安全风险审计范文
时间:2023-06-13 11:07:38
安全风险审计范文第1篇
关键词:网络审计 历史财务报表审计 信息安全管理 风险评估
一、引言
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,IDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。
(三)风险评估的程序网络审计和信息安全管理的风险评估程序基本上是一致的,除了实施询问、观察和检查、分析等常规程序外,评估人员都需要借助一些特定的评估工具对特定系统或网络技术风险进行评估。这些评估工具大致可以分为以下几类:安全管理评价系统;信息基础设施风险评估工具风险评估辅助工具。对于风险评估的具体实施,《信息安全风险评估指南》(征求意见稿)将其确定为如下流程:(1)风险评估的准备。包括确定风险评估的范围、目标,建立适当的评估小组,确定系统性的风险评估方法,获得管理者对风险评估策划的批准的内容。(2)资产识别。包括定义资产并分类、对资产赋值。(3)识别威胁。包括定义威胁并分类、对威胁赋值。(4)识别脆弱性。包括定义脆弱性并分类、对脆弱性赋值。(5)确认已有的安全措施。(6)风险识别。包括风险的计算、风险等级的判定、控制措施的选择、残余风险的评价。(7)风险评估结果记录。
安全风险审计范文第2篇
关键词:国家经济安全;政府绩效审计;免疫系统;辨析与借鉴
作者简介:杨茁,女,黑龙江大学黑龙江省国家审计研究中心教授,从事财务、审计问题研究。
中图分类号:F239.65 文献标识码:A 文章编号:1000-7504(2011)06-0047-06 收稿日期:2011-03-20
随着经济全球化和信息化的加剧以及可持续发展的需求,国家经济安全观越来越受到各国家和社会的广泛关注。特别是2008年全球金融危机以来,无论发展中国家还是发达国家,都要共同面对国家经济安全问题。如参与国际经济竞争所带来的信息安全、金融风险、保护民族工业等问题;可持续发展中遇到石油、矿产资源保障、粮食供应、淡水资源保护、碳排放等问题;重大自然灾害引发的国家及其他地区的环境安全、经济安全等问题。我国经济发展具有特殊的时代背景,即集大国经济、转轨经济和不发达经济于一体,因此,在全球经济安全问题凸显下,中国的国家经济安全问题更具有特殊性。
一、谁在关注国家经济安全风险
马克思曾指出,资本帝国主义或资产阶级帝国主义正在改造传统社会,并起到将全世界结合为相互依存的世界经济体的革命性作用。他说:“暴力还是由经济情况来决定,经济情况供给暴力工具的手段。但是还不仅如此,没有什么东西比陆军和海军更依赖于经济前提。”其后,发展经济学、结构主义不发达理论以及依附理论等也都阐述了国际资本主义井然有序地发展会使不发达国家经济畸形,同时国际市场的不完善加剧了这种不平等,并使发展中国家日益依附和受制于发达国家,从而引发国家经济安全甚至国家安全问题[1]。
近年来西方国家学界及政府将国家经济安全问题作为重要问题加以关注。正如美国政治学者塞缪尔・亨廷顿所指出的,经济活动是国家权力最重要的源泉,在一个主要国家间不大可能发生战争的世界里,经济力量将是决定一国是处于主导或相对优势地位还是从属地位的日益重要的因素。
美国政府早在1986 年就开始向国会提交《国家安全战略》。美国政府责任办公室(Government Accountability Office,简称GAO)在《2004―2009 发展规划》目标框架中清楚地指出了未来美国政府责任办公室的经济安全战略目标。其中包括:向国会和联邦政府提供及时、高质量的服务,报告当前美国人民面临的生存和财产安全方面的紧急挑战;向国会和联邦政府提供及时、高质量的服务,以应对随时变化的安全威胁和全球互相依赖的挑战;转变联邦政府职能和决策方式,应对21世纪挑战;成为联邦的模范机构和具有世界水平的专业服务机构,使美国政府责任办公室的价值最大化。
美国政府责任办公室近年来主要在以下几个方面支持国会和联邦政府的相关工作:(1)提高和保护美国的国际利益;(2)分析美国对外国援助和人道主义计划的管理及其执行效果;(3)评估针对威胁美国利益的挑战所作出反应的计划、成本及其效果;(4)评估美国对多边组织的参与能在多大程度上有效地服务于美国利益;(5)分析美国外交事务职能和活动的策略和管理实践等。其主要目的是建立一个可以更加有效维护国家安全的安全网。
除美国外,许多国家已经制定并建设国家经济安全防护措施。如日本政府 1980 年开始制定《综合安全保障战略》;俄罗斯 1994 年开始组织撰写《俄罗斯经济安全构想》,并于 1996 年颁布了《俄罗斯联邦国家经济安全战略》等。
近年来,我国国家经济安全问题正在被关注并开始提升到战略高度。党的十五大报告中首次将国家经济安全问题提到议事日程,并明确提出了“维护国家经济安全”观;党的十六大报告中指出“在扩大对外开放中,要十分注意维护国家经济安全”;党的十七大报告中提出“扩大开放领域,优化开放结构,提高开放质量,完善内外联动、互利共赢、安全高效的开放型经济体系”。自2008年世界金融危机以来,我国更加关注国家经济安全风险,特别是国家金融风险的预警及防范。
从世界范围看,发展中国家的经济安全更容易受到威胁,这是由于发展中国家比发达国家面临更多的安全困境,根源在于缺乏必要及充裕的物质财富来维护国家安全。因此,发展中国家要维护国家安全的关键是要增强国力,这也是发展中国家亟待解决的问题。
二、国家审计与国家经济安全:辨析与借鉴
(一)国家经济安全观分析
由于研究者的视角不同,所以对国家经济安全的理解存在差异并呈现出多样性,但也存在相关性。这些观点主要为:(1)国家经济安全首先是国家经济体系本身的安全和维护这种安全的能力;(2)国家经济安全是经济因素对军事、政治安全的影响,主要是经济力量和经济能力对国家权力和军事力量的支撑;(3)国家经济安全是全球化所带来的安全问题,主要是非军事政治因素的威胁。 “从狭义上说,国家经济安全是在开放条件下一国如何防止金融乃至整个经济受到来自于外部的冲击引发动荡并导致国民财富的大量流失。从广义上说,是国家对来自外部的冲击和由此带来的国民经济利益损失的防范,是一国维持本国经济免受各种非军事政治因素严重损害的战略部署。”[1]
笔者认为,不同时期、不同环境下的国家经济安全观有所不同。一个贫穷落后的国家是没有“话语权”的;发展中国家在发展中开始认识到“发展才是硬道理”,从而认识到,只有发展,国家才能强盛,才可谈国家经济安全;而当一个国家的经济能力开始对国家权力产生强有力支撑时,经济发展带给国家和人民多方位的安全感和幸福感,同时使人们更加认识到国家经济强盛的重要性,此时的国家经济安全已经是国家安全、国家经济发展、增强国力、降低国家安全风险和减少外来威胁的保障。我们知道,当世界进入全球化阶段,一个国家不能仅从自身经济安全角度考虑国家安全防御,还应当从更广泛的角度考虑国家安全和人民利益的保障。国家经济安全观是随着世界经济环境的变化、国家经济发展而逐渐清晰的。不论狭义还是广义的国家经济安全观已经不再是一国的经济安全问题,正如美国金融危机的发生不仅全方位冲击美国的国家经济,同时连动的是世界范围的经济安全,而日本大地震引发的核辐射蔓延正在使日本经济陷入“孤岛”状态。国家经济安全正在影响和决定着一个国家在全球范围内的安全战略部署甚至危及到全人类的利益。
(二)国家经济安全审计职责分析
国家审计制度的确立是基于国家对经济活动的必要干预、调节和管理的现实需要,是国家政治制度不可缺少的组成部分。
国家审计的本质是对公共受托经济责任履行情况进行独立的监督,它是维护国家财经秩序、打击经济犯罪、防御国家经济安全不可或缺的重要组成部分。从公共受托经济责任的角度分析,维护本土人民的经济安全是其民主法治本质要求和公共受托责任的具体表现形式,是国家审计的法定职责。具体体现在:以审计公告等方式让人民了解经济是否安全,经济生活是否有保障,人民生活是否处于安全状态,协助人民参与经济生活,这体现出民主;依据国家政策法律,惩处贪官污吏,制约和监督经济权利,从经济安全的自然因素与社会因素、经济因素与非经济因素等诸多方面维护国家经济安全,这体现出法治[2]。
国家审计本质是一个动态的、历史的、逐步显现的发展过程,它反映了国家审计作用的根本目标和发展方向。国家审计在对国家军事、社会、国土资源、重大自然灾害、产业安全、民生等方面的安全监督与评估过程中,履行维护国家经济安全职责。近年来,许多国家正在或已经完成国家审计职责的扩展,期望能对国家经济安全给予最大的保障。
1. 美国审计署的职责发展
美国国会依据1921年颁布的预算和会计法案建立了美国审计署并赋予其主要职责是:调查“所有与收入、支出以及公共资金申请有关的问题”和“在公共费用支出方面提出加快经济发展和提高效率的建议”。第二次世界大战后,美国国会进一步阐明了上述内容“支持履行宪法责任的国会,并帮助提高其性能并确保对美国人民的利益”,“向立法者和能够促使政府更好工作起主导作用的机构提出很好的建议和咨询”。
从1945年至1994年期间,美国国家审计职责不断变化。如1945年政府法人控制法案的颁布为美国国会提供了审计政府法人财政事务的职权;1950年预算与会计程序法案的颁布规定了美国审计署的责任是为联邦政府建立会计准则以及实施内部审计控制和财务管理;1970年立法机关的整编法案的颁布赋予了美国审计署对联邦政府工作项目的评估和分析职权;1990年财务总监法案和1994年政府管理改革法案的颁布,赋予了美国审计署审计人财务报表和美国年度统一财务报表的职权。1994年以后,美国审计署致力于一系列的监督、检查和预测性工作,这些工作横跨了联邦政府工作和项目的各个角度和范围。美国审计署每年公布数以千计的报告和其他文件,并且提供大量其他相关服务。为了改善政府机构的实践和运作情况,美国审计署通过政策建议,不仅为联邦政府的开支及其日益提高的工作效率负有责任,而且也为增强纳税人的信任和联邦政府的自信作出了应有的贡献。
2. 我国国家审计职责的完善
我国国家审计真正开始关注国家经济安全问题时间较短。国家审计署刘家义审计长于2007年首次提出了“现代国家审计是经济社会运行的一个免疫系统”的观点。2008年刘家义对“免疫系统论”作了详尽的阐述。他认为,从经济社会发展与审计发展的内在联系来分析,从马克思主义国家学说的更深层次研究来看,审计本质上是一个国家经济社会运行的“免疫系统”。审计发挥的是预防、揭示和抵御经济社会运行中的障碍、矛盾和风险的“免疫系统”功能[3]。《审计署2008至2012年审计工作发展规划》提出了“充分发挥审计保证国家经济社会运行的‘免疫系统’功能,全面提高依法审计能力和审计工作水平,初步实现审计工作法治化、规范化、科学化,积极构建与社会主义市场经济体制相适应的中国特色审计监督制度”的要求[4]。这是我国国家审计职责的进步。
(三)国家经济安全审计核心价值观分析及借鉴
虽然防御国家经济安全风险已经成为一些国家的国家审计法定职责,但其定位和工作对象却有所不同。国家审计防御国家经济安全风险的能力和成效是依据各国政治、经济、法律环境及国家审计的职能、政府赋予的权力、工作范围以及自身建设而定。对此,我们重点分析美国国家审计的工作内容及范围,以期借鉴。
美国审计署的核心价值观是:问责性、完整性和可靠性。它的主要工作内容包括:确定联邦资金的使用是否有效率和效益;调查非法和不正当活动的指控;报告给政府的方案和政策,满足他们的目标;进行政策分析和概述国会审议方案;出具法律决定等。其目的为使政府更有效率,为纳税人节省高额开支。美国审计署的工作包括公共财政的方方面面,如关注问题资产救援计划、联邦政府的援助汽车业、美国介入伊拉克和巴基斯坦问题、联邦政府的财政状况和财政前景,以及需要重建现代化美国金融监管体系、环境保护、社会保障、武器出售等,并进行审计报告。近年来美国国家审计的工作范围更加扩大,这从美国审计署更名即可见一斑。根据2004年美国审计署人力资源改革法案修正案,自2004年7月7日起,美国审计署正式更名,由总会计师办公室(General Accounting Office)更名为政府责任办公室(Government Accountability Office)。这一措辞上的变化是美国审计署近年来业务内容转换的结果,仅2009年,美国审计署就提出了2000项有针对性的建议来改进联邦政府的运作。美国审计署已经形成了一个现代的、具有多种不同学科的综合服务技能的专业服务机构。
除美国外,一些国家也在努力改变国家审计的价值观,积极转换工作重心,增加和创新审计职能,有效进行战略部署。如德国审计机关开展的效益审计是对国家任务和利益进行界定、审查和评估的活动;英、澳等政府开展的信息化专项审计,目的是为促进电子政务的安全和有效运行,针对其所依赖的基础设施、服务内容、业务基础、保障条件、支撑环境和社会环境等方面的特定要求或存在的特定问题而进行的审计等。
近年来我国国家审计一方面针对金融危机所导致的诸多问题进行研究和改进其工作,另一方面在理论界开展有价值的学术研究和科学借鉴。但就我国紧迫的国家经济安全防御需求而言,审计工作滞后。通过分析美国审计署的责任、能力及工作范围我们不难看出,我国国家审计的核心价值观远未形成,国家审计的国家经济安全责任、职能及方法还在探讨阶段,国家审计工作重心还未转换,国家审计的国家经济安全战略还属空白。所以,从目前看,国家审计对国家经济安全的定量分析、风险管理系统、安全指标评价体系等的建设都还需要深入研究并形成有效的战略支撑。借鉴美国审计署的做法,我国国家审计应当构建中国的经济安全监测评估体系、中国经济安全预警系统和评价体系,并在此平台上实施有效的国家经济安全防御。我国国家审计也应该成为国家经济安全防御的核心机制,国家审计署应当成为国家经济安全风险防御的核心组织。
三、我国国家审计的改进与创新:思考与行动
国家审计的国家经济安全观与价值观决定于国家经济、政治制度以及国家对经济、政治制度干预、调节和管理的需求。因此,国家经济、政治制度,政府的进步与执政能力决定了国家审计的地位、作用、职能以及未来走向。对此,国家审计首先要在国家经济发展需求平台和政治制度基础上建立国家审计的国家经济安全观,明确国家审计的责任以及建设一个完整的工作程序。
(一)确立我国国家审计的经济安全观
国家审计与国家安全的内在逻辑与外在关系都表明二者存在密切相关机理。国家审计的本质决定其保障国家经济社会运行的健康和安全,推进法治、维护民生、推动改革、促进发展,抵御国家经济安全风险,保障国家经济社会稳健安全运行。国家审计的最终目的是维护人民利益。
如前所述,国家经济安全具有国别性。中国不是发达国家也非同于一般发展中国家,因此国家经济安全不是发达国家的“进攻型”和发展中国家的“附属型”或“依赖型”。中国经济发展的特殊背景决定了中国应当是立足本国国情的“稳健和积极”的国家经济安全。从目前看,威胁我国国家经济安全的风险不只来源于金融、能源、制造业等,还有很多风险来自于自然、突发事件、居民预期、体制改革、对外贸易环境、外商直接投资、跨国并购、国际产业分工、产业转移、国内产业竞争力减弱、环境保护、企业社会责任、粮食安全、食品安全、医疗及社会保障等经济发展和政治体制改革的诸多方面。对此,国家要依据政府的执政能力考虑建立一个防范与管理国家经济安全隐患的有效防御系统和国家经济安全风险评价体系,以满足国家监测和防御国家经济安全风险的需要。国家审计的本质决定了它在国家治理和风险防御中的地位和作用,因此,国家审计应当承担国家经济安全风险防御战略实施的重要责任。
(二)创新国家经济安全风险审计防御职能
政府要有效地行使监管国家经济安全的职能,最重要的是调动政府的各个职能部门,建立民主、科学的国家经济安全决策机制、信息获取和传递机制、公民对政府维护国家经济安全行为的监督机制、政府职能部门履行经济安全监管职能的责权对称机制,才能真正保证经济安全监管职能作用的发挥和决策效率的提高,防范其中可能发生的道德风险和信息不对称。国家审计是政府经济监督职能的载体,政府职能转变必然引起国家审计的变革与创新。
我国国家审计防御国家经济安全风险职能创新应该包括以下方面。
1. 监督职能。国家审计作为政府的监督机制,通过对有关部门、有关组织的安全防护机制的监控,保证其能正常履行其职能,使国家经济运行始终处于健康、可控的状态。国家审计的监督职能是有效的国家经济安全防火墙,能够维护国家安全。
2. 防御职能。国家审计在国家经济防御体系中监督、检查相关措施,致力于改善经济、提高效率。通过对公共资金的监管防御公共受托责任履行中的问题并提供处理建议。对突发性重大问题做好预见性防范,抵御风险,发挥监视与制约功能。国家审计通过防止外部不利因素对国家经济的侵袭,建立防御平台和体系,维护国家经济安全。
3. 评价职能。国家审计通过评价国家经济运行指标,致力于一系列的监督、检查和预测性工作,从深层次评价体制和制度上存在的缺陷,提出关于体制和制度方面的完善措施,并对其绩效进行评价,发挥建设性作用,预防风险的发生,从而维护国家经济安全。
4. 预警职能。国家审计的风险预警职能,一方面体现在对国家政策、公共财政收支、国际经济竞争、产业结构调整、经济的可持续发展等重要问题的风险预警及阐述风险趋势;另一方面还体现在对政策性问题的预警。由于受托公共责任中的风险可能导致政策制定异化和政策执行异化,因此,国家审计需要对政策制定风险预警,对政策执行风险预警,对政策目标完成结果进行风险预警和绩效评价。
5. 问责职能。作为政府职能监督载体,国家审计应当承担起对政府受托责任履行全过程以及公共管理绩效的问责和评价责任。国家审计应当通过对审计结果的综合性分析,针对倾向性问题可能对宏观经济产生的不利影响进行问责和追责,从而维护国家经济安全,保证人民利益不受侵害。
(三)国家经济安全风险防御中的政府绩效审计实施
随着国家经济的发展、政治民主进程加快,政府所承担的受托责任的内容和范围发生根本性变化。正是基于变化的环境,美国和一些国家的国家审计开始由财务审计向绩效审计发展。不同国家政府绩效审计所关注的对象以及具体内容有所不同,但大都关系到政府运作高效、资金使用方向及安全、政府项目的高风险区等。例如美国政府绩效审计是对项目的绩效和管理进行独立评价,对前瞻性问题进行评估或对综合信息、某一深层次问题进行的评估。美国政府绩效审计是对每个政府项目的资金流向和政府运作高风险领域进行实质性的监督检查,并监督联邦政府的财政管理,开展广泛的绩效审计和项目评估。英国政府绩效审计主要是评价资源管理方面的经济性、效率性和效果性。英国的绩效审计对象是公共资金使用情况的方式和效果。具体对象大致分为四类:严重的铺张浪费、效率或效益低下的控制薄弱区;特定的部门、重大项目、工程等;管理活动;其他较小规模绩效检查。英国绩效审计遵循一个基本原则,即审计是仅对政策的执行结果进行检查、评价,而对政策本身并不提出批评意见。加拿大政府绩效审计包括政府活动的经济、效率、效果、成本效益、对环境的影响、对公共财产的保护以及政府活动的合法合规性,政府绩效审计的评价对象是政府部门、政府从事的项目或者政府职能。
我国政府绩效审计刚刚起步,无论审计理论及实务都在建设和实践中,在政府绩效审计的对象、范围和具体方法方面还有待系统化、规范化。随着政治体制改革力度加大、政府职能转变,政府管理创新将会引导我国绩效审计发展。从市场化理念角度看,市场化不仅是一个管理工具,更是一个社会治理的基本战略。政府管理创新理念认为政府管理应着眼于终极产品和实际社会效果,这就引导绩效审计作为现代国家审计的主流内容正在启动。与传统财政财务审计不同,绩效审计作为一种对受托经济责任更深层次的考核方式,其审计的内容与发挥作用的机理上都具有全新的改变。因此,探索适合中国国情的绩效审计模式是国家审计国家经济安全战略实施的主要方法,也是我们面临的一个重要课题[5]。
借鉴其他国家政府绩效审计在评价国家经济安全方面的做法,我国政府绩效审计工作范围也应当包括以下内容。
1. 评估政府在实现国家目标中的作用。政府绩效审计要将重点放在分析政府面临的新的机遇、挑战和风险;创新方法用于分析国家经济发展状况和评价资源的利用;创新评估政府实现总体目标的政策有效性的途径;评价地方政府实施国家总体目标的责任及结果。
2. 支持政府职能转变。政府绩效审计要做到分析和评价政府职能转变的人力资源基础结构及效率;了解和提高政府管理能力;分析、评价和支持能够提高政府业绩的组织建设工作;了解能够提高信息搜集、处理和传递以及提高信息质量的方法;创新能够提高财务管理效果和可用信息能力的方法;分析政府计划的运作方式以及现代化程度;掌握能够提高政府服务方式效率的方法。
3. 协助各级人民代表大会对政府执政能力的监督和风险管理。政府绩效审计应该对政府执政能力和承担的职责进行监督和评价,以提高政府的政策水平和实施效果并确保其可靠性。工作重点在具有高风险的政府工作项目以及行政机构面临的主要管理风险上;评估政府对科学技术投资的管理及其成果以及知识产权保护工作的有效性;了解加强政府资产管理和工作可靠性的方法;预警政策制定及执行中的风险。
4. 分析政府财政状况并加强弥补当前和预期财政缺口的力度。政府绩效审计要能够分析政府的长期财政状况;分析预算选择的结构和方法并挖掘改进的途径;分析财政状况和融资渠道方面的财务信息的可靠性,防范金融风险等。
中国作为发展中国家,政府公共支出需求与国家财力供给之间的矛盾较为突出。从实际情况看,我国资源稀缺、毁损严重、利用率低、结构失调、市场体系不完善、就业和分配矛盾突出、财政压力较大和存在潜在的金融风险。因此,促进绩效审计发展可以促进经济社会科学发展[6]。现代国家审计是在法律框架下,对政府及其公共部门履行职责的规范性及其管理和使用公共资源的经济性、效率性、效果性进行评价。国家审计不仅是维护公共利益的政治工具,是民主与法制建设和国家治理的权力制衡、责任评价机制,也是国家经济安全风险的防御系统。因此,创新国家审计的经济安全保障职能将是国家审计未来的重心。
参考文献
[1] 王素梅,李兆东,陈艳娇. 论国家审计与国家经济安全[J]. 中南财经政法大学学报,2009,(1).
[2] 张庆龙,谢志华. 论国家审计与国家经济安全[J]. 审计研究,2009,(4).
[3] 刘家义. 以科学发展观为指导推动审计工作全面发展[J]. 审计研究,2008,(3).
[4] 刘英来. 审计是经济社会运行的免疫系统研讨会综述[J]. 审计文摘,2008,(8).
[5] 杨茁. 问责与绩效评价:国家审计职能创新解读[J]. 求是学刊,2006,(5).
[6] 许宝强. 对我国国家审计未来定位问题的探索[D]. 厦门:厦门大学硕士学位论文,2005.
Discrimination against and Reference to National Economic Security Risk by State Audit
YANG Zhuo
(Center for the Study of State Audit of Heilongjiang Province, Heilongjiang University,
Harbin, Heilongjiang 150080, China)
Abstract: The innate logic and external relation between state audit and national economic security show that both of them are closely related. Some developed countries bestow the defense of national economic security on state audit. This article, based on comparative analysis, argues that the economic security in China is “forcing backward” state audit to shoulder the responsibility. Due to the flaws on the defense system of our state audit, the ability to defend against risk is very low, so the state audit must change and update their function so as to shoulder the responsibility. Our government should consider and deploy rapidly state economic risk defense strategy, construct national economic security platform and improve national economic security defense system, establish national assessment system of economic security, monitor and defend national economic security risk and become the essential subject in defense of risk in economic security and risk assessment.
安全风险审计范文第3篇
关键词:互联网金融;安全风险;安全审计;内部威胁
中图分类号:F239.0 文献标识码:A 文章编号:1008-4428(2017)01-64 -03
2014年3月第十二届全国人大第二次会议召开,总理政府工作报告提及了互联网金融。2015年3月,总理在政府工作报告中再次提及了互联网金融。当前,互联网金融获得了迅猛发展,其门槛低、交易便捷且成本低,为个人投资者及小微企业融资做出了巨大贡献。但2013年下半年以来,互联网金融公司倒闭、跑路、丑闻事件时有发生。这对审计工作提出很大挑战。由于互联网金融自身特殊性,审计机构、审计人员都面临较大风险。
一、互联网金融与信息系统风险控制审计
(一)互联网金融
互联网金融遵循“平等、开放、协作、共享”原则,将互联网、移动客户端与传统金融业务相关联,呈现低成本、易操作、高透明、高参与的特点。近几年,政府工作报告经常提及互联网金融。恒大集团副总裁刘永灼(2016)曾指出,2016年中国互联网金融行I市场规模将会达到17.8万亿,未来5年行业年均增速约为24.67%,预计2020年规模将会达到43万亿,而我国目前拥有超过1000万家传统金融机构无法覆盖的实体企业,互联网金融未来市场巨大。相比2016年,中国互联网金融行业协会曾发表研究报告指出,截止2014年年底,当时中国互联网金融规模为10万亿,P2P网贷平台1500家,半年成交额为1000亿,已超过2013年度全年成交额,P2P网贷从业人员人数39万人,服务企业超200万家,相关行业从业人数超过6000万人。第三方支付、众筹、互联网金融门户网站多元化模式逐渐形成。传统金融业为迎接互联网金融发展,建行推出“善融商务”,工行推出“融e购”,浦发银行将手机卡、银行卡、地铁卡三卡合一,交行推出基于网络应用平台的远程理财服务。与此同时,传统审计业务也发生重大转变。
(二)信息系统安全风险控制审计
根据IAASB的审计准则,现代审计风险模型为:审计风险=重大错报风险×检查风险。重大错报风险指的是在审计工作开展以前,被审单位存在的重大错误风险,这种风险与财务报表整体有关,也包括与报表认定相关的错报风险。其一,微观角度。互联网金融企业内部管理状况影响财务报表的重大错报,股权结构过于集中会使得董事会听命于大股东,治理结构的缺陷使得管理层可能会操纵财务报表。其二,宏观层次。2014年十二届全国人大二次会议将互联网金融纳入政府工作报告,但会议制定的《关于促进互联网金融健康发展的指导意见》较为宽泛,对第三方支付、P2P、众筹等相关规定过于笼统,一些处于初创阶段的互联网金融机构为获得发展,管理层可能会利用监管的空白粉饰报表,重大错报风险会因此增大。检查风险的存在与审计人员风险识别能力及业务判断能力密切相关。其一,互联网金融是多学科综合体,涉及审计、计算机、金融、统计学等行业技术知识,更新速度较快,审计人员传统知识结构无法适应互联网金融业务发展要求。其二,审计准则不能适应新业务发展,传统金融审计理论缺少互联网金融审计准则,这会造成互联网金融审计依据的缺失。
二、互联网金融信息安全风险
(一)互联网本身固有信息风险
互联网本身固有风险主要包括两种:信息安全风险、操作风险。主要表现为病毒入侵、泄露信息、黑客攻击及操作系统漏洞。在大数据云计算时代,信息数据传播速度非常快,破坏性强,影响范围广。此外,信息技术虚拟性的存在使得常规审计检测难以查出潜在风险,这些都加重了风险未知性及隐蔽性。有数据资料显示,2015年80%以上网贷公司都有过黑客攻击情况,164家P2P平台曾陷于瘫痪,数据被窃取,资产被盗用,资料被外泄,身份被盗用,客户利益受到非常大之损失。
(二)负外部性
负外部性即金融行为中,私人收益或成本向第三方溢出造成的经济效应。全球一体化使得互联网金融外部性加剧,而这种外部性影响很大,极有可能会再次引发金融危机,给世界各国经济与世界经济造成不可估量之后果。
(三)资金供需双方交易损失的风险
在互联网时代,资金供需双方不再局限于以传统金融机构为媒介,取而代之的是以互联网为代表的虚拟化中介机构。但双方信息不对称。互联网金融本身具有普惠性特点,其面向的是专业知识较为欠缺的“长尾”群体。这种群体一般风险识别能力较弱,这为互联网金融风险埋下伏笔。以P2P网贷和众筹为例,借贷双方直接依托网络发生业务联系。互联网推动了信息共享,但也有借款者为达到借款目的,刻意隐瞒不良资产或虚假信息,同时,贷款者因为自己专业知识欠缺,对信息存在误读情况。这就导致借款者处于信息优势地位,而贷款者处于信息劣势地位。道德风险的存在成为必然。资金供需之间信息不对称加剧了资金筹集运用的不确定性,加剧了金融不稳定,会引发新的金融风险。
三、互联网金融信息安全风险对审计工作之影响
(一)互联网金融相关法律法规缺位
互联网金融为新兴行业,我国政府对其监管仍处于起步阶段,国家尚缺少完善的法律法规体系,虽然我国出台了关于互联网金融企业会计处理原则与内部控制规范,但其法律基础仍是传统金融企业。互联网金融企业与传统金融企业不完全匹配,互联网金融创新性要远大于传统企业,新业务、新金融产品不断涌现,但审计人员开展审计却缺少相应的参照标准,此外,审计人员依据现有规范给出的意见,一旦客观条件发生变化,审计人员意见就有可能转为不恰当审计意见。
(二)审计线索隐蔽性使得三方审计难以开展
三方审计即官方审计、注册会计师审计以及内部审计。其一,互联网时代,审计证据及其轨迹呈现电子化网络化趋势,设计系统人员、操作员、拥有管理权限的后台管理人员、电脑黑客都有可能越过防火墙,对计算机系统进行攻击,对电子数据进行删除、修改,而且这种行为往往难以查证。这会使得审计证据的可靠性大大降低。其二,即使审计人员获取了数字化审计证据,在海量数据信息中提取审计线索也不是能在有限时间内完成的。其三,互联网金融企业系高新技术企业,业务在互联网上完成,日常资料实现电子化存储即云存储,大数据特征明显。即数据规模大、类型多样、高频动态。某些数据存储载体不再局限于肉眼可以观测到的服务器物理设备,这都增加了审计人员获取审计证据的难度。
(三)审计人员技术能力弱化
审计互联网金融企业要求审计人员具备审计、会计、计算机、金融等相关知识,如果审计人员知识结构欠缺,无疑会增加审计难度。此外,互联网金融交易都是线上操作,如何查证计算机程序是审计人员必须攻克的难题,传统审计软件在面对大数据时,暴露出其弱点:抓取证据准确性低、速度慢、处理效率偏低、误判。
四、基于威胁的互联网金融信息审计工作构想
(一)建立完善相关互联网金融审计法律法规
要积极完善互联网金融审计法律法规,明确国家金融审计在审计监督中的主导作用。在已经指导的互联网金融法律法规基础之上,针对目前政策法规的漏洞及薄弱环节,制定出针对互联网金融(如第三方支付、P2P网贷、众筹)、互联网保险(第三方保险网络平台)、互联网证券(如余额宝)、互联网混合业务(如金融咨询、比价)的审计规范。为审计工作开展创建政策依据。
(二)构建四位一体互联网金融审计体系
构建四位一体审计体系如下图所示:
图1 四位一体互联网金融审计体系构想图
政府金融审计应居于主导地位。其独立性、强制性、政策性特点决定了其在互联网金融审计中居于主导地位。其一,政府金融审计能凭借优势使得互联网金融与其他社会生产领域结合,从宏观上识别防范金融风险。其二,政府金融审计属于强制性审计,并且独立于金融系统,不仅可以对互联网金融做出客观公正评价,还可对互联网金融监管机构进行再监督。
互联网金融监督管理机构是保障。其组成人员可以包括政府审计人员、互联网金融企业代表、会计师事务所相关专家、内部审计专家。这个监督机构可以将各方信息综合,类似于自律组织,以出台规范模式来更好监督互联网金融发展。
会计师事务所审计是主力。其特点是业务广、专业强。其一,注册会计师行业储备了大量深谙会计、审计、金融、互联网知识的复合型人才,依托其专业知识可以识别潜在风险与错报。其二,注册会计师审计覆盖面广的优势可以弥补官方审计的盲区,更关注财务报告的合法性、公允性、真实性。
内部审计是核心。其特点是内向性、广泛性、及时性。相对于其他部门,其对本机构情况知根知底,可以通过及时详细信息来识别防范风险,能够形成持续性防护体系,应将内部控制设置的合理性,尤其是互联网信息的内部控制作为重点。
(三)培养复合型互联网金融审计人才
为进一步满足互联网金融发展需要,应对现有审计人员知识结构做重大调整。其一,会计师事务所应加强相关审计人员计算机能力培训,审计人员自身也应多关注互联网金融发展,多参加互联网金融讲座。其二,学校在审计课程体系建设中也应加入互联网金融案例知识。其三,注册会计师考试可以适当增加互联网金融相关内容。其四,开展互联网金融审计,也可以多借助其他专业人士知识,如风险控制专家、信息系统安全专家、网络工程师等。
五、结束语
互联网金融对审计业务提出了更高要求(下转第40页),(上接第65页)本文从互联网金融发展特点入手,通过系统论证现代风险导向互联网金融审计,提出了互联网金融系统安全风险如互联网本身固有风险、负外部性、资金供需双方信息不对称,希望通过完善法律法规,构建四位一体审计体系,培养复合型互联网金融审计人才模式,为互联网金融未来发展提供指引。
参考文献:
[1]刘国城.我国商业银行信息系统内部威胁的“知识发现”与“内控管理”[J].山东社会科学,2016,(07).
[2]赵丹,张红英.互联网金融审计监督体系的构建及其实现路径[J]. 财会月刊, 2015,(25).
[3]刘国城,杨丽丽.面向内部威胁的中观信息系统内控管理研究[J].计与经济研究,2014,(06).
[4]刘国城.基于过程的电子政务云安全审计模式研究[J].新疆大学学报(哲学人文社会科学版),2016,(01).
[5]刘国城,王会金.基于AHP和熵权的信息系统审计风险评估研究与实证分析[J].审计研究,2016,(01).
作者简介
刘国城,男,内蒙古赤峰市人,南京审计大学会计学院副教授、博士,研究方向:审计理论与实务;
安全风险审计范文第4篇
关键词:建设工程项目 风险管理 审计
开展建设工程项目风险管理审计既是落实国资委关于“中央企业开展全面风险管理指引”精神的需要,也是建设工程项目安全运行的内在要求,其意义无疑是十分重大的。但建设工程项目风险管理审计是一个全新的审计课题,涉及了多个学科领域的内容,在广泛意义上,风险无处不在,但如果把建设工程项目风险管理审计搞成一个包罗万象的工作,或者演变成其它的专项审计,就失去了它本来的意义。在目前状况下,开展该项审计的一个十分重要的工作就是要理顺审计头绪,明确审计的内容和程序,因为这个问题不搞清楚,建设工程项目风险管理审计难免会荒腔走板,或者主次颠倒。
一、建设工程项目风险管理审计的内容与对象
(一)关于审计内容
建设工程项目包括了从规划、立项、设计、招投标、合同、施工、物资采购,以及竣工验收等一系列重要过程,是否每一个过程的风险问题都纳入审计的内容,或者说都作为重点审计内容,这要对项目本身情况、工程项目各个阶段的风险特征,以及风险管理审计的内在要求等方面进行认真的分析。首先,就广泛意义而言,工程项目的规划、立项这二个阶段的风险无疑是工程项目最大的风险之一,但是,这些风险不但受更高层次的发展规划和投资战略决策的约束,而且受国家宏观经济政策的制约,项目规划和立项的风险是经济发展过程中所必须面临的风险,它不由项目本身的建设或施工过程来决定,因此规划和立项本身不构成建设工程项目风险管理内部审计的内容,而是构成审计过程中需要关注的影响因子。其次,项目设计阶段对工程项目产生的主要风险是项目的设计标准问题,它影到项目的防灾抗灾能力和投资收益能力,而设计标准又主要受项目规划(地方经济发展有联系)和立项的约束,因此,项目设计标准也不构成项目风险管理审计的主要内容,但是否按标准进行设计是审计关心的主要问题。另外,项目设计在整个建设施工过程中具有较强的动态特征,所以涉及到项目设计变更和设计过程中的不确定性是审计的重要内容。
根据前面的分析,这里可以对建设工程项目风险作如下定义:它是指建设工程项目从设计、招投标、合同、物资采购、施工、竣工验收等这一系列过程中,由于未来的不确定性对项目的质量、工期、事故责任体系和防灾体系的安全目标的影响以及由此引起的法律责任。这个定义包含了下列几个要点:第一,有限时期;风险发生在项目从设计到竣工验收整个建设施工期间,它不包括项目规划、立项和交付使用这三个阶段。第二,包括了纯粹风险和机会风险;在大部份的文献中,把风险定义为损失的不确定性,排除了机会风险,这与国资委的关于风险的定义有很大出入。第三,强调的是不确定性;对于确定性的损失或收益,就不能再当成风险问题。第四,约束目标的有限性;一方面,每个工程项目从不同的视角出发会有不同的目标,另一方面,对于一个建设工程项目,风险无处不在,无时不在,上述定义将风险约束于建设工程项目的质量、工期、事故责任和防灾四个基本目标,尽管这四个目标之间会有一定的因果关系和交叉关系,但这样定义仍然是有意义的,它不仅反映了建设工程项目自身的特征,也使风险管理审计目标更趋明确。第五,重视法律责任所产生的风险问题;法律责任贯穿了整个工程项目的建设周期。
(二)关于审计对象
首先,要分清风险管理与风险管理审计的区别,也就是说审计的对象是风险还是风险的管理。由于审计本身就具有管理职能,如果不能准确区分风险管理与风险管理审计,难免会使工作重复低效乃至于d俎代疱。按照国资委在“中央企业全面风险管理指引”的第十条要求,具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。由此可以看出,风险管理是内部审计部门自身承担的工作之一。内部审计部门从事风险管理,区别在于内部审计是对风险管理的职能部门和业务单位所从事的风险管理工作进行监督和评价,或者说内部审计更强调的是,对这些职能部门和业务单位的风险管理工作中的不确定性进行管理,从这个意义上说,风险管理审计是风险管理的风险管理。因此,风险管理与风险管理审计是同一管理过程在不同层次上的反映。
其次,要注意建设工程项目风险管理审计与建设工程项目审计的区别。建设工程项目审计是对工程项目管理全过程经济活动的真实性、合法性和效益性进行监督、评价和审核;它强调的是真实性、合法性和效益性问题,关注的对象是项目建设过程的中各项经济活动。而建设工程项目风险管理审计强调的是管理活动的充分性、存在性和有效性问题,关注对象是各项经济活动不确定性的管理,以及管理的不确定性问题,它要回答两个问题:一是对项目的不确定性问题是否进行了管理、管理是否充分;二是该项管理自身存在的不确定性是否会导致管理无效。
根据前面的分析,可以作出如下定义:建设工程项目风险管理审计是对建设工程项目从设计到竣工验收整个过程中,以保障项目的质量安全、工期安全、事故责任安全和防灾能力安全为目标,对各种经济活动的不确定性问题管理的存在性、充分性,以及由于该管理活动的不确定性而产生的管理的有效性问题进行监督、评价和审核。
二、建设工程项目安全风险控制与内部审计目标
建设工程项目具有投资大、建设周期长、专业性强、风险影响面广等特点,涉及土建、安装、信息化与通讯、调试等子项目,对这类项目进行风险管理是一个十分复杂的系统工程,因此,对内部审计而言,要想通过审计及时并准确地发现风险管理中存在的问题,提出有价值的建议和意见,而在审计过程中又要避免将风险管理审计脱变为一般意义上的审计,这将对内部审计人员提出十分严峻的挑战,从这个意义上说,必须要明确二个问题:第一是项目风险管理的审计目标;第二是项目风险管理的审计框架。
安全是建设工程项目风险管理的中心目标,从风险管理的角度看,安全目标约束于下列三个子目标:一是由质量和工期引起的建设项目投资安全风险;二是由施工过程中引起的事故责任安全风险;三是由自然灾害引起的防灾安全风险。这里,各种政治、经济和社会因素导致的风险、立项和设计导致的风险并没有被包括在安全目标的约束条件中,这是因为,政治、经济和社会风险必然会通过质量和工期等途径的传导,从而引起投资安全风险;又如前面所述,立项与设计风险它本身不由项目建设施工过程来决定,因此这些风险因素如果被纳入到风险管理的安全目约束条件中,有可能使风险管理审计演变成包罗一切的审计,进而造成了什么都审,但什么都没有审好的情形。
受投资安全风险、事故责任安全风险和防灾安全风险约束的工程项目安全风险是建设工程项目风险管理的内在要求,这也是风险管理审计区别于建设工程项目其它审计的最基本的逻辑关系。因而,围绕安全这个中心目标,紧紧抓做项目建设过程中的风险和风险管理不确定性这两个基本内容,建设工程项目内部审计目标必然是:内部审计人员要围绕工程项目的投资安全、事故责任安全和防灾安全这个中心,通过对职能部门和业务单位风险管理活动的存在性、充分性和有效性进行监督、评价和审核,及时、准确地向企业管理当局报告有关信息,适时地对从设计到竣工验收全过程各个环节的风险管理措施和控制缺陷提出建设性的意见和改进措施,协助管理人员更有效地管理和控制各种风险,并帮助企业相关部门和单位有效地担当起责任。
三、建设工程项目风险管理内部审计框架
目前,对于建设工程项目风险管理,审计什么,如何审计等等,这些问题往往与项目的常规审计和风险管理职能交织在一起,如果不能很好的设计其审计框架,难免将使建设工程项目审计失去其本来的价值。因此,在设计其审计框架时要遵循下面的指导思想:
第一,建设工程项目风险管理审计要体现综合性管理审计的性质,既要反映L险管理的本质要求,还要突出建设工程项目的内在特征,同时还要突出重点,有所为,有所不为。
第二,要以便于审计人员实际操作为基本设计目标。
第三,要为企业建立全面风险管理体系提供导向服务。
从前面的定义分析中可以看出,建设工程项目风险管理审计包括二个最基本的要求,一是对职能部门和各业务单位的风险管理活动的存在性、充分性进行监督、评价和审核,它主要考察这些部门和单位对待风险的态度;二是职能部门和业务单位的管理活动本身也具有不确定性,这种不确定性可能会导致一个构建良好的风险管理体系失效,必须对风险管理活动自身的风险进行监督、评价和审核,它主要考察这些部门和单位管理风险的能力。
通过对相关文献的研究和前面提出的三个指导思想,本文将审计框架设计成由目标、项目流程和风险管理构成的一个三维结构模型,每一个维度由若干个审计元素构成:
目标维(Z轴)是一组由四个审计元素构成的集合:
{质量安全,工期安全,事故责任安全,防灾安全};
项目维(Y轴)是由建设施工流程的六个审计元素构成的集合:
{设计,招投标,合同,施工,物资采购,竣工验收};
风险管理维(X轴)是由风险管理的七个审计元素构成的集合:
{环境,风险识别,风险评估,风险处置,信息沟通,内部控制,监督改进};
从上面的结构模型可以看出,各个审计元素在空间坐标系中构成了一个复杂的审计网络,网络中的每一个结点都构成了一个审计对象,为了便于实际运用,将三维结构模型划分为审计模块、审计单元和审计点三个层次:
审计模块。目标维中的四个审计元素(安全子目标)构成了四个审计模块:质量安全模块,工期安全模块,事故责任安全模块,防灾安全模块。
审计单元。审计单元是审计模块的基本构成单位,它是项目维和风险管理维中两两元素构成的一个集合。这样,每一审计模块下面都有6×7=42个审计单元,全部四个审计模块共包括了4×42=168个审计单元。如{招投标,风险评估}、{物资采购,风险评估}就是各个审计模块其中的二个审计单元。
审计点。项目维和风险管理维中的各个审计元素,都可以再分解为若干个作业点和控制点,它们的两两组合就是审计点,如在{招投标,风险评估}这个单元中,招投标又是由标底、开标、评标、定标等一系列作业点组成;而风险评估也是可能是由形成多个控制点,如专家评估、业务部门评估及审计评估等,作业点与控制点两两对应就构成了一系列审计点。审计点是审计框架的最小单位和审计模块(单元)的基本单位。
项目风险管理审计框架的价值在于,首先,它从项目安全的角度明晰了审计目标;其次,它通过对建设周期和风险约束状态的分析,为项目风险管理审计界定了明确的审计范围;第三,它从建设项目的三个维度出发,把项目风险管理审计划分为三个清晰的层次,为审计人员厘清审计思路、找准审计要点提供了可供依据的审计路径;最后,这一框架为风险管理职能部门和业务单位绘制了一张全面的风险控制图,使风险管理人员在最大程度上避免不必要的重大疏忽和遗漏。
四、工程项目风险管理审计的思路与路径
前面构建的项目风险管理审计框架由4大审计模块、168个审计单元、以及成千上万个审计点构成,要对每个审计单元和每个审计点都进行审计既无可能,也无必要,特别是像大型基础设施如电网建设这种类型的工程项目通常集成了多个不同专业的子项目,通常会包括土建工程、安装工程、信息工程、调试等子项目,使电网建设工程项目风险管理审计工作更趋复杂。同时必须看到,项目风险管理审计具有综合性审计的性质,但它不是全能审计,项目风险管理审计应当遵循它内在的要求和逻辑关系。因此,如何运用审计框架,提高审计效率是个必须要解决好的问题,这需要在框架的基础上设计审计的思路和路径:
首先,根据审计的时间点来决定项目风险审计框架的运用,并编制审计方案。由于建设工程项目的建设周期长,在不同时间段上的风险形式与特c具有较大的差异。事前审计、事中审计和事后审计要根据不同阶段的风险状况,对框架中的审计模块、单元及审计点进行筛选,抓做主要矛盾并在审计方案上要区别开来。
其次,要对项目风险进行预估。风险预估考验审计人员的专业判断能力,风险管理审计的专业判断需要根据风险管理审计的重要性问题,依照风险管理原则、方法,按风险管理目标的要求,运用专业方法对机构风险的范围、识别、评析、管理和处理方法等方面进行查证与鉴别,对风险管理及处理方法的合理性和有效性作出评价,捕捉风险征兆。缺乏风险预估的情况下筛选审计框架中的内容可能会导致重大审计风险的出现。在风险预估之前,审计人员要做好知识和信息二个准备,知识准备包括审计专业知识和工程专业知识,信息准备包括各种历史档案和前期审计调查内容等。
第三,要对风险进行分级分类处理。在风险预估后紧接着要根据风险管理的目标和要求对风险进行分级分类,风险分级可用风险发生的频率和危害程度为主要指标,将风险分为若干个等级;风险分类比较复杂一些,选取的指标不同,分类的差异很大,一般可按风险处置方式分类,如分为自留风险,规避风险、转移风险等;也可以项目的分部工程或单位工程把风险分为土建工程风险、安装工程风险、信息工程风险等。风险分类指标的选取无一定之规,但要紧扣目标。
风险进行分级分类的重要作用之一是在控制审计风险的同时,能够将审计框架中的审计数目最大程度地缩减下来。
第四,在运用项目风险管理审计框架时,可采取“自上而下”或“自下而上”的审计路径进行,所谓“自上而下”的审计路径,是指根据风险预估和分级分类后,先确定主要的审计模块,然后向下进一步确定审计单元和审计点;反之就是“自下而上”的审计路径。两种不同的审计路径反映了两种不同的审计思想,前者重视不同风险的相互作用,审计思想重在“面”上的控制,后者则关注重大的和关键的风险点,审计思想重在“点”上的控制。
最后,撰写审计报告要围绕项目安全这个中心,从风险管理职能部门和业务单位对待风险的态度和管理风险的能力这两个方面开展监督和评价,实际上,风险管理的存在性和充分性反映的是一个态度问题,而有效性反映了能力问题。
五、风险处置的审计
风险处置是风险管理流程其中的一个重要环节,由于我国开展风险管理的时间不长,企业在开展风险管理时更多的注意内部控制问题,或者把风险管理等同于内部控制,因此内部审计的重心往往也在内部控制方面,虽然出现这种情况可以追溯到相当多的合理成份,但如果不重视风险处置环节的审计,则风险管理审计与其它的常规审计就会出现趋同现象,浪费了审计资源,从这个意义上说,风险处置的审计是风险管理审计的主要内容。国资委的《中央企业全面风险管理指引》第二十六条,具体提出了风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等七个措施。这里将建设工程项目风险处置措施归为风险规避、风险自留和工程保险三个类型,内部审计人员要对这三种类型要作出如下评价:
第一,对采取某类风险处置措施的依据作出评价;
第二,对采用某类风险处置措施的具体方式作出评价;
第三、对采用某类风险处置措施的影响作出评价。
由于信息不对称,保险公司在承保工程项目风险的意愿受到很大的制约,可能会造成保险合同不公平现象,在可能的情况下,由保险经纪公司承揽工程保险中介服务的情况会成为常态,因此,将保险经纪服务也要纳入审计的范围。另一方面,风险管理的内部审计报告能很好地起到信息沟通作用,也为保险人和被保险对象之间搭建相对公平的平台。
上面关于建设工程项目风险管理审计是从它的一般属性上展开论述的,具体到不同的项目,其风险点的重要性排列会有差别,风险管理的目标也不尽相同,因此在审计的程序和方法上要有所区别,但其基本的审计框架是可以相互套用的,有一点需要注意的是,对某些工程项目,如电力工程项目、水利工程项目等,一旦出现风险事件发生,则有可能就是社会风险事件,理所当然地要提高风险管理目标的约束条件,在项目风险管理审计框架中的目标模块就要有相应的调整。
在审计实践中,往往遇到的情况是十分复杂的,在一个项目的风险管理审计前,对各种可能的情况事先作出估计,同时制订周密完整的审计方案和计划是审计工作成功的重要保证。
参考文献:
[1]国资委“中央企业全面风险管理指引”,2006年发
[2]美国coso制定.企业风险管理――整合框架[M].东北财经大学出版社,2005
[3]卓继民.现代企业风险管理审计[M].中国时代经济出版社,2005
[4]谭丽丽.固定资产投资控制与内部审计[M].中国计划出版社,2002
[5]蔡春,赵莎.现代风险导向审计论[M]中国时代经济出版社,2006
[6]薛晔,黄崇福,周健,杨富平.“城市灾害综合风险管理的三维模式--阶段矩阵模式”[N].自然灾害学报,2005
安全风险审计范文第5篇
所谓安全审计,是指评估企业安全风险以及如何应对风险措施的一个过程。这是一个人为的过程,有一群拥有相关计算机专业技能和商业知识的审计人员操作进行。作为审计的一个过程,审计人员会询问关键职员,实施漏洞评估,给现有的安全政策和控制造册,检查IT资产。很多情况下,审计很大程度上有赖于技术工具。
1 安全审计的焦点问题
(1)密码是否牢靠?
(2)网络是否有访问控制清单?
(3)访问日志是否记录了访问数据的人员?
(4)个人电脑是否经常扫描广告软件和恶意软件?
(5)谁有权访问组织中的备份存储媒介?
当然以上只是例举了一小部分问题。
审计不是一个短期的静止的过程,而是一个连续不断需要提高的过程。一些评论家说,审计的焦点应该在于评估企业现行的安全政策是否兼容一致。当然,审计不仅仅是评估兼容性问题,还有企业安全政策和控制本身。很多时候,企业一些老旧的管理规定赶不上新的技术的发展。安全审计是最有效的办法。
2 安全审计的关键流程
在实施审计之前有几步是很关键的(譬如:审计需要得到企业高层的支持),以下是审计本身实施的关键步骤:
(1)定义审计的物质范畴。划定审计的范围很关键。划定的范围之间要有一些联系,譬如数据中心局域网,或是商业相关的一些东西、财务报表等。不管采用哪种方式,审计范畴的划定有利于审计人员集中注意力在资产、规程和政策方面。
(2)划定审计的步骤范围。过于宽泛的审计步骤会延缓审计。但是过窄又会导致审计不完全,难以得出令人信服的结果。应该确定一个合适的安全审计区域。不管企业大小,都应该将主要精力放在审计的重点上。
(3)研究历史。审计中常遗忘的一个过程就是不查阅以前的审计历史。藉此我们可以把注意力放在已知的安全漏洞,及损害导致的安全事件方面,还有IT结构的企业流程的改变等等。这应该包括过去审计的评估。还有,审计人员应该将位于审计范围内的所有资产及其相关的管理规章造册编辑好。
(4)恰当的审计计划。一个详细备至的审计计划是实施有效审计的关键。包括审计内容的详细描述、关键日期、参与人员和独立机构。
(5)实施安全风险评估。一旦审计小组制定好了有效的审计计划,就可以着手开始审计的核心――风险评估。风险评估覆盖以下几个方面:
A 确认位于安全审计范围之内的资产,根据其商业价值确认优先顺序。譬如:支持命令进入程序的网络服务器就比支撑IT部门内部博客的服务器重要得多。
B 找出潜在的威胁。威胁的定义是指有可能造成资产潜在风险的因素。
C 将资产的各类漏洞编一个目录。特别是那些资产现有的漏洞及由此可能产生的风险。
D 检查现有资产是否有相应的安全控制。这些控制必须存在并且可用。如果缺少这些就应该记录下来。控制包括技术方面的。譬如防火墙;流程方面的,譬如数据备份过程;人事方面的,譬如管理相关资产的系统管理人员。
E 确认风险发生的可能性。审计小组必须给出每个风险可能导致危险的量化的可能性。风险可能性的评估表明了现有控制处置风险的能力。这些可能性应该用不同的层级来表示。
F 确定风险的潜在危害。审计人员必须再次将风险发生造成的危害量化。这种量化的评估也需要用层级表示。
G 风险评估。审计人员使用上述两个参数(可能性乘以危害)计算风险。这样根据风险评估的结果来提高处置风险的有效性。
(6)记录审计结果。这并不是说需要上述所有审计的一个详尽的结果。审计文件包括总结、审计原因、必要的升级和纠正、支持数据。审计小组还要把文件制成ppt演示文稿。
(7)提出改进意见。安全审计最终的好处就是提出相应的提高安全的建议。这些建议应该是客户可以实施的形式。
3 安全审计范畴
很多企业在确定审计范围时不需要花费什么时间。对于审计小组来说,把审计限制在实置和逻辑小组就很简单了。
更难的,也是更有价值的是划定审计区域。关键就是根据风险系数制定出优先的安全流程。譬如:有一些是不断造成非常小的风险,而身份管理就可能造成严重危害。在这一案例中,身份管理流程就应该包括在审计过程中,那些小的风险可以忽略。
许多咨询人士和分析人士似乎都对来年的安全风险有一个明确的认识。Gartner估计80%的风险集中于如下四个方面:
网络访问控制(NAC)。NAC就是检查访问网络的用户和系统的安全性。这是任何访问某个网络的用户必须面临的第一道安全检查。NAC也会检查已经进入网络的用户和系统的安全。有些情况下,NAC还会根据已知的风险或用户矫正或是应对风险。
入侵防御。入侵防御涵盖的范围远广于传统的入侵检测。实际上。这与NAC有些类似,都是防范已知的风险。入侵防御会加强政策的执行,从而将风险范围缩小到最小范围。
身份和访问管理。它控制什么人什么时候访问了什么数据。主要采取的就是授权证明。
安全风险审计范文第6篇
关键词:人民银行;信息技术;风险导向审计
中图分类号:F830 文献标识码:A
文章编号:1005-913X(2015)12-0113-03
一、人民银行信息技术审计中风险导向内审模式的构建思路
随着信息化的迅猛发展,信息技术已经渗透到各个金融管理和服务领域。中央银行的业务工作对信息技术的依赖程度不断提高,信息安全和技术风险问题也日益受到关注,在人民银行系统全面开展信息技术审计应得到各部门的高度重视。信息技术审计是面对计算机信息系统的审计,其目标是通过对计算机信息系统资产所面临的威胁、脆弱性识别,以及管理和环境风险水平计算,来评估审计对象科技信息安全状态和存在的不足的流程,探索建立人民银行信息科技审计模型,发现和识别在科技信息系统的风险点和控制薄弱环节,提出有针对性的意见和建议,促进和维护计算机系统的合规性、安全性、可靠性及有效性。
二、人民银行信息技术审计风险评估指标体系构建
(一)资产重要性识别
资产是具有价值的信息或资源,是安全策略保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。信息科技审计中资产的价值不仅仅以资产的账面价格来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。
通过对资产的机密性、完整性和可用性综合分析评定,可以对被审计资产的重要性给出一个评估结论。笔者将资产重要性划分为五级,级别越高表示资产重要性程度越高。具体见表1。
(二)资产威胁识别
威胁是一种对组织及其资产构成潜在破坏的可能性因素,是客观存在的。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和无意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。根据人民银行科技信息工作实际,根据表现形式,威胁主要分为以下几类。见表2。
判断威胁出现的频率是威胁识别的重要工作,审计人员应根据经验和(或)科技部门提供的有关的统计数据来进行判断。根据人民银行工作实践,判断依据主要包括以下三个方面。
1.以往安全事件报告中出现过的威胁及其频率的统计。
2.实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计。
3.近一两年来国际组织的对于整个社会或特定行业的威胁及其频率统计,以及的威胁预警。
威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。表3提供了威胁出现频率的一种赋值方法。
(三)资产脆弱性识别
脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别,弱点是资产本身存在的,如果没有相应的威胁发生,单纯的弱点本身不会对资产造成损害。而且如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。即,威胁总是要利用资产的弱点才可能造成危害。
脆弱性识别将针对每一项需要保护的资产,找出可能被威胁利用的弱点,并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域的专家和软硬件方面的专业等人员。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。具体识别内容见表4。
可以根据对资产损害程度、技术实现的难易程度、弱点流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性由于很多弱点反映的是同一方面的问题,应综合考虑这些弱点,最终确定这一方面的脆弱性严重程度。对某个资产,其技术脆弱性的严重程度受到组织的管理脆弱性的影响。因此,资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。
脆弱性严重程度的等级划分为五级,分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。见表5。
(四)风险分析
审计人员在完成了资产识别、威胁识别、脆弱性识别,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响,即安全风险。风险计算以下面的范式形式化加以说明:
风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ))
其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性; Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。有以下三个关键计算环节。
1.计算安全事件发生的可能性
根据威胁出现频率及脆弱性状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:
安全事件发生的可能性=L(威胁出现频率,脆弱性)=L(T,V )
在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)以及资产吸引力等因素来判断安全事件发生的可能性。
2.计算安全事件发生后的损失
根据资产重要程度及脆弱性严重程度,计算安全事件一旦发生后的损失,即:
安全事件的影响=F(资产重要程度,脆弱性严重程度)=F(Ia,Va )
部分安全事件的发生造成的影响不仅仅是针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也是不一样的。在计算某个安全事件的损失时,应将对组织的影响也考虑在内。
3.计算风险值
根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即:
风险值=R(安全事件发生的可能性,安全事件的损失)=R(L(T,V),F(Ia,Va ))
具体计算方法可以采用风险矩阵测量法。
这种方法的特点是根据以上过程事先估算的资产价值、威胁等级和脆弱性等级赋值建立一个对应矩阵,预先将风险等级进行了确定。然后根据不同资产的赋值从矩阵中确定不同的风险。资产风险判别矩阵如表6所示。
对于每一资产的风险,都将考虑资产价值、威胁等级和脆弱性等级。例如,如果资产值为3,威胁等级为“高”,脆弱性为“低”。查表可知风险值为5。如果资产值为2,威胁为“低”,脆弱性为“高”,则风险值为4。由上表可以推知,风险矩阵会随着资产值的增加、威胁等级的增加和脆弱性等级的增加而扩大。
当一个资产是由若干个子资产构成时,可以先分别计算子资产所面临的风险,然后计算总值。例如:系统S有三种资产A1,A2,A3。并存在两种威胁:T1,T2。设资产A1的值为3,A2的值为2,A3的值为4。如果对于A1和T1,威胁发生的可能性为“低”,脆弱性带来的损失是“中”,则频率值为1(见表1)。则A1的风险为4。同样,设A2的威胁可能性为“中”,脆弱性带来损失为“高”,得风险值为6。对每种资产和相应威胁计算其总资产风险值。总系统分数ST=A1T + A2T + A3T。这样可以比较不同系统来建立优先权,并在同一系统内区分各资产。
(五)风险结果判定
风险等级划分为五级,等级越高,风险越高。审计人员应根据所采用的风险计算方法为每个等级设定风险值范围,并对所有风险计算结果进行等级处理,最终给予审计对象一个审计结果。见表7。
人民银行应当综合考虑风险控制成本与风险造成的影响,提出一个可接受风险阈值。对某些风险,如果评估值小于或等于可接受风险阈值,是可接受风险,可保持已有的安全措施;如果评估值大于可接受风险阈值,是不可接受风险,则需要采取安全措施以降低、控制风险。安全措施的选择应兼顾管理与技术两个方面,可以参照信息安全的相关标准实施。
在对于不可接受风险选择适当的安全措施后,为确保安全措施的有效性,可进行再审计,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。
某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
三、人民银行信息技术审计中应注意的问题
在信息技术审计中如何坚持风险导向审计是一个不断摸索、不断总结提高的过程。笔者认为,只有不断积累风险数据信息,持之以恒的加强人才培养,新旧审计模式互为补充,才能更进一步发挥好内部审计职能。因此,应注意以下几点。
(一)建立动态的风险信息数据库,为运用现代风险导向审计模式提供信息基础
由于内部审计时间资源有限,不可能对所有的监督内容和所有的环节进行全面监督,比较科学的办法是建立一个完整的审计风险模型,对造成审计风险的多种因素进行全面分析和评估,发现被审计单位内部控制中的薄弱环节,确定审计的重点和范围,从而制定更具有针对性的审计策略。
(二)新型审计模式的运用并不意味着旧审计模式的消亡
风险导向审计是在传统审计模式基础上发展起来的新型审计模式,立足于对被审计对象整体风险管理进行系统审查、分析和评价,并以此确定审计策略及审计计划。因此,必须注重新旧审计模式的有机结合。将风险导向审计理念融入传统审计模式,可以使传统审计项目内容得以扩展,审计更加灵活,更好地坚持全面审计、突出重点的原则。
(三)重视信息技术审计人才的培养,为风险导向审计提供智力支持
人民银行运用风险导向审计方法,不仅要求内部审计人员熟练掌握有关规章制度,还要求审计人员利用审计职业独特的判断力,在实际运用中对审计风险点加以判断。因此,复合型人才培养与储备是运用风险导向审计方法必不可少的前提条件。要通过各类后续教育及培训,进一步更新内部审计人员业务知识,提升专业胜任能力,逐步建立起具有现代知识素养和职业水平的内部审计干部队伍。
(四)加快辅助审计软件的开发及应用,为风险导向审计提供技术支持
随着信息技术的发展,审计技术手段日新月异。在风险导向模式下,加强审计信息化建设十分重要。通过搭建信息收集和监测平台,开发和应用计算机辅助审计软件,迅速有效地完成各项审计信息的审核工作,将内部审计人员从机械性检查中解放出来,把主要精力用在对重要业务系统、重要业务环节的监控和评价上,从而减少审计成本、提升审计效率。
参考文献:
[1] 中国人民银行福州中心支行内审处.借鉴风险导向型审计拓展央行内审新领域[J].福建金融,2007(10).
[2] 罗伯特・莫勒尔.布林克现代内部审计学[M].北京:中国时代经济出版社,2005.
[3] 孙 晓,马鹏飞.人民银行信息技术应用的风险管理研究――基于审计角度的分析[J].金融会计,2011(12).
[4] 李 帆,骆 钰.风险导向审计模式在人民银行内部审计中的运用研究[J].武汉金融,2009(9).
安全风险审计范文第7篇
【关键词】 网络环境;审计风险;重大错报风险;检查风险;防范
随着网络技术和计算机技术的发展,审计已经由传统的手工审计发展到计算机审计,并进而发展到网络审计。在网络环境下,审计的对象和审计的技术手段都随之而发生改变,审计风险也随之加大。如何正确评价网络环境下的审计风险,如何降低网络环境下的审计风险是本文探讨的主题。
一、网络环境下审计风险的分析
根据新的审计准则,审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。新的审计风险模型表示为:审计风险=重大错报风险×检查风险。其中,重大错报风险是指财务报表在审计前存在重大错报的可能性。这是注册会计师可以评估、认定,但是无法控制的风险水平。检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师未能发现这种错报的可能性。在审计风险模型中,审计人员所能控制的只有检查风险。在网络环境下,审计风险同样取决于重大错报风险和检查风险,但是重大错报风险和检查风险却发生了较大的变化。
(一)重大错报风险
重大错报风险是由于企业本身的原因,比如会计处理过程、编制财务报表过程以及内部会计控制系统等不能发现和改正而造成重大错误的风险。在网络环境下,除了企业本身的原因会造成重大错误,还有一些外部因素可能会造成重大错误。
1. 网络本身的安全性。由于网络环境是一个开放的环境,无论企业的内部控制如何完善,仍然无法避免来自世界各地的计算机病毒、黑客等的恶意攻击。在这种开放的环境下,会计资料被非法修改、窃取或复制的可能性大大增加,会计数据的安全、完整性不是企业自身能够完全控制的,某些威胁甚至是企业从来都无法预见的。所以,在网络环境下,企业的重大错报风险明显增加。在传统的审计中,审计人员主要通过了解被审单位的内部控制来评审重大错报风险。在网络环境下,企业面临的环境复杂,审计人员在进行风险评估时不可能对企业面临的各种网络威胁都进行预测和评审。因此,如何较准确地评估重大错报风险成为网络环境下审计人员面临的一个问题。
2. 网络环境下,网上理财和自助式会计软件得到发展,会计服务机构可以通过网络为企业记账,企业也可以借助网上会计软件进行会计处理。会计服务机构的服务质量和职业道德、网上会计软件的可靠性和安全性等都会影响企业的会计活动。
(二)检查风险
检查风险是审计人员在执行审计的过程中没有检查出错误的风险,它取决于审计程序设计的合理性和执行的有效性。随着计算机和网络通信技术在会计、审计工作中的广泛应用,审计工作的效率大大提高。尤其是审计软件的广泛使用,审计人员可以方便快捷地进行凭证、账簿、报表的查询,同时可以增加抽查样本、采用抽样模型进行抽样审计,在一定程度上降低了检查风险。但是在网络环境下,审计人员在进行审计程序的设计和执行时,还会面临一些新的问题,这些新问题会大大增加审计人员的检查风险。
1. 虚拟企业的出现使得会计主体界限模糊,审计对象也变得模糊和易变。在网络环境下,一些公司为了短期目标而通过网络临时建立联盟,形成虚拟企业,它可以根据需要随时成立随时终止。在这种环境下,审计对象变得模糊。面对虚拟的、动态的审计对象,如何设计审计程序是审计人员面临的新问题。
2. 网络环境下进行审计取证的难度增大。由于磁介质逐步代替了纸介质,记账凭证、账簿等不再以书面形式反映,同时,磁介质上的数据可以不留痕迹地篡改,审计线索的逐渐消失会使审计人员面临没有原始证据的困境。其次,由于网络环境下企业的交易活动日趋复杂,审计人员不仅需要企业自身的相关数据,还需要获取企业交易关联方、银行等其他外部单位的相关数据。由于涉及到商业机密等问题,外部单位是否愿意提供数据或者是否能够提供完整的、真实的数据直接关系到审计证据的数量和质量。最后,在网络环境下,企业几乎所有的业务信息和财务信息都通过网络传输,业务活动的数据处理都是实时的,审计人员既要保证获取证据的完整性,又不能妨碍和终止被审计单位会计信息系统的运作。这时审计人员只能通过在线访问、在线查询来获取审计证据。在系统运作过程当中进行取证增加了审计人员取证的难度。审计证据获取不足将会加大审计风险。
3. 审计人员采用计算机辅助审计、网络辅助审计等方法进行审计工作时也会受到审计软件、网络安全的威胁。由于审计人员在数据采集、转换及查询等工作中越来越依赖审计软件,如果审计软件本身存在问题,就有可能影响审计结果,增加检查风险。此外,随着网络审计的开展,审计人员可以通过在线访问、在线查询等手段来获取证据,数据在传输过程中就有可能被恶意篡改或窃取,这也加大了审计人员的检查风险。
二、网络环境下审计风险的防范
由于网络环境给会计、审计工作带来了较大的冲击,根据前文对重大错报风险和检查风险的分析,笔者认为应该从宏观和微观两个方面加强对审计风险的防范。
(一)从宏观环境看
根据上文分析,在网络环境下,无论是重大错报风险还是检查风险,其产生除了企业和审计人员本身的原因外,外部环境也是导致风险产生的重要因素。因此,国家、社会及相关部门应该从以下两方面着手加强对外部环境的规范和治理,降低审计风险。
1. 宏观政策、相关法律法规的完善。(1)网络本身的安全性会大大增加审计风险,但这又不是企业或审计人员个人所能控制的。相关部门要针对当前存在的各种网络威胁,不断出台或完善有关网络安全的法律法规,尽可能地保障网络安全。(2)由于审计软件成为审计人员进行审计工作的重要工具,因此相关部门应该出台有关规范审计软件的法规政策,加强对审计软件的评审,提高审计软件本身的可靠性、安全性和稳定性。(3)由于网络环境下审计工作的取证难度加大,相关部门应该出台一些相关法律和政策,如对一些电子合同、电子货币、电子签名等电子证据的合法性的确认及使用进行立法,从政策或制度上要求与被审计单位有业务往来的其他单位提供相关原始数据,配合审计工作等,以保障审计人员的取证工作能有法可依,有据可依。
2. 财政部门、高校、会计事务所等相关单位应加强对复合型审计人才的培养。通过在高校设置相关专业和课程,在社会开设相关培训课程、开展相关认证考试等方法培养既懂信息技术又懂审计的复合型人才。尤其应该加强对已经从事审计工作的人员在信息技术方面的培训,使他们在拥有大量审计经验的基础上能充分利用信息技术更好地从事审计工作。
(二)从微观角度看,审计主体除了采取传统的降低审计风险的措施外,应充分考虑网络环境的特点,从以下几方面入手减少审计风险。
1. 审计人员进行风险评估时应加大评审范围。由于网络环境对审计风险带来了较大影响,审计人员在对风险进行评估时,应充分考虑网络环境、计算机软硬件系统、财务软件的使用、系统管理员的配置以及数据库的安全可靠性等情况。如果企业采用了记账或网上自助财务软件,审计人员还需要对记账公司的资质、网上财务软件的安全可靠性进行评估。
2. 使用可靠的审计软件。由于网络环境下,审计人员开始采用审计软件进行审计工作,某些取证、查证的过程甚至会依赖审计软件,因此有必要选择可靠性、安全性、稳定性较高的审计软件来辅助工作,减少因使用不恰当软件产生的审计风险。
3. 保证开展审计工作的网络环境是安全的。随着网络审计的开展,审计人员通过在线访问、在线查询等手段来获取证据,数据在网络传输过程中的安全显得十分重要。因此,审计人员工作的网络环境也应进行评审,要保证该网络环境的安全可靠性,尽量保证数据在传输过程中不被窃取、篡改或丢失,同时应采取有效的技术手段对获得的证据的完整性、准确性等进行验证。
4. 审计人员应该加强自身综合素质的提高,丰富自身的数据库知识、网络知识,熟练掌握审计软件和财务软件,在审计过程中能够以不变应万变,尽可能的利用现代信息技术充分获取审计证据并正确加以分析。在对网络环境、会计信息系统等进行评审时,要综合运用面谈法、流程图法、审阅法、测试法等多种审计方法,从而保证对审计风险评估的准确性和合理性。
【参考文献】
[1] 叶陈刚,吴永民.计算机系统审计:风险及其防范[J].会计之友,2008,(5).
[2] 肖明.试论计算机审计风险与防范[J].会计之友,2008,(1).
安全风险审计范文第8篇
[关键词]审计风险;防范措施;信息系统审计
在信息化环境下,信息系统在安全性、可靠性和有效性上可能存在缺陷或发生错误的隐患,行业的信息系统中可能存在一系列风险因素,进而增加经营管理风险的可能性,对信息系统进行充分审计利于降低甚至规避相关的风险。
1信息系统审计风险类型
信息系统审计风险包括以下三个方面:其一是被审计单位信息系统自身潜在的风险,即固有风险;其二是被审计单位内部控制存在缺陷产生的风险,即控制风险;其三是审计师在信息系统审计过程中产生的风险,即检查风险。下面具体分析面临的审计风险。
1.1固有风险
固有风险的产生是由于企业自身的因素,与信息系统审计没有关系。固有风险是在信息系统不存在相关内部控制的前提下,信息系统或其子系统发生重大错误的可能性。当企业的信息系统存在安全漏洞,系统内的相关电子数据或程序遭受破坏时,信息系统存在的固有风险偏高。信息系统审计的固有风险与计算机硬件配置、软件质量以及网络安全有关。主要表现在:①系统设计风险。由于信息不对称和知识结构的不完善使得系统开发人员设计出的信息系统与系统使用者的需求不匹配,那么就必然带来漏洞。②系统风险。信息系统的硬件配置不完善,软件质量不可靠,系统自控功能较弱而产生系统风险。③系统环境风险。电子数据大量集中在系统的信息中心,同时信息系统实现数据的高速处理,在此过程中,系统内数据遭到破坏或者处理时出现失误。
1.2控制风险
控制风险也与信息系统审计无关,是信息系统或其子系统发生重大错误并且没有被内部控制及时防止或发现纠正而产生的风险。信息系统在处理相关数据时,绝大多数的处理流程和相应的控制程序存在于系统中。在信息系统环境中,其控制范围发生一定的变化,具有其特殊性,包括系统组织操作、安全和数据处理等方面,所以很多一般的控制活动会失效。主要表现在:①约束机制失效风险。在信息系统环境下,交易授权直接由电子数据处理功能取得,信息系统中各岗位不相容职责分配较为集中,因不恰当的授权而促使舞弊行为发生。②系统数据的安全性风险。为保证系统数据的安全性和保密性,与书面资料相一致,防止系统数据被篡改或非法复制,监控和管理信息系统的有效运行,需要对人员权限进行适当有效的控制,对日常电子数据进行维护,保障信息系统的安全。
1.3检查风险
检查风险主要是与信息系统审计有关,是信息系统审计人员作为独立第三方通过实质性测试程序未能检查出其存在重大错误而产生的风险。信息系统审计的检查风险贯穿于审计过程,是唯一可以通过审计人员控制的风险。在信息系统环境下,审计人员的自身素养以及信息技术水平是影响检查风险的重要因素。主要表现在:①审计人员执业能力风险。信息系统的复杂性要求审计人员必须具备更加丰富的知识和技能,不仅要掌握会计、财务、审计知识,还要熟悉网络技术、信息处理以及管理技术。同时,人工操作将逐渐减少,信息技术是否有效运用的检查逐渐体现出了现实价值。②审计人员职业道德风险。在审计过程中,审计人员应保持其作为第三方的独立性。审计人员在信息系统环境下应保持其职业谨慎性,恰当地选择审计程序和方法,完成审计任务,降低审计过程中的检查风险。
2信息系统审计风险的特征
信息系统审计与其他审计不同,导致审计风险发生了很大变化,并且表现出不同的特征。其主要表现在以下几个方面。
2.1隐蔽性
信息系统审计工作主要面对被审计单位系统中大量的电子数据,操作人员使用信息系统负责处理数据输入和输出环节的信息,中间流程的数据处理几乎完全由计算机自己完成。与一般的审计证据不同,审计人员在获取审计证据时要考虑电子数据复杂和易被破坏的特点,在对数据信息采集、整理和分析过程中审计风险隐蔽性加大,不易怀疑计算机系统的数据处理能力,从而不易发现其存在的问题,审计人员的控制方法不能得以有效实施。
2.2不可控性
信息系统拥有高质量硬件软件可以保障系统的稳定性。审计人员对更新的审计软件的熟悉程度影响其在信息系统审计过程中的操作和分析。信息系统数据处理相对集中高效,磁介质存储信息使得数据存储载体发生改变,系统内部控制转而以计算机系统内部控制为主。而系统自身的运行有效、控制失灵等安全隐患也造成了审计风险的不可控性。
2.3群发性
信息系统中同种业务的数据处理采用相同程序,该程序设计开发错误未被发现,那么会出现错误的反复性。信息系统数据处理的整个流程几乎完全由计算机完成,某一审计程序未能发现信息系统存在的审计风险可能会连续地引发接下来的程序中的风险,一旦上个流程出现错误,必然导致下面的业务处理流程的数据失真,最终对企业生产经营决策产生重大影响。
3信息系统审计风险产生的原因
信息化环境造成了信息系统审计的困难,使审计风险愈发复杂,以下将从客观原因和主观原因进行简单剖析。
3.1客观原因
客观原因是其由信息化环境引起的。信息化环境下,一方面,电子数据易被更改、破坏,影响了审计证据的可靠性。信息网络自身风险较大,出现突发性故障的概率较高,外在不和谐因素如病毒的入侵,黑客破坏随时威胁系统的安全,导致信息系统环境风险增大。同时系统的设计存在缺陷,计算机硬件配置与软件质量较差,使得系统自控较弱,容易造成审计线索缺失;另一方面,行业的信息系统中可能存在功能缺陷、控制缺陷、不恰当授权等风险因素,加大审计风险,影响审计效率和质量。目前我国信息系统审计还处于初步发展阶段,对于信息系统审计没有健全的法律法规和审计准则,相关的法规准则缺失,审计人员在执行审计业务时没有相应的职业规范可循,必然影响审计工作质量,加大了信息系统审计方面的风险。
3.2主观原因
主观原因主要是其由审计人员自身特点引起的。由于信息技术的不断更新和发展,审计证据的难获取性,审计线索的隐蔽性等,信息系统审计人员不具备应有的专业能力,审计人员的执业水平与信息系统发展不协调。信息系统中大量的电子数据需要处理,此过程都在计算机内进行,审计线索更加隐蔽,审计人员很难发现问题或者错误,所以审计人员必须利用先进的审计技术,从而降低检查风险。审计人员对会计软件和计算机系统知识掌握薄弱,信息技术运用不灵活,必然带来审计风险。信息化环境下存在信息系统安全风险和审计软件风险,当审计人员对审计软件了解不足或对审计业务不够熟悉时,造成审计上的漏洞甚至发生错误。企业的信息系统中蕴含海量的电子数据,审计人员需要在保证企业信息系统正常工作的情况下进行审计业务,造成联网的其他企业与之相关的非经济业务活动的困扰,审计人员在获取有用的信息难度加大。
4信息系统审计风险的防范措施
通过对信息系统审计风险的分析后,为了降低审计风险,必须采取有效的应对措施,从而保障信息系统审计的内外部环境优化,提升审计质量。
4.1建立和健全信息系统审计法律法规和准则体系
在信息化环境下,信息系统审计的审计对象、技术和方法等发生了转变,传统的法律法规和审计准则不能完全适用于该审计,而我国目前尚未制定和出台相关信息系统审计准则和法律。在国际上,国际信息系统审计协会(ISACA)的信息系统审计准则是目前国际上通用的信息系统准则,其中包括了审计准则、审计指南和审计程序三个方面①。此外,其他组织如国际会计师联合会和国际内部审计师协会也制定了相关的规范。我国在借鉴国际信息系统审计的实践经验的同时,可以结合国内注册会计师管理情况,制定出我国特色的信息系统审计准则和法律,为降低信息系统审计风险提供有力保障。
4.2加强信息系统内部控制建设
信息系统运行得安全可靠需要健全有效的信息系统内部控制。在高度自动化的信息环境中,信息系统的设计开发者和使用者是系统内部控制及其审计的主要参与人员,其应当全面投入到信息系统的内部控制构建中去。为有效降低审计风险,建立信息系统内部控制体系势在必行。具体表现在:一是要改善内部控制环境并加强风险评估程序,将制定的内控制度落到实处并自行评估和评价,对其有效性进行信息反馈,便于进一步完善信息系统的内部控制;二是强化内部控制的技术应用。只有涉及内部控制相关的技术得到有效运用,才能降低被审计单位对内控的依赖程度。此类技术包括监控系统、综合分析平台、防火墙的建立和权限管理等。
4.3运用先进的信息系统审计技术方法
先进审计技术方法的运用便于提高审计效率和提升审计质量。审计人员获得充分适当的审计证据来实现审计目标需要其具备熟练的技术方法。目前我国信息系统审计技术保持迅速发展的态势,并逐渐缩小与欧美发达国家的差距。先进的信息系统审计技术包括了相关的安全审计技术、数据挖掘技术以及信息系统审计证据生成技术等,我国需要对这些技术领域的研究全面加强,同时在其完善后应及时投入运用,不断推进审计技术的更新,从而使之达到先进水平。
4.4加大信息系统审计人才培养力度
信息系统审计人员的职业能力和专业素养是提升信息系统审计质量的保障。在信息系统环境下,审计人员需要具备全面的知识,包括审计、会计、计算机技术和信息系统管理等,同时这样全方位的审计人才又相当缺乏,所以培养高素质的审计人才,任务显得尤为重要和艰难。我国信息系统的人才培养需要学历教育、社会实践和培训有效结合,各高校开设审计与计算机融合的相关专业和课程,加强信息系统理论知识的学习,审计机构适时提供培训,并安排审计人员真正应用实践,这样才能有力地促进信息系统审计人才的培养。
主要参考文献
[1]孙晶.浅谈信息系统审计风险与控制[J].中国管理信息化,2012(22):18-19.
[2]胡晓明.风险导向信息系统审计及其发展思路[J].经济管理,2007(2):63-66.
[3]谢岳山.联网环境下信息系统审计的体系架构[J].审计研究,2009(5):37-39.
[4]王振武,张子瑾.信息系统审计理论结构框架研究[J].会计之友,2011(21):91-96.
[5]刘园瑶.信息系统审计国内研究综述[J].现代商贸工业,2011,23(16):48-49.
[6]薛丽.信息化环境下审计风险的防范[J].安徽工业大学学报,2009,26(3):53-54.
[7]唐琳,付达杰.网络环境下的信息系统审计问题及其发展策略[J].科技广场,2012(6):148-150.
[8]张金城,李庭燎,沈静秋.信息系统绩效评价与审计[M].南京:东南大学出版社,2014.
安全风险审计范文第9篇
【关键词】 国家经济安全; 金融审计; 改进对策
一、引言
金融安全是国家经济安全的基础。政府审计是国家治理的重要工具,维护国家安全是政府审计工作的最高目标,政府审计在金融审计中具有不可替代的作用。“要进一步增强忧患意识和责任意识,从更高层面、更广的范围,密切关注财政、金融、民生、国有资产、能源和资源环境等方面存在的薄弱环节和潜在风险,及时提出对策性建议,防范苗头性问题演变成趋势性问题、局部性问题演变为全局性问题,切实维护国家经济安全(刘家义,2008)。”
国家安全问题伴随着国家政权的建立而产生,在第三次科技革命和全球化经济浪潮的推动下,国家经济安全问题日益突出,并超越传统的军事安全和政治安全。国家经济安全是指在经济全球化发展条件下,一国在其经济发展过程中具备抵御国内外各种干扰、威胁、侵袭的能力,从而保证经济不受侵害,并使国民经济保持快速健康发展的一种态势(王元龙,2003)。金融在现代市场经济中处于核心地位,金融系统产生的问题很可能会迅速波及到实体经济,成为整个经济的问题;另一方面,金融全球化的发展也使得世界局部的金融问题迅速转化成为全球性的金融问题。因此金融领域的安全成为国家经济安全的首要关口。
金融审计是政府审计作用于金融领域的具体体现,金融审计的监督作用是国家宏观经济正常运行的基本保障,其对信贷资产质量的监控是防范和化解金融风险的有力保障,对违规违纪问题的防范与纠正也是金融审计维护金融秩序的基本需要。
二、影响国家经济安全的因素
影响我国国家经济安全的因素可以分为国际和国内两方面。国际因素方面,主要表现为自2008年金融危机以来,世界主要发达经济体陷入衰退,新兴经济体和发展中国家经济增速放缓;全球贸易增速下滑,贸易保护主义开始抬头,大宗商品价格高位波动,国际金融市场动荡不已;经济问题与社会问题的联动关系进一步加强,各国经济复苏和政策运用的复杂性加大;在未来一段时期内,欧洲债务危机能否有效控制并逐步缓解,发达国家就业率能否提升,主要发达经济体和新兴经济体面临政府选举……全球经济在复苏进程中的不稳定和不确定性上升。这些都对我国的金融运作和金融形势产生影响,处理不好就会影响到金融的安全。
国内方面相关的影响因素主要有:第一,宏观经济运行呈下行趋势,我国经济发展处于转型时期,发展中不平衡、不协调、不持续的问题依然比较突出。经过三十多年的高速增长后,中国经济进入了高速增长的后期,国际经济态势、国内房地产市场走势和基础设施投资状况都存在较大的不确定性,风险积累和引发的可能性增加。第二,相关的法律制度建设落后,法律的威慑力不足,监管存在真空地带,民间借贷、非法金融等问题干扰着正常的金融秩序。总理在2012年1月6日第四次全国金融工作会议上,对全国金融改革发展的八项部署中,也突出强调要加强金融基础建设,改善金融发展环境,加快制定和完善金融法律法规。第三,金融系统内部控制不健全。内部控制是国民经济安全运行的微观基础,当前商业银行存在着资金审批程序不健全,对资金使用监控不严,对贷款审查不严格,缺乏一套行之有效、较为完善的员工业绩考评和激励竞争机制,金融运作中的业务风险和道德风险问题突出。第四,地方政府债务问题突出。我国地方政府普遍存在着过度信贷举债问题,债务风险突出,如果处理不当,相关风险可能会转化为银行微观金融风险和宏观金融风险。
三、我国金融审计问题分析
我国的金融审计随着社会经济发展和金融体制改革的深化而不断变化。审计署金融审计司原司长范鹏认为,“审计署成立以来,金融审计工作从只查金融机构的财务开支,到以资产质量真实性为中心重点揭露金融机构违规经营问题,再到关注金融机构重大风险和对效益有重大影响的突出问题,共走过了三个阶段。”①审计署自2003年12月12日开始实行审计结果公告制度以来,披露的审计结果公告涉及金融领域的共有25个。各级审计机关对国有金融机构进行了深入、广泛的审计,审计了包括金融监管机构、四大国有商业银行、股份制银行、政策性银行、保险公司、资产管理公司及其他非银行金融机构等在内的单位。
从当前我国金融审计工作开展的总体情况来看,还存在诸多问题,与维护国家经济安全的要求还有差距。
首先,审计目标主要还是停留在真实性、合规性方面。从当前金融审计公告所披露的问题来看,查错防弊、促进金融机构遵守财经法纪仍是金融审计的主要目标。审计署也结合经济责任审计,组织对金融机构主要负责人实施经济责任审计,督促被审计单位整改,金融审计走的是合规性审计的路子。金融制度及体系的安全、金融机构的安全、金融财富的安全、金融运行安全以及金融发展的安全,是一个国家经济安全的重中之重。从金融审计结果公告中,我们可以看出,金融审计在打击金融犯罪、保护国有金融资产安全、维护金融市场秩序等方面发挥了极其重要的作用。但是,国家经济安全牵涉的范围较广,除了体现在打击金融犯罪方面,金融审计还应更多地将安全性作为其目标。在审计结果公告中,审计机关只是就查出的具体问题提出相应的建议,并督促被审计单位进行整改,对金融系统管理结构、经营效益等方面缺乏较为全面和客观的分析评价,更没有对一些重要问题从较为深层的原因(比如政策法规、体制制度、监督体系、社会环境等方面)进行探究,难以从金融系统的整体运行上揭露问题,无法起到标本兼治的作用。
其次,审计对象亟需扩展。长期以来,金融审计除了对包括中国人民银行、银监会、证监会、保监会等监管机构加强审计力度外,审计资源主要集中在国有银行上,而对证券、保险和其他非银行金融机构而言,审计力度却不足。近两年来虽然加强了对保险、证券和资产管理公司的审计,但审计盲区仍然存在。当前我国金融业改革的不断深化,对外开放程度也日益加深,混业经营将成为金融业发展的重要特征。如果金融审计仍然停留在原审计对象上,将难以实现维护国家经济安全的战略目标。
再次,审计内容亟需深化。在金融全球化浪潮的带动下,金融业务外向型特征日益明显,比如,外币业务比较突出。金融创新是金融业的主题,金融中间业务的拓展,包括代收代付、基金托管、金融衍生业务、资产管理、投资咨询等,使得银行调整了业务结构。中资银行开始走出国门,向海外扩张。面对种种变化,金融审计却依然集中在传统业务方面,比如存款业务、贷款业务、票据业务、结算、财务管理等,对金融创新业务、国际业务都很少涉及,更未曾涉及中资银行的海外业务。金融创新不断涌现,审计内容却没有相应深化,难以深入了解金融业务中的重大风险,政府金融审计控制金融风险功能的发挥受到了极大的限制。
最后,审计问责亟需加强。审计问责制既符合法律对于建立、完善责任追究制度的要求,也有利于被审计单位及时纠正和整改审计查出的问题,遏制屡查屡犯的问题。已披露的审计结果公告在整改说明中都提到了被审计单位对责任的追究情况,对问责制落实情况实施审计始于2008年。2008年,审计署第8号审计结果公告披露了农业银行经营管理存在薄弱环节,“问责制落实不力,对违规人员责任追究不到位、处理不及时”;在对光大银行的审计中发现了“责任追究不到位,以罚代刑的现象比较突出”等问题。另外,政府金融审计对各部委审计问责的力度不够,审计结果公告只是指出各部委存在的问题并提出相关建议,各部委也没有追究相应的责任人,对于历年存在的问题,是屡查屡犯。如对“一行三会”的审计中,中国人民银行每年都存在资金账外存放支出、资金被挤占和挪用等问题,银监会、证监会和保监会均不同程度地存在虚列支出、提高开支标准、扩大开支范围等问题。对于这类问题,要加大问责力度,从深层次上分析原因,从制度上解决问题。
四、改进我国金融审计的对策
基于对当前我国金融安全和金融审计存在的问题分析,从维护国家经济安全的战略高度来看,必须改进和强化我国的金融审计工作。
(一)审计法律法规制度层面
我国现行的法律为审计维护国家经济安全提供了基本依据。《宪法》第九十一条明文规定,“国务院设立审计机关,对国务院各部门、地方各级政府的财政收支,对国家的财政金融机构和企业事业组织的财务收支,进行审计监督。”修订后的《审计法》指出,其立法目的是“为了加强国家的审计监督,维护国家财政经济秩序,提高财政资金使用效益,促进廉政建设,保障国民经济和社会健康 发展。”
但是现行的法律将政府审计的范围限于“财政、财务收支”审计,并将真实性和合法性作为财政财务收支审计的目标。因此,无论是从审计目标还是审计范围上讲,都显得较窄。《审计法》中有关“维护国家财政经济秩序”的描述,也不能适应全球化的发展和防范经济风险的要求。国家财政经济秩序只是国家经济安全的一个方面,无法代表国家经济安全。金融审计方面,只监督金融机构的资产、负债和损益,不足以评估金融领域的安全问题,应该是对整个国家的金融市场体系、金融运行体系进行评估,不仅包括金融机构的资产质量,还应当包括对国际投机资本的风险、金融机构的信用风险、金融创新产品特别是金融衍生产品的交易风险、国际金融危机对我国金融业造成的冲击、汇率波动造成的风险等方面。
(二)审计理念——审计“免疫系统”
“审计机关作为一个‘免疫系统’,能够最早地感受到病害侵蚀的风险,更早地揭示病害侵蚀带来的危害,更快地运用法定权限去抵御、查处这些病害,也能及时建议政府或相应的权力机关,运用各种政治资源、经济资源、社会资源去消灭这些病害,从而健全制度,保护国家安全”(刘家义,2008)。“免疫系统论”是新形势下创新审计理念的典范,要求审计在更大范围、更高层次上发挥作用,改变单纯财务审计的传统理念,转变以查错纠弊为主要目标的审计理念,转变只注重微观不注重宏观的思维方式,树立全面、系统、整体的审计理念。
政府审计在维护国家经济安全运行的过程中应充分发挥预防、揭示和抵御功能。从维护国家经济安全的大局考虑,在金融审计中国家审计机关要基于标本兼治的理念,在查处问题的同时,着眼于防范问题;在提出针对具体问题的整改和处理意见的同时,更要着重从问题产生的根源、从体制机制层面提出改进和完善的建议,防止问题的重复发生。
(三)审计手段——预防与跟踪审计并重
内部控制是现代企业重要的管理制度之一,内部控制制度的完善与否,关系到企业能否在变化莫测、充满风险的经济环境中生存和发展。内控机制的失灵或缺位,将会直接导致风险的失察、失控和蔓延。国际货币基金组织的研究证明,许多银行发生危机或困难的国家都存在银行内部控制制度的缺陷。因此,金融机构应加强内部控制建设,督促内部控制制度的落实与执行。从金融审计结果公告披露的问题来看,金融机构应加强内部控制制度的刚性约束,强化内部控制文化意识,健全员工激励约束机制,完善内部控制制度。
同时,在金融审计中将审计关口前移,不是单纯的事后监督,而是事前介入、事中督查,注重“防患于未然”,实施跟踪审计。对于审计中发现的问题,可以凭借跟踪优势,提前给予建议,防范问题的发生。比如对资金的跟踪审计,是以实现资金的安全有效、防范资金运行的风险为目标。国家审计机关对资金进行跟踪审计,就是沿着资金的流向、轨迹和运行情况,对资金的收、支、管、效等环节进行有效地监督,及时跟进,防范风险,最大限度地降低损失浪费的程度,提高资金使用的效率、效果。对重大金融事项实施跟踪审计,是维护金融安全的必要手段。
(四)审计重点——风险控制
由于金融本身的高风险性和金融危机的多米诺骨牌效应,金融体系安全、高效、稳健运行对经济全局的稳定和发展至关重要。因此,金融审计的重点是对金融业风险的防范与控制。金融机构内部风险控制系统的建设,关键在于建立和完善企业风险管理框架(ERM),在战略决策以及在整个企业中贯穿实施的过程,识别影响企业的潜在事件,将风险控制在企业风险偏好的范围中,并为企业目标的实现提供合理的保证。
金融审计工作要贯彻全面审计、突出重点的原则,实施风险导向审计,重点关注重大和异常的金融业务,避免审计人员陷入大量繁杂的金融业务而失去了审计目标。结合当前影响我国国家经济安全的因素,审计机关要评估金融机构的内、外部环境,对金融机构的生存能力和运行环境状况进行分析,了解其战略优势和威胁其经营目标的风险,运用分析性程序从宏观层面识别重大金融风险,准确发现金融机构在防范风险方面存在的缺陷,并提出切实可行的改进建议。在实质性测试的过程中,将审计资源向重点风险领域倾斜,对于高风险层次的风险因素进行全面详查,最大限度地强化金融机构的风险治理功能,及时发现风险、防范风险,发挥风险预警作用,促进金融系统安全运行。同时,我国的金融风险具有地域性,在制定审计计划时,要搞好审计调研,关注金融高风险区和案件频发区;在实施审计计划时,要依据各项金融业务的风险大小来确定审计的内容和重点。
【参考文献】
[1] 刘家义.在全国审计工作会议上的讲话[J].审计研究,2009(1):3-11.
[2] 汤小莉,逯颖.浅析政府审计维护国家经济安全的理论基础与现实基础[C].第五届(2010)中国管理学年会——会计与财务分会场论文集,2010.
[3] 张悦.我国政府金融审计的发展现状与对策研究[D].厦门:厦门大学硕士学位论文,2007.
[4] 刘家义.以科学发展观为指导 推动审计工作全面发展[J].审计研究,2008(3):3-9.
[5] 陈艳娇,易仁萍.金融审计免疫系统功能实现的路径研究——基于审计结果公告的实证分析[J].审计研究,2009(3):14-21.
[6] 宋华.金融审计功能与实现机制研究[D].成都:西南财经大学博士学位论文,2010.
[7] 蔡春,李江涛,刘更新.政府审计维护国家经济安全的基本依据、作用机理及路径选择[J].审计研究,2009(4):7-11.
安全风险审计范文第10篇
[关键词]审计风险;防范措施;信息系统审计
在信息化环境下,信息系统在安全性、可靠性和有效性上可能存在缺陷或发生错误的隐患,行业的信息系统中可能存在一系列风险因素,进而增加经营管理风险的可能性,对信息系统进行充分审计利于降低甚至规避相关的风险。
1信息系统审计风险类型
信息系统审计风险包括以下三个方面:其一是被审计单位信息系统自身潜在的风险,即固有风险;其二是被审计单位内部控制存在缺陷产生的风险,即控制风险;其三是审计师在信息系统审计过程中产生的风险,即检查风险。下面具体分析面临的审计风险。
1.1固有风险
固有风险的产生是由于企业自身的因素,与信息系统审计没有关系。固有风险是在信息系统不存在相关内部控制的前提下,信息系统或其子系统发生重大错误的可能性。当企业的信息系统存在安全漏洞,系统内的相关电子数据或程序遭受破坏时,信息系统存在的固有风险偏高。信息系统审计的固有风险与计算机硬件配置、软件质量以及网络安全有关。主要表现在:①系统设计风险。由于信息不对称和知识结构的不完善使得系统开发人员设计出的信息系统与系统使用者的需求不匹配,那么就必然带来漏洞。②系统风险。信息系统的硬件配置不完善,软件质量不可靠,系统自控功能较弱而产生系统风险。③系统环境风险。电子数据大量集中在系统的信息中心,同时信息系统实现数据的高速处理,在此过程中,系统内数据遭到破坏或者处理时出现失误。
1.2控制风险
控制风险也与信息系统审计无关,是信息系统或其子系统发生重大错误并且没有被内部控制及时防止或发现纠正而产生的风险。信息系统在处理相关数据时,绝大多数的处理流程和相应的控制程序存在于系统中。在信息系统环境中,其控制范围发生一定的变化,具有其特殊性,包括系统组织操作、安全和数据处理等方面,所以很多一般的控制活动会失效。主要表现在:①约束机制失效风险。在信息系统环境下,交易授权直接由电子数据处理功能取得,信息系统中各岗位不相容职责分配较为集中,因不恰当的授权而促使舞弊行为发生。②系统数据的安全性风险。为保证系统数据的安全性和保密性,与书面资料相一致,防止系统数据被篡改或非法复制,监控和管理信息系统的有效运行,需要对人员权限进行适当有效的控制,对日常电子数据进行维护,保障信息系统的安全。
1.3检查风险
检查风险主要是与信息系统审计有关,是信息系统审计人员作为独立第三方通过实质性测试程序未能检查出其存在重大错误而产生的风险。信息系统审计的检查风险贯穿于审计过程,是唯一可以通过审计人员控制的风险。在信息系统环境下,审计人员的自身素养以及信息技术水平是影响检查风险的重要因素。主要表现在:①审计人员执业能力风险。信息系统的复杂性要求审计人员必须具备更加丰富的知识和技能,不仅要掌握会计、财务、审计知识,还要熟悉网络技术、信息处理以及管理技术。同时,人工操作将逐渐减少,信息技术是否有效运用的检查逐渐体现出了现实价值。②审计人员职业道德风险。在审计过程中,审计人员应保持其作为第三方的独立性。审计人员在信息系统环境下应保持其职业谨慎性,恰当地选择审计程序和方法,完成审计任务,降低审计过程中的检查风险。
2信息系统审计风险的特征
信息系统审计与其他审计不同,导致审计风险发生了很大变化,并且表现出不同的特征。其主要表现在以下几个方面。
2.1隐蔽性
信息系统审计工作主要面对被审计单位系统中大量的电子数据,操作人员使用信息系统负责处理数据输入和输出环节的信息,中间流程的数据处理几乎完全由计算机自己完成。与一般的审计证据不同,审计人员在获取审计证据时要考虑电子数据复杂和易被破坏的特点,在对数据信息采集、整理和分析过程中审计风险隐蔽性加大,不易怀疑计算机系统的数据处理能力,从而不易发现其存在的问题,审计人员的控制方法不能得以有效实施。
2.2不可控性
信息系统拥有高质量硬件软件可以保障系统的稳定性。审计人员对更新的审计软件的熟悉程度影响其在信息系统审计过程中的操作和分析。信息系统数据处理相对集中高效,磁介质存储信息使得数据存储载体发生改变,系统内部控制转而以计算机系统内部控制为主。而系统自身的运行有效、控制失灵等安全隐患也造成了审计风险的不可控性。
2.3群发性
信息系统中同种业务的数据处理采用相同程序,该程序设计开发错误未被发现,那么会出现错误的反复性。信息系统数据处理的整个流程几乎完全由计算机完成,某一审计程序未能发现信息系统存在的审计风险可能会连续地引发接下来的程序中的风险,一旦上个流程出现错误,必然导致下面的业务处理流程的数据失真,最终对企业生产经营决策产生重大影响。
3信息系统审计风险产生的原因
信息化环境造成了信息系统审计的困难,使审计风险愈发复杂,以下将从客观原因和主观原因进行简单剖析。
3.1客观原因
客观原因是其由信息化环境引起的。信息化环境下,一方面,电子数据易被更改、破坏,影响了审计证据的可靠性。信息网络自身风险较大,出现突发性故障的概率较高,外在不和谐因素如病毒的入侵,黑客破坏随时威胁系统的安全,导致信息系统环境风险增大。同时系统的设计存在缺陷,计算机硬件配置与软件质量较差,使得系统自控较弱,容易造成审计线索缺失;另一方面,行业的信息系统中可能存在功能缺陷、控制缺陷、不恰当授权等风险因素,加大审计风险,影响审计效率和质量。目前我国信息系统审计还处于初步发展阶段,对于信息系统审计没有健全的法律法规和审计准则,相关的法规准则缺失,审计人员在执行审计业务时没有相应的职业规范可循,必然影响审计工作质量,加大了信息系统审计方面的风险。
3.2主观原因
主观原因主要是其由审计人员自身特点引起的。由于信息技术的不断更新和发展,审计证据的难获取性,审计线索的隐蔽性等,信息系统审计人员不具备应有的专业能力,审计人员的执业水平与信息系统发展不协调。信息系统中大量的电子数据需要处理,此过程都在计算机内进行,审计线索更加隐蔽,审计人员很难发现问题或者错误,所以审计人员必须利用先进的审计技术,从而降低检查风险。审计人员对会计软件和计算机系统知识掌握薄弱,信息技术运用不灵活,必然带来审计风险。信息化环境下存在信息系统安全风险和审计软件风险,当审计人员对审计软件了解不足或对审计业务不够熟悉时,造成审计上的漏洞甚至发生错误。企业的信息系统中蕴含海量的电子数据,审计人员需要在保证企业信息系统正常工作的情况下进行审计业务,造成联网的其他企业与之相关的非经济业务活动的困扰,审计人员在获取有用的信息难度加大。
4信息系统审计风险的防范措施
通过对信息系统审计风险的分析后,为了降低审计风险,必须采取有效的应对措施,从而保障信息系统审计的内外部环境优化,提升审计质量。
4.1建立和健全信息系统审计法律法规和准则体系
在信息化环境下,信息系统审计的审计对象、技术和方法等发生了转变,传统的法律法规和审计准则不能完全适用于该审计,而我国目前尚未制定和出台相关信息系统审计准则和法律。在国际上,国际信息系统审计协会(ISACA)的信息系统审计准则是目前国际上通用的信息系统准则,其中包括了审计准则、审计指南和审计程序三个方面①。此外,其他组织如国际会计师联合会和国际内部审计师协会也制定了相关的规范。我国在借鉴国际信息系统审计的实践经验的同时,可以结合国内注册会计师管理情况,制定出我国特色的信息系统审计准则和法律,为降低信息系统审计风险提供有力保障。
4.2加强信息系统内部控制建设
信息系统运行得安全可靠需要健全有效的信息系统内部控制。在高度自动化的信息环境中,信息系统的设计开发者和使用者是系统内部控制及其审计的主要参与人员,其应当全面投入到信息系统的内部控制构建中去。为有效降低审计风险,建立信息系统内部控制体系势在必行。具体表现在:一是要改善内部控制环境并加强风险评估程序,将制定的内控制度落到实处并自行评估和评价,对其有效性进行信息反馈,便于进一步完善信息系统的内部控制;二是强化内部控制的技术应用。只有涉及内部控制相关的技术得到有效运用,才能降低被审计单位对内控的依赖程度。此类技术包括监控系统、综合分析平台、防火墙的建立和权限管理等。
4.3运用先进的信息系统审计技术方法
先进审计技术方法的运用便于提高审计效率和提升审计质量。审计人员获得充分适当的审计证据来实现审计目标需要其具备熟练的技术方法。目前我国信息系统审计技术保持迅速发展的态势,并逐渐缩小与欧美发达国家的差距。先进的信息系统审计技术包括了相关的安全审计技术、数据挖掘技术以及信息系统审计证据生成技术等,我国需要对这些技术领域的研究全面加强,同时在其完善后应及时投入运用,不断推进审计技术的更新,从而使之达到先进水平。
4.4加大信息系统审计人才培养力度
信息系统审计人员的职业能力和专业素养是提升信息系统审计质量的保障。在信息系统环境下,审计人员需要具备全面的知识,包括审计、会计、计算机技术和信息系统管理等,同时这样全方位的审计人才又相当缺乏,所以培养高素质的审计人才,任务显得尤为重要和艰难。我国信息系统的人才培养需要学历教育、社会实践和培训有效结合,各高校开设审计与计算机融合的相关专业和课程,加强信息系统理论知识的学习,审计机构适时提供培训,并安排审计人员真正应用实践,这样才能有力地促进信息系统审计人才的培养。
作者:茆敏 单位:南京审计学院
参考文献
[1]孙晶.浅谈信息系统审计风险与控制[J].中国管理信息化,2012(22):18-19.
[2]胡晓明.风险导向信息系统审计及其发展思路[J].经济管理,2007(2):63-66.
[3]谢岳山.联网环境下信息系统审计的体系架构[J].审计研究,2009(5):37-39.
[4]王振武,张子瑾.信息系统审计理论结构框架研究[J].会计之友,2011(21):91-96.
[5]刘园瑶.信息系统审计国内研究综述[J].现代商贸工业,2011,23(16):48-49.
[6]薛丽.信息化环境下审计风险的防范[J].安徽工业大学学报,2009,26(3):53-54.
[7]唐琳,付达杰.网络环境下的信息系统审计问题及其发展策略[J].科技广场,2012(6):148-150.