张长玉
摘 要 随着信息技术的发展,审计信息化也随之普及。本文将重点分析行政事业单位内部信息化审计面临的具体风险,并提出防控建议。
关键词 行政事业单位 内部审计 信息化 风险控制
一、行政事业单位内部审计信息化的风险
由于内部审计信息化的技术特点,使得内部审计信息化存在一定风险。具体表现在以下几个方面:
(一)缺乏具体的准则和标准
在当前审计对象日益信息化的背景下,单位内部审计的线索、审计内容和审计技术等发生了巨大的变化,而用来约束和规范工作的配套的准则和标准,尤其是适用于行业的准则和标准还处于探索阶段,单位审计人员在应用信息化审计的过程中尚无具体的标准。目前,我国还没有比较完善的内部审计信息化评价体系,如果没有一套合理的、可量化的评价标准体系,就很难针对性地进行完善和改进,这也给审计信息化带来了一定的风险。
(二)数据采集风险
采集数据是审计分析的第一步,也是关系到审计质量的关键一步。特别是大数据环境下,审计人员需要采集被审计单位的海量业务数据,在数据采集过程中审计人员主要面临两个风险:一是保证所采集数据的真实性、完整性,满足审计分析的需要;二是保证数据采集过程中被审计单位的系统安全性。
(三)大数据存储和管理的风险
海量的大数据从被审计单位采集回来,在存储和管理方面,审计机关和人员面临两方面的风险:一是数据存储风险,海量的大数据如何进行存储,保证数据的完整性,同时可以供审计人员进行审计分析操作;二是数据管理的风险,被审计单位提供的数据包含大量的个人基本信息、敏感信息,审计人员如何对这些数据进行管理,从技术上和制度上保证这些数据不泄露。
(四)数据分析质量风险
审计人员从被审计单位获取了审计需要的大量数据,接下来要做的就是数据整理、分析,发展审计疑点,对审计疑点进行核实,并生成审计证据。在数据分析过程中审计人员会面对以下审计风险:一是面对海量数据和有限的审计时间,审计人员无法在审计要求的时间内,对数据进行充分的研究、整理、分析和发现审计疑点,审计质量不高。二是只对被审计单位的数据进行分析,忽略对被审计单位信息系统安全性、可靠性的关注,如果被审计单位系统出现重大漏洞,会对审计产生一定风险。三是审计人员技术水平滞后,面对采集回来的数据无法进行处理和分析。审计人员采集回来的数据不能自己处理分析,只能依靠外部人员,或者转换成熟悉的数据库格式。但是依靠外部人员存在数据泄露的风险,转换成其他数据库格式又存在数据丢失的风险。四是电子数据不同于纸质资料,具有无形性和脆弱性的特点。其中,无形性是指电子证据存储在存储介质中,其内容与载体相互分离,复制不改变其完整性和真实性,相较纸质证据而言,不易区分原件及复印件。
二、行政事业单位内部审计信息化风险应对措施
(一)建立有针对性的内审信息化准则
内部审计信息化使得审计对象、审计线索、审计方法等发生了变化。人们在内部审计工作中逐步建立起的一系列审计准则,已不适用于变化了的情况,所以需要重新建立一套新的内部审计准则来指导审计工作实践。在制定新的内部审计准则时要在考虑我国国情的前提下,大力借鉴国外的先进经验。新的审计准则是对内部审计信息化的标准化,是衡量内部审计工作的标准,是提高内部审计工作质量的保证。
(二)采用电子数据分析与其他证据相结合审计方法,这种方法可以有效避免因审计数据偏差而导致的审计风险
对电子数据进行分析是找出线索、发现问题的一种途径,但是电子数据可能存在偏差,分析电子数据后,再结合其他证据,保证分析结果更加的准确,提高审计效率,也能够有效防范审计风险。
(三)内审人员应加强对会计电算化内控的审计
随着计算机信息化的高速发展,审计人员应该不断加强计算机方面的业务学习,才能适应大数据的要求,才能提高审计质量和效率。审计人员的学习有两个方法:一是各种先进的数据库操作和分析语句的学习;二是先进的快速梳理数据、分析数据、关联数据,查找审计疑点的学习。可以通过聘请专业老师讲解和“以干代训”的方式,对审计人员进行大数据集中分析、信息系统审计等相关技能的培训。
三、行政事业单位信息化审计风险的几点建议
内部审计应当把目光前移,从事后监督向全过程监督的转变,把工作重点放在事前预防、事中控制和事后监督上,充分发挥内部审计的免疫功能,提升内审工作的前瞻性,帮助被审计单位制定相关的内控制度。并通过制度来约束具体的财务行为,防止简单的头疼医头、脚疼医脚,使内部审计充分发挥风险管理的作用。
(一)规范数据采集管理,减少审计风险
第一,做好采集前的准备工作。主要包括三个方面:一是明确本次审计的目的,充分调研、了解满足审计需求需采集的数据范围;二是通过与被审计单位相关人员接触,熟悉被审计单位的信息系统流程和数据结构;三是根据审计目的和了解情况,提出明确的数据需求。
第二,选择合适的数据采集时间。通过与被审计单位进行沟通,选择合适的时间,在不影响被审计单位正常业务的前提下进行数据采集。
第三,制定科学的数据采集流程,并严格按照流程进行操作。审计人员应不接触被审计单位的系统和后台数据库,应只提出操作需求和数据要求,由被审计单位相关人员进行现场操作,审计人员全场监督。
第四,数据采集前、采集后对相关数据进行检查,通过记录计数和控制总数检查、连续性检查、业务数据对比检查、重要数据检查、各处理阶段数据完整性检查、在周期性发生事项的完整性检查等必要的技术手段,审查数据的真实性和完整性。
第五,采集结束,被审计单位应提供“数据真实完整性承诺书”“数据采集语句”“日志文件”“数据采集现场记录”“数据字典”等相关技术资料。
第六,审计机关对移动存储设备进行杀毒,保证无病毒后存储被审计单位提供的资料。
第七,由于电子数据具有无形性和脆弱性的特点,在使用移动存储设备存储同时,应将数据在存入移动存储设备的同时刻制成光盘,光盘上由审计人员和被审计单位相关人员签字,然后将光盘封存、加盖被审计单位公章,作为备份原始数据由审计机关保存。
(二)完善数据管理使用制度
一是制定严格的数据管理制度,对数据的管理人员提出严格规范要求,规范审计人员使用数据的审批流程;二是建立完善的机房管理制度,非相关人员不得进入机房,进入机房人员应进行详细登记;三是建立大数据的使用制度,审计人员应该在指定的终端登录数据中心进行数据分析;四是建立数据下载制度,数据中心的数据审计人员在经过分析后,需要下载的中间表和最终表应该经过严格的审批流程后由技术人员进行下载;五是审计人员应每年签订数据保密协议,防止对外泄露相关资料。
(三)重视加强内部审计队伍建设工作
培养内部审计信息化环境下的复合型知识结构人才内部审计信息化,对内部审计人员提出了更高的要求,这就需要培养一支符合内部审计信息化要求的复合型知识结构人才队伍。所谓复合型人才,是指计算机技能+专业基础+工作经验的人员,这就要求审计机构在日常审计过程中,注重培养适应职能部门发展并具备较高素质的审计人才,培养专业型的信息化审计人才是应对信息化审计风险的核心。加强审计人员后续教育培训工作,不断提高审计人员的政治思想素质、业务水平和工作能力,以适应新形势下人们对行政事业单位内部审计工作的更高要求。
(作者单位为辽宁海城验军管理区财政所)
参考文献
[1] 张小乖.内部审计信息化框架及审计数据安全实践《中国内部审计》[J].