信息系统审计风险控制研究摘要。近年来,随着互联网时代的到来,使得信息技术日益成熟,但尽管是在互联网技术使用广泛的当下,信息系统的审计风险问题仍然存在。无论是固有风险、控制风险还是检查风险,这些信息系统审计风险,都在一定程度上影响和限制了信息系统的有效运作。cobit控制理念作为信息系统审计风险控制体系的重要理念,对其起到启示和优化建设作用。关键词:cobit;控制理念;信息系统;审计;风险控制基于cobit控制理念,cobit控制理念的控制目标主要分为五点。第一是高效性,通过最高层或最经济的模式,利用现有资源来提供充分的信息,实现信息系统信息对称性的强化。第二是机密性,对于涉及敏感话题的信息予以保护,对于未经授权的信息和话题等进行有效维护,尽可能避免隐私或敏感信息被披露。第三是完整性,通过精准完全的信息,实现有效的商业评价或期望。第四是可用性,在应对商业处理需求时,信息是切实可用的。第五是准时信息可靠性,他们为管理者日常经营管理提供有效的信息基础。cobit控制理念对信用系统审计风险控制体系的形成有直接贡献。1信息系统审计风险的类别和特征1.1固有风险。所谓固有风险,通常是由于企业自身缘故而导致的风险,这部分风险与信息系统审计并没有直接关系。当企业经营管理过程中,企业信息系统没有内部控制,信息系统就可能存在安全隐患,这些安全漏洞会导致企业信息系统面临较大的风险。一般来说,固有风险包括系统设计风险、系统风险和系统环境风险,我们从不同的角度对信息系统本身做出综合分析,系统设计风险,主要是基于信息不对称问题做出考虑。1.2控制风险。所谓控制风险,它与企业信息系统审计业务直接关联,通常是企业信息出现重大错误,内部控制人员却未能及时纠正或防止该错误而导致的风险。在现代化发展过程中,互联网时代的到来,使得各行各业对互联网技术的应用不断增多,信息系统的普及度也日益增广。但尽管是在这样的前第1页共6页提下,部分企业仍然疏于对信息系统数据处理的高度重视,处理流程和控制程序方面存在一定的限制。无论是约束机制失效风险,还是系统数据安全性风险,都会对信息系统本身造成威胁。1.3检查风险。所谓检查风险,它与信息系统审计有直接关联,通常是指信息系统审计人员在加强信息数据筛选和审核时,对于实质性测试工具未发挥有效作用,相关测试程序也未能检查出系统风险。通常来说,当审计人员职业能力水平较低时,他们可能由于信息系统过于复杂,而无法实现有效的安全隐患防范。除此之外,当审计人员出现职业道德问题时,他们也不能在信息系统环境下实现职业操守与职业机密。换言之,审计人员所选择的审计方法和审计程序,并不足以让他们完成相应的审计任务,审计过程中所存在的检查风险就会比较突出。2信息系统审计风险形成的原因分析2.1信息化审计环境过于波动。基于目前的发展,信息系统审计风险之所以存在,这主要是由于信息化环境过于波动,在电子数据容易被更改或破坏的前提下,信息系统的审计管理是相对困难的。当审计工作人员需要在现有的信息系统基础上,筛选和整理与信息系统审计风险相关的数据资料,做好有效的数据分析和整理时,一旦他们所获取的电子数据是已被更改或破坏的,信息系统审计证据的采集就会受到限制。尤其是在信息化审计环境过于波动的前提下,信息系统环境风险不断加大,当信息系统的设计本身存在缺陷时,审计工作人员无法根据波动的环境,做好有效的信息筛选,信息系统审计风险由此产生。2.2信息系统审计缺少规范的法律法规。任何行业的发展都需要有相应的法律法规和审计准则为之提供保障,但从目前的发展来看,审计准则只针对一般行业有所限定,对于信息系统却未做出有效的审计管理,相关法律法规也不够健全。在日常加强信息系统审计风险控制与管理过程中,审计工作人员只能按照既定的条例完成相应的审计工作,他们没有办法参照健全的法律法规或审计准则,实现对审计业务执行的规范化操作,第2页共6页此时,部分审计工作人员就由于执业规范性的缺失,出现审计工作质量上的疏忽,信息系统审计风险的加大是显而易见的。2.3审计人员执业水平与信息系统发展。不协调...
