浅谈信息化环境下内部审计风险的成因及对策
近几年来,国家局党组把狠抓整顿规范和加强内部监管作为解决行业“注重自律”的重要课题和净化行业发展内部环境的重要途径。作为加强内部监管手段之一的内部审计工作已越来越重要,已成为现代企业管理的重要手段,成为内部控制系统的重要内容。在计算机网络技术高速发展的今天,网络使传统的时空距离变得微不足道,许多企业会计信息的处理越来越数字化,与手工操作或单机运行下的会计信息的输入、传递、处理和输出有了很大差别。内部审计工作也将不再受物理距离和时间限制从实地审计转向异地的网络监控审计。这意味着网络环境带来了内部审计的全新革命,内部审计将出现根本性的变化,内部审计风险也随之扩大。
一、内部审计风险的表现形式
一般认为审计风险由固有风险、控制风险和检查风险组成。它们之间的关系是:审计风险=固有风险×控制风险×检查风险。从总体上来看,在计算机信息技术的广泛使用下,使得控制环境、内部控制人员、控制活动、信息与沟通、监控等控制风险均发生变化,审计人员对审计风险的控制难度加大,并且其控制措施也会与非网络系统下有所不同。具体表现为:
1、审计技术和方法的滞后
非网络系统中,内部审计所依据的信息是指形成审计证据的各种文字、数据以及电子计算机的磁带、磁盘、磁鼓等。这些信息主要来源于手工输入或键盘输入。在网络经济下,信息技术通过电子数据处理、网上交易、网上财务报告等方式改变着商业环境,对内部审计产生了深刻影响。一方面,电子商务的出现使无纸化成为现实,使交易在瞬间完成,如何加强对这种电子审计线索或无书面记录经济业务的审计,是审计工作今后面临的重大课题。另一方面审计人员缺乏对信息系统的全面认识和理解、审计证据的可靠性问题、审计信息技术本身的不熟悉性、以及审计人员对书面数据的依赖转换为电子数据的依赖。这大大削弱了非网络系统的输入控制,来源渠道的多样化,使审计线索也变得复杂而紊乱,加大了审计难度。同时,传统的内部审计方法很难用于网络环境下对被审计单位事前审计。这都需要大力研究网络经济下的审计技术和方法,如怎样利用信息技术进行审计、计算机辅助审计、审计抽样方法等。
2、信息系统对审计要求支持不够
在网络经济下,由于企业间的交易成本不断降低、人力资源不断优化、零库存可能实现,网上交易与日俱增。为此,不同软件商提出了其电子商务解决方案。如笔者单位应用的用友公司的“网络财务十Iwrp+CRM”财务软件,B/S业务系统软件。虽然其功能越来越强,结构越来越复杂,但对如何满足网络审计的要求考虑不够。不少系统没有提供标准的数据接口或者对数据结构不开放、数据库结构不规范、没能预留审计测试通道等。这为内部审计数据的自动转换、自动监测和留下审计线索带来了不少麻烦,增加了更多的检查风险。
3、内部审计独立性不强
经济越发展,网络越发达,审计越重要。内部审计部门具有相对的独立性,与外部审计相比,它更能从组织的全局和实际出发,更清醒地识别和评估风险,提出防范风险的建议。但内部审计的地位,决定了内部审计很难像社会审计一样有独立于被审计单位之外的一种中介地位。虽然内部审计机构代表所有者履行监督职能,具有权威性和独立性,但其实际工作和管理层总有千丝万缕的联系。管理层会以直接或间接的方式干预内部审计,内部审计有时只局限于本单位领导的管理工具,并体现领导的主观意志。同时,内部审计机构为了能顺利地完成自己的工作必须主动同管理层协调好关系。在这种利益牵制下,内部审计机构可能会失去独立性,使审计独立性受到一定的影响,这就为内部审计工作留下隐患,内审人员将承担较大风险。
4、网络安全风险
网络系统中资源的共享性和数据存取的灵活性,使整个系统的安全难以控制,尤其是用户的分散,数据安全控制等完全左右了控制风险和检查风险的水平。一、是网络传输和数据存储故障或软件的不完善,使会计数据出现异常错误的可能性,直接导致审计线索和审计证据的丢失,以及审计所需信息被窃取或篡改,甚至审计工作无法正常进行。二、是电子会计信息容易受到诸如网络故障、计算机病毒、黑客袭击和非法入侵等潜在的威胁。严重影响了会计信息和审计证据的可靠性和安全性,导致审计资料不真实,会使审计人员作出错误的审计报告和审计结论,审计风险更为加大。
二、控制和防范审计风险的几点建议
内部审计风险是客观存在的,是无法消除的,因而内部审计的核心应是风险管理,从企业所处的外部环境、经营方式和管理机制等内外部各个方面来分析评估审计的风险水平,并把风险意识贯穿到审计的全过程,采取措施避免不必要的风险,减少固有的职业风险。
1、完善有关计算机审计的标准和准则
目前审计标准和准则有:国际会计师协会于1984年公布的《国际审计准则15电子数据处理环境下的审计》和《国际审计准则16计算机辅助审计技术》、1996年审计署发布的《审计机关计算机辅助审计方法》、1999年施行的中国独立审计具体准则第20号《计算机信息系统环境下的审计》等。面对日益发展的计算机审计,人们以前建立的各种计算机审计准则,有的已不适合要求,需要针对新的形势制定相应的工作标准。完善有关计算机审计标准和准则,建立一系列与新情况相适应的审计准则,它包括系统设计、开发、运行、维护等标准,以及相适应的内部控制制度,来规范计算机审计业务的发展,将审计风险降低到可以接受的水平。
2、加强内部控制审计
内部控制审计的目的是合理地保证企业遵守国家有关法律法规和企业内部规章制度;信息的真实、可靠;资产的安全、完整;经济有效的使用资源,提高经济效率和经营效果等目标。会计电算化与它的内部控制系统是相互作用和相互影响的。审计人员应选择适当的评价标准,实施适当的审查程序,以评价被审计单位的控制环境;评价企业风险管理机制的健全性和有效性;评价控制活动的适当性、合法性、有效性,控制活动对风险的识别和规避;评价企业获取及处理信息的能力,信息传递渠道的便捷与畅通,管理信息系统的安全可靠性。内部审计人员可以采用文字描述、调查问卷、流程图等方法对内部控制进行描述和评价。内部审计人员应向企业的管理层报告内部控制的审计结果。审计报告应说明审查和评价内部控制的目的、范围、审计结论、审计决定及对改善内部控制的建议。
3、积极开发和使用审计软件
随着会计电算化的普及,网络化的不断升级,审计的难度也越来越大,迫切需要开发和使用优秀的审计软件,在保证电子证据安全性的前提下,建立一个审计工作专用的计算机平台。通过建立审计系统与财务系统接口软件,能够容易访问被审计单位不同介质、不同编码、不同数据库类型的数据,从中采集审计所需的原始数据,实现网络资源的共享。此外,还要注意分析性系统审计软件的开发。随着计算机审计目标的不断扩大,仅仅具有查账功能的传统审计,将远远不能满足计算机审计的要求。未来的计算机审计将向分析型方向发展,在对磁性数据文件内容进行真实性和合法性审计的基础上,通过建立适当的审计模型,对各种经济指标进行定量的分析与评价。不但可以促进审计项目的规范化,而且能够使计算机辅助审计工作更加智能化,大大提高审计工作的效率和质量,有效地控制和降低审计风险。
4、合理配置审计人员
根据国家现代信息化建设的发展,要采取数据式的系统基础审计法。即对审计对象信息系统、内部控制、电子数据这三个方面进行直接的审计。核心是进行数据分析,将原始的数据直接转化为各种有用的审计信息,然后再产生审计报告。这样审计,需要审计人员具备计算机专家、业务专家和审计专家的资格。只有这三个方面非常精通,才能实行数据式系统审计。这就要求内部审计人员一是要加强学习培训。一方面通过多种形式,学习专业知识和审计技能,学习国家财经法规和企业内部管理规定,提高综合素质,保持独立公正的态度。另一方面加强对在岗审计人员计算机应用能力的培训,不断扩展和更新他们现有的计算机知识,以适应会计电算化审计的需要;二是应建立严格的内部审计人员聘用机制,挑选的人员必须具备高尚的道德理想、道德观念以及良好的职业态度和职业道德风范等,并对新聘用者进行适当的培训和监督指导,培养其风险管理意识和职业谨慎态度,从进人关上为防范审计风险打好基础。三是建立完善内部审计回避制度和定期轮换制度。严格按照内部审计工作规定和职业道德规范开展工作,妥善处理好内部审计人员与亲友的关系,赋予内部审计机构相关的权力,保持审计人员精神上的独立,实行定期轮换,保持审计的客观公正性。
5、内部审计外部化
内部审计在现代企业中已逐渐被纳入战略管理的轨道,并为实现组织目标发挥积极作用。20世纪90年代以来,基于资源能力的分析和西方企业对内部组织机构的调整和重构,加上“四大”的极力推动,使内部审计外部化在西方越来越普遍。据有关资料披露,在美国企业界,实行内部审计外部化的企业已占到20%以上,在汽车、电子、航空、化工、信息等行业已超过50%。内部审计外部化已逐渐成为一种趋势,许多理论工作者也极力主张内审外部化。
内审外部化是指审计业务由企业外部的民间审计组织全部或部分承担,主要有外包与合作两种形式。前者指企业将其内部审计工作全部或大部分外包给外部审计组织,后者指企业在开展内部审计工作时,根据需要借助外部审计力量,共同完成内部审计工作。像国家局去年聘请审计事务所进行行业同级审计就是是典型的内部审计外部化。
内部审计外部化具有一系列优点,首先可以提高内部审计的独立性。外部审计工作一般都是由注册会计师领导完成,它们独立于企业的所有者和经营者,有一套保证审计准则受到遵循的机制,从而能够客观公正地对企业的财务状况进行审计并报告审计结果。其次为企业降低成本。主要表现在节约招募、培训费用和维持成本,节约开发软件的成本,以及降低雇佣成本等等。再次外聘事务所从整体而言具有比较高的专业化程度,拥有丰富的经验和广阔的知识,可以提高和稳定审计质量。
6、内部审计创新
审计创新是网络技术发展条件下审计赖以生存的基础。随着现代企业制度的完善,以“查错纠弊,堵塞漏洞”为主要目标的传统内部审计,已远远不能适应现代经济体制的要求。内部审计如果不能对迅速变化的环境做出及时的反映,存在改变的滞后,就会面临地位下降、衰落甚至被忽视的风险。
在审计思路上,要努力实现由传统内部审计向现代内部审计的转变,从事后审计向事前事中审计转变;在审计模式上,应探索构建从风险分析入手确定审计目标、范围和程序,以监督和评价财务状况、经营成果以及风险管理、内部控制和公司治理能力为审计成果,从以财务收支为主的审计,向以管理信息化和计算机审计为技术支撑的效益审计、管理审计转变;在审计目的上,从重视审计的独立性、权威性和强调审计监督,转为强调审计为企业服务,帮助企业实现其目标;在审计内容上,由财务控制向业务控制和信息系统转变,以审计经营活动为起点,以审计内部控制为主线,以审计会计核算、财务表现为终点,全面覆盖企业营运活动;在审计行为上,从不规范的随意性,向规范化、系统化和科学化方向转变。(作者单位:鄂州市烟草公司)
一、内部审计风险的表现形式
一般认为审计风险由固有风险、控制风险和检查风险组成。它们之间的关系是:审计风险=固有风险×控制风险×检查风险。从总体上来看,在计算机信息技术的广泛使用下,使得控制环境、内部控制人员、控制活动、信息与沟通、监控等控制风险均发生变化,审计人员对审计风险的控制难度加大,并且其控制措施也会与非网络系统下有所不同。具体表现为:
1、审计技术和方法的滞后
非网络系统中,内部审计所依据的信息是指形成审计证据的各种文字、数据以及电子计算机的磁带、磁盘、磁鼓等。这些信息主要来源于手工输入或键盘输入。在网络经济下,信息技术通过电子数据处理、网上交易、网上财务报告等方式改变着商业环境,对内部审计产生了深刻影响。一方面,电子商务的出现使无纸化成为现实,使交易在瞬间完成,如何加强对这种电子审计线索或无书面记录经济业务的审计,是审计工作今后面临的重大课题。另一方面审计人员缺乏对信息系统的全面认识和理解、审计证据的可靠性问题、审计信息技术本身的不熟悉性、以及审计人员对书面数据的依赖转换为电子数据的依赖。这大大削弱了非网络系统的输入控制,来源渠道的多样化,使审计线索也变得复杂而紊乱,加大了审计难度。同时,传统的内部审计方法很难用于网络环境下对被审计单位事前审计。这都需要大力研究网络经济下的审计技术和方法,如怎样利用信息技术进行审计、计算机辅助审计、审计抽样方法等。
2、信息系统对审计要求支持不够
在网络经济下,由于企业间的交易成本不断降低、人力资源不断优化、零库存可能实现,网上交易与日俱增。为此,不同软件商提出了其电子商务解决方案。如笔者单位应用的用友公司的“网络财务十Iwrp+CRM”财务软件,B/S业务系统软件。虽然其功能越来越强,结构越来越复杂,但对如何满足网络审计的要求考虑不够。不少系统没有提供标准的数据接口或者对数据结构不开放、数据库结构不规范、没能预留审计测试通道等。这为内部审计数据的自动转换、自动监测和留下审计线索带来了不少麻烦,增加了更多的检查风险。
3、内部审计独立性不强
经济越发展,网络越发达,审计越重要。内部审计部门具有相对的独立性,与外部审计相比,它更能从组织的全局和实际出发,更清醒地识别和评估风险,提出防范风险的建议。但内部审计的地位,决定了内部审计很难像社会审计一样有独立于被审计单位之外的一种中介地位。虽然内部审计机构代表所有者履行监督职能,具有权威性和独立性,但其实际工作和管理层总有千丝万缕的联系。管理层会以直接或间接的方式干预内部审计,内部审计有时只局限于本单位领导的管理工具,并体现领导的主观意志。同时,内部审计机构为了能顺利地完成自己的工作必须主动同管理层协调好关系。在这种利益牵制下,内部审计机构可能会失去独立性,使审计独立性受到一定的影响,这就为内部审计工作留下隐患,内审人员将承担较大风险。
4、网络安全风险
网络系统中资源的共享性和数据存取的灵活性,使整个系统的安全难以控制,尤其是用户的分散,数据安全控制等完全左右了控制风险和检查风险的水平。一、是网络传输和数据存储故障或软件的不完善,使会计数据出现异常错误的可能性,直接导致审计线索和审计证据的丢失,以及审计所需信息被窃取或篡改,甚至审计工作无法正常进行。二、是电子会计信息容易受到诸如网络故障、计算机病毒、黑客袭击和非法入侵等潜在的威胁。严重影响了会计信息和审计证据的可靠性和安全性,导致审计资料不真实,会使审计人员作出错误的审计报告和审计结论,审计风险更为加大。
二、控制和防范审计风险的几点建议
内部审计风险是客观存在的,是无法消除的,因而内部审计的核心应是风险管理,从企业所处的外部环境、经营方式和管理机制等内外部各个方面来分析评估审计的风险水平,并把风险意识贯穿到审计的全过程,采取措施避免不必要的风险,减少固有的职业风险。
1、完善有关计算机审计的标准和准则
目前审计标准和准则有:国际会计师协会于1984年公布的《国际审计准则15电子数据处理环境下的审计》和《国际审计准则16计算机辅助审计技术》、1996年审计署发布的《审计机关计算机辅助审计方法》、1999年施行的中国独立审计具体准则第20号《计算机信息系统环境下的审计》等。面对日益发展的计算机审计,人们以前建立的各种计算机审计准则,有的已不适合要求,需要针对新的形势制定相应的工作标准。完善有关计算机审计标准和准则,建立一系列与新情况相适应的审计准则,它包括系统设计、开发、运行、维护等标准,以及相适应的内部控制制度,来规范计算机审计业务的发展,将审计风险降低到可以接受的水平。
2、加强内部控制审计
内部控制审计的目的是合理地保证企业遵守国家有关法律法规和企业内部规章制度;信息的真实、可靠;资产的安全、完整;经济有效的使用资源,提高经济效率和经营效果等目标。会计电算化与它的内部控制系统是相互作用和相互影响的。审计人员应选择适当的评价标准,实施适当的审查程序,以评价被审计单位的控制环境;评价企业风险管理机制的健全性和有效性;评价控制活动的适当性、合法性、有效性,控制活动对风险的识别和规避;评价企业获取及处理信息的能力,信息传递渠道的便捷与畅通,管理信息系统的安全可靠性。内部审计人员可以采用文字描述、调查问卷、流程图等方法对内部控制进行描述和评价。内部审计人员应向企业的管理层报告内部控制的审计结果。审计报告应说明审查和评价内部控制的目的、范围、审计结论、审计决定及对改善内部控制的建议。
3、积极开发和使用审计软件
随着会计电算化的普及,网络化的不断升级,审计的难度也越来越大,迫切需要开发和使用优秀的审计软件,在保证电子证据安全性的前提下,建立一个审计工作专用的计算机平台。通过建立审计系统与财务系统接口软件,能够容易访问被审计单位不同介质、不同编码、不同数据库类型的数据,从中采集审计所需的原始数据,实现网络资源的共享。此外,还要注意分析性系统审计软件的开发。随着计算机审计目标的不断扩大,仅仅具有查账功能的传统审计,将远远不能满足计算机审计的要求。未来的计算机审计将向分析型方向发展,在对磁性数据文件内容进行真实性和合法性审计的基础上,通过建立适当的审计模型,对各种经济指标进行定量的分析与评价。不但可以促进审计项目的规范化,而且能够使计算机辅助审计工作更加智能化,大大提高审计工作的效率和质量,有效地控制和降低审计风险。
4、合理配置审计人员
根据国家现代信息化建设的发展,要采取数据式的系统基础审计法。即对审计对象信息系统、内部控制、电子数据这三个方面进行直接的审计。核心是进行数据分析,将原始的数据直接转化为各种有用的审计信息,然后再产生审计报告。这样审计,需要审计人员具备计算机专家、业务专家和审计专家的资格。只有这三个方面非常精通,才能实行数据式系统审计。这就要求内部审计人员一是要加强学习培训。一方面通过多种形式,学习专业知识和审计技能,学习国家财经法规和企业内部管理规定,提高综合素质,保持独立公正的态度。另一方面加强对在岗审计人员计算机应用能力的培训,不断扩展和更新他们现有的计算机知识,以适应会计电算化审计的需要;二是应建立严格的内部审计人员聘用机制,挑选的人员必须具备高尚的道德理想、道德观念以及良好的职业态度和职业道德风范等,并对新聘用者进行适当的培训和监督指导,培养其风险管理意识和职业谨慎态度,从进人关上为防范审计风险打好基础。三是建立完善内部审计回避制度和定期轮换制度。严格按照内部审计工作规定和职业道德规范开展工作,妥善处理好内部审计人员与亲友的关系,赋予内部审计机构相关的权力,保持审计人员精神上的独立,实行定期轮换,保持审计的客观公正性。
5、内部审计外部化
内部审计在现代企业中已逐渐被纳入战略管理的轨道,并为实现组织目标发挥积极作用。20世纪90年代以来,基于资源能力的分析和西方企业对内部组织机构的调整和重构,加上“四大”的极力推动,使内部审计外部化在西方越来越普遍。据有关资料披露,在美国企业界,实行内部审计外部化的企业已占到20%以上,在汽车、电子、航空、化工、信息等行业已超过50%。内部审计外部化已逐渐成为一种趋势,许多理论工作者也极力主张内审外部化。
内审外部化是指审计业务由企业外部的民间审计组织全部或部分承担,主要有外包与合作两种形式。前者指企业将其内部审计工作全部或大部分外包给外部审计组织,后者指企业在开展内部审计工作时,根据需要借助外部审计力量,共同完成内部审计工作。像国家局去年聘请审计事务所进行行业同级审计就是是典型的内部审计外部化。
内部审计外部化具有一系列优点,首先可以提高内部审计的独立性。外部审计工作一般都是由注册会计师领导完成,它们独立于企业的所有者和经营者,有一套保证审计准则受到遵循的机制,从而能够客观公正地对企业的财务状况进行审计并报告审计结果。其次为企业降低成本。主要表现在节约招募、培训费用和维持成本,节约开发软件的成本,以及降低雇佣成本等等。再次外聘事务所从整体而言具有比较高的专业化程度,拥有丰富的经验和广阔的知识,可以提高和稳定审计质量。
6、内部审计创新
审计创新是网络技术发展条件下审计赖以生存的基础。随着现代企业制度的完善,以“查错纠弊,堵塞漏洞”为主要目标的传统内部审计,已远远不能适应现代经济体制的要求。内部审计如果不能对迅速变化的环境做出及时的反映,存在改变的滞后,就会面临地位下降、衰落甚至被忽视的风险。
在审计思路上,要努力实现由传统内部审计向现代内部审计的转变,从事后审计向事前事中审计转变;在审计模式上,应探索构建从风险分析入手确定审计目标、范围和程序,以监督和评价财务状况、经营成果以及风险管理、内部控制和公司治理能力为审计成果,从以财务收支为主的审计,向以管理信息化和计算机审计为技术支撑的效益审计、管理审计转变;在审计目的上,从重视审计的独立性、权威性和强调审计监督,转为强调审计为企业服务,帮助企业实现其目标;在审计内容上,由财务控制向业务控制和信息系统转变,以审计经营活动为起点,以审计内部控制为主线,以审计会计核算、财务表现为终点,全面覆盖企业营运活动;在审计行为上,从不规范的随意性,向规范化、系统化和科学化方向转变。(作者单位:鄂州市烟草公司)
版权声明:
1.十号范文网的资料来自互联网以及用户的投稿,用于非商业性学习目的免费阅览。
2.《浅谈信息化环境下内部审计风险的成因及对策》一文的著作权归原作者所有,仅供学习参考,转载或引用时请保留版权信息。
3.如果本网所转载内容不慎侵犯了您的权益,请联系我们,我们将会及时删除。
本栏目阅读排行
栏目最新
- 1在农民收入调查工作动员培训会上讲话
- 22024年领导干部政治素质自评材料(完整)
- 3公司党委党建工作总结报告【完整版】
- 42024年主题教育党建调研开展情况总结
- 52024年度区妇联关于党建工作述职报告(完整)
- 6关于加强企业人才队伍建设调研与思考(完整文档)
- 72024县党员干部抓基层党建工作述职报告
- 8第二批主题教育研讨发言:时刻“以民为本”,听“实言实语”,办实事好事
- 92024关于党员干部法治信仰情况调研报告(2024年)
- 10局网络安全工作责任制落实自查报告(全文)
- 11XX国企分管领导关于党建设引领企业高质量发展研讨发言(范文推荐)
- 122024年第二批主题教育专题读书班研讨发言提纲(6)【完整版】