閆治平

摘要：信息化環(huán)境下的內部審計，存在諸如業(yè)務數(shù)據(jù)存儲不安全和不易追溯，內部授權控制可能失控以及財務軟件設計開發(fā)導致的檢查風險，需要我們完善有關計算機審計標準與準則，加強內部權限控制，參與會計軟件評審，強化審計人員素質教育。

關鍵詞：內部審計；信息化；風險；對策

隨著數(shù)據(jù)庫技術、網絡技術、存儲技術的發(fā)展，企業(yè)各項業(yè)務信息載體、業(yè)務數(shù)據(jù)生成途徑和方式、業(yè)務支付手段、審計線索和內容、內部控制等都發(fā)生了一系列重大變化。審計的職能也超越了查賬的范疇，拓展到對各類業(yè)務數(shù)據(jù)的審核，涉及到對各項工作的經濟性、效率性和效果性的查核，內部審計信息化已成為內部審計發(fā)展的必然趨勢。在提高內部審計質量和效率的同時，要充分認識信息化內部審計所帶來的風險，并及時采取相應的防范與管理措施。

一、內部審計信息化概念

內部審計信息化，即基于信息化環(huán)境基礎上，運用信息化技術方法開展內部審計，包括審計管理、審計質量控制、審計流程、具體審計過程、審計歸檔等等。它包括審計信息管理和計算機審計兩個方面內容，重點是計算機審計。它將審計信息的管理與使用、法律法規(guī)、公司管理制度、審計對象、審計計劃、審計項目管理等信息全部納入到平臺上，通過對業(yè)務系統(tǒng)海量數(shù)據(jù)提取分析，實現(xiàn)對整個企業(yè)或項目資源的全面檢測與自動預警，并促使傳統(tǒng)的財務收支審計向全面數(shù)據(jù)式審計發(fā)展；審計作業(yè)向審計作業(yè)、審計管理一體化方向發(fā)展；事后監(jiān)督向事前預防、事中控制和事后反映的轉化，使審計更好的發(fā)揮了風險監(jiān)控職能。

二、內部審計信息化優(yōu)勢

內部審計信息化是內部審計技術創(chuàng)新的最重要方面。內部審計要發(fā)揮企業(yè)“免疫系統(tǒng)”功能，首先要進行內部審計“免疫識別”。而內部審計“免疫識別”離不開先進的審計技術方法。隨著信息技術的快速發(fā)展，內部審計對象的信息化要求內部審計手段必須信息化，否則會出現(xiàn)審計人員面臨進不了門、打不開賬的無奈局面。

信息化內部審計產生的作用與常規(guī)內部審計的作用是有區(qū)別的，分別是：

一是宏觀性。傳統(tǒng)內部審計關注的都是某個具體的受托責任關系，而信息化內部審計則突破了原有手工條件的束縛，對單位（或項目）大量業(yè)務和財務數(shù)據(jù)，包括信息化系統(tǒng)本身進行分析、審查，對審計發(fā)現(xiàn)的問題的直接原因和深層次原因全面進行分析，提出針對性、操作性強的建議，為領導宏觀決策提供依據(jù)。

二是預見性。內部審計信息化一方面極大提高工作效率，另一方面通過運用一些新的技術，如聯(lián)網審計，可以使審計關口前移、事先介入，隨時跟蹤，及時發(fā)現(xiàn)存在的問題，并予以解決。

三是建設性。內部審計工作建設性的作用是審計作為 “免疫系統(tǒng)”的基本要求，要在全面認識的基礎上科學分析，努力揭示企業(yè)管理制度、運行機制上的原因，從根本上提出建設性意見，促進企業(yè)平穩(wěn)、健康運轉。信息化審計做到了微觀與宏觀的有機結合，特別是實現(xiàn)了數(shù)據(jù)的宏觀分析，有利于提出建設性意見。

三、信息化內部審計存在的風險

1.信息系統(tǒng)環(huán)境下業(yè)務數(shù)據(jù)可能存在不安全和不易追溯風險

在手工會計核算系統(tǒng)中，每筆交易、每個交易環(huán)節(jié)的會計處理均反映在書面上，都有文字記錄，有相應的經手人、審批人簽字，審計線索易于辨認、追溯。在會計電算化信息系統(tǒng)下，由于數(shù)據(jù)存儲介質變?yōu)榇疟P、磁帶、光盤等磁介質，紙質記錄消失；原始業(yè)務數(shù)據(jù)錄入會計電算化系統(tǒng)后，由程序自動生成會計賬簿及報表，傳統(tǒng)的審計線索隨之中斷，雖然會計電算化信息制度規(guī)定會計賬簿及報表都要打印并裝訂成冊，但無法直觀跟蹤會計業(yè)務處理，無法用傳統(tǒng)的方法考查會計檔案數(shù)據(jù)的安全性、完整性和準確性。大量憑證需要手工錄入，機制憑證、賬簿、報表表面上的借貸平衡，可能掩蓋人工錄入時發(fā)生的錯漏。業(yè)務處理和財務處理高度集中于計算機信息系統(tǒng)，計算機病毒、操作失誤、程序處理錯誤、網絡傳輸故障、非法入侵應用程序等都會造成電子數(shù)據(jù)被破壞或修改，致使實際數(shù)據(jù)與電子賬面數(shù)據(jù)不相符，增加審計難度。

2.信息系統(tǒng)環(huán)境下內部控制存在失控風險

在手工會計核算中，通過建立崗位責任中心制度實現(xiàn)內部控制。在會計電算化信息環(huán)境下，根據(jù)操作員的責任范圍，設置相應的權限和密碼，通過操作對應的子系統(tǒng)或功能模塊來實現(xiàn)人員職責分工，內部控制由手工條件下的制度控制變?yōu)橹贫瓤刂婆c程序軟件控制。不恰當?shù)氖跈唷嘞薜闹丿B設置，致使內部控制存在約束機制失效的可能性。另外，信息系統(tǒng)包括眾多的子系統(tǒng)和功能模塊，導致很多在傳統(tǒng)會計核算條件下不能相同的職務在系統(tǒng)中匯集，授權混亂給導致風險發(fā)生的概率大大增加，很容易導致企業(yè)授權控制機制失效。

3.信息系統(tǒng)環(huán)境下軟件設計缺陷，審計存在檢查風險

由于平臺遷移、版本升級等被審計軟件的更新?lián)Q代，可能導致難以從往年帳套里讀取歷史數(shù)據(jù)，致使審計人員手工收集并整理歷史數(shù)據(jù)，存在漏檢可能性。財務軟件出于安全技術保護等原因，原始數(shù)據(jù)大都被隱蔽存放，存儲格式也多種多樣，同一財務信息被不同的財務軟件可能“翻譯”成不同形式。財務軟件設計時，部分功能設計缺陷，如：存在取消取消審核、反記賬、反結賬等，可以對會計記錄不留痕跡修改。另外，信息化系統(tǒng)下內部審計工作開展時也面臨著一個不可忽視的風險：對相關技術的控制。由于網絡應用非常廣泛，信息系統(tǒng)在儲存信息和數(shù)據(jù)的時候都是借助網絡作為媒介，在大大提高了信息管理效率的同時也帶來了很大的風險。網絡故障以及病毒、木馬軟件等都有可能給信息系統(tǒng)帶來巨大的風險。

四、加強信息化內部審計風險防范與管理的對策

1.建立與完善信息化環(huán)境下內部審計的準則與制度

隨著信息化的不斷發(fā)展，原有的標準和準則有的已經不適用于會計電算化信息系統(tǒng)審計，我們要在計算機審計研究的基礎上，建立與完善一系列與新情況相適應的審計準則，它包括系統(tǒng)的設計、開發(fā)、運營、維護等標準，來規(guī)范計算機審計業(yè)務發(fā)展，降低計算機審計風險；其次，在計算機網絡系統(tǒng)條件下，數(shù)據(jù)處理開始呈現(xiàn)出“人機”對話的形態(tài)，這對內部審計工作提出了更高的要求。因此，要有針對性的完善信息化環(huán)境下的內部審計制度，建立集網絡系統(tǒng)、計算機及信息處理為一體的管理信息系統(tǒng)，并嚴格按照國家相關法律法規(guī)制度，對信息化系統(tǒng)的合法性、真實性、可靠性等進行獨立的監(jiān)督、評價與檢查；另外，內部審計人員要對信息系統(tǒng)運行的各個環(huán)節(jié)進行參與，學習會計電算化相關制度，提升自身的業(yè)務水平，為信息化內部審計工作的開展奠定基礎，從而防范信息化內部審計風險。

2.加強對信息系統(tǒng)的控制與審計

信息化環(huán)境下的內部控制往往是通過會計信息系統(tǒng)完成的，因此一定要加強對會計信息系統(tǒng)的控制與審計，從而提高內部審計工作的效果，有效的防范內部審計風險。首先，內部審計人員要從源頭上加強對會計信息系統(tǒng)的控制，在會計信息系統(tǒng)的設計與開發(fā)階段，審計人員應積極參與，從審計角度對會計系統(tǒng)的參數(shù)設定、核算方法、授權流程審批、數(shù)據(jù)庫安全等的合法、合規(guī)、安全可靠等審查；另外，會計電算化系統(tǒng)下，授權控制是內部控制主要的組織原則。要加強財務軟件的系統(tǒng)權限控制、口令管理程序控制、修改程序控制、網絡系統(tǒng)權限控制等工作成為內部審計控制的一項重要工作。內部控制審計不僅要對各種會計資料及信息進行審計，而且要對組織控制、系統(tǒng)開發(fā)與維護控制、系統(tǒng)安全控制、硬件及系統(tǒng)軟件和操作控制等進行審計。

3. 采取適當?shù)膶徲嫹婪兑?guī)避內審過程中的核查風險

目前，我國很多企業(yè)內部審計部門所采用的審計方法仍然是傳統(tǒng)的審計方法，在審計過程中主要采用的是查閱資料、研究報表、對數(shù)據(jù)信息進行計算以及數(shù)據(jù)分析等。在信息化條件下，審計部門必須不斷創(chuàng)新內部審計方法。例如，為確保信息系統(tǒng)輸出數(shù)據(jù)的準確性、可靠性以及有效性，內部審計人員要采用反復測算等方法來檢查信息系統(tǒng)的管理模塊；要采用研究、咨詢等方法來對系統(tǒng)的安全性與穩(wěn)定性進行測試。另外，內部審計部門要加強對信息系統(tǒng)業(yè)務操作人員的審查，尤其要將操作員的權限審計作為審計工作的重點，從而規(guī)避信息化審計風險。

4. 強化對計算機舞弊行為的審計力度

在信息化條件下，通過計算機進行舞弊的行為成為獨有的風險類型，內部審計人員一定要強化對計算機舞弊行為的審計力度，規(guī)避審計風險。利用計算機以及網絡系統(tǒng)的漏洞開展違法犯罪活動是計算機舞弊的重要特點，很多企業(yè)內部人員利用計算機系統(tǒng)在數(shù)據(jù)輸入的時候故意編造虛假信息以便實現(xiàn)自身的利益。因此，內部審計人員在開展審計工作中，一定要加以重視。例如，內部審計人員可以采用抽樣分析法，將信息系統(tǒng)中錄入的相關數(shù)據(jù)與原始憑證進行比對；或者可以利用專門的審計信息系統(tǒng)將記賬憑證中的數(shù)據(jù)與原始數(shù)據(jù)進行核對，從而驗證信息錄入是否真實完整。另外，在信息化條件下，利用木馬軟件以及其他非法程序對計算機信息系統(tǒng)進行改動或者盜竊數(shù)據(jù)的情況時有發(fā)生，內部審計部門要引入專業(yè)的計算機信息人才，定期對計算機信息系統(tǒng)的安全性進行審查。

5. 提升審計人員的專業(yè)能力與職業(yè)道德素養(yǎng)

在信息化條件下，內部審計工作需要用到大量的信息技術，包括數(shù)據(jù)庫查詢、數(shù)據(jù)庫更新、數(shù)據(jù)分析等，這就要求內部審計人員具備豐富的財務知識并熟練掌握運用計算機信息技術。企業(yè)要健全審計人員業(yè)務培訓與再教育機制，加快審計人員業(yè)務、審計、計算機及網絡、數(shù)據(jù)庫和應用技術知識的更新，提高審計人員的計算機操作水平和審計軟件使用水平，做到計算機知識和審計內容融會貫通，提高計算機審計水平。其次，要不斷提升審計人員的職業(yè)道德素養(yǎng)。信息化條件下對內部審計人員的自我約束力提出了更高的要求，因此要不斷加強內部審計人員的職業(yè)道德建設，促使其自覺遵守國家相關審計法律法規(guī)，嚴格按照內部審計的要求來開展工作，為信息化內部審計風險的規(guī)避提供保障。

參考文獻：

[1] 程安林.信息系統(tǒng)環(huán)境下審計風險的特征及評估[J].北方經貿，2007（5）.

[2] 張金城.計算機信息系統(tǒng)控制與審計[M].北京：北京大學出版社，2002.

[3] 謝瑾.內部審計控制信息化之我見[J].中國內部審計，2012（1）.

[4] 王松林.信息化環(huán)境對內部審計產生的影響及對策[J].中國內部審計，2012（11）.