導語：信息系統(tǒng)審計風險控制研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：近年來，隨著互聯(lián)網(wǎng)時代的到來，使得信息技術日益成熟，但盡管是在互聯(lián)網(wǎng)技術使用廣泛的當下，信息系統(tǒng)的審計風險問題仍然存在。無論是固有風險、控制風險還是檢查風險，這些信息系統(tǒng)審計風險，都在一定程度上影響和限制了信息系統(tǒng)的有效運作。COBIT控制理念作為信息系統(tǒng)審計風險控制體系的重要理念，對其起到啟示和優(yōu)化建設作用。

關鍵詞：COBIT;控制理念;信息系統(tǒng);審計;風險控制

基于COBIT控制理念，COBIT控制理念的控制目標主要分為五點。第一是高效性，通過最高層或最經(jīng)濟的模式，利用現(xiàn)有資源來提供充分的信息，實現(xiàn)信息系統(tǒng)信息對稱性的強化。第二是機密性，對于涉及敏感話題的信息予以保護，對于未經(jīng)授權的信息和話題等進行有效維護，盡可能避免隱私或敏感信息被披露。第三是完整性，通過精準完全的信息，實現(xiàn)有效的商業(yè)評價或期望。第四是可用性，在應對商業(yè)處理需求時，信息是切實可用的。第五是準時信息可靠性，他們?yōu)楣芾碚呷粘＝?jīng)營管理提供有效的信息基礎。COBIT控制理念對信用系統(tǒng)審計風險控制體系的形成有直接貢獻。

1信息系統(tǒng)審計風險的類別和特征

1.1固有風險。所謂固有風險，通常是由于企業(yè)自身緣故而導致的風險，這部分風險與信息系統(tǒng)審計并沒有直接關系。當企業(yè)經(jīng)營管理過程中，企業(yè)信息系統(tǒng)沒有內(nèi)部控制，信息系統(tǒng)就可能存在安全隱患，這些安全漏洞會導致企業(yè)信息系統(tǒng)面臨較大的風險。一般來說，固有風險包括系統(tǒng)設計風險、系統(tǒng)風險和系統(tǒng)環(huán)境風險，我們從不同的角度對信息系統(tǒng)本身做出綜合分析，系統(tǒng)設計風險，主要是基于信息不對稱問題做出考慮。1.2控制風險。所謂控制風險，它與企業(yè)信息系統(tǒng)審計業(yè)務直接關聯(lián)，通常是企業(yè)信息出現(xiàn)重大錯誤，內(nèi)部控制人員卻未能及時糾正或防止該錯誤而導致的風險。在現(xiàn)代化發(fā)展過程中，互聯(lián)網(wǎng)時代的到來，使得各行各業(yè)對互聯(lián)網(wǎng)技術的應用不斷增多，信息系統(tǒng)的普及度也日益增廣。但盡管是在這樣的前提下，部分企業(yè)仍然疏于對信息系統(tǒng)數(shù)據(jù)處理的高度重視，處理流程和控制程序方面存在一定的限制。無論是約束機制失效風險，還是系統(tǒng)數(shù)據(jù)安全性風險，都會對信息系統(tǒng)本身造成威脅。1.3檢查風險。所謂檢查風險，它與信息系統(tǒng)審計有直接關聯(lián)，通常是指信息系統(tǒng)審計人員在加強信息數(shù)據(jù)篩選和審核時，對于實質(zhì)性測試工具未發(fā)揮有效作用，相關測試程序也未能檢查出系統(tǒng)風險。通常來說，當審計人員職業(yè)能力水平較低時，他們可能由于信息系統(tǒng)過于復雜，而無法實現(xiàn)有效的安全隱患防范。除此之外，當審計人員出現(xiàn)職業(yè)道德問題時，他們也不能在信息系統(tǒng)環(huán)境下實現(xiàn)職業(yè)操守與職業(yè)機密。換言之，審計人員所選擇的審計方法和審計程序，并不足以讓他們完成相應的審計任務，審計過程中所存在的檢查風險就會比較突出。

2信息系統(tǒng)審計風險形成的原因分析

2.1信息化審計環(huán)境過于波動?；谀壳暗陌l(fā)展，信息系統(tǒng)審計風險之所以存在，這主要是由于信息化環(huán)境過于波動，在電子數(shù)據(jù)容易被更改或破壞的前提下，信息系統(tǒng)的審計管理是相對困難的。當審計工作人員需要在現(xiàn)有的信息系統(tǒng)基礎上，篩選和整理與信息系統(tǒng)審計風險相關的數(shù)據(jù)資料，做好有效的數(shù)據(jù)分析和整理時，一旦他們所獲取的電子數(shù)據(jù)是已被更改或破壞的，信息系統(tǒng)審計證據(jù)的采集就會受到限制。尤其是在信息化審計環(huán)境過于波動的前提下，信息系統(tǒng)環(huán)境風險不斷加大，當信息系統(tǒng)的設計本身存在缺陷時，審計工作人員無法根據(jù)波動的環(huán)境，做好有效的信息篩選，信息系統(tǒng)審計風險由此產(chǎn)生。2.2信息系統(tǒng)審計缺少規(guī)范的法律法規(guī)。任何行業(yè)的發(fā)展都需要有相應的法律法規(guī)和審計準則為之提供保障，但從目前的發(fā)展來看，審計準則只針對一般行業(yè)有所限定，對于信息系統(tǒng)卻未做出有效的審計管理，相關法律法規(guī)也不夠健全。在日常加強信息系統(tǒng)審計風險控制與管理過程中，審計工作人員只能按照既定的條例完成相應的審計工作，他們沒有辦法參照健全的法律法規(guī)或審計準則，實現(xiàn)對審計業(yè)務執(zhí)行的規(guī)范化操作，此時，部分審計工作人員就由于執(zhí)業(yè)規(guī)范性的缺失，出現(xiàn)審計工作質(zhì)量上的疏忽，信息系統(tǒng)審計風險的加大是顯而易見的。2.3審計人員執(zhí)業(yè)水平與信息系統(tǒng)發(fā)展。不協(xié)調(diào)在現(xiàn)代化發(fā)展過程中，各行各業(yè)都追求德智體美勞全方位發(fā)展的優(yōu)秀人才，信息系統(tǒng)審計人才隊伍建設也不例外。但基于當前的發(fā)展，審計人員執(zhí)業(yè)水平與信息系統(tǒng)發(fā)展不協(xié)調(diào)，這在很大程度上限制了信息系統(tǒng)審計風險控制的效果。在前期發(fā)展過程中，信息系統(tǒng)審計難度較小，審計人員能夠以目前已有的執(zhí)業(yè)水平完成相應的審計工作，但在發(fā)展進入到中后期時，信息系統(tǒng)審計難度不斷加大，審計人員需要提升原有的執(zhí)業(yè)水平，以適應新階段的新系統(tǒng)發(fā)展需求，但從實際發(fā)展來看，只有少部分審計人員通過系統(tǒng)地學習提升了個人水準，大部分審計人員的執(zhí)業(yè)水平仍不太協(xié)調(diào)。2.4審計人員個體知識掌握薄弱。隨著信息系統(tǒng)復雜性的加強，信息系統(tǒng)的電子數(shù)據(jù)處理難度不斷加大，審計證據(jù)的查找也會面臨較大的障礙。盡管在日常發(fā)展過程中，審計工作人員能夠根據(jù)已有的相關城市，通過先進的審計技術來降低檢查風險，但在實際運作過程中，部分審計工作人員對會計軟件和計算機系統(tǒng)的知識掌握相對薄弱，他們對信息技術的應用也不夠靈活，這使得審計風險不斷擴大。以三四線城市為例，三四線城市的審計人員就可能由于個人知識掌握薄弱，出現(xiàn)信息系統(tǒng)安全風險和審計軟件風險無法應對得當?shù)膯栴}，此時，審計方面的漏洞和錯誤是較多的。

3COBIT對信息系統(tǒng)審計風險控制體系的影響和沖擊

3.1有助于更快地適應波動的信息化審計環(huán)境。COBIT控制理念強調(diào)了高效性原則，是以最經(jīng)濟的模式，追求最快捷的風險控制效果。COBIT控制理念對信息系統(tǒng)審計風險控制體系形成的影響和沖擊體現(xiàn)在，它有助于更快地適應波動的信息化審計環(huán)境，讓信息系統(tǒng)審計人員能在審計信息系統(tǒng)的相關風險時，對固有風險、控制風險和檢查風險等做出逐一判斷，并在波動的信息化審計環(huán)境下，選定最合適的審計技術和審計計劃，進行進一步的方案部署。尤其是在信息化環(huán)境波動劇烈的前提下，COBIT控制理念對信息系統(tǒng)審計風險控制體系的強適應性，更是有著明顯的影響和沖擊。3.2有利于提升對法律法規(guī)完善的重視。COBIT控制理念注重機密性原則的保障，它的控制目標就是實現(xiàn)信息的機密處理。COBIT控制理念對信息系統(tǒng)審計風險控制體系形成的沖擊，主要是有利于提升對法律法規(guī)完善的重視。COBIT控制理念，高度強調(diào)對敏感信息或個人私密信息的保護，而由于法律法規(guī)方面仍然欠缺對信息系統(tǒng)機密問題的有效維護，在COBIT控制理念的有效沖擊下，法律部門也會逐步加強對信息系統(tǒng)審計風險控制體系形成的重視，從法律法規(guī)的補充和剔除角度加強法律建設。COBIT控制理念對于提升對法律法規(guī)完善的重視自然是功不可沒。3.3有助于對團隊可用人才的挖掘和培養(yǎng)。各行各業(yè)都稀缺優(yōu)秀人才，COBIT控制理念強調(diào)了對有用人才的挖掘。在信息系統(tǒng)審計風險控制體系中，COBIT控制理念強調(diào)了對團隊可用人才的深度挖掘，保證優(yōu)質(zhì)人才能夠得以保留。以二線城市為例，二線城市中的審計人員質(zhì)量介于一線城市和三線城市之間，他們對信息系統(tǒng)審計風險控制體系形成的認知也處于中游位置。在COBIT控制理念的基礎上，信息系統(tǒng)審計風險控制將更加注重對可用人才的挖掘，這對審計工作人員執(zhí)業(yè)水平的提高及審計隊伍建設都有一定的幫助。3.4促成對信息不對稱問題的細致考量。信息不對稱問題已成為各行業(yè)發(fā)展的一大問題。COBIT控制理念強調(diào)了對信息可靠性的目標追求，它對信息系統(tǒng)審計風險控制體系的形成所帶來的影響，自然也體現(xiàn)在有利于對信息不對稱問題的細致考量。從目前的發(fā)展來看，部分審計人員對信息可靠性的追求并不強烈，他們只是按照既定的流程完成相應的審計工作，對于審計證據(jù)真實可靠與否卻未作準確判斷。在COBIT控制理念的沖擊下，將有更多的人針對信息不對稱問題做出考慮，這對信息系統(tǒng)審計風險的控制是有幫助的，部分幫助還是在潛移默化中得以實現(xiàn)的。

4基于COBIT的信息系統(tǒng)審計風險控制體系優(yōu)化策略

4.1構建高效完整信息系統(tǒng)審計運行制度。要想在后階段發(fā)展過程中，基于COBIT控制理念，加強信息系統(tǒng)審計風險控制體系優(yōu)化，就應該構建高效完整的信息系統(tǒng)審計運行制度，保證信息化審計環(huán)境的適應能夠更為迅速。在初期發(fā)展階段，信息系統(tǒng)審計運行制度的構建，只需滿足信息系統(tǒng)審計的一般需求即可。但在發(fā)展進入到穩(wěn)定階段后，相關審計工作人員應當結合COBIT控制理念的要求，盡可能達成COBIT控制理念的高效性控制目標，在信息系統(tǒng)審計運行制度構建過程中，將高效性與完整性予以逐一呈現(xiàn)。需要注意的是，COBIT控制理念的貫徹，并不意味著審計風險控制體系優(yōu)化無憂無患，相關責任人仍然不能掉以輕心。4.2完善信息系統(tǒng)審計風險控制法規(guī)。由于信息系統(tǒng)審計風險控制的法律法規(guī)和審計準則不夠及時到位，這已在很大程度上限制了信息系統(tǒng)審計風險控制的實際效果，在后階段發(fā)展時，就應該基于COBIT控制理念，加強對信息系統(tǒng)審計風險控制體系優(yōu)化和提升。法律部門既需要結合信息系統(tǒng)審計風險控制的實際需求，聯(lián)系審計準則，將信息系統(tǒng)審計風險可能存在的場景等做出主要分析，還應該通過定期更新和完善法律法規(guī)的方式，將原有的法律法規(guī)進行篩選，保證最終形成的信息系統(tǒng)審計風險控制相關法律法規(guī)是與時俱進的。需要說明的是，法律部門在完善相關法律法規(guī)時，應當及時向上級部門提出申請，并獲取上級部門的有效回饋。4.3組建規(guī)范的信息系統(tǒng)審計團隊。結合當前的發(fā)展，信息系統(tǒng)審計風險控制，之所以會存在一定問題，這主要是由于審計人員的執(zhí)業(yè)水準相對較低，個人知識掌握相對薄弱，這在很大程度上限制了審計人員執(zhí)業(yè)效果的提高。后續(xù)發(fā)展時，應當嘗試組建規(guī)范的信息系統(tǒng)審計團隊，通過定期培養(yǎng)的方式，加強對審計人員專業(yè)素養(yǎng)的培養(yǎng)。對于線上培訓模式，可以嘗試通過QQ群和微信群等方式，對審計人員進行定期的資料發(fā)放和系統(tǒng)跟進。而對于線下培訓模式，則可以根據(jù)審計人員線上培訓的實際效果，對培訓效果較差的審計人員進行二次輔導。必要的時候，還可以通過一對一結對幫扶的方式，在組建信息系統(tǒng)審計團隊過程中，將COBIT控制理念中的可用性和完整性控制目標應用到位。4.4搭建信息系統(tǒng)審計風險控制交流平臺。在移動互聯(lián)網(wǎng)不斷普及的當下，人們應當通過現(xiàn)有的移動通信設備，加強對信息系統(tǒng)審計風險控制交流平臺的搭建。結合目前的發(fā)展可知，信息系統(tǒng)審計風險控制的難度相對較大，審計工作者個人的知識掌握力度也是受限的。為了在后續(xù)發(fā)展過程中，進一步提高COBIT控制理念，對信息系統(tǒng)審計風險控制體系形成的影響，就應該結合COBIT控制理念的相關控制目標，努力構建起全員參與的信息系統(tǒng)審計風險控制交流平臺。當個別個體的審計風險控制存在問題時，他們可向其他人員提出請教，保證他們能在其他工作人員的幫助下，正確理解審計技術的操作流程，并實現(xiàn)對相關審計工作的有效完成。

5結束語

在互聯(lián)網(wǎng)技術日益發(fā)展的當下，信息不對稱現(xiàn)象仍然存在，信息系統(tǒng)審計風險控制體系的形成，成為當下信息系統(tǒng)發(fā)展的當務之急。由于COBIT控制理念，對信息系統(tǒng)審計風險控制體系的形成，帶來了明顯的影響和沖擊，它能有助于快速響應信息化審計環(huán)境，能有利于提升對法律法規(guī)完善的重視，對團隊可用人才的培養(yǎng)也高度關注，對于信息系統(tǒng)審計風險控制體系的優(yōu)化，可基于COBIT控制理念做出考慮及方案設計。

參考文獻：

[1]王會金.高校管理信息系統(tǒng)審計及其風險控制問題研究——以WSR方法論與COBIT理論相結合為視角[J].審計與經(jīng)濟研究，2014（05）：23-30.

[2]程平，王曉江.基于COBIT標準的云會計AIS審計風險評價指標體系構建[J].會計之友，2016（10）：121-125.

[3]樊沙沙.信息系統(tǒng)審計風險應對策略研究[J].對外經(jīng)貿(mào)，2017（08）：158-160.

[4]成駿雄.我國信息系統(tǒng)審計技術推廣的限制因素探討[J].中國集體經(jīng)濟，2018（03）：150-153.

作者:李晶 單位:浙江財經(jīng)大學經(jīng)濟與管理實驗中心