企業(yè)組織內(nèi)部審計信息化風(fēng)險管控芻議

熊瑛

[摘要]在高新技術(shù)日新月異的如今，審計信息化是不可逆轉(zhuǎn)的趨勢；由于信息系統(tǒng)固有的脆弱性，審計信息化也有不可避免的局限性和風(fēng)險因素。對此，筆者闡述了內(nèi)部審計信息化過程中出現(xiàn)的系列風(fēng)險問題，探索分析HN&司推進審計信息下風(fēng)險管控的路徑選擇，在此基礎(chǔ)上進行深度思考。

[關(guān)鍵詞]審計信息化 風(fēng)險 管控思考

[中圖分類號]C29 [文獻標識碼]A [文章編號]1672-5158（2013）06-0169-01

一、審計信息化的風(fēng)險問題

審計信息化尤其獨特的時代優(yōu)勢，在目前乃至稍后的很長時間內(nèi)代表著審計工作的發(fā)展趨勢。不過，信息審計并非解決所謂問題的萬能神藥，由于信息系統(tǒng)本身特點所具有的脆弱性，將使審計面臨一系列風(fēng)險問題。具體而言，其中的主要表現(xiàn)點如下：

一是信息系統(tǒng)管理的缺失容易導(dǎo)致信息安全風(fēng)險的產(chǎn)生。內(nèi)部審計工作開展的基礎(chǔ)是充分且真實的審計信息的獲得，雖然各板塊、各部門、各業(yè)務(wù)流程信息化建設(shè)的推進利于提升工作效率，但其系統(tǒng)管理本身及獲取信息數(shù)據(jù)手段的缺陷容易導(dǎo)致信息安全問題，比如權(quán)限設(shè)置的混亂或失誤及外界黑客的介入等因素會催生系列虛假信息，這對內(nèi)部審計工作的開展是毀滅性地打擊。

二是繁雜的信息量與相對有限審計人員之間的矛盾限制了信息審計工作推進的可行性。與傳統(tǒng)財會工作相比，電算化或者信息化境遇下的財務(wù)信息基于信息系統(tǒng)的便利往往呈現(xiàn)系統(tǒng)噴涌的局面，業(yè)務(wù)數(shù)據(jù)呈現(xiàn)幾何級增長，這在為審計工作提供方便的同時也帶來了莫大的壓力，數(shù)量相對有限、IT技術(shù)素養(yǎng)也相應(yīng)缺乏、信息審計手段也不夠成熟的審計團隊可能在短時間內(nèi)無法成功消化這些信息，這會讓信息化審計工作寸步難行。

三是信息系統(tǒng)審計工作與傳統(tǒng)審計工作的對接可能導(dǎo)致審計范圍覆蓋度不足或重復(fù)。信息審計與傳統(tǒng)審計工作并非截然分開的，其間存在著三個問題，一是審計工作與公司信息化建設(shè)的同步問題，也就是說信息化建設(shè)所涉及的范圍應(yīng)當是信息審計工作推進的領(lǐng)域；二是信息審計工作與傳統(tǒng)審計工作的并存和對接問題，要做到二者在范圍、技術(shù)等方面充分協(xié)作和協(xié)調(diào)；三是信息系統(tǒng)的改新?lián)Q代也往往催生信息審計代際之間的對接，也就是說兩種信息系統(tǒng)的對接和融合問題。

四是審計信息系統(tǒng)的有限性可能影響審計工作進程甚至導(dǎo)致審計失敗。審計信息系統(tǒng)是信息審計工作推進過程中的主要助手，不過其相對于組織內(nèi)部信息化網(wǎng)絡(luò)建設(shè)而言多是外在的異類和他者，其間的差異和兼容程度往往會影響審計信息工作的效率和成果。審計輔助系統(tǒng)與各類現(xiàn)運行系統(tǒng)的模板體系、數(shù)據(jù)接口以及數(shù)據(jù)類型的差異性，容易造成審計人員從接口導(dǎo)人數(shù)據(jù)后都要重新手工進行報表項目的定制和部分參數(shù)的調(diào)整，為了避免生成錯誤的財務(wù)報表定制后可能不能保存或者存在差錯，加大了審計風(fēng)險且浪費審計人員的時間和精力。

五是信息系統(tǒng)審計標準的缺失或選擇不當往往影響審計工作的開展。信息系統(tǒng)審計工作開展的前提之—是適當標準的確定。如今，信息系統(tǒng)審計還沒有一個統(tǒng)一的標準，中國內(nèi)部審計協(xié)會發(fā)布的內(nèi)部審計具體準則第28號-信息系統(tǒng)審計也缺乏具體做法和衡量標準的內(nèi)容。具體到各企業(yè)組織，均未形成兼具科學(xué)性、可操作性的制度標準，難以滿足整個經(jīng)營系統(tǒng)審計的需要，在指導(dǎo)下屬公司及職能部門推進信息審計工作開展方面的作用有限。

二、管控審計信息化風(fēng)險的思考

針對如上幾點及其他不可預(yù)料的風(fēng)險因素，各類公司應(yīng)該在現(xiàn)有信息系統(tǒng)審計工作的基礎(chǔ)上，從如下幾個方面著手，提升信息系統(tǒng)審計的水平。

一要努力轉(zhuǎn)變觀念，逐步將信息系統(tǒng)審計納入常規(guī)審計的范圍。要充分認識開展信息系統(tǒng)審計的必要性和重要性，信息系統(tǒng)涉及到公司的方方面面，公司能否完成既定的戰(zhàn)略目標，保持系統(tǒng)的安全、穩(wěn)定、持續(xù)健康發(fā)展，是其重要的基礎(chǔ)。作為公司內(nèi)部審計部門就是評價公司信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整，提出管理建議，協(xié)助管理層有效地履行經(jīng)營管理目標。要從單純的數(shù)據(jù)審計提升到信息系統(tǒng)審計的高度上來，要定期開展此項工作，保證公司經(jīng)營管理信息系統(tǒng)安全和有效運行。

二建議盡早出臺信息系統(tǒng)控制規(guī)范，尤其是對信息系統(tǒng)等級二和等級三系統(tǒng)，盡早識別其風(fēng)險點和關(guān)鍵控制點，編制權(quán)限測試工具，以便于開展信息系統(tǒng)應(yīng)用控制審計和測試。盡早出臺信息系統(tǒng)審計操作指南，規(guī)范和指導(dǎo)信息系統(tǒng)審計實踐，衡量和評價信息系統(tǒng)審計工作質(zhì)量，防范和規(guī)避信息系統(tǒng)審計風(fēng)險。

三要不斷充實和培養(yǎng)IT審計人員。目前各類企業(yè)組織審計系統(tǒng)IT方面的審計人員較少，直接限制和影響了信息系統(tǒng)審計工作的開展，要實現(xiàn)信息系統(tǒng)常規(guī)審計的目標，必須注重IT審計人員的充實和培訓(xùn)工作，開展形式多樣的信息系統(tǒng)審計培訓(xùn)，鼓勵審計人員考取注冊信息系統(tǒng)審計師等執(zhí)業(yè)資格，在認證考試中學(xué)習(xí)、提高，逐步實現(xiàn)審計機構(gòu)中IT審計人員三分之一的目標，只有這樣才能適應(yīng)信息化發(fā)展的需要，也才能使內(nèi)部審計充滿活力。

四要逐步完善審計管理信息系統(tǒng)與相關(guān)信息系統(tǒng)的接口工作，如與財務(wù)系統(tǒng)、資產(chǎn)系統(tǒng)、合同管理系統(tǒng)等系統(tǒng)的接口，真正實現(xiàn)審計的網(wǎng)絡(luò)化和遠程化，做到實時控制、過程監(jiān)督。例如利用并行模擬技術(shù)測試系統(tǒng)運行程序的控制功能；利用嵌入式審計技術(shù)監(jiān)控數(shù)據(jù)處理業(yè)務(wù)；利用數(shù)據(jù)分類符合技術(shù)審查數(shù)據(jù)庫等。

五要注重信息系統(tǒng)審計的審前調(diào)查工作。由于信息系統(tǒng)的復(fù)雜性、多樣性等特點，加之信息系統(tǒng)審計在很多企業(yè)剛剛起步，在國內(nèi)屬于探索階段，是一項全新的審計工作，要將信息系統(tǒng)審計做好、做透，必須要重視信息系統(tǒng)審計的審前調(diào)查工作。通過審前調(diào)查，初步分析信息系統(tǒng)在開發(fā)、運行、管理及維護中可能存在的問題與風(fēng)險。為下一步審計實施時明確審計范圍、確定審計重點打基礎(chǔ)。

六要逐步開展信息系統(tǒng)開發(fā)建設(shè)期的跟蹤審計。由于信息系統(tǒng)建設(shè)投資大、周期長、投入運行后升級維護成本高等特點，建議在條件成熟時立項開展信息系統(tǒng)開發(fā)建設(shè)的過程跟蹤審計，及時發(fā)現(xiàn)信息系統(tǒng)前期建設(shè)的缺陷和漏洞，避免投入運行后出現(xiàn)重大問題。

三、結(jié)束語

李金華審計長指出“審計信息化是一場革命，能不能在這場革命中掌握主動權(quán)，直接關(guān)系今后審計事業(yè)的發(fā)展”。中石油審計信息化工作正是適應(yīng)了時代發(fā)展，是審計工作發(fā)展和創(chuàng)新的技術(shù)支撐，更是促進內(nèi)部審計轉(zhuǎn)型的戰(zhàn)略部署。通過對QH公司在審計信息化方面的探索和實踐的簡單描述證明：在加速推進審計信息化工作的進程中，雖然審計信息化帶給我們更多的審計便利條件，可以提高審計質(zhì)量和效率，但是這種效能并不意味著潛在的風(fēng)險就消失了，嚴格意義上來說，只是風(fēng)險一種轉(zhuǎn)移。在這種情況下，石油企業(yè)應(yīng)該克服對新事物過度期望和依賴的惰性，應(yīng)該正視系列新的風(fēng)險因素，據(jù)此出具多種系統(tǒng)舉措，推動實現(xiàn)多方面的轉(zhuǎn)型。只有這樣，才能切實推進審計信息化工作，安全地為內(nèi)部審計工作的創(chuàng)新提供有力的技術(shù)手段，穩(wěn)健地為內(nèi)部審計工作的轉(zhuǎn)型提供不竭的動力，不斷促進內(nèi)部審計持續(xù)發(fā)展。

參考文獻

[1]任玉珍，信息審計的內(nèi)容框架分析[J]，農(nóng)業(yè)網(wǎng)絡(luò)信息，2009（07）

[2]婁策群，高策，信息審計方法比較研究[J]，圖書情報工作，2009（02）

[3]黃亦西，信息審計與知識審計的比較研究[J]，情報雜志，z005（10）

[4]于玉林，會計信息化會計整合論[A]，中國會計學(xué)會第四屆全國會計信息化年會論文集（上）[C]，2005

[5]吳沁紅，從會計信息化角度探討CPA考試改革[A]，中國會計學(xué)會第四屆全國會計信息化年會論文集（下）[C]，2005