信息化內部審計風險及應對

閆治平

摘要：信息化環境下的內部審計，存在諸如業務數據存儲不安全和不易追溯，內部授權控制可能失控以及財務軟件設計開發導致的檢查風險，需要我們完善有關計算機審計標準與準則，加強內部權限控制，參與會計軟件評審，強化審計人員素質教育。

關鍵詞：內部審計；信息化；風險；對策

隨著數據庫技術、網絡技術、存儲技術的發展，企業各項業務信息載體、業務數據生成途徑和方式、業務支付手段、審計線索和內容、內部控制等都發生了一系列重大變化。審計的職能也超越了查賬的范疇，拓展到對各類業務數據的審核，涉及到對各項工作的經濟性、效率性和效果性的查核，內部審計信息化已成為內部審計發展的必然趨勢。在提高內部審計質量和效率的同時，要充分認識信息化內部審計所帶來的風險，并及時采取相應的防范與管理措施。

一、內部審計信息化概念

內部審計信息化，即基于信息化環境基礎上，運用信息化技術方法開展內部審計，包括審計管理、審計質量控制、審計流程、具體審計過程、審計歸檔等等。它包括審計信息管理和計算機審計兩個方面內容，重點是計算機審計。它將審計信息的管理與使用、法律法規、公司管理制度、審計對象、審計計劃、審計項目管理等信息全部納入到平臺上，通過對業務系統海量數據提取分析，實現對整個企業或項目資源的全面檢測與自動預警，并促使傳統的財務收支審計向全面數據式審計發展；審計作業向審計作業、審計管理一體化方向發展；事后監督向事前預防、事中控制和事后反映的轉化，使審計更好的發揮了風險監控職能。

二、內部審計信息化優勢

內部審計信息化是內部審計技術創新的最重要方面。內部審計要發揮企業“免疫系統”功能，首先要進行內部審計“免疫識別”。而內部審計“免疫識別”離不開先進的審計技術方法。隨著信息技術的快速發展，內部審計對象的信息化要求內部審計手段必須信息化，否則會出現審計人員面臨進不了門、打不開賬的無奈局面。

信息化內部審計產生的作用與常規內部審計的作用是有區別的，分別是：

一是宏觀性。傳統內部審計關注的都是某個具體的受托責任關系，而信息化內部審計則突破了原有手工條件的束縛，對單位（或項目）大量業務和財務數據，包括信息化系統本身進行分析、審查，對審計發現的問題的直接原因和深層次原因全面進行分析，提出針對性、操作性強的建議，為領導宏觀決策提供依據。

二是預見性。內部審計信息化一方面極大提高工作效率，另一方面通過運用一些新的技術，如聯網審計，可以使審計關口前移、事先介入，隨時跟蹤，及時發現存在的問題，并予以解決。

三是建設性。內部審計工作建設性的作用是審計作為 “免疫系統”的基本要求，要在全面認識的基礎上科學分析，努力揭示企業管理制度、運行機制上的原因，從根本上提出建設性意見，促進企業平穩、健康運轉。信息化審計做到了微觀與宏觀的有機結合，特別是實現了數據的宏觀分析，有利于提出建設性意見。

三、信息化內部審計存在的風險

1.信息系統環境下業務數據可能存在不安全和不易追溯風險

在手工會計核算系統中，每筆交易、每個交易環節的會計處理均反映在書面上，都有文字記錄，有相應的經手人、審批人簽字，審計線索易于辨認、追溯。在會計電算化信息系統下，由于數據存儲介質變為磁盤、磁帶、光盤等磁介質，紙質記錄消失；原始業務數據錄入會計電算化系統后，由程序自動生成會計賬簿及報表，傳統的審計線索隨之中斷，雖然會計電算化信息制度規定會計賬簿及報表都要打印并裝訂成冊，但無法直觀跟蹤會計業務處理，無法用傳統的方法考查會計檔案數據的安全性、完整性和準確性。大量憑證需要手工錄入，機制憑證、賬簿、報表表面上的借貸平衡，可能掩蓋人工錄入時發生的錯漏。業務處理和財務處理高度集中于計算機信息系統，計算機病毒、操作失誤、程序處理錯誤、網絡傳輸故障、非法入侵應用程序等都會造成電子數據被破壞或修改，致使實際數據與電子賬面數據不相符，增加審計難度。

2.信息系統環境下內部控制存在失控風險

在手工會計核算中，通過建立崗位責任中心制度實現內部控制。在會計電算化信息環境下，根據操作員的責任范圍，設置相應的權限和密碼，通過操作對應的子系統或功能模塊來實現人員職責分工，內部控制由手工條件下的制度控制變為制度控制與程序軟件控制。不恰當的授權、權限的重疊設置，致使內部控制存在約束機制失效的可能性。另外，信息系統包括眾多的子系統和功能模塊，導致很多在傳統會計核算條件下不能相同的職務在系統中匯集，授權混亂給導致風險發生的概率大大增加，很容易導致企業授權控制機制失效。

3.信息系統環境下軟件設計缺陷，審計存在檢查風險

由于平臺遷移、版本升級等被審計軟件的更新換代，可能導致難以從往年帳套里讀取歷史數據，致使審計人員手工收集并整理歷史數據，存在漏檢可能性。財務軟件出于安全技術保護等原因，原始數據大都被隱蔽存放，存儲格式也多種多樣，同一財務信息被不同的財務軟件可能“翻譯”成不同形式。財務軟件設計時，部分功能設計缺陷，如：存在取消取消審核、反記賬、反結賬等，可以對會計記錄不留痕跡修改。另外，信息化系統下內部審計工作開展時也面臨著一個不可忽視的風險：對相關技術的控制。由于網絡應用非常廣泛，信息系統在儲存信息和數據的時候都是借助網絡作為媒介，在大大提高了信息管理效率的同時也帶來了很大的風險。網絡故障以及病毒、木馬軟件等都有可能給信息系統帶來巨大的風險。

四、加強信息化內部審計風險防范與管理的對策

1.建立與完善信息化環境下內部審計的準則與制度

隨著信息化的不斷發展，原有的標準和準則有的已經不適用于會計電算化信息系統審計，我們要在計算機審計研究的基礎上，建立與完善一系列與新情況相適應的審計準則，它包括系統的設計、開發、運營、維護等標準，來規范計算機審計業務發展，降低計算機審計風險；其次，在計算機網絡系統條件下，數據處理開始呈現出“人機”對話的形態，這對內部審計工作提出了更高的要求。因此，要有針對性的完善信息化環境下的內部審計制度，建立集網絡系統、計算機及信息處理為一體的管理信息系統，并嚴格按照國家相關法律法規制度，對信息化系統的合法性、真實性、可靠性等進行獨立的監督、評價與檢查；另外，內部審計人員要對信息系統運行的各個環節進行參與，學習會計電算化相關制度，提升自身的業務水平，為信息化內部審計工作的開展奠定基礎，從而防范信息化內部審計風險。

2.加強對信息系統的控制與審計

信息化環境下的內部控制往往是通過會計信息系統完成的，因此一定要加強對會計信息系統的控制與審計，從而提高內部審計工作的效果，有效的防范內部審計風險。首先，內部審計人員要從源頭上加強對會計信息系統的控制，在會計信息系統的設計與開發階段，審計人員應積極參與，從審計角度對會計系統的參數設定、核算方法、授權流程審批、數據庫安全等的合法、合規、安全可靠等審查；另外，會計電算化系統下，授權控制是內部控制主要的組織原則。要加強財務軟件的系統權限控制、口令管理程序控制、修改程序控制、網絡系統權限控制等工作成為內部審計控制的一項重要工作。內部控制審計不僅要對各種會計資料及信息進行審計，而且要對組織控制、系統開發與維護控制、系統安全控制、硬件及系統軟件和操作控制等進行審計。

3. 采取適當的審計防范規避內審過程中的核查風險

目前，我國很多企業內部審計部門所采用的審計方法仍然是傳統的審計方法，在審計過程中主要采用的是查閱資料、研究報表、對數據信息進行計算以及數據分析等。在信息化條件下，審計部門必須不斷創新內部審計方法。例如，為確保信息系統輸出數據的準確性、可靠性以及有效性，內部審計人員要采用反復測算等方法來檢查信息系統的管理模塊；要采用研究、咨詢等方法來對系統的安全性與穩定性進行測試。另外，內部審計部門要加強對信息系統業務操作人員的審查，尤其要將操作員的權限審計作為審計工作的重點，從而規避信息化審計風險。

4. 強化對計算機舞弊行為的審計力度

在信息化條件下，通過計算機進行舞弊的行為成為獨有的風險類型，內部審計人員一定要強化對計算機舞弊行為的審計力度，規避審計風險。利用計算機以及網絡系統的漏洞開展違法犯罪活動是計算機舞弊的重要特點，很多企業內部人員利用計算機系統在數據輸入的時候故意編造虛假信息以便實現自身的利益。因此，內部審計人員在開展審計工作中，一定要加以重視。例如，內部審計人員可以采用抽樣分析法，將信息系統中錄入的相關數據與原始憑證進行比對；或者可以利用專門的審計信息系統將記賬憑證中的數據與原始數據進行核對，從而驗證信息錄入是否真實完整。另外，在信息化條件下，利用木馬軟件以及其他非法程序對計算機信息系統進行改動或者盜竊數據的情況時有發生，內部審計部門要引入專業的計算機信息人才，定期對計算機信息系統的安全性進行審查。

5. 提升審計人員的專業能力與職業道德素養

在信息化條件下，內部審計工作需要用到大量的信息技術，包括數據庫查詢、數據庫更新、數據分析等，這就要求內部審計人員具備豐富的財務知識并熟練掌握運用計算機信息技術。企業要健全審計人員業務培訓與再教育機制，加快審計人員業務、審計、計算機及網絡、數據庫和應用技術知識的更新，提高審計人員的計算機操作水平和審計軟件使用水平，做到計算機知識和審計內容融會貫通，提高計算機審計水平。其次，要不斷提升審計人員的職業道德素養。信息化條件下對內部審計人員的自我約束力提出了更高的要求，因此要不斷加強內部審計人員的職業道德建設，促使其自覺遵守國家相關審計法律法規，嚴格按照內部審計的要求來開展工作，為信息化內部審計風險的規避提供保障。

參考文獻：

[1] 程安林.信息系統環境下審計風險的特征及評估[J].北方經貿，2007（5）.

[2] 張金城.計算機信息系統控制與審計[M].北京：北京大學出版社，2002.

[3] 謝瑾.內部審計控制信息化之我見[J].中國內部審計，2012（1）.

[4] 王松林.信息化環境對內部審計產生的影響及對策[J].中國內部審計，2012（11）.