下载文档原格式
会计信息系统的风险防控会计信息系统是现代企业管理和信息化建设的重要组成部分。
它的正常运行和安全性对企业的财务决策和业务流程具有重要影响。
然而,随着信息化程度的提高,会计信息系统面临着一系列潜在的风险和安全威胁。
因此,建立有效的风险防控机制成为企业保障会计信息系统安全的关键步骤。
本文将详细介绍会计信息系统的风险,并提出相应的防控措施。
一、会计信息系统的风险:1. 内部控制不完善:会计信息系统的风险首先来自于企业内部,例如系统管理员的权限未得到严格控制,容易出现内部人员滥用权限等问题,进而导致数据泄漏、篡改等风险。
2. 外部攻击威胁:随着网络技术的迅速发展,黑客攻击成为会计信息系统面临的主要威胁之一。
黑客可能通过病毒、木马、网络钓鱼等方式入侵系统,窃取企业的财务数据,对企业造成巨大损失。
3. 设备设施故障:硬件设备和软件系统的故障可能导致会计信息系统的崩溃,进而影响正常的财务信息处理。
这种风险一般由技术团队负责解决,但需要及时进行风险评估和备份措施。
4. 数据传输和存储的安全性:数据传输和存储过程中都存在一定的安全风险,例如数据传输被窃取、存储设备被损坏或遭到入侵等。
这些风险可能导致企业财务数据的丢失或泄露,对企业经营造成严重影响。
二、会计信息系统风险防控的步骤:1. 风险评估:企业应首先对会计信息系统进行全面的风险评估。
评估包括对系统的整体安全性、关键数据的安全性、系统操作过程的安全性等方面进行评估,找出潜在的风险点。
2. 内部控制建设:加强内部控制是防范会计信息系统风险的重要手段。
企业应建立健全的权限管理制度,规范系统管理员的权限,定期进行权限审计;加强对内部员工的信息安全意识培训,防止内部员工滥用权限等。
3. 安全技术措施:企业应采用安全技术措施来保护会计信息系统的安全。
例如,建立防火墙、安装入侵检测系统、加密关键数据等,以防止黑客攻击和数据泄漏。
4. 备份与恢复计划:定期备份会计信息系统的数据并制定恢复计划,以应对可能发生的设备故障、数据丢失等突发情况。
信息系统安全风险评估与控制随着信息技术的快速发展,信息系统在我们生活和工作中扮演着越来越重要的角色。
然而,信息系统的安全问题也愈发严重,对企业和个人造成了巨大的威胁。
为了保障信息系统的安全,进行安全风险评估与控制是至关重要的。
一、信息系统安全风险评估1. 定义与目的信息系统安全风险评估是指对信息系统中存在的潜在威胁和漏洞进行评估,以确定可能发生的风险并采取相应的控制措施。
其目的是确保信息系统的机密性、完整性和可用性。
2. 流程与步骤a. 确定评估范围:确定需要评估的信息系统和相关资源范围,包括硬件、软件、人员和数据等。
b. 风险识别:识别可能存在的风险因素,包括物理访问安全、网络攻击、恶意软件、数据泄露等。
c. 风险分析:对已识别的风险进行分析,评估其可能性和严重性,并为每种风险进行优先级排序。
d. 风险评估:综合风险分析的结果,对每种风险进行评估,确定其对信息系统的威胁程度。
e. 风险报告:将风险评估结果整理成报告,包括风险概述、风险等级和建议的控制措施等。
3. 工具与技术a. 安全评估工具:如扫描工具、入侵检测系统等,用于发现潜在的漏洞和威胁。
b. 风险评估方法:包括定性分析和定量分析两种方法,用于评估风险的可能性和影响程度。
c. 信息收集技术:通过收集和分析信息,了解信息系统的业务流程和相关安全需求。
二、信息系统安全风险控制1. 控制目标与原则信息系统安全风险控制的目标是降低风险的可能性和影响程度,保护信息系统的机密性、完整性和可用性。
在进行安全风险控制时,需要遵循以下原则:a. 综合性原则:采取多种控制措施,构建多层次的安全防护体系。
b. 风险分级原则:根据风险的严重性和可能性,采取相应的控制措施。
c. 及时性原则:定期评估风险,及时调整和更新控制措施。
2. 控制策略与控制措施a. 物理控制措施:包括视频监控、门禁系统、机房防火墙等,用于保护信息系统的物理设施。
b. 逻辑控制措施:包括访问控制、身份认证、加密技术等,用于保护信息系统的逻辑安全。
信息系统安全风险管理与控制是当今企业必须重视的一个重要问题,因为随着信息技术的不断发展,企业对信息的依赖度越来越高,信息安全问题也愈发严重。
如何有效管理与控制信息安全风险,保障企业信息安全,已成为各大企业必须解决的难题。
一、安全风险评估要想有效地管理与控制信息安全风险,首先要对安全风险进行全面评估,找出潜在的安全风险点,做到心中有数。
进行安全风险评估时,首先要制定安全评估框架,明确评估的目标、对象、评估标准以及评估方法。
然后,根据企业实际情况,进行安全风险识别、分析和评估。
在识别安全风险时,要结合企业实际情况进行全面分析,包括人、物、技术等多方面的因素。
在分析安全风险时,要明确各种风险的危害性和发生的概率,形成风险评价结果,最后进行综合评估。
通过安全风险评估,企业能够找出潜在的风险点,对企业进行有效的安全防范,保护企业信息的安全。
二、安全政策与流程制定企业中应该制定详细的安全政策与流程,规范代码及其他信息技术工具的使用,以确保信息的安全。
安全政策应当明确企业对于信息安全的要求和规定,包括风险控制的目标、控制措施以及安全责任和义务等。
安全流程应该细分各个环节,准确描述安全控制步骤,规范员工的行为以及执行安全措施。
制定完善的安全政策与流程,对于企业中各部门的安全管理与安全控制提供了有力的制度保障。
制定安全政策与流程,不仅能够提升信息安全的保障水平,还能够加强企业的安全意识,实现企业信息的全面保护。
三、安全技术措施信息系统安全风险控制中,最重要的是安全技术措施的设置。
各种技术手段的应用能够有效地防范网络安全风险的发生。
首先,企业应该采用网络安全设备,如防火墙、入侵检测、安全审计等,能够有效地控制网络的访问和传输,实现信息的安全控制与监管。
同时,企业应该加强账户管理与权限控制,对核心资产进行统一管控。
其次,企业还应该采用加密技术措施,如SSL/TLS、VPN等,对网络传输过程进行加密,确保信息传输过程中不被窃取、窃听或篡改。
信息系统审计的风险与安全问题随着信息技术的飞速发展,信息系统成为了现代社会中不可或缺的一部分。
然而,随之而来的是信息系统面临的各种风险与安全问题。
信息系统审计作为一项重要的管理控制措施,旨在评估和改善信息系统的风险和安全性。
本文将探讨信息系统审计中存在的风险与安全问题,并提出相应的解决方案。
首先,信息系统审计中的风险之一是数据泄露。
随着大数据时代的到来,企业和组织存储的数据量越来越庞大,其中包含了大量的敏感信息。
如果这些数据泄露给未经授权的人员,将会给企业和组织带来巨大的损失。
因此,信息系统审计应该加强对数据存储和传输的监控,采取加密和访问控制等措施,确保数据的安全性。
其次,信息系统审计中的风险之二是系统漏洞。
信息系统中存在各种漏洞,黑客可以利用这些漏洞进行攻击,从而获取系统的控制权。
为了减少系统漏洞带来的风险,信息系统审计应该加强对系统的漏洞扫描和修复,及时更新系统的补丁,确保系统的安全性。
另外,信息系统审计中的风险之三是内部威胁。
内部员工对信息系统的滥用和不当操作可能会导致系统的风险和安全问题。
为了防止内部威胁,信息系统审计应该建立完善的权限管理制度,限制员工的权限,并定期对员工进行培训,提高他们的安全意识。
此外,信息系统审计中的风险之四是外部攻击。
随着网络攻击技术的不断发展,黑客可以通过各种手段对信息系统进行攻击,如DDoS攻击、SQL注入等。
为了应对外部攻击,信息系统审计应该加强对网络流量的监控和分析,及时发现和阻止攻击行为,并建立紧急响应机制,提高系统的抵御能力。
最后,信息系统审计中的风险之五是合规问题。
随着法律法规的不断更新和完善,企业和组织需要遵守各种合规要求,如个人信息保护法、网络安全法等。
信息系统审计应该加强对合规要求的监督和检查,确保企业和组织的合规性,避免因违反合规要求而面临的法律风险。
综上所述,信息系统审计面临着诸多风险与安全问题。
为了有效应对这些问题,信息系统审计应该加强对数据泄露、系统漏洞、内部威胁、外部攻击和合规问题的管理和控制。
会计信息系统安全与审计的风险与防范随着信息技术的不断发展与应用,会计信息系统在企业管理中扮演着日益重要的角色。
然而,由于其特殊的属性,会计信息系统也面临着诸多安全与审计的风险。
本文将探讨会计信息系统安全与审计的风险,并提出相应的防范措施。
一、会计信息系统安全的风险会计信息系统的安全风险主要包括以下几个方面:1. 数据泄露风险:会计信息系统中存储着企业的重要财务数据、客户信息等敏感数据,一旦泄露将对企业造成巨大的财务和声誉损失。
2. 数据篡改风险:未经授权的修改或篡改会计信息系统中的数据可能导致企业财务报告的错误,进而影响对企业财务状况的正确评估与决策。
3. 网络攻击风险:会计信息系统连接在互联网上,容易受到黑客攻击、病毒传播等恶意行为的威胁,导致系统瘫痪或数据丢失。
4. 内部控制不足风险:如果企业没有建立健全的内部控制制度和审计机制,会计信息系统的使用可能被滥用,导致数据的错误处理和操纵。
二、会计信息系统审计的风险会计信息系统审计的风险主要体现在以下几个方面:1. 审计数据完整性风险:会计信息系统可能存在数据缺失、重复、错误等问题,审计人员需要确保数据完整性,以减少审计结果的偏差。
2. 审计数据真实性风险:会计信息系统中的数据可能经过篡改,审计人员需要通过技术手段和程序验证数据的真实性。
3. 审计程序有效性风险:会计信息系统的复杂性给审计程序的设计与执行带来一定的挑战,审计人员需要确保审计程序的有效性,以保证审计结果的准确性和可靠性。
4. 审计人员素质风险:由于会计信息系统的复杂性,审计人员需要具备较强的专业知识和技能,缺乏相关素质的审计人员可能无法正确评估会计信息系统的风险。
三、会计信息系统安全与审计的风险防范为了提高会计信息系统的安全性,并减少审计风险,以下是一些常用的防范措施:1. 建立健全的安全策略:企业应建立完善的安全策略和制度,包括访问控制、密码策略、网络防火墙等措施,以保护会计信息系统不被非法入侵。
审计师的信息系统风险与审计随着科技的不断发展和信息化程度的提高,信息系统在企业的运营和管理中扮演着越来越重要的角色。
然而,信息系统也带来了一系列的风险,尤其是在数据安全、数据完整性和信息准确性方面。
审计师在履行其职责过程中需要关注和评估信息系统风险,并采取相应的审计措施来保障信息的可靠性和无误性。
一、信息系统风险的类型信息系统风险可以分为内部风险和外部风险两大类。
内部风险主要指企业内部对信息系统管理不规范、操作不当所导致的风险,如员工的错误操作、系统管理员的疏忽等。
外部风险则是指来自外部环境、网络攻击、恶意软件等因素导致的信息系统风险。
二、信息系统风险的影响信息系统风险的存在对企业运营和管理带来了严重影响。
首先,数据泄露和损坏可能导致企业的商业机密被泄露,造成巨大经济损失和品牌声誉受损。
其次,信息系统的瘫痪或故障可能导致企业的生产和服务中断,进一步影响企业的运作和利润。
此外,信息系统风险还可能导致企业无法满足法规和法律要求,进而面临法律诉讼和罚款。
三、审计师的角色与责任作为审计师,其主要责任是评估和审计企业的财务报表的真实性和准确性。
然而,随着信息系统在企业的广泛应用,审计师也需要关注信息系统风险对财务报表的影响。
审计师在履行职责的过程中需要熟悉企业的信息系统,并通过相应的审计程序来评估信息系统风险。
四、审计师的信息系统审计程序为了评估信息系统风险,审计师可以采取以下审计程序:1. 了解企业的信息系统框架和架构,并评估其合理性和安全性;2. 确定关键数据和应用系统,并评估其对企业运营和财务报告的重要性;3. 对信息系统的控制措施进行测试,包括用户权限管理、数据备份和恢复、安全防护措施等;4. 评估信息系统的脆弱性,包括网络安全、软件漏洞等;5. 根据评估结果制定相应的审计策略和程序,以确保审计的可靠性和有效性。
五、信息系统审计报告的编写根据对信息系统风险的评估和审计程序的执行结果,审计师需要向企业管理层出具信息系统审计报告。
浅谈信息系统审计研究摘要信息系统审计是指对组织的信息系统进行监控、分析和评估的过程,以确保其安全性和合规性。
随着信息系统在企业管理中的不断普及和重要性的增加,信息系统审计也成为了一个关键的研究领域。
本文将从信息系统审计的定义和目标、审计方法和技术、审计过程和挑战等方面,对信息系统审计研究进行浅谈。
1. 信息系统审计的定义和目标信息系统审计是指通过对信息系统的检查、监控和评估,评估其有效性、合规性和安全性的过程。
信息系统审计的目标是为了保证组织的信息系统在运行过程中能够达到其设计目标,并防止潜在的风险和安全漏洞。
信息系统审计可以分为内部审计和外部审计两类。
内部审计是指组织内部的审计人员对信息系统进行审计,以确保其内部控制和运作的有效性。
外部审计是指由外部独立审计机构对信息系统进行审计,以对组织的信息系统提供独立、公正的评估。
2. 审计方法和技术信息系统审计可以通过多种方法和技术来实现。
其中,常见的审计方法包括问卷调查、访谈、观察、抽样检查等。
问卷调查是一种通过向组织的员工和管理层发放问卷,收集他们对信息系统的使用和满意度的意见和建议的方法。
访谈是一种通过与组织的员工和管理层进行交流,了解他们对信息系统的使用和管理的看法和体验的方法。
观察是一种通过观察组织的信息系统使用情况和运作过程,评估其安全性和合规性的方法。
抽样检查是一种通过对信息系统中的数据和记录进行抽样检查,评估其准确性和完整性的方法。
除了传统的审计方法之外,信息系统审计还可以借助一些技术工具来提高效率和准确性。
例如,数据分析工具可以对信息系统中的大量数据进行分析和挖掘,以发现潜在的问题和风险。
网络安全扫描工具可以对组织的信息系统进行全面扫描,识别出潜在的安全漏洞和威胁。
同时,人工智能和机器学习技术的发展也为信息系统审计带来了新的可能性,可以通过对大量数据的分析和处理,提供更准确和全面的审计结果。
3. 审计过程信息系统审计的过程可以简单分为准备阶段、实施阶段和总结阶段。
数据库审计与风险控制系统在现代信息化的社会中,数据库的安全与风险控制成为了一个至关重要的问题。
数据库审计与风险控制系统的出现,为企业和组织提供了一种有效管理数据库安全的手段。
本文将从数据库审计的概念、数据库审计的重要性、数据库审计与风险控制系统的功能等多个方面来探讨数据库审计与风险控制系统的相关内容。
一、数据库审计的概念数据库审计是指对数据库中的操作进行记录、存储、监控和分析的一种技术手段。
通过对数据库的审计,可以监控和分析数据库中的操作行为,包括增、删、改、查等操作,从而发现和预防潜在的安全风险和数据泄露等问题。
二、数据库审计的重要性1. 提高安全性:数据库审计能够记录数据库的操作行为,发现恶意访问、非法操作等安全威胁,并及时采取相应的措施,从而保障数据库的安全性。
2. 提升合规性:企业和组织需要遵守法律法规、行业标准和内部规定,数据库审计可以帮助企业和组织检测是否存在合规性问题,并及时进行整改。
3. 支持取证调查:数据库审计可以提供详细的操作日志,为安全事件的调查和取证提供有力的证据,有助于确保数据的真实性和完整性。
4. 优化性能:通过数据库审计的分析结果,可以了解数据库的性能瓶颈和优化空间,从而改进数据库的设计和维护策略,提升数据库的性能。
三、数据库审计与风险控制系统的功能1. 审计日志记录:数据库审计与风险控制系统能够实时记录数据库的操作行为,包括用户登录、权限管理、数据操作等,保留审计日志并提供查询和分析功能。
2. 安全事件监控:系统可以对数据库进行实时监控,发现异常和风险事件,并及时发送警报通知相关人员,以便及时采取应对措施,避免造成更大的损失。
3. 风险评估与预测:系统能够评估数据库的风险程度,并根据历史数据和算法进行风险预测,帮助企业和组织做出相应的风险防范措施。
4. 数据完整性验证:系统可以对数据库的数据进行完整性验证,防止数据被篡改或损坏。
一旦发现数据异常,系统会及时报警并采取相应的修复措施。
信息系统安全审计的方法与技巧信息系统安全审计是保障组织信息资产安全的重要环节。
随着互联网和信息技术的迅猛发展,信息系统安全面临着越来越多的威胁。
因此,对信息系统进行定期审计,发现潜在的安全风险并采取相应的措施进行防护是至关重要的。
本文将介绍一些常用的信息系统安全审计方法与技巧,以帮助读者更好地理解和应用于信息系统安全管理中。
一、审计目标与范围定义信息系统安全审计的第一步是明确审计的目标和范围。
审计目标是指审计人员要实现的具体目的,可以是发现潜在的安全漏洞、评估系统安全控制的有效性、验证合规性等。
而审计范围则是指审计人员将要审计的信息系统的范围,包括系统的硬件设备、应用软件、网络架构、数据库等。
二、信息收集与分析在信息系统安全审计中,收集和分析系统日志和相关数据是至关重要的,可以帮助发现潜在的安全威胁和异常行为。
审计人员可以利用各种技术手段和工具来收集和分析相关数据,例如使用网络流量监测工具来捕获网络数据包、使用入侵检测系统(IDS)来检测系统异常行为等。
通过详细的信息收集和分析,审计人员可以更全面地了解系统的当前状态,并判断是否存在潜在的安全问题。
三、风险评估与控制验证信息系统安全审计的一个重要目标是评估系统的风险水平,并验证系统已经实施的安全控制是否有效。
审计人员可以使用各种常用的风险评估方法,例如使用定量风险评估模型来计算系统的风险值,使用漏洞扫描工具来发现系统中的漏洞等。
同时,审计人员还需要验证系统已经实施的安全控制措施是否有效,例如测试系统的访问控制、密码策略、网络防火墙等。
四、合规性审计与法规遵循在信息系统安全审计中,通过合规性审计可以评估组织是否符合相关的法规和标准要求,例如数据隐私保护法、个人信息保护法等。
通过合规性审计可以帮助组织防范法律风险,保护用户和组织的合法权益。
审计人员需要仔细查阅相关法规和标准,了解组织是否存在违规行为,并提出改进建议。
五、报告编写与沟通最后一步是根据审计结果编写审计报告,并与组织内部相关人员进行沟通。
浅谈信息系统审计风险与控制
作者:孙晶
来源:《中国管理信息化》2012年第22期
[摘要] 随着整个社会信息化进程的不断加速,审计面对的已不再是单一的手工会计资料,正逐渐被计算机信息系统本身及其高度集中的大量电子数据所取代。
信息系统给审计带来了不可避免的冲击与挑战,也使审计面临着新的风险和控制。
[关键词] 信息系统审计;审计风险;风险控制
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 22. 010
[中图分类号] F239 [文献标识码] A [文章编号] 1673 - 0194(2012)22- 0018- 02
在信息大爆炸的今天,随着被审计对象信息化的高速发展,信息系统越来越多地成为被审计单位内部管理与内部控制的关键工具,审计人员面对的资料已不再是单一的手工会计凭证、账簿和报表,而是计算机信息系统本身及其高度集中的大量电子数据。
信息系统由于其自身所具有的特点给审计带来了不可避免的冲击与挑战,也使审计面临着新的风险。
1 信息系统审计的特点
1.1 审计的环境不同
信息系统审计是否能够发挥有效作用,与前期的审计环境分析、合理审计需求提出密切相关。
例如:审计某施工单位,需要核实施工材料的领用情况。
如果被审计单位没有信息系统,也没有电子数据,这种情况下就不具备开展信息系统审计的条件。
如果审计小组决定将施工材料领用单逐笔输入数据库中进行数据挖掘分析,结果可想而知,浪费时间不说还没有任何成果。
只有从审计实际情况出发,实事求是,客观分析,信息系统审计才能够发挥积极的作用。
1.2 审计的对象不同
信息系统审计拓展了传统审计的内涵,将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统,具有综合性和复杂性。
1.3 审计的目标不同
信息系统审计没有改变审计的目标,但除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
1.4 审计的方法不同
计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比,相应增加了计算机技术的内容。
2 信息系统审计面临的风险
2.1 固有风险
计算机信息系统环境下,下列环节可能导致固有风险增高:①数据录入环节。
计算机信息系统下,大量的数据靠人工录入,有些人工录入时发生的错录和漏录,可能会影响金额的变化而并不影响机制凭证、账簿和报表表面上的相互平衡。
②数据存在环节。
在计算机信息系统环境下,由于存储介质的改变,信息高度集中于计算机信息系统。
一旦用户非法透过计算机系统的“防火墙”,数据被不法分子拷贝,甚至可能被进行非法篡改而不留下任何痕迹。
同时,计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也极易破坏和修改电子数据,造成账实不符,增加固有审计风险的可能性。
③数据传输转移环节。
在信息系统中,有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移,在此过程中可能会出现一些问题,尤其是在需要手工重新录入时。
④介质本身缺乏证明力。
在信息系统中,主要以磁盘、磁带等磁介质作为信息载体,对数据和程序修改可不留痕迹,被复制后的数据很难区分正副本,如果仅依靠磁介质载体,可能造成责任不清、真伪难辨,使审计证据缺乏法律效力。
2.2 控制风险
计算机信息系统环境下,可能导致许多传统的控制活动已经失去意义。
①交易授权。
在计算机信息系统中,直接由电子数据处理功能取得授权、批准。
②职责划分。
在计算机系统下,一是通过划分操作员的责任范围,设置权限和密码实现人员职责分工。
二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。
由于在计算机信息系统中许多不相容职责相对集中,可能因为不恰当的授权而加大舞弊的风险,权限设置的重叠或跨责任中心越权设置,使这一控制措施有可能形同虚设。
③凭证与记录控制。
在计算机信息系统中,终端操作者把业务直接输入计算机而没有留下任何凭证。
④资产接触与记录控制。
在信息环境下,大部分经营数据集中于电子数据处理部门,如果缺乏适当的控制,未经授权人员可能通过外部指令、甚至远程入侵系统,机密数据很可能被非法复制或篡改。
⑤独立稽核。
在信息系统中,在某个环节发生错误很可能在短时间内使得相应的文件、账簿乃至整个系统的信息失真。
如果是应用程序产生错误,计算机可能会反复产生错误结果。
2.3 检查风险
信息系统审计中检查风险主要产生于以下3个方面:①审计线索难以查找。
在手工环境中,会计账务处理的每一个步都有文字记录和相关人员签章,审计线索清晰;在信息系统环境中,从原始数据录入到报表的自动生成,忽略了中间处理过程;利用信息技术也难以实现如签名、盖章等这些使审计线索证据化的操作,给审计追踪带来了重重困难。
同时,由于各类数据
文件都存储在磁介质中,设计者如果没有事先考虑审计的需要,在系统中设置跟踪程序的话,也会很难留下有价值的审计线索,加大审计难度。
②控制测试难度增加。
手工系统下,内部控制的情况看得见、摸得着,有据可查;而在计算机信息系统环境下,内部控制主要依赖于软件本身,内部控制融于系统软件之中,一方面,审计人员无法通过传统审计方法进行控制测试,另一方面也要求审计人员掌握较高的计算机操作水平。
③技术风险难以控制。
在越来越广泛的网络交易中,随着人工干涉越来越少时,对控制信息技术是否有效进行的检查将更具实际意义,降低这种检查风险将比任何时候都更具重要意义。
如在网络灾难导致数据存储平台或数据处理平台瘫痪时,灾难防御计划能使信息处理功能迅速恢复,这些都是任何信息化交易需要加以关注的基本审计风险。
3 信息系统审计风险控制
3.1 固有风险控制
①开展详尽的审前调查。
除了掌握与被审计单位管理的相关的法规及被审计单位内部出台各项管理规定外,重点应了解信息系统的技术文档和操作手册,发放信息系统调查表,对系统模块框架进行实际观察,印证各流程业务之间的衔接,并掌握待分析的业务数据表及所需分析字段的属性含义、掌握信息系统主要模块功能。
同时要掌握与被审计单位业务管理有关的操作流程和规定。
②对计算机信息系统的电子资料的真实性、合法性进行评价,防止和揭露信息系统失真的固有风险。
③了解主要业务流程。
应对各个业务流程模块的内部逻辑和各个模块的大致框架、信息交互,尤其是从数据流方面有整体了解。
3.2 控制风险防范
(1)积极开展计算机信息系统内部控制的事前审计。
对其严密完善性,系统的合规合法性以及系统的可审性等进行评价,保证计算机信息系统运行以后数据处理结果的真实性和正确性,防止和减少其失真风险的发生。
(2)定期对被审计系统的内部控制制度进行审计。
信息系统审计内部控制的目的与会计手工系统审计的目标是一致的,但是由于计算机特有的自动处理功能的存在,使得其内部控制的要求更为严格,在控制方式、内容、手段等方面均不同于传统审计:①运行审查。
即对信息系统再输入、处理、输出过程中运行情况审查。
②职权审查。
把重要的任务功能按用户或用户组进行分离,以减少无意的误操作、滥用系统资源和对数据的非授权修改。
③人员素质审查。
即对是否有以提高人员素质为目的的控制措施的审查。
④修改方式审查。
应该保证财务信息系统的所有修改都是经过授权、有文档记录、经过彻底(独立地)测试的,确认最后以一种有控制的方式投入使用。
⑤运行环境审查。
必须建立一套控制措施,检测病毒,防止病毒感染财务信息系统。
(3)重视对信息系统事后审计。
通过事后审计,对信息系统的电子账以及打印输出资料的真实性、合法性进行评价,防止和揭露计算机信息失真的风险。
3.3 检查风险控制
一方面,通过综合运用审计取证方法来获取更为充分的审计证据,从而达到降低审计风险的目的。
如在对系统物理控制审计时,要充分运用观察、询问、检查等审计方法;对信息系统保障产生数据真实性、完整性、可靠性等应用控制审计时,要灵活运用重新计算、重新操作等审计方法对业务管理模块进行有效核查等。
另一方面应不断提高审计人员业务素质和道德素养。
这就要求审计人员不仅要有丰富的会计、财务、审计知识和技能,而且还应该掌握计算机知识和应用技术,掌握数据处理和管理技术,不仅要懂得审计软件的操作方法,而且也应当根据审计过程中出现的种种问题,及时编写各种测试、审计程序模块。
主要参考文献
[1]刘伟.信息化环境对内部审计的影响[J].中国管理信息化,2012(3):18-19.
[2]黄映芬.信息系统下审计证据的可靠性探析[J].审计月刊,2010(4):28-29.。
