熊瑛

[摘要]在高新技術(shù)日新月異的如今，審計(jì)信息化是不可逆轉(zhuǎn)的趨勢(shì)；由于信息系統(tǒng)固有的脆弱性，審計(jì)信息化也有不可避免的局限性和風(fēng)險(xiǎn)因素。對(duì)此，筆者闡述了內(nèi)部審計(jì)信息化過(guò)程中出現(xiàn)的系列風(fēng)險(xiǎn)問(wèn)題，探索分析HN&司推進(jìn)審計(jì)信息下風(fēng)險(xiǎn)管控的路徑選擇，在此基礎(chǔ)上進(jìn)行深度思考。

[關(guān)鍵詞]審計(jì)信息化 風(fēng)險(xiǎn) 管控思考

[中圖分類(lèi)號(hào)]C29 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1672-5158（2013）06-0169-01

一、審計(jì)信息化的風(fēng)險(xiǎn)問(wèn)題

審計(jì)信息化尤其獨(dú)特的時(shí)代優(yōu)勢(shì)，在目前乃至稍后的很長(zhǎng)時(shí)間內(nèi)代表著審計(jì)工作的發(fā)展趨勢(shì)。不過(guò)，信息審計(jì)并非解決所謂問(wèn)題的萬(wàn)能神藥，由于信息系統(tǒng)本身特點(diǎn)所具有的脆弱性，將使審計(jì)面臨一系列風(fēng)險(xiǎn)問(wèn)題。具體而言，其中的主要表現(xiàn)點(diǎn)如下：

一是信息系統(tǒng)管理的缺失容易導(dǎo)致信息安全風(fēng)險(xiǎn)的產(chǎn)生。內(nèi)部審計(jì)工作開(kāi)展的基礎(chǔ)是充分且真實(shí)的審計(jì)信息的獲得，雖然各板塊、各部門(mén)、各業(yè)務(wù)流程信息化建設(shè)的推進(jìn)利于提升工作效率，但其系統(tǒng)管理本身及獲取信息數(shù)據(jù)手段的缺陷容易導(dǎo)致信息安全問(wèn)題，比如權(quán)限設(shè)置的混亂或失誤及外界黑客的介入等因素會(huì)催生系列虛假信息，這對(duì)內(nèi)部審計(jì)工作的開(kāi)展是毀滅性地打擊。

二是繁雜的信息量與相對(duì)有限審計(jì)人員之間的矛盾限制了信息審計(jì)工作推進(jìn)的可行性。與傳統(tǒng)財(cái)會(huì)工作相比，電算化或者信息化境遇下的財(cái)務(wù)信息基于信息系統(tǒng)的便利往往呈現(xiàn)系統(tǒng)噴涌的局面，業(yè)務(wù)數(shù)據(jù)呈現(xiàn)幾何級(jí)增長(zhǎng)，這在為審計(jì)工作提供方便的同時(shí)也帶來(lái)了莫大的壓力，數(shù)量相對(duì)有限、IT技術(shù)素養(yǎng)也相應(yīng)缺乏、信息審計(jì)手段也不夠成熟的審計(jì)團(tuán)隊(duì)可能在短時(shí)間內(nèi)無(wú)法成功消化這些信息，這會(huì)讓信息化審計(jì)工作寸步難行。

三是信息系統(tǒng)審計(jì)工作與傳統(tǒng)審計(jì)工作的對(duì)接可能導(dǎo)致審計(jì)范圍覆蓋度不足或重復(fù)。信息審計(jì)與傳統(tǒng)審計(jì)工作并非截然分開(kāi)的，其間存在著三個(gè)問(wèn)題，一是審計(jì)工作與公司信息化建設(shè)的同步問(wèn)題，也就是說(shuō)信息化建設(shè)所涉及的范圍應(yīng)當(dāng)是信息審計(jì)工作推進(jìn)的領(lǐng)域；二是信息審計(jì)工作與傳統(tǒng)審計(jì)工作的并存和對(duì)接問(wèn)題，要做到二者在范圍、技術(shù)等方面充分協(xié)作和協(xié)調(diào)；三是信息系統(tǒng)的改新?lián)Q代也往往催生信息審計(jì)代際之間的對(duì)接，也就是說(shuō)兩種信息系統(tǒng)的對(duì)接和融合問(wèn)題。

四是審計(jì)信息系統(tǒng)的有限性可能影響審計(jì)工作進(jìn)程甚至導(dǎo)致審計(jì)失敗。審計(jì)信息系統(tǒng)是信息審計(jì)工作推進(jìn)過(guò)程中的主要助手，不過(guò)其相對(duì)于組織內(nèi)部信息化網(wǎng)絡(luò)建設(shè)而言多是外在的異類(lèi)和他者，其間的差異和兼容程度往往會(huì)影響審計(jì)信息工作的效率和成果。審計(jì)輔助系統(tǒng)與各類(lèi)現(xiàn)運(yùn)行系統(tǒng)的模板體系、數(shù)據(jù)接口以及數(shù)據(jù)類(lèi)型的差異性，容易造成審計(jì)人員從接口導(dǎo)人數(shù)據(jù)后都要重新手工進(jìn)行報(bào)表項(xiàng)目的定制和部分參數(shù)的調(diào)整，為了避免生成錯(cuò)誤的財(cái)務(wù)報(bào)表定制后可能不能保存或者存在差錯(cuò)，加大了審計(jì)風(fēng)險(xiǎn)且浪費(fèi)審計(jì)人員的時(shí)間和精力。

五是信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的缺失或選擇不當(dāng)往往影響審計(jì)工作的開(kāi)展。信息系統(tǒng)審計(jì)工作開(kāi)展的前提之—是適當(dāng)標(biāo)準(zhǔn)的確定。如今，信息系統(tǒng)審計(jì)還沒(méi)有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)，中國(guó)內(nèi)部審計(jì)協(xié)會(huì)發(fā)布的內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)-信息系統(tǒng)審計(jì)也缺乏具體做法和衡量標(biāo)準(zhǔn)的內(nèi)容。具體到各企業(yè)組織，均未形成兼具科學(xué)性、可操作性的制度標(biāo)準(zhǔn)，難以滿(mǎn)足整個(gè)經(jīng)營(yíng)系統(tǒng)審計(jì)的需要，在指導(dǎo)下屬公司及職能部門(mén)推進(jìn)信息審計(jì)工作開(kāi)展方面的作用有限。

二、管控審計(jì)信息化風(fēng)險(xiǎn)的思考

針對(duì)如上幾點(diǎn)及其他不可預(yù)料的風(fēng)險(xiǎn)因素，各類(lèi)公司應(yīng)該在現(xiàn)有信息系統(tǒng)審計(jì)工作的基礎(chǔ)上，從如下幾個(gè)方面著手，提升信息系統(tǒng)審計(jì)的水平。

一要努力轉(zhuǎn)變觀念，逐步將信息系統(tǒng)審計(jì)納入常規(guī)審計(jì)的范圍。要充分認(rèn)識(shí)開(kāi)展信息系統(tǒng)審計(jì)的必要性和重要性，信息系統(tǒng)涉及到公司的方方面面，公司能否完成既定的戰(zhàn)略目標(biāo)，保持系統(tǒng)的安全、穩(wěn)定、持續(xù)健康發(fā)展，是其重要的基礎(chǔ)。作為公司內(nèi)部審計(jì)部門(mén)就是評(píng)價(jià)公司信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整，提出管理建議，協(xié)助管理層有效地履行經(jīng)營(yíng)管理目標(biāo)。要從單純的數(shù)據(jù)審計(jì)提升到信息系統(tǒng)審計(jì)的高度上來(lái)，要定期開(kāi)展此項(xiàng)工作，保證公司經(jīng)營(yíng)管理信息系統(tǒng)安全和有效運(yùn)行。

二建議盡早出臺(tái)信息系統(tǒng)控制規(guī)范，尤其是對(duì)信息系統(tǒng)等級(jí)二和等級(jí)三系統(tǒng)，盡早識(shí)別其風(fēng)險(xiǎn)點(diǎn)和關(guān)鍵控制點(diǎn)，編制權(quán)限測(cè)試工具，以便于開(kāi)展信息系統(tǒng)應(yīng)用控制審計(jì)和測(cè)試。盡早出臺(tái)信息系統(tǒng)審計(jì)操作指南，規(guī)范和指導(dǎo)信息系統(tǒng)審計(jì)實(shí)踐，衡量和評(píng)價(jià)信息系統(tǒng)審計(jì)工作質(zhì)量，防范和規(guī)避信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)。

三要不斷充實(shí)和培養(yǎng)IT審計(jì)人員。目前各類(lèi)企業(yè)組織審計(jì)系統(tǒng)IT方面的審計(jì)人員較少，直接限制和影響了信息系統(tǒng)審計(jì)工作的開(kāi)展，要實(shí)現(xiàn)信息系統(tǒng)常規(guī)審計(jì)的目標(biāo)，必須注重IT審計(jì)人員的充實(shí)和培訓(xùn)工作，開(kāi)展形式多樣的信息系統(tǒng)審計(jì)培訓(xùn)，鼓勵(lì)審計(jì)人員考取注冊(cè)信息系統(tǒng)審計(jì)師等執(zhí)業(yè)資格，在認(rèn)證考試中學(xué)習(xí)、提高，逐步實(shí)現(xiàn)審計(jì)機(jī)構(gòu)中IT審計(jì)人員三分之一的目標(biāo)，只有這樣才能適應(yīng)信息化發(fā)展的需要，也才能使內(nèi)部審計(jì)充滿(mǎn)活力。

四要逐步完善審計(jì)管理信息系統(tǒng)與相關(guān)信息系統(tǒng)的接口工作，如與財(cái)務(wù)系統(tǒng)、資產(chǎn)系統(tǒng)、合同管理系統(tǒng)等系統(tǒng)的接口，真正實(shí)現(xiàn)審計(jì)的網(wǎng)絡(luò)化和遠(yuǎn)程化，做到實(shí)時(shí)控制、過(guò)程監(jiān)督。例如利用并行模擬技術(shù)測(cè)試系統(tǒng)運(yùn)行程序的控制功能；利用嵌入式審計(jì)技術(shù)監(jiān)控?cái)?shù)據(jù)處理業(yè)務(wù)；利用數(shù)據(jù)分類(lèi)符合技術(shù)審查數(shù)據(jù)庫(kù)等。

五要注重信息系統(tǒng)審計(jì)的審前調(diào)查工作。由于信息系統(tǒng)的復(fù)雜性、多樣性等特點(diǎn)，加之信息系統(tǒng)審計(jì)在很多企業(yè)剛剛起步，在國(guó)內(nèi)屬于探索階段，是一項(xiàng)全新的審計(jì)工作，要將信息系統(tǒng)審計(jì)做好、做透，必須要重視信息系統(tǒng)審計(jì)的審前調(diào)查工作。通過(guò)審前調(diào)查，初步分析信息系統(tǒng)在開(kāi)發(fā)、運(yùn)行、管理及維護(hù)中可能存在的問(wèn)題與風(fēng)險(xiǎn)。為下一步審計(jì)實(shí)施時(shí)明確審計(jì)范圍、確定審計(jì)重點(diǎn)打基礎(chǔ)。

六要逐步開(kāi)展信息系統(tǒng)開(kāi)發(fā)建設(shè)期的跟蹤審計(jì)。由于信息系統(tǒng)建設(shè)投資大、周期長(zhǎng)、投入運(yùn)行后升級(jí)維護(hù)成本高等特點(diǎn)，建議在條件成熟時(shí)立項(xiàng)開(kāi)展信息系統(tǒng)開(kāi)發(fā)建設(shè)的過(guò)程跟蹤審計(jì)，及時(shí)發(fā)現(xiàn)信息系統(tǒng)前期建設(shè)的缺陷和漏洞，避免投入運(yùn)行后出現(xiàn)重大問(wèn)題。

三、結(jié)束語(yǔ)

李金華審計(jì)長(zhǎng)指出“審計(jì)信息化是一場(chǎng)革命，能不能在這場(chǎng)革命中掌握主動(dòng)權(quán)，直接關(guān)系今后審計(jì)事業(yè)的發(fā)展”。中石油審計(jì)信息化工作正是適應(yīng)了時(shí)代發(fā)展，是審計(jì)工作發(fā)展和創(chuàng)新的技術(shù)支撐，更是促進(jìn)內(nèi)部審計(jì)轉(zhuǎn)型的戰(zhàn)略部署。通過(guò)對(duì)QH公司在審計(jì)信息化方面的探索和實(shí)踐的簡(jiǎn)單描述證明：在加速推進(jìn)審計(jì)信息化工作的進(jìn)程中，雖然審計(jì)信息化帶給我們更多的審計(jì)便利條件，可以提高審計(jì)質(zhì)量和效率，但是這種效能并不意味著潛在的風(fēng)險(xiǎn)就消失了，嚴(yán)格意義上來(lái)說(shuō)，只是風(fēng)險(xiǎn)一種轉(zhuǎn)移。在這種情況下，石油企業(yè)應(yīng)該克服對(duì)新事物過(guò)度期望和依賴(lài)的惰性，應(yīng)該正視系列新的風(fēng)險(xiǎn)因素，據(jù)此出具多種系統(tǒng)舉措，推動(dòng)實(shí)現(xiàn)多方面的轉(zhuǎn)型。只有這樣，才能切實(shí)推進(jìn)審計(jì)信息化工作，安全地為內(nèi)部審計(jì)工作的創(chuàng)新提供有力的技術(shù)手段，穩(wěn)健地為內(nèi)部審計(jì)工作的轉(zhuǎn)型提供不竭的動(dòng)力，不斷促進(jìn)內(nèi)部審計(jì)持續(xù)發(fā)展。

參考文獻(xiàn)

[1]任玉珍，信息審計(jì)的內(nèi)容框架分析[J]，農(nóng)業(yè)網(wǎng)絡(luò)信息，2009（07）

[2]婁策群，高策，信息審計(jì)方法比較研究[J]，圖書(shū)情報(bào)工作，2009（02）

[3]黃亦西，信息審計(jì)與知識(shí)審計(jì)的比較研究[J]，情報(bào)雜志，z005（10）

[4]于玉林，會(huì)計(jì)信息化會(huì)計(jì)整合論[A]，中國(guó)會(huì)計(jì)學(xué)會(huì)第四屆全國(guó)會(huì)計(jì)信息化年會(huì)論文集（上）[C]，2005

[5]吳沁紅，從會(huì)計(jì)信息化角度探討CPA考試改革[A]，中國(guó)會(huì)計(jì)學(xué)會(huì)第四屆全國(guó)會(huì)計(jì)信息化年會(huì)論文集（下）[C]，2005