浅谈内部审计信息化建设
2013-04-29郭小金王红兰
郭小金 王红兰
1999年美国信息工业协会给内部审计下了新的定义,“一种旨在增加组织价值和改善组织营运的独立、客观的确认和咨询活动,它通过系统化、规范化的方法来评价和改善风险管理、内部控制和治理程序的效果,以帮助实现组织目标”。从定义中,我们可以看出现代内部审计中的内涵,以及现代内部审计所要达到的目标以及采取的方法。近几年,随着信息技术的飞速发展,信息技术在内部审计中的应用变得越来越广泛,这不仅为内部审计的发展带来了机遇同时也带来了挑战。并且,随着信息技术在内部审计中的运用,审计技术、审计证据、审计环境、审计线索等因素相比以前都会发生一定的变化,而这种变化既可能为审计质量的提高、审计风险的降低带来积极的影响也可能带来消极的影响。因此,我们有必要认清内部审计信息化的发展现状和趋势,解决信息化进程中出现的问题,让信息化形势下的内部审计更好地为我国社会经济的发展发挥保驾护航的功能。
一、信息化对内部审计的影响
1.对审计目标和范围的影响。传统的内部审计目标主要是对企业的各类业务和控制进行独立性的评价,以确定是否遵循公认的方针和程序,是否符合既定的规定和标准,是否有效和经济地使用了资源,是否在努力实现组织目标。信息化条件下的内部审计目标不仅包括了对企业经营活动的审查,还包括了对企业信息系统设计的合理性和应用的充分性进行审查。通过分析、控制和评价等活动,监督、评价企业对信息系统的使用和管理情况,健全内控机制,从根本上杜绝企业财务舞弊现象的发生,并在第一时间向企业的管理者提供与企业实际情况相适应的管理建议和对策,为实现企业高效的管理和提高企业的经营效率发挥重要的作用。
2.对审计职能的影响。在信息化条件下,内部审计的职能不仅仅局限于对企业财务状况进行查错纠弊,而更多地把工作的重心移到事前和事中的控制之上,并且进一步强调了内部审计的服务职能。内部审计的存在不仅仅是对已经发生的错误和舞弊进行惩罚,而更多的是为企业正常高效地运转提供建议和指导,以及帮助企业规避潜在的风险。内部审计信息化使工作人员能够站在更高的位置,更全面地了解企业的发展状况,帮助企业发现和分析问题,进而提出解决问题的建议和意见,帮助企业实现自己的经营和财务目标。
3.对审计技术的影响。信息化使得企业内部审计的环境和相关因素发生了巨大的改变,从而使得内部审计技术相比较之前的技术也有了本质的区别。如果工作人员仍然利用查看、函证、询问、重新计算等传统的审计技术,有可能无法实现现代内部审计的目标,而对企业信息系统本身的审计也将无从谈起。因此,现代内部审计人员在工作中要更多地借助计算机技术进行内部审计工作,不断地开发适合本企业实际情况的内部审计软件,及时地更新数据库系统。计算机和网络通信技术必然成为内部审计的主要技术。
4.对审计证据和审计线索的影响。审计线索是审计人员发现问题并揪出舞弊的突破口。在传统的内部审计阶段,因为主要的审计技术是询问、查看、函证、重新计算等,因此审计证据主要存在于纸质材料上,由于证据载体的限制,容易造成证据的丢失与损坏。在信息化内部审计条件下,更多的审计证据被储存在软件、磁盘之上,这使得审计证据能够更长久地得以保存。但是同时,由于存储在软件、磁盘之上,审计证据更容易被篡改,并且篡改之后不易被审计人员发现,而且由于审计证据的载体更加容易隐蔽,所以造成取得审计证据的难度也在增加。
5.对审计风险的影响。信息化对内部审计风险的影响是把“双刃剑”。一方面由于信息系统的先进性和自动化,从而使得企业的经营管理更加稳定,消除了人员因素造成舞弊的可能性,从而降低了审计风险;另一方面,由于信息系统的复杂性和变化性,使得审计人员不具备完全掌握信息系统的能力或者是跟不上信息技术的发展,不能及时地发现信息系统在设计和运行中出现的问题和漏洞,因此无论是固有风险还是检查风险都会相应地加大。
6.对审计独立性的影响。在传统内部审计下,技术因素对独立性的影响一般比较小,但是在信息化条件下,由于审计人员要对本单位实施在线审计,审计软件要与企业其他信息系统对接,这就离不开本单位信息系统的技术支持,加上审计软件开发过程中对计算机等其他专业人员的依赖,这些因素都可能对审计的独立性产生影响,进而影响审计人员的职业判断。
二、当前我国企业内部审计信息化建设存在的问题
如果把对内部审计的理解仅仅停留在查找企业财务中出现的舞弊,那么内部审计信息化也只能是处于计算机辅助审计应用的层次上。因此,只有正确地理解内部审计的概念和重要性才能真正理解内部审计信息化的涵义。从现在内部审计信息化的发展状况来看,缺乏完善的理论体系、制度和专业性人才,难以实现信息共享,容易造成内部审计信息化建设滞后于实务发展。
1.审计范围的扩大、审计对象的复杂化对审计手段提出了挑战。随着信息化的推广,纸质的审计证据在全部审计证据中所占的比重持续下降。由于现在的审计证据大都依托于软件或者磁盘存在,因此,相比较传统审计证据,现在的审计证据更具有隐蔽性,易被篡改。如果仍然采取传统的审计手段方法,可能无法获取充分适当的审计证据,无法将审计风险降低到可以接受的水平之内。并且在信息化的条件下,内部审计的目标不再仅仅局限于财务审计,而且扩大到管理审计上;内部审计不仅要对企业的财务状况发表审计意见,更重要的是要对企业的经营管理提供建议,使企业能够更有效率更经济地进行生产经营活动。因此审计范围的扩大也会对审计手段方法提出新的更高的要求。
2.内部审计人员的素质整体偏低,不足以应对信息化内部审计的要求。在信息化条件下,对内部审计人员的素质提出了更高的要求。在传统内部审计中,内部审计人员不太注重对信息技术的学习,对计算机辅助审计技术掌握的能力也不是很高,这些都直接影响了内部审计信息化的进程。比如审计人员要对计算机信息系统设置的合理性和运行的有效性发表审计意见,必须利用计算机完成相关的查阅、比较、计算、分析程序。因此,如何掌握并运用新的审计技术和手段无疑成为内部审计人员工作中遇到的一个新问题。
3.审计理论和实务研究滞后,缺乏完整的理论体系。现阶段内部审计信息化的工作重点主要集中在数据分析和信息系统安全分析两个方面。在数据分析方面,主要是采取数据仓库和多维分析技术等,对审计对象的数据库系统进行分析;在信息系统安全分析方面,也提出了许多建设性的方法。虽然在这些技术方面取得了良好的结果,但是尚未形成完善的理论体系。
4.审计信息化建设滞后,信息资源很难共享。目前由于受到资金和技术的影响,许多企业在内部审计信息化建设的过程中遇到了很多瓶颈,发展步伐受到严重阻碍。在硬件方面,相对于企业的信息系统而言,企业内部的计算机硬件和相关的网络设备并不能很好地与其相配合。通常情况下,只是一台计算机作为一个审计信息平台,不能实现审计信息资源的共享,从而造成在线审计很难得到实现。在软件方面,由于受制于内部审计人员自身的素质不高和投入相关软件开发的资金不足,企业很难开发出符合本企业实际情况的审计软件。通常的做法是购买市面上由第三方开发出来的通用审计软件,虽然降低了成本,但是由于通用审计软件与企业的实际情况并不是特别契合,容易造成相关重要审计领域的遗漏,不能够抓住审计重点,增加了审计难度。
5.信息系统安全性受到威胁。由于互联网的开放性和计算机病毒的传播性,企业内部审计信息系统很容易遭受到来自网络黑客和计算机病毒的攻击。信息系统一旦遭到破坏,则对企业正常的生产经营会产生巨大的影响。另一方面,由于在信息化条件下相关信息都是储存在软件或者磁盘等相关介质中,一般都是通过口令或者密码接触相关信息。如果相关口令或者密码遭到泄露,相关信息很容易遭到窃取或者修改。
三、加强内部审计信息化建设的相关建议
1.充分认识内部审计信息化建设的重要意义。首先,要让企业的管理层认识到内部审计信息化对提高企业管理的重要重要作用。可以通过组织企业管理层向内部审计信息化实行比较好的单位进行考察学习,观看优秀企业内部审计信息化对企业生产经营产生的巨大促进作用,进一步增强管理层对推行内部审计信息化的动力。管理层也要不断进行学习,学习先进的管理理念,提升自身的素质。只有得到领导的重视,内部审计信息化才能够有机会发挥自身的作用。其次,要建立一支强有力的内部审计队伍。内部审计在企业经营管理中的重要性也取决于内部审计队伍结构的合理性,以及内部审计部门在企业组织中的位置。应该确定内部审计部门直接向企业最高领导层负责的制度,保持内部审计部门的独立性,使其能够客观公正地执行自己的工作而不受其他相关部门(销售、生产、行政等)的影响。再次,要加强对内部审计部门的监督和指导,使其能够按照内部审计准则和企业的相关规章进行工作。
2.由静态审计向动态审计转变,由监督审计向服务审计转变。在进行内部审计信息化建设的同时,要把审计从静态审计转变为动态审计。内部审计的重点不能仅仅局限于事后的审计,而应该强调事前和事中的审计;不能只关注企业某一个时点的财务状况,而应该着眼企业在整个生产经营阶段财务、生产情况的变化趋势,将审计的重点由点变成线,增加审计的时间维度。另外,也要更加关注审计职能的转变,现代的内部审计不仅仅只是为了对企业的财务状况查错纠弊,而要更及时关注企业生产经营过程中出现的问题,并对该问题提供相应的解决方案,将内部审计由监督型转变为服务型。通过监督审计向服务审计的转变能够加强企业对风险的控制与防范,通过转变审计重心能够有效提高企业信息系统的安全性和有效性,进而在提高企业内部审计效率的基础之上提升企业的综合实力。
3.提高信息技术掌握能力,创新数据采集、分析技术。掌握系统拷贝技术进行分析数据的审计程序是在信息化条件下进行内部审计工作的必然要求。同时,掌握采集式审计模块能够发挥信息录入功能以及安全性,掌握同步审计技术的审计程序来将数据进行实时在线测试,从而能够使得企业所进行的内部审计方式多样化。在掌握以上三种程序的前提下,企业需要逐步创新数据采集技术、数据分析技术以及审计报告技术,进而才能够不断推动审计工作信息化建设进程的加快。
4.对信息系统进行审计。信息系统在现代内部审计中的作用越来越大,而传统的内部审计通常忽视了对信息系统的审计。由于现在的财务处理大都通过计算机系统处理,并通过相关的信息系统进行传递,因此审计人员想要增加对相关财务数据的信赖度,不可避免地要对信息系统进行审计。审计人员对本单位的信息系统的了解应该包括而不局限于以下内容:(1)信息系统的硬件信息和软件信息,比如使用的计算机型号、内存大小、操作系统的设置、输入和输出设备;(2)信息系统处理相关业务的流程。相关信息是如何在系统中流转、加工处理的,在哪些环节容易出现错误,在哪些环节容易被不相关的人员接触甚至容易被篡改;(3)本企业信息系统与其他企业信息系统之间的依赖程度。比如对于销售企业来讲,它所销售的商品可能并不储存在本企业内部,而是储存在生产企业或者专门的物流企业,因此在对库存商品进行审计的时候,不仅仅要对本企业的信息系统进行审计还要对相关的其他企业的信息系统进行审计。在了解完企业信息系统之后,审计人员要依据重要性和审计风险来设计审计程序,并把审计程序的重点放在相关信息系统设计的合理性和运行的有效性上面。
5.积极培养复合型人才。当前社会中,既精通计算机技术又能掌握会计、审计、财务等方面知识的复合型人才非常稀缺。在内部审计信息化建设中,高素质人才的匮乏一直困扰着企业的发展。因此,我们必须重视对审计人员进行持续的岗位培训,不断完善审计人员在更多方面的综合技能。对审计人员的培训不仅仅局限于计算机基本应用技能,而且要涉及网络系统的安全控制评价的培训。审计人员要学会编制适用的审计软件,造就一定数量的、掌握并能熟练运用各种计算机审计技术方法的审计专业人才。
(作者简介:郭小金,女,江西财经大学副教授,研究方向:理财与审计;王红兰,女,江西财经大学会计专业硕士研究生,研究方向:理财与审计。)