内部审计信息化风险研究

一、内部审计信息化存在的风险

（一）存储在磁盘上的电子数据较以往的手工记录，更容易不留痕迹的被人为修改、隐匿、转移，各种有意或无意的病毒、木马、恶意软件等计算机程序也会造成电子数据的泄露及破坏，缺乏防护的网络环境甚至不必物理接触即可对数据进行操作，更会使得这种风险进一步增加。（二）内部控制变化带来的风险在手工会计系统中，大部分的内部控制看得见、摸得着，发挥着重要的作用。而在会计电算化信息系统中，手工系统中诸如不相容职务相分离等原有的控制措施都已不适用了，内部控制的措施和手段发生了很大的变化，更多的是以计算机程序的形式集成在信息系统之中，由计算机自动进行处理，不如手工系统来的直观明了。所以信息系统设计了哪些控制措施，这些措施设置的是否合理有效，有无发挥出应有的作用，有无明显的设计和执行漏洞，内审人员很难在短时间内做出判断。而计算机会计信息系统的内控功能会直接影响系统输出信息的真实和准确，从而影响审计结果的准确性，增加了审计风险。（三）审计技术的变化带来的风险在手工会计系统中，内审人员可根据具体情况进行顺查、逆查或抽查。审查一般采用分析、比较、审阅、核对、调查和证实等方法。主要审查工作都是由人工完成的。在计算机信息系统下，会计处理方式的改变决定了审计的内容和技术的改变。虽然人工的各种审查技术仍是必不可少的，但计算机辅助审计正发挥着越来越重要的作用。既要对计算机信息系统的处理和控制功能进行审查，又要采用计算机辅助审计技术。利用计算机对电子数据的采集，整理，分析，判断都与以往手工环境下截然不同。审计技术更加复杂，手段更加多样，审计风险也随之增加。（四）审计内容的变化带来的风险在电算化会计信息系统中，会计事项由计算机按程序自动进行处理，如果系统的应用程序出错或被非法篡改，则计算机只会按给定的程序以同样错误的方法处理所有的有关会计事项，系统就可能被不知不觉地嵌入非法的舞弊程序，不法分子可以利用这些舞弊程序达到目的。系统的处理是否合规、合法、安全可靠，都与计算机系统的处理和控制功能有直接关系。电算化会计信息系统的特点，及其固有的风险，决定了内部审计的内容要增加对计算机信息系统处理和控制功能的审查。在会计电算化条件下，内部审计人员较以往要花费较多的时间和精力来了解和审查计算机系统的功能，机信息系统运作、数据采集与分析、数据挖掘等技术与方法。能够面对海量的数据，寻找到审计线索突破口：随时根据被审计单位的数据接口特征，选择满足需要的数据采集软件类型，编制各种审计模块：针对采集的数据进行筛选、清理和分析，快速准确地找到并验证各种审计疑点。一般来说，年龄较大的内部审计人员的财会、审计经验比较丰富，而计算机知识相对薄弱。年轻的审计人员，虽然在计算机的基本操作方面不成问题，但毕竟不是计算机专业出身，对信息系统中存在的一些较为专业的问题的掌握和解决还有待提高。因此，现阶段内部审计人员除了要有专业的审计、会计知识外，还必须掌握一定的计算机知识和应用技术，这需要一个过程，否则，审计人员做出的审计结论有可能偏离被审计单位会计信息系统的实际，从而造成审计风险。

二、控制内部审计信息化风险的对策

（一）做好被审计单位信息化基本情况事前调查进行计算机信息系统审计，首先要取得被审单位和部门的支持与配台，才能有效地降低审计风险。如果对方的相关技术人员不予配合，对系统的程序或数据文件加密、隐匿，或故意删除某些中间文件等，则内部审计人员将很难进行后续审查。其次，应对信息系统进行充分细致的审前调查，避免错误的业务理解，以有利于后续审计工作的顺利开展。审计组应当收集、学习、理解相关政策法规资料。无论对信息系统的审计是独立立项还是只作为传统审计的一个方面进行，审计组都应该在审前调查中发放调查表和调查问卷等收集服务器运行日志、软硬件购买合同、内控制度、管理规定、数据库巡检报告等涉及信息系统基本运行情况的资料。通过开展座谈与讨论等多种方式，深入了解被审计单位内控制度的完善程度，了解审计对象信息系统的硬件与存储的配置状况，了解数据库等相关软件版本、数据分布及备份策略，了解被审单位组织结构、系统网络拓扑结构、业务流程及电子数据往来传输情况，了解应用系统的基本功能与数据接口等。审计组应根据调查情况及对业务的理解，确定审计目标和重点，编制计算机信息系统审计实施方案。（二）确保获取电子数据的完整性、准确性，并进行实质性测试。根据审前调查获取的资料，审计组应该确定与审计需求相关的数据采集的合理范围和最佳方式，确保选择出的数据能保证审计方案规定的各项内容。审计组应向被审计单位提出书面的数据需求说明书，指明采集的系统名称、数据库及表的名称、数据传输格式、所需数据的时间段、数据交接方式与交接时间、双方对数据的责任等内容。数据需求说明书可以准确表达审计组的需求，消除只进行口头说明可能引起的需求不明情况的发生，为顺利获取数据奠定基础。另外，在数据需求说明书中规定安全控制措施、双方责任等事项还可以在一定程度上避免审计风险。采集数据一般采用间接采集方式，由被审计单位按照审计数据需求说明书直接拷贝数据文件或将指定数据转换为通用的、便于审计组利用的格式提供。为了减少由于不熟悉对方信息系统状况而影响对方正常工作的情形，内部审计人员一般不直接操作对方的生产系统，而是在审计人员监督之下，由对方技术人员完成实际采集工作，以规避一定的审计风险。另外，获取数据的途径要合法，应该取得被审计单位的同意或有关部门的批准。在某些特殊情况下，对方软件为成熟的商业化软件，而对方又没有技术人员可以实施数据采集，则审计技术人员应在有关领导批准后再亲自进行数据采集，并在对方有关人员在场的情况下选择系统非工作时间段，获取对方的数据备份。尽量只执行备份复制操作，严禁其他危险操作的执行。如果内部审计人员获得的数据不真实、不完整或不准确，那么无论对该数据进行何种分析，得出何种结论，其结果都是错误的，都是“假账真查”，审计风险极高。因此，对于采集回来的数据，在进行基本的清理转换后，要核对该数据的真实性、完整性和准确性，尽可能判断出有无蓄意对数据进行增加、删除、篡改的操作，有无遗漏、隐瞒数据等情况。首先要检查数据中是否存在不规范的地方。如是否有字段内容缺失，各数据表（或字段）之间是否有不一致或矛盾的地方，同时检查各表字段类型的合规性。其次，如果是财务数据，内部审计人员要对审计年度的凭证借贷方发生总额进行计算并求得各科目的年度余额表，与纸质数进行核对，如果不一致则检查原因，避免到审计中后期才发现数据不正确，影响审计进度；同时还要核对科目表自身科目代码级次及其末级科目与凭证表和余额表中科目代码的一致性、余额表各父子科目余额的一致性、凭证表各凭证借贷方金额的一致性、凭证数据的完整性。如果是业务数据，则要检查记录总数和记录中的日期是否有缺失，同时在了解被审计单位主要业务的基础上检查是否缺少某些数据表，整个业务流是否有断点。（三）加强对计算机信息系统安全性、内部控制符合性测试审计实施中，要着眼于控制源头，深入分析系统运行、内部控制，评估控制风险要素规模，确定可接受检查风险的大小、计算机审计的重点与范围，符合性测试，需要手工测试与计算机测试相结合。运用询问调查、实地考察方法，检查被审计单位软件文档、程序流程图、编码、运行记录与结果，软件系统中存在那些控制、在哪里控制、如何控制；以信息系统输入程序流程为重心，追踪检查若干业务处理全过程，验证系统关键控制功能在实际执行程序中是否恰当、有效。测试硬件系统设施、与其相连的外部网络之间设施是否安全，确保提供的信息不被泄露；计算机机房等外部设施是否能够保障硬件设备不受损害，足够支撑会计信息系统有效运转，以及移动存储介质是否安全、存放适宜。检测组织管理制度是否做到不相容职责相分离、实现获得安全的信息，针对不同系统故障或灾难是否各有应急处理措施和软硬件更新维护制度，能有效避免因技术落后带来的安全隐患，系统文档管理是否合理、规范、安全。要运用计算机测试软件系统，是否能够提供完整、正确，高效的电子数据，财务信息系统是否有缺陷、实际观察相关内部控制设计是否合理、运行是否正常。经过符合性测试，若系统安全性好、内控制度健全有效，可以减少实质性审查的范围和数量；反之，应扩大之。（四）注重审计复核，保证计算机审计工作质量和审计风险的最终控制。出具审计报告前，必须进行审计复核。认真整理、评价审计证据客观性、相关性、充分性、合法性，重点检查信息系统、电子数据查证的和未查证的累计重大错误总额是否超过各层重要性水平；复核工作底稿，针对被审计单位重要的业务活动、信息系统及数据与相关法规进行核对；与被审计单位管理层沟通，比对重大错误风险是否超过信息系统层重要性水平，复核其业务系统、财务系统及数据中反映出的重大问题，评价审计风险整体性水平是否在可以接受水平之下。复核后，对重要问题未能达成一致，需要对审计结果和审计意见重新调整，甚至追加审计程序，重新收集证据，切实保证内部审计信息化的质量，规避和控制审计风险。

作者：赵辞瑶 昂慧 顾晨 开喆 单位：江苏省人民医院