朱凯寰1  张扬2

　　IT审计是针对网络信息系统的审计工作,随着信息技术的高速速发展，信息化进程的不断推进,IT审计的作用越来越凸显,该系统是促进信息资源规范化、合理化建设的有力保证。然而,IT审计由于在技术上的要求极高，所涉及的范围极广，内容极为庞杂，相应的风险可能性也极高，加之其自身的特点对审计工作来说都是一种巨大的挑战。而且，随着技术的革新推进，IT审计也面临着一系列新的问题，合理化IT审计风险评价与控制机制是当前IT业界和科研部门面临的首要课题。

　　一、IT审计概述

　　对于初期的审计环境进行分析并提出合理化需求是IT有效化审计的关键环节，审计单位在没有信息系统以及电子信息数据的情况下是无法进行IT审计的。只有从审计的实际情况出发，客观分析，实事求是，才能够有效地发挥其作用[1]。IT审计是在原有的传统审计定义中拓展而来的新内涵，是将审计对象从财务领域拓展到信息系统中，具有一定的复杂和综合的性质，其宗旨是保证信息资产安全、系统的有效可靠和高效性以及确保系统的完整性，它是IT界的“防护卫士”，是IT系统的“晴雨表”。与其他传统环境下的审计相比，它在技术与方法上具有计算机技术的特征，信息技术是其坚实的后盾。

　　二、IT审计风险与控制

　　IT审计风险。IT环境下，审计存在一定的固有风险，主要致险因素存在于数据录入及存储以及传输转移等环节。在录入数据阶段，由于大量的人工操作会出现误录数据或漏掉数据的可能，这就在很大程度上改变了金额的数据信息，导致账面数据与实际状况的失衡。在数据存储过程中，由于存储媒介的变化，以及“防火墙”等因素，数据被非法考录或是篡改，可能产生一定的风险。与此同时，诸如系统网络病毒、电源突然断电以及程序在处理过程中发生错误，都会造成审计风险加大的可能性。在传输的环节中由于在两个系统甚至是多个系统中进行操作，都会引发问题和风险。而且系统本身介质也存在一些不足和漏洞，如磁盘等硬件存储设备，无法区分正副本，真假难辨，责任不清，很可能造成审计证据无法律效力，审计合法性受到威胁。

　　IT审计的特殊系统环境，导致很多传统意义上的审计控制手段无法奏效，致使其存在着一定的控制性风险[2]。在IT中，主要是由电子的数据处理的功能直接取得交易授权，该系统下，在职责划分上，由于许多的无法容和的职责，很可能在不适当的授权下，导致舞弊风险的发生，造成跨职责越权和重叠权限设置，从而导致审计控制措施无法发挥。另外，在该系统环境下，如果对电子数据处理部门不恰当的控制，很可能造成机密数据被不法分子进行复制、篡改。由于该系统的时效性和迅速的反应力，很可能当某一环节出现错误，就会导致第一时间内相关文件信息的失真，特别是当应用程序发生错误时，很可能造成计算机系统重复出错。IT审计中还存在着难查线索、控制测试难度大以及技术风险控制难等检查性风险。

　　IT审计风险控制。针对固有风险的控制主要是进行详尽的审计前调查，在掌握审计对象相关的法规、管理条例的基础上，对IT的技术文档、系统模块的框架以及操作手册等进行实地观察分析，在掌握主要系统模块功能的同时，还要了解审计对象单位的相关操作流程和规定，并及时对电子资料数据进行真实性和合法性的评价，防止出现数据系统不真实的固有风险发生。做好事前审计，保证计算机信息系统运行以及数据处理结果方面的正确真实性，避免不真实的风险发生，定期进行审计[3]。通过对审计获取证据的综合方法进行审计证据的收集，降低审计中的检查风险。

　　三、IT审计风险评价

　　IT审计风险评价的程序主要包括风险的分析、辨识以及风险的评价三个部分，风险评价是以风险的辨识与分析的结果为依据的，评价是辨识和分析的最终目的。风险评价是在辨识和分析的基础上考量分析风险结构对组织目标实现的影响度的高低以及风险价值的评估[4]，通过定期的前提假设进行定量的估算与对比，并对结果参数进行调控和完善，完成IT审计风险的最终值的得出。

　　风险辨识主要是审计人员在熟悉审计程序后，通过审计调查，以及对结果的整合，识别IT的安全有效和可靠性，分析其可能的潜在的危害性。风险分析是在风险识别的基础上对IT审计风险的形式及其特征进行明确的界定和叙述，分析和叙述发生风险的必要条件及可能性的大小，主要通过定量和定性分析方法，来分析各种风险因子。

　　对于IT审计风险评价当前主要采用的是定性和定量相结合的评价方法，在分析风险因子的基础上，根据相关的数据资料并利用数学及统计方法进行计算，换算出未来风险概率，这种定量的分析得出结果。另外，就是根据审计人员的经验等定性的材料进行分析。具体的方法主要有因素、蒙特卡罗方法、经验以及层次等分析方法进行评价。虽然目前，我国在IT审计的评价和控制上已经形成了一定的方式方法，但是仍存在一些问题，基于此，笔者提出了相关的合理化建议，以期待给IT审计工作带来一定的参考价值。

　　　　四、IT审计风险评价与控制的合理化建议

　　　　从体系法规上看，应加强IT审计立法，规范IT审计行为，制定IT审计职业准则。在立法建设中要根据我国的国情，借鉴国外的相关法规政策，制定与IT审计相匹配的法律体系，并在不断的实践中探索新的科学的合理的程序与方法，实现审计人员在工作中有法可依、有法可循。

　　　　加强专业人员队伍的建设，建立完备的管理机制。加强对从业人员的专业系统化培训，提高审计队伍的综合素质，构建专业化的行业协会组织[5]，并结合自身的具体情况制定相关标准和法律行政规范。加强政府对其的监督，确保国家各项基本政策的落实和有效实施，积极培育复合型专业人才，定期开展各类的实践活动，提高审计师的各项能力素质，促进审计工作的专业化，有效化发展。建立完备的管理运营机制，提高审计效率，强调内部控制的作用，充分发挥审计工作的时效性，建立健全审计监督机制，保证组织内部的健康、安全、稳定的运作，真正发挥其“免疫卫士”的作用。

　　　　随着信息技术不断革新发展，我国信息化程度的不断加深，为了适应日益激烈的市场竞争，提升组织内部的核心竞争力和生存力，组织内部加大推进信息系统建设的力度，从而产生了对信息系统审计的巨大需求，IT审计应运而生并不断地发展壮大，该审计在优化组织资源信息结构以及内部管理中起着重要的作用，是保证组织健康、全面、可持续发展的基石。合理化IT审计风险评价与控制，提升审计质量具有重要的理论和实践意义，应得到社会和IT业界的广泛关注，共同推进IT审计的有效化、合理化发展步伐。

　　　　（作者单位：（1沈阳农业大学；2.吉林大学）