017-评估信息技术的风险

评估信息技术的风险

阿郁说

凡事都有风险，阴阳互补，相伴相生。

随着信息技术的发展，内部控制虽然在形式及内涵方面发生了变化，但内部控制的目标并没有发生改变。

信息技术在改进被审计单位内部控制的同时，也产生了特定的风险：

1.信息系统或相关系统程序可能会对数据进行错误处理，也可能会去处理那些本身就错误的数据；

2.自动信息系统、数据库及操作系统的相关安全控制如果无效，会增加对数据信息非授权访问的风险，这种风险可能导致系统对非授权交易及虚假交易请求的拒绝处理功能遭到破坏，系统程序、系统内的数据遭到不适当的改变，系统对交易进行不适当的记录，以及信息技术人员获得超过其职责范围的过大系统权限等；

3.数据丢失风险或数据无法访问风险，如系统瘫痪；

4.不适当的人工干预，或人为绕过自动控制。

阿郁说：信息系统的风险同其他任何天下任何坚实的堡垒都会有破绽一样，这些破绽也无外乎以下几点：1、内部突破（自身BUG）；2、制度缺陷（内控失效）；3、长期围城切断补给（数据丢失、无法访问）；4、临时换将瞎指挥（不适当的人工干预、绕过控制）