內部審計信息化風險應對措施

　　一、內部審計信息化的概念

　　內部審計信息化廣義地講，是指內部審計組織以信息技術為手段，組織計劃審計項目、實施審計的全過程，以及以確認審計風險或評價企業信息戰略、優化組織運營為目標，對組織營運所依賴的信息系統進行獨立的、客觀的確認和咨詢活動。包括兩方面的內容：一是以信息技術為手段開展內部審計工作的過程，即計算機輔助審計技術(CAATs);二是指內部審計部門以組織的信息系統為對象，以風險評估或內部控制檢查為手段，對該系統所產生會計信息的真實、合法性作出確認，或通過優化企業信息管理，增強企業的核心競爭能力，即信息系統審計或EDP審計。內部審計的計算機輔助審計技術與信息系統審計之間存在著緊密的聯系。

　　一方面，信息系統審計為計算機輔助審計下的常規財務收支審計提供支持。由于企業經營管理信息化以后，原來手工處理方式下的一些管理控制措施發生了根本性變化。一些控制措施已經成為計算機軟件程序的操作步驟被固化在日常的操作中，有的已經通過軟件自動地進行錯誤檢查核對。而信息系統中控制措施的充分與否，是否正常發揮了作用，是否存在方便操作人員舞弊的“后門”，直接影響到各項經濟信息的真實性、合法性。通過信息系統審計可以直接檢查確認這些風險，為計算機輔助審計下的常規財務收支審計提供支持。

　　另一方面，計算機輔助審計是信息系統審計業務開展的最佳切入點。信息系統審計對審計人員的計算機知識要求非常高。從目前審計人員的知識結構來看，不具備直接開展信息系統審計的條件。因此，信息系統審計的開展應當采取循序漸進的戰略，即首先逐步引入計算機輔助審計。隨著審計人員知識結構的改變和經驗的積累，信息系統審計的開展將水到渠成，各種風險盡可能成為可控。

　　二、內部審計信息化存在的風險

　　審計風險，是指會計報表存在重大錯報或漏報，而審計人員審計后發表不恰當審計意見的可能性。內部審計風險是企業內部審計組織或人員在實施審計的過程中，無意地對存在重大錯報或漏報的會計報表以及對具有重要影響的經營活動審計后，出具不恰當的審計結論，造成審計對象和與之相關方面遭受損失或損害，并由此引起審計主體承擔這種責任的風險。由于內部審計信息化的技術特點，使得內部審計信息化存在著主體風險、客體風險和環境風險等三個方面的風險。

　　(一)審計主體風險企業內部審計組織或人員是審計風險產生的主體，審計風險的本質是無意地發表錯誤審計結論的可能性。這是因為內部審計信息化雖然是以信息技術為手段進行的人機審計，但起決定作用的仍然是審計人員，審計人員的素質高低是決定審計風險大小的關鍵因素。由于內部審計信息化的環境比手工會計系統更為復雜，審計對象也更多更復雜，內部審計人員只依靠原有的知識和技能是無法勝任審計信息化條件下的內部審計工作的。內部審計信息化對內部審計人員提出了“五能”的要求：能打開被審計單位數據庫;能將被審計單位的數據下載到審計人員的計算機中，并轉換成為審計人員可閱讀的數據格式;能使用具有的查詢分析功能的通用軟件或審計軟件進行查詢、分析數據;能在審計現場搭建臨時局域網;能排除常見的軟硬件故障。這就要求內部審計人員要成為具有全面知識結構的復合型人才，即不僅要有豐富的會計、審計、經濟、法律、管理等方面的知識和技能，熟悉審計的政策、法令法規及其他審計依，而且還要熟練掌握計算機硬件與軟件的應用技術、熟悉計算機會計信息系統的結構和運行原理、有能力對計算機會計信息系統的內部控制做出適當的評價、掌握利用計算機進行分析性審計的技能和審計軟件的開發技能。然而我國目前的審計人員總體水平遠遠沒有達到這一程度，這就給內部審計信息化帶來相應的風險。

　　(二)審計客體風險實行會計電算化后，會計數據的存儲介質和形式、會計數據的生成和傳遞形式都發生了變化。傳統的手工會計系統中，審計線索十分明了，從原始憑證、記賬憑證、總賬、明細賬、匯總表直至會計報表，每一步都會有文字記錄和驗收人的簽名，審計人員可以從最初的會計憑證開始，對發生的經濟業務進行逐一審核，直到形成最終審計結果;也可以采用逆查法，從會計科目的余額開始，逆向核查，直至原始憑證，從而形成順查法和逆查法等審計方法。審計信息化條件下，審計線索發生了變化。會計數據的存儲介質和形式、會計數據的生成和傳遞形式都發生了變化，沒有了傳統的文字記錄和賬簿，取而代之的是存儲磁盤，使得從原始數據的錄入和財務報表的輸出都只能通過計算機來完成。傳統的審計線索消失了，審計人員就很難甚至根本無法通過肉眼跟蹤會計業務的處理，也無法用傳統的方法考查會計檔案數據的安全性、完整性和準確性。因為通過電腦數據庫輸出的數據正確與否，主要取決于計算機，而非審計人員本身。如果會計電算化系統的應用程序出錯或被人非法篡改，計算機只會按給定的程序以同樣錯誤的方式處理有關的會計事項，錯誤的結果將是不堪設想的，審計人員很難甚至根本無法通過肉眼跟蹤會計業務的處理，也無法用傳統的方法考查會計檔案數據的安全性、完整性和準確性，這就產生了審計客體風險。

　　(三)審計環境風險各國的審計界在以往的審計工作中已經建立了一系列的審計標準和準則，如審計人員標準、現場審計標準、審計報告標準、職業道德規范、審計效果衡量標準、財務審計標準和經濟效益審計準則等。但是，由于信息化審計的對象有了重大變化，審計線索、審計內容及審計技術也受到影響而發生一系列的變化，手工審計中所制定的審計標準和審計準則中的某些已不再適用，這就要求在日益發展的會計電算化系統環境下，應加快制定有關針對性的審計標準和準則，建立一系列與新情況相適應的審計標準與準則，如電算化審計人員培訓考核標準、電算化管理信息系統開發審計準則及其內部控制審計準則、審計應用軟件標準等都有待建立。相比ROIC、EVA 等許多現行的評價指標體系，目前我國還沒有比較完善的內部審計信息化評價體系。“沒有比較，就沒有進步”，如果我們沒有一套合理的、可量化的評價體系，就難以有針對性地進行完善和改進。這也給審計信息化帶來一定的風險。

　　三、內部審計信息化風險應對措施

　　(一)建立有針對性的內審信息化準則內部審計信息化使得審計對象、審計線索、審計方法等都發生了變化。人們在內部審計工作中逐步建立起的一系列審計準則已不適用于變化了的情況，而需要重新建立一套新的內部審計準則來指導審計工作實踐。在制定新的內部審計準則時要在考慮我國國情的前提下，大力借鑒國外的先進經驗。新的審計準則是對內部審計信息化的標準化，是衡量內部審計工作的標準，提高內部審計工作質量的保證。

　　(二)內審人員應加強對會計電算化內控的審計。計算機數據處理易于篡改而不易留下痕跡。健全的管理制度、職能分割制度、授權的控制制度等都是保證財務系統安全運行的基礎。對于計算機文檔及時的備份維護、防止病毒的侵害，都可以保障計算機系統的安全性。操作密碼設置必須健全，達到合理分工、相互制約、相互監督，防止出現意外。內部審計人員應給予處理數據的系統和數據本身更多的關注。著重做到以下兩個方面：一是職責明確。內審人員應該檢查組織結構、職權和責任的分配與分工情況、其目的在于確定職責分工是否能夠提供有力的內部控制，例如，程序與系統開發、計算機操作、輸入數據的控制、在可行的情況下應予以分離。二是安全控制。審計人員應該確定是否制訂了有關計算機硬件、計算機程序、數據文件、數據傳送輸入和輸出資料以及人員的安全規定。該項檢查應該不僅涉及中央處理站的計算機設備，還應包括其他地點的小型機、計算機終端、通訊設施及其他外圍設備。

　　(三)培養內部審計信息化環境下的復合型知識結構人才內部審計信息化對內部審計人員的提出了更高的要求，這就需要培養一支符合內部審計信息化要求的復合型知識結構人才隊伍。可以從兩個方面來著手：一方面要加快發展審計后備力量，尤其是高校大學生。可以在高校增設電算化審計專業，擴大注冊會計師專門化專業的規模，增強該類專業師資力量。課程設置中把審計類與計算機類課程作為兩大專業核心課程，加快造就一大批年輕的復合型人才，充實、壯大我國的審計信息化人才隊伍。二是加大對現有在職審計人員的計算機技能的培訓力度。應該讓審計人員真正看到利用計算機輔助審計的好處。通過使用，使他們對計算機的功能有進一步的了解，產生更大的興趣，提高自覺學習的積極性，然后分階段、分層次對現有專職審計人員在計算機知識、會計電算化系統的控制及計算機審計的技術方法等方面加以培訓，使他們能勝任審計信息化條件下的審計工作;在注重普及計算機知識的同時，還應該積極培養具有復合性知識結構的審計信息化系統開發人員，讓計算機技術人員學習會計和審計的基礎知識，使他們也加入到審計隊伍當中，成為電算化審計的專業人員。

　　(四)抓好事先審計是關鍵會計與審計在保證各自職能標準的前提下，為更好地體現兩者從系統的程序設計、開發到操作技術方面協調一致，防止各個環節實施過程中出現錯誤或漏洞，最好的方法就是在會計電算化信息系統設計與開發過程中。由審計人員直接參與，即實行系統的事先審計工作。事先審計可以直接監督系統開發過程必須按照標準的開發規程和方法進行，以保證系統程序及應用控制滿足會計管理需要并達到應有的質量。與此同時，審計人員直接參與系統的設計與開發，也為審計人員審查系統開發過程和評價應用控制提供應具備的條件。這些審計程序可以執行審計監督，建立審計跟蹤文件，記錄符合指定條件的會計事項及操作處理的有關信息，以便日后審計人員跟蹤追查這些程序執行審計功能。