基于COBIT控制理念,COBIT控制理念的控制目标主要分为五点。第一是高效性,通过最高层或最经济的模式,利用现有资源来提供充分的信息,实现信息系统信息对称性的强化。第二是机密性,对于涉及敏感话题的信息予以保护,对于未经授权的信息和话题等进行有效维护,尽可能避免隐私或敏感信息被披露。第三是完整性,通过精准完全的信息,实现有效的商业评价或期望。第四是可用性,在应对商业处理需求时,信息是切实可用的。第五是准时信息可靠性,他们为管理者日常经营管理提供有效的信息基础。COBIT控制理念对信用系统审计风险控制体系的形成有直接贡献。 1 信息系统审计风险的类别和特征 1.1 固有风险 所谓固有风险,通常是由于企业自身缘故而导致的风险,这部分风险与信息系统审计并没有直接关系。当企业经营管理过程中,企业信息系统没有内部控制,信息系统就可能存在安全隐患,这些安全漏洞会导致企业信息系统面临较大的风险。一般来说,固有风险包括系统设计风险、系统风险和系统环境风险,我们从不同的角度对信息系统本身做出综合分析,系统设计风险,主要是基于信息不对称问题做出考虑。 1.2 控制风险 所谓控制风险,它与企业信息系统审计业务直接关联,通常是企业信息出现重大错误,内部控制人员却未能及时纠正或防止该错误而导致的风险。在现代化发展过程中,互联网时代的到来,使得各行各业对互联网技术的应用不断增多,信息系统的普及度也日益增广。但尽管是在这样的前提下,部分企业仍然疏于对信息系统数据处理的高度重视,处理流程和控制程序方面存在一定的限制。无论是约束机制失效风险,还是系统数据安全性风险,都会对信息系统本身造成威胁。 1.3 检查风险 所谓检查风险,它与信息系统审计有直接关联,通常是指信息系统审计人员在加强信息数据筛选和审核时,对于实质性测试工具未发挥有效作用,相关测试程序也未能检查出系统风险。通常来说,当审计人员职业能力水平较低时,他们可能由于信息系统过于复杂,而无法实现有效的安全隐患防范。除此之外,当审计人员出现职业道德问题时,他们也不能在信息系统环境下实现职业操守与职业机密。换言之,审计人员所选择的审计方法和审计程序,并不足以让他们完成相应的审计任务,审计过程中所存在的检查风险就会比较突出。 2 信息系统审计风险形成的原因分析 2.1 信息化审计环境过于波动 基于目前的发展,信息系统审计风险之所以存在,这主要是由于信息化环境过于波动,在电子数据容易被更改或破坏的前提下,信息系统的审计管理是相对困难的。当审计工作人员需要在现有的信息系统基础上,筛选和整理与信息系统审计风险相关的数据资料,做好有效的数据分析和整理时,一旦他们所获取的电子数据是已被更改或破坏的,信息系统审计证据的采集就会受到限制。尤其是在信息化审计环境过于波动的前提下,信息系统环境风险不断加大,当信息系统的设计本身存在缺陷时,审计工作人员无法根据波动的环境,做好有效的信息筛选,信息系统审计风险由此产生。 2.2 信息系统审计缺少规范的法律法规 任何行业的发展都需要有相应的法律法规和审计准则为之提供保障,但从目前的发展来看,审计准则只针对一般行业有所限定,对于信息系统却未做出有效的审计管理,相关法律法规也不够健全。在日常加强信息系统审计风险控制与管理过程中,审计工作人员只能按照既定的条例完成相应的审计工作,他们没有办法参照健全的法律法规或审计准则,实现对审计业务执行的规范化操作,此时,部分审计工作人员就由于执业规范性的缺失,出现审计工作质量上的疏忽,信息系统审计风险的加大是显而易见的。 2.3 审计人员执业水平与信息系统发展不协调 在现代化发展过程中,各行各业都追求德智体美劳全方位发展的优秀人才,信息系统审计人才队伍建设也不例外。但基于当前的发展,审计人员执业水平与信息系统发展不协调,这在很大程度上限制了信息系统审计风险控制的效果。在前期发展过程中,信息系统审计难度较小,审计人员能够以目前已有的执业水平完成相应的审计工作,但在发展进入到中后期时,信息系统审计难度不断加大,审计人员需要提升原有的执业水平,以适应新阶段的新系统发展需求,但从实际发展来看,只有少部分审计人员通过系统地学习提升了个人水准,大部分审计人员的执业水平仍不太协调。 2.4 审计人员个体知识掌握薄弱 随着信息系统复杂性的加强,信息系统的电子数据处理难度不断加大,审计证据的查找也会面临较大的障碍。尽管在日常发展过程中,审计工作人员能够根据已有的相关知识,通过先进的审计技术来降低检查风险,但在实际运作过程中,部分审计工作人员对会计软件和计算机系统的知识掌握相对薄弱,他们对信息技术的应用也不够灵活,这使得审计风险不断扩大。以三四线城市为例,三四线城市的审计人员就可能由于个人知识掌握薄弱,出现信息系统安全风险和审计软件风险无法应对得当的问题,此时,审计方面的漏洞和错误是较多的。 3 COBIT对信息系统审计风险控制体系的影响和冲击 3.1 有助于更快地适应波动的信息化审计环境 COBIT控制理念强调了高效性原则,是以最经济的模式,追求最快捷的风险控制效果。COBIT控制理念对信息系统审计风险控制体系形成的影响和冲击体现在,它有助于更快地适应波动的信息化审计环境,让信息系统审计人员能在审计信息系统的相关风险时,对固有风险、控制风险和检查风险等做出逐一判断,并在波动的信息化审计环境下,选定最合适的审计技术和审计计划,进行进一步的方案部署。尤其是在信息化环境波动剧烈的前提下,COBIT控制理念对信息系统审计风险控制体系的强适应性,更是有着明显的影响和冲击。