浅析信息化环境下内部审计的风险与控制

贺朝晖

随着社会的进步、科技的发展，以计算机和网络为主的现代信息技术正在改变着传统的社会经济环境，审计作为社会经济活动的一种，无可避免地受到信息技术的影响。在现代信息技术环境下，为了防范和规避内部审计风险，了解现代信息技术对内部审计风险的影响就尤其重要。

一、影响内部审计风险的主要因素

目前，就我国内部审计的情况看，影响风险的主要因素有以下四个方面：

（一）内部审计机构缺乏独立性

内部审计机构是内设机构，相比于外部审计来说，内部审计工作的独立性相对欠缺，现实工作中的内部审计工作的组织形式反映出其独立性的不足：财务部门中设置审计机构;审计机构和监察部门混合在一起;分管钱财物资或账目的人员兼任审计员;甚至有的单位领导既领导财务工作又领导审计工作。在这些情况下，内部审计很难从客观、公正的立场上对单位的财务状况做出客观、公正的评价，在领导或法人违规时内部审计的无能为力更凸现出来。

（二）内部审计的对象和内容复杂性增加

一方面，经济实体的经营规模不断扩大，经营业务日趋复杂，机构层次不断增加，使得内审对象逐步扩展，如：企业集团化、连锁店式经营，职能部门越来越多等，审计风险也随之增加。另一方面，内部审计的内容也在市场经济不断发展的条件下，从原来的财务审计发展为效益审计、管理审计、经济责任审计、决策审计、风险审计、投资审计等，这对内部审计人员提出了更高的要求，审计人员作出正确结论的难度也就越大，发表不适当审计意见的可能性也就越大。

（三）内部审计方法落后

虽然已迈进了大数据时代，AO现场审计实施系统已应用多年，但目前，我国内审方法仍以账项基础审计方法为主。主要采取抽样审计方法，很容易使审计结果同客观事实产生偏差，使审计达不到应有的细致和深度。其次，在审计工作中，审计的依据多是在套用各项有关规定作为参照依据，然而审计法律不健全、法律法规出台相对滞后致使在审计过程中遇到新情况、新问题时难以定性。在这种前提下，内审人员在进行审计时，只有依据经验和知识进行分析判断，查出的许多问题由于缺乏相应的法律依据支撑而难以做出处理结果，即使做出也难以执行，形成潜在的审计风险。

（四）审计人员的主观性强

内部审计人员工作中经常依靠经验判断，然而，审计人员并不能保证其经验准确无误。再者，财务会计制度的不断变动完善，审计人员的知识更新滞后，所以容易导致主观误判的情况出现，因而导致内部审计风险的增加。近年来，通过多种方式的培训和加强后续教育，提高了内审人员的综合素质，但并未能完全改变我国内审人员整体水平不高的总体情况。还有些内审人员职业道德欠佳，不能经受来自各方面的诱惑，进行有意识的舞弊行为也会增大内部审计的风险。

二、信息化对审计风险因素的影响

以计算机软件及硬件技术、网络技术、通信技术和多媒体技术为核心的现代信息技术的迅速发展，对内部审计风险因素产生了深刻的影响，主要表现在：

（一）对内部审计独立性的影响

信息技术的应用对内部审计独立性的影响是多方面的。首先，内部审计人员可以直接从信息系统中获取审计证据，避免被审计单位人员的干预，客观上提高了审计证据的独立性。其次，可以通过网络将审计数据、审计过程、审计结果公布在大众面前，使之得到有效监督;同时，网络传递技术也加快了审计信息的传递，减少很多审计信息传递的中间环节，防止人为干扰。为保持内部审计独立起到了重要的保障作用。然而，内部审计机构人员亦可以利用信息技术进行隐秘性处理，这样进行发布的时候就不易发现其作弊处，而且信息技术使控制程序形式发生了变化，技术复杂性增加，对这些过程的监控更加困难，从而降低内部审计的独立性。

（二）对内部审计的对象和内容的影响

正如前面所述，审计风险会随着审计对象、范围的不断拓宽而增加。审计人员无论是开展财务报表审计，还是进行专门的信息系统审计，都需要对被审计单位会计信息系统的设计、运行以及安全控制做出评估和审核。审计范围的拓展必然会带来新的审计风险。

（三）对内部审计方法的影响

信息技术的引入，扩大了审计覆盖面。提高了分析处理的可靠性，但也会因信息技术的不成熟带来审计风险。一方面，审计软件存在缺陷。不管审计软件设计得多优越，也难免会存在一些不足，而这些不足必然会带来一定的审计风险。另一方面，不能保证审计证据完全可靠。目前，从整体来看，对信息技术的安全性、控制性、管理能力等方面的重视还普遍不足。在这种情况下，如果审计人员过分依靠电子数据进行取证，那么证据的可靠性是很难得到保证的。再一方面，由于信息技术的使用确实能够有效地提高工作效率，审计人员很容易对其产生过分的依赖，忽略其他审计方法，如向有关人员调查询问、实物盘点、信函、现场观察等。过分依赖信息技术可能导致检查效率降低、取证范围变窄等问题出现，这些都将在一定程度上影响审计工作的顺利、有效开展，从而增加审计风险。

（四）对审计人员素质要求的影响

在信息技术环境下，要求审计人员不仅要精通财务和审计知识，还必须具备计算机硬件、软件、信息技术及网络技术等多方面的知识。假若审计人员缺乏对信息技术知识的掌握，必将成为加大内部审计风险的一个重要因素。

三、信息化环境下内部审计风险的控制

针对信息化环境下内部审计的风险，我们应该采取以下两方面的措施来防范和控制：一是完善信息技术;二是提高审计人员的素质。

（一）完善审计软件和系统

1.规范审计软件和系统。在内部审计工作中，信息技术的应用更多地体现为审计人员利用审计软件和系统进行辅助工作。然而，由于信息技术的发展和被审计单位利用信息技术的自身限制，运用的审计软件和系统各有不同，软件兼容性的不足不便于进行数据的获取与比较。到目前为止，我国已经制定一些有关信息技术控制的标准，但是相对信息技术发展的程度而言，仍然有待規范。因此，根据不同行业或性质的单位制定相应的审计软件和系统标准或采用国际通用的相关标准，规范内部审计的环境，确保审计数据横向和纵向的可比性是防范风险的有效手段之一。

2.设立信息系统的预警系统。信息系统资源本身包含着风险，包括计算机系统开发和运行中发生的错误、存取控制失灵、数据丢失和系统毁损、计算机操作人员行为过失等。除此之外，计算机及网络设备自身的故障也会带来审计线索的丢失、审计数据库的毁损等，都会给审计工作带来风险。而且数据一旦消失就很难恢复，这既重复了工作，又降低了数据的时效性。因此，完善数据备份系统，设立信息系统的预警系统可以减少因为信息系统资源自身缺陷所带来的风险。

（二）提高审计人员的素质

1.加快审计人员的知识结构更新。数字技术的发展对内部审计人员的知识结构、软件应用能力等提出了更高的要求，很有必要通过定期的、有计划的培训教育来改善目前审计人员的知识结构，例如通过强化计算机技术培训，使之迅速掌握审计现场必备的计算机操作技能;更新审计人员从业资格考试的内容，把有关计算机辅助审计的基本技能纳入考试范围;不定期举办计算机辅助审计基本技能竞赛等。审计人员具备一定信息技术知识之后，积极发挥主观能动性，根据实际情况对审计软件和计算机环境进行判断，不至于一味地依赖信息技术而不进行个人的审查，避免信息技术系统自身存在的风险。

2.强化审计人员的职业道德。正如前文所述，信息化技术既可以减少内部审计的舞弊风险，也为内部审计舞弊提供了新的方法。因此，强化审计人员的职业道德对于规避信息化环境下内部审计的风险同样重要。如果审计人员没有高尚的职业道德，现代信息技术的优越性将无从谈起，现代信息技术也会成为审计人员舞弊的工具。

（作者单位：东莞市横沥镇人民政府审计办公室）