审计信息环境控制思考

进入21世纪，由现代信息技术所引发的全球信息化浪潮冲击着我们传统社会生活的每一个角落。信息技术的应用已渗透到了国民经济和社会发展的各个领域，对政治、经济和文化等方面都产生了巨大的冲击。信息技术在全社会的迅速普及，不但对会计的理论和实务产生了重大影响，同样也极大地影响了内部审计工作的环境，信息化促使企业的组织形式、管理体制、控制要点等等发生重大的变化。面对变化，只有正确应对，才能适用新形势下内部审计任务的需要。

一、信息化环境下实行内部控制的必要性

（一）信息化环境下电脑操作无形化和存储介质无纸化

信息化环境中，人员之间的联系部分地转变为人与计算机的联系，操作员身份的识别及授权控制等都有别于手工信息系统，手工会计信息系统中易于辨认的审计线索如笔迹、印章等在电算化环境下已无处可寻。此外，手工环境下，记录在凭证、账簿、报表等纸介质上的会计记录其勾稽关系较为明确，而在电算化环境下，由于会计记录被存储在磁盘、软盘等磁介质上，不宜实施签字、盖章等手段，而且磁介质很容易被改动，于是，数据的可靠性、原有纸制审计证据的减少、内部控制体系（会计处理及业务处理流程）的变化成为内部审计必须面对的问题，如何防止数据被非法修改及如何尽可能避免利用计算机进行犯罪是电算化内部控制必须解决的问题。

（二）信息化环境下内部稽核机制削弱

手工会计信息系统中，每一笔经济业务的处理都需要经过多重手续，严格遵循有关的制约监督机制进行操作，形成严密的内部牵制制度，在相互牵制、相互核对、检查监督等重要措施的实施过程中，包含大量的信息提取、传输和校验等工作。实行电算化后，许多业务处理程序被大大简化，大部分处理由计算机完成，一些内部牵制措施无法执行，会计人员无法直接参与和控制，控制效率低，其审查、稽核机制被削弱。

（三）信息化环境下会计工作质量有赖于计算机软、硬件系统自身的可靠性及会计人员本身的操作水平

手工会计信息系统易于保持经济业务的连续性，而在电算化会计信息系统中，一旦系统由于自身或操作员的失误而崩溃，就可能使会计工作陷入瘫痪；手工会计信息系统下，会计核算的质量取决于会计人员的业务水平、职业道德及对会计有关法规的理解和执行效果，而电算化系统中，操作环境的改变使传统的管理控制方式失去了发挥功能的土壤。为了减少误操作，提高输出会计信息质量，电算化会计信息系统必须具备严密的内部控制功能和手段。

（四）信息化环境下，数据的安全性和保密性有赖于建立、健全有效的内部控制制度

网络技术大大提高了会计工作的效率，但同时由于网络的开放性、数据存储介质的脆弱性等特点，给会计信息系统的安全带来了隐患。系统的登录与访问密码失窃、病毒、黑客、软件自身的缺陷都会使用户的信息安全受到威胁；磁介质易受到高温、磁性物质、剧烈震动的影响，包括运行期间的掉电、机器故障或磁介质物理损坏都会造成信息丢失或损坏；而且这种存储介质通过信息技术容易被访问和滥用,使存储的信息数据受到舞弊人员(黑客)的攻击，这些都增加了审计风险。因此,我们必须采取积极措施进行风险防范，制定各种严密的风险防范规章制度进行规范,包括网络管理规定、系统运行中安全保密有关规定、会计核算软件运行管理细则、计算机应用软件开发管理规定等,保证会计信息的准确性和可维护性,从而降低审计的风险。

二、信息化环境下对单位内部控制的影响

（一）信息存储电磁化

信息化环境下信息存储的方式由手工会计环境下的凭证、账簿、报表以及其他会计数据资料变为磁盘或光盘等。与纸介质相比，磁介质或光介质具有存储量大、读写不留痕迹、数据的复制和删改非常方便的特点。存储量大使得单位可以集中保存数据和信息资源，便于对其加以保护，但一旦毁损或被盗将使单位遭受更大的损失。读写不留痕迹使得数据被篡改的可能性增大，并且，新记录有可能把原有的信息覆盖掉，使得审计人员对业务数据变化的中间过程无法了解，造成可视审计踪迹的减少，导致审计线索的中断，需要加强内部控制。

（二）数据处理内部控制程序化

信息化提高了信息处理的效率。在信息化环境下，借助计算机的高速处理能力，能够使得信息处理的速度大为加快，效率大为提高。然而，这对内部控制的影响也是双方面的。

在数据处理流程中，系统在程序的统一调度下，一次输入数据，集中存储于一个数据库文件中，根据事先设定的核算方法进行多重处理，多层次输出所需要的各种会计信息，总账、日记账、明细账都出自同一数据源，这从一定程度上降低了业务处理过程中源于人员疏漏或舞弊的风险，可一旦系统的应用程序中存在差错或舞弊，同一种错误将被一次次重复，可能造成极其严重的后果。另一方面，信息化环境促使信息存储高度集中、单位时间传递的信息量大为提高，如果信息系统失灵或崩溃，重要信息被窃，都将给单位带来不可估量的损失。这又要求企业加强内部控制。

（三）信息化提高了信息的价值。

人们已经认识到数据和信息资源是单位最宝贵的资产之一。信息资产价值的提高可能诱使掌握它的管理人员发生将其卖给竞争对手的犯罪行为。而由于信息的无形性、可拷贝性，信息的泄密不易被发现。再者网络的远程接入性也给犯罪分子提供了方便，他们只要获得一个登录密码就可能通过网络侵入系统，窃取单位重要的信息资产，或是使信息系统崩溃。因此需要单位加强对信息资产、信息技术和信息系统的内部控制，通过良好的管理手段和技术手段降低风险。

（四）信息化对控制活动产生影响

信息化环境下的控制活动分为两部分：自动化业务控制和信息系统控制。自动化业务控制的控制对象仍然是单位的生产经营过程，以计算机程序的形式嵌入于信息系统之中，对业务的控制由计算机自动完成。信息系统控制是企业为了保证信息系统正确性、完整性和安全性而采取的控制措施，其控制对象是信息系统，包括计算机软硬件资源、应用系统、数据和相关人员等等信息系统的所有组成要素。随着网络技术和电子商务的发展，信息系统控制还必须考虑网络安全和电子商务控制的问题。

在信息化环境下，业务记录不再是书面的签章、编码、交叉索引等，而是通过登录密码、操作日志等技术手段进行业务记录，其有效性受信息系统的正确性、完整性和安全性的影响。对于信息资产的接触控制，由于网络的远程接入性，应当通过防火墙、操作员权限设置、登录密码安全策略、信息系统审计等等技术手段和管理措施加以实现。

三、信息化环境下单位加强内部控制，做好内部审计工作的建议

（一）制定和完善相关的法律法规

在信息化环境下,现有的一些法律法规呈现出滞后性,对会计信息化审计缺乏操作性,因而对保障审计独立性起不到应有的作用。要解决这一问题就必须有赖于政府制定相关的法律法规,借助法律的强制力营造一个外在的法律环境,对电子信息的有效性进行明确的界定,使会计信息化审计切实做到有法可依。

信息系统的审计章程要清晰地表述管理层在信息化环境下审计的目标，并要概述信息系统审计职能总的权力、范围和职责。对于经最高管理当局批准并制定的章程，在没有完全正当理由的情况下是不能对它做出改变的。

（二）全面推广电算化审计方法，充分发挥信息技术在审计中的作用

审计方法对审计人员收集证据、完成审计任务具有重要的意义。在信息化环境下，财务数据均是电子数据，作为审计工作者应与时俱进，根据内部审计环境变化的实际情况，及时采取科学、正确、经济的审计方法。电算化审计方法将信息技术与审计的基本原理、方法相结合并融为一体，使内部审计人员可以利用计算机、先进的审计软件和在会计电算化系统中嵌入的审计模块进行审计。实行电算化审计，能减轻审计人员的劳动强度，能更有效地帮助找出电算化会计系统内部控制及处理过程中的问题，促使其内控制度的不断完善，降低审计风险，为优质高效地完成内部审计工作提供保证。

（三）加强审计软件技术的开发

由于审计的范围已扩大到会计信息化的会计信息系统及其他计算机信息处理系统,为适应会计信息化环境下的各种财务软件的发展，我们必须要提高开发审计软件的速度,加快审计软件更新换代的步伐，开发通用审计软件和专用审计软件。同时,要强化审计人员对数据库程序的学习,直接对数据库中的数据进行采集和转换,利用查询语句对财务数据进行分析和整理,完成审计任务,这样就能从根本上摆脱财务软件升级或有意识改动带来的束缚,克服审计工作中存在的各种技术问题。

（四）重视和加强对会计电算化系统处理和控制功能的审计

由于集成化系统中原始凭证大量减少，使业务数据与财务数据之间的直接对应关系变得模糊、复杂，再加上数据的覆盖和网络化，从报表、账簿结果追查到原始业务变得非常困难。因此内部审计人员要想了解系统提供的数据的可信赖程度，必须对系统本身进行审计，对其合法性、严密性、完整性和正确性进行测试，这是内部审计不可能回避的。对已投入使用的电算化系统进行审计时，内部审计人员应注意审查和考核下列问题：

1、系统的功能是否恰当、完备，能否满足会计核算和管理的要求；

2、系统的数据流程、处理方法是否符合相关的会计制度及法令法规和财经纪律；

3、系统是否建立了恰当的程序控制，以防止或及时发现无意的差错或有意的舞弊；

4、系统的安全保密措施和管理制度是否健全，能否为系统的安全可靠运行提供保证；

5、系统是否留有审计接口，能为顺利开展审计工作提供多少必须的条件。

（五）加强审计专业人才的培养

网络应用和会计信息化使审计的范围不断扩大,提高了审计的难度和对审计人员专业知识的要求。这对我国当前审计人员知识结构不完整的现状是个巨大的挑战。因此,应注重从多渠道对现有的审计人员进行培训,加快审计人员的知识更新,以适应会计信息化审计的要求。对审计专业人才的培养,既包括对审计人员计算机专业知识的培养和财务知识、审计知识的更新,也包括对计算机专业人员财务知识和审计知识的培养和计算机知识的更新,促进两者及早合二为一,真正适应会计信息化审计工作的需要。

（六）加强人力资源管理

在信息化环境下，单位加强内部控制的一个重要方面就是加强对人力资源的管理。对于内部控制而言，人力资源管理的目标主要是保证和提高员工的素质和品行。信息化环境对员工的素质提出了更高的要求，员工不但要熟悉更多的业务流程，而且还要熟悉信息系统的操作方法。另一方面，由于信息系统的程序设计员、系统管理员等人员对信息系统具有巨大潜在破坏力，要求这些人员具有更高的道德品质。企业应该通过完善的人力资源管理来保证员工尤其是与信息技术相关的人员的素质和品行，对他们进行合理且有效地管理，建立良好的绩效评价机制、激励机制以及约束机制，使拥有知识的人获得合理的报酬，实现知识创造财富，留住了解重要信息资源的人才，防止人才流失以及相应的信息资源损失。

总之，随着计算机技术的发展，会计信息系统的内部控制体系发生了深刻的变化，也极大地改变了内部审计工作的环境。内审人员如何体察此种趋势，培养相关的能力，以发挥专业服务功能，是值得重视的课题。内审人员应从内部审计的角度，探讨信息技术对于单位交易处理流程及内部控制制度的冲击与影响，才能保证新形势下内部审计职能的充分发挥，才能满足不断发展的社会对内部审计工作的要求。