浅析内部审计信息化发展中的风险与对策
2014-04-21安春婷
●安春婷
浅析内部审计信息化发展中的风险与对策
●安春婷
随着信息化技术的发展,人们传统的工作和生活方式、企业传统的运营和管理方式,都在发生着深刻的变化。信息化一方面在对企业价值链产生作用和改变,对企业的管理模式进行重塑;另一方面也在营造着新型的企业财会管理方式。
内部审计 信息化 风险 对策
信息技术在信息化发展的背景下,越来越多地在审计中得到应用。在内部审计组织进行内部审计时,在审计项目计划和实施的全过程中应用信息技术,并且通过独立客观地对信息系统实施确认和咨询活动,促进审计风险的确认、企业信息战略的实现和组织运营目标的优化,称为内部审计信息化。信息化环境下,以传统会计核算资料为基础的内部审计活动必然面临着会计环境信息化条件下的冲击与影响。企业内部审计实践应加速变革与创新力度,重新认识信息化条件下内部审计所面临的问题与应对措施。特别是中航工业在集团化背景下,具有地域覆盖广,用户规模大、业务复杂、需求多变、运营实时性要求高、数据量大等特点,在信息化过程中会面临着更加复杂多变的情况,这就对内部审计的信息化提出了更高的要求。
一、国内审计信息化发展现状
审计对象的信息化必然要求审计信息化,会计的信息化对于审计的信息化有着重要的促进作用,同时审计信息化也在提高着审计工作的效率,在审计力量有限的情况下,有助于实现更多的审计项目的完成。随着我国审计工作的发展过程中不断地借鉴现代国际审计经验,审计信息化是实现与国际审计接轨的重要途径。
审计信息化是我国经济高速发展的必然选择,这一观点已经引起我国政府和审计行业专家的高度重视。2002年审计署开始了名为“金审工程”的审计信息化项目建设。“金审工程”实行预算跟踪与联网核查相结合的审计模式,与旧有的审计模式相比,主要有以下三个特点:(1)以事后审计与事中审计相结合的模式取代单一的事后审计;(2)以动、静态结合的审计模式取代单一的静态审计;(3)以现场和远程审计结合的模式取代单一的现场审计。这使得我国审计机关通过信息网络能够更强有力地履行审计的监督职能,使得审计机关维护经济秩序,推进廉政建设,纠错查弊、加强管理、揭露犯罪、打击腐败的能力得到进一步的增强。审计单位资料库、审计专家经验库和审计文献资料库作为“金审工程”的三大重要成果,对于我国审计信息化建设的进程具有重要的推进作用。在审计信息化的发展中,审计内容和范围进一步扩展,审计方法和技术体系得到了完善,这些都促进了审计的规范化,审计的反馈能力得到加强。在借鉴国内外先进经验的基础上,审计信息化将向标准化、共享化、开放化、网络化、智能化发展。
但在当前的发展形势下,我国审计信息化的水平仍然不高。大部分审计人员仍然通过原始的手工方式实施审计,审计证据的获取不够适当和充分,难以保证审计的质量。尤其是在目前社会信息化水平不断提高,企业的财务、销售、生产等管理环节已实现信息化和信息系统联网的背景下,审计信息化的进程仍比较缓慢,与信息化发展的整体水平不相称。
使用传统的审计模式,已经很难适应信息化条件下的风险评估、内控测试与评价要求,进而无法开展真正意义上的以风险为导向的审计业务。常用的计算机辅助审计技术虽然能对电子数据进行审计,但多数仅仅是把手工审计流程计算机化,并没有利用数据分析与挖掘技术,从海量电子数据中提取隐藏的或未知的信息。因此,审计信息化工作的推进和加强迫在眉睫。
二、内部审计信息化发展过程中面临的问题与风险
1.我国企业内部审计信息化程度仍有待提高。内部审计的主要目的是辅助提升企业内部管理,防范风险,系统诊断,为企业发展提供增值服务,工作的着眼点和切入点多为具体业务流程管理,普遍存在信息化程序不高的问题。以中航工业为例,虽然在集团层面初步建立了内部审计信息化的管理信息系统,但该系统尚未与所属企事业单位实现联网及资源共享。同时,部分成员单位的信息化程度不高,内部审计信息化系统的建设更是处于规划阶段,这些都影响了集团内部审计信息化水平的提高。审计信息化并不是简单地将财务信息数字化,应向审计对象的信息系统发展,但在内部审计信息化建设初始的尝试中,部分单位的审计信息化建设仍处于财务数据统计分析电子化的初步阶段,尚未建立内部审计信息系统,无法实现审计的智能化、实时化和远程化。
2.企业内部审计信息的标准化、共享化与网络化程度有待提高。我国审计工作与国际先进审计工作的主要距离在于审计管理水平较低,这严重限制了基层审计工作的发展。企业的信息化建设缺乏总体规划,企业中各部门基于自己部门的需求,建立多个小型、分散的信息管理系统,各系统之间的差异化程度较大,并且存在一些相似重复建设的问题,数据的采集、储存与数据库建设尚未标准化,形成信息孤岛。管理信息化水平影响了内部审计信息化建设的程度,各个审计机关之间还没有形成一个有效的信息共享链。要实现审计工作在信息化环境下的共享化和网络化,必须首先实现审计信息的标准化,建设标准化的信息采集、交换和管理平台。审计资源的共享性程度较低也会导致审计工作量增大,增加很多重复性的工作,降低审计的工作效率。并且,审计信息系统不能与会计信息系统、管理信息系统实现对接与数据的实时交换,也就无法实现通过审计信息系统进行数据挖掘与分析,及时发现被审计单位运营与内控中存在的风险与问题,无法完全实现“金审工程”将事后审计转变为事中与事后审计相结合的要求。
3.信息化影响企业内部审计的独立性。通常而言,内部审计的环境对于内部审计的独立性具有影响,独立性会随着审计环境的变化产生相应的变化。当内部审计人员能力水平的发展落后于信息化的发展时,内部审计的独立性会由于对于外部专家等人员产生依赖性而受到影响。另外,会计信息系统在开发阶段,内部审计人员通常会参与其中,这样也会由于不相容岗位分离的原因,在信息系统审计时影响内部审计的独立性。
4.企业内部审计安全性受到信息化的影响。审计人员在决定审计范围和建立审计方案时,企业内部控制的测试和评价是重要的依据来源。然而,在信息化的环境下,内部控制制度已不能实现对于企业安全的全面控制。首先,企业的财产和运营的安全和财会系统的安全收到来自外部网络的电脑病毒和黑客的威胁;其次,由于计算机的使用,传统会计的工作职责发生改变,工作痕迹无法实现完全的保留。来自信息系统的证据的可靠性与网络健全有效性密切相关,通常的审计程序往往无法控制企业会计报表的真实与公允,无法确定企业重大的错报与漏报。
5.传统审计手段相比信息化环境发展滞后。审计人员在信息化环境下,由于审计证据的不可见性,往往需要依靠计算机进行审计。并且,在信息化环境下,经常需要在信息系统处于运行的状态中实施实时的审计,这对于审计人员、手段和技术都提出了更高的要求。内部审计人员在掌握财会、审计、法律等知识的同时,由于内部审计信息化的发展,审计的环境、内容、技术等均产生了重要的变化,这就要求内部审计人员在信息系统审计时,对信息系统技术的掌握要更加精通,信息系统的审计才能够顺利开展。目前内审人员的专业性不强,主要来自财会、金融、管理等专业,计算机网络等使用水平仍处于办公自动化的初级阶段,运用审计软件进行数字化审计、对审计数据对象进行编程处理与分析的能力尚显不足,对于企业管理与运营的信息系统进行IT审计的能力尤为不足,难以适应现代信息技术对审计人员素质的要求。
6.审计软件开发能力不足。在企业内部审计信息化需求日益增长的背景下,内部审计信息系统开发尚未实现市场化运作,系统开发企业研发审计软件的能力也相对不足。目前一些数据分析功能较强的审计软件,研发企业对于其的配套服务,如推广、培训、升级和维护等还比较滞后。并且审计人员在数据采集时,由于审计软件设计时没有与被审计企业财务软件协调开发,没有考虑与企业的发展和业务流程相适应,导致数据的取得出现困难,与企业的现实情况脱节。
另外,财务和管理信息系统和审计信息系统不能实现无缝连接,审计所需数据资料在业务系统和审计系统之间的传递,难免会造成一些接口端与兼容性上的差异,需要通过导出导入数据的环节将二者进行连接,也造成了一些重复性的工作,对于审计工作的效率有一定的影响。这也使得企业尚未建立真正意义上的审计信息系统,所做的也仅仅是审计的计算机化。而且,审计软件的设计也没有体现出其面向企业的定制性,如对于一些基建等项目的内部审计仍然无法通过审计软件上完全实施,使得内部审计信息化的实现受到影响。
三、内部审计信息化建设过程中的风险应对
1.制定和完善相关的制度规范。为了更好地进行内部审计信息化建设,企业对于内部审计信息化建设要加强重视,建立相应的内部审计规范、内部审计信息系统运行标准以及内部控制制度,使之与信息化背景下的新环境相适应,用以规范内部审计信息化的发展,将审计风险降低到可以接受的水平。并且,在信息化环境下,应对企业的内部控制流程及要点进行逐一的梳理、测试与考核,以确保会计核算软件的高效、正确运行,保证资料、信息合法合规,为内审工作奠定基础。
2.提高内部审计信息的标准化水平,最大程度实现信息共享。信息系统的发展越来越呈现出复杂化、大型化和网络化的趋势,并且在互联网技术的扶持下,深刻地改变着审计业务的处理方式和思维模式。企业要加快审计数据库的建设,建立审计资料、档案、专家经验、法规、经济数据等数据库,研究联网审计的实施。并且要实现数据库内容的不断补充和优化,采取各种方式满足审计工作对于各种财经信息资源的共享需求。可以在分析研究不同信息系统的基础上,建立标准化的统一的审计信息系统,实现审计资源的共享化。在业务层面上研究联网审计的实施,使联网审计目标得到更加明确和量化,促进审计信息化建设的开展与落实。
企业可以通过网络将审计部门联接、建立审计数据库、举办审计信息化相关会议等措施,实现相关企业审计部门对审计信息化建设的经验交流,达到整合审计资源、共享审计信息的目的和作用。在审计过程中,审计部门可以与业务部门相互交流经验,通过交流实现信息的共享和思维的创新。
3.提高风险防范能力。由于信息化的发展,审计档案、资料等电子化后,信息磁性介质的保存风险加大。并且,一旦在管理不到位的情况下,储存的电子资料有被访问和滥用的审计风险。因而,通过制定严格的风险防范制度,实现网络财务信息的监控与强制存档,制定网络安全保密规定、系统运行管理规定、计算机软件运行开发管理规定等,实现审计信息系统风险的降低。
4.加强审计软件的开发。内部审计人员在信息化的环境下对于各种对象如单机、多用户、网络等开展内部审计工作时,必须使用审计软件。审计软件通常包含管理审计计划、内部控制评价、数据转换、审计抽样、实质性测试、生成报表、生成审计报告等功能,集成了大量的审计方法和技术。企业要研发使用优良的内部审计软件,必须要将业务创新和信息技术相结合,确保内部审计软件真正地与企业的管理与业务特点相结合,体现出企业内部审计软件的定制化与个性化。今后的信息化审计要在确保电子数据安全性的同时,朝着分析型的方向发展,促进计算机审计工作的智能化,使得内部审计工作的效率和质量不断提高,内部审计风险得到有效的控制。企业可以与专业的财务咨询公司合作,开发适合企业自身特点的审计信息系统,实现企业审计信息系统的定制化,切实满足企业的发展需要。
5.加强专业人才的培养。不仅由于内部审计工作位于企业管理核心,并且由于信息化的发展,要求企业内部审计人员需要同时具备优秀的财务管理知识和熟练的计算机应用技术,熟练操作企业内部审计软件。只有这样才能在掌握各种先进技术后,促进企业内部审计信息化的建设,确保企业内部审计工作的顺利开展。
因此,切实加强对相关人员的培训工作对实现企业内部审计的信息化建设具有重要的意义。对内部审计专业人才的培养,不但需要加强对审计人员计算机专业知识的培养和财务知识、审计知识的更新,更需要丰富计算机专业人员的财务知识和审计知识,实现二者真正适应审计信息化发展的需要。
四、总结与展望
在社会信息化发展的大趋势下,是传统内部审计在信息化环境下向信息化审计转变的必经方向,也是我国企业在当前信息技术快速发展的信息化浪潮背景下的必然选择。虽然我国目前在实现企业内部信息化建设工作上取得了一定的成就,但是仍存在着不少问题。当前急需面对的现实问题是在信息化环境下,建立新型的内部审计理论和方法,从而满足信息化条件下企业经济业务快速发展的现实需求。
通过实施企业内部审计的信息化,能够有效地加快企业内部审计基础的建立,促进企业审计行为的规范化,对于企业内部审计工作质量和效率的提高,加强企业审计风险的防范能力,使企业内部审计与信息化发展的趋势紧密结合等都有着极其重要的意义。企业应不断完善内部审计制度与规范的建立,完善内部审计信息系统的建设,培养专业内部审计人员,加强企业内部审计风险的防范能力,更好地开展以风险控制为导向的现代审计。
[1]陈泽媛.信息化环境下内部审计风险与防范对策.通信企业管理,2010(4)
(作者单位:中国航空工业集团公司北京航空材料研究院 北京 100000)
(责编:若佳)
F239.6
A
1004-4914(2014)11-135-02