張長玉

摘 要 隨著信息技術的發(fā)展，審計信息化也隨之普及。本文將重點分析行政事業(yè)單位內部信息化審計面臨的具體風險，并提出防控建議。

關鍵詞 行政事業(yè)單位 內部審計 信息化 風險控制

一、行政事業(yè)單位內部審計信息化的風險

由于內部審計信息化的技術特點，使得內部審計信息化存在一定風險。具體表現(xiàn)在以下幾個方面：

（一）缺乏具體的準則和標準

在當前審計對象日益信息化的背景下，單位內部審計的線索、審計內容和審計技術等發(fā)生了巨大的變化，而用來約束和規(guī)范工作的配套的準則和標準，尤其是適用于行業(yè)的準則和標準還處于探索階段，單位審計人員在應用信息化審計的過程中尚無具體的標準。目前，我國還沒有比較完善的內部審計信息化評價體系，如果沒有一套合理的、可量化的評價標準體系，就很難針對性地進行完善和改進，這也給審計信息化帶來了一定的風險。

（二）數(shù)據(jù)采集風險

采集數(shù)據(jù)是審計分析的第一步，也是關系到審計質量的關鍵一步。特別是大數(shù)據(jù)環(huán)境下，審計人員需要采集被審計單位的海量業(yè)務數(shù)據(jù)，在數(shù)據(jù)采集過程中審計人員主要面臨兩個風險：一是保證所采集數(shù)據(jù)的真實性、完整性，滿足審計分析的需要；二是保證數(shù)據(jù)采集過程中被審計單位的系統(tǒng)安全性。

（三）大數(shù)據(jù)存儲和管理的風險

海量的大數(shù)據(jù)從被審計單位采集回來，在存儲和管理方面，審計機關和人員面臨兩方面的風險：一是數(shù)據(jù)存儲風險，海量的大數(shù)據(jù)如何進行存儲，保證數(shù)據(jù)的完整性，同時可以供審計人員進行審計分析操作；二是數(shù)據(jù)管理的風險，被審計單位提供的數(shù)據(jù)包含大量的個人基本信息、敏感信息，審計人員如何對這些數(shù)據(jù)進行管理，從技術上和制度上保證這些數(shù)據(jù)不泄露。

（四）數(shù)據(jù)分析質量風險

審計人員從被審計單位獲取了審計需要的大量數(shù)據(jù)，接下來要做的就是數(shù)據(jù)整理、分析，發(fā)展審計疑點，對審計疑點進行核實，并生成審計證據(jù)。在數(shù)據(jù)分析過程中審計人員會面對以下審計風險：一是面對海量數(shù)據(jù)和有限的審計時間，審計人員無法在審計要求的時間內，對數(shù)據(jù)進行充分的研究、整理、分析和發(fā)現(xiàn)審計疑點，審計質量不高。二是只對被審計單位的數(shù)據(jù)進行分析，忽略對被審計單位信息系統(tǒng)安全性、可靠性的關注，如果被審計單位系統(tǒng)出現(xiàn)重大漏洞，會對審計產(chǎn)生一定風險。三是審計人員技術水平滯后，面對采集回來的數(shù)據(jù)無法進行處理和分析。審計人員采集回來的數(shù)據(jù)不能自己處理分析，只能依靠外部人員，或者轉換成熟悉的數(shù)據(jù)庫格式。但是依靠外部人員存在數(shù)據(jù)泄露的風險，轉換成其他數(shù)據(jù)庫格式又存在數(shù)據(jù)丟失的風險。四是電子數(shù)據(jù)不同于紙質資料，具有無形性和脆弱性的特點。其中，無形性是指電子證據(jù)存儲在存儲介質中，其內容與載體相互分離，復制不改變其完整性和真實性，相較紙質證據(jù)而言，不易區(qū)分原件及復印件。

二、行政事業(yè)單位內部審計信息化風險應對措施

（一）建立有針對性的內審信息化準則

內部審計信息化使得審計對象、審計線索、審計方法等發(fā)生了變化。人們在內部審計工作中逐步建立起的一系列審計準則，已不適用于變化了的情況，所以需要重新建立一套新的內部審計準則來指導審計工作實踐。在制定新的內部審計準則時要在考慮我國國情的前提下，大力借鑒國外的先進經(jīng)驗。新的審計準則是對內部審計信息化的標準化，是衡量內部審計工作的標準，是提高內部審計工作質量的保證。

（二）采用電子數(shù)據(jù)分析與其他證據(jù)相結合審計方法，這種方法可以有效避免因審計數(shù)據(jù)偏差而導致的審計風險

對電子數(shù)據(jù)進行分析是找出線索、發(fā)現(xiàn)問題的一種途徑，但是電子數(shù)據(jù)可能存在偏差，分析電子數(shù)據(jù)后，再結合其他證據(jù)，保證分析結果更加的準確，提高審計效率，也能夠有效防范審計風險。

（三）內審人員應加強對會計電算化內控的審計

隨著計算機信息化的高速發(fā)展，審計人員應該不斷加強計算機方面的業(yè)務學習，才能適應大數(shù)據(jù)的要求，才能提高審計質量和效率。審計人員的學習有兩個方法：一是各種先進的數(shù)據(jù)庫操作和分析語句的學習；二是先進的快速梳理數(shù)據(jù)、分析數(shù)據(jù)、關聯(lián)數(shù)據(jù)，查找審計疑點的學習。可以通過聘請專業(yè)老師講解和“以干代訓”的方式，對審計人員進行大數(shù)據(jù)集中分析、信息系統(tǒng)審計等相關技能的培訓。

三、行政事業(yè)單位信息化審計風險的幾點建議

內部審計應當把目光前移，從事后監(jiān)督向全過程監(jiān)督的轉變，把工作重點放在事前預防、事中控制和事后監(jiān)督上，充分發(fā)揮內部審計的免疫功能，提升內審工作的前瞻性，幫助被審計單位制定相關的內控制度。并通過制度來約束具體的財務行為，防止簡單的頭疼醫(yī)頭、腳疼醫(yī)腳，使內部審計充分發(fā)揮風險管理的作用。

（一）規(guī)范數(shù)據(jù)采集管理，減少審計風險

第一，做好采集前的準備工作。主要包括三個方面：一是明確本次審計的目的，充分調研、了解滿足審計需求需采集的數(shù)據(jù)范圍；二是通過與被審計單位相關人員接觸，熟悉被審計單位的信息系統(tǒng)流程和數(shù)據(jù)結構；三是根據(jù)審計目的和了解情況，提出明確的數(shù)據(jù)需求。

第二，選擇合適的數(shù)據(jù)采集時間。通過與被審計單位進行溝通，選擇合適的時間，在不影響被審計單位正常業(yè)務的前提下進行數(shù)據(jù)采集。

第三，制定科學的數(shù)據(jù)采集流程，并嚴格按照流程進行操作。審計人員應不接觸被審計單位的系統(tǒng)和后臺數(shù)據(jù)庫，應只提出操作需求和數(shù)據(jù)要求，由被審計單位相關人員進行現(xiàn)場操作，審計人員全場監(jiān)督。

第四，數(shù)據(jù)采集前、采集后對相關數(shù)據(jù)進行檢查，通過記錄計數(shù)和控制總數(shù)檢查、連續(xù)性檢查、業(yè)務數(shù)據(jù)對比檢查、重要數(shù)據(jù)檢查、各處理階段數(shù)據(jù)完整性檢查、在周期性發(fā)生事項的完整性檢查等必要的技術手段，審查數(shù)據(jù)的真實性和完整性。

第五，采集結束，被審計單位應提供“數(shù)據(jù)真實完整性承諾書”“數(shù)據(jù)采集語句”“日志文件”“數(shù)據(jù)采集現(xiàn)場記錄”“數(shù)據(jù)字典”等相關技術資料。

第六，審計機關對移動存儲設備進行殺毒，保證無病毒后存儲被審計單位提供的資料。

第七，由于電子數(shù)據(jù)具有無形性和脆弱性的特點，在使用移動存儲設備存儲同時，應將數(shù)據(jù)在存入移動存儲設備的同時刻制成光盤，光盤上由審計人員和被審計單位相關人員簽字，然后將光盤封存、加蓋被審計單位公章，作為備份原始數(shù)據(jù)由審計機關保存。

（二）完善數(shù)據(jù)管理使用制度

一是制定嚴格的數(shù)據(jù)管理制度，對數(shù)據(jù)的管理人員提出嚴格規(guī)范要求，規(guī)范審計人員使用數(shù)據(jù)的審批流程；二是建立完善的機房管理制度，非相關人員不得進入機房，進入機房人員應進行詳細登記；三是建立大數(shù)據(jù)的使用制度，審計人員應該在指定的終端登錄數(shù)據(jù)中心進行數(shù)據(jù)分析；四是建立數(shù)據(jù)下載制度，數(shù)據(jù)中心的數(shù)據(jù)審計人員在經(jīng)過分析后，需要下載的中間表和最終表應該經(jīng)過嚴格的審批流程后由技術人員進行下載；五是審計人員應每年簽訂數(shù)據(jù)保密協(xié)議，防止對外泄露相關資料。

（三）重視加強內部審計隊伍建設工作

培養(yǎng)內部審計信息化環(huán)境下的復合型知識結構人才內部審計信息化，對內部審計人員提出了更高的要求，這就需要培養(yǎng)一支符合內部審計信息化要求的復合型知識結構人才隊伍。所謂復合型人才，是指計算機技能+專業(yè)基礎+工作經(jīng)驗的人員，這就要求審計機構在日常審計過程中，注重培養(yǎng)適應職能部門發(fā)展并具備較高素質的審計人才，培養(yǎng)專業(yè)型的信息化審計人才是應對信息化審計風險的核心。加強審計人員后續(xù)教育培訓工作，不斷提高審計人員的政治思想素質、業(yè)務水平和工作能力，以適應新形勢下人們對行政事業(yè)單位內部審計工作的更高要求。

（作者單位為遼寧海城驗軍管理區(qū)財政所）

參考文獻

[1] 張小乖.內部審計信息化框架及審計數(shù)據(jù)安全實踐《中國內部審計》[J].