身所具有的风险。IT审计的固有风险是计算机系统本身所固有的, 审计人员只能评估, 却无法控制或影响它。计算机固有风险的衡量是主观的、复杂的。不同的计算机系统其固有风险水平不同。计算机硬件故障或软件缺乏, 易造成会计资料的损坏和丢失, 导致会计数据处理经过中发生偶发错误。计算时机计系统的高度集成, 导致了系统的复杂性、依靠性和脆弱性, 数据容易被修改和盗取。用磁性介质存储会计资料, 其稳定性和安全性

4、较差, 计算机病毒的损害容易造成会计数据丢失。系统管理人员的技术达不到管理系统所要求的水平, 出现了技术应用和管理错误。系统管理人员由于特殊原因此擅自更改会计数据, 或蓄意毁坏、摧毁计算时机计系统。 (二) IT审计的检查风险 IT审计的检查风险能够通过调整本质性测试来进行控制, 影响计算机审计检查风险的因素本质上是由于计算机审计规范不完善, 审计人员本身或者技术原因造成的影响本质性测试正确性的各种因素。 1. 人员操作风险。 审计人员在对会计信息系统进行审计时, 由于过分依靠计算机运行得出的结果, 而没有对审计线索进行检查。审计人员由于知识不够或业务不熟, 无法跟踪审计, 遗漏了审计证据。审

5、计人员不了解会计信息系统的特点, 不能审查辨别其内部程序控制。 2. 审计软件风险。 这种风险是指由于计算机软件本身缺陷原因造成的风险。主要包括计算机审计技术的开发和推广落后于计算时机计技术, 并且技术含量偏低。研究开发人员对审计业务的不熟悉。没有经过相关部门鉴定, 导致软件运行有风险。审计软件与会计软件的接口不匹配, 导致数据不能导出。审计软件配套升级滞后, 影响了审计效率和质量。 3. 管理风险。 指的是对计算机审计管理制度不健全、不完善而导致的风险。主要包括缺乏相关的计算机审计操作规范, 导致审计人员各行其是, 审计目的、内容和手段等各不一样, 管理风险增大。 (三) IT审计的控制风险

6、 IT审计的控制风险是指在计算机系统运行中可能出现的重大错误, 影响了单位经济活动描绘叙述的真实性, 没能被计算机软件的程序化控制及时发现或防止的风险。IT审计的控制风险大小主要与会计系统程序化设计的科学性、合理性和稳健性相联络。 1. 系统数据风险。 会计数据在录入时缺乏严格的控制, 采用虚假、篡改和延迟等手段造成错误数据。数据存储高度集中, 却缺乏严格的分级阅读控制。会计数据的处理责任大部分集中于计算机系统中, 集中程度越高, 会计风险越大。 2. 系统环境风险。 包括软件环境风险和硬件环境风险, 一方面是由于计算机信息系统的复杂性以及会计系统的联网性, 另一方面则是由于计算机设备的多样化

7、, 进而导致系统环境风险的增大, 3. 系统控制风险。 由于会计系统的内部控制不严密造成的风险, 系统控制是指在人和机器的双重控制下, 还需要建立外部网和网上交易的安全控制。审计人员需要对这些内容进行外部控制测试, 难度很大。 三、IT审计风险的防备措施 对IT审计风险的防备能够从微观和宏观两个方面进行。微观上, 不仅应努力提高审计人员的计算机审计技术和水平, 在审计中选择恰当的审计技术和方式方法, 完善被审计单位的内部控制水平。宏观方面, 应尽快完善并推广通用的计算机软件, 同时建立健全的计算机审计准则和标准, 还要不断创新计算机审计理论研究。 (一) 降低IT审计的固有风险 1. 完善审计

8、软件的设计, 降低审计线索减少或消失的可能性。 一是加强操作的慎重性, 只要在打印或存档后才允许删除。二是设置强迫备份, 防止数据丢失。三是未经许可不得更改报表的取数公式。取消反过账反结账的功能, 记录报表打印的次数。 2. 改良数据录入技术, 降低错误的可能性。 一是尽量采取扫描录入, 留有纸质备份。二是对于重要的凭证、报表要存盘, 方便以后查阅。三是尽量使用自动转账功能, 保证数据的完好准确。 3. 加强内部控制机制, 减少会计数据被修改、删除和盗用的可能性。 一是要配备性能优良的硬件设备, 如增加数据备份, 增加数据加密和设置防火墙等。二是得到后续软件支持。三是建立安全稳定的运行环境,

9、合理设置加密关口和防火墙。四是加强组织人员素质, 完善规章制度。 (二) 降低IT审计的控制风险 1. 根据不同的操作权限设置密码, 提高约束机制的作用。 首先, 系统管理员为不同岗位的会计人员设置不同的权限和初始密码。其次, 会计人员在获得权限后更改密码。最后, 要严格控制操作权限的设置。 2. 建立组织和银行之间的网络连接, 减少数据不一致的可能性。 一是对组织内部的会计业务自动扫描原始凭证, 依靠软件自动生成记账凭证。二是对组织和银行之间的业务建立网络连接, 传送实时数据, 保证数据的同步一致。 3. 提高网络通信的效率, 做好及时维护, 保证系统的正常运行。 一是选取性能良好的网络平台

10、和配套传输设备。二是选择运行良好的会计软件。提高审计人员的计算机使用水平, 保证能准确无误的操作系统。 (三) 降低IT审计的检查风险 1. 被审计单位应主动与审计师进行沟通, 对历史文件采取统一的存储格式, 降低文件无法阅读的可能性。一是针对不同时期版本的会计软件, 备份数据时要采取统一的格式, 以方便审计人员进行审计。二是制定会计软件相关的行业标准, 统一数据格式和外部接口。 2. 设计一套能使检查风险降到最低的审计检查程序。一是检查被审计单位的权限设置, 对操作日志进行审查, 寻找疑点。二是检查被审计单位的取数公式。三是进行账实核对、账证核对、账账核对和账表核对。四是检查内部控制制度的完

11、好性和会计政策的一贯性。IT审计是会计信息化的必然要求, 审计人员首先要对IT审计风险理论进行系统的研究, 构建IT审计风险理论体系, 用理论指导实践, 加强人们对IT审计风险的认识。其次, 要加强审计人员的审计风险教育, 强化防备IT审计风险的意识, 积极纠正IT审计出现的问题, 营造良好的IT审计关系, 有效防备IT审计风险。 以下为参考文献 1徐经纬.浅淡计算机审计风险及其防备对策J.经济研究导刊, 2018 (16) . 2张继伟.计算机审计风险成因及其防备对策J.财会通讯, 2018 (22) . 3武东萍.计算机审计风险探析J.经济问题, 2018 (3) . 4肖军, 翁晓华.关于计算机审计技术在内部审计中的实践研究J.商业会计, 2018 (2) .