文|胡煒

信息化環(huán)境下的內(nèi)部審計風險及其控制

文|胡煒

21世紀是信息技術的時代，隨著生產(chǎn)的自動化、貿(mào)易中的商務的普及、財務軟件的廣泛使用、以及支付手段的多樣化，審計信息化將是21世紀的必然趨勢。本文分析了目前我國信息環(huán)境之下內(nèi)部審計的風險，以及對內(nèi)部審計風險提出了若干控制建議。

隨著信息時代的到來，以計算機技術和網(wǎng)絡技術為代表的現(xiàn)代信息技術己經(jīng)進入了社會生活的每一個角落，企業(yè)的經(jīng)營管理模式逐步實現(xiàn)了網(wǎng)絡化、數(shù)字化、虛擬化，審計環(huán)境發(fā)生了重大變化，審計風險趨于多樣性、潛在性、持久性，更具有破壞性。因此，企業(yè)內(nèi)部審計必須做好信息環(huán)境下的風險評估，防范和控制審計風險。

我國信息環(huán)境之下內(nèi)部審計的風險

信息化內(nèi)部控制的重要性還未得到充分認識。實行會計信息化后，手工會計系統(tǒng)下的一些內(nèi)部控制措施就轉(zhuǎn)移到了計算機內(nèi)部，由計算機自動完成。這樣，信息系統(tǒng)的內(nèi)部控制措施就分為以組織措施為主的一般控制和以計算機系統(tǒng)程序控制為主的應用控制，并且控制的方式由人工控制轉(zhuǎn)變?yōu)橛嬎銠C控制為主、并與人工控制相結(jié)合。由于數(shù)據(jù)處理集中進行，導致職責合并嚴重，會計人員大大減少，從而使一些不相容職務得不到分離，這就有可能使他們在未經(jīng)授權批準的情況下，直接對使用中的程序和數(shù)據(jù)庫進行修改和操作處理，從而使會計數(shù)據(jù)的準確性和安全性受到威脅。

輸入和輸出控制存在缺陷。信息化環(huán)境下，程序與數(shù)據(jù)存儲在一起，數(shù)據(jù)的輸入與輸出形式與手工會計系統(tǒng)也大不相同。數(shù)據(jù)的輸入可能缺乏充分可靠的紀錄，未經(jīng)確認沒有附件的數(shù)據(jù)亦可能被輸入系統(tǒng)內(nèi)，造成輸出信息的失真；在輸出方面，往往依靠電子計算機訪問存儲在磁性介質(zhì)中的數(shù)據(jù)。而存取或改動數(shù)據(jù)的命令和程序又集中在同一裝置內(nèi)，如果沒有適當?shù)目刂?，就很有可能未?jīng)批準擅自存取或改動數(shù)據(jù)。

數(shù)據(jù)處理和保存方面的潛在威脅。會計信息系統(tǒng)執(zhí)行主體是計算機，如果計算機硬件系統(tǒng)出現(xiàn)故障或因停電等其他非人為因素，都將致使數(shù)據(jù)不能被處理，會計業(yè)務操作將無法進行。并且財務軟件的質(zhì)量和性能都會影響會計數(shù)據(jù)處理的準確及效率。由于會計信息化環(huán)境下數(shù)據(jù)資料的表現(xiàn)形式主要是打印的賬表和存儲在計算機的磁盤或外在軟盤、光盤中的會計數(shù)據(jù)，一旦這些磁性介質(zhì)受高溫、受潮、受磨損等而出現(xiàn)損壞，則其保存的數(shù)據(jù)將無法讀取，如果沒有做好相應的備份，將會嚴重影響到企業(yè)的會計工作。而且該磁性介質(zhì)是以磁信號存儲會計信息的，若數(shù)據(jù)被人為惡意修改而沒被及時發(fā)現(xiàn)，那么其所提供的會計信息就失去了意義。

信息化環(huán)境內(nèi)部審計風險的控制措施

強化風險意識，更新審計觀念。內(nèi)部審計人員要認識到審計風險是客觀存在的，正確認識審計風險是內(nèi)部審計自身發(fā)展的要求，也是市場經(jīng)濟發(fā)展的需要。內(nèi)審人員要沖破傳統(tǒng)審計思路和方法的束縛，從思想上、觀念上深入理解審計風險，在審計方法上引進目前最先進的以風險為導向的風險基礎審計模式，以風險的分析與控制為出發(fā)點，以保證審計質(zhì)量為前提，統(tǒng)籌運用各種審計方法，綜合各種審計證據(jù)，以控制審計風險。

完善相關的內(nèi)部控制制度。在信息環(huán)境下，如果被審計單位內(nèi)控制度不完善，則可能會導致約束機制有失效，直接影響系統(tǒng)輸出信息的真實和準確，從而增加了審計風險。為了保證信息技術手段在內(nèi)部審計中更好的應用，需要制訂和完善相關的內(nèi)部控制制度，比如，內(nèi)部審計部門開展的審計的權限、職責、內(nèi)容、范圍等要做出明確的規(guī)定；對其程序、方法，電子數(shù)據(jù)的取得要有可操作性的強制性規(guī)定；制訂對內(nèi)部審計部門和被審計單位具有約束力的審計相關規(guī)定。從管理制度上做好信息技術手段下內(nèi)部審計工作的開展，有利于更好地發(fā)揮審計的作用，防范審計風險。

加快審計網(wǎng)絡開發(fā)及制度建設，開發(fā)審計信息系統(tǒng)。西方國家廣泛使用的模塊化、嵌入式審計軟件包，成功實現(xiàn)了與業(yè)務系統(tǒng)的無縫集成和同步運行，使對審計對象的持續(xù)、實時、動態(tài)監(jiān)測成為現(xiàn)實，在防范和發(fā)現(xiàn)計算機舞弊方面有著不可替代的優(yōu)勢。我們國家也可以借鑒西方經(jīng)驗，通過審計網(wǎng)絡信息系統(tǒng)的開發(fā)和建設，使內(nèi)部審計人員隨時捕捉信息，提供審計信息，防范審計風險。同時由于網(wǎng)絡審計的對象、線索、方法、流程、結(jié)果等各方面相對于傳統(tǒng)審計都發(fā)生了變化，以往的審計制度和規(guī)程對信息環(huán)境下內(nèi)部審計的規(guī)定不是很全面，所以應加快建立一套符合自身發(fā)展特性的新的審計制度，如對網(wǎng)絡審計人員的一般要求，網(wǎng)絡安全可靠性評價標準，網(wǎng)絡系統(tǒng)內(nèi)部控制準則等，以指導網(wǎng)絡審計工作實踐的深入。

加強對審計人員的培訓。信息化環(huán)境下的內(nèi)部審計要求審計人員不僅要對審計系統(tǒng)的計算機硬件、軟件和處理系統(tǒng)有充分的了解，還要對審計程序所必需的電子數(shù)據(jù)處理有足夠的知識，審計人員既要懂網(wǎng)絡知識，又要精通審計理論，同時還要熟悉網(wǎng)絡審計軟件的開發(fā)、設計、維護等。而現(xiàn)在社會上這樣的人缺少，極大地阻礙了網(wǎng)絡審計的發(fā)展。所以要使內(nèi)部審計人員適應信息化的環(huán)境就必須學習網(wǎng)絡審計方面的知識，擴展自己的知識面，并且在進行網(wǎng)絡審計時候會向外部專業(yè)人員幫忙，提高審計質(zhì)量，保證審計報告的真實性、公證性，從而降低內(nèi)部審計風險。

總之，審計風險與審計的環(huán)境密切相關，審計環(huán)境變化必然導致審計風險隨之變化。信息與網(wǎng)絡技術對各行各業(yè)形成了巨大的沖擊，使得內(nèi)部審計面臨著日益信息化的新環(huán)境，信息化環(huán)境也使得審計風險加大。所以，信息化環(huán)境下對內(nèi)部審計人員提出了新要求，不僅要求審計人員是財務方面的專家，具有豐富的財務、管理、審計知識和實踐經(jīng)驗，還要求審計人員對信息系統(tǒng)和網(wǎng)絡方面的技術也有較高的掌握程度。內(nèi)部審計人員不僅要會操作審計軟件，而且要能根據(jù)被審計單位各種不同的操作系統(tǒng)，隨時進行調(diào)整接口程序，以便將其中相關的電子數(shù)據(jù)導出、轉(zhuǎn)換，形成審計需要的數(shù)據(jù)形式。

勝利石油管理局審計處）