信息系统审计风险控制体系研究
李晶
摘要:近年来,随着互联网时代的到来,使得信息技术日益成熟,但尽管是在互联网技术使用广泛的当下,信息系统的审计风险问题仍然存在。无论是固有风险、控制风险还是检查风险,这些信息系统审计风险,都在一定程度上影响和限制了信息系统的有效运作。COBIT控制理念作为信息系统审计风险控制体系的重要理念,对其起到启示和优化建设作用。
关键词:COBIT控制理念 信息系统 审计 风险控制
中图分类号:C931.6 文献标识码:A
基于COBIT控制理念,COBIT控制理念的控制目标主要分为五点。第一是高效性,通过最高层或最经济的模式,利用现有资源来提供充分的信息,实现信息系统信息对称性的强化。第二是机密性,对于涉及敏感话题的信息予以保护,对于未经授权的信息和话题等进行有效维护,尽可能避免隐私或敏感信息被披露。第三是完整性,通过精准完全的信息,实现有效的商业评价或期望。第四是可用性,在应对商业处理需求时,信息是切实可用的。第五是准时信息可靠性,他们为管理者日常经营管理提供有效的信息基础。COBIT控制理念对信用系统审计风险控制体系的形成有直接贡献。
1 信息系统审计风险的类别和特征
1.1 固有风险
所谓固有风险,通常是由于企业自身缘故而导致的风险,这部分风险与信息系统审计并没有直接关系。当企业经营管理过程中,企业信息系统没有内部控制,信息系统就可能存在安全隐患,这些安全漏洞会导致企业信息系统面临较大的风险。一般来说,固有风险包括系统设计风险、系统风险和系统环境风险,我们从不同的角度对信息系统本身做出综合分析,系统设计风险,主要是基于信息不对称问题做出考虑。
1.2 控制风险
所谓控制风险,它与企业信息系统审计业务直接关联,通常是企业信息出现重大错误,内部控制人员却未能及时纠正或防止该错误而导致的风险。在现代化发展过程中,互联网时代的到来,使得各行各业对互联网技术的应用不断增多,信息系统的普及度也日益增广。但尽管是在这样的前提下,部分企业仍然疏于对信息系统数据处理的高度重视,处理流程和控制程序方面存在一定的限制。无论是约束机制失效风险,还是系统数据安全性风险,都会对信息系统本身造成威胁。
1.3 检查风险
所谓检查风险,它与信息系统审计有直接关联,通常是指信息系统审计人员在加强信息数据筛选和审核时,对于实质性测试工具未发挥有效作用,相关测试程序也未能检查出系统风险。通常来说,当审计人员职业能力水平较低时,他们可能由于信息系统过于复杂,而无法实现有效的安全隐患防范。除此之外,当审计人员出现职业道德问题时,他们也不能在信息系统环境下实现职业操守与职业机密。换言之,审计人员所选择的审计方法和审计程序,并不足以让他们完成相应的审计任务,审计过程中所存在的检查风险就会比较突出。
2 信息系统审计风险形成的原因分析
2.1 信息化审计环境过于波动
基于目前的发展,信息系统审计风险之所以存在,这主要是由于信息化环境过于波动,在电子数据容易被更改或破坏的前提下,信息系统的审计管理是相对困难的。当审计工作人员需要在现有的信息系统基础上,筛选和整理与信息系统审计风险相关的数据资料,做好有效的数据分析和整理时,一旦他们所获取的电子数据是已被更改或破坏的,信息系统审计证据的采集就会受到限制。尤其是在信息化审计环境过于波动的前提下,信息系统环境风险不断加大,当信息系统的设计本身存在缺陷时,审计工作人员无法根据波动的环境,做好有效的信息筛选,信息系统审计风险由此产生。
2.2 信息系统审计缺少规范的法律法规
任何行业的发展都需要有相应的法律法规和审计准则为之提供保障,但从目前的发展来看,审计准则只针对一般行业有所限定,对于信息系统却未做出有效的审计管理,相关法律法规也不够健全。在日常加强信息系统审计风险控制与管理过程中,审计工作人员只能按照既定的条例完成相应的审计工作,他们没有办法参照健全的法律法规或审计准则,实现对审计业务执行的规范化操作,此时,部分审计工作人员就由于执业规范性的缺失,出现审计工作质量上的疏忽,信息系统审计风险的加大是显而易见的。
2.3 审计人员执业水平与信息系统发展不协调
在现代化发展过程中,各行各业都追求德智体美劳全方位发展的优秀人才,信息系统审计人才队伍建设也不例外。但基于当前的发展,审计人员执业水平与信息系统发展不协调,这在很大程度上限制了信息系统审计风险控制的效果。在前期发展过程中,信息系统审计难度较小,审计人员能够以目前已有的执业水平完成相应的审计工作,但在发展进入到中后期时,信息系统审计难度不断加大,审计人员需要提升原有的执业水平,以适应新阶段的新系统发展需求,但从实际发展来看,只有少部分审计人员通过系统地学习提升了个人水准,大部分审计人员的执业水平仍不太协调。
2.4 审计人员个体知识掌握薄弱
随着信息系统复杂性的加强,信息系统的电子数据处理难度不断加大,审计证据的查找也会面临较大的障碍。尽管在日常发展过程中,审计工作人员能够根据已有的相关城市,通过先进的审计技术来降低检查风险,但在实际运作过程中,部分审计工作人员对会计软件和计算机系统的知识掌握相对薄弱,他们对信息技术的应用也不够灵活,这使得审计风险不断扩大。以三四线城市为例,三四线城市的审计人员就可能由于个人知识掌握薄弱,出现信息系统安全风险和审计软件风险无法应对得当的问题,此时,审计方面的漏洞和错误是较多的。
3 COBIT对信息系统审计风险控制体系的影响和冲击
3.1 有助于更快地适应波动的信息化审计环境
COBIT控制理念强调了高效性原则,是以最经济的模式,追求最快捷的风险控制效果。COBIT控制理念对信息系统审计风险控制体系形成的影响和冲击体现在,它有助于更快地适应波动的信息化审计环境,让信息系统审计人员能在审计信息系统的相关风险时,对固有风险、控制风险和检查风险等做出逐一判断,并在波动的信息化审计环境下,选定最合适的审计技术和审计计划,进行进一步的方案部署。尤其是在信息化环境波动剧烈的前提下,COBIT控制理念对信息系统审计风险控制体系的强适应性,更是有著明显的影响和冲击。
3.2 有利于提升對法律法规完善的重视
COBIT控制理念注重机密性原则的保障,它的控制目标就是实现信息的机密处理。COBIT控制理念对信息系统审计风险控制体系形成的冲击,主要是有利于提升对法律法规完善的重视。COBIT控制理念,高度强调对敏感信息或个人私密信息的保护,而由于法律法规方面仍然欠缺对信息系统机密问题的有效维护,在COBIT控制理念的有效冲击下,法律部门也会逐步加强对信息系统审计风险控制体系形成的重视,从法律法规的补充和剔除角度加强法律建设。COBIT控制理念对于提升对法律法规完善的重视自然是功不可没。
3.3 有助于对团队可用人才的挖掘和培养
各行各业都稀缺优秀人才,COBIT控制理念强调了对有用人才的挖掘。在信息系统审计风险控制体系中,COBIT控制理念强调了对团队可用人才的深度挖掘,保证优质人才能够得以保留。以二线城市为例,二线城市中的审计人员质量介于一线城市和三线城市之间,他们对信息系统审计风险控制体系形成的认知也处于中游位置。在COBIT控制理念的基础上,信息系统审计风险控制将更加注重对可用人才的挖掘,这对审计工作人员执业水平的提高及审计队伍建设都有一定的帮助。
3.4 促成对信息不对称问题的细致考量
信息不对称问题已成为各行业发展的一大问题。COBIT控制理念强调了对信息可靠性的目标追求,它对信息系统审计风险控制体系的形成所带来的影响,自然也体现在有利于对信息不对称问题的细致考量。从目前的发展来看,部分审计人员对信息可靠性的追求并不强烈,他们只是按照既定的流程完成相应的审计工作,对于审计证据真实可靠与否却未作准确判断。在COBIT控制理念的冲击下,将有更多的人针对信息不对称问题做出考虑,这对信息系统审计风险的控制是有帮助的,部分帮助还是在潜移默化中得以实现的。
4 基于COBIT的信息系统审计风险控制体系优化策略
4.1 构建高效完整信息系统审计运行制度
要想在后阶段发展过程中,基于COBIT控制理念,加强信息系统审计风险控制体系优化,就应该构建高效完整的信息系统审计运行制度,保证信息化审计环境的适应能够更为迅速。在初期发展阶段,信息系统审计运行制度的构建,只需满足信息系统审计的一般需求即可。但在发展进入到稳定阶段后,相关审计工作人员应当结合COBIT控制理念的要求,尽可能达成COBIT控制理念的高效性控制目标,在信息系统审计运行制度构建过程中,将高效性与完整性予以逐一呈现。需要注意的是,COBIT控制理念的贯彻,并不意味着审计风险控制体系优化无忧无患,相关责任人仍然不能掉以轻心。
4.2 完善信息系统审计风险控制法规
由于信息系统审计风险控制的法律法规和审计准则不够及时到位,这已在很大程度上限制了信息系统审计风险控制的实际效果,在后阶段发展时,就应该基于COBIT控制理念,加强对信息系统审计风险控制体系优化和提升。法律部门既需要结合信息系统审计风险控制的实际需求,联系审计准则,将信息系统审计风险可能存在的场景等做出主要分析,还应该通过定期更新和完善法律法规的方式,将原有的法律法规进行筛选,保证最终形成的信息系统审计风险控制相关法律法规是与时俱进的。需要说明的是,法律部门在完善相关法律法规时,应当及时向上级部门提出申请,并获取上级部门的有效回馈。
4.3 组建规范的信息系统审计团队
结合当前的发展,信息系统审计风险控制,之所以会存在一定问题,这主要是由于审计人员的执业水准相对较低,个人知识掌握相对薄弱,这在很大程度上限制了审计人员执业效果的提高。后续发展时,应当尝试组建规范的信息系统审计团队,通过定期培养的方式,加强对审计人员专业素养的培养。对于线上培训模式,可以尝试通过QQ群和微信群等方式,对审计人员进行定期的资料发放和系统跟进。而对于线下培训模式,则可以根据审计人员线上培训的实际效果,对培训效果较差的审计人员进行二次辅导。必要的时候,还可以通过一对一结对帮扶的方式,在组建信息系统审计团队过程中,将COBIT控制理念中的可用性和完整性控制目标应用到位。
4.4 搭建信息系统审计风险控制交流平台
在移动互联网不断普及的当下,人们应当通过现有的移动通信设备,加强对信息系统审计风险控制交流平台的搭建。结合目前的发展可知,信息系统审计风险控制的难度相对较大,审计工作者个人的知识掌握力度也是受限的。为了在后续发展过程中,进一步提高COBIT控制理念,对信息系统审计风险控制体系形成的影响,就应该结合COBIT控制理念的相关控制目标,努力构建起全员参与的信息系统审计风险控制交流平台。当个别个体的审计风险控制存在问题时,他们可向其他人员提出请教,保证他们能在其他工作人员的帮助下,正确理解审计技术的操作流程,并实现对相关审计工作的有效完成。
5 结束语
在互联网技术日益发展的当下,信息不对称现象仍然存在,信息系统审计风险控制体系的形成,成为当下信息系统发展的当务之急。由于COBIT控制理念,对信息系统审计风险控制体系的形成,带来了明显的影响和冲击,它能有助于快速响应信息化审计环境,能有利于提升对法律法规完善的重视,对团队可用人才的培养也高度关注,对于信息系统审计风险控制体系的优化,可基于COBIT控制理念做出考虑及方案设计。
参考文献:
[1] 王会金.高校管理信息系统审计及其风险控制问题研究——以WSR方法论与COBIT理论相结合为视角[J].审计与经济研究,2014(05):23- 30.
[2] 程平,王晓江.基于COBIT标准的云会计AIS审计风险评价指标体系构建[J].会计之友,2016(10):121- 125.
[3] 樊沙沙.信息系统审计风险应对策略研究[J].对外经贸,2017(08):158- 160.
[4] 成骏雄.我国信息系统审计技术推广的限制因素探讨[J].中国集体经济,2018(03):150- 153.
摘要:近年来,随着互联网时代的到来,使得信息技术日益成熟,但尽管是在互联网技术使用广泛的当下,信息系统的审计风险问题仍然存在。无论是固有风险、控制风险还是检查风险,这些信息系统审计风险,都在一定程度上影响和限制了信息系统的有效运作。COBIT控制理念作为信息系统审计风险控制体系的重要理念,对其起到启示和优化建设作用。
关键词:COBIT控制理念 信息系统 审计 风险控制
中图分类号:C931.6 文献标识码:A
基于COBIT控制理念,COBIT控制理念的控制目标主要分为五点。第一是高效性,通过最高层或最经济的模式,利用现有资源来提供充分的信息,实现信息系统信息对称性的强化。第二是机密性,对于涉及敏感话题的信息予以保护,对于未经授权的信息和话题等进行有效维护,尽可能避免隐私或敏感信息被披露。第三是完整性,通过精准完全的信息,实现有效的商业评价或期望。第四是可用性,在应对商业处理需求时,信息是切实可用的。第五是准时信息可靠性,他们为管理者日常经营管理提供有效的信息基础。COBIT控制理念对信用系统审计风险控制体系的形成有直接贡献。
1 信息系统审计风险的类别和特征
1.1 固有风险
所谓固有风险,通常是由于企业自身缘故而导致的风险,这部分风险与信息系统审计并没有直接关系。当企业经营管理过程中,企业信息系统没有内部控制,信息系统就可能存在安全隐患,这些安全漏洞会导致企业信息系统面临较大的风险。一般来说,固有风险包括系统设计风险、系统风险和系统环境风险,我们从不同的角度对信息系统本身做出综合分析,系统设计风险,主要是基于信息不对称问题做出考虑。
1.2 控制风险
所谓控制风险,它与企业信息系统审计业务直接关联,通常是企业信息出现重大错误,内部控制人员却未能及时纠正或防止该错误而导致的风险。在现代化发展过程中,互联网时代的到来,使得各行各业对互联网技术的应用不断增多,信息系统的普及度也日益增广。但尽管是在这样的前提下,部分企业仍然疏于对信息系统数据处理的高度重视,处理流程和控制程序方面存在一定的限制。无论是约束机制失效风险,还是系统数据安全性风险,都会对信息系统本身造成威胁。
1.3 检查风险
所谓检查风险,它与信息系统审计有直接关联,通常是指信息系统审计人员在加强信息数据筛选和审核时,对于实质性测试工具未发挥有效作用,相关测试程序也未能检查出系统风险。通常来说,当审计人员职业能力水平较低时,他们可能由于信息系统过于复杂,而无法实现有效的安全隐患防范。除此之外,当审计人员出现职业道德问题时,他们也不能在信息系统环境下实现职业操守与职业机密。换言之,审计人员所选择的审计方法和审计程序,并不足以让他们完成相应的审计任务,审计过程中所存在的检查风险就会比较突出。
2 信息系统审计风险形成的原因分析
2.1 信息化审计环境过于波动
基于目前的发展,信息系统审计风险之所以存在,这主要是由于信息化环境过于波动,在电子数据容易被更改或破坏的前提下,信息系统的审计管理是相对困难的。当审计工作人员需要在现有的信息系统基础上,筛选和整理与信息系统审计风险相关的数据资料,做好有效的数据分析和整理时,一旦他们所获取的电子数据是已被更改或破坏的,信息系统审计证据的采集就会受到限制。尤其是在信息化审计环境过于波动的前提下,信息系统环境风险不断加大,当信息系统的设计本身存在缺陷时,审计工作人员无法根据波动的环境,做好有效的信息筛选,信息系统审计风险由此产生。
2.2 信息系统审计缺少规范的法律法规
任何行业的发展都需要有相应的法律法规和审计准则为之提供保障,但从目前的发展来看,审计准则只针对一般行业有所限定,对于信息系统却未做出有效的审计管理,相关法律法规也不够健全。在日常加强信息系统审计风险控制与管理过程中,审计工作人员只能按照既定的条例完成相应的审计工作,他们没有办法参照健全的法律法规或审计准则,实现对审计业务执行的规范化操作,此时,部分审计工作人员就由于执业规范性的缺失,出现审计工作质量上的疏忽,信息系统审计风险的加大是显而易见的。
2.3 审计人员执业水平与信息系统发展不协调
在现代化发展过程中,各行各业都追求德智体美劳全方位发展的优秀人才,信息系统审计人才队伍建设也不例外。但基于当前的发展,审计人员执业水平与信息系统发展不协调,这在很大程度上限制了信息系统审计风险控制的效果。在前期发展过程中,信息系统审计难度较小,审计人员能够以目前已有的执业水平完成相应的审计工作,但在发展进入到中后期时,信息系统审计难度不断加大,审计人员需要提升原有的执业水平,以适应新阶段的新系统发展需求,但从实际发展来看,只有少部分审计人员通过系统地学习提升了个人水准,大部分审计人员的执业水平仍不太协调。
2.4 审计人员个体知识掌握薄弱
随着信息系统复杂性的加强,信息系统的电子数据处理难度不断加大,审计证据的查找也会面临较大的障碍。尽管在日常发展过程中,审计工作人员能够根据已有的相关城市,通过先进的审计技术来降低检查风险,但在实际运作过程中,部分审计工作人员对会计软件和计算机系统的知识掌握相对薄弱,他们对信息技术的应用也不够灵活,这使得审计风险不断扩大。以三四线城市为例,三四线城市的审计人员就可能由于个人知识掌握薄弱,出现信息系统安全风险和审计软件风险无法应对得当的问题,此时,审计方面的漏洞和错误是较多的。
3 COBIT对信息系统审计风险控制体系的影响和冲击
3.1 有助于更快地适应波动的信息化审计环境
COBIT控制理念强调了高效性原则,是以最经济的模式,追求最快捷的风险控制效果。COBIT控制理念对信息系统审计风险控制体系形成的影响和冲击体现在,它有助于更快地适应波动的信息化审计环境,让信息系统审计人员能在审计信息系统的相关风险时,对固有风险、控制风险和检查风险等做出逐一判断,并在波动的信息化审计环境下,选定最合适的审计技术和审计计划,进行进一步的方案部署。尤其是在信息化环境波动剧烈的前提下,COBIT控制理念对信息系统审计风险控制体系的强适应性,更是有著明显的影响和冲击。
3.2 有利于提升對法律法规完善的重视
COBIT控制理念注重机密性原则的保障,它的控制目标就是实现信息的机密处理。COBIT控制理念对信息系统审计风险控制体系形成的冲击,主要是有利于提升对法律法规完善的重视。COBIT控制理念,高度强调对敏感信息或个人私密信息的保护,而由于法律法规方面仍然欠缺对信息系统机密问题的有效维护,在COBIT控制理念的有效冲击下,法律部门也会逐步加强对信息系统审计风险控制体系形成的重视,从法律法规的补充和剔除角度加强法律建设。COBIT控制理念对于提升对法律法规完善的重视自然是功不可没。
3.3 有助于对团队可用人才的挖掘和培养
各行各业都稀缺优秀人才,COBIT控制理念强调了对有用人才的挖掘。在信息系统审计风险控制体系中,COBIT控制理念强调了对团队可用人才的深度挖掘,保证优质人才能够得以保留。以二线城市为例,二线城市中的审计人员质量介于一线城市和三线城市之间,他们对信息系统审计风险控制体系形成的认知也处于中游位置。在COBIT控制理念的基础上,信息系统审计风险控制将更加注重对可用人才的挖掘,这对审计工作人员执业水平的提高及审计队伍建设都有一定的帮助。
3.4 促成对信息不对称问题的细致考量
信息不对称问题已成为各行业发展的一大问题。COBIT控制理念强调了对信息可靠性的目标追求,它对信息系统审计风险控制体系的形成所带来的影响,自然也体现在有利于对信息不对称问题的细致考量。从目前的发展来看,部分审计人员对信息可靠性的追求并不强烈,他们只是按照既定的流程完成相应的审计工作,对于审计证据真实可靠与否却未作准确判断。在COBIT控制理念的冲击下,将有更多的人针对信息不对称问题做出考虑,这对信息系统审计风险的控制是有帮助的,部分帮助还是在潜移默化中得以实现的。
4 基于COBIT的信息系统审计风险控制体系优化策略
4.1 构建高效完整信息系统审计运行制度
要想在后阶段发展过程中,基于COBIT控制理念,加强信息系统审计风险控制体系优化,就应该构建高效完整的信息系统审计运行制度,保证信息化审计环境的适应能够更为迅速。在初期发展阶段,信息系统审计运行制度的构建,只需满足信息系统审计的一般需求即可。但在发展进入到稳定阶段后,相关审计工作人员应当结合COBIT控制理念的要求,尽可能达成COBIT控制理念的高效性控制目标,在信息系统审计运行制度构建过程中,将高效性与完整性予以逐一呈现。需要注意的是,COBIT控制理念的贯彻,并不意味着审计风险控制体系优化无忧无患,相关责任人仍然不能掉以轻心。
4.2 完善信息系统审计风险控制法规
由于信息系统审计风险控制的法律法规和审计准则不够及时到位,这已在很大程度上限制了信息系统审计风险控制的实际效果,在后阶段发展时,就应该基于COBIT控制理念,加强对信息系统审计风险控制体系优化和提升。法律部门既需要结合信息系统审计风险控制的实际需求,联系审计准则,将信息系统审计风险可能存在的场景等做出主要分析,还应该通过定期更新和完善法律法规的方式,将原有的法律法规进行筛选,保证最终形成的信息系统审计风险控制相关法律法规是与时俱进的。需要说明的是,法律部门在完善相关法律法规时,应当及时向上级部门提出申请,并获取上级部门的有效回馈。
4.3 组建规范的信息系统审计团队
结合当前的发展,信息系统审计风险控制,之所以会存在一定问题,这主要是由于审计人员的执业水准相对较低,个人知识掌握相对薄弱,这在很大程度上限制了审计人员执业效果的提高。后续发展时,应当尝试组建规范的信息系统审计团队,通过定期培养的方式,加强对审计人员专业素养的培养。对于线上培训模式,可以尝试通过QQ群和微信群等方式,对审计人员进行定期的资料发放和系统跟进。而对于线下培训模式,则可以根据审计人员线上培训的实际效果,对培训效果较差的审计人员进行二次辅导。必要的时候,还可以通过一对一结对帮扶的方式,在组建信息系统审计团队过程中,将COBIT控制理念中的可用性和完整性控制目标应用到位。
4.4 搭建信息系统审计风险控制交流平台
在移动互联网不断普及的当下,人们应当通过现有的移动通信设备,加强对信息系统审计风险控制交流平台的搭建。结合目前的发展可知,信息系统审计风险控制的难度相对较大,审计工作者个人的知识掌握力度也是受限的。为了在后续发展过程中,进一步提高COBIT控制理念,对信息系统审计风险控制体系形成的影响,就应该结合COBIT控制理念的相关控制目标,努力构建起全员参与的信息系统审计风险控制交流平台。当个别个体的审计风险控制存在问题时,他们可向其他人员提出请教,保证他们能在其他工作人员的帮助下,正确理解审计技术的操作流程,并实现对相关审计工作的有效完成。
5 结束语
在互联网技术日益发展的当下,信息不对称现象仍然存在,信息系统审计风险控制体系的形成,成为当下信息系统发展的当务之急。由于COBIT控制理念,对信息系统审计风险控制体系的形成,带来了明显的影响和冲击,它能有助于快速响应信息化审计环境,能有利于提升对法律法规完善的重视,对团队可用人才的培养也高度关注,对于信息系统审计风险控制体系的优化,可基于COBIT控制理念做出考虑及方案设计。
参考文献:
[1] 王会金.高校管理信息系统审计及其风险控制问题研究——以WSR方法论与COBIT理论相结合为视角[J].审计与经济研究,2014(05):23- 30.
[2] 程平,王晓江.基于COBIT标准的云会计AIS审计风险评价指标体系构建[J].会计之友,2016(10):121- 125.
[3] 樊沙沙.信息系统审计风险应对策略研究[J].对外经贸,2017(08):158- 160.
[4] 成骏雄.我国信息系统审计技术推广的限制因素探讨[J].中国集体经济,2018(03):150- 153.