浅议信息化环境下内部控制的风险评估与控制
【摘要】 内部审计信息化是建立在现代信息化环境基础上,运用信息化技术和方法开展内部审计工作的方法。随着信息技术的广泛应用,面临的审计风险日趋严重和扩大化,对审计风险特别是信息技术环境下的审计风险的研究与控制,成为当前的一个极为重要的课题。本文通过对信息技术环境下审计风险的特点和成因进行分析,并提出新环境下防范审计风险的对策,以期对风险识别、理解并降低审计风险提供一些帮助。
【关键词】内部审计;信息化;风险;评估;控制
信息化环境下,对内部审计的要求内部审计信息化,是适应企业信息化要求之举。运用信息化技术和方法开展内部审计工作的方法。它既是一种技术手段,也是一种行之有效的管理方法,对于提高内审工作效率,降低审计成本,提升工作质量具有十分重要的意义,是确保内审工作质量不断提高的有效途径。信息化有利于内部审计发挥监督作用。在加大审计监督难度的同时,也为内部审计参与风险管理、实现过程监督提供了可能。比如将审计软件嵌入企业会计核算系统或者信息系统中,可以随时抽取数据,处理信息,做到实时在线监控、远程控制,从而防止部分经营管理者为完成考核目标或上级的其他要求,钻信息不对称的空子,粉饰业绩,调节利润,也是规范会计核算,客观反映经营成果的有力保证。再比如,利用审计软件进行投资分析,数据处理会更快,方法更科学,可有效防止重大投资决策失误造成的国有资产流失。形成了“制度制约+计算机制约”的管理模式,管理控制信息化、风险管理自动化向前推进了一大步。在信息化建设和发展的进程中,计算机舞弊现象的发生,也给计算机技术的应用带来了严峻的挑战,维护信息系统的安全和有效问题,日益成为信息化建设中关注的重点课题。目前各行业信息化趋势加速发展,在审计领域促使传统审计方法和技术作出相应的变革,特别是在知识更新发展较快的情况下,尤其突出不足。具体审计过程中往往仍然采用传统的审计方法实施审计,这无疑给审计工作带来了更多的风险。
本文讨论信息化环境下内部审计风险的评估 , 并提出控制风险的相应对策。
一、信息化环境下内部审计风险的成因
(一)内部审计机构的独立性不强。 内部审计机构是单位内部设置机构,在本单位负责人的领导下开展工作,为本单位实现经营目标服务。因此,内部审计的独立性受到制约,在审计过程中不可避免地受本单位的利益限制。一些单位内部审计机构和内部审计人员的地位不明确,对经理层的经济责任、经营行为缺乏有力的监督,不能有效保证审计机构和人员在组织上的独立性和在业务工作中的自主性和权威性,也就不能保证审计质量和规避审计风险。
(二)内部审计程序和方法的不足 。由于被审计单位的实际情况各不相同,审计目的不同,采用哪些审计程序和选用哪些审计方法才恰当并不容易确定。我国内审方法模式仍以账项基础审计方法为主,主要审计目的是"查错防弊",已不能适应当今复杂的经营环境。企业内部审计工作手段落后,不仅与国际内部审计存在明显差距,而且滞后于国内会计核算的发展。如目前计算机犯罪呈上升趋势,传统审计技术又主要适用于手工会计信息系统,内部审计机构缺乏计算机信息技术方面的专家,主要是使用传统的手工测试,因此增加了审计的难度,加大了审计风险。
1 、审计软件风险。 软件风险是指由于计算机审计软件本身在设计、制作过程中的缺陷等原因造成的风险。一是所使用的审计软件没有通过有关部门的评审,也没有进行使用前的试运行就匆忙投入使用,可能造成软件运行不稳定。二是随着会计软件的不断升级,而没有采取相应的升级措施,使其出现内部的审计核算方法与会计核算不一致的情况。同时会计软件的更新换代,增加了历史文件难以提取的可能性。对帐户或交易的重大实质性测试往往离不开企业的历史数据。由于软件版本的更新、平台的迁移,难以从往年帐套里提取这些历史数据,迫使审计人员不得不从浩如烟海的文档中收集整理历史数据。这不仅降低了审计效率,而且带来了更多的检查风险。三是在软件的开发过程中,一方面由于财会人员对计算机技术不够了解,尤其是对于开发工具更难以准确表达其需求;另一方面,技术人员对审计、会计业务不熟悉,没有全面、深刻了解用户要求,造成软件自身的不完善或审计计算、分析偏差。
2 、电子化会计数据存在被滥用、篡改和丢失的风险。 手工系统中,纸质介质上的信息易于辨认、追溯。而在计算机系统中,由于存贮介质的改变,一旦用户非法通过技术手段、非授权状态下,极易破坏和修改电子数据,且不留蛛丝马迹;计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也会造成实际数据与电子帐面数据不相符,增加了固有审计风险的可能性。
3 、电子数据存在易于减少或消失审计线索的风险。 手工系统中,会计处理的每一步都有文字记录和经手人签名,审计线索清晰;但在计算机系统中,从原始数据的录入到报表的自动生成,几乎勿需人工干预,传统的审计线索不复存在,为审计人员追查审计线索带来了极大困难。
4 、原始数据的录入存在错漏的风险。 计算机系统下,大量的记帐凭证仍靠人工录入,表面上机制帐、证、表的相互平衡,可能掩盖了人工录入的错漏。
5 、有意或无意使设置权限密码实现职责分工的约束机制有失效的风险。 手工系统下,通过建立岗位责任中心达到内部控制的目的。在计算机系统下,一是通过划分操作员的责任范围,设置权限和密码实现人员分工;二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于权限设置的重叠或跨责任中心越权设置,使这一控制措施有可能形同虚设。
6 、网络传输和数据存贮故障或软件的不完善,有使会计数据出现异常错误的风险。 手工系统下,这种风险几乎不存在;而在计算机系统下,这种风险难以通过有效的内控制度消除,必须靠先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的机率。就多数会计软件看,对数据录入的一致性和正确性控制,会计数据处理的安全性和连续性控制,软件设计还是比较慎密的。但对集成化程度较高的企业级管理软件,数据的共享性和一致性还不尽人意。
7 、内部控制主要依赖软件本身,增加了难以全面检查测试的风险。 手工系统下,对内部控制的测试看得见、摸得着;而在计算机系统下,内部控制融汇于软件之中,肉眼无法觉察,这就要求审计人员有必要设计一些正常有效的业务数据和一些例外业务数据(不完整的、无效的、不合理的、不合逻辑的),来检查测试软件的控制能力。由于多数审计人员不是电脑专家,要在有限的审计时间里设计面面俱到的测试数据是不现实的。为此,笔者认为对软件本身的审计检查可纳入软件开发或评审之中,审计人员在审计实务中,重点是测试数据的完整性以及操作权限的分配和应用情况。
(三)内部审计人员自身素质的影响
审计人员的素质包括从事审计需要的政策法规水平、专业知识、经验、技能、审计职业道德和工作责任。随着内部审计由财务领域向经营和管理领域扩展,审计机构在人员构成上也应该是多元化的,不仅要有懂财务及审计的人才,还应配备精通企业各项相关业务的专门人才。目前我国内部审计人员整体水平不高,综合素质较低,识别风险、判断正误的能力较差;缺乏计算机审计技能,不能适应新形势的需要;所有这些将给内部审计工作的质量、信誉带来负面影响,从而导致审计风险的出现。
二、内部审计风险的评估与控制
内部审计要更好地为企业自身服务,就应当结合本企业生产经营流程和行业管理特性,将内部审计的工作范围扩展到风险预警、风险评估、内控评价、结构测试和评估等各个领域,充分体现内部审计“为组织增加价值”这一重要作用,使内部审计工作充满活力。内部审计应当充分发挥自身情况较熟悉、取证方便的优势,大力开展审计调查,对组织中存在的带倾向性、普遍性的问题,特别是组织所面经营风险,进行经常性的调查、分析和评估、预测。采用动态的审计方式,及时弄清问题产生的原因或未来的发展方向,向企业管理层提出解决或防范问题再次发生的建议,或随时接受他们的咨询,以帮助改善风险管理,促进提高企业效益。
三、加强内审信息化风险防范,服务企业宏观经济决策
(一)健全内部审计制度,规范内部审计工作。
现在施行的内审法律法规是2003年5月1日由国家审计署发布的《审计署关于内部审计工作的规定》,实际工作中,可操作性不足,在某种程度上影响了审计结论的权威性。国家应抓紧制定、颁布内部审计法规和内部审计业务准则,以统一内部审计执业规范。内审机构应建立健全各项规章制度,完善内部质量控制体系,以保证审计质量,把审计风险降到最低程度,并严格执行各项内部审计制度,不断规范内部审计工作。
(二)借助外部力量的优势提高审计质量。
内部审计外包又称内部审计外部化,指企业将内部审计职能全部或部分地委托给会计师事务所或其他专业人员来实施。内部审计外部化最先是由安达信、安永、毕马威等全球知名的咨询机构提出的。上世纪90年代开始,内部审计外包引起了越来越多的关注,已经有为数不少的企业或事业单位实行内部审计外包。据国外调查资料显示,在美国和加拿大,内部审计外包的企业比例分别从1996年的21.5%和31.5%上升到2005年的38.0%和34.8%,这些企业遍布于各行各业;会计师事务所是独立的中介机构,会计师事务所的注册会计师长期从事鉴证业务,可以弥补内部审计的不足。另外,外部审计由于具有高度的超然独立性和客观性,能保证审计结果的客观性和公正性。外部审计独立于企业的所有者和经营者,站在一个客观公正的立场上对企业委托事项进行审计,其工作只对委托人负责,因此能够客观地报告审计结果。
(三)努力提高审计人员的审计风险意识和自身素质。
审计风险随时存在,要求审计人员在思想上高度重视,这样才能在实际中采取措施去发现风险,预防风险,降低风险。因此,审计人员应加强自身的学习,提高自身的综合素质。在实际工作中,针对各部门单位的具体情况,灵活机动的运用各种审计方法,积极探索新方法、新手段,具体问题具体分析,既要提高审计效率,又能保证审计质量,做到审计要透彻,结论要准确,评价要全面。同时,审计机关要适时的加强审计人员的后续教育,通过派出学习、举办培训班、组织论坛等方法进行系统的培训、学习,不断更新知识、更新观念,从根本上提高理论水平和专业知识,以适应日益发展的审计的需要。因此,提高审计人员的素质,对控制和防范审计风险,提高审计质量起着根本性作用。首先,必须改变目前的用人机制,使更多的优秀人才加入到内部审计行列中来;其次,加强审计人员职业道德建设。对于审计工作,不仅要考核业绩,还要评价诚信,避免因审计人员自身不洁导致审计结论失真而带来的风险。再次,要加强审计人员的业务培训,使他们能熟练掌握审计的基本知识、基本技能和基本方法,熟悉会计、经济管理、经济法规等相关知识,提高内审人员的审计查证能力,以适应新形势的需要。
(四)建立适宜的内部审计模式
内部审计机构作为单位内设机构,其独立性是相对的。要使内审实现其职能,发挥其作用,必须建立与之相适应的内部审计模式。从审计的独立性、有效性来讲,领导层次愈高,愈有保障。主要模式有:一是董事会领导的组织模式;二是由监事会领导的组织模式;三是由总经理领导的组织模式;四是由总会计师领导的组织模式;五是由主管财务的副总经理领导的组织模式。比较而言,由于董事会领导模式的领导层次较少,地位超脱,相对独立性最强。因此,这种模式应是现代企业中内部审计机构模式的最佳选择。
(五)降低信息化环境下内部审计操作风险。
1、大型系统数据库,如现在流行的ORACLE数据库,已经数据安全进行了周密考虑、通过用户组,角色概念的一如、数据库服务器,应用服务器分开,一旦发现非法的或有超越网络授权的操作行为,就会通过在线日志记录入侵者的登录用户名、IP地址、MAC地址、登录日期、时间等信息,并寻找到非法用户曾经潜入系统内部的痕迹。利用大型数据库管理系统开发的应用软件也能对登录系统的用户及其使用系统的情况进行一定的监控,如哪些用户使用了系统、进行了哪些操作、操作的次数、登录及退出系统时间等。审计人员可以实时检查系统存放这些信息的审计踪迹表和系统日志文件,充分利用这些线索。
2、完善软件的设计,降低减少或消失审计线索的可能性。一是完善操作日记的设计,只有打印存档后才允许删除;二是设置强制备份,如跨期操作必须做备份;三是取消反过帐、反结帐功能,设计报表与帐套数据的关联,并记录报表已打印的次数;四是非经授权不可擅自修改报表的取数公式。
3、改进数据录入技术,降低数据录入错误的可能性。一是设计磁性单据,尽量采取扫描录入;二是对重要的原始凭证,利用多媒体技术扫描压缩存盘,便于事后调阅;统一数据接口,便于审计数据采集,如我省电力系统采用的《AuditMIS中普审计管理平台》,在企业内部审计项目中行到广泛应用,效果良好,提高了审计效率和审计质量,使审计的内容更细化,有效地控制了审计风险,使检查风险降到最低。实际工作中,我们可以如下操作:一是检查被审计单位的权限设置,审查操作日志,发现疑点;二是检查被审单位的报表取数公式,重新生成一次并与被审计单位提供的比较;三是查阅销售的原始合同,或利用辅助审计软件整理汇总,并与电子帐面数据核对;四是检查帐实是否相符,这里既指传统意义上的帐实相符,也指计算机系统下各子系统之间的数据相符;五是检查凭证记录的真实性、资产及负债的合理性、期末交易的归属期、内部管理控制制度的完备性和会计政策的一贯性。
4、进行联网审计,审计部门与被审计单位进行网络互连后,在对被审计单位相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实、合法、效益进行适时、远程检查监督的行为称之为联网审计,联网审计的具体联网方式主要有两种:一是与集中会计核算、集中资金管理的数据大、集中的信息系统进行联网,可以称为大联网,例如审计机关对企业集团、行政事业单位结算中心的联网等;二是审计机关与被审计单位进行联网,可以称为点对点联网。从部门预算执行联网审计试点实践看,其联网方式有所不同,试点的地方审计机关采用大联网方式,审计署试行点对点联网方式。审计实践中还存在现场联网方式,即在现场审计中,临时组网进行一定范围的审计。开展联网审计,可以使审计工作从事后审计转变为事后审计与事中审计相结合,从静态审计转变为静态审计与动态审计相结合,从现场审计转变为现场审计与远程审计相结合。这些转变,能够使一些违纪违规问题被及时发现和纠正,能够在动态的监督中关注资金与项目的效益,能够及时、准确地为决策部门提供决策信息,从而提高审计质量,降低审计风险。在联网审计中可以进一步贯彻落实“全面审计、突出重点”的审计工作方针。在数据审计中,审计人员力图取得资料数据的工作思路与传统审计一致,同时还可以借助联网手段,更有效地取得、处理审计所需资料数据,这是在新的审计环境中对“突出重点”这一方针的落实。
【参考文献】:
[1]张恩岳,内部审计,管理出版社,1997.8.
[2]张金城,巧学计算机审计,中国审计出版社,1999.7.
[3]李庆,计算机信息系统环境下审计面临的问题与对策,中国注册会计师2000.
[4]《审计署提出信息化建设总体目标和构想》(2001-3-28)审计署办公厅.[责任编辑:张新雷]