企业组织内部审计信息化风险管控刍议

2013-09-30 06:39熊瑛
中国信息化·学术版 2013年6期
关键词:审计信息化风险

熊瑛

[摘要]在高新技术日新月异的如今,审计信息化是不可逆转的趋势;由于信息系统固有的脆弱性,审计信息化也有不可避免的局限性和风险因素。对此,笔者阐述了内部审计信息化过程中出现的系列风险问题,探索分析HN&司推进审计信息下风险管控的路径选择,在此基础上进行深度思考。

[关键词]审计信息化 风险 管控思考

[中图分类号]C29 [文献标识码]A [文章编号]1672-5158(2013)06-0169-01

一、审计信息化的风险问题

审计信息化尤其独特的时代优势,在目前乃至稍后的很长时间内代表着审计工作的发展趋势。不过,信息审计并非解决所谓问题的万能神药,由于信息系统本身特点所具有的脆弱性,将使审计面临一系列风险问题。具体而言,其中的主要表现点如下:

一是信息系统管理的缺失容易导致信息安全风险的产生。内部审计工作开展的基础是充分且真实的审计信息的获得,虽然各板块、各部门、各业务流程信息化建设的推进利于提升工作效率,但其系统管理本身及获取信息数据手段的缺陷容易导致信息安全问题,比如权限设置的混乱或失误及外界黑客的介入等因素会催生系列虚假信息,这对内部审计工作的开展是毁灭性地打击。

二是繁杂的信息量与相对有限审计人员之间的矛盾限制了信息审计工作推进的可行性。与传统财会工作相比,电算化或者信息化境遇下的财务信息基于信息系统的便利往往呈现系统喷涌的局面,业务数据呈现几何级增长,这在为审计工作提供方便的同时也带来了莫大的压力,数量相对有限、IT技术素养也相应缺乏、信息审计手段也不够成熟的审计团队可能在短时间内无法成功消化这些信息,这会让信息化审计工作寸步难行。

三是信息系统审计工作与传统审计工作的对接可能导致审计范围覆盖度不足或重复。信息审计与传统审计工作并非截然分开的,其间存在着三个问题,一是审计工作与公司信息化建设的同步问题,也就是说信息化建设所涉及的范围应当是信息审计工作推进的领域;二是信息审计工作与传统审计工作的并存和对接问题,要做到二者在范围、技术等方面充分协作和协调;三是信息系统的改新换代也往往催生信息审计代际之间的对接,也就是说两种信息系统的对接和融合问题。

四是审计信息系统的有限性可能影响审计工作进程甚至导致审计失败。审计信息系统是信息审计工作推进过程中的主要助手,不过其相对于组织内部信息化网络建设而言多是外在的异类和他者,其间的差异和兼容程度往往会影响审计信息工作的效率和成果。审计辅助系统与各类现运行系统的模板体系、数据接口以及数据类型的差异性,容易造成审计人员从接口导人数据后都要重新手工进行报表项目的定制和部分参数的调整,为了避免生成错误的财务报表定制后可能不能保存或者存在差错,加大了审计风险且浪费审计人员的时间和精力。

五是信息系统审计标准的缺失或选择不当往往影响审计工作的开展。信息系统审计工作开展的前提之—是适当标准的确定。如今,信息系统审计还没有一个统一的标准,中国内部审计协会发布的内部审计具体准则第28号-信息系统审计也缺乏具体做法和衡量标准的内容。具体到各企业组织,均未形成兼具科学性、可操作性的制度标准,难以满足整个经营系统审计的需要,在指导下属公司及职能部门推进信息审计工作开展方面的作用有限。

二、管控审计信息化风险的思考

针对如上几点及其他不可预料的风险因素,各类公司应该在现有信息系统审计工作的基础上,从如下几个方面着手,提升信息系统审计的水平。

一要努力转变观念,逐步将信息系统审计纳入常规审计的范围。要充分认识开展信息系统审计的必要性和重要性,信息系统涉及到公司的方方面面,公司能否完成既定的战略目标,保持系统的安全、稳定、持续健康发展,是其重要的基础。作为公司内部审计部门就是评价公司信息系统是否能够保证资产的安全、数据的完整,提出管理建议,协助管理层有效地履行经营管理目标。要从单纯的数据审计提升到信息系统审计的高度上来,要定期开展此项工作,保证公司经营管理信息系统安全和有效运行。

二建议尽早出台信息系统控制规范,尤其是对信息系统等级二和等级三系统,尽早识别其风险点和关键控制点,编制权限测试工具,以便于开展信息系统应用控制审计和测试。尽早出台信息系统审计操作指南,规范和指导信息系统审计实践,衡量和评价信息系统审计工作质量,防范和规避信息系统审计风险。

三要不断充实和培养IT审计人员。目前各类企业组织审计系统IT方面的审计人员较少,直接限制和影响了信息系统审计工作的开展,要实现信息系统常规审计的目标,必须注重IT审计人员的充实和培训工作,开展形式多样的信息系统审计培训,鼓励审计人员考取注册信息系统审计师等执业资格,在认证考试中学习、提高,逐步实现审计机构中IT审计人员三分之一的目标,只有这样才能适应信息化发展的需要,也才能使内部审计充满活力。

四要逐步完善审计管理信息系统与相关信息系统的接口工作,如与财务系统、资产系统、合同管理系统等系统的接口,真正实现审计的网络化和远程化,做到实时控制、过程监督。例如利用并行模拟技术测试系统运行程序的控制功能;利用嵌入式审计技术监控数据处理业务;利用数据分类符合技术审查数据库等。

五要注重信息系统审计的审前调查工作。由于信息系统的复杂性、多样性等特点,加之信息系统审计在很多企业刚刚起步,在国内属于探索阶段,是一项全新的审计工作,要将信息系统审计做好、做透,必须要重视信息系统审计的审前调查工作。通过审前调查,初步分析信息系统在开发、运行、管理及维护中可能存在的问题与风险。为下一步审计实施时明确审计范围、确定审计重点打基础。

六要逐步开展信息系统开发建设期的跟踪审计。由于信息系统建设投资大、周期长、投入运行后升级维护成本高等特点,建议在条件成熟时立项开展信息系统开发建设的过程跟踪审计,及时发现信息系统前期建设的缺陷和漏洞,避免投入运行后出现重大问题。

三、结束语

李金华审计长指出“审计信息化是一场革命,能不能在这场革命中掌握主动权,直接关系今后审计事业的发展”。中石油审计信息化工作正是适应了时代发展,是审计工作发展和创新的技术支撑,更是促进内部审计转型的战略部署。通过对QH公司在审计信息化方面的探索和实践的简单描述证明:在加速推进审计信息化工作的进程中,虽然审计信息化带给我们更多的审计便利条件,可以提高审计质量和效率,但是这种效能并不意味着潜在的风险就消失了,严格意义上来说,只是风险一种转移。在这种情况下,石油企业应该克服对新事物过度期望和依赖的惰性,应该正视系列新的风险因素,据此出具多种系统举措,推动实现多方面的转型。只有这样,才能切实推进审计信息化工作,安全地为内部审计工作的创新提供有力的技术手段,稳健地为内部审计工作的转型提供不竭的动力,不断促进内部审计持续发展。

参考文献

[1]任玉珍,信息审计的内容框架分析[J],农业网络信息,2009(07)

[2]娄策群,高策,信息审计方法比较研究[J],图书情报工作,2009(02)

[3]黄亦西,信息审计与知识审计的比较研究[J],情报杂志,z005(10)

[4]于玉林,会计信息化会计整合论[A],中国会计学会第四届全国会计信息化年会论文集(上)[C],2005

[5]吴沁红,从会计信息化角度探讨CPA考试改革[A],中国会计学会第四届全国会计信息化年会论文集(下)[C],2005

猜你喜欢
审计信息化风险
浅谈审计信息化建设
浅析企业如何开展ERP风险审计
我国P2P网络借贷的风险和监管问题研究
浅析应收账款的产生原因和对策
中国经济转型的结构性特征、风险与效率提升路径
互联网金融的风险分析与管理
企业纳税筹划风险及防范措施
政府投资项目的审计信息化现状与解决办法
基于云计算的企业审计信息化应用模式探讨
我国企业审计信息化发展的困境及解决策略研究