信息化环境下的内部审计风险及其控制
2015-09-19胡炜
文|胡炜
信息化环境下的内部审计风险及其控制
文|胡炜
21世纪是信息技术的时代,随着生产的自动化、贸易中的商务的普及、财务软件的广泛使用、以及支付手段的多样化,审计信息化将是21世纪的必然趋势。本文分析了目前我国信息环境之下内部审计的风险,以及对内部审计风险提出了若干控制建议。
随着信息时代的到来,以计算机技术和网络技术为代表的现代信息技术己经进入了社会生活的每一个角落,企业的经营管理模式逐步实现了网络化、数字化、虚拟化,审计环境发生了重大变化,审计风险趋于多样性、潜在性、持久性,更具有破坏性。因此,企业内部审计必须做好信息环境下的风险评估,防范和控制审计风险。
我国信息环境之下内部审计的风险
信息化内部控制的重要性还未得到充分认识。实行会计信息化后,手工会计系统下的一些内部控制措施就转移到了计算机内部,由计算机自动完成。这样,信息系统的内部控制措施就分为以组织措施为主的一般控制和以计算机系统程序控制为主的应用控制,并且控制的方式由人工控制转变为计算机控制为主、并与人工控制相结合。由于数据处理集中进行,导致职责合并严重,会计人员大大减少,从而使一些不相容职务得不到分离,这就有可能使他们在未经授权批准的情况下,直接对使用中的程序和数据库进行修改和操作处理,从而使会计数据的准确性和安全性受到威胁。
输入和输出控制存在缺陷。信息化环境下,程序与数据存储在一起,数据的输入与输出形式与手工会计系统也大不相同。数据的输入可能缺乏充分可靠的纪录,未经确认没有附件的数据亦可能被输入系统内,造成输出信息的失真;在输出方面,往往依靠电子计算机访问存储在磁性介质中的数据。而存取或改动数据的命令和程序又集中在同一装置内,如果没有适当的控制,就很有可能未经批准擅自存取或改动数据。
数据处理和保存方面的潜在威胁。会计信息系统执行主体是计算机,如果计算机硬件系统出现故障或因停电等其他非人为因素,都将致使数据不能被处理,会计业务操作将无法进行。并且财务软件的质量和性能都会影响会计数据处理的准确及效率。由于会计信息化环境下数据资料的表现形式主要是打印的账表和存储在计算机的磁盘或外在软盘、光盘中的会计数据,一旦这些磁性介质受高温、受潮、受磨损等而出现损坏,则其保存的数据将无法读取,如果没有做好相应的备份,将会严重影响到企业的会计工作。而且该磁性介质是以磁信号存储会计信息的,若数据被人为恶意修改而没被及时发现,那么其所提供的会计信息就失去了意义。
信息化环境内部审计风险的控制措施
强化风险意识,更新审计观念。内部审计人员要认识到审计风险是客观存在的,正确认识审计风险是内部审计自身发展的要求,也是市场经济发展的需要。内审人员要冲破传统审计思路和方法的束缚,从思想上、观念上深入理解审计风险,在审计方法上引进目前最先进的以风险为导向的风险基础审计模式,以风险的分析与控制为出发点,以保证审计质量为前提,统筹运用各种审计方法,综合各种审计证据,以控制审计风险。
完善相关的内部控制制度。在信息环境下,如果被审计单位内控制度不完善,则可能会导致约束机制有失效,直接影响系统输出信息的真实和准确,从而增加了审计风险。为了保证信息技术手段在内部审计中更好的应用,需要制订和完善相关的内部控制制度,比如,内部审计部门开展的审计的权限、职责、内容、范围等要做出明确的规定;对其程序、方法,电子数据的取得要有可操作性的强制性规定;制订对内部审计部门和被审计单位具有约束力的审计相关规定。从管理制度上做好信息技术手段下内部审计工作的开展,有利于更好地发挥审计的作用,防范审计风险。
加快审计网络开发及制度建设,开发审计信息系统。西方国家广泛使用的模块化、嵌入式审计软件包,成功实现了与业务系统的无缝集成和同步运行,使对审计对象的持续、实时、动态监测成为现实,在防范和发现计算机舞弊方面有着不可替代的优势。我们国家也可以借鉴西方经验,通过审计网络信息系统的开发和建设,使内部审计人员随时捕捉信息,提供审计信息,防范审计风险。同时由于网络审计的对象、线索、方法、流程、结果等各方面相对于传统审计都发生了变化,以往的审计制度和规程对信息环境下内部审计的规定不是很全面,所以应加快建立一套符合自身发展特性的新的审计制度,如对网络审计人员的一般要求,网络安全可靠性评价标准,网络系统内部控制准则等,以指导网络审计工作实践的深入。
加强对审计人员的培训。信息化环境下的内部审计要求审计人员不仅要对审计系统的计算机硬件、软件和处理系统有充分的了解,还要对审计程序所必需的电子数据处理有足够的知识,审计人员既要懂网络知识,又要精通审计理论,同时还要熟悉网络审计软件的开发、设计、维护等。而现在社会上这样的人缺少,极大地阻碍了网络审计的发展。所以要使内部审计人员适应信息化的环境就必须学习网络审计方面的知识,扩展自己的知识面,并且在进行网络审计时候会向外部专业人员帮忙,提高审计质量,保证审计报告的真实性、公证性,从而降低内部审计风险。
总之,审计风险与审计的环境密切相关,审计环境变化必然导致审计风险随之变化。信息与网络技术对各行各业形成了巨大的冲击,使得内部审计面临着日益信息化的新环境,信息化环境也使得审计风险加大。所以,信息化环境下对内部审计人员提出了新要求,不仅要求审计人员是财务方面的专家,具有丰富的财务、管理、审计知识和实践经验,还要求审计人员对信息系统和网络方面的技术也有较高的掌握程度。内部审计人员不仅要会操作审计软件,而且要能根据被审计单位各种不同的操作系统,随时进行调整接口程序,以便将其中相关的电子数据导出、转换,形成审计需要的数据形式。
胜利石油管理局审计处)