信息化环境下人民银行内部审计面临的风险及对策.docVIP

信息化环境下人民银行内部审计面临的风险及对策 彭华红 摘要：本文分析了信息环境下内部审计面临的困境和主要风险，并提出了相应的对策。 关键词：内部审计；信息化：风险防范 一、信息环境下内部审计面临的困境 (一)审计监督方式滞后于业务的信息化发展 随着人民银行业务现代化发展步伐的加快，大部分日常业务如货币发行、财务核算、联行清算、会计国库等与资金安全紧密的业务全都告别了手工操作，采用计算机系统处理完成。但目前审计监督方式滞后，审计以现场审计为主，受时间、范围、内容、手段的制约，无法对审计对象实施系统的、全方位的监督．加之审计信息不够完整，难以对审计对象做出客观公正的评价，也难以挖掘出问题产生的真正根源．存在较大的片面性。 二 缺少具备计算机知识和内审知识的复合型人才 信息化数据处理环境下，内部审计对象的业务运行方式、控制措施及作为审计线索、业务数据与传统的手工数据处理环境下有了很大的区别，这就要求内审人员不仅要有内部审计方面的专业知识．还应具备信息化数据处理知识，这对内审人员的素质提出了更高的要求 (三)缺乏必要的开展信息技术审计的平台，内审工作需求难以满足 人民银行内审部门没有统一的审计工作模块．而且各业务系统的计算机语言也不统一。再加上审计人员无法直接接触业务系统。形成两个方面的制约．一是内审人员难以熟悉业务系统的访问控制技术、相关的系统配置方式和访问控制日志．严重制约了信息技术审计的开展和审计效率的提高 二是无法对人民银行各分支机构审计系统发现的问题和掌握的信息进行整合．不利于对审计成果进行深层次的开发．难以实现利用审计成果服务于改善整个人民银行风险状况的目的 (四)业务系统的安全性成为内部审计重要内容 在业务系统中．计算机处理替代了大部分的人工操作．工作效率得到提高。但业务信息系统是否在按照正常的程序工作．内审人员很难做出正确判断。因此信息系统的安全性审查成为内审人员必须履行的程序。 二、信息化环境下内部审计的主要风险 (一)人员风险 随着人民银行各业务部门新系统的运行。审计对象系统化，操作更加复杂。因此，部分审计人员计算机知识缺乏．做出的审计结论有可能偏离被审计部门业务系统的实际．而形成审计风险。 (二)技术风险 随着业务核算的电子化．信息系统仅依靠不同的用户名来区分，使原来不相容的职责界限模糊，处理计算机系统的管理人员一般都能了解到系统业务的处理流程．以及计算机程序内的内部控制流程。因此，一个具有高级权限的管理人员可能操作很多不相容的职责，如授权、记录和保管、审核等等，甚至信息系统管理人员还可以直接在数据库后台更改数据 为舞弊提供了机会。 (三)检查风险 在信息化环境下．获取审计线索的难度加大。系统只是打印汇总结果，缺乏纸质的业务轨迹，而这种业务流程是重要的审计线索。因此对业务流程的分析．及相关的资料需要内审人员自己筛选整理，加大了内部审计的检查风险 ， (四)网络风险 随着计算机局域网和因特网的发展．给各行各业带来了极大的方便．由于网络的开放性，网络本身具有的风险就会带到审计中来，从而形成审计风险。如计算机病毒的破坏、黑客的攻击都会增加审计风险。 三、化解风险的对策 一)加强对业务信息系统的内部控制审计 1．加强对授权制度、不相容岗位职责分离等相互制约制度执行情况的审计。内部审计人员要着重对系统的职责分离情况、操作权限设置进行审查，不能因为会计核算技术的改变而放松内部控制机制的检查，反而应加大检查力度，避免信息化环境下不相容职责界限模糊带来的舞弊机会增加的现象。 2．内部审计人员加强对新业务系统的测试．了解其内部控制状况。内部审计人员加强对系统的测试．对系统在内部控制过程存在的问题及时提出建议。促使内部控制机制充分有效发挥作用。加强对新业务系统的内部控制审计，内审人员可以通过询问、观察、审阅系统文档、审查系统日志、系统配置文件及有关参数、设置电子文档等方式来评价系统内部控制状况，包括各项性能和技术指标、潜在风险和控制措施，及内部控制执行情况。以确定对系统的依赖程度．进而确定详细测试中内部审计资源的分配策略。 (二．)提高内审人员素质，改进审计方法，促进内审职业化 一是在现有内审人员的基础上，加强职业培训．提高内审人员素质。使其最大限度的满足信息化环境下的审计需要。内部审计人员只有具备了较高的职业素养和计算机水平，才能提高工作的效率和质量．并且可以有效的防范审计中出现的技术风险 二是在提高职业素质的基础上．采用以风险为导向的风险基础审计模式。即从审计准备阶段开始就考虑审计风险，运用分析性复核的方法，不仅对控制风险进行评价，同时更要对产生风险的各个要素进行分析 和评价。以确定实质性测试的范围和重点，将审计风险观念全面应用于审计全过程。 三是人民银行适应信息化的需要，内部审计向职业化