企业组织内部审计信息化风险管控刍议.docVIP

企业组织内部审计信息化风险管控刍议 　　[摘要]在高新技术日新月异的如今，审计信息化是不可逆转的趋势；由于信息系统固有的脆弱性，审计信息化也有不可避免的局限性和风险因素。对此，笔者阐述了内部审计信息化过程中出现的系列风险问题，探索分析HN司推进审计信息下风险管控的路径选择，在此基础上进行深度思考。 　　[关键词]审计信息化 风险 管控思考 　　[中图分类号]C29 [文献标识码]A [文章编号]1672-5158（2013）06-0169-01 　　一、审计信息化的风险问题 　　审计信息化尤其独特的时代优势，在目前乃至稍后的很长时间内代表着审计工作的发展趋势。不过，信息审计并非解决所谓问题的万能神药，由于信息系统本身特点所具有的脆弱性，将使审计面临一系列风险问题。具体而言，其中的主要表现点如下： 　　一是信息系统管理的缺失容易导致信息安全风险的产生。内部审计工作开展的基础是充分且真实的审计信息的获得，虽然各板块、各部门、各业务流程信息化建设的推进利于提升工作效率，但其系统管理本身及获取信息数据手段的缺陷容易导致信息安全问题，比如权限设置的混乱或失误及外界黑客的介入等因素会催生系列虚假信息，这对内部审计工作的开展是毁灭性地打击。 　　二是繁杂的信息量与相对有限审计人员之间的矛盾限制了信息审计工作推进的可行性。与传统财会工作相比，电算化或者信息化境遇下的财务信息基于信息系统的便利往往呈现系统喷涌的局面，业务数据呈现几何级增长，这在为审计工作提供方便的同时也带来了莫大的压力，数量相对有限、IT技术素养也相应缺乏、信息审计手段也不够成熟的审计团队可能在短时间内无法成功消化这些信息，这会让信息化审计工作寸步难行。 　　三是信息系统审计工作与传统审计工作的对接可能导致审计范围覆盖度不足或重复。信息审计与传统审计工作并非截然分开的，其间存在着三个问题，一是审计工作与公司信息化建设的同步问题，也就是说信息化建设所涉及的范围应当是信息审计工作推进的领域；二是信息审计工作与传统审计工作的并存和对接问题，要做到二者在范围、技术等方面充分协作和协调；三是信息系统的改新换代也往往催生信息审计代际之间的对接，也就是说两种信息系统的对接和融合问题。 　　四是审计信息系统的有限性可能影响审计工作进程甚至导致审计失败。审计信息系统是信息审计工作推进过程中的主要助手，不过其相对于组织内部信息化网络建设而言多是外在的异类和他者，其间的差异和兼容程度往往会影响审计信息工作的效率和成果。审计辅助系统与各类现运行系统的模板体系、数据接口以及数据类型的差异性，容易造成审计人员从接口导人数据后都要重新手工进行报表项目的定制和部分参数的调整，为了避免生成错误的财务报表定制后可能不能保存或者存在差错，加大了审计风险且浪费审计人员的时间和精力。 　　五是信息系统审计标准的缺失或选择不当往往影响审计工作的开展。信息系统审计工作开展的前提之—是适当标准的确定。如今，信息系统审计还没有一个统一的标准，中国内部审计协会发布的内部审计具体准则第28号-信息系统审计也缺乏具体做法和衡量标准的内容。具体到各企业组织，均未形成兼具科学性、可操作性的制度标准，难以满足整个经营系统审计的需要，在指导下属公司及职能部门推进信息审计工作开展方面的作用有限。 　　二、管控审计信息化风险的思考 　　针对如上几点及其他不可预料的风险因素，各类公司应该在现有信息系统审计工作的基础上，从如下几个方面着手，提升信息系统审计的水平。 　　一要努力转变观念，逐步将信息系统审计纳入常规审计的范围。要充分认识开展信息系统审计的必要性和重要性，信息系统涉及到公司的方方面面，公司能否完成既定的战略目标，保持系统的安全、稳定、持续健康发展，是其重要的基础。作为公司内部审计部门就是评价公司信息系统是否能够保证资产的安全、数据的完整，提出管理建议，协助管理层有效地履行经营管理目标。要从单纯的数据审计提升到信息系统审计的高度上来，要定期开展此项工作，保证公司经营管理信息系统安全和有效运行。 　　二建议尽早出台信息系统控制规范，尤其是对信息系统等级二和等级三系统，尽早识别其风险点和关键控制点，编制权限测试工具，以便于开展信息系统应用控制审计和测试。尽早出台信息系统审计操作指南，规范和指导信息系统审计实践，衡量和评价信息系统审计工作质量，防范和规避信息系统审计风险。 　　三要不断充实和培养IT审计人员。目前各类企业组织审计系统IT方面的审计人员较少，直接限制和影响了信息系统审计工作的开展，要实现信息系统常规审计的目标，必须注重IT审计人员的充实和培训工作，开展形式多样的信息系统审计培训，鼓励审计人员考取注册信息系统审计师等执业资格，在认证考试中学习、提高，逐步实现审计机构中IT审计人员三分之一的目标，