潘國輝

(勝利油田審計處,山東東營257000)

信息化環(huán)境下企業(yè)內(nèi)部審計風(fēng)險評估與控制措施

潘國輝

(勝利油田審計處,山東東營257000)

信息化環(huán)境下,企業(yè)經(jīng)濟活動發(fā)生了巨大的變化,內(nèi)部審計工作面臨許多新的風(fēng)險。企業(yè)內(nèi)部審計風(fēng)險評估的程序和內(nèi)容:對企業(yè)戰(zhàn)略經(jīng)營風(fēng)險、固有風(fēng)險和控制風(fēng)險進(jìn)行分析和評估,確定檢查風(fēng)險,決定實質(zhì)性程序的性質(zhì)、時間以及范圍。企業(yè)內(nèi)部審計加強風(fēng)險控制的措施:加強對信息系統(tǒng)設(shè)計開發(fā)階段、內(nèi)部控制和安全的風(fēng)險控制;抓好審前調(diào)查、方案制定和審計查證環(huán)節(jié);提供內(nèi)部規(guī)章制度、技術(shù)方法和人員素質(zhì)保障。

信息化環(huán)境;內(nèi)部審計風(fēng)險;風(fēng)險評估;風(fēng)險控制

隨著信息時代的到來,以計算機技術(shù)和網(wǎng)絡(luò)技術(shù)為代表的現(xiàn)代信息技術(shù)已經(jīng)進(jìn)入了社會生活的每一個角落,企業(yè)的經(jīng)營管理模式逐步實現(xiàn)了網(wǎng)絡(luò)化、數(shù)字化、虛擬化,審計環(huán)境發(fā)生了重大變化,審計風(fēng)險趨于多樣性、潛在性、持久性,更具有破壞性。因此,企業(yè)內(nèi)部審計必須做好信息環(huán)境下的風(fēng)險評估,防范和控制審計風(fēng)險。

一、信息化環(huán)境對內(nèi)部審計風(fēng)險的影響

1.對企業(yè)戰(zhàn)略經(jīng)營風(fēng)險的影響。信息化環(huán)境下,隨著現(xiàn)代信息技術(shù)的廣泛應(yīng)用,一方面,企業(yè)實現(xiàn)了信息系統(tǒng)與經(jīng)營戰(zhàn)略的結(jié)合和統(tǒng)一,經(jīng)濟效益迅速增長;另一方面,經(jīng)濟社會轉(zhuǎn)型加速,經(jīng)濟全球化日趨完善,市場競爭空前加劇,企業(yè)經(jīng)營活動面臨更加嚴(yán)峻的威脅。

2.對固有風(fēng)險的影響。信息化環(huán)境下,由于電子數(shù)據(jù)在計算機系統(tǒng)的控制下,其本身的正確性和可靠性得以基本保證,固有風(fēng)險呈降低的趨勢。然而,機器故障、網(wǎng)絡(luò)傳輸故障、計算機病毒和黑客攻擊等存在的可能性,又增加了固有風(fēng)險。

3.對控制風(fēng)險的影響。信息化環(huán)境下,由于企業(yè)經(jīng)濟業(yè)務(wù)數(shù)據(jù)通過信息系統(tǒng)自動地進(jìn)行加工和處理,而且數(shù)據(jù)由計算機系統(tǒng)進(jìn)行實時的反饋,因此出現(xiàn)控制風(fēng)險的概率比較低。然而,隨著現(xiàn)代信息技術(shù)的廣泛應(yīng)用,企業(yè)內(nèi)部控制體系部分嵌入到信息系統(tǒng)中,職責(zé)權(quán)限分工主要通過設(shè)定密碼權(quán)限,密碼一旦被他人獲知,便可能帶來巨大的隱患。另外,在信息環(huán)境下,企業(yè)的數(shù)據(jù)資料被存儲在信息系統(tǒng)中,這些電子數(shù)據(jù)極易被篡改或偽造而且不留任何痕跡,在一定程度上弱化了紙質(zhì)介質(zhì)的控制功能,給內(nèi)審取證工作帶來了新的難題。

4.對檢查風(fēng)險的影響。信息化環(huán)境下,一方面,電子數(shù)據(jù)可以集中保存,便于對其加以保護并及時獲取電子數(shù)據(jù),有利于降低檢查風(fēng)險;另一方面,電子數(shù)據(jù)儲存在磁、光等介質(zhì)上,業(yè)務(wù)處理由計算機按程序指令自動執(zhí)行,不易用肉眼直接讀取,致使內(nèi)審人員必須對系統(tǒng)數(shù)據(jù)進(jìn)行轉(zhuǎn)換,又增加了檢查風(fēng)險。

二、企業(yè)內(nèi)部審計風(fēng)險評估的原則

1.堅持職業(yè)審慎的原則。信息化環(huán)境下,由于企業(yè)經(jīng)營活動完全網(wǎng)絡(luò)化、電子化,審計風(fēng)險不僅來自于經(jīng)濟活動,而且還來自于信息系統(tǒng)的設(shè)計及應(yīng)用等,審計風(fēng)險更加復(fù)雜化。因此,內(nèi)部審計必須充分考慮內(nèi)部審計風(fēng)險評估事項的復(fù)雜性和艱巨性,警惕可能存在的風(fēng)險。

2.堅持獨立、客觀的原則。信息化環(huán)境下,內(nèi)審人員運用現(xiàn)代信息技術(shù)進(jìn)行風(fēng)險評估時,離不開對審計軟件開發(fā)人員的依賴,離不開對被審單位信息系統(tǒng)的技術(shù)依賴。因此,信息化環(huán)境下,內(nèi)審人員在確定風(fēng)險評估范圍、實施風(fēng)險評估及報告風(fēng)險評估結(jié)果時應(yīng)充分考慮來自信息技術(shù)和技術(shù)人員的干擾,保持審計的獨立性和客觀性。

3.堅持技術(shù)先行的原則。信息化環(huán)境下,企業(yè)利用計算機、網(wǎng)絡(luò)設(shè)備的舞弊行為常具有智能性、隱蔽性、易逃避性和危害嚴(yán)重性的特點,這就要求內(nèi)審人員必須采用現(xiàn)代內(nèi)部審計風(fēng)險評估手段,運用先進(jìn)的信息技術(shù)開展風(fēng)險評估工作。

4.堅持管理服務(wù)的原則。由于內(nèi)審人員站在企業(yè)的上層開展工作,使得其在信息環(huán)境中能夠獲得較其他業(yè)務(wù)部門更全面的信息數(shù)據(jù),能夠更客觀冷靜地研究分析企業(yè)的經(jīng)營現(xiàn)狀。因此,信息化環(huán)境下,內(nèi)部審計要不斷為企業(yè)建立風(fēng)險管理機制、完善信息系統(tǒng)、實現(xiàn)經(jīng)營目標(biāo)獻(xiàn)言獻(xiàn)策。

三、風(fēng)險評估的程序和內(nèi)容

審計風(fēng)險評估應(yīng)以被審單位的戰(zhàn)略經(jīng)營風(fēng)險為導(dǎo)向,基本的評估程序表示為:

企業(yè)戰(zhàn)略經(jīng)營風(fēng)險分析和評估→固有風(fēng)險分析→控制風(fēng)險分析和評估→控制測試,確定檢查風(fēng)險

1.對企業(yè)戰(zhàn)略經(jīng)營風(fēng)險進(jìn)行分析和評估。戰(zhàn)略經(jīng)營風(fēng)險是宏觀社會經(jīng)濟環(huán)境與行業(yè)環(huán)境、戰(zhàn)略目標(biāo)與經(jīng)營措施等因素對企業(yè)造成不利影響的可能性。戰(zhàn)略經(jīng)營風(fēng)險是固有風(fēng)險內(nèi)涵的擴大,是內(nèi)部審計風(fēng)險的源頭,對戰(zhàn)略經(jīng)營風(fēng)險的評估是信息環(huán)境的必然要求。信息化環(huán)境下,戰(zhàn)略經(jīng)營風(fēng)險評估需考慮的內(nèi)容為:信息化環(huán)境對企業(yè)經(jīng)濟活動的威脅;信息化環(huán)境對信息資源可能存在的威脅;對威脅企業(yè)戰(zhàn)略經(jīng)營風(fēng)險的反應(yīng)程度;信息化是否與企業(yè)整體戰(zhàn)略一致;信息系統(tǒng)是否合法合規(guī);信息系統(tǒng)是否得到有效利用;信息系統(tǒng)是否有效促進(jìn)提高效益;等等。

2.對固有風(fēng)險進(jìn)行分析和評估。信息化環(huán)境下,固有風(fēng)險不僅存在于企業(yè)的經(jīng)營活動中,還存在于信息系統(tǒng)本身。因此,固有風(fēng)險評估應(yīng)考慮的內(nèi)容為硬件的管理和使用是否明確劃分責(zé)任;硬件管理和使用是否控制在授權(quán)范圍內(nèi);硬件使用記錄是否保存完整;硬件設(shè)備是否滿足信息系統(tǒng)運行的要求;硬件設(shè)備安裝是否規(guī)范;硬件設(shè)備是否具備應(yīng)對意外事故的能力;是否設(shè)置備用硬件;設(shè)備是否具有保護措施;機房是否具有安全保護措施;信息系統(tǒng)變更是否做了準(zhǔn)確完整的備份;可能導(dǎo)致信息系統(tǒng)掩飾或錯報信息的異常壓力;合作伙伴是否對信息系統(tǒng)控制產(chǎn)生影響;信息系統(tǒng)是否具有防止計算機黑客、病毒感染的能力;信息系統(tǒng)是否具有防止不法人員的各種破壞行為的能力;信息系統(tǒng)的安裝、維護、升級等是否規(guī)范;等等。

3.對控制風(fēng)險進(jìn)行分析和評估。有效的內(nèi)部控制將降低控制風(fēng)險,而無效的內(nèi)部控制將增加控制風(fēng)險。內(nèi)部控制制度不能完全保證防止或發(fā)現(xiàn)所有錯弊,因此,控制風(fēng)險不可能為零,它必然會影響最終的審計風(fēng)險。信息化環(huán)境下,一些內(nèi)部控制制度以信息系統(tǒng)為載體,控制風(fēng)險呈現(xiàn)多樣性。因此,信息化環(huán)境下,控制風(fēng)險評估需考慮的內(nèi)容為:網(wǎng)上交易是否合法;資金收支是否及時、安全;內(nèi)部控制系統(tǒng)的健全性、合理性和有效性;不同責(zé)任中心(崗位)是否經(jīng)常輪換;是否按規(guī)定設(shè)置系統(tǒng)用戶及口令,是否按用戶職責(zé)設(shè)置操作權(quán)限,用戶是否定期修改自己的密碼;業(yè)務(wù)數(shù)據(jù)在錄入信息系統(tǒng)前是否經(jīng)過正常審批、授權(quán);業(yè)務(wù)數(shù)據(jù)是否準(zhǔn)確完整地錄入信息系統(tǒng);業(yè)務(wù)數(shù)據(jù)是否準(zhǔn)確地被信息系統(tǒng)進(jìn)行處理,信息數(shù)據(jù)有無增加、修改、減少等情況發(fā)生;業(yè)務(wù)數(shù)據(jù)審批過程是否正常;審批權(quán)限是否經(jīng)過嚴(yán)格設(shè)定,有無越權(quán)行為;錯誤的信息數(shù)據(jù)是否及時被拒絕接受并予以提示;修改數(shù)據(jù)是否留下電子痕跡;對非正常中斷是否準(zhǔn)確恢復(fù);輸出的業(yè)務(wù)數(shù)據(jù)是否準(zhǔn)確地完整;數(shù)據(jù)文件是否具有定期備份;等等。

4.確定檢查風(fēng)險,決定實質(zhì)性程序的性質(zhì)、時間以及范圍。檢查風(fēng)險是內(nèi)審人員對賬戶內(nèi)容、經(jīng)濟業(yè)務(wù)及審計證據(jù)進(jìn)行收集、檢查、分析和評價后用來查出重要差錯水平的估計。在信息化環(huán)境下,內(nèi)審人員需要綜合地考察對戰(zhàn)略經(jīng)營風(fēng)險、固有風(fēng)險的評估結(jié)果以及符合性測試對控制風(fēng)險的測定結(jié)論,決定對被審計企業(yè)的信息系統(tǒng)及其生成電子數(shù)據(jù)的實質(zhì)性測試范圍。戰(zhàn)略經(jīng)營風(fēng)險、固有風(fēng)險和控制風(fēng)險的程度越高,內(nèi)審人員就越有必要執(zhí)行詳細(xì)的實質(zhì)性測試,來獲取足夠的證據(jù)和把握,將審計業(yè)務(wù)的誤差控制在可容忍的范圍內(nèi)。

值得說明的是,信息化環(huán)境下,企業(yè)的經(jīng)濟活動基本全部納入了信息系統(tǒng)當(dāng)中,企業(yè)的固有風(fēng)險和控制風(fēng)險兩者之間存在著緊密的聯(lián)系,因此,在實際風(fēng)險評估工作中,內(nèi)審人員往往對固有風(fēng)險和控制風(fēng)險進(jìn)行綜合評估。綜合評估的結(jié)果是內(nèi)審人員決定實質(zhì)性程序性質(zhì)、時間以及范圍的基礎(chǔ)。

四、企業(yè)內(nèi)部審計加強風(fēng)險控制的措施

1.做好“三個加強”。一是加強對信息系統(tǒng)設(shè)計開發(fā)階段的風(fēng)險控制。在系統(tǒng)設(shè)計開發(fā)過程中,內(nèi)審人員應(yīng)監(jiān)督評價系統(tǒng)開發(fā)過程是否按照既定的標(biāo)準(zhǔn)和方法進(jìn)行,系統(tǒng)程序是否如實客觀地反映企業(yè)經(jīng)濟情況,內(nèi)部控制制度是否嚴(yán)密有效,數(shù)據(jù)運行結(jié)果是否準(zhǔn)確可靠,系統(tǒng)軟硬件是否具有防止遭受破壞和對付突然事故的應(yīng)變能力等,彌補信息系統(tǒng)控制中的缺陷和不足。同時,信息系統(tǒng)的設(shè)計開發(fā)階段必須滿足審計要求,使系統(tǒng)在處理時能留下清晰的審計線索,以便內(nèi)審人員能跟蹤審計線索,順利完成審計工作。二是加強對信息系統(tǒng)內(nèi)部控制的風(fēng)險控制。信息化環(huán)境下,完善系統(tǒng)內(nèi)部控制是風(fēng)險控制的重點。通過對信息系統(tǒng)內(nèi)部控制的風(fēng)險評估,促使企業(yè)合理劃分用戶的職責(zé)權(quán)限,包括信息系統(tǒng)程序設(shè)計、系統(tǒng)維護、業(yè)務(wù)操作和內(nèi)部審計各類職責(zé)權(quán)限;加強對數(shù)據(jù)的輸入、輸出的控制,減少信息數(shù)據(jù)處理過程中發(fā)生錯誤或出現(xiàn)異常情況的可能性,從而確保企業(yè)信息數(shù)據(jù)的真實、準(zhǔn)確和完整。三是加強對信息系統(tǒng)安全的風(fēng)險控制。通過加強對系統(tǒng)安全的風(fēng)險評估和風(fēng)險控制促使企業(yè)對信息系統(tǒng)的軟硬件及時更新升級,采用先進(jìn)有效的加密方法,建立切實有效的應(yīng)急預(yù)案,加強對病毒、黑客侵入的防范能力,降低信息數(shù)據(jù)被濫用、篡改和丟失的可能性,從而有效地控制風(fēng)險。

2.抓好“三個環(huán)節(jié)”。一是抓好審前調(diào)查環(huán)節(jié)。通過有效的審前調(diào)查獲取被審單位的戰(zhàn)略目標(biāo)、經(jīng)營環(huán)境等其他相關(guān)經(jīng)營數(shù)據(jù),調(diào)查被審單位的信息系統(tǒng)及信息系統(tǒng)的運行情況,全面掌握被審單位的內(nèi)部控制及所起的作用。二是抓好方案制定環(huán)節(jié)。通過制訂周密的實施方案,明確審計目標(biāo),突出審計重點,確定對電子數(shù)據(jù)獲取的途徑、對電子數(shù)據(jù)的完整性和真實性進(jìn)行檢驗的方式方法、對電子數(shù)據(jù)整理分析的方式方法,合理安排審計時間和審計力量,確保審計方案的全面、有效。三是抓好審計查證環(huán)節(jié)。通過建立電子數(shù)據(jù)交接記錄加強電子數(shù)據(jù)獲取環(huán)節(jié)的質(zhì)量控制;通過建立電子數(shù)據(jù)檢查記錄,詳實記錄檢驗方法及結(jié)果;通過建立電子數(shù)據(jù)分析記錄,詳實記錄分析過程、方法及結(jié)果;通過對記錄文檔和審計線索的復(fù)核,進(jìn)一步發(fā)現(xiàn)審計數(shù)據(jù)中的錯誤和問題,確保審計證據(jù)的客觀性、相關(guān)性、充分性和合法性。

3.提供“三項保障”。一是內(nèi)部規(guī)章制度保障。首先,針對信息化環(huán)境中出現(xiàn)的各類綜合問題,企業(yè)要不斷出臺具有可操作性的各項規(guī)章制度,包括對系統(tǒng)的設(shè)計與更改制度、系統(tǒng)管理與維護制度、電子數(shù)據(jù)的使用、儲存、備份與更改制度等,使內(nèi)部審計工作有法可依、有章可循,有效控制風(fēng)險。其次,建立一整套適合本企業(yè)的審計評價體系,包括內(nèi)部審計風(fēng)險責(zé)任追究制度、內(nèi)部審計風(fēng)險獎勵制度等,對被審計事項進(jìn)行評價,統(tǒng)一內(nèi)部審計執(zhí)業(yè)規(guī)范。二是技術(shù)方法保障。信息化環(huán)境下,內(nèi)審人員要充分利用計算機輔助審計技術(shù)、統(tǒng)籌運用符合性測試、實質(zhì)性測試、分析性檢查等方法開展風(fēng)險評估工作;要充分學(xué)習(xí)和借鑒國外先進(jìn)的技術(shù)方法,迅速提高內(nèi)部審計的技術(shù)水平;要積極開展對審計技術(shù)方法的研究,最終建立科學(xué)化、規(guī)范化、智能化和系統(tǒng)化的審計技術(shù)方法體系,為有效防范和控制風(fēng)險提供保障。三是人員素質(zhì)保障。在信息化環(huán)境下,內(nèi)審人員不僅要具備豐富的財務(wù)、管理、法律、審計知識和實踐經(jīng)驗,同時還要掌握信息系統(tǒng)和網(wǎng)絡(luò)方面的技術(shù)手段。內(nèi)審人員不僅要會操作審計軟件,而且要能根據(jù)需要編寫出各種測試審查程序模塊。企業(yè)要不斷強化對內(nèi)審人員的職業(yè)道德教育,加強業(yè)務(wù)培訓(xùn),調(diào)整、改善內(nèi)審人員的知識結(jié)構(gòu),提高處理業(yè)務(wù)的技術(shù)水平和應(yīng)變能力,以不斷適應(yīng)信息化環(huán)境內(nèi)部審計工作的需要,為降低風(fēng)險提供人員素質(zhì)的保障。

Carrying Out Risk Assessment and Control Measure over Enterprise Internal Audit under Information Environment

PAN Guohui
(Auditing Department,Shengli Oilfield,Dongying 257000,China)

Great changes have taken place in enterprise economic activities under information environment,therefore,internal audit work is faced with many new risks.Procedure and content of enterprise internal audit risk assessment include analyzing and assessing the enterprise strategic management risk,inherent risk and control risk,confirming and checking the risks, and determining the nature,time,and scope of the substantive procedures.Measures to strengthen the risk control to enterprise internal audit include strengthening the information system design and development stage,internal control and security risk control;paying attention to the pre-audit investigation,plan formulation and audit verification link;providing internal rules and regulations,technical methods and personnel quality assurance.

information environment;risk in internal audit;risk assessment;risk control

F239.45

A

1009-4326(2015)02-0096-03

(責(zé)任編輯 曹 遠(yuǎn))

10.13600/j.cnki.jpsslof.issn.1009-4326.2015.02.022

2015-01-15

潘國輝(1982-),男,山東寧津人,勝利油田審計處勝中審計分處審計師。研究方向:財務(wù)審計。