信息系统引起的重大错报风险及审计方法探讨.doc

信息系统引起的重大错报风险及审计方法探讨信息系统引起的重大错报风险及审计方法探讨随着会计电算化的普及，网络化发展以及企业基于ERP的组织 实施，经济活动的记录越来越多地反映在计算机中，而信息存储与管 理方式的变更带来了新的审计风险基于风险导向审计的模型为：审计风险二重大错报风险X检查风险其中重大错报风险强调由企业本身引起的错报风险，主要通过分 析企业的综合环境以及内部控制情况来判断当企业应用信息系统处 理经济业务时，信息系统带来的风险就必然会成为重大错报风险的重 要组成部分一、信息系统引起的重大错报风险（一） 整体控制环境的风险通过计算机信息系统处理经济业务，企业的整体控制环境和手工 处理时相比，结构更为复杂，内容更为广泛，风险的因素也更为多样， 从而可能导致整体重大错报风险的增加传统的手工会计系统中，经 济业务反映在书面记录中并按照预先设定的过程传递并保留痕迹但 在信息系统的控制环境下，只需将原始财务甚至业务数据录入系统, 会计凭证直至报表就可以自动生成因此，财务数据的错报风险不止 与传统的财务管理流程、人员操守等相关，更与信息系统的运行及其 处理相关二） 数据存储和修改的风险当企业的数据存放在信息系统中时，数据的安全性和可靠性直接 影响企业的重大错报风险。

传统的数据存放在纸质条件下，只需对纸 质媒介进行保护，相对易于实现而当数据保存在电子媒介时，一旦 非法用户破解口令密码，或通过技术手段直接进入系统内部，就有可 能对数据进行修改或删除另外，当数据存储在纸质媒介时，如果对 数据进行篡改，一般会留下修改痕迹而在信息系统中，除非设置并 开启足够的系统日志记录并及时进行检查，否则很难及时发现非法的 信息修改或对非法的修改进行追踪三）系统运行的风险首先，当企业的经济业务依赖于信息系统时，系统的运行错误可 能导致数据的失真甚至丢失处于网络中的信息系统可能受到病毒的 攻击，从而影响系统的正常运行另外，网络设备、数据存储媒介、 电源等硬件均存在不稳定性，非正常温度、湿度会影响其运行，从而 影响其中存储或运行的数据其次，系统的开发和维护过程也存在错报隐患比如系统开发过 程中留有的后门，将不符合会计准则的甚至非授权的程序编写到系统 中，维护时直接对系统数据库文件的修改等，均会增加企业的重大错 报风险二、信息系统环境下对重大错报风险的判断方法（一） 整体控制环境的评价从被审计单位整体的运行情况及对信息系统的依赖程度出发，从 风险评估的角度，了解信息系统的整体情况，包括信息系统战略，系 统架构及数据流转，并着重了解公司对信息系统的控制情况，判断内 部控制制度是否充分考虑了信息系统的影响。

另外，对系统使用人员 的素质和能力进行考察了解的重点由业务部门向业务部门与信息系 统部门相结合转移，由手工控制向手工系统控制相结合转移二） 数据安全性、完整性的评价在信息系统环境下，针对数据的安全性、完整性扩展内部控制测 试范围，通过询问业务人员、计算机技术人员等方法，了解访问权限 设置、口令密码及日志审核等控制1） 了解被审计单位是否设置了职能分工并在系统中予以实现 公司应该针对不同业务部门及岗位级别设置权限分工，比如系统开发 人员与维护人员、财务录入与审核人员、FI常业务处理与异常业务审 核等人员的职责分离更重要的是，相关的职责分离应在相应的信息 系统中予以设置和实现2） 了解被审计单位用户账号和口令的管理在实现通过不同 账号进行职责分离的基础上，为了确保使用某账号进行操作的确为授 权人员，就必须防止账号的误用如果系统允许，应通过系统控制的 方法，强制信息系统使用者的密码策略，如密码长度、复杂度、定期 更改、密码尝试次数等如果系统不允许，也应通过书面规定及培训 强化用户的密码保护意识，减少因为密码被猜中而滥用系统中职权的 行为3) 了解被审计单位对自身系统风险的评估以及监控情况对 于系统服务器、重要的系统、数据库、主配置文件以及敏感部门或人 员使用的机器开启日志特别是安全FI志监控，并定期进行检查，对于 发现的情况及时进行处理。

1) 对系统运行风险的评价对关键信息系统，通过现场检查系统环境、检查信息系统文档等 方法，了解被审计单位对系统的控制情况1) 了解被审计单位对系统的安全保障例如如何阻止非法入侵, 避免病毒的传播等通过检查网络拓扑图，了解网络架构，检查主要 服务器的网段是否隔离，是否设置了软件、硬件防火墙，是否安装了 防病毒软件并及时对病毒库进行更新等2) 了解被审计单位对硬件设备的管理情况，包括机房的管理制 度，硬件的运行监控、系统的备份策略等比如是否对机房的温湿度 进行检查，是否对关键服务器的运行及容量进行监控，是否定期保养 重要的硬件设备，是否对关键的系统定期备份等3) 7解被审计单位系统开发和系统变更的控制，包括检查系统 开发与变更策略与流程比如开发环境、测试环境是否与运行环境相 分离，以及迁移到运行环境中前是否通过了足够的测试与授权等参考文献：[1] 李小菊，张晓明.计算机辅助审计风险和证据成本探讨.信息 技术，2011.7[2] 郑煦平.IT环境下的审计风险判断。