導語：信息系統審計風險控制研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：近年來，隨著互聯網時代的到來，使得信息技術日益成熟，但盡管是在互聯網技術使用廣泛的當下，信息系統的審計風險問題仍然存在。無論是固有風險、控制風險還是檢查風險，這些信息系統審計風險，都在一定程度上影響和限制了信息系統的有效運作。COBIT控制理念作為信息系統審計風險控制體系的重要理念，對其起到啟示和優化建設作用。

關鍵詞：COBIT;控制理念;信息系統;審計;風險控制

基于COBIT控制理念，COBIT控制理念的控制目標主要分為五點。第一是高效性，通過最高層或最經濟的模式，利用現有資源來提供充分的信息，實現信息系統信息對稱性的強化。第二是機密性，對于涉及敏感話題的信息予以保護，對于未經授權的信息和話題等進行有效維護，盡可能避免隱私或敏感信息被披露。第三是完整性，通過精準完全的信息，實現有效的商業評價或期望。第四是可用性，在應對商業處理需求時，信息是切實可用的。第五是準時信息可靠性，他們為管理者日常經營管理提供有效的信息基礎。COBIT控制理念對信用系統審計風險控制體系的形成有直接貢獻。

1信息系統審計風險的類別和特征

1.1固有風險。所謂固有風險，通常是由于企業自身緣故而導致的風險，這部分風險與信息系統審計并沒有直接關系。當企業經營管理過程中，企業信息系統沒有內部控制，信息系統就可能存在安全隱患，這些安全漏洞會導致企業信息系統面臨較大的風險。一般來說，固有風險包括系統設計風險、系統風險和系統環境風險，我們從不同的角度對信息系統本身做出綜合分析，系統設計風險，主要是基于信息不對稱問題做出考慮。1.2控制風險。所謂控制風險，它與企業信息系統審計業務直接關聯，通常是企業信息出現重大錯誤，內部控制人員卻未能及時糾正或防止該錯誤而導致的風險。在現代化發展過程中，互聯網時代的到來，使得各行各業對互聯網技術的應用不斷增多，信息系統的普及度也日益增廣。但盡管是在這樣的前提下，部分企業仍然疏于對信息系統數據處理的高度重視，處理流程和控制程序方面存在一定的限制。無論是約束機制失效風險，還是系統數據安全性風險，都會對信息系統本身造成威脅。1.3檢查風險。所謂檢查風險，它與信息系統審計有直接關聯，通常是指信息系統審計人員在加強信息數據篩選和審核時，對于實質性測試工具未發揮有效作用，相關測試程序也未能檢查出系統風險。通常來說，當審計人員職業能力水平較低時，他們可能由于信息系統過于復雜，而無法實現有效的安全隱患防范。除此之外，當審計人員出現職業道德問題時，他們也不能在信息系統環境下實現職業操守與職業機密。換言之，審計人員所選擇的審計方法和審計程序，并不足以讓他們完成相應的審計任務，審計過程中所存在的檢查風險就會比較突出。

2信息系統審計風險形成的原因分析

2.1信息化審計環境過于波動。基于目前的發展，信息系統審計風險之所以存在，這主要是由于信息化環境過于波動，在電子數據容易被更改或破壞的前提下，信息系統的審計管理是相對困難的。當審計工作人員需要在現有的信息系統基礎上，篩選和整理與信息系統審計風險相關的數據資料，做好有效的數據分析和整理時，一旦他們所獲取的電子數據是已被更改或破壞的，信息系統審計證據的采集就會受到限制。尤其是在信息化審計環境過于波動的前提下，信息系統環境風險不斷加大，當信息系統的設計本身存在缺陷時，審計工作人員無法根據波動的環境，做好有效的信息篩選，信息系統審計風險由此產生。2.2信息系統審計缺少規范的法律法規。任何行業的發展都需要有相應的法律法規和審計準則為之提供保障，但從目前的發展來看，審計準則只針對一般行業有所限定，對于信息系統卻未做出有效的審計管理，相關法律法規也不夠健全。在日常加強信息系統審計風險控制與管理過程中，審計工作人員只能按照既定的條例完成相應的審計工作，他們沒有辦法參照健全的法律法規或審計準則，實現對審計業務執行的規范化操作，此時，部分審計工作人員就由于執業規范性的缺失，出現審計工作質量上的疏忽，信息系統審計風險的加大是顯而易見的。2.3審計人員執業水平與信息系統發展。不協調在現代化發展過程中，各行各業都追求德智體美勞全方位發展的優秀人才，信息系統審計人才隊伍建設也不例外。但基于當前的發展，審計人員執業水平與信息系統發展不協調，這在很大程度上限制了信息系統審計風險控制的效果。在前期發展過程中，信息系統審計難度較小，審計人員能夠以目前已有的執業水平完成相應的審計工作，但在發展進入到中后期時，信息系統審計難度不斷加大，審計人員需要提升原有的執業水平，以適應新階段的新系統發展需求，但從實際發展來看，只有少部分審計人員通過系統地學習提升了個人水準，大部分審計人員的執業水平仍不太協調。2.4審計人員個體知識掌握薄弱。隨著信息系統復雜性的加強，信息系統的電子數據處理難度不斷加大，審計證據的查找也會面臨較大的障礙。盡管在日常發展過程中，審計工作人員能夠根據已有的相關城市，通過先進的審計技術來降低檢查風險，但在實際運作過程中，部分審計工作人員對會計軟件和計算機系統的知識掌握相對薄弱，他們對信息技術的應用也不夠靈活，這使得審計風險不斷擴大。以三四線城市為例，三四線城市的審計人員就可能由于個人知識掌握薄弱，出現信息系統安全風險和審計軟件風險無法應對得當的問題，此時，審計方面的漏洞和錯誤是較多的。

3COBIT對信息系統審計風險控制體系的影響和沖擊

3.1有助于更快地適應波動的信息化審計環境。COBIT控制理念強調了高效性原則，是以最經濟的模式，追求最快捷的風險控制效果。COBIT控制理念對信息系統審計風險控制體系形成的影響和沖擊體現在，它有助于更快地適應波動的信息化審計環境，讓信息系統審計人員能在審計信息系統的相關風險時，對固有風險、控制風險和檢查風險等做出逐一判斷，并在波動的信息化審計環境下，選定最合適的審計技術和審計計劃，進行進一步的方案部署。尤其是在信息化環境波動劇烈的前提下，COBIT控制理念對信息系統審計風險控制體系的強適應性，更是有著明顯的影響和沖擊。3.2有利于提升對法律法規完善的重視。COBIT控制理念注重機密性原則的保障，它的控制目標就是實現信息的機密處理。COBIT控制理念對信息系統審計風險控制體系形成的沖擊，主要是有利于提升對法律法規完善的重視。COBIT控制理念，高度強調對敏感信息或個人私密信息的保護，而由于法律法規方面仍然欠缺對信息系統機密問題的有效維護，在COBIT控制理念的有效沖擊下，法律部門也會逐步加強對信息系統審計風險控制體系形成的重視，從法律法規的補充和剔除角度加強法律建設。COBIT控制理念對于提升對法律法規完善的重視自然是功不可沒。3.3有助于對團隊可用人才的挖掘和培養。各行各業都稀缺優秀人才，COBIT控制理念強調了對有用人才的挖掘。在信息系統審計風險控制體系中，COBIT控制理念強調了對團隊可用人才的深度挖掘，保證優質人才能夠得以保留。以二線城市為例，二線城市中的審計人員質量介于一線城市和三線城市之間，他們對信息系統審計風險控制體系形成的認知也處于中游位置。在COBIT控制理念的基礎上，信息系統審計風險控制將更加注重對可用人才的挖掘，這對審計工作人員執業水平的提高及審計隊伍建設都有一定的幫助。3.4促成對信息不對稱問題的細致考量。信息不對稱問題已成為各行業發展的一大問題。COBIT控制理念強調了對信息可靠性的目標追求，它對信息系統審計風險控制體系的形成所帶來的影響，自然也體現在有利于對信息不對稱問題的細致考量。從目前的發展來看，部分審計人員對信息可靠性的追求并不強烈，他們只是按照既定的流程完成相應的審計工作，對于審計證據真實可靠與否卻未作準確判斷。在COBIT控制理念的沖擊下，將有更多的人針對信息不對稱問題做出考慮，這對信息系統審計風險的控制是有幫助的，部分幫助還是在潛移默化中得以實現的。

4基于COBIT的信息系統審計風險控制體系優化策略

4.1構建高效完整信息系統審計運行制度。要想在后階段發展過程中，基于COBIT控制理念，加強信息系統審計風險控制體系優化，就應該構建高效完整的信息系統審計運行制度，保證信息化審計環境的適應能夠更為迅速。在初期發展階段，信息系統審計運行制度的構建，只需滿足信息系統審計的一般需求即可。但在發展進入到穩定階段后，相關審計工作人員應當結合COBIT控制理念的要求，盡可能達成COBIT控制理念的高效性控制目標，在信息系統審計運行制度構建過程中，將高效性與完整性予以逐一呈現。需要注意的是，COBIT控制理念的貫徹，并不意味著審計風險控制體系優化無憂無患，相關責任人仍然不能掉以輕心。4.2完善信息系統審計風險控制法規。由于信息系統審計風險控制的法律法規和審計準則不夠及時到位，這已在很大程度上限制了信息系統審計風險控制的實際效果，在后階段發展時，就應該基于COBIT控制理念，加強對信息系統審計風險控制體系優化和提升。法律部門既需要結合信息系統審計風險控制的實際需求，聯系審計準則，將信息系統審計風險可能存在的場景等做出主要分析，還應該通過定期更新和完善法律法規的方式，將原有的法律法規進行篩選，保證最終形成的信息系統審計風險控制相關法律法規是與時俱進的。需要說明的是，法律部門在完善相關法律法規時，應當及時向上級部門提出申請，并獲取上級部門的有效回饋。4.3組建規范的信息系統審計團隊。結合當前的發展，信息系統審計風險控制，之所以會存在一定問題，這主要是由于審計人員的執業水準相對較低，個人知識掌握相對薄弱，這在很大程度上限制了審計人員執業效果的提高。后續發展時，應當嘗試組建規范的信息系統審計團隊，通過定期培養的方式，加強對審計人員專業素養的培養。對于線上培訓模式，可以嘗試通過QQ群和微信群等方式，對審計人員進行定期的資料發放和系統跟進。而對于線下培訓模式，則可以根據審計人員線上培訓的實際效果，對培訓效果較差的審計人員進行二次輔導。必要的時候，還可以通過一對一結對幫扶的方式，在組建信息系統審計團隊過程中，將COBIT控制理念中的可用性和完整性控制目標應用到位。4.4搭建信息系統審計風險控制交流平臺。在移動互聯網不斷普及的當下，人們應當通過現有的移動通信設備，加強對信息系統審計風險控制交流平臺的搭建。結合目前的發展可知，信息系統審計風險控制的難度相對較大，審計工作者個人的知識掌握力度也是受限的。為了在后續發展過程中，進一步提高COBIT控制理念，對信息系統審計風險控制體系形成的影響，就應該結合COBIT控制理念的相關控制目標，努力構建起全員參與的信息系統審計風險控制交流平臺。當個別個體的審計風險控制存在問題時，他們可向其他人員提出請教，保證他們能在其他工作人員的幫助下，正確理解審計技術的操作流程，并實現對相關審計工作的有效完成。

5結束語

在互聯網技術日益發展的當下，信息不對稱現象仍然存在，信息系統審計風險控制體系的形成，成為當下信息系統發展的當務之急。由于COBIT控制理念，對信息系統審計風險控制體系的形成，帶來了明顯的影響和沖擊，它能有助于快速響應信息化審計環境，能有利于提升對法律法規完善的重視，對團隊可用人才的培養也高度關注，對于信息系統審計風險控制體系的優化，可基于COBIT控制理念做出考慮及方案設計。

參考文獻：

[1]王會金.高校管理信息系統審計及其風險控制問題研究——以WSR方法論與COBIT理論相結合為視角[J].審計與經濟研究，2014（05）：23-30.

[2]程平，王曉江.基于COBIT標準的云會計AIS審計風險評價指標體系構建[J].會計之友，2016（10）：121-125.

[3]樊沙沙.信息系統審計風險應對策略研究[J].對外經貿，2017（08）：158-160.

[4]成駿雄.我國信息系統審計技術推廣的限制因素探討[J].中國集體經濟，2018（03）：150-153.

作者:李晶 單位:浙江財經大學經濟與管理實驗中心