摘要:信息化时代的到来给内部审计工作带来了巨大的影响,一方面提高了内部审计工作的效率,另一方面也增加了其审计风险。本文以现代风险审计模型为基础,对重大错报风险和检查风险进行分析,进而从树立信息化意识、建立审计信息系统、实行全过程审计、加强内部控制审计、创新审计技术和方法、提高人员素质等方面提出风险防范的相关措施。
关键词:信息化;内部审计;风险防范
随着信息技术的迅猛发展,信息系统在企事业单位的经济活动及日常管理中发挥着越来越重要的作用。在这一背景下,审计环境的变化,尤其是会计信息化的发展给内部审计带来了极大的挑战。随着被审计单位信息化程度的提高,内部审计所面临的风险也越来越复杂,如何控制和防范这些风险成为内部审计面临的新挑战。
一、信息化环境对内部审计的影响
信息化环境对内部审计的影响主要表现在两个方面,即对内部审计对象的影响和对内部审计工作自身的影响。
1.信息化环境对内部审计对象的影响
被审计单位的经济活动及其内部控制是内部审计的主要对象。在信息化环境下,一方面企事业单位的经济活动日趋复杂,另一方面网络技术、计算机技术被广泛应用到单位的经济管理活动和内部控制中,这都使审计对象变得越来越复杂。在信息化环境下,审计对象的信息载体已不再是传统的纸质凭证、账簿和报表,取而代之的是被存储在数据库、磁盘等介质中的电子数据。相比较于纸质资料而言,电子数据具有隐蔽性强、容易被篡改且难以留下审计线索等特点,这给内部审计工作带来了新的挑战。信息化环境下,内部审计的目标不再局限于传统审计模式下对经济活动本身的合法性和效益性的评价,对信息系统本身的安全性和可靠性的评价也理应成为内部审计的重要目标。审计目标的多元化必将带来审计范围的扩大化和复杂化。
2.信息化环境对内部审计工作自身的影响
在信息化背景下,大数据审概念、审计信息系统被广泛地应用到内部审计工作中来,给审计技术、审计方法和审计程序带来深远的影响。首先,在审计技术和审计方法方面,在检查、分析、函证、监盘等传统审计方法的基础上,大数据审计将得到广泛的应用和推广,以往繁杂的会计凭证、账簿、财务报表等资料的手工审核将被计算机审核和分析所替代,进而大大提高审计工作的效率。其次,在审计程序方面,增加了电子数据采集这一环节,而且这一环节直接影响着审计后续工作的开展。此外,在对审计人员素质要求方面,内部审计信息化要求审计人员不仅要熟悉会计、审计、法律、管理等方面的知识,而且要掌握计算机、网络、数据库等方面的专业技能。当然,我们必须认识到,信息化对审计工作自身的影响是一把“双刃剑”,在带来新的思路和机遇的同时,也必将带来新的风险和挑战。
二、信息化环境下的内部审计风险分析
1.重大错报风险
重大错报风险是指在实施内部审计工作之前,被审计单位的财务信息存在重大错报、漏报或经营管理存在重大弊端、漏洞的可能性。信息化环境下,重大错报风险主要表现为被审计单位的信息系统风险和控制风险。(1)信息系统风险。信息系统在为企事业单位的经济管理活动和内部控制提供便利的同时,其自身的风险也是不容忽视。一是系统设计风险,如果系统在设计上存在漏洞,程序就可能出现错误,而一旦程序出现问题,很可能导致之后生成的数据资料发生错误,而且这些错误是很难被发现的。二是数据输入风险,虽然信息系统的数据大多是计算机处理的结果,但绝大多数原始数据的输入还是要依靠人工来完成。在数据的手工录入过程中,就可能因为舞弊或者疏忽而导致录入错误,也可能原始数据的来源本身就有错误,这些缺乏可靠性的数据很可能误导审计人员的判断。数据是内部审计工作的基础。内部审计系统需要财务、资产、人事等数据,需要公共数据平台或者相关部门为内部审计预留数据接口,或为内部审计部门开通数据访问权限;不仅如此,人、财、物等各部门的信息化发展各不相同,数据的完整性、真实性、及时性不能保证,数据格式、标准不一致,整合数据存在困难。三是数据存储风险,在信息系统中,多数操作都是由计算机来执行的,数据处理结果也都存储在计算机硬盘中,一旦存储介质损坏,数据将无法读取。而且如果数据被人为修改,也不会留下痕迹,这样审计工作的开展带来了很大的困难。四是系统安全风险,在网络环境下,企业的信息系统很容易受到病毒的感染和黑客的攻击,进而容易造成数据的丢失。(2)控制风险。在信息化环境下,大部分传统的内部控制制度被程序所取代,并依赖于计算机进行处理。一方面在信息系统中,相关数据的输入、审核等权限设置不当,就会有人利用这一漏洞,对数据进行篡改,为个人谋取私利,从而导致内控失灵。另一方面,内部控制过多的依赖于信息系统,融于系统软件中,审计人员很难在有限的审计时间里实施审计程序,全面测试内部控制是否有效。
2.检查风险
检查风险不受重大错报风险的影响而独立存在于整个审计过程中,任何一个环节失误都可能导致检查风险的加剧。(1)审计信息系统风险。随着信息技术的不断发展,目前财务管理系统和其他业务管理系统的开发已经相对较为成熟,功能较为全面。而审计信息系统的发展却严重滞后于财务管理系统和其他业务管理系统,仍然处于起步阶段,远远没有达到成熟的水平,这对内部审计信息化建设来说是一个重大的挑战。目前审计信息系统在数据采集、转换与分析等方面还存在着不足。在系统开发过程中,技术人员对财务、审计业务不熟悉,不能准确了解审计用户需求,而审计人员对计算机、数据库等技术不了解,在某些情况下无法正确地表达其要求,这些都会导致审计系统某些功能不适用。审计信息系统风险具体表现在数据采集风险、数据转换风险和数据分析风险三个方面。在数据采集过程中,如果审计信息系统不能与被审计单位的数据平台进行对接,将无法采集到完整的数据;在数据转换过程中,如果审计系统提供的数据转换模板不适用,或者审计人员的计算机系统设置没有达到审计系统的要求,将很容易导致数据转换失败,甚至丢失数据;在数据分析过程中,执行分析的SQL语句的设置一旦出现错误,其运算结果将直接影响到审计质量。(2)审计技术风险。在信息化环境下,许多传统的审计技术方法已经相当落后,难以适用,而大数据审计给内部审计带来了新的价值。审计信息化是集单机与网络为一体的信息系统,除了传统的审计技术和方法外,更多的是采用计算机技术进行审计,对数据共享和资源统筹的要求大大提高了。如果仍采用传统的单机版审计技术手段,不能实现数据共享,势必会影响到审计效率,为内部审计埋下安全隐患。(3)审计人员风险。首先,内部审计人员的风险意识薄弱,对于信息化环境下审计风险没有足够的重视,忽略了极具隐蔽性的新审计风险,这必然会影响审计质量。其次,内部审计人员自身素质还有待提高,内部审计信息化要求审计人员不仅要具备财务、审计等专业知识,还需要掌握计算机技术、网络技术和数据库技术等专业技能。而目前大多数审计人员是财务、审计专业出身,缺乏计算机技能,这很可能影响审计工作的开展,导致检查风险的增加。
三、信息化环境下的内部审计风险防范措施
针对不同性质的审计风险,应采取不同的措施进行应对。对于可控风险,应当分析引发风险的原因,并采取相应的措施予以防范;对于不可控风险,也应当进行充分的分析和评估,以确定其对审计工作带来影响。信息化环境下内部审计风险的防范可以从以下方面进行考虑。
1.树立信息化意识,更新审计理念
传统的事后审计、现场审计等审计模式已很难满足信息化环境下的审计要求,信息化建设将直接关系到内部审计效率和质量的提高。尤其是伴随着会计信息化的飞速发展,内部审计人员必须要清醒地认识到审计信息化建设的重要性和紧迫性。审计信息化的发展受制于一个单位整体信息化的发展,单位领导应更新思想观念,树立信息化意识,逐步解决各部门信息化发展参差不齐和数据不能有效共享的问题。
2.建立并完善内部审计信息系统
要高度重视审计信息系统的开发和建设。一是在配备相应硬件设施的基础上,引进性能较好、功能相对齐全的审计软件,有条件的单位可以尝试自己开发审计软件。二是内部审计部门应充分利用网络资源,实现内部审计人员之间、审计部门与其他相关部门之间的资源共享。三是建立被审计单位基本情况管理数据库,将审计工作中取得的被审计单位的基本情况资料存储于数据库中,便于日后的查找与使用。四是建立审计档案的信息化管理数据库,在审计过程中,将收集和整理的审计工作底稿、审计报告及时录入数据库中。总之,审计信息系统建设是一个长期的过程,需要根据单位的实际情况,做好建设规划和各阶段的实施方案。
3.由事后审计向全过程审计转变
在传统的手工审计方式下,审计工作大部分为事后审计,而在信息化环境下,审计人员可以通过审计信息系统和数据共享平台的对接,及时采集相关数据并进行转换,利用软件对数据进行处理和分析,及时防止和发现问题。同时,借助网络平台,审计人员可以实现在线审计,随时对被审计单位的相关数据进行抽查审计,从而实现事后审计向事前、事中、事后的全过程审计的转变,进而提高审计效率和审计质量。
4.加强内部控制审计
信息化环境下,被审计单位内部控制的完善程度直接影响系统数据的真实性和可靠性,因此,内部控制制度的建立和完善是至关重要的。在一个人机互动的信息系统中,审计人员要判断被审计单位的信息系统及其输出的信息是否真实可靠,必须加强对被审计单位的内部控制审计。一方面应重点审核被审计单位人员权限、职责分工情况,以确定其能否提供有力的控制;另一方面审查被审计单位对其信息系统、程序、软件本身是否具备操作性强的规定,从完善制度上降低风险。
5.创新审计技术和方法
探索大数据审计,立足于财务数据,汇集各业务部门的各类业务数据,加以整合,建立数据分析平台,综合使用查询、统计、图表分析、经济技术指标分析等方法,进行大数据分析。将数据数审计与传统审计结合,探索新的审计技术,节约审计资源,提高审计效率。
6.提高审计人员的综合素质
信息化、大数据审计为审计提供了新的技术,但是审计人员的专业判断仍不可缺失,应充分发挥人的主观能动性。针对内部审计信息化对审计人员的要求,内部审计部门应加强对内部审计人员的培训,使其熟悉财务管理和会计核算、各业务部门的经济活动内容以及各业务管理具体流程,提高其计算机应用技术、数据库技术水平,增强内部审计人员的风险意识和风险分析与控制能力。
参考文献
1.唐广东,浅议做好新时代内部审计工作的对策.中国内部审计,2018(09).
2.丘少敏.基于信息化环境的企业内部审计风险防范.财经界,2018(04).
3.应晓霞.大数据时代审计信息化风险与应对策略研究.财会研究,2017(10).
4.王海兵.企业内部控制审计信息化风险与应对策略研究.会计之友,2015(09).
作者:刘珂 单位:中国石油大学(华东)审计处
