论文部分内容阅读
在经济和信息技术高速发展的今天,信息化已经成为企业发展的新动力。企业规模不断扩大,业务和管理日趋复杂,为了提升企业的运营效率和效益,企业引入了信息系统。在信息系统在给企业的生产、经营和管理带来巨大的促进作用的同时,也使企业面临着更多风险。为了减少信息系统带来的风险,保证企业信息系统的安全和效率,这时企业就需要外部的信息系统审计师对信息系统进行审计。信息系统审计在国外起步较早。美国从上个世纪六七十年代起就成立了信息系统审计与控制协会(ISACA)的前身——EDP审计协会。目前信息系统审计与控制协会(ISACA)早已颁发了信息系统审计的执业标准。信息系统审计在美国、日本、加拿大、英国等国发展都非常迅速。我国与计算机相关的审计从二十世纪八十年代末开始发展,信息系统审计也在逐步的开展开来。在我国对信息系统审计的需求将会日益增加,如何评价信息系统审计风险,如何控制信息系统审计的风险也成为人们关注的问题。这也正是本文要研究的问题。本文由七章组成。第一章介绍研究的背景及问题、思路和内容、方法和框架。第二章,主要是对信息系统审计风险进行界定。第三章分析信息系统审计风险的要素和新特点。第四章、第五章是本文的核心。第四章对信息系统审计风险评价框架进行了探索性的分析,包括对信息系统审计风险评价的原则、风险模型以及评价流程和评价模式,评价方法方面进行了探索。第五章对信息系统审计风险控制从宏观微观层面措施进行分析,并特别对信息系统审计实务中的重点环节进行了分析。第六章,通过对一个财务信息系统的审计案例审计过程的风险评价和方法进行分析,运用第四章、第五章的研究结果对案例里的审计风险评价和防范提出一些建议,说明研究结果的应用。第七章是研究结论与局限。本文的研究思路是以信息系统审计风险的界定为基础,分析信息系统风险的要素和特点,然后构建信息系统审计风险模型,从审计风险的评价流程、评价的基本方法和审计风险模型的应用三个方面来分析和评价信息系统审计风险;再结合我国信息系统审计的现状提出信息系统审计的风险控制方法对策。最后,本文结合一个具体的案例来验证和应用本文的研究结论。本文采用规范分析和案例分析相结合,将审计科学与信息技术相结合的方法对信息系统的审计风险进行分析和评价。具体而言,就是运用归纳、演绎、比较以及综合分析相结合的规范性方法完成对信息系统审计风险的理论研究后,再将信息系统审计案例结合研究结果,做出案例分析结论。通过研究,作者得出以下结论:(1)信息系统审计风险的概念是研究信息系统审计风险的基础,它决定着风险的范围,研究方法、评价方法和控制风险的关键。本文认为信息系统审计风险是在信息系统环境下,信息系统的安全性、可靠性、有效性存在重大隐患而审计人员审计后,由于发表了不恰当的审计意见在特定的经济环境下使审计主体遭受损失的可能性。(2)信息系统审计是一项社会行为,是在外部环境和内部需求的共同作用下产生的。从审计实践活动角度看,认清审计实践活动所处的与已相关的外部环境存在何种程度的适应性与磨擦性,对于调整审计人员的工作方式,提高工作效率有很大的关系。信息系统审计从出现到现在经历了几十年的发展,相关的理论框架和实务操作规范也逐渐的建立起来;我国对计算机辅助审计技术的研究、国内信息系统审计人才的培养提高了信息系统审计人员的执业素质;目前企业对于信息系统审计的需求越来越大,这从制度上、人员上、经济条件上都保证了信息系统审计在我国的可行性。(3)信息系统审计风险的组成要素可以从信息系统自身的风险和审计过程的风险两个方面来分析。信息系统自身的风险主要包括系统开发设计风险、环境风险和系统风险。审计过程的风险主要包括人员操作风险、内部控制风险、审计人员执业能力风险和审计人员职业道德风险。(4)信息系统审计是一种经济行为,在评价其风险时应遵循成本效益原则、重要性原则、定性评价和定量评价相结合的原则、层次性原则和系统性原则。这些原则是合理评价审计风险的先决条件。(5)以信息系统审计风险的概念为基础,建立信息系统审计风险模型。该模型包括四个要素分别是:固有风险、控制风险、检查风险和发现风险。通过对目前我国信息系统审计实施的现状分析,认为在分析信息系统审计的合理组织模式是矩阵型组织模式。(6)控制信息系统审计风险不能只从信息系统审计人员或机构进行微观控制。还要从我国信息系统审计面临的外部大环境进行宏观的对策分析。具体来讲,从微观上控制信息系统审计风险要控制要从是否接受审计委托开始,通过对选派审计人员、制定审计计划、收集审计证据、出具审计报告等方面进行风险控制。从宏观上控制信息系统审计风险要从强化信息系统管理和控制观念、大力培养审计人才、加快制定信息系统审计准则、建立信息系统审计组织机构等方面来防范审计风险。