李金花
[摘 要] 目前企业内部审计信息化发展滞后于会计信息化的发展,信息化给审计工作带来机遇和挑战,企业应积极推进内部审计信息化建设工作。在推进内部审计信息化的同时,也应该对内部审计信息化建设过程中的风险进行总结,减少审计风险对审计结果的影响,避免审计结果不全面,造成错误的审计结论。文章总结了企业内部审计信息化建设中的风险,并提出相应的优化措施。
[关键词] 企业;内部审计;信息化;风险
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2019. 15. 021
[中图分类号] F239 [文献标识码] A [文章编号] 1673 - 0194(2019)15- 0045- 03
0 前 言
内部审计为维护企业内部稳定、加强对企业控制的重要手段,需要结合时代发展背景,探索信息化建设的新路径。内部审计信息化建设存在著潜在的风险,企业须具备忧患意识,明确其潜在风险,才能发挥信息化效益,推动企业的全面发展。
1 内部审计信息化含义
内部审计信息化是指企业内部审计部门运用先进的计算机信息技术,对企业财务进行监督,对企业运行的所有信息实施单独、中立的判定,针对性强,可信程度高,充分利用信息资源,方便管理层进行明智决策,提高运作效率,促使企业提高竞争力。
内部审计信息化只是企业内部审计工作的现代化手段,它不可能完全代替审计人员的工作,更不可能取代审计人员的独立思考和综合分析判断。内部审计信息化对审计工作起着辅助作用,审计人员根据自己的专业思路对获取的审计资料进行综合分析和专业判断,从而使审计工作更加高效。
2 企业内部审计信息化建设中面临的风险
审计信息化具有效率高、资源利用率和共享率高等多个优点,但是作为网络化的产物,内部审计信息化也存在着较多的风险,必然涉及电子数据的安全风险、计算机软硬件的质量和安全,系统运行风险等问题,给企业发展带来威胁。
2.1 电子数据的安全风险
在审计信息化中,电子数据的易消失、易修改、难恢复、难追踪等特征,使非法入侵、网络传输故障以及操作失误等状况对相关电子数据造成重大破坏或使重要信息泄露。目前企业的生产经营活动也会用到支付宝、微信支付等第三方支付方式,这些支付方式在账户开立、资金划转、内部控制审批、电子充值、资金对账等方面与传统银行账户支付之间存在很大差异,也是企业风险控制的关键环节。
2.2 利用审计软件获取数据的可靠性风险
我国审计软件的开发时间和研究时间较短,审计软件应用性不强,审计软件的协作功能较弱,单机版的审计软件不能实现协作,网络版审计软件通常是工作底稿的共享,没有实现真正的协作,不能提高审计效率。部分审计软件缺乏审计接口,没有对应的采集转换模板,需要对数据库备份文件进行技术处理,将取得的数据转成审计软件能够识别的数据,转换后的数据是否正确可靠等问题给审计工作带来风险。即便审计软件能够直接读取从会计软件中取得的数据,审计软件将这些数据导入后所取得的账表的准确性也需要进一步验证,使财务系统中本来隐蔽的审计线索更加难以被审查。
2.3 审计数据的传递风险
审计小组需要与内外网连接,互相传递信息和资料,方便审计人员之间的沟通,提高审计工作效率,但有可能被病毒或黑客的攻击,造成数据泄露甚至硬件设备被破坏,从而给企业带来损失。审计人员互相传递信息和资料,数据传递过程中可能在木马病毒的操纵下使得所传递的信息被窃,对信息资料安全造成威胁。
2.4 信息系统和数据备份风险
2017年5月12日晚全球勒索病毒爆发,美国、英国、德国、意大利等上百个国家和地区受到影响,系统受到病毒入侵。中石油下属加油站支付系统受到影响,加油卡、银行卡、第三方支付都无法使用,至5月14日中午系统才恢复正常,这些反映了信息系统的安全风险问题。审计信息化系统需要高效的数据管理支持,如果数据库遭到恶意攻击,造成数据的丢失、泄露、被篡改等重大风险,轻者导致审计工作无法正常进行,严重的会造成企业重要经营战略和商业秘密被恶意泄露,威胁企业经营管理。此外数据备份也存在风险,无数据备份或者备份毁损,都可能造成数据恢复的困难。
2.5 审计人员操作应用风险
内部审计信息化建设需要审计人员既要充分熟悉财务、会计、审计等专业知识,懂得一定的管理技能,了解本单位所在的行业知识,又要熟练应用信息系统、计算机及网络技术。企业现状是审计人员熟悉审计业务,对审计软件了解不多,而软件开发人员对审计业务不了解,造成双方沟通困难,导致系统功能不能达到审计使用部门的要求,系统使用效果不好。对于那些直接购买了专业审计软件的单位,内部审计在应用时往往需要进行二次开发。企业审计人员的一些计算机知识培训多是计算机初级知识的培训,主要是图表处理、办公软件、会计软件操作等。部分审计人员计算机基础较差,不愿意积极主动接受计算机审计业务的培训,即使对他们培训,培训难度较大,很难学会数据采集,数据挖掘等新技能。
3 企业内部审计信息化建设风险的优化措施
将内部审计信息化纳入企业风险管理范畴,全面分析风险产生的原因以及带来的后果,能够方便审计人员开展工作,对风险进行监控和控制,为决策者提供更为全面的信息,在企业资源配置、协作配合中提升审计信息化的地位,合理规避风险。
3.1 保障软硬件安全,规避数据泄露
内部审计机构应配备专用电脑用于现场审计,内部审计专用电脑只与单位内部网络连接,不与外部网络相连接,避免审计专用电脑遭到外网的攻击与破坏,避免审计人员使用个人电脑工作造成信息泄露。计算机上安装必要的防火墙软件,经常对电脑进行扫描,查找审计系统是否存在问题,并将其及时修补。通过相关技术检测数据传输的安全性,设置审计组内部人员权限,控制软件使用者的操作范围,控制项目信息的传播范围,规避资料的外泄,同时也可以根据操作痕迹明确职责。还可在特定的工作区域添加一些监控设备,做好监控记录。
3.2 积极探索创新,保障获取数据的真实可靠性
审计软件的思路是取数,这就要求审计软件功能具有直接读数的功能。根据企业账套数据重新生成报表,然后进行账表差异调节以后,再进行审计工作。审计读数软件能及时跟上财务软件的更新,审计软件能适配最新操作系统及办公软件。优质的审计软件还应该为审计人员提供统计分析功能、风险评估功能。企业在开发和编制审计软件时,应该指导软件开发人员进入审计工作前线,充分分析审计工作内容和法规,联系实际业务,资深的审计人员参与软件分析和调试,在软件投入使用后,审计人员应将软件的实用性意见进行反馈,始终优化软件,开发出功能完善的审计软件。内审部门应充分利用网络资源,通过网络连接的方式获取最新的数据,进行实时的数据分析。
3.3 提升内部审计人员计算机业务素质
审计信息化是审计人员综合能力的体现,企业要激励内部审计人员积极主动参加学习、培训,培养信息化审计骨干。引进计算机专业人才共同开展审计工作,优化审计队伍整体知识结构,使审计人员不但具备应有的财务知识、审计知识以及相关技能,熟悉财经法规和审计准则,而且熟练掌握计算机知识应用技术,能够熟练处理数据和分析数据,成为业务上的高素质人才。对审计人员进行与时俱进的培训,培训包含熟悉计算机系统的基本知识、掌握计算机网络组织结构、计算机网络安全与控制。不仅熟练使用计算机硬件,还能掌握会计数据处理技术和会计信息系统数据库设计原理,熟练使用通用审计软件或者专用审计软件,掌握维护计算机审计软件的基本技能。
3.4 建立审计风险预警系统
实现对重要事项、重点业务及重大风险点的统一管理和动态监控,及时预警发现问题,及早应对,提高审计的时效性和能动性。通过预警对企业的经营管理进行监控,对异常情况及时进行预告,对企业经营中的合法性、合理性进行监督。在后续过程中对预警问题及时进行关注,查明预警原因。预警主要根据经营指标分析,根據趋势对比,和审计项目实施相结合,辅助审计实施。审计预警系统通过后续分析和审计实践,不断完善审计预警指标,提升预警效果。而通过对预警结果分析,可以确定企业风险多发区域,为以后的审计立项确定重点提供帮助。
3.5 开发审计评价以及在线风险监控系统
用计算机手段对企业评价指标涉及的领域和现状,进行分析和评价,实现对重大风险的实时监测和预警预报。依据风险预警规则实现跟踪审计,实现内部审计从事后审计走向事中、实时审计。通过审计预警系统和在线监控系统,内部审计部门可以对财务、经营类指标进行计算和分析,及时发现异常。审计部门不再局限于对已经发生的事件进行审计,而在于提前预警和加强经营过程的监管,变事后监督为事前预防,及时防范风险,将审计工作贯穿于公司运营的全部过程。企业在审计信息化建设的过程中,需要重点关注经营管理的事后监控,同时也必须将事前预警和事中控制作为重点,也就是将事前预警和事后控制结合起来,在业务整合的过程中逐渐完善审计信息系统,提前预警可能出现的业务风险,同时设置可靠的风险提示,保证审计人员可以在风险发生前或发生时进行预防,避免出现重大的违规事故,便于降低事后审计风险。
4 结 语
内部审计工作要紧跟时代步伐,加快信息化建设,不断改进审计手段、技术方法,提高内部审计的作用。内部审计人员在审计工作中要提高风险意识,有效应对内部审计风险,防范审计风险对审计结果的影响,提高审计效率,加强对企业的管理和控制,实现资源的有效利用,提高资源的共享率,从而更好地适应现代企业发展对审计的要求。
主要参考文献
[1]张甲瑞.内部审计信息化建设的风险与优化[J].纳税,2018(6):117-118+123.
[2]柳羽珊.公立医院内部审计风险及防范研究[D].北京:中国财政科学研究院,2017.
[3]郑思杰.内部审计信息化建设的风险与优化[J].经济师,2016(10):149-150.