□文/劉 琳

（云南省審計廳 云南·昆明）

隨著現(xiàn)代通信技術(shù)和計算機技術(shù)在企業(yè)的廣泛應(yīng)用，使企業(yè)不斷提高對各種資源的管理能力和信息的處理效率，同時信息系統(tǒng)帶來的風險也越來越受到企業(yè)管理層的高度重視，企業(yè)內(nèi)部審計作為內(nèi)部控制機制的重要組成部分，有責任開展企業(yè)信息系統(tǒng)審計，充分發(fā)揮“免疫系統(tǒng)”第一道防線的功能作用。

一、開展信息系統(tǒng)審計是內(nèi)部審計的職責

縱觀內(nèi)部審計發(fā)展史和實踐證明，圍繞檢查評價內(nèi)部控制的有效性，始終是內(nèi)部審計的本職工作。我國《內(nèi)部審計基本準則》指出，內(nèi)部審計通過審查和評價經(jīng)營活動及內(nèi)部控制的真實性、合法性和有效性來促進組織目標的實現(xiàn)。2008年發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》已明確，內(nèi)部審計是企業(yè)實施內(nèi)部控制的基礎(chǔ)，應(yīng)當在董事會下設(shè)立審計委員會，負責審查企業(yè)內(nèi)部控制，監(jiān)督內(nèi)部控制的有效實施。信息系統(tǒng)是企業(yè)利用計算機和通信技術(shù)，對建立內(nèi)部控制的政策、標準、程序進行集成、轉(zhuǎn)化和提升所形成的信息化管理系統(tǒng)。企業(yè)通過信息系統(tǒng)來強化內(nèi)部控制，有利于減少人為因素，提高控制的效率和效果。內(nèi)部審計是以監(jiān)督、檢查、評價內(nèi)部控制的有效實施，揭示企業(yè)潛在的經(jīng)營管理風險，提高企業(yè)經(jīng)營管理水平，確保企業(yè)財務(wù)經(jīng)營信息可靠完整，政策、計劃、程序、法規(guī)貫徹落實，企業(yè)資產(chǎn)安全、企業(yè)資源使用經(jīng)濟有效，以便更好地實現(xiàn)企業(yè)的經(jīng)營戰(zhàn)略目標。因此，開展對企業(yè)信息系統(tǒng)的審計是內(nèi)部審計的職責。

二、開展信息系統(tǒng)審計是信息化環(huán)境下企業(yè)加強管理的迫切需要

隨著經(jīng)濟全球化和我國工業(yè)化進程的加快，做大做強企業(yè)，必需引入全方位的現(xiàn)代企業(yè)管理思想，高效快捷地利用各種信息資源，防范風險，應(yīng)對瞬息萬變的經(jīng)濟形勢。企業(yè)越來越重視現(xiàn)代通信和計算機技術(shù)在生產(chǎn)制造、成本控制、資源配置、人力資源利用、財務(wù)管理等方面的運用，這是信息技術(shù)與企業(yè)管理融合的產(chǎn)物，是現(xiàn)代企業(yè)先進管理思想的體現(xiàn)。如ERP企業(yè)資源計劃是建立在信息技術(shù)基礎(chǔ)之上，全面集成企業(yè)所有資源信息，為企業(yè)提供決策、計劃、控制與經(jīng)營業(yè)績評估的全方位和系統(tǒng)化的管理平臺。同時，也應(yīng)認識到，信息系統(tǒng)自身也存在風險，需要加強管理和控制。首先，信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)，導(dǎo)致企業(yè)經(jīng)營管理效率低下；其次，系統(tǒng)開發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當，可能導(dǎo)致無法利用信息技術(shù)實施有效控制；最后，系統(tǒng)運行維護和安全措施不到位，可能導(dǎo)致信息泄漏或毀損，系統(tǒng)無法正常運行，企業(yè)資產(chǎn)安全將受到威脅。信息系統(tǒng)審計，就是對信息系統(tǒng)的各項控制措施是否能夠保護資產(chǎn)安全、維護數(shù)據(jù)完整、高效利用各種資源、有效實現(xiàn)組織目標而做出判斷評價的過程。因此，開展信息系統(tǒng)審計已成為現(xiàn)代企業(yè)加強管理、防范信息系統(tǒng)風險的重要保障。

三、開展信息系統(tǒng)審計是企業(yè)提高管理水平、風險防范能力的重要途徑

企業(yè)內(nèi)部控制基本方式包括管理模式、組織目標、政策、標準和程序，就其性質(zhì)來說，同時也是內(nèi)部審計的基本內(nèi)容。信息系統(tǒng)建設(shè)是以企業(yè)發(fā)展戰(zhàn)略和業(yè)務(wù)需要為依據(jù)，是基于企業(yè)內(nèi)部控制基本方式而建立的，其內(nèi)部控制的主要對象是信息系統(tǒng)，由計算機硬件、軟件、人員、信息流和運行規(guī)程等要素組成，融入到企業(yè)的戰(zhàn)略層、戰(zhàn)術(shù)層和經(jīng)營層，與企業(yè)的組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力相匹配，其內(nèi)部控制已貫穿于所有行政管理和經(jīng)營管理。信息系統(tǒng)內(nèi)部控制的目標是促進企業(yè)有效實施內(nèi)部控制，提高企業(yè)現(xiàn)代化管理水平，減少人為操作因素，增強信息系統(tǒng)的安全性、可靠性和合理性以及相關(guān)信息的保密性、完整性和可用性，為建立有效的信息與溝通機制提供支持保障。企業(yè)內(nèi)部審計圍繞服務(wù)企業(yè)可持續(xù)發(fā)展這個中心任務(wù)，開展信息系統(tǒng)審計，并以此為切入點，對企業(yè)的經(jīng)營控制和管理控制進行檢查、分析、評價，及時揭示風險，如財務(wù)和經(jīng)營信息不實，政策、計劃、程序、法律和標準貫徹失敗，資產(chǎn)流失，資源浪費和無效使用，組織目標不能實現(xiàn)等問題，提出解決問題的措施，明確各個層次的管理責任，推動管理工作的改善，提高企業(yè)的經(jīng)濟效益。由于信息系統(tǒng)內(nèi)部控制對企業(yè)管理來說具有高度整體性，因此開展信息系統(tǒng)審計是企業(yè)實現(xiàn)全面監(jiān)督的重要途徑，有助于提高企業(yè)各層次的管理水平，防范來自于企業(yè)內(nèi)部和外部的各種風險。

四、開展信息系統(tǒng)審計是推動企業(yè)內(nèi)部審計發(fā)展的助推器

審計信息系統(tǒng)最早稱為計算機審計，主要關(guān)注電子數(shù)據(jù)的取得、分析、計算等數(shù)據(jù)處理業(yè)務(wù)，還稱不上信息系統(tǒng)審計。隨著計算機技術(shù)應(yīng)用范圍的不斷擴展，計算機審計所關(guān)注的內(nèi)容也從單純的對數(shù)據(jù)處理延伸到對計算機系統(tǒng)的可靠性、安全性進行了解和評價。在制度基礎(chǔ)審計的模式下，計算機審計的業(yè)務(wù)內(nèi)容已經(jīng)擴展到了符合性測試領(lǐng)域。目前，現(xiàn)代內(nèi)部審計已發(fā)展至風險管理審計，由于信息系統(tǒng)的安全性、可靠性與企業(yè)所面臨的各種風險的聯(lián)系越來越緊密，在風險基礎(chǔ)審計模式下，與信息安全相關(guān)的防火墻審計、安全診斷、信息技術(shù)認證以及ERP相關(guān)的新型審計業(yè)務(wù)不斷涌現(xiàn)。開展信息系統(tǒng)的軟件和硬件審計，已成為內(nèi)部審計的新領(lǐng)域?！拔磥韺徲嬓袠I(yè)和審計技術(shù)的發(fā)展動力將主要來自于信息系統(tǒng)審計的發(fā)展”，這一觀點已經(jīng)逐漸成為國外審計界的一個共識。可以說，信息系統(tǒng)審計將改變內(nèi)部審計機制、模式，引領(lǐng)內(nèi)部審計樹立服務(wù)企業(yè)價值增值的理念，使內(nèi)部審計從更高層面發(fā)揮審計主動性、提升前瞻性、增加防范性、注重協(xié)調(diào)性，積極發(fā)揮內(nèi)部審計在“免疫系統(tǒng)”中第一道防線的功能。

有利于提高內(nèi)部審計管理水平。面對現(xiàn)代企業(yè)經(jīng)營環(huán)境高度信息化，內(nèi)部審計只有加快提升自己信息化建設(shè)水平，才能適應(yīng)日益高技術(shù)化、高信息化的審計環(huán)境的變化，才能將內(nèi)部審計工作融于企業(yè)經(jīng)營管理的各個方面，更好地發(fā)揮內(nèi)部審計防范風險、服務(wù)企業(yè)價值增值的保障作用。一是內(nèi)部審計工作機制規(guī)范化建設(shè)，利用計算機技術(shù)構(gòu)建內(nèi)部審計工作管理平臺，從審計項目立項到電子歸檔，審計成果運用，貫穿整個審計工作流程，提高審計工作效率；二是審計項目實施標準化、數(shù)字化管理，應(yīng)用專業(yè)審計軟件從數(shù)據(jù)采集、分析、審計抽樣、內(nèi)控測試、風險評估到制作審計工作底稿、取證記錄，提高審計質(zhì)量；三是運用現(xiàn)代通信技術(shù)和計算機技術(shù)，適時開展信息系統(tǒng)審計、聯(lián)網(wǎng)審計、在線審計，提高審計技術(shù)方法的現(xiàn)代化水平；四是人才隊伍素質(zhì)建設(shè)，多渠道培養(yǎng)、引進各類專業(yè)人才，不僅需要具備豐富會計、財務(wù)和審計知識與技能的人才，還需要具備計算機、網(wǎng)絡(luò)、信息系統(tǒng)、企業(yè)管理、工程項目管理等多方面的知識與技能的人才，提高審計專業(yè)化水平，適應(yīng)內(nèi)部審計工作轉(zhuǎn)型發(fā)展的新要求。

［1］內(nèi)部審計基本準則.

［2］企業(yè)內(nèi)部控制基本規(guī)范.

［3］內(nèi)部審計原理與技術(shù).