当前位置:首页->交流->实务
信息化环境下企业内部审计思考
2009-03-24 10:50:34
“信息化环境下的内部审计”专题:
 
信息化环境下企业内部审计思考
 
马睿 徐辉
 
 
    进入二十一世纪,计算机技术进步带来的信息化对现代社会发展产生了越来越深刻的影响,并已渗透到了政治、经济和文化等各个领域。信息化作为推动现代社会经济增长的“发动机”,促进了产业结构的调整和转换;信息化作为推动现代社会科技发展的“金钥匙”,促进了工业社会向信息社会的过渡和提升;信息化作为推动现代社会信息沟通的“高速公路”,促进了人们生活方式的革新和进步。随着财务信息系统、管理信息系统(MIS)、企业信息系统(EIS)、企业资源规划(ERP)、客户关系管理(CRM)、电子商务(EC)、虚拟企业等信息管理系统的运用,信息化已成为企业促进内部管理和控制最有效的手段。同时,信息化也对企业内部控制重要组成部分的内部审计产生了深刻的影响,使其职能作用、控制内容、监督形式、工作环境等方面发生了重大的变革。因此,深刻分析信息化对内部审计的影响及两者之间的关系,认真研究信息化环境下企业内部审计工作的思路,对进一步推进我国内部审计工作的发展具有重要的意义。
 
一、信息化对企业内部审计的影响
 
    信息化是指企业利用现代信息技术,通过对信息资源的深入开发和广泛利用,获取、处理、加工企业在生产管理过程中产生的各种信息数据,并通过网络系统传输,供管理者了解、分析内部管理状况,提高企业经济效益和竞争力的动态过程。这个过程不可避免地会对企业内部环境和内部审计造成深刻的影响。
 
    1.信息化对企业内部审计环境的影响。审计环境是对建立和实施企业内部审计具有重要影响的各种要素的总称。信息化环境下,企业的运营、财务、控制等内部管理环节普遍采用了信息网络化系统。企业的业务流程更加便捷,采购、生产、销售、服务等经营流程更加高效,内部运营过程的分析、调整、控制等管理流程更加合理。同时,管理层次和步骤减少,执行时间和误差大大减少,使效率明显提高。此外,信息化也必然对企业的管理哲学和企业文化产生一定的影响。由于审计环境的变化,必然要求企业的内部审计工作从过去人工和计算机辅助审计管理模式,逐渐过渡到了以计算机和信息网络系统为主的审计管理模式。因此,加强对信息系统的控制审计,降低信息化给企业带来的风险,为企业提供一个良好的发展环境,将是内部审计重要的工作内容。
 
    2.信息化对企业内部审计技术方法的影响。信息化环境下,企业在进行管理控制、环境监控、信息沟通、风险评估等内部控制活动时,其形式和载体已从传统的人工观察、现场监控、书面送达等,过渡到远程控制、自动处理、数据共享、网络传输等现代形式。因此,为适应环境的变化,企业内部审计也逐渐在过去人工方法基础上,探索适应信息化环境的审计技术方法。即从过去依靠人工方式进行审计,转变为利用信息系统高效、准确的处理、控制和传输的功能开展审计。因此信息化环境下的内部审计方法将更经济、有效,审计结果也将更客观、准确。但由于我国目前尚未具备完善、规范的信息网络监管机制,使得各个独立开发的信息系统之间缺乏兼容性,功能互不相同,数据资源无法共享交互。并且数据处理的过程是由计算机程序自动完成,简化了以往人工操作的步骤,因而掩盖了肉眼可见的审计线索,难以发现错误。即使发现也难以查出是哪个环节。另外,人们往往会过分相信计算机输出的书面账、证、表等相互平衡的结果,忽视计算机是由人来控制,存在着数据输入错漏、作弊不留痕迹、不易按步骤追查等问题,给审计带来了新的风险,也对信息系统本身的先进性、安全性提出了较高的要求。
 
    3.信息化对企业内部审计线索证据的影响。审计线索对内部审计而言是最为重要的基本要素。信息化环境下,收集和跟踪审计线索,获得审计证据的方式、方法等发生了变化。一是审计所需的数据和信息的获取方式从过去传统的人工观察、手工统计或测量改变为利用信息系统完成数据采集、录入、分析、处理及形成报表,因而原本在人工环境下能够逐步产生、发现的审计线索或证据就可能由于系统的自动处理功能而消失或中断;二是数据存储的方式由传统的纸质改为磁盘或光盘,使数据和信息的存储容量更大,复制保存更加容易长久,应用更加广泛便利。但在受到外界威胁、系统崩溃、人员操作不当、未做好资料备份等情况下,审计线索和证据就有可能被盗取、篡改或消失,给内部审计工作带来不可估量的损失;三是信息数据调用的授权均通过事先设定的系统程序执行。由于授权签字不保存在纸质文件上,信息数据易被复制、修改、删除,并且无法实现书面签字盖章,使信息系统上的审计数据缺乏有效的证据力;四是数据和信息传递方式从过去手工环境下的纸质文件、电话、传真等传统手段,转变为局域网和互联网等现代手段,信息的交流和传递更加快捷和准确。但在系统网络不稳定时易受干扰,传递过程中也面临被盗取、复制、修改的风险,使审计线索和证据的真实性及公证力受到影响。
 
    4.信息化对企业内部审计准则规范的影响。审计准则是审计机构和人员开展审计时应当遵循的基本规范。由于审计环境、审计技术、审计方法手段、审计数据载体等发生变化,原有的内部审计准则已不能满足信息系统审计的需要。虽然为适应计算机信息技术的快速发展,我国也颁布了一些相关的准则和规定,但这些大多只适用于审计机关和社会审计机构,并不完全适合信息化环境下内部审计工作。因此,必须对现有内部审计的一般准则、工作准则和报告准则等重新进行定义、修改和补充,加强信息系统内部审计工作管理体制建设,统一信息系统内部审计技术标准明确信息系统内部审计人员技能要求,建立和完善适应信息化环境的内部审计准则体系。
 
    5.信息化对企业内部审计人员素质结构的影响。信息化环境下,由于企业管理信息系统的普及和计算机审计系统的推广和运用,对内部审计人员的素质结构要求进一步提高。审计人员除了要具备基本的执业操守、道德素养、专业水平、职业判断外,还应了解信息化对企业内部控制管理的影响,具备一定的计算机技术、互联网络、信息系统等现代科技的应用和操作能力,以更好地适应信息化对企业发展的要求。
 
二、内部审计对企业信息化的影响
 
    信息化对企业内部审计工作环境、方法手段等各要素都产生了深刻的影响,促进了内部审计的发展。同时,内部审计的发展也必将影响企业信息化的进程,二者的关系和影响是互动的。在企业信息化的不同阶段,内部审计的影响也不同。按照内部审计在企业建设、实施到维护信息系统的过程中所发挥的作用,其对企业信息化进程的影响体现在三方面:
 
    1.内部审计对企业信息化建设经济性和合理性的影响。企业信息化是一项涉及面广、时间持久又耗资巨大的系统工程,它的建设过程和实施效果取决于管理层的信息化认识、制定的规划方案和项目的管理效率,而这些主要是参考内部审计部门提供的相关评估报告。为此,充分发挥内部审计在企业信息化建设中的作用,对信息化进程、项目管理、资金运用等进行审计和评估,实现信息化的短期效果,保障信息化的后期升级和维护,防范信息化项目资金被侵占、挪用和浪费的行为,促进企业信息化建设的经济性和合理性。
 
    2.内部审计对企业信息化实施正确性和有效性的影响。在企业信息化进程中,原始数据的准确、完整和规范与否,是保证企业信息化能否正确有效实施的关键因素。如果企业在差错、漏弊的原始数据基础上建立和实施信息化,将无法发挥信息化应有的作用,它的正确性和有效性也值得怀疑,甚至可能因为数据信息错弊误导管理层的决策,导致巨大的损失。因此,充分发挥内部审计在企业内部管理中的作用,对企业运行过程中的各种数据进行监督和控制,对保证企业信息数据的准确、完整和信息化本身的有效具有重要意义。
 
    3.内部审计对企业信息化系统安全性和可靠性的影响。信息化环境下,企业的日常营运更多地依赖于信息系统所提供的信息。因而信息的准确性和及时性,将直接影响到管理层对企业管理的效率和效果。信息系统的失效崩溃、重要数据的丢失、商业秘密的泄露等都将给企业带来巨大的损失。因此保障信息系统的安全性和可靠性将成为信息化企业的重要任务,需要完善的制度安排和机制建立。对信息系统本身进行审计就是行之有效的重要手段之一。加强和完善对信息系统的审计控制,能够堵塞信息系统面临的缺陷和漏洞,保障信息系统的安全性、可靠性和稳定性,发挥信息化对企业发展的促进作用。
 
三、信息化环境下企业内部审计工作思路
 
    在信息化环境下,企业的运营、财务、控制等内部管理环节也普遍采用了信息网络化系统,逐渐实现无纸化和自动化管理。为此,大力推进计算机技术、网络技术、数据库技术在审计工作中的运用,逐步实现内部审计信息化,是促进审计技术现代化、审计工作规范化的有效途径和必然趋势,也是改善企业内部控制状况、降低运营成本和风险、增加企业价值的重要手段。
 
    1.建立动态监控体系,完善内部控制管理,是实现内部审计职能的有效途径。信息化的应用使内部审计范围由传统的财务及经济效益审计,逐渐扩大到财务领域之外其他所有管理活动的管理审计方面成为可能,也使内部审计职能由独立的经济监督转变为以服务为导向的经济控制。因此,建立信息化的动态监控体系,及时获取信息数据,实时开展监控活动,是完善企业内部控制管理,实现内部审计职能的有效途径。一是采用先进的信息系统,在企业生产经营、财务管理、人力资源等各个环节建立监控点,统一数据接口,实现数据共享,对企业的生产、管理、业务流程和财务状况进行监控、分析和审计,实现内部审计的监督职能,促进内部控制制度的合理性和完善性。二是实时采集不同时间、不同层次、不同来源的数据,并进行整理、加工、比较,对企业内部控制运行效率进行检测和评估,发现内部管理中的薄弱环节和程序漏洞,提出改善建议和措施,实现内部审计的评价职能,促进内部控制活动的可行性和有效性。三是利用信息化快速、高效的优势,实施在线审计,对企业经营和财务运行状况进行动态核查,保证信息数据和资料真实、准确,识别、预测、评价和指导企业应对和规避风险,实现内部审计的控制职能,促进内部控制机制的安全性和可靠性。四是利用内部审计不参与企业任何具体业务活动的独立性、客观性和权威性,充分发挥信息化优势,将原来事后的静态审计转向事前、事中和事后全过程的动态审计,扩大审计范围,拓展审计空间,全面评估企业业务流程的效率效益,帮助企业重组适应信息化的业务流程,降低成本、改善质量,实现内部审计的咨询职能,促进内部控制结果的经济性和正确性。
 
    2.引入信息化技术,运用科学的审计方法,是提高内部审计工作效率和效果的重要手段。信息化环境下,内部审计的目标、对象、范围等都发生了变化,因此适应信息化要求,不断更新、充实、完善内部审计的技术方法,是节约审计成本,提高工作效率和效果的重要手段。一是信息化环境下,内部审计采用的技术方法主要有一般方法和特殊方法两类。一般方法主要包括抽样法、观察法、盘点法、书面描述法、系统文档审阅法、核对法、函询法等人工方法。特殊方法主要包括检测数据法、程序编码比较法、受控处理法、平行模拟法、嵌入审计程序法、程序追踪法等信息技术方法。这些方法在内部审计中应当互为补充,不能偏废,才能发挥最佳效果,实现审计目标。二是信息化环境下,内部审计工作应当根据不同的审计对象、内容、类型运用恰当的审计技术方法,减少工作误差,提高审计工作效果。如对信息系统的硬件设施和系统软件进行审计时,可以采用观察法、系统文档审阅法对系统的运行状况进行了解;采用书面描述法、表格描述法对系统的运行状况进行描述;采用检测数据法、平行模拟法对系统的运行状况进行检测,并做出评价。三是引进或自行编制专业的审计软件开展内部审计工作,形成一套完整的信息化内部审计系统,从单机审计到内部局域网审计,并发展到对异地分支机构的远程网络审计,不断扩大信息化审计的覆盖面,提高内部审计工作效率和质量。
 
    3.实施信息系统审计,加强信息综合治理,是保证信息系统安全稳定的基本前提。随着信息化在企业中的应用和发展,企业管理手段、业务流程和数据处理都依赖于信息系统的运行,因此信息系统的安全、稳定和有效是企业在信息化环境下正常运营的前提条件。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国内外审计界的一个共识。实施信息系统审计,加强信息系统综合治理,能有效地预防和规避风险,是保证企业信息系统安全稳定的基本前提,也是内部审计发展的崭新领域。一是对系统数据的采集、复核、使用、披露、修改、备份等情况进行审核,判断数据是否被篡改、丢失、剽窃,系统是否受到破坏、非法入侵等攻击;对水灾、火灾、地震、台风等灾害性恢复机制进行审核,判断采取的措施能否将损失和影响降至最低,以此评价企业信息系统的机密性和安全性。二是对系统硬件的先进性、软件的实用性、数据库的完整性、设备的可靠性、网络的稳定性等进行测试,发现信息系统的设计缺陷、程序错误;对系统的建设计划、参数设置、开发实施、设备维护等运行环节进行审计,防止系统崩溃,控制故障影响,以此监督企业信息系统的稳定性和可靠性。三是对系统的资金预算、管理制度、设计标准、人员配备、运行成本等情况进行审计,评价信息系统业务和负载是否均衡;对系统的资源利用效果进行核查,判断系统运行的成本效益状况,以此确保企业信息系统的经济性和有效性。四是对与系统相关的开发活动,包括企业信息化规划、信息系统深度开发计划和升级更新目标等活动进行审计,以此促进企业信息系统的科学性和前瞻性。
 
    4.加强审计队伍建设,改善审计人员素质结构,是开展信息化内部审计的必要条件。信息化是计算机技术、网络技术、电子电磁技术等现代科学技术的高度集成和运用,这就要求内部审计人员是既熟悉企业内部经营管理和整体运作情况,又掌握信息科技手段的复合型审计人才。但目前大多数内部审计人员素质还不能满足信息化环境下开展工作的要求。因此,在企业信息化和审计信息化的环境下开展内部审计就必须:一方面更新审计理念,建立健全适应信息化要求的培养、选拔、考核体系,对现有的内部审计人员进行信息系统知识培训,使其具备一定的信息化应用和控制能力,适应新形式的内部审计工作。另一方面引入信息和网络专业人才充实审计队伍,并进行有关政策、法规、准则和专业知识的培训,使其具备基本的内部审计职业道德、一定的财务审计知识和必要的专业判断技能,以适应现代内部审计信息化发展的需要。
 

(本文内容仅为作者个人观点,不代表任何审计机关和本网站的观点,未经许可,不得转载)