IT審計風險評價與控制

隨著信息技術的高速迅猛發展，IT系統被廣泛應用于社會各領域，全面掌握著組織系統內部的管理與防控權。該系統的安全關系著整個組織體系的安危，作為該系統的“免疫衛士”——IT審計在IT治理、安全以及合規性操作上起著關鍵性的作用，是IT系統規范化和合理化操作的保障，同時也是推動審計技術和審計行業發展的源動力。基于此，該文通過對IT審計風險評價與控制的討論，提出相關的合理化建議，旨在為我國IT審計事業的發展提供參考。

IT審計是針對網絡信息系統的審計工作，隨著信息技術的高速速發展，信息化進程的不斷推進，IT審計的作用越來越凸顯，該系統是促進信息資源規范化、合理化建設的有力保證。然而，IT審計由于在技術上的要求極高，所涉及的范圍極廣，內容極為龐雜，相應的風險可能性也極高，加之其自身的特點對審計工作來說都是一種巨大的挑戰。而且，隨著技術的革新推進，IT審計也面臨著一系列新的問題，合理化IT審計風險評價與控制機制是當前IT業界和科研部門面臨的首要課題。

一、IT審計概述

對于初期的審計環境進行分析并提出合理化需求是IT有效化審計的關鍵環節，審計單位在沒有信息系統以及電子信息數據的情況下是無法進行IT審計的。只有從審計的實際情況出發，客觀分析，實事求是，才能夠有效地發揮其作用[1]。IT審計是在原有的傳統審計定義中拓展而來的新內涵，是將審計對象從財務領域拓展到信息系統中，具有一定的復雜和綜合的性質，其宗旨是保證信息資產安全、系統的有效可靠和高效性以及確保系統的完整性，它是IT界的“防護衛士”，是IT系統的“晴雨表”。與其他傳統環境下的審計相比，它在技術與方法上具有計算機技術的特征，信息技術是其堅實的后盾。

二、IT審計風險與控制

IT審計風險。IT環境下，審計存在一定的固有風險，主要致險因素存在于數據錄入及存儲以及傳輸轉移等環節。在錄入數據階段，由于大量的人工操作會出現誤錄數據或漏掉數據的可能，這就在很大程度上改變了金額的數據信息，導致賬面數據與實際狀況的失衡。在數據存儲過程中，由于存儲媒介的變化，以及“防火墻”等因素，數據被非法考錄或是篡改，可能產生一定的風險。與此同時，諸如系統網絡病毒、電源突然斷電以及程序在處理過程中發生錯誤，都會造成審計風險加大的可能性。在傳輸的環節中由于在兩個系統甚至是多個系統中進行操作，都會引發問題和風險。而且系統本身介質也存在一些不足和漏洞，如磁盤等硬件存儲設備，無法區分正副本，真假難辨，責任不清，很可能造成審計證據無法律效力，審計合法性受到威脅。

IT審計的特殊系統環境，導致很多傳統意義上的審計控制手段無法奏效，致使其存在著一定的控制性風險[2]。在IT中，主要是由電子的數據處理的功能直接取得交易授權，該系統下，在職責劃分上，由于許多的無法容和的職責，很可能在不適當的授權下，導致舞弊風險的發生，造成跨職責越權和重疊權限設置，從而導致審計控制措施無法發揮。另外，在該系統環境下，如果對電子數據處理部門不恰當的控制，很可能造成機密數據被不法分子進行復制、篡改。由于該系統的時效性和迅速的反應力，很可能當某一環節出現錯誤，就會導致第一時間內相關文件信息的失真，特別是當應用程序發生錯誤時，很可能造成計算機系統重復出錯。IT審計中還存在著難查線索、控制測試難度大以及技術風險控制難等檢查性風險。

IT審計風險控制。針對固有風險的控制主要是進行詳盡的審計前調查，在掌握審計對象相關的法規、管理條例的基礎上，對IT的技術文檔、系統模塊的框架以及操作手冊等進行實地觀察分析，在掌握主要系統模塊功能的同時，還要了解審計對象單位的相關操作流程和規定，并及時對電子資料數據進行真實性和合法性的評價，防止出現數據系統不真實的固有風險發生。做好事前審計，保證計算機信息系統運行以及數據處理結果方面的正確真實性，避免不真實的風險發生，定期進行審計[3]。通過對審計獲取證據的綜合方法進行審計證據的收集，降低審計中的檢查風險。

三、IT審計風險評價

IT審計風險評價的程序主要包括風險的分析、辨識以及風險的評價三個部分，風險評價是以風險的辨識與分析的結果為依據的，評價是辨識和分析的最終目的。風險評價是在辨識和分析的基礎上考量分析風險結構對組織目標實現的影響度的高低以及風險價值的評估[4]，通過定期的前提假設進行定量的估算與對比，并對結果參數進行調控和完善，完成IT審計風險的最終值的得出。

風險辨識主要是審計人員在熟悉審計程序后，通過審計調查，以及對結果的整合，識別IT的安全有效和可靠性，分析其可能的潛在的危害性。風險分析是在風險識別的基礎上對IT審計風險的形式及其特征進行明確的界定和敘述，分析和敘述發生風險的必要條件及可能性的大小，主要通過定量和定性分析方法，來分析各種風險因子。

對于IT審計風險評價當前主要采用的是定性和定量相結合的評價方法，在分析風險因子的基礎上，根據相關的數據資料并利用數學及統計方法進行計算，換算出未來風險概率，這種定量的分析得出結果。另外，就是根據審計人員的經驗等定性的材料進行分析。具體的方法主要有因素、蒙特卡羅方法、經驗以及層次等分析方法進行評價。雖然目前，我國在IT審計的評價和控制上已經形成了一定的方式方法，但是仍存在一些問題，基于此，筆者提出了相關的合理化建議，以期待給IT審計工作帶來一定的參考價值。

四、IT審計風險評價與控制的合理化建議

從體系法規上看，應加強IT審計立法，規范IT審計行為，制定IT審計職業準則。在立法建設中要根據我國的國情，借鑒國外的相關法規政策，制定與IT審計相匹配的法律體系，并在不斷的實踐中探索新的科學的合理的程序與方法，實現審計人員在工作中有法可依、有法可循。

加強專業人員隊伍的建設，建立完備的管理機制。加強對從業人員的專業系統化培訓，提高審計隊伍的綜合素質，構建專業化的行業協會組織[5]，并結合自身的具體情況制定相關標準和法律行政規范。加強政府對其的監督，確保國家各項基本政策的落實和有效實施，積極培育復合型專業人才，定期開展各類的實踐活動，提高審計師的各項能力素質，促進審計工作的專業化，有效化發展。建立完備的管理運營機制，提高審計效率，強調內部控制的作用，充分發揮審計工作的時效性，建立健全審計監督機制，保證組織內部的健康、安全、穩定的運作，真正發揮其“免疫衛士”的作用。

隨著信息技術不斷革新發展，我國信息化程度的不斷加深，為了適應日益激烈的市場競爭，提升組織內部的核心競爭力和生存力，組織內部加大推進信息系統建設的力度，從而產生了對信息系統審計的巨大需求，IT審計應運而生并不斷地發展壯大，該審計在優化組織資源信息結構以及內部管理中起著重要的作用，是保證組織健康、全面、可持續發展的基石。合理化IT審計風險評價與控制，提升審計質量具有重要的理論和實踐意義，應得到社會和IT業界的廣泛關

注，共同推進IT審計的有效化、合理化發展步伐。

（作者單位：（1沈陽農業大學；2.吉林大學）