導語：內(nèi)部審計信息系統(tǒng)風險防范分析論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

一、發(fā)揮內(nèi)部審計作用,加強企業(yè)內(nèi)部控制

(一)企業(yè)應加強內(nèi)部控制

隨著市場經(jīng)濟的深入發(fā)展,企業(yè)逐步成為自主經(jīng)營、自我約束、自我發(fā)展、自我完善的商品生產(chǎn)者和經(jīng)營者。在“優(yōu)勝劣汰、適者生存”的市場經(jīng)濟中,企業(yè)要想真正的做到“自主經(jīng)營、自我約束、自我發(fā)展、自我完善”,必須要加強內(nèi)部控制,建立有效、完善的內(nèi)部控制制度,這樣才能在一個絕對的高度上,對企業(yè)進行高瞻遠矚的控制,才能做出與時俱進的決策。

(二)內(nèi)部審計是企業(yè)內(nèi)部監(jiān)督機制的重要組成部分

內(nèi)部審計也是企業(yè)內(nèi)部控制的一個重要的組成部分,是監(jiān)督內(nèi)部控制其他環(huán)節(jié)的主要力量。內(nèi)部審計通過對控制環(huán)境和控制程序的有效性進行監(jiān)督,評估企業(yè)的內(nèi)部控制是否被執(zhí)行,是否及時反饋有關(guān)執(zhí)行結(jié)果的信息,是否幫助企業(yè)更有效地實現(xiàn)預期控制目標。同時,在監(jiān)控過程中,內(nèi)部審計可以促進控制環(huán)境的建立和改善,為改進控制制度提供建設(shè)性的意見,為企業(yè)建立健全所需要的內(nèi)部控制水平服務。在內(nèi)部控制的監(jiān)督過程中,內(nèi)部審計發(fā)揮著越來越重要的作用。

二、內(nèi)部審計在防范信息系統(tǒng)風險中面臨的問題

(一)信息系統(tǒng)安全管理機制不健全

企業(yè)信息系統(tǒng)風險的存在,很多是由于管理不善或控制不嚴造成的。一方面,缺乏一套統(tǒng)一的安全策略體系來指導安全管理工作,無法建立系統(tǒng)內(nèi)部明確、全面的安全規(guī)范要求。從現(xiàn)有管理制度規(guī)范來看,主要存在的問題是可操作性差,條理不清、重疊或遺漏等;另一方面,現(xiàn)有安全管理制度的管理對象基本是網(wǎng)絡(luò)系統(tǒng)管理員等技術(shù)部人員,管理對象沒有全面涵蓋所有信息系統(tǒng)技術(shù)相關(guān)人員,包括所有網(wǎng)絡(luò)系統(tǒng)上的內(nèi)部終端人員和外部人員。

(二)內(nèi)部審計在信息系統(tǒng)風險防范中的角色缺乏獨立性

內(nèi)部審計的角色發(fā)生了轉(zhuǎn)變。從傳統(tǒng)的事后審計而逐漸轉(zhuǎn)向事前和事中審計,主動參與內(nèi)部控制系統(tǒng)的建立和完善。內(nèi)部審計人員即承擔著評價硬件和應用信息系統(tǒng)安全的任務,如果又同時有參與了系統(tǒng)的開發(fā)和實施過程,那么內(nèi)部審計人員就卻乏獨立性。反之,如果處于對喪失獨立性的擔心,內(nèi)部審計人員有可能會拒絕參與系統(tǒng)和軟件的開發(fā),那么系統(tǒng)開發(fā)過程中存在的風險又無法得到控制。

(三)內(nèi)審部門技術(shù)力量薄弱造成對信息系統(tǒng)審計形成風險

審計稽核部門的技術(shù)力量薄弱,不熟悉業(yè)務系統(tǒng)的流程和功能,對信息系統(tǒng)缺乏必要的認證能力和標準。突出表現(xiàn)為以下幾個方面:一是實施審計稽核的手段和方法沒有得到及時更新,不適應信息系統(tǒng)管理的要求,大部分仍停留在手工審計階段;二是審計稽核部門對計算機賬務系統(tǒng)實施審計的依據(jù)僅依賴于被審計單位提供的打印資料或事后資料,計算機賬務的真實性審計很難得到保證。

三、加強風險防范的措施和對策

(一)構(gòu)建信息系統(tǒng)安全管理組織及規(guī)范體系

加強信息系統(tǒng)的自我風險評估體系,讓信息系統(tǒng)的管理和技術(shù)人員在自身的職責范圍之內(nèi)正確識別和評估潛在操作風險,主要包括內(nèi)控制度的查漏補缺、工作流程的整理和規(guī)范、應急預案完善和演練等。同時加強對操作人員的管理,規(guī)范操作程序。一是加強密碼管理,明確規(guī)定操作人員的權(quán)限,操作員必須在規(guī)定的權(quán)限內(nèi)辦理業(yè)務,用戶口令及密碼必須專人專用,嚴禁公開口令及密碼;二是要建立健全操作員崗位目標責任制,對網(wǎng)絡(luò)操作人員要明確目標任務,規(guī)范操作程序,嚴格落實獎懲制度。三是要嚴格崗位設(shè)置,不相容職務進行分離。嚴禁系統(tǒng)管理人員、網(wǎng)絡(luò)技術(shù)人員、程序開發(fā)人員和前臺操作人員混崗、代崗或一人多崗。四是要加強系統(tǒng)內(nèi)部的稽核監(jiān)督檢查。稽核監(jiān)督應貫穿于網(wǎng)絡(luò)操作的全過程,重點是加強對系統(tǒng)設(shè)計開發(fā)、內(nèi)控管理制度落實、操作運行等方面的(二)關(guān)注信息系統(tǒng)的穩(wěn)定性、安全性和有效性審計

首先,審計人員應運用用一定的技術(shù)方法識別系統(tǒng)的完整性,該過程包括檢查、測試、評估系統(tǒng)的內(nèi)制,以保證系統(tǒng)的穩(wěn)定性;其次,審計人員應評價系統(tǒng)存在的風險和可能產(chǎn)生的后果將成為審計的核心工作和基本內(nèi)容,保證信息系統(tǒng)的安全性。應根據(jù)審計的標準和準則,評價控制環(huán)境的和IT基礎(chǔ)設(shè)施的安全,確保系統(tǒng)滿足組織的業(yè)務需要,保護信息資產(chǎn)的安全完整,以防非授權(quán)使用、泄露、修改、損壞或丟失;最后,還應鑒別信息系統(tǒng)的有效性。內(nèi)部審計必須理解并熟悉操作環(huán)境,了解系統(tǒng)技術(shù)的復雜性及其對決策的影響;對來自內(nèi)部的安全隱患,采用一定的方法進行系統(tǒng)診斷、檢驗、測試,評價其有效性及效率,以支持組織業(yè)務目標的實現(xiàn)

(三)改善內(nèi)審機構(gòu),提高內(nèi)審人員素質(zhì),培養(yǎng)信息系統(tǒng)審計師

為了信息系統(tǒng)的安全、可靠與有效,由獨立于審計對象的信息系統(tǒng)審計師,以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價。信息系統(tǒng)審計師也稱lS審計師或IT審計師,是指那些既通曉信息系統(tǒng)的軟件和硬件(包括信息系統(tǒng)的開發(fā)、運營、維護、管理和安全等),又熟悉經(jīng)濟管理的內(nèi)部審計人才。

(四)聘請專家進行協(xié)助

內(nèi)部審計人員的知識、技能和經(jīng)驗雖然有助于信息系統(tǒng)的風險防御,但現(xiàn)實中必須承認,在企業(yè)中同時具備計算機技術(shù)和審計專業(yè)知識的人才非常短缺。再出色的內(nèi)部審計人員可能面臨一些系統(tǒng)內(nèi)的專業(yè)問題卻無法解決,因此有必要聘請外部專家。可以通過專家的協(xié)助測試運用其專業(yè)技能測試系統(tǒng)安全,進一步防范和解決信息系統(tǒng)風險的存在。

論文關(guān)鍵詞:內(nèi)部審計信息系統(tǒng)風險防范

論文摘要:內(nèi)部控制是社會經(jīng)濟發(fā)展到一定階段的產(chǎn)物,其內(nèi)容在不斷的發(fā)展與變化,而內(nèi)部審計是內(nèi)部監(jiān)督機制的重要組成部分。目前計算機信息系統(tǒng)已在企業(yè)中廣泛使用,而在內(nèi)部審計過程中如何加強計算機信息系統(tǒng)的風險防范,是企業(yè)內(nèi)部控制過程中迫切需要解決的問題。

企業(yè)信息系統(tǒng)化的運用,原來的手工控制則變?yōu)槭止づc電腦控制相結(jié)合或全部由電腦自動進行控制。計算機信息系統(tǒng)的廣泛使用,與技術(shù)管理相對薄弱和稽核監(jiān)督的長期空白已形成了尖銳的矛盾。信息系統(tǒng)風險控制能力差的現(xiàn)狀,迫切需要我們加強風險管理和監(jiān)控。

參考文獻:

[1]胡曉明.信息時代的IS審計理論結(jié)構(gòu)構(gòu)建[J].武漢中南財經(jīng)政法大學學報,2006,(3).