信息系統引起的重大錯報風險及審計方法探討

隨著會計電算化的普及，網絡化發展以及企業基于ERP的組織實施，經濟活動的記錄越來越多地反映在計算機中，而信息存儲與管理方式的變更帶來了新的審計風險。基于風險導向審計的模型為：

審計風險=重大錯報風險×檢查風險

其中重大錯報風險強調由企業本身引起的錯報風險，主要通過分析企業的綜合環境以及內部控制情況來判斷。當企業應用信息系統處理經濟業務時，信息系統帶來的風險就必然會成為重大錯報風險的重要組成部分。

一、信息系統引起的重大錯報風險

(一)整體控制環境的風險

通過計算機信息系統處理經濟業務，企業的整體控制環境和手工處理時相比，結構更為復雜，內容更為廣泛，風險的因素也更為多樣，從而可能導致整體重大錯報風險的增加。傳統的手工會計系統中，經濟業務反映在書面記錄中并按照預先設定的過程傳遞并保留痕跡。但在信息系統的控制環境下，只需將原始財務甚至業務數據錄入系統，會計憑證直至報表就可以自動生成。因此，財務數據的錯報風險不止與傳統的財務管理流程、人員操守等相關，更與信息系統的運行及其處理相關。

（二）數據存儲和修改的風險

當企業的數據存放在信息系統中時，數據的安全性和可靠性直接影響企業的重大錯報風險。傳統的數據存放在紙質條件下，只需對紙質媒介進行保護，相對易于實現。而當數據保存在電子媒介時，一旦非法用戶破解口令密碼，或通過技術手段直接進入系統內部，就有可能對數據進行修改或刪除。另外，當數據存儲在紙質媒介時，如果對數據進行篡改，一般會留下修改痕跡。而在信息系統中，除非設置并開啟足夠的系統日志記錄并及時進行檢查，否則很難及時發現非法的信息修改或對非法的修改進行追蹤。

（三）系統運行的風險

首先，當企業的經濟業務依賴于信息系統時，系統的運行錯誤可能導致數據的失真甚至丟失。處于網絡中的信息系統可能受到病毒的攻擊，從而影響系統的正常運行。另外，網絡設備、數據存儲媒介、電源等硬件均存在不穩定性，非正常溫度、濕度會影響其運行，從而影響其中存儲或運行的數據。

其次，系統的開發和維護過程也存在錯報隱患。比如系統開發過程中留有的后門，將不符合會計準則的甚至非授權的程序編寫到系統中，維護時直接對系統數據庫文件的修改等，均會增加企業的重大錯報風險。

二、信息系統環境下對重大錯報風險的判斷方法

（一）整體控制環境的評價

從被審計單位整體的運行情況及對信息系統的依賴程度出發，從風險評估的角度，了解信息系統的整體情況，包括信息系統戰略，系統架構及數據流轉，并著重了解公司對信息系統的控制情況，判斷內部控制制度是否充分考慮了信息系統的影響。另外，對系統使用人員的素質和能力進行考察。了解的重點由業務部門向業務部門與信息系統部門相結合轉移，由手工控制向手工系統控制相結合轉移。

（二）數據安全性、完整性的評價

在信息系統環境下，針對數據的安全性、完整性擴展內部控制測試范圍，通過詢問業務人員、計算機技術人員等方法，了解訪問權限設置、口令密碼及日志審核等控制。

（1）了解被審計單位是否設置了職能分工并在系統中予以實現。公司應該針對不同業務部門及崗位級別設置權限分工，比如系統開發人員與維護人員、財務錄入與審核人員、日常業務處理與異常業務審核等人員的職責分離。更重要的是，相關的職責分離應在相應的信息系統中予以設置和實現。

（2）了解被審計單位用戶賬號和口令的管理。在實現通過不同賬號進行職責分離的基礎上，為了確保使用某賬號進行操作的確為授權人員，就必須防止賬號的誤用。如果系統允許，應通過系統控制的方法，強制信息系統使用者的密碼策略，如密碼長度、復雜度、定期更改、密碼嘗試次數等。如果系統不允許，也應通過書面規定及培訓強化用戶的密碼保護意識，減少因為密碼被猜中而濫用系統中職權的行為。

（3）了解被審計單位對自身系統風險的評估以及監控情況。對于系統服務器、重要的系統、數據庫、主配置文件以及敏感部門或人員使用的機器開啟日志特別是安全日志監控，并定期進行檢查，對于發現的情況及時進行處理。

（三）對系統運行風險的評價

對關鍵信息系統，通過現場檢查系統環境、檢查信息系統文檔等方法，了解被審計單位對系統的控制情況。

(1)了解被審計單位對系統的安全保障。例如如何阻止非法入侵，避免病毒的傳播等。通過檢查網絡拓撲圖，了解網絡架構，檢查主要服務器的網段是否隔離，是否設置了軟件、硬件防火墻，是否安裝了防病毒軟件并及時對病毒庫進行更新等。

(2)了解被審計單位對硬件設備的管理情況，包括機房的管理制度，硬件的運行監控、系統的備份策略等。比如是否對機房的溫濕度進行檢查，是否對關鍵服務器的運行及容量進行監控，是否定期保養重要的硬件設備，是否對關鍵的系統定期備份等。

(3)了解被審計單位系統開發和系統變更的控制，包括檢查系統開發與變更策略與流程。比如開發環境、測試環境是否與運行環境相分離，以及遷移到運行環境中前是否通過了足夠的測試與授權等。

參考文獻：

[1]李小菊，張曉明.計算機輔助審計風險和證據成本探討.信息技術，2011.7

[2]鄭煦平.IT環境下的審計風險判斷