浅谈公安内部审计信息化风险的对策

佘映华

随着公安内部审计信息化建设的发展，内部审计技术及内部审计项目的管理与传统的内部审计工作相比发生了较大地变革，内部审计信息化规范了内部审计工作流程，提高了内部审计工作的质量和效能，但同时也增加了审计风险。因此，正确认识内部审计信息化风险，有效控制和规避审计风险，对于保证内部审计工作质量，确保内部审计“免疫系统”的功能，有着十分重要的意义。本文结合江苏警官学院对江苏公安审计作业系统平台应用，对内部审计信息化风险的应对提出一些粗浅的看法。

一、内部审计信息化风险及成因

内部审计工作信息化是指内部审计机构以信息技术为手段，组织审计项目管理、实施审计的全过程，以及以确认审计风险或评价组织信息系统、优化组织运营为目标，对组织营运所依赖的信息系统进行独立的、客观的确认和咨询活动。因此，公安机关内部审计信息化主要包括两方面:一是以信息技术为手段开展内部审计工作的过程，即计算机辅助审计技术(CAATS)；二是指公安机关内部审计部门以组织的信息系统为对象，以风险评估或内部控制检查为手段，对该系统所产生会计信息的真实、合法性作出确认，或通过优化组织信息管理，增强组织的核心竞争能力，即信息系统审计。①曹燕、常京萍:《企业内部审计信息化战略研究》，《会计之友》2010年第10期。审计风险主要包括错报风险、检查风险，而随着审计信息化工作的发展，审计风险主要是错报风险、检查风险及系统风险。因此，内部审计信息化风险主要有以下几个方面。

（一）错报风险

是指审计数据规范性、准确性的风险。在传统的内部审计工作中，审计数据主要存在于纸质帐本中，通过凭证、账册、会计报表及其他相关纸质资料展现整个经济活动的过程轨迹。随着会计电算化普及，这些审计数据都是以电磁形式存储的数据库数据。内部审计信息化后，审计工作都是从被审计单位服务器上取出数据后，通过审计软件进行审计分析。由于数据的可修改性，审计数据的规范性和准确性就存在着较大风险。主要是由以下几个方面的原因形成的:一是由于单位内部控制制度不健全，或者执行不力，不相容职务没有得到完全分离，财务人员越权对程序或者数据库操作处理；二是被审计单位为了迎接审计，人为对相关被审数据进行处理；三是由于数据处理和保存不当，造成数据的丢失或者缺失，从而造成数据的准确性受到影响。

（二）检查风险

是指审计人员应当发现而未发现，从而发表不恰当审计结论风险，主要是由于审计专业判断能力不够而产生的。审计专业判断力是指内部审计人员在审计工作中，通过自已掌握的专业知识和工作经验，对客观审计对象和主观审计行为作出的合理的专业认定和评价。审计专业判断能力是审计人员在长期的审计工作中根据自己所掌握的审计专业知识、工作经验所养成的一种思维判断能力。在传统审计工作中，所有的数据及经济活动都体现在纸质媒体中，而内部审计信息化以后，将面临信息化的审计环境，在审计工作中不仅涉及财务、审计、工程、法律等专业知识，还会涉及信息技术以及信息内部控制等专业知识。审计信息化以后，审计线索也变得电子化，更加隐蔽，难以发现。因此，在审计工作中判断客体变得复杂，判断标准变得模糊，如果局限于原来传统审计工作中所养成的审计专业判断能力，在审计工作中就有可能带来较大的检查风险。

（三）系统风险

是指内部审计信息系统自身风险。审计信息系统包括两个部分，一部分是硬件部分，另一部分是审计软件部分。审计信息系统的风险也主要是来自于这两个部分，一是计算机及网络硬件的质量不过关；二是审计软件的不稳定所引起的，目前各种审计软件开发得较多，但有不少软件在开发过程中，不注重征求审计人员的意见，虽然财政部颁布了《财政业务基础数据规范》，但不少审计软件在数据接口上做得不完善，使财务数据的采集、转换受到限制，加大了审计风险。

二、公安机关内部审计信息化风险的对策

控制和避免内部审计信息化风险是提高内部审计工作效率、确保审计项目质量的关键。根据对审计风险的分析，发现并控制错报风险是前提，控制和避免检查风险是关键，确保审计信息系统的稳定性是保障。

(一)认真检查审计数据，确保审计数据的规范性和准确性

错报风险是指财务数据在审计前存在重大错报的可能性，因此在审计准备阶段，要对审计数据的规范性和准确性进行确认，主要通过以下几个方面进行。一是了解被审计单位所使用的信息系统、信息运行平台的运行环境、信息系统安全和风险，做到心中有数。二是对被审计单位信息系统的内控制度和执行情况进行测试，检查被审计单位是否根据职责不相容的原则进行了会计核算，信息系统的人员分工、权限的设置是否合理、严密、明确、完善，根据内控情况确定电子数据可信度。三是对审计数据进行检查测试，确认审计数据的真实性。在审计工作中，可以充分利用被审计单位本身的信息系统对审计数据真实性、一致性进行确认。首先对被审计单位的信息系统日志进行分析，查看在被审计的前一阶段是否有频繁的单据修改、删除、反结帐、反过帐等操作，是否存在非结帐时间进行系统结帐、关帐等工作；其次是将系统的关键报表和其提交给外部打印报表进行比较，以确认报表数据的真实性；第三是通过抽样报表——账簿——凭证的核对，确认核算数据的一致性；①孙淑华、丁洪震:《信息化系统的审计风险及对策》，《黑龙江八一农垦大学学报》2006年第6期。第四是通过对备份数据与现有数据进行比较，看是否一致。

（二）培养公安机关内审人员具备审计信息化环境下的审计专业判断力

内部审计人员在传统审计工作中形成的专业判断力已经不能应对审计信息化阶段的审计风险，提升内部审计人员的专业判断力显得尤为迫切，可以通过以下几个方面来提高内部审计人员的专业判断力:一是信息技术专业知识学习，各项专业知识是形成内部审计人员专业判断力的基础，在审计信息化工作中，内审人员除要掌握财务、工程、法律等专业知识外，还需要掌握计算机硬件与软件的应用技术、计算机会计信息系统的结构和运行原理以及利用计算机进行分析性审计的技能等信息技术。二是掌握审计准则，审计准则是审计工作的根本，随着市场经济的发展，中国内部审计协会不断完善中国内部审计准则，特别在审计信息化工作中，审计人员对审计准则熟练掌握就显得尤为重要。三是培养较高的综合分析能力，审计信息化以后，审计线索、审计证据更为隐蔽，难以发现，内审人员在对各专业知识和审计准则掌握后，要善于综合运用分析，能够从多层次多视角去发现问题、分析问题，更好地发现审计线索和审计证据。四是培养良好的人际沟通能力，通过与相关人员的交流去发现审计线索。通过对内审人员素质的建设，提升内审人员专业判断力，降低审计工作中的检查风险。

（三）优化内部审计信息化环境下审计质量控制体系

在内部审计信息化环境下，要根据信息化的特点优化审计质量控制体系，制定出完善的内部审计信息化工作规范。内部审计具体准则规定，内部审计工作质量的控制一般包括内部督导、内部自我质量控制、外部评价三个方面。督导是内部审计机构负责人和项目负责人对实施审计工作的审计人员进行的监督和指导。内部自我质量控制是内部审计机构负责人和审计项目负责人通过适当的手段对本单位的内部审计质量所实施的控制。外部评价是由内部审计机构以外的其他机构和人员对内部审计质量所进行的考核评价。所以，内部审计的质量控制可以分为内部控制和外部控制两个方面，内部自我质量的控制又可以分为内部审计机构质量的控制与内部审计项目质量控制两个层次。无论是内部控制还是外部控制都必须建立一个完整的内部审计质量控制制度，内部审计机构要依据国家的内审法律法规和准则、借签国际成熟经验，根据单位组织实际情况制定内部审计信息化工作规范，包括审计目标、审计方式、流程、质量控制标准等制度，使审计信息化流程中有一个标准工作体系。外部评价必须确定一个稳定的内部审计质量外部评估标准，使内部审计工作做到有明确质量控制标准可依，有效地提高内部审计质量。

（四）科学制定信息化环境下审计计划和审计方案

在审计计划和审计方案制定时，应充分考虑审计风险的控制防范，主要体现在两个方面:一是立项时审计组人员的构成，审计组人员必须要有具有信息技术专业人员的组成，特别是审计组负责人必须要具有足够的审计业务知识、财会知识、管理及法律知识，还应具有信息技术知识和较强的综合分析能力；二是依据审前调查阶段了解被审计单位信息系统及内部控制情况，确定审计重要性水平和审计重点，选择合理的计算机辅助审计技术、方法和工具。

（五）做好审计信息化环境下审计工作底稿的质量管理

内部审计工作底稿是审计过程中对某些问题的记录，当作审计证据，是审计证据的载体。高质量的内部审计工作底稿是高质量内部审计工作的前提和保证，因此我们编制审计工作底稿时要从形式和实质两个方面来保证其质量。形式上工作底稿的要素要齐全，格式要符合编制要求；实质上工作底稿要内容记录完整，层次分明，针对点突出。要确保审计工作底稿质量，还要确保审计证据质量，一方面要保证审计证据取得质量，要做到取证目标明确、范围清晰，灵活运用检查、观察、询问、函证、分析程序等传统审计工具，同时充分应用审计信息化环境下审计数据分析模型等审计工具，以寻找和发现信息化环境下的可能审计线索。另一方面要做好审计证据评价质量，确保证据的相关性、可靠性和充分性，相关性是指审计证据与审计目标、审计结论的关联性；可靠性是指证据的可信程度和真实性；充分性是指审计证据的数量是否足以支撑审计结论，确保审计风险降低到可接受的程度。第三，要实行审计工作底稿复核制度，审计工作底稿必须进行复核，根据重要程度确立二级复核制或者三级复核制，以确保内部审计工作底稿的质量。通过对审计工作底稿的质量控制，形成“内容完整、记录清晰、结论明确，客观反映项目审计计划与审计方案的制定及实施情况，并包括与形成审计结论和建议相关的所有重要事项。”第四，要做好信息化环境下审计工作底稿的保存。在信息化环境下，审计工作底稿保存在磁性介质中，容易受到外部环境的影响，发生损毁、缺失等情况，因此，要做好对审计工作底稿的保存，做好备份，确保审计证据的安全。

（六）加大投入，完善审计信息系统功能

审计信息化环境下的内部审计工作，无论是对审计工作的管理，还是审计项目的开展，都是通过审计信息化系统开展的，因此审计信息化系统的建设就显得尤其重要，主要包括三个方面。

1.计算机硬件建设。要根据审计工作业务的需要选配合适的计算机、网络设备等硬件，在设备和选购中，设备的稳定性是首先要考虑的。

2.不断开发和完善审计软件。在审计软件的开发中必须注意:一是系统的稳定性，如果开发的审计软件不稳定，就会增加审计信息化的风险；二是审计流程的科学合理性，软件在确保相关审计功能的同时，流程简洁便捷，有助于提高审计效率；三是充分征求有审计人员意见，要有审计人员参与，并且从头至尾进行跟踪监督，做到对审计软件研发全过程审查，促进审计软件安全、可靠、稳定、合法；四是进一步完善审计软件的数据接口，使审计软件能与更多的财务软件进行数据对接、采集和转换；五是在软件的开发中注重防计算机病毒的建设，降低由于信息技术使用带来的审计风险。

3.利用信息技术实施并行审计技术和在线审计技术。通过计算机联网技术，使审计应用系统能够在线实时采集审计数据和实时开展审计工作，变事后审计为动态审计和事中审计，从而能够及时发现问题和解决问题，控制和降低审计风险。①薛丽:《信息化环境下审计风险的防范》，《安徽工业大学学报》2009年第3期。

总之，通过以上措施，能够有效控制和避免审计信息化的风险，提升公安机关内部审计质量，使内部审计工作在价值增值中发挥更大的作用。