淺談內部審計信息化建設

郭小金 王紅蘭

1999年美國信息工業協會給內部審計下了新的定義，“一種旨在增加組織價值和改善組織營運的獨立、客觀的確認和咨詢活動，它通過系統化、規范化的方法來評價和改善風險管理、內部控制和治理程序的效果，以幫助實現組織目標”。從定義中，我們可以看出現代內部審計中的內涵，以及現代內部審計所要達到的目標以及采取的方法。近幾年，隨著信息技術的飛速發展，信息技術在內部審計中的應用變得越來越廣泛，這不僅為內部審計的發展帶來了機遇同時也帶來了挑戰。并且，隨著信息技術在內部審計中的運用，審計技術、審計證據、審計環境、審計線索等因素相比以前都會發生一定的變化，而這種變化既可能為審計質量的提高、審計風險的降低帶來積極的影響也可能帶來消極的影響。因此，我們有必要認清內部審計信息化的發展現狀和趨勢，解決信息化進程中出現的問題，讓信息化形勢下的內部審計更好地為我國社會經濟的發展發揮保駕護航的功能。

一、信息化對內部審計的影響

1.對審計目標和范圍的影響。傳統的內部審計目標主要是對企業的各類業務和控制進行獨立性的評價，以確定是否遵循公認的方針和程序，是否符合既定的規定和標準，是否有效和經濟地使用了資源，是否在努力實現組織目標。信息化條件下的內部審計目標不僅包括了對企業經營活動的審查，還包括了對企業信息系統設計的合理性和應用的充分性進行審查。通過分析、控制和評價等活動，監督、評價企業對信息系統的使用和管理情況，健全內控機制，從根本上杜絕企業財務舞弊現象的發生，并在第一時間向企業的管理者提供與企業實際情況相適應的管理建議和對策，為實現企業高效的管理和提高企業的經營效率發揮重要的作用。

2.對審計職能的影響。在信息化條件下，內部審計的職能不僅僅局限于對企業財務狀況進行查錯糾弊，而更多地把工作的重心移到事前和事中的控制之上，并且進一步強調了內部審計的服務職能。內部審計的存在不僅僅是對已經發生的錯誤和舞弊進行懲罰，而更多的是為企業正常高效地運轉提供建議和指導，以及幫助企業規避潛在的風險。內部審計信息化使工作人員能夠站在更高的位置，更全面地了解企業的發展狀況，幫助企業發現和分析問題，進而提出解決問題的建議和意見，幫助企業實現自己的經營和財務目標。

3.對審計技術的影響。信息化使得企業內部審計的環境和相關因素發生了巨大的改變，從而使得內部審計技術相比較之前的技術也有了本質的區別。如果工作人員仍然利用查看、函證、詢問、重新計算等傳統的審計技術，有可能無法實現現代內部審計的目標，而對企業信息系統本身的審計也將無從談起。因此，現代內部審計人員在工作中要更多地借助計算機技術進行內部審計工作，不斷地開發適合本企業實際情況的內部審計軟件，及時地更新數據庫系統。計算機和網絡通信技術必然成為內部審計的主要技術。

4.對審計證據和審計線索的影響。審計線索是審計人員發現問題并揪出舞弊的突破口。在傳統的內部審計階段，因為主要的審計技術是詢問、查看、函證、重新計算等，因此審計證據主要存在于紙質材料上，由于證據載體的限制，容易造成證據的丟失與損壞。在信息化內部審計條件下，更多的審計證據被儲存在軟件、磁盤之上，這使得審計證據能夠更長久地得以保存。但是同時，由于存儲在軟件、磁盤之上，審計證據更容易被篡改，并且篡改之后不易被審計人員發現，而且由于審計證據的載體更加容易隱蔽，所以造成取得審計證據的難度也在增加。

5.對審計風險的影響。信息化對內部審計風險的影響是把“雙刃劍”。一方面由于信息系統的先進性和自動化，從而使得企業的經營管理更加穩定，消除了人員因素造成舞弊的可能性，從而降低了審計風險；另一方面，由于信息系統的復雜性和變化性，使得審計人員不具備完全掌握信息系統的能力或者是跟不上信息技術的發展，不能及時地發現信息系統在設計和運行中出現的問題和漏洞，因此無論是固有風險還是檢查風險都會相應地加大。

6.對審計獨立性的影響。在傳統內部審計下，技術因素對獨立性的影響一般比較小，但是在信息化條件下，由于審計人員要對本單位實施在線審計，審計軟件要與企業其他信息系統對接，這就離不開本單位信息系統的技術支持，加上審計軟件開發過程中對計算機等其他專業人員的依賴，這些因素都可能對審計的獨立性產生影響，進而影響審計人員的職業判斷。

二、當前我國企業內部審計信息化建設存在的問題

如果把對內部審計的理解僅僅停留在查找企業財務中出現的舞弊，那么內部審計信息化也只能是處于計算機輔助審計應用的層次上。因此，只有正確地理解內部審計的概念和重要性才能真正理解內部審計信息化的涵義。從現在內部審計信息化的發展狀況來看，缺乏完善的理論體系、制度和專業性人才，難以實現信息共享，容易造成內部審計信息化建設滯后于實務發展。

1.審計范圍的擴大、審計對象的復雜化對審計手段提出了挑戰。隨著信息化的推廣，紙質的審計證據在全部審計證據中所占的比重持續下降。由于現在的審計證據大都依托于軟件或者磁盤存在，因此，相比較傳統審計證據，現在的審計證據更具有隱蔽性，易被篡改。如果仍然采取傳統的審計手段方法，可能無法獲取充分適當的審計證據，無法將審計風險降低到可以接受的水平之內。并且在信息化的條件下，內部審計的目標不再僅僅局限于財務審計，而且擴大到管理審計上；內部審計不僅要對企業的財務狀況發表審計意見，更重要的是要對企業的經營管理提供建議，使企業能夠更有效率更經濟地進行生產經營活動。因此審計范圍的擴大也會對審計手段方法提出新的更高的要求。

2.內部審計人員的素質整體偏低，不足以應對信息化內部審計的要求。在信息化條件下，對內部審計人員的素質提出了更高的要求。在傳統內部審計中，內部審計人員不太注重對信息技術的學習，對計算機輔助審計技術掌握的能力也不是很高，這些都直接影響了內部審計信息化的進程。比如審計人員要對計算機信息系統設置的合理性和運行的有效性發表審計意見，必須利用計算機完成相關的查閱、比較、計算、分析程序。因此，如何掌握并運用新的審計技術和手段無疑成為內部審計人員工作中遇到的一個新問題。

3.審計理論和實務研究滯后，缺乏完整的理論體系。現階段內部審計信息化的工作重點主要集中在數據分析和信息系統安全分析兩個方面。在數據分析方面，主要是采取數據倉庫和多維分析技術等，對審計對象的數據庫系統進行分析；在信息系統安全分析方面，也提出了許多建設性的方法。雖然在這些技術方面取得了良好的結果，但是尚未形成完善的理論體系。

4.審計信息化建設滯后，信息資源很難共享。目前由于受到資金和技術的影響，許多企業在內部審計信息化建設的過程中遇到了很多瓶頸，發展步伐受到嚴重阻礙。在硬件方面，相對于企業的信息系統而言，企業內部的計算機硬件和相關的網絡設備并不能很好地與其相配合。通常情況下，只是一臺計算機作為一個審計信息平臺，不能實現審計信息資源的共享，從而造成在線審計很難得到實現。在軟件方面，由于受制于內部審計人員自身的素質不高和投入相關軟件開發的資金不足，企業很難開發出符合本企業實際情況的審計軟件。通常的做法是購買市面上由第三方開發出來的通用審計軟件，雖然降低了成本，但是由于通用審計軟件與企業的實際情況并不是特別契合，容易造成相關重要審計領域的遺漏，不能夠抓住審計重點，增加了審計難度。

5.信息系統安全性受到威脅。由于互聯網的開放性和計算機病毒的傳播性，企業內部審計信息系統很容易遭受到來自網絡黑客和計算機病毒的攻擊。信息系統一旦遭到破壞，則對企業正常的生產經營會產生巨大的影響。另一方面，由于在信息化條件下相關信息都是儲存在軟件或者磁盤等相關介質中，一般都是通過口令或者密碼接觸相關信息。如果相關口令或者密碼遭到泄露，相關信息很容易遭到竊取或者修改。

三、加強內部審計信息化建設的相關建議

1.充分認識內部審計信息化建設的重要意義。首先，要讓企業的管理層認識到內部審計信息化對提高企業管理的重要重要作用。可以通過組織企業管理層向內部審計信息化實行比較好的單位進行考察學習，觀看優秀企業內部審計信息化對企業生產經營產生的巨大促進作用，進一步增強管理層對推行內部審計信息化的動力。管理層也要不斷進行學習，學習先進的管理理念，提升自身的素質。只有得到領導的重視，內部審計信息化才能夠有機會發揮自身的作用。其次，要建立一支強有力的內部審計隊伍。內部審計在企業經營管理中的重要性也取決于內部審計隊伍結構的合理性，以及內部審計部門在企業組織中的位置。應該確定內部審計部門直接向企業最高領導層負責的制度，保持內部審計部門的獨立性，使其能夠客觀公正地執行自己的工作而不受其他相關部門（銷售、生產、行政等）的影響。再次，要加強對內部審計部門的監督和指導，使其能夠按照內部審計準則和企業的相關規章進行工作。

2.由靜態審計向動態審計轉變，由監督審計向服務審計轉變。在進行內部審計信息化建設的同時，要把審計從靜態審計轉變為動態審計。內部審計的重點不能僅僅局限于事后的審計，而應該強調事前和事中的審計；不能只關注企業某一個時點的財務狀況，而應該著眼企業在整個生產經營階段財務、生產情況的變化趨勢，將審計的重點由點變成線，增加審計的時間維度。另外，也要更加關注審計職能的轉變，現代的內部審計不僅僅只是為了對企業的財務狀況查錯糾弊，而要更及時關注企業生產經營過程中出現的問題，并對該問題提供相應的解決方案，將內部審計由監督型轉變為服務型。通過監督審計向服務審計的轉變能夠加強企業對風險的控制與防范，通過轉變審計重心能夠有效提高企業信息系統的安全性和有效性，進而在提高企業內部審計效率的基礎之上提升企業的綜合實力。

3.提高信息技術掌握能力，創新數據采集、分析技術。掌握系統拷貝技術進行分析數據的審計程序是在信息化條件下進行內部審計工作的必然要求。同時，掌握采集式審計模塊能夠發揮信息錄入功能以及安全性，掌握同步審計技術的審計程序來將數據進行實時在線測試，從而能夠使得企業所進行的內部審計方式多樣化。在掌握以上三種程序的前提下，企業需要逐步創新數據采集技術、數據分析技術以及審計報告技術，進而才能夠不斷推動審計工作信息化建設進程的加快。

4.對信息系統進行審計。信息系統在現代內部審計中的作用越來越大，而傳統的內部審計通常忽視了對信息系統的審計。由于現在的財務處理大都通過計算機系統處理，并通過相關的信息系統進行傳遞，因此審計人員想要增加對相關財務數據的信賴度，不可避免地要對信息系統進行審計。審計人員對本單位的信息系統的了解應該包括而不局限于以下內容：（1）信息系統的硬件信息和軟件信息，比如使用的計算機型號、內存大小、操作系統的設置、輸入和輸出設備；（2）信息系統處理相關業務的流程。相關信息是如何在系統中流轉、加工處理的，在哪些環節容易出現錯誤，在哪些環節容易被不相關的人員接觸甚至容易被篡改；（3）本企業信息系統與其他企業信息系統之間的依賴程度。比如對于銷售企業來講，它所銷售的商品可能并不儲存在本企業內部，而是儲存在生產企業或者專門的物流企業，因此在對庫存商品進行審計的時候，不僅僅要對本企業的信息系統進行審計還要對相關的其他企業的信息系統進行審計。在了解完企業信息系統之后，審計人員要依據重要性和審計風險來設計審計程序，并把審計程序的重點放在相關信息系統設計的合理性和運行的有效性上面。

5.積極培養復合型人才。當前社會中，既精通計算機技術又能掌握會計、審計、財務等方面知識的復合型人才非常稀缺。在內部審計信息化建設中，高素質人才的匱乏一直困擾著企業的發展。因此，我們必須重視對審計人員進行持續的崗位培訓，不斷完善審計人員在更多方面的綜合技能。對審計人員的培訓不僅僅局限于計算機基本應用技能，而且要涉及網絡系統的安全控制評價的培訓。審計人員要學會編制適用的審計軟件，造就一定數量的、掌握并能熟練運用各種計算機審計技術方法的審計專業人才。

（作者簡介：郭小金，女，江西財經大學副教授，研究方向：理財與審計；王紅蘭，女，江西財經大學會計專業碩士研究生，研究方向：理財與審計。）