学术论坛
浅议信息系统内部审计与风险评估
朱艳杨辰
(中国联合网络通信有限公司菏泽市分公司山东菏泽274000)
数字执本与质用
摘要：本文对内部审计师如何开展信息系统审计和风险评估微了详细的阐述，日标是降低风险造成的损失，并为管理甚评价信息系统内部控制的有效性提供依据。信息系统的建设是一项底大的系统工程，投资大，高技术，高风险，公司的业务活动、日常运营以及财务报告几乎全部侬赖于信息系统，系统的故障、黑容的攻击等会给信息系统带来巨大破坏，给企业带乘难以估量的损失。因此对信息系统进行严格规范的控制至关重委。
关键词：审计信息系统控制风险
中图分类号：F239.45 1信息系统审计的内容
文献标识码：A
信息系统审计可以解释为对以计算机为核心的信息系统(业务支撑系统(BSS)、管理支撑系统(MSS)和运营支撑系统(OSS)进行综合的检查、评价，管理与信息系统相关的风险，从而确保信息化系统的安全性、可靠性和有效性，
信息系统审计的内容包括对一般控制和应用控制的审计。一般控制包括对组织内所有信息系统通用的环境控制，由那些在信息系统活动和用户环境中对大部分应用具有普通作用的控制所组成，它们包括不相容职责的隔离，系统开发过程的控制、数据的安全保护管理性的控制和灾难恢复的能力，应用控制针对特定的业务应用，按照业务流程在应用层面展开，用于保证特定的应用按照管理层制定的规范运行，而且其处理过程准确、及时和完整，并得到授权。
1.1输入控制审计
系统输人审计主要是对信息系统的输人操作进行审计，评价系统输人操作及其管理的正确性和规范性，同时它也是对输入界面和数据有效性验证等的再审计，以进一步确定和评价系统数据输入的有效性以及对错误数据的识别和纠正能力，指出系统输人的缺陷和不足，并提出相应的改进建议。在系统输人的审计中，主要考虑：信息系统用户是否制定并遵守输人管理规则，数据的输入是否按照输人管理规则进行；输人数据的生成顺序、处理等是否有防止差错，防止不正当行为及机密保护的对策，数据输人的防止差错、防止不正当行为及机密保护的对策是否有效；输人数据的保管及废除是否按照输入管理规则进行。
1.2处理控制审计
处理过程审计是对数据在输人系统后是否被正确处理进行审计，因此，处理过程审计的审计对象是所有信息系统运行过程审计的审计对象中人的介人是最少的。审计师应对处理过程进行抽样，对抽样的处理过程进行全程跟踪和记录，对数据从被系统接受到处理完毕之间的整个处理过程进行检验，分析和评价数据处理的正确性和效率，给出信息系统数据处理性能的评价报告和合理建议。
1.3数据库审计
首要审计是否制定了数据库管理规则，并对数据库的存取、加密控制以及文件处理控制，审计轨速进行审计。
1.4输出控制审计
对信息系统输出数据管理进行审计，也是对报告等系统输出结果的设计的再审计，进一步确定系统数据输出的正确有效性和系统收移日期：2015-02-20
文章编号：1007-9416(2015)02-0200-01
输出数据对用户的易接受性和易理解性，评价对系统输出数据的管理的科学性和规范性，指出系统输出的缺陷与不足，并提出相应的改进建议。
2风险评估的步骤
系统本身的缺陷包括：(1)程序错误；(2)人工处理存在缺陷：设计缺陷，系统无支持的，人工干预制度保障程度；系统能支持，但未使用的(审计功能)；系统能支持，但人为修改数据；(3)系统间数据流交换环节：数据口径差异，人为借机修改数据；输入输出数据流无核对。
在了解信息系统本身的缺陷后，应建立风险清单，内容包括信息系统的各种风险因素，然后对各种风险因素进行风险评级。评价风险程度的高低既可以采用简单的打分的办法，计算分数的总和或
者以专家系统为基础的加权计算结果。 3风险评估的方法
对风险进行确认和利用可以采用流程图、内部控制调查问卷矩阵分析，COsO列举法，Courtney方法等分析方法或多种方法的结合。
(1)流程图。直观、清晰，详实地反映了一项运营活动的所有业务流程，帮助内部审计师从中识别无效的和缺失的环节与控制弱点，实施初步风险分析，制订审计计划。对流程图不断更新和要善保存还有助于在以后的该项业务审计中发挥重要作用。(2)内部控制调查间卷。被用来对现有的控制进行持续的评估，是一种符合性测试，它被用于风险分析是为了确保控制是适当的，风险是可以被评估的。(3)矩阵分析。因为在系统中一个给定的控制可能对不止一种风险提供控制，因此可以根据每一种控制给各种风险提供控制的保证程度设计一个控制一风险矩阵，通过这个控制一风险矩阵，可以分析控制是否在深度上能够预防风险,在同一个风险中是否设置了过多的
控制以防止一个控制被突破。 4结语
内部审计师将风险评估的结果作为制订审计计划的依据，以保证信息系统安全、可靠、有效的运行，从而减轻风险造成的损失，
作者简介：未艳(1977一),女,山东菏泽人,本科,毕业于烟台大学,工程师,主要研究内部审计方面。杨展(1975一),女，山东定陶人,本科,毕业
于北京邮电大学，工程师,主要研究数据分析方面，
200