当前位置:首页->交流->实务
内部审计信息化管理发展的现状与前景
2008-12-29 10:19:40
“信息化环境下的内部审计”专题:
 
内部审计信息化管理发展的现状与前景
 
伍卫东
内蒙古电力公司审计部
 
 
    随着中国经济的快速发展,与世界经济发展的差距越来越小,这意味着人才、技术、商品、信息、资本等会在全球流动和优化配置,这是现代经济发展的总趋势。也给我们内审人员提出了一个严峻的课题,那就是面对经济全球化、信息化的挑战,内审人员如何在激烈的市场竞争下,发挥内部审计应有的职能,为企业服务,实现增收节支、节能减耗、堵塞漏洞提供合理化建议。
 
一、信息化内部审计的现状与挑战
 
    中国向世界各国敞开了国门,世界各国同时也向中国敞开了国门。世界了解我们,我们更应该了解我国发展的国情及法律法规,了解中西方文化思想、工作差异,认清国际一体化发展方向。随着社会审计市场的开放,竞争日益激烈。我国内审发展历史不长,内部审计人员专业单一,专业素质参差不齐,而内审从业人员的专业胜任能力和技术水平是决定我国内部审计工作质量的关键,如何使内审工作走向国际化专业标准,且尽量避免受到国际经济大潮的冲击。
    1、信息技术的迅猛发展,现在被审计单位的信息化程度越来越高,已经进入“无账本”环境,审计人员面临进不了门、打不开账的危险。有计算机、网络技术和电子商务等知识的审计人员,会因为审计线索的改变而无法进行审计;会因为不懂得网络经营与网络财会的特点、风险及其应有的安全控制而不能识别、审查和评价企业的风险和控制;会因为不懂得信息系统及其开发而无法对信息系统的功能和开发进行审计;会因为不懂得计算机和INTERNET的使用而无法利用计算机审计。为了在网络化条件下能更好地执行审计监督、签证和评价任务,审计人员不仅要有会计、审计、经济、管理、法律等方面的知识,而且要掌握计算机、网络、信息系统、INTERNET和电子商务等多方面的知识和技能。
     2、缺乏统一的计算机审计准则和标准,开展计算机审计存在较大风险。由于审计工作的环境、审计工作的对象、审计范围、审计线索等基本的审计要素都发生了巨大的变化,原有的审计准则、标准与规范已不能适应计算机审计的要求。而相应的计算机审计准则还没有出台,对审计人员开展计算机审计的安全性、科学性、审计证据可靠性等方面带来极大的风险和障碍。这些风险主要包括:一是由于对计算机知识缺乏足够的理解,以及不安全的数据采集方式可能会带来的企业机密与商业机密的泄露;二是审计证据的充分性得不到保证,由于过分依赖计算机技术可能会导致检查效率低下,取证范围狭窄;三是由于审计人员过分依靠计算机技术,从计算机系统直接收取证据,但由于有的被审计单位计算机运行缺乏有效的控制,使得审计证据的可靠性得不到保证。审计依赖于线索,审计签证依赖于“数据证据”,然而,计算机信息系统中,可视审计线索存在着消失的趋势审计需要跟踪的审计线索,以电磁信号的形式分散在磁性介质上,这些线索即容易被更改隐匿和消失,也容易被转移、销毁和伪造。我于2003年对一电厂实施经济责任审计时发现该企业维修职工住宅楼工程费挤占大修成本,当时由于非典撤离原因,未及时该信息取证,结果非典结束后再查帐,查无此项。这是一个标准的销毁电子信息案例。如果内审人员对计算机操作不当,很可能破坏系统的数据文件和程序,从而销毁了重要的审计线索,甚至干扰被审计单位信息系统的工作。因此,在信息系统的设计和运行中,如何保留并按需要及时、准确地获得审计线索是完成审计任务的关键。
    审计取证的实时性和动态性在网络信息系统最为明显,被审单位信息系统好比是一个不可或缺的神经系统,系统如果停止工作会直接影响被审单位的生产经营活动因此,审计人员在对被审计单位的信息系统进行审计时,往往是在系统日常运行过程中实时地和云集地进行审计取证,这就要求精心设计与安排取证点,即不可能影响被审计单位的信息系统的正常运行,又要按时按质地完成审计取证的任务。有些审计软件的使用没有经过实际工作中的科学测试,或本身的软件就存在设计的缺陷。这需要我们在实际工作中长期磨合,不断向设计人员反馈信息,提出要求,使审计软件趋于实用、合理、准确。
    3、计算机审计对审计工作的方式、程序、质量和管理,乃至审计人员的思维方式和自身素质都会带来深刻的影响。为此要大力强化审计人员开展计算机审计的紧迫性的认识,通过学习培训提高对计算机及网络知识的认识,使每位审计人员不仅要了解计算机知识和原理,而且还要增强开展计算机审计的意识,并掌握计算机审计操作方法,逐步能根据审计过程中所出现的种种问题及时编写出各种测试、审查程序的模块。
 
二、信息化内部审计的发展
 
    随着审计的发展,逐渐由原来的事后审计发展到事前、事中审计,面对如此广泛的审计对象,利用传统方法进行审计已显得越来越“心有余而力不足”。将计算机及网络技术引入审计工作建立审计信息系统,实现审计工作的办公自动化已刻不容缓。
    (一)转变观念,正确认识计算机审计,形成有利于实施计算机审计的好环境。推进计算机审计,是内审事业与时俱进、开创信息社会条件下审计工作新局面的客观要求;是内审工作求真务实、贯彻“全面审计、突出重点”指导方针的现实需要;是实现内审创新、提升审计成果质量水平的有力保证。计算机审计对审计工作的方式、程序、质量和管理,乃至审计人员的思维方式和自身素质都会带来深刻的影响。  
    (二)加快制定计算机审计准则、标准与规范,有效规避计算机审计风险。制定科学完善的计算机审计标准与规范是搞好计算机审计的重要保障。企业需要重新确立系统的内部控制点,以保护资产和经营的安全。主要包括操作系统控制、会计数据来源控制、系统开发及维护控制、应用控制、计算机中心控制、工作站控制等。在互联网环境下,要保证电子商务的正常进行,必须把内部控制扩展到企业内联网以外的系统空间,进行外部控制。主要外部控制包括边界控制(如防火墙技术)、大众访问控制(如邮件系统控制)、电子商务控制和远程处理控制。制定计算机审计标准和具体准则时,应在考虑我国国情的前提下大力吸收借鉴国外先进经验,应侧重于对计算机审计的概念、计算机系统内部控制的评价、计算机审计人员的资格条件、计算机审计过程、相关的审计技术以及证据收集等方面做出规范,给予具体明确的阐明。
    (三)全面提高审计工作整体信息化水平,实现审计系统信息资源共享。必须依靠信息网络技术,对分散的信息实行统一管理和使用,对审计系统信息化建设向集约化发展,全面提高审计信息化管理水平,逐步形成规范的信息共享作业平台。一方面要做好信息收集、整理的协调工作,建立健全分层次的审计数据库,包括宏观经济、法律法规、审计对象以及审计机关人力资源、审计工作中形成的审计结果和审计专家经验等信息。发挥信息化手段在资料收集、信息传输、数据统计、指标分析、档案存储等方面优势。另一方面要依靠有效的网络,分层次地形成信息共享。这方面的工作做好了,计划管理、质量控制、人力资源的整合和审计成果的运用等都会依赖这个平台方便有效地展开。             
    (四)搞好审计人员和计算机人员的人力资源整合,充分实现资源优势互补。读得了财务报表的审计师读不懂计算机语言,能阻挡黑客的网络高手堵不住财务黑洞。为避免上述情况,不必要也不可能等到培养出大批IT审计师代替现有的传统的审计师时,才来进行计算机审计,特别是信息系统审计,“一万年太久,只争朝夕”。当务之急是要求懂得审计技术的审计师们,能懂得一些网络和计算机信息技术;会操作通用和某些专用审计软件来辅助审计工作;同时要求他们尽可能地了解被审计单位的信息系统的情况,主要是其所采用的安全技术和实施计算机系统内部控制的情况;能为网络经济时代的财务安全把好关;能适应计算机网络审计条件下风险基础审计所具有的新特点,进行某些风险控制。积极探索联网审计,尝试开展系统审计,储备相关人才。(2006年4月国家电网公司抽调全国电力不同专业的审计人员对西部网省局实施联合专项审计,全部人员都配备笔记本电脑,统一安装审计软件,实施在线审计,同时配备一名专业工程师随时解决工作中遇到的软件问题,每晚将审计结果传往国家电网公司审计部,国网审计部对掌握的信息即时提出指导意见,开创了国家电网信息审计的先河,收到了很好的成效,为电网信息化审计化平台的建立积累了宝贵的经验)。在大量计算机审计实践的基础上,从业务操作层面上加快联网审计的实践,切实推进计算机审计。结合实际、注重创新是计算机审计的有效方法。另外以审计业务为根本,有准备地先在某一个行业进行试点,比较全面地剖析其计算机系统总体架构和运行、控制功能的执行情况,尝试各种有效的审计程序,逐步将数据审计与系统审计结合起来,探索中国特色的系统审计模式,并同步培养相关人才强化培训,不断推进审计队伍建设。培养技术人才、提高全员素质。审计部门应努力培养一批既掌握现代审计理论与技术又精通计算机知识与技能的新型复合型人才。一是要提高培训的针对性、实效性,使培训内容能很好满足计算机审计的实际需要。二是要突出重点,培养骨干,以点带面。在搞好全员计算机基本技能普及培训的基础上,重点要加强审计业务骨干计算机中高级培训,将其逐步培养成为推进计算机审计的 “排头兵”。三是培训工作要连续、系统,满足不断推进计算机审计的需要。让更多审计骨干通过培训、实践、再培训、再实践的良性循环,拓展技能、提高能力,成为推进计算机审计的中坚力量。
 
三、信息化内部审计的作用
 
(一)信息化内部审计要达到不减人既增效的结果,大力提高工作效率
    内审信息化平台建立后,每个审计组有6-8人就可以完成一个综合审计项目,即生产、工程、营销、管理、财务和计算机编程人员各一名。彻底改变原来每个综合项目审计组二十几个人的模式,还大大提高了工作效率。
    我公司工程审计处原有6人,每天要计算大量的工程量,工作繁重而紧张,常常完不成工作任务。从2004年开始使用自行开发的工程审计软件,结合EXCEL、WORD等办公软件实施工程审计,利用公司MIS局域网和INTERNET网资源,逐步建立起工程信息管理网络平台。将工程审计的审前调查、数据采集、编辑底稿、确定审价结论等工作在网络平台上合理安排、集约处理,发挥了信息化审计在资料收集、信息传输、数据统计、工程量分析、档案存储等方面的优势,做到每个工程审前“胸有成竹”,审计实施时“从容不迫”。工程审计处发挥信息化审计平台的优势,除施工图纸工程量计算暂时未实现微机计算外,其余全部(标准定额的套用、补充定额的套用、各种专业定额的工料库、定额说明、各种专业定额的取费系数及取费公式、运杂费及特运费、预备费、税金以及贷款利息等数据库)交计算机处理,节约大量的人力物力,提高了工作效率。实现2005年以来3人每年审核工程上百项,审核工程造价20多亿元,审减工程造价2亿多元的好成绩,受到公司的嘉奖。
(二)实施远程同步审计,遇到问题总部“会诊”
    每个审计组到现场实施审计,对被审单位相关数据进行采集备份后,对于现场解决不了的疑难问题和紧急重要事项通过网络传回总部,总部可以随时召集专家会诊对问题进行分析和决策,找出解决问题的方法,再通过网络返回审计现场,达到远程同步审计,专家随时指导。总部还可以及时掌握被审单位内控情况、财务管理、工程进展、审计现场进展情况,人员配置及工作效率等诸多情况。
(三)拓宽内审的工作领域
    传统审计的职能已逐渐发挥不出应有的作用。内审的发展应向更高、更远的层次发展。加大内审人员对计算机知识的学习,利用计算机进行审计,在本单位内部建立一个完善高效的审计信息化系统和审计操作平台,对内部财务信息系统和会计工作有效监控与评价,对本单位资金、资产及各种经营活动随时掌握。改变目前手工作业为主的审计方式,提高内审部门在信息化条件下实施审计监督与评价的能力,变事后审计为事关、事中审计,由单一的静态审计转为静态与动态审计相结合。
    此外,内审应从单纯依靠内部审计人员力量向内外审相结合的方向发展。这样不仅缓解内审人员少任务重的矛盾,也有助于提高内部审计工作的效率与质量。还可以试行建立兼职审计人员人才库,将多元化人才充实到审计中来,用以补充审计力量的不足,将本企业的各种专业的优秀人才聘为兼职审计人员或建立优秀人才专家库,当需要是抽出专业人才集中解决问题,事后解散,既解决了专业人员缺乏又解决了审计人员特殊专业欠缺的问题。
    扩大审计范围,围绕本单位管理层对经营目标,检查某项管理职能或业务是否建立并遵循了相关制度程序,是否达到地预期的效率、效果,及时提出改进建议或措施,实现管理层的战略意图。内审部门审计重点不仅应从现在的财务收支审计、经营责任审计、合同审计等方面着手,还应逐渐向内控制度评审、营销管理审计、工程项目审计、质量控制审计、风险管理审计、管理审计等多个方面发展。加强审计与被审单位的业务配合,变带任务审计为被审单位主动要求审计,使内部审计真正融入企业经营管理中去,把内审工作提高到一个新水平,充分发挥内部审计在公司治理中的重要作用。
 
    信息技术迅猛发展,并正以其广泛的影响和强大的生命力向社会生活的各个领域、环节和细胞迅速扩展和渗透,信息的全球化、数字化、网络化已势不可挡。社会信息化已是不以人的意志为转移的世界潮流。可见,在网络信息时代,信息化内部审计的发展带来了契机与挑战,要求审计人员掌握现代化信息技术(包括计算机技术、通信技术、网络技术),对网络信息时代的审计进行全方位的开拓。现阶段,对信息化内部审计仍然需要不断地完善和研究信息化内部审计的发展,要求信息化内部审计工作跟上它的发展,要求我们做好会信息化内部审计的各种准备,具有应用计算机数据处理系统的丰富知识。信息化极大地改变了内部审计工作的环境,面对变化,只有高度重视,并正确应对,才能保证新形势下内部审计职能的充分发挥,才能满足不断发展的对内部审计工作的要求。