潘国辉

(胜利油田审计处,山东东营257000)

信息化环境下企业内部审计风险评估与控制措施

潘国辉

(胜利油田审计处,山东东营257000)

信息化环境下,企业经济活动发生了巨大的变化,内部审计工作面临许多新的风险。企业内部审计风险评估的程序和内容:对企业战略经营风险、固有风险和控制风险进行分析和评估,确定检查风险,决定实质性程序的性质、时间以及范围。企业内部审计加强风险控制的措施:加强对信息系统设计开发阶段、内部控制和安全的风险控制;抓好审前调查、方案制定和审计查证环节;提供内部规章制度、技术方法和人员素质保障。

信息化环境;内部审计风险;风险评估;风险控制

随着信息时代的到来,以计算机技术和网络技术为代表的现代信息技术已经进入了社会生活的每一个角落,企业的经营管理模式逐步实现了网络化、数字化、虚拟化,审计环境发生了重大变化,审计风险趋于多样性、潜在性、持久性,更具有破坏性。因此,企业内部审计必须做好信息环境下的风险评估,防范和控制审计风险。

一、信息化环境对内部审计风险的影响

1.对企业战略经营风险的影响。信息化环境下,随着现代信息技术的广泛应用,一方面,企业实现了信息系统与经营战略的结合和统一,经济效益迅速增长;另一方面,经济社会转型加速,经济全球化日趋完善,市场竞争空前加剧,企业经营活动面临更加严峻的威胁。

2.对固有风险的影响。信息化环境下,由于电子数据在计算机系统的控制下,其本身的正确性和可靠性得以基本保证,固有风险呈降低的趋势。然而,机器故障、网络传输故障、计算机病毒和黑客攻击等存在的可能性,又增加了固有风险。

3.对控制风险的影响。信息化环境下,由于企业经济业务数据通过信息系统自动地进行加工和处理,而且数据由计算机系统进行实时的反馈,因此出现控制风险的概率比较低。然而,随着现代信息技术的广泛应用,企业内部控制体系部分嵌入到信息系统中,职责权限分工主要通过设定密码权限,密码一旦被他人获知,便可能带来巨大的隐患。另外,在信息环境下,企业的数据资料被存储在信息系统中,这些电子数据极易被篡改或伪造而且不留任何痕迹,在一定程度上弱化了纸质介质的控制功能,给内审取证工作带来了新的难题。

4.对检查风险的影响。信息化环境下,一方面,电子数据可以集中保存,便于对其加以保护并及时获取电子数据,有利于降低检查风险;另一方面,电子数据储存在磁、光等介质上,业务处理由计算机按程序指令自动执行,不易用肉眼直接读取,致使内审人员必须对系统数据进行转换,又增加了检查风险。

二、企业内部审计风险评估的原则

1.坚持职业审慎的原则。信息化环境下,由于企业经营活动完全网络化、电子化,审计风险不仅来自于经济活动,而且还来自于信息系统的设计及应用等,审计风险更加复杂化。因此,内部审计必须充分考虑内部审计风险评估事项的复杂性和艰巨性,警惕可能存在的风险。

2.坚持独立、客观的原则。信息化环境下,内审人员运用现代信息技术进行风险评估时,离不开对审计软件开发人员的依赖,离不开对被审单位信息系统的技术依赖。因此,信息化环境下,内审人员在确定风险评估范围、实施风险评估及报告风险评估结果时应充分考虑来自信息技术和技术人员的干扰,保持审计的独立性和客观性。

3.坚持技术先行的原则。信息化环境下,企业利用计算机、网络设备的舞弊行为常具有智能性、隐蔽性、易逃避性和危害严重性的特点,这就要求内审人员必须采用现代内部审计风险评估手段,运用先进的信息技术开展风险评估工作。

4.坚持管理服务的原则。由于内审人员站在企业的上层开展工作,使得其在信息环境中能够获得较其他业务部门更全面的信息数据,能够更客观冷静地研究分析企业的经营现状。因此,信息化环境下,内部审计要不断为企业建立风险管理机制、完善信息系统、实现经营目标献言献策。

三、风险评估的程序和内容

审计风险评估应以被审单位的战略经营风险为导向,基本的评估程序表示为:

企业战略经营风险分析和评估→固有风险分析→控制风险分析和评估→控制测试,确定检查风险

1.对企业战略经营风险进行分析和评估。战略经营风险是宏观社会经济环境与行业环境、战略目标与经营措施等因素对企业造成不利影响的可能性。战略经营风险是固有风险内涵的扩大,是内部审计风险的源头,对战略经营风险的评估是信息环境的必然要求。信息化环境下,战略经营风险评估需考虑的内容为:信息化环境对企业经济活动的威胁;信息化环境对信息资源可能存在的威胁;对威胁企业战略经营风险的反应程度;信息化是否与企业整体战略一致;信息系统是否合法合规;信息系统是否得到有效利用;信息系统是否有效促进提高效益;等等。

2.对固有风险进行分析和评估。信息化环境下,固有风险不仅存在于企业的经营活动中,还存在于信息系统本身。因此,固有风险评估应考虑的内容为硬件的管理和使用是否明确划分责任;硬件管理和使用是否控制在授权范围内;硬件使用记录是否保存完整;硬件设备是否满足信息系统运行的要求;硬件设备安装是否规范;硬件设备是否具备应对意外事故的能力;是否设置备用硬件;设备是否具有保护措施;机房是否具有安全保护措施;信息系统变更是否做了准确完整的备份;可能导致信息系统掩饰或错报信息的异常压力;合作伙伴是否对信息系统控制产生影响;信息系统是否具有防止计算机黑客、病毒感染的能力;信息系统是否具有防止不法人员的各种破坏行为的能力;信息系统的安装、维护、升级等是否规范;等等。

3.对控制风险进行分析和评估。有效的内部控制将降低控制风险,而无效的内部控制将增加控制风险。内部控制制度不能完全保证防止或发现所有错弊,因此,控制风险不可能为零,它必然会影响最终的审计风险。信息化环境下,一些内部控制制度以信息系统为载体,控制风险呈现多样性。因此,信息化环境下,控制风险评估需考虑的内容为:网上交易是否合法;资金收支是否及时、安全;内部控制系统的健全性、合理性和有效性;不同责任中心(岗位)是否经常轮换;是否按规定设置系统用户及口令,是否按用户职责设置操作权限,用户是否定期修改自己的密码;业务数据在录入信息系统前是否经过正常审批、授权;业务数据是否准确完整地录入信息系统;业务数据是否准确地被信息系统进行处理,信息数据有无增加、修改、减少等情况发生;业务数据审批过程是否正常;审批权限是否经过严格设定,有无越权行为;错误的信息数据是否及时被拒绝接受并予以提示;修改数据是否留下电子痕迹;对非正常中断是否准确恢复;输出的业务数据是否准确地完整;数据文件是否具有定期备份;等等。

4.确定检查风险,决定实质性程序的性质、时间以及范围。检查风险是内审人员对账户内容、经济业务及审计证据进行收集、检查、分析和评价后用来查出重要差错水平的估计。在信息化环境下,内审人员需要综合地考察对战略经营风险、固有风险的评估结果以及符合性测试对控制风险的测定结论,决定对被审计企业的信息系统及其生成电子数据的实质性测试范围。战略经营风险、固有风险和控制风险的程度越高,内审人员就越有必要执行详细的实质性测试,来获取足够的证据和把握,将审计业务的误差控制在可容忍的范围内。

值得说明的是,信息化环境下,企业的经济活动基本全部纳入了信息系统当中,企业的固有风险和控制风险两者之间存在着紧密的联系,因此,在实际风险评估工作中,内审人员往往对固有风险和控制风险进行综合评估。综合评估的结果是内审人员决定实质性程序性质、时间以及范围的基础。

四、企业内部审计加强风险控制的措施

1.做好“三个加强”。一是加强对信息系统设计开发阶段的风险控制。在系统设计开发过程中,内审人员应监督评价系统开发过程是否按照既定的标准和方法进行,系统程序是否如实客观地反映企业经济情况,内部控制制度是否严密有效,数据运行结果是否准确可靠,系统软硬件是否具有防止遭受破坏和对付突然事故的应变能力等,弥补信息系统控制中的缺陷和不足。同时,信息系统的设计开发阶段必须满足审计要求,使系统在处理时能留下清晰的审计线索,以便内审人员能跟踪审计线索,顺利完成审计工作。二是加强对信息系统内部控制的风险控制。信息化环境下,完善系统内部控制是风险控制的重点。通过对信息系统内部控制的风险评估,促使企业合理划分用户的职责权限,包括信息系统程序设计、系统维护、业务操作和内部审计各类职责权限;加强对数据的输入、输出的控制,减少信息数据处理过程中发生错误或出现异常情况的可能性,从而确保企业信息数据的真实、准确和完整。三是加强对信息系统安全的风险控制。通过加强对系统安全的风险评估和风险控制促使企业对信息系统的软硬件及时更新升级,采用先进有效的加密方法,建立切实有效的应急预案,加强对病毒、黑客侵入的防范能力,降低信息数据被滥用、篡改和丢失的可能性,从而有效地控制风险。

2.抓好“三个环节”。一是抓好审前调查环节。通过有效的审前调查获取被审单位的战略目标、经营环境等其他相关经营数据,调查被审单位的信息系统及信息系统的运行情况,全面掌握被审单位的内部控制及所起的作用。二是抓好方案制定环节。通过制订周密的实施方案,明确审计目标,突出审计重点,确定对电子数据获取的途径、对电子数据的完整性和真实性进行检验的方式方法、对电子数据整理分析的方式方法,合理安排审计时间和审计力量,确保审计方案的全面、有效。三是抓好审计查证环节。通过建立电子数据交接记录加强电子数据获取环节的质量控制;通过建立电子数据检查记录,详实记录检验方法及结果;通过建立电子数据分析记录,详实记录分析过程、方法及结果;通过对记录文档和审计线索的复核,进一步发现审计数据中的错误和问题,确保审计证据的客观性、相关性、充分性和合法性。

3.提供“三项保障”。一是内部规章制度保障。首先,针对信息化环境中出现的各类综合问题,企业要不断出台具有可操作性的各项规章制度,包括对系统的设计与更改制度、系统管理与维护制度、电子数据的使用、储存、备份与更改制度等,使内部审计工作有法可依、有章可循,有效控制风险。其次,建立一整套适合本企业的审计评价体系,包括内部审计风险责任追究制度、内部审计风险奖励制度等,对被审计事项进行评价,统一内部审计执业规范。二是技术方法保障。信息化环境下,内审人员要充分利用计算机辅助审计技术、统筹运用符合性测试、实质性测试、分析性检查等方法开展风险评估工作;要充分学习和借鉴国外先进的技术方法,迅速提高内部审计的技术水平;要积极开展对审计技术方法的研究,最终建立科学化、规范化、智能化和系统化的审计技术方法体系,为有效防范和控制风险提供保障。三是人员素质保障。在信息化环境下,内审人员不仅要具备丰富的财务、管理、法律、审计知识和实践经验,同时还要掌握信息系统和网络方面的技术手段。内审人员不仅要会操作审计软件,而且要能根据需要编写出各种测试审查程序模块。企业要不断强化对内审人员的职业道德教育,加强业务培训,调整、改善内审人员的知识结构,提高处理业务的技术水平和应变能力,以不断适应信息化环境内部审计工作的需要,为降低风险提供人员素质的保障。

Carrying Out Risk Assessment and Control Measure over Enterprise Internal Audit under Information Environment

PAN Guohui
(Auditing Department,Shengli Oilfield,Dongying 257000,China)

Great changes have taken place in enterprise economic activities under information environment,therefore,internal audit work is faced with many new risks.Procedure and content of enterprise internal audit risk assessment include analyzing and assessing the enterprise strategic management risk,inherent risk and control risk,confirming and checking the risks, and determining the nature,time,and scope of the substantive procedures.Measures to strengthen the risk control to enterprise internal audit include strengthening the information system design and development stage,internal control and security risk control;paying attention to the pre-audit investigation,plan formulation and audit verification link;providing internal rules and regulations,technical methods and personnel quality assurance.

information environment;risk in internal audit;risk assessment;risk control

F239.45

A

1009-4326(2015)02-0096-03

(责任编辑 曹 远)

10.13600/j.cnki.jpsslof.issn.1009-4326.2015.02.022

2015-01-15

潘国辉(1982-),男,山东宁津人,胜利油田审计处胜中审计分处审计师。研究方向:财务审计。