□文/劉 琳

（云南省審計(jì)廳 云南·昆明）

隨著現(xiàn)代通信技術(shù)和計(jì)算機(jī)技術(shù)在企業(yè)的廣泛應(yīng)用，使企業(yè)不斷提高對各種資源的管理能力和信息的處理效率，同時(shí)信息系統(tǒng)帶來的風(fēng)險(xiǎn)也越來越受到企業(yè)管理層的高度重視，企業(yè)內(nèi)部審計(jì)作為內(nèi)部控制機(jī)制的重要組成部分，有責(zé)任開展企業(yè)信息系統(tǒng)審計(jì)，充分發(fā)揮“免疫系統(tǒng)”第一道防線的功能作用。

一、開展信息系統(tǒng)審計(jì)是內(nèi)部審計(jì)的職責(zé)

縱觀內(nèi)部審計(jì)發(fā)展史和實(shí)踐證明，圍繞檢查評價(jià)內(nèi)部控制的有效性，始終是內(nèi)部審計(jì)的本職工作。我國《內(nèi)部審計(jì)基本準(zhǔn)則》指出，內(nèi)部審計(jì)通過審查和評價(jià)經(jīng)營活動(dòng)及內(nèi)部控制的真實(shí)性、合法性和有效性來促進(jìn)組織目標(biāo)的實(shí)現(xiàn)。2008年發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》已明確，內(nèi)部審計(jì)是企業(yè)實(shí)施內(nèi)部控制的基礎(chǔ)，應(yīng)當(dāng)在董事會(huì)下設(shè)立審計(jì)委員會(huì)，負(fù)責(zé)審查企業(yè)內(nèi)部控制，監(jiān)督內(nèi)部控制的有效實(shí)施。信息系統(tǒng)是企業(yè)利用計(jì)算機(jī)和通信技術(shù)，對建立內(nèi)部控制的政策、標(biāo)準(zhǔn)、程序進(jìn)行集成、轉(zhuǎn)化和提升所形成的信息化管理系統(tǒng)。企業(yè)通過信息系統(tǒng)來強(qiáng)化內(nèi)部控制，有利于減少人為因素，提高控制的效率和效果。內(nèi)部審計(jì)是以監(jiān)督、檢查、評價(jià)內(nèi)部控制的有效實(shí)施，揭示企業(yè)潛在的經(jīng)營管理風(fēng)險(xiǎn)，提高企業(yè)經(jīng)營管理水平，確保企業(yè)財(cái)務(wù)經(jīng)營信息可靠完整，政策、計(jì)劃、程序、法規(guī)貫徹落實(shí)，企業(yè)資產(chǎn)安全、企業(yè)資源使用經(jīng)濟(jì)有效，以便更好地實(shí)現(xiàn)企業(yè)的經(jīng)營戰(zhàn)略目標(biāo)。因此，開展對企業(yè)信息系統(tǒng)的審計(jì)是內(nèi)部審計(jì)的職責(zé)。

二、開展信息系統(tǒng)審計(jì)是信息化環(huán)境下企業(yè)加強(qiáng)管理的迫切需要

隨著經(jīng)濟(jì)全球化和我國工業(yè)化進(jìn)程的加快，做大做強(qiáng)企業(yè)，必需引入全方位的現(xiàn)代企業(yè)管理思想，高效快捷地利用各種信息資源，防范風(fēng)險(xiǎn)，應(yīng)對瞬息萬變的經(jīng)濟(jì)形勢。企業(yè)越來越重視現(xiàn)代通信和計(jì)算機(jī)技術(shù)在生產(chǎn)制造、成本控制、資源配置、人力資源利用、財(cái)務(wù)管理等方面的運(yùn)用，這是信息技術(shù)與企業(yè)管理融合的產(chǎn)物，是現(xiàn)代企業(yè)先進(jìn)管理思想的體現(xiàn)。如ERP企業(yè)資源計(jì)劃是建立在信息技術(shù)基礎(chǔ)之上，全面集成企業(yè)所有資源信息，為企業(yè)提供決策、計(jì)劃、控制與經(jīng)營業(yè)績評估的全方位和系統(tǒng)化的管理平臺(tái)。同時(shí)，也應(yīng)認(rèn)識到，信息系統(tǒng)自身也存在風(fēng)險(xiǎn)，需要加強(qiáng)管理和控制。首先，信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)，導(dǎo)致企業(yè)經(jīng)營管理效率低下；其次，系統(tǒng)開發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當(dāng)，可能導(dǎo)致無法利用信息技術(shù)實(shí)施有效控制；最后，系統(tǒng)運(yùn)行維護(hù)和安全措施不到位，可能導(dǎo)致信息泄漏或毀損，系統(tǒng)無法正常運(yùn)行，企業(yè)資產(chǎn)安全將受到威脅。信息系統(tǒng)審計(jì)，就是對信息系統(tǒng)的各項(xiàng)控制措施是否能夠保護(hù)資產(chǎn)安全、維護(hù)數(shù)據(jù)完整、高效利用各種資源、有效實(shí)現(xiàn)組織目標(biāo)而做出判斷評價(jià)的過程。因此，開展信息系統(tǒng)審計(jì)已成為現(xiàn)代企業(yè)加強(qiáng)管理、防范信息系統(tǒng)風(fēng)險(xiǎn)的重要保障。

三、開展信息系統(tǒng)審計(jì)是企業(yè)提高管理水平、風(fēng)險(xiǎn)防范能力的重要途徑

企業(yè)內(nèi)部控制基本方式包括管理模式、組織目標(biāo)、政策、標(biāo)準(zhǔn)和程序，就其性質(zhì)來說，同時(shí)也是內(nèi)部審計(jì)的基本內(nèi)容。信息系統(tǒng)建設(shè)是以企業(yè)發(fā)展戰(zhàn)略和業(yè)務(wù)需要為依據(jù)，是基于企業(yè)內(nèi)部控制基本方式而建立的，其內(nèi)部控制的主要對象是信息系統(tǒng)，由計(jì)算機(jī)硬件、軟件、人員、信息流和運(yùn)行規(guī)程等要素組成，融入到企業(yè)的戰(zhàn)略層、戰(zhàn)術(shù)層和經(jīng)營層，與企業(yè)的組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力相匹配，其內(nèi)部控制已貫穿于所有行政管理和經(jīng)營管理。信息系統(tǒng)內(nèi)部控制的目標(biāo)是促進(jìn)企業(yè)有效實(shí)施內(nèi)部控制，提高企業(yè)現(xiàn)代化管理水平，減少人為操作因素，增強(qiáng)信息系統(tǒng)的安全性、可靠性和合理性以及相關(guān)信息的保密性、完整性和可用性，為建立有效的信息與溝通機(jī)制提供支持保障。企業(yè)內(nèi)部審計(jì)圍繞服務(wù)企業(yè)可持續(xù)發(fā)展這個(gè)中心任務(wù)，開展信息系統(tǒng)審計(jì)，并以此為切入點(diǎn)，對企業(yè)的經(jīng)營控制和管理控制進(jìn)行檢查、分析、評價(jià)，及時(shí)揭示風(fēng)險(xiǎn)，如財(cái)務(wù)和經(jīng)營信息不實(shí)，政策、計(jì)劃、程序、法律和標(biāo)準(zhǔn)貫徹失敗，資產(chǎn)流失，資源浪費(fèi)和無效使用，組織目標(biāo)不能實(shí)現(xiàn)等問題，提出解決問題的措施，明確各個(gè)層次的管理責(zé)任，推動(dòng)管理工作的改善，提高企業(yè)的經(jīng)濟(jì)效益。由于信息系統(tǒng)內(nèi)部控制對企業(yè)管理來說具有高度整體性，因此開展信息系統(tǒng)審計(jì)是企業(yè)實(shí)現(xiàn)全面監(jiān)督的重要途徑，有助于提高企業(yè)各層次的管理水平，防范來自于企業(yè)內(nèi)部和外部的各種風(fēng)險(xiǎn)。

四、開展信息系統(tǒng)審計(jì)是推動(dòng)企業(yè)內(nèi)部審計(jì)發(fā)展的助推器

審計(jì)信息系統(tǒng)最早稱為計(jì)算機(jī)審計(jì)，主要關(guān)注電子數(shù)據(jù)的取得、分析、計(jì)算等數(shù)據(jù)處理業(yè)務(wù)，還稱不上信息系統(tǒng)審計(jì)。隨著計(jì)算機(jī)技術(shù)應(yīng)用范圍的不斷擴(kuò)展，計(jì)算機(jī)審計(jì)所關(guān)注的內(nèi)容也從單純的對數(shù)據(jù)處理延伸到對計(jì)算機(jī)系統(tǒng)的可靠性、安全性進(jìn)行了解和評價(jià)。在制度基礎(chǔ)審計(jì)的模式下，計(jì)算機(jī)審計(jì)的業(yè)務(wù)內(nèi)容已經(jīng)擴(kuò)展到了符合性測試領(lǐng)域。目前，現(xiàn)代內(nèi)部審計(jì)已發(fā)展至風(fēng)險(xiǎn)管理審計(jì)，由于信息系統(tǒng)的安全性、可靠性與企業(yè)所面臨的各種風(fēng)險(xiǎn)的聯(lián)系越來越緊密，在風(fēng)險(xiǎn)基礎(chǔ)審計(jì)模式下，與信息安全相關(guān)的防火墻審計(jì)、安全診斷、信息技術(shù)認(rèn)證以及ERP相關(guān)的新型審計(jì)業(yè)務(wù)不斷涌現(xiàn)。開展信息系統(tǒng)的軟件和硬件審計(jì)，已成為內(nèi)部審計(jì)的新領(lǐng)域?！拔磥韺徲?jì)行業(yè)和審計(jì)技術(shù)的發(fā)展動(dòng)力將主要來自于信息系統(tǒng)審計(jì)的發(fā)展”，這一觀點(diǎn)已經(jīng)逐漸成為國外審計(jì)界的一個(gè)共識?？梢哉f，信息系統(tǒng)審計(jì)將改變內(nèi)部審計(jì)機(jī)制、模式，引領(lǐng)內(nèi)部審計(jì)樹立服務(wù)企業(yè)價(jià)值增值的理念，使內(nèi)部審計(jì)從更高層面發(fā)揮審計(jì)主動(dòng)性、提升前瞻性、增加防范性、注重協(xié)調(diào)性，積極發(fā)揮內(nèi)部審計(jì)在“免疫系統(tǒng)”中第一道防線的功能。

有利于提高內(nèi)部審計(jì)管理水平。面對現(xiàn)代企業(yè)經(jīng)營環(huán)境高度信息化，內(nèi)部審計(jì)只有加快提升自己信息化建設(shè)水平，才能適應(yīng)日益高技術(shù)化、高信息化的審計(jì)環(huán)境的變化，才能將內(nèi)部審計(jì)工作融于企業(yè)經(jīng)營管理的各個(gè)方面，更好地發(fā)揮內(nèi)部審計(jì)防范風(fēng)險(xiǎn)、服務(wù)企業(yè)價(jià)值增值的保障作用。一是內(nèi)部審計(jì)工作機(jī)制規(guī)范化建設(shè)，利用計(jì)算機(jī)技術(shù)構(gòu)建內(nèi)部審計(jì)工作管理平臺(tái)，從審計(jì)項(xiàng)目立項(xiàng)到電子歸檔，審計(jì)成果運(yùn)用，貫穿整個(gè)審計(jì)工作流程，提高審計(jì)工作效率；二是審計(jì)項(xiàng)目實(shí)施標(biāo)準(zhǔn)化、數(shù)字化管理，應(yīng)用專業(yè)審計(jì)軟件從數(shù)據(jù)采集、分析、審計(jì)抽樣、內(nèi)控測試、風(fēng)險(xiǎn)評估到制作審計(jì)工作底稿、取證記錄，提高審計(jì)質(zhì)量；三是運(yùn)用現(xiàn)代通信技術(shù)和計(jì)算機(jī)技術(shù)，適時(shí)開展信息系統(tǒng)審計(jì)、聯(lián)網(wǎng)審計(jì)、在線審計(jì)，提高審計(jì)技術(shù)方法的現(xiàn)代化水平；四是人才隊(duì)伍素質(zhì)建設(shè)，多渠道培養(yǎng)、引進(jìn)各類專業(yè)人才，不僅需要具備豐富會(huì)計(jì)、財(cái)務(wù)和審計(jì)知識與技能的人才，還需要具備計(jì)算機(jī)、網(wǎng)絡(luò)、信息系統(tǒng)、企業(yè)管理、工程項(xiàng)目管理等多方面的知識與技能的人才，提高審計(jì)專業(yè)化水平，適應(yīng)內(nèi)部審計(jì)工作轉(zhuǎn)型發(fā)展的新要求。

［1］內(nèi)部審計(jì)基本準(zhǔn)則.

［2］企業(yè)內(nèi)部控制基本規(guī)范.

［3］內(nèi)部審計(jì)原理與技術(shù).