改革開放以來,我國經濟的快速發展,大中型企業的業務量也在不斷攀升,在這樣的背景下,企業內部審計工作也變得更加繁瑣,如果不依靠信息化審計技術和方法來提高內部審計的效率,審計工作就會陷入“進得去,出不來”的被動局面。在內部審計信息化轉型的過程中,審計風險既有轉型過程中存在的風險,也有信息化審計應用后呈現的新的風險,本文結合我國信息化審計建設的現狀,剖析出信息化審計中大中型企業內部審計面臨的審計風險,并提出一些規避風險的建議。
一、我國信息化審計建設現狀及信息化審計必要性分析
(一)我國信息化審計建設發展歷程和現狀1998年,審計署提出審計工作信息化建設的經驗。2002年,國家計委(現稱國家發展和改革委員會)批準審計署關于審計信息化工程(金審工程)的申請,我國審計信息化工作正式啟動。2005年審計署編制《全國審計信息化發展第十一個五年規劃綱要》,指出了十一五時期審計信息化目標和六項建設任務。2007年金審工程二期審計數據規劃研討會在京召開。會議討論了金審工程二期即將啟動國家審計數據中心的建設。金審工程二期項目的規劃設計,將重點開展對需要經常性審計且關系國計民生的重要部門和行業實施聯網審計,建設國家審計數據中心,逐步實現審計系統和國家電子政務之間、中國政府審計和國際 IT審計之間的信息共享。2008年用友審計推出系列審計軟件產品,可針對審計對象“重點資金、重要領域、重要部門”的大規模待“審計業務數據”進行海量數據分析工作,實現對整個企業資源的全面檢測與自動預警,使傳統的財務收支審計向全面數據式審計發展。金審一期、二期工程實施以來,按照國家治理在信息化建設方面的總體規劃,我國信息化審計初步建立了五大應用系統和信息化建設設施,為履行審計監督職能發揮了積極的促進作用。雖然近年來我國信息化審計取得了很大的發展,但是仍然存在一些不足之處,這主要表現在以下幾點:1. 缺乏比較具體的準則和標準在當前審計對象日益信息化的背景下,企業內部審計的線索、審計內容和審計技術等當面都發生了巨大的變化,而用來約束和規范工作的配套的準則和標準,尤其是適用于行業的準則和標準還處于探索階段,企業審計人員在應用信息化審計的過程中尚無具體的標準可以執行。2. 企業內部審計信息化建設過程中硬件與軟件不匹配隨著信息技術的不斷發展,計算機硬件發展較快,各企業硬件資源配置已經達到了較高水平,但因為各種原因,審計軟件的開發和推廣應用不能與相應的硬件相匹配,一些審計軟件與企業相應的軟件不配套,軟件設計時未能充分考慮企業的實際需求。3. 審計人員整體上利用計算機審計的能力不足近年來,審計機關培養了一大批計算機審計人員,他們雖然掌握了一定的計算機基礎知識和審計軟件的操作技能,但解決審計中遇到的計算機專業問題能力不強,還離不開計算機專業人員的協助。
(二)企業內部審計信息化的必要性本文主要從內部審計自身發展趨勢、內部審計對象的發展來說明企業內部審計信息化建設的必要性。1. 現階段內部審計自身發展目標和方向的客觀需要根據2003年我國審計署發布的《審計署關于內部審計工作的規定》,內部審計被定義為:使獨立監督和評價本單位及所屬單位財政開支、財務開支、經濟活動真實、合法和效益的行為,以促進加強經濟管理和經濟目標。這個定義標志著我國內部審計的范圍和對象的延伸,從傳統的財務審計擴展到企業經營管理、風險規避和控制、企業經濟效益的各個環節。中國內部審計師協會五年規劃中明確提出,內部審計要實現從財務審計為主向財務審計和管理效益審計并重的全面轉型和發展。信息化審計既是實現這項規劃的重要的組成部分,又為實現這個目標提供有力的技術手段。2. 內部審計對象不斷發展、變化需要相應信息化審計與之對接隨著我國經濟的不斷增長,大中型企業業務量成倍增長,傳統的手工審計方式已經無法應對不斷增長的業務量,在這種背景下只有通過信息化審計提高審計效率,才能保證企業內部審計的工作質量。進入二十一世紀以來,信息技術和互聯網的普及,社會信息化程度不斷提高,企業的各項業務越來越多的用到計算機系統來處理日常的業務,企業的很多單據,憑證甚至賬簿以電子數據的形式來存儲,如果內部審計依然采用傳統的手痛審計方式,將無法與企業日益信息化的各種系統相對接,內部審計工作也不易開展。因此,審計對象信息化也迫使企業內部審計必須向信息化審計轉變。綜上所述,一方面,實施信息化審計是現階段內部審計的必然要求,另一方面,我國信息化審計的發展又存在不少不足之處。在信息化審計建設的過度階段,企業內部審計既由傳統審計固有的風險,也有信息化審計建設過程中新呈現出來的各種風險,因此,對企業內部審計信息化過程中產生的各類審計風險關注和研究是十分必要的。
二、信息化審計風險探究企業在進行信息化審計建設過程中可能存在的風險很多,但是總的來說可以從兩個方面來歸納分析這些風險。一是從企業信息系統和審計信息系統由于設計問題,所帶來的本身固有風險;二是在進行信息化審計過程中,審計數據的采集、轉化和處理的過程中帶來的風險。
(一)企業信息系統和審計信息系統導致的信息化審計風險信息系統的風險可以定義為:特定的威脅或者利用系統資產的脆弱性而導致系統資源或者數據損失或者傷害的可能性。企業信息系統的風險主要來自信息系統的脆弱性,由脆弱性引起對系統的威脅,從而導致系統資源發生威脅,這種威脅就有概率轉化為信息系統的風險。信息系統的脆弱性和弱點是信息系統風險的來源,這主要包括技術方面的脆弱性和管理方面的脆弱性。技術方面的脆弱性主要由數據的高速處理、數據的不可見性、信息集中、網絡存取、非法攻擊等方面引發。由于計算機對大量數據進行高速處理,因此要對輸出的正確性進行一件件的跟蹤確認是很困難的;同時發現差錯時找出原因并修正數據也很困難,需要花費大量的人力與時間。數據的不可見性導致對數據的篡改等也是不可見的。信息集中的結果使得大量數據集中在信息中心,若信息中心被破壞,受到的損失必將是非常巨大的。網絡存取和非法攻擊隨時都有數據或信息被盜取及被破壞的可能性,計算機本身無法識別進行不同的操作,這給信息系統帶來特別大的威脅。管理方面的脆弱性主要表現在內部控制制度的缺乏和不健全,監督功能不完善,從而引發信息系統的各種威脅。另外,信息系統的實現具有對外部人員的不可見性,這雖然是信息系統本身的一個優點,但是它使得當信息系統出現問題時,應用人員發現和修正這些問題都相當的困難。這也是信息系統脆弱性的一個表現。惡意的篡改或者掩飾數據屬于審計信息化風險中采集、轉化和處理過程中產生的風險,而不是系統本身的風險。在信息化的背景下,被審計對象的財務數據和業務數據的存儲常常以服務器和數據庫的形式進行,內部審計人員審計的內容不再僅僅是賬套、報表等,而又可能是針對各種數據的審計,這些數據的處理過程通常用由軟件自動完成,而基于企業信息系統技術方面和管理方面的脆弱性,部分數據在這些自動處理的過程中產生誤差,從而導致審計風險。
(二)審計數據的采集、轉化和處理的過程中帶來的風險這類風險主要是審計過程中人為導致的。一方面是審計對象蓄意修改、掩飾數據產生的風險,另一方面是由于內部審計人員未能正確的使用審計系統獲取原始數據或者未能對采集的數據正確分析帶來的風險。1. 企業信息系統的控制風險在信息化系統建設的過程中,被審計單位由于職位分工的相互制約機制的失效,信息系統數據的輸入、核對、維護、系統管理的權限不能相互分離,從而導致信息系統程序被修改,數據被修改或者掩飾等舞弊現象,企業內部控制失靈,從而大大增加了信息化審計風險。2. 系統數據采集風險信息化審計的環境下,內部審計通常以采集被審計對象原始的數據開始,在數據采集過程中,獲取原始數據不真實、不完整的風險的原因主要有兩點,一是被審計單位的信息系統可能本身存在漏洞,系統中的數據與真實數據會有較大差異,這個原因在上文中已做過深入的闡述;另一個原因是:由于審計人員自身的原因,未能采用正確的數據采集方法,從而導致內部審計采集到的原始數據與實際數據有偏差,或者最終導致審計風險產生。這些偏差表現在:①數據采集的完整性、可靠性和安全性不能保證;②數據丟失或者數據出現錯誤③采集電子數據過程中未做好記錄,不能保證數據的合法性3. 系統原始數據轉化和分析的風險內部審計人員采集到原始數據以后,需要對這些數據進行轉化和分析,在這個過程可能由于內部審計人員自身操作原因,導致轉化和處理后的數據出現錯誤,從而產生審計風險。這些錯誤表現在以下幾個方面:①由于審計人員對數據的錯誤分析,原數據無法識別或者未采集到被審計單位有用的信息;②由于不同系統之間的兼容性問題,轉化或者分析出的數據出現錯誤審計數據丟失,從而影響了電子數據的質量,也會導致審計人員對數據的分析結果;③數據轉換后進行分析時,如果系統存在邏輯的錯誤但系統本身未能發現,仍然能得出最后的分析結果,這樣的結果將會嚴重影響審計結果,給信息化審計帶來風險。
三、信息化審計風險應對的幾點建議信息化審計風險應對的建議總的來說分為宏觀方面對策和微觀方面的對策兩種,下文前三條主要從宏觀方面給出建議,后面三條則從微觀方面進行闡述信息化審計風險應對方法。
(一)加強企業信息化審計意識隨著計算機網絡的普及,審計對象、線索由原來的可見變為無形,違紀手段更加隱蔽,如不進行有效的監督,信息化審計風險可能會大大提供。要保證信息的真實可靠必須依靠先進的信息技術來改進審計手段,降低審計風險。它不僅改變了審計的手段、方法,更使審計工作發生了革命性的變化。只有增強這方面的緊迫感、危機感,下大力氣集中人力、物力、財力搞好這項工作,才能提高審計效率、審計質量,減少企業信息化審計的風險。
(二)培養專業型信息化審計人才信息化審計過程中的很多步驟需要專業的人對這些過程進行控制,通過這些有效的控制保證審計數據的真實有效,最終減少審計風險。但是在實際的信息化審計的過程中,大部分審計人員并不具備相應的信息化審計專業水平。因此,培養專業型的信息化審計人才是應對信息化審計風險的核心。要在短期內培養專業型的信息化審計人才是不太現實的,故可以暫時采取使用兩種知識類型的人員共同完成審計任務的方式。每個信息化審計項目都配備專業審計人員和專業技術人員,由兩種類型人員分別執行審計中的不同任務,同時也根據需要密切配合,這也是目前許多審計組織進行計算機輔助審計所采取的有效方式。但從長遠看,信息化審計人員仍應是兼具兩種知識的復合型人員,這些人才的獲得可以通過培養現有的審計人員,補充和豐富其技術方面的知識來得到;也可以由技術人員充實管理知識后獲得。
(三)建立有效的信息化審計標準和準則沒有標準和規范,所有的實踐活動只能停留在低水平上重復。傳統審計的依據是獨立審計準則,審計人員還受質量控制準則、職業道德準則及職業后續教育準則的制約。信息化審計的開展與實施同樣需要一套標準和執業指南,以及職業道德準則。通過這些信息化審計的標準和準則來規范審計過程,從而減少信息化審計過程中的風險。
(四)強化對信息系統本身安全性、正確性和可靠性審計強化對信息系統的審計是提高審計質量,防范信息化審計風險的重點。一是對信息系統的職責分離進行審查,從數據的輸入、審核、修改和維護等信息系統的各個方面的職責情況進行分析,檢查;二是對企業信息系統本身的防范能力進行審查,例如審查系統防范黑客入侵的能力;三是審查信息系統自動糾錯能力,防止在審計人員輸入錯誤的語句后,系統無法自動糾錯,生成錯誤的結果。
(五)強化對原始數據采集和分析轉化環節的控制首先,在原始數據的采集環節,審計人員應該謹慎選擇和使用數據采集的方法,最大程度的保證審計采集的原始證據的真實性;在數據的轉化環節,審計人員應該合理的選擇轉化方式,轉化過程中的各項操作應該以保證轉化后的數據不失真為基礎;最后,在數據分析的環節,審計人員應選用合適的分析方法,從多個角度對處理后的數據進行分析,在分析的基礎上找到審計突破點,同時保證分析結果的準確性,從而減少信息化審計的風險。
(六)采用電子數據分析與其他證據相結合審計方法采用這種方法可以有效避免因審計數據偏差而導致的審計風險。對電子數據的分析是找出線索發現問題的一種途徑,但是電子數據可能存在偏差,分析電子數據后,再結合其他的證據能夠既使分析結果更加的準確,提高審計效率,也能夠有效防范審計風險。(作者單位:連云港港口股份有限公司)
