信息化環境下企業內部審計風險評估與控制措施

潘國輝

(勝利油田審計處,山東東營257000)

信息化環境下企業內部審計風險評估與控制措施

潘國輝

(勝利油田審計處,山東東營257000)

信息化環境下,企業經濟活動發生了巨大的變化,內部審計工作面臨許多新的風險。企業內部審計風險評估的程序和內容:對企業戰略經營風險、固有風險和控制風險進行分析和評估,確定檢查風險,決定實質性程序的性質、時間以及范圍。企業內部審計加強風險控制的措施:加強對信息系統設計開發階段、內部控制和安全的風險控制;抓好審前調查、方案制定和審計查證環節;提供內部規章制度、技術方法和人員素質保障。

信息化環境;內部審計風險;風險評估;風險控制

隨著信息時代的到來,以計算機技術和網絡技術為代表的現代信息技術已經進入了社會生活的每一個角落,企業的經營管理模式逐步實現了網絡化、數字化、虛擬化,審計環境發生了重大變化,審計風險趨于多樣性、潛在性、持久性,更具有破壞性。因此,企業內部審計必須做好信息環境下的風險評估,防范和控制審計風險。

一、信息化環境對內部審計風險的影響

1.對企業戰略經營風險的影響。信息化環境下,隨著現代信息技術的廣泛應用,一方面,企業實現了信息系統與經營戰略的結合和統一,經濟效益迅速增長;另一方面,經濟社會轉型加速,經濟全球化日趨完善,市場競爭空前加劇,企業經營活動面臨更加嚴峻的威脅。

2.對固有風險的影響。信息化環境下,由于電子數據在計算機系統的控制下,其本身的正確性和可靠性得以基本保證,固有風險呈降低的趨勢。然而,機器故障、網絡傳輸故障、計算機病毒和黑客攻擊等存在的可能性,又增加了固有風險。

3.對控制風險的影響。信息化環境下,由于企業經濟業務數據通過信息系統自動地進行加工和處理,而且數據由計算機系統進行實時的反饋,因此出現控制風險的概率比較低。然而,隨著現代信息技術的廣泛應用,企業內部控制體系部分嵌入到信息系統中,職責權限分工主要通過設定密碼權限,密碼一旦被他人獲知,便可能帶來巨大的隱患。另外,在信息環境下,企業的數據資料被存儲在信息系統中,這些電子數據極易被篡改或偽造而且不留任何痕跡,在一定程度上弱化了紙質介質的控制功能,給內審取證工作帶來了新的難題。

4.對檢查風險的影響。信息化環境下,一方面,電子數據可以集中保存,便于對其加以保護并及時獲取電子數據,有利于降低檢查風險;另一方面,電子數據儲存在磁、光等介質上,業務處理由計算機按程序指令自動執行,不易用肉眼直接讀取,致使內審人員必須對系統數據進行轉換,又增加了檢查風險。

二、企業內部審計風險評估的原則

1.堅持職業審慎的原則。信息化環境下,由于企業經營活動完全網絡化、電子化,審計風險不僅來自于經濟活動,而且還來自于信息系統的設計及應用等,審計風險更加復雜化。因此,內部審計必須充分考慮內部審計風險評估事項的復雜性和艱巨性,警惕可能存在的風險。

2.堅持獨立、客觀的原則。信息化環境下,內審人員運用現代信息技術進行風險評估時,離不開對審計軟件開發人員的依賴,離不開對被審單位信息系統的技術依賴。因此,信息化環境下,內審人員在確定風險評估范圍、實施風險評估及報告風險評估結果時應充分考慮來自信息技術和技術人員的干擾,保持審計的獨立性和客觀性。

3.堅持技術先行的原則。信息化環境下,企業利用計算機、網絡設備的舞弊行為常具有智能性、隱蔽性、易逃避性和危害嚴重性的特點,這就要求內審人員必須采用現代內部審計風險評估手段,運用先進的信息技術開展風險評估工作。

4.堅持管理服務的原則。由于內審人員站在企業的上層開展工作,使得其在信息環境中能夠獲得較其他業務部門更全面的信息數據,能夠更客觀冷靜地研究分析企業的經營現狀。因此,信息化環境下,內部審計要不斷為企業建立風險管理機制、完善信息系統、實現經營目標獻言獻策。

三、風險評估的程序和內容

審計風險評估應以被審單位的戰略經營風險為導向,基本的評估程序表示為:

企業戰略經營風險分析和評估→固有風險分析→控制風險分析和評估→控制測試,確定檢查風險

1.對企業戰略經營風險進行分析和評估。戰略經營風險是宏觀社會經濟環境與行業環境、戰略目標與經營措施等因素對企業造成不利影響的可能性。戰略經營風險是固有風險內涵的擴大,是內部審計風險的源頭,對戰略經營風險的評估是信息環境的必然要求。信息化環境下,戰略經營風險評估需考慮的內容為:信息化環境對企業經濟活動的威脅;信息化環境對信息資源可能存在的威脅;對威脅企業戰略經營風險的反應程度;信息化是否與企業整體戰略一致;信息系統是否合法合規;信息系統是否得到有效利用;信息系統是否有效促進提高效益;等等。

2.對固有風險進行分析和評估。信息化環境下,固有風險不僅存在于企業的經營活動中,還存在于信息系統本身。因此,固有風險評估應考慮的內容為硬件的管理和使用是否明確劃分責任;硬件管理和使用是否控制在授權范圍內;硬件使用記錄是否保存完整;硬件設備是否滿足信息系統運行的要求;硬件設備安裝是否規范;硬件設備是否具備應對意外事故的能力;是否設置備用硬件;設備是否具有保護措施;機房是否具有安全保護措施;信息系統變更是否做了準確完整的備份;可能導致信息系統掩飾或錯報信息的異常壓力;合作伙伴是否對信息系統控制產生影響;信息系統是否具有防止計算機黑客、病毒感染的能力;信息系統是否具有防止不法人員的各種破壞行為的能力;信息系統的安裝、維護、升級等是否規范;等等。

3.對控制風險進行分析和評估。有效的內部控制將降低控制風險,而無效的內部控制將增加控制風險。內部控制制度不能完全保證防止或發現所有錯弊,因此,控制風險不可能為零,它必然會影響最終的審計風險。信息化環境下,一些內部控制制度以信息系統為載體,控制風險呈現多樣性。因此,信息化環境下,控制風險評估需考慮的內容為:網上交易是否合法;資金收支是否及時、安全;內部控制系統的健全性、合理性和有效性;不同責任中心(崗位)是否經常輪換;是否按規定設置系統用戶及口令,是否按用戶職責設置操作權限,用戶是否定期修改自己的密碼;業務數據在錄入信息系統前是否經過正常審批、授權;業務數據是否準確完整地錄入信息系統;業務數據是否準確地被信息系統進行處理,信息數據有無增加、修改、減少等情況發生;業務數據審批過程是否正常;審批權限是否經過嚴格設定,有無越權行為;錯誤的信息數據是否及時被拒絕接受并予以提示;修改數據是否留下電子痕跡;對非正常中斷是否準確恢復;輸出的業務數據是否準確地完整;數據文件是否具有定期備份;等等。

4.確定檢查風險,決定實質性程序的性質、時間以及范圍。檢查風險是內審人員對賬戶內容、經濟業務及審計證據進行收集、檢查、分析和評價后用來查出重要差錯水平的估計。在信息化環境下,內審人員需要綜合地考察對戰略經營風險、固有風險的評估結果以及符合性測試對控制風險的測定結論,決定對被審計企業的信息系統及其生成電子數據的實質性測試范圍。戰略經營風險、固有風險和控制風險的程度越高,內審人員就越有必要執行詳細的實質性測試,來獲取足夠的證據和把握,將審計業務的誤差控制在可容忍的范圍內。

值得說明的是,信息化環境下,企業的經濟活動基本全部納入了信息系統當中,企業的固有風險和控制風險兩者之間存在著緊密的聯系,因此,在實際風險評估工作中,內審人員往往對固有風險和控制風險進行綜合評估。綜合評估的結果是內審人員決定實質性程序性質、時間以及范圍的基礎。

四、企業內部審計加強風險控制的措施

1.做好“三個加強”。一是加強對信息系統設計開發階段的風險控制。在系統設計開發過程中,內審人員應監督評價系統開發過程是否按照既定的標準和方法進行,系統程序是否如實客觀地反映企業經濟情況,內部控制制度是否嚴密有效,數據運行結果是否準確可靠,系統軟硬件是否具有防止遭受破壞和對付突然事故的應變能力等,彌補信息系統控制中的缺陷和不足。同時,信息系統的設計開發階段必須滿足審計要求,使系統在處理時能留下清晰的審計線索,以便內審人員能跟蹤審計線索,順利完成審計工作。二是加強對信息系統內部控制的風險控制。信息化環境下,完善系統內部控制是風險控制的重點。通過對信息系統內部控制的風險評估,促使企業合理劃分用戶的職責權限,包括信息系統程序設計、系統維護、業務操作和內部審計各類職責權限;加強對數據的輸入、輸出的控制,減少信息數據處理過程中發生錯誤或出現異常情況的可能性,從而確保企業信息數據的真實、準確和完整。三是加強對信息系統安全的風險控制。通過加強對系統安全的風險評估和風險控制促使企業對信息系統的軟硬件及時更新升級,采用先進有效的加密方法,建立切實有效的應急預案,加強對病毒、黑客侵入的防范能力,降低信息數據被濫用、篡改和丟失的可能性,從而有效地控制風險。

2.抓好“三個環節”。一是抓好審前調查環節。通過有效的審前調查獲取被審單位的戰略目標、經營環境等其他相關經營數據,調查被審單位的信息系統及信息系統的運行情況,全面掌握被審單位的內部控制及所起的作用。二是抓好方案制定環節。通過制訂周密的實施方案,明確審計目標,突出審計重點,確定對電子數據獲取的途徑、對電子數據的完整性和真實性進行檢驗的方式方法、對電子數據整理分析的方式方法,合理安排審計時間和審計力量,確保審計方案的全面、有效。三是抓好審計查證環節。通過建立電子數據交接記錄加強電子數據獲取環節的質量控制;通過建立電子數據檢查記錄,詳實記錄檢驗方法及結果;通過建立電子數據分析記錄,詳實記錄分析過程、方法及結果;通過對記錄文檔和審計線索的復核,進一步發現審計數據中的錯誤和問題,確保審計證據的客觀性、相關性、充分性和合法性。

3.提供“三項保障”。一是內部規章制度保障。首先,針對信息化環境中出現的各類綜合問題,企業要不斷出臺具有可操作性的各項規章制度,包括對系統的設計與更改制度、系統管理與維護制度、電子數據的使用、儲存、備份與更改制度等,使內部審計工作有法可依、有章可循,有效控制風險。其次,建立一整套適合本企業的審計評價體系,包括內部審計風險責任追究制度、內部審計風險獎勵制度等,對被審計事項進行評價,統一內部審計執業規范。二是技術方法保障。信息化環境下,內審人員要充分利用計算機輔助審計技術、統籌運用符合性測試、實質性測試、分析性檢查等方法開展風險評估工作;要充分學習和借鑒國外先進的技術方法,迅速提高內部審計的技術水平;要積極開展對審計技術方法的研究,最終建立科學化、規范化、智能化和系統化的審計技術方法體系,為有效防范和控制風險提供保障。三是人員素質保障。在信息化環境下,內審人員不僅要具備豐富的財務、管理、法律、審計知識和實踐經驗,同時還要掌握信息系統和網絡方面的技術手段。內審人員不僅要會操作審計軟件,而且要能根據需要編寫出各種測試審查程序模塊。企業要不斷強化對內審人員的職業道德教育,加強業務培訓,調整、改善內審人員的知識結構,提高處理業務的技術水平和應變能力,以不斷適應信息化環境內部審計工作的需要,為降低風險提供人員素質的保障。

Carrying Out Risk Assessment and Control Measure over Enterprise Internal Audit under Information Environment

PAN Guohui
(Auditing Department,Shengli Oilfield,Dongying 257000,China)

Great changes have taken place in enterprise economic activities under information environment,therefore,internal audit work is faced with many new risks.Procedure and content of enterprise internal audit risk assessment include analyzing and assessing the enterprise strategic management risk,inherent risk and control risk,confirming and checking the risks, and determining the nature,time,and scope of the substantive procedures.Measures to strengthen the risk control to enterprise internal audit include strengthening the information system design and development stage,internal control and security risk control;paying attention to the pre-audit investigation,plan formulation and audit verification link;providing internal rules and regulations,technical methods and personnel quality assurance.

information environment;risk in internal audit;risk assessment;risk control

F239.45

A

1009-4326(2015)02-0096-03

(責任編輯 曹 遠)

10.13600/j.cnki.jpsslof.issn.1009-4326.2015.02.022

2015-01-15

潘國輝(1982-),男,山東寧津人,勝利油田審計處勝中審計分處審計師。研究方向:財務審計。