淺談IT審計風險構成及防范措施

張強

摘要：對于組織經營管理而言，問題的預防作用勝于問題的解決，對IT審計風險的預防更重要。現對IT審計的特點及IT審計風險的構成進行分析，并提出了降低IT審計的固有風險;降低IT審計的控制風險;降低IT審計的檢查風險等防范措施。

關鍵詞：IT審計;審計的風險;防范措施

中圖分類號：F239? ? 文獻標識碼：A

文章編號：1005-913X（2019）06-0095-02

一、IT審計的特點

（一）IT審計是一個過程

IT審計是通過獲取的證據判斷信息系統是否能保證資產的安全、數據的完整和組織目標的實現，其貫穿于整個信息系統生命周期的全過程。

（二）IT審計的對象綜合且復雜

IT審計從縱向（生命周期）看，覆蓋了信息系統從開發、運行、維護到報廢的全生命周期的各種業務。從橫向（各階段截面）看，其包含對軟硬件的獲取審計、應用程序審計、安全審計等。IT審計將審計對象從財務范疇擴展到了同經營活動有關的一切信息系統。

（三）IT審計拓寬了傳統審計的目標

傳統審計目標僅僅包括“對被審計單位會計報表的合法性、公允性及會計處理方法的一貫性發表審計意見”。但IT審計除了上述目標外，還包括信息資產的安全性、數據的完整性及系統的可靠性、有效性和效率性。

（四）IT審計是一種基于風險基礎審計的理論和方法

IT審計從基于控制的方法演變為基于風險的方法，其內涵包括組織風險管理的整體框架，如內部環境的控制、目標的設定、風險事項的識別、風險的評估、風險的管理與應對、信息與溝通以及對風險的監控。

二、IT審計風險的構成

（一）IT審計的固有風險

IT審計的固有風險是指在不對信息系統部署任何控制措施情況下，信息系統自身所具有的風險。IT審計的固有風險是計算機系統本身所固有的，審計人員只能評估，卻無法控制或影響它。計算機固有風險的衡量是主觀的、復雜的。不同的計算機系統其固有風險水平不同。計算機硬件故障或軟件不足，易造成會計資料的損壞和丟失，導致會計數據處理過程中發生偶發錯誤。計算機會計系統的高度集成，導致了系統的復雜性、依賴性和脆弱性，數據容易被修改和盜取。用磁性介質存儲會計資料，其穩定性和安全性較差，計算機病毒的侵害容易造成會計數據丟失。系統管理人員的技術達不到管理系統所要求的水平，出現了技術應用和管理錯誤。系統管理人員由于特殊原因而擅自更改會計數據，或蓄意破壞、摧毀計算機會計系統。

（二）IT審計的檢查風險

IT審計的檢查風險可以通過調整實質性測試來進行控制，影響計算機審計檢查風險的因素實質上是由于計算機審計規范不完善，審計人員自身或者技術原因造成的影響實質性測試正確性的各種因素。

1.人員操作風險。審計人員在對會計信息系統進行審計時，由于過分依賴計算機運行得出的結果，而沒有對審計線索進行檢查。審計人員由于知識不夠或業務不熟，無法跟蹤審計，遺漏了審計證據。審計人員不了解會計信息系統的特點，不能審查識別其內部程序控制。

2.審計軟件風險。這種風險是指由于計算機軟件本身缺陷原因造成的風險。主要包括計算機審計技術的開發和推廣落后于計算機會計技術，并且技術含量偏低。研究開發人員對審計業務的不熟悉。沒有經過相關部門鑒定，導致軟件運行有風險。審計軟件與會計軟件的接口不匹配，導致數據不能導出。審計軟件配套升級滯后，影響了審計效率和質量。

3.管理風險。指的是對計算機審計管理制度不健全、不完善而導致的風險。主要包括缺乏相關的計算機審計操作規范，導致審計人員各行其是，審計目標、內容和手段等各不相同，管理風險增大。

（三）IT審計的控制風險

IT審計的控制風險是指在計算機系統運行中可能出現的重大錯誤，影響了單位經濟活動描述的真實性，沒能被計算機軟件的程序化控制及時發現或防止的風險。IT審計的控制風險大小主要與會計系統程序化設計的科學性、合理性和穩健性相聯系。

1.系統數據風險。會計數據在錄入時缺乏嚴格的控制，采用虛假、篡改和延遲等手段造成錯誤數據。數據存儲高度集中，卻缺乏嚴格的分級瀏覽控制。會計數據的處理責任大部分集中于計算機系統中，集中程度越高，會計風險越大。

2.系統環境風險。包括軟件環境風險和硬件環境風險，一方面是因為計算機信息系統的復雜性以及會計系統的聯網性，另一方面則是因為計算機設備的多樣化，從而導致系統環境風險的增大，

3.系統控制風險。由于會計系統的內部控制不嚴密造成的風險，系統控制是指在人和機器的雙重控制下，還需要建立外部網和網上交易的安全控制。審計人員需要對這些內容進行外部控制測試，難度很大。

三、IT審計風險的防范措施

對IT審計風險的防范可以從微觀和宏觀兩個方面進行。微觀上，不僅應努力提高審計人員的計算機審計技術和水平，在審計中選擇恰當的審計技術和方法，完善被審計單位的內部控制水平。宏觀方面，應盡快完善并推廣通用的計算機軟件，同時建立健全的計算機審計準則和標準，還要不斷創新計算機審計理論研究。

（一）降低IT審計的固有風險

1.完善審計軟件的設計，降低審計線索減少或消失的可能性。一是加強操作的謹慎性，只有在打印或存檔后才允許刪除。二是設置強制備份，防止數據丟失。三是未經許可不得更改報表的取數公式。取消反過賬反結賬的功能，記錄報表打印的次數。

2.改進數據錄入技術，降低錯誤的可能性。一是盡量采取掃描錄入，留有紙質備份。二是對于重要的憑證、報表要存盤，方便以后查閱。三是盡量使用自動轉賬功能，保證數據的完整準確。

3.加強內部控制機制，減少會計數據被修改、刪除和盜用的可能性。一是要配備性能優良的硬件設備，如增加數據備份，增加數據加密和設置防火墻等。二是得到后續軟件支持。三是建立安全穩定的運行環境，合理設置加密關口和防火墻。四是加強組織人員素質，完善規章制度。

（二）降低IT審計的控制風險

1.按照不同的操作權限設置密碼，提高約束機制的作用。首先，系統管理員為不同崗位的會計人員設置不同的權限和初始密碼。其次，會計人員在獲得權限后更改密碼。最后，要嚴格控制操作權限的設置。

2.建立組織和銀行之間的網絡連接，減少數據不一致的可能性。一是對組織內部的會計業務自動掃描原始憑證，依靠軟件自動生成記賬憑證。二是對組織和銀行之間的業務建立網絡連接，傳送實時數據，保證數據的同步一致。

3.提高網絡通信的效率，做好及時維護，保證系統的正常運行。一是選取性能良好的網絡平臺和配套傳輸設備。二是選擇運行良好的會計軟件。提高審計人員的計算機使用水平，保證能準確無誤的操作系統。

（三）降低IT審計的檢查風險

1.被審計單位應主動與審計師進行溝通，對歷史文件采取統一的存儲格式，降低文件無法閱讀的可能性。一是針對不同時期版本的會計軟件，備份數據時要采取統一的格式，以方便審計人員進行審計。二是制定會計軟件相關的行業標準，統一數據格式和外部接口。

2.設計一套能使檢查風險降到最低的審計檢查程序。一是檢查被審計單位的權限設置，對操作日志進行審查，尋找疑點。二是檢查被審計單位的取數公式。三是進行賬實核對、賬證核對、賬賬核對和賬表核對。四是檢查內部控制制度的完整性和會計政策的一貫性。IT審計是會計信息化的必然要求，審計人員首先要對IT審計風險理論進行系統的研究，構建IT審計風險理論體系，用理論指導實踐，加強人們對IT審計風險的認識。其次，要加強審計人員的審計風險教育，強化防范IT審計風險的意識，積極糾正IT審計出現的問題，營造良好的IT審計關系，有效防范IT審計風險。

參考文獻：

[1] 徐經緯.淺淡計算機審計風險及其防范對策[J].經濟研究導刊，2009（16）.

[2] 張繼偉.計算機審計風險成因及其防范對策[J].財會通訊，2009（22）.

[3] 武東萍.計算機審計風險探析[J].經濟問題，2009（3）.

[4] 肖 軍，翁曉華.關于計算機審計技術在內部審計中的實踐研究[J].商業會計，2011（2）.

[責任編輯：龐 林]