论文部分内容阅读
摘要:信息化环境下的内部审计,存在诸如业务数据存储不安全和不易追溯,内部授权控制可能失控以及财务软件设计开发导致的检查风险,需要我们完善有关计算机审计标准与准则,加强内部权限控制,参与会计软件评审,强化审计人员素质教育。
关键词:内部审计;信息化;风险;对策
随着数据库技术、网络技术、存储技术的发展,企业各项业务信息载体、业务数据生成途径和方式、业务支付手段、审计线索和内容、内部控制等都发生了一系列重大变化。审计的职能也超越了查账的范畴,拓展到对各类业务数据的审核,涉及到对各项工作的经济性、效率性和效果性的查核,内部审计信息化已成为内部审计发展的必然趋势。在提高内部审计质量和效率的同时,要充分认识信息化内部审计所带来的风险,并及时采取相应的防范与管理措施。
一、内部审计信息化概念
内部审计信息化,即基于信息化环境基础上,运用信息化技术方法开展内部审计,包括审计管理、审计质量控制、审计流程、具体审计过程、审计归档等等。它包括审计信息管理和计算机审计两个方面内容,重点是计算机审计。它将审计信息的管理与使用、法律法规、公司管理制度、审计对象、审计计划、审计项目管理等信息全部纳入到平台上,通过对业务系统海量数据提取分析,实现对整个企业或项目资源的全面检测与自动预警,并促使传统的财务收支审计向全面数据式审计发展;审计作业向审计作业、审计管理一体化方向发展;事后监督向事前预防、事中控制和事后反映的转化,使审计更好的发挥了风险监控职能。
二、内部审计信息化优势
内部审计信息化是内部审计技术创新的最重要方面。内部审计要发挥企业“免疫系统”功能,首先要进行内部审计“免疫识别”。而内部审计“免疫识别”离不开先进的审计技术方法。随着信息技术的快速发展,内部审计对象的信息化要求内部审计手段必须信息化,否则会出现审计人员面临进不了门、打不开账的无奈局面。
信息化内部审计产生的作用与常规内部审计的作用是有区别的,分别是:
一是宏观性。传统内部审计关注的都是某个具体的受托责任关系,而信息化内部审计则突破了原有手工条件的束缚,对单位(或项目)大量业务和财务数据,包括信息化系统本身进行分析、审查,对审计发现的问题的直接原因和深层次原因全面进行分析,提出针对性、操作性强的建议,为领导宏观决策提供依据。
二是预见性。内部审计信息化一方面极大提高工作效率,另一方面通过运用一些新的技术,如联网审计,可以使审计关口前移、事先介入,随时跟踪,及时发现存在的问题,并予以解决。
三是建设性。内部审计工作建设性的作用是审计作为 “免疫系统”的基本要求,要在全面认识的基础上科学分析,努力揭示企业管理制度、运行机制上的原因,从根本上提出建设性意见,促进企业平稳、健康运转。信息化审计做到了微观与宏观的有机结合,特别是实现了数据的宏观分析,有利于提出建设性意见。
三、信息化内部审计存在的风险
1.信息系统环境下业务数据可能存在不安全和不易追溯风险
在手工会计核算系统中,每笔交易、每个交易环节的会计处理均反映在书面上,都有文字记录,有相应的经手人、审批人签字,审计线索易于辨认、追溯。在会计电算化信息系统下,由于数据存储介质变为磁盘、磁带、光盘等磁介质,纸质记录消失;原始业务数据录入会计电算化系统后,由程序自动生成会计账簿及报表,传统的审计线索随之中断,虽然会计电算化信息制度规定会计账簿及报表都要打印并装订成册,但无法直观跟踪会计业务处理,无法用传统的方法考查会计档案数据的安全性、完整性和准确性。大量凭证需要手工录入,机制凭证、账簿、报表表面上的借贷平衡,可能掩盖人工录入时发生的错漏。业务处理和财务处理高度集中于计算机信息系统,计算机病毒、操作失误、程序处理错误、网络传输故障、非法入侵应用程序等都会造成电子数据被破坏或修改,致使实际数据与电子账面数据不相符,增加审计难度。
2.信息系统环境下内部控制存在失控风险
在手工会计核算中,通过建立岗位责任中心制度实现内部控制。在会计电算化信息环境下,根据操作员的责任范围,设置相应的权限和密码,通过操作对应的子系统或功能模块来实现人员职责分工,内部控制由手工条件下的制度控制变为制度控制与程序软件控制。不恰当的授权、权限的重叠设置,致使内部控制存在约束机制失效的可能性。另外,信息系统包括众多的子系统和功能模块,导致很多在传统会计核算条件下不能相同的职务在系统中汇集,授权混乱给导致风险发生的概率大大增加,很容易导致企业授权控制机制失效。
3.信息系统环境下软件设计缺陷,审计存在检查风险
由于平台迁移、版本升级等被审计软件的更新换代,可能导致难以从往年帐套里读取历史数据,致使审计人员手工收集并整理历史数据,存在漏检可能性。财务软件出于安全技术保护等原因,原始数据大都被隐蔽存放,存储格式也多种多样,同一财务信息被不同的财务软件可能“翻译”成不同形式。财务软件设计时,部分功能设计缺陷,如:存在取消取消审核、反记账、反结账等,可以对会计记录不留痕迹修改。另外,信息化系统下内部审计工作开展时也面临着一个不可忽视的风险:对相关技术的控制。由于网络应用非常广泛,信息系统在储存信息和数据的时候都是借助网络作为媒介,在大大提高了信息管理效率的同时也带来了很大的风险。网络故障以及病毒、木马软件等都有可能给信息系统带来巨大的风险。
四、加强信息化内部审计风险防范与管理的对策
1.建立与完善信息化环境下内部审计的准则与制度
随着信息化的不断发展,原有的标准和准则有的已经不适用于会计电算化信息系统审计,我们要在计算机审计研究的基础上,建立与完善一系列与新情况相适应的审计准则,它包括系统的设计、开发、运营、维护等标准,来规范计算机审计业务发展,降低计算机审计风险;其次,在计算机网络系统条件下,数据处理开始呈现出“人机”对话的形态,这对内部审计工作提出了更高的要求。因此,要有针对性的完善信息化环境下的内部审计制度,建立集网络系统、计算机及信息处理为一体的管理信息系统,并严格按照国家相关法律法规制度,对信息化系统的合法性、真实性、可靠性等进行独立的监督、评价与检查;另外,内部审计人员要对信息系统运行的各个环节进行参与,学习会计电算化相关制度,提升自身的业务水平,为信息化内部审计工作的开展奠定基础,从而防范信息化内部审计风险。 2.加强对信息系统的控制与审计
信息化环境下的内部控制往往是通过会计信息系统完成的,因此一定要加强对会计信息系统的控制与审计,从而提高内部审计工作的效果,有效的防范内部审计风险。首先,内部审计人员要从源头上加强对会计信息系统的控制,在会计信息系统的设计与开发阶段,审计人员应积极参与,从审计角度对会计系统的参数设定、核算方法、授权流程审批、数据库安全等的合法、合规、安全可靠等审查;另外,会计电算化系统下,授权控制是内部控制主要的组织原则。要加强财务软件的系统权限控制、口令管理程序控制、修改程序控制、网络系统权限控制等工作成为内部审计控制的一项重要工作。内部控制审计不仅要对各种会计资料及信息进行审计,而且要对组织控制、系统开发与维护控制、系统安全控制、硬件及系统软件和操作控制等进行审计。
3. 采取适当的审计防范规避内审过程中的核查风险
目前,我国很多企业内部审计部门所采用的审计方法仍然是传统的审计方法,在审计过程中主要采用的是查阅资料、研究报表、对数据信息进行计算以及数据分析等。在信息化条件下,审计部门必须不断创新内部审计方法。例如,为确保信息系统输出数据的准确性、可靠性以及有效性,内部审计人员要采用反复测算等方法来检查信息系统的管理模块;要采用研究、咨询等方法来对系统的安全性与稳定性进行测试。另外,内部审计部门要加强对信息系统业务操作人员的审查,尤其要将操作员的权限审计作为审计工作的重点,从而规避信息化审计风险。
4. 强化对计算机舞弊行为的审计力度
在信息化条件下,通过计算机进行舞弊的行为成为独有的风险类型,内部审计人员一定要强化对计算机舞弊行为的审计力度,规避审计风险。利用计算机以及网络系统的漏洞开展违法犯罪活动是计算机舞弊的重要特点,很多企业内部人员利用计算机系统在数据输入的时候故意编造虚假信息以便实现自身的利益。因此,内部审计人员在开展审计工作中,一定要加以重视。例如,内部审计人员可以采用抽样分析法,将信息系统中录入的相关数据与原始凭证进行比对;或者可以利用专门的审计信息系统将记账凭证中的数据与原始数据进行核对,从而验证信息录入是否真实完整。另外,在信息化条件下,利用木马软件以及其他非法程序对计算机信息系统进行改动或者盗窃数据的情况时有发生,内部审计部门要引入专业的计算机信息人才,定期对计算机信息系统的安全性进行审查。
5. 提升审计人员的专业能力与职业道德素养
在信息化条件下,内部审计工作需要用到大量的信息技术,包括数据库查询、数据库更新、数据分析等,这就要求内部审计人员具备丰富的财务知识并熟练掌握运用计算机信息技术。企业要健全审计人员业务培训与再教育机制,加快审计人员业务、审计、计算机及网络、数据库和应用技术知识的更新,提高审计人员的计算机操作水平和审计软件使用水平,做到计算机知识和审计内容融会贯通,提高计算机审计水平。其次,要不断提升审计人员的职业道德素养。信息化条件下对内部审计人员的自我约束力提出了更高的要求,因此要不断加强内部审计人员的职业道德建设,促使其自觉遵守国家相关审计法律法规,严格按照内部审计的要求来开展工作,为信息化内部审计风险的规避提供保障。
参考文献:
[1] 程安林.信息系统环境下审计风险的特征及评估[J].北方经贸,2007(5).
[2] 张金城.计算机信息系统控制与审计[M].北京:北京大学出版社,2002.
[3] 谢瑾.内部审计控制信息化之我见[J].中国内部审计,2012(1).
[4] 王松林.信息化环境对内部审计产生的影响及对策[J].中国内部审计,2012(11).
关键词:内部审计;信息化;风险;对策
随着数据库技术、网络技术、存储技术的发展,企业各项业务信息载体、业务数据生成途径和方式、业务支付手段、审计线索和内容、内部控制等都发生了一系列重大变化。审计的职能也超越了查账的范畴,拓展到对各类业务数据的审核,涉及到对各项工作的经济性、效率性和效果性的查核,内部审计信息化已成为内部审计发展的必然趋势。在提高内部审计质量和效率的同时,要充分认识信息化内部审计所带来的风险,并及时采取相应的防范与管理措施。
一、内部审计信息化概念
内部审计信息化,即基于信息化环境基础上,运用信息化技术方法开展内部审计,包括审计管理、审计质量控制、审计流程、具体审计过程、审计归档等等。它包括审计信息管理和计算机审计两个方面内容,重点是计算机审计。它将审计信息的管理与使用、法律法规、公司管理制度、审计对象、审计计划、审计项目管理等信息全部纳入到平台上,通过对业务系统海量数据提取分析,实现对整个企业或项目资源的全面检测与自动预警,并促使传统的财务收支审计向全面数据式审计发展;审计作业向审计作业、审计管理一体化方向发展;事后监督向事前预防、事中控制和事后反映的转化,使审计更好的发挥了风险监控职能。
二、内部审计信息化优势
内部审计信息化是内部审计技术创新的最重要方面。内部审计要发挥企业“免疫系统”功能,首先要进行内部审计“免疫识别”。而内部审计“免疫识别”离不开先进的审计技术方法。随着信息技术的快速发展,内部审计对象的信息化要求内部审计手段必须信息化,否则会出现审计人员面临进不了门、打不开账的无奈局面。
信息化内部审计产生的作用与常规内部审计的作用是有区别的,分别是:
一是宏观性。传统内部审计关注的都是某个具体的受托责任关系,而信息化内部审计则突破了原有手工条件的束缚,对单位(或项目)大量业务和财务数据,包括信息化系统本身进行分析、审查,对审计发现的问题的直接原因和深层次原因全面进行分析,提出针对性、操作性强的建议,为领导宏观决策提供依据。
二是预见性。内部审计信息化一方面极大提高工作效率,另一方面通过运用一些新的技术,如联网审计,可以使审计关口前移、事先介入,随时跟踪,及时发现存在的问题,并予以解决。
三是建设性。内部审计工作建设性的作用是审计作为 “免疫系统”的基本要求,要在全面认识的基础上科学分析,努力揭示企业管理制度、运行机制上的原因,从根本上提出建设性意见,促进企业平稳、健康运转。信息化审计做到了微观与宏观的有机结合,特别是实现了数据的宏观分析,有利于提出建设性意见。
三、信息化内部审计存在的风险
1.信息系统环境下业务数据可能存在不安全和不易追溯风险
在手工会计核算系统中,每笔交易、每个交易环节的会计处理均反映在书面上,都有文字记录,有相应的经手人、审批人签字,审计线索易于辨认、追溯。在会计电算化信息系统下,由于数据存储介质变为磁盘、磁带、光盘等磁介质,纸质记录消失;原始业务数据录入会计电算化系统后,由程序自动生成会计账簿及报表,传统的审计线索随之中断,虽然会计电算化信息制度规定会计账簿及报表都要打印并装订成册,但无法直观跟踪会计业务处理,无法用传统的方法考查会计档案数据的安全性、完整性和准确性。大量凭证需要手工录入,机制凭证、账簿、报表表面上的借贷平衡,可能掩盖人工录入时发生的错漏。业务处理和财务处理高度集中于计算机信息系统,计算机病毒、操作失误、程序处理错误、网络传输故障、非法入侵应用程序等都会造成电子数据被破坏或修改,致使实际数据与电子账面数据不相符,增加审计难度。
2.信息系统环境下内部控制存在失控风险
在手工会计核算中,通过建立岗位责任中心制度实现内部控制。在会计电算化信息环境下,根据操作员的责任范围,设置相应的权限和密码,通过操作对应的子系统或功能模块来实现人员职责分工,内部控制由手工条件下的制度控制变为制度控制与程序软件控制。不恰当的授权、权限的重叠设置,致使内部控制存在约束机制失效的可能性。另外,信息系统包括众多的子系统和功能模块,导致很多在传统会计核算条件下不能相同的职务在系统中汇集,授权混乱给导致风险发生的概率大大增加,很容易导致企业授权控制机制失效。
3.信息系统环境下软件设计缺陷,审计存在检查风险
由于平台迁移、版本升级等被审计软件的更新换代,可能导致难以从往年帐套里读取历史数据,致使审计人员手工收集并整理历史数据,存在漏检可能性。财务软件出于安全技术保护等原因,原始数据大都被隐蔽存放,存储格式也多种多样,同一财务信息被不同的财务软件可能“翻译”成不同形式。财务软件设计时,部分功能设计缺陷,如:存在取消取消审核、反记账、反结账等,可以对会计记录不留痕迹修改。另外,信息化系统下内部审计工作开展时也面临着一个不可忽视的风险:对相关技术的控制。由于网络应用非常广泛,信息系统在储存信息和数据的时候都是借助网络作为媒介,在大大提高了信息管理效率的同时也带来了很大的风险。网络故障以及病毒、木马软件等都有可能给信息系统带来巨大的风险。
四、加强信息化内部审计风险防范与管理的对策
1.建立与完善信息化环境下内部审计的准则与制度
随着信息化的不断发展,原有的标准和准则有的已经不适用于会计电算化信息系统审计,我们要在计算机审计研究的基础上,建立与完善一系列与新情况相适应的审计准则,它包括系统的设计、开发、运营、维护等标准,来规范计算机审计业务发展,降低计算机审计风险;其次,在计算机网络系统条件下,数据处理开始呈现出“人机”对话的形态,这对内部审计工作提出了更高的要求。因此,要有针对性的完善信息化环境下的内部审计制度,建立集网络系统、计算机及信息处理为一体的管理信息系统,并严格按照国家相关法律法规制度,对信息化系统的合法性、真实性、可靠性等进行独立的监督、评价与检查;另外,内部审计人员要对信息系统运行的各个环节进行参与,学习会计电算化相关制度,提升自身的业务水平,为信息化内部审计工作的开展奠定基础,从而防范信息化内部审计风险。 2.加强对信息系统的控制与审计
信息化环境下的内部控制往往是通过会计信息系统完成的,因此一定要加强对会计信息系统的控制与审计,从而提高内部审计工作的效果,有效的防范内部审计风险。首先,内部审计人员要从源头上加强对会计信息系统的控制,在会计信息系统的设计与开发阶段,审计人员应积极参与,从审计角度对会计系统的参数设定、核算方法、授权流程审批、数据库安全等的合法、合规、安全可靠等审查;另外,会计电算化系统下,授权控制是内部控制主要的组织原则。要加强财务软件的系统权限控制、口令管理程序控制、修改程序控制、网络系统权限控制等工作成为内部审计控制的一项重要工作。内部控制审计不仅要对各种会计资料及信息进行审计,而且要对组织控制、系统开发与维护控制、系统安全控制、硬件及系统软件和操作控制等进行审计。
3. 采取适当的审计防范规避内审过程中的核查风险
目前,我国很多企业内部审计部门所采用的审计方法仍然是传统的审计方法,在审计过程中主要采用的是查阅资料、研究报表、对数据信息进行计算以及数据分析等。在信息化条件下,审计部门必须不断创新内部审计方法。例如,为确保信息系统输出数据的准确性、可靠性以及有效性,内部审计人员要采用反复测算等方法来检查信息系统的管理模块;要采用研究、咨询等方法来对系统的安全性与稳定性进行测试。另外,内部审计部门要加强对信息系统业务操作人员的审查,尤其要将操作员的权限审计作为审计工作的重点,从而规避信息化审计风险。
4. 强化对计算机舞弊行为的审计力度
在信息化条件下,通过计算机进行舞弊的行为成为独有的风险类型,内部审计人员一定要强化对计算机舞弊行为的审计力度,规避审计风险。利用计算机以及网络系统的漏洞开展违法犯罪活动是计算机舞弊的重要特点,很多企业内部人员利用计算机系统在数据输入的时候故意编造虚假信息以便实现自身的利益。因此,内部审计人员在开展审计工作中,一定要加以重视。例如,内部审计人员可以采用抽样分析法,将信息系统中录入的相关数据与原始凭证进行比对;或者可以利用专门的审计信息系统将记账凭证中的数据与原始数据进行核对,从而验证信息录入是否真实完整。另外,在信息化条件下,利用木马软件以及其他非法程序对计算机信息系统进行改动或者盗窃数据的情况时有发生,内部审计部门要引入专业的计算机信息人才,定期对计算机信息系统的安全性进行审查。
5. 提升审计人员的专业能力与职业道德素养
在信息化条件下,内部审计工作需要用到大量的信息技术,包括数据库查询、数据库更新、数据分析等,这就要求内部审计人员具备丰富的财务知识并熟练掌握运用计算机信息技术。企业要健全审计人员业务培训与再教育机制,加快审计人员业务、审计、计算机及网络、数据库和应用技术知识的更新,提高审计人员的计算机操作水平和审计软件使用水平,做到计算机知识和审计内容融会贯通,提高计算机审计水平。其次,要不断提升审计人员的职业道德素养。信息化条件下对内部审计人员的自我约束力提出了更高的要求,因此要不断加强内部审计人员的职业道德建设,促使其自觉遵守国家相关审计法律法规,严格按照内部审计的要求来开展工作,为信息化内部审计风险的规避提供保障。
参考文献:
[1] 程安林.信息系统环境下审计风险的特征及评估[J].北方经贸,2007(5).
[2] 张金城.计算机信息系统控制与审计[M].北京:北京大学出版社,2002.
[3] 谢瑾.内部审计控制信息化之我见[J].中国内部审计,2012(1).
[4] 王松林.信息化环境对内部审计产生的影响及对策[J].中国内部审计,2012(11).