内部审计信息化论文汇总十篇
内部审计信息化论文篇(1)
在信息化系统的环境下,审计过程是借助于计算机及信息化技术,这将其与以往的纸质媒介、手工作业区别开来。纸质化的手工财务信息很容易追根溯源,获得一些原始的审计信息依据。而在引入信息化系统之后,财务信息被计算机汇总整合,方便了信息采集和处理的同时抹去了原有可探寻的线索痕迹,在便利了审计人员获得审计数据的同时加大了审计数据泄露、盗取的风险。而且,这种风险很难被察觉和快速排除。在这种情况下,企业的财务数据很容易被修改、删除、外漏,必然会导致企业遭受巨大的经济损失。
(二)信息化操作下相关人员业务生疏的风险
在信息化审计条件下,面对更加严格的审计要求和更加专业的审计操作,审计人员的专业素质尤为重要。审计人员不仅仅需要熟练掌握审计、会计方面的专业知识,更需要对会计电算化、网络技术、电脑操作等具备相关业务水平。这种复合型的素质需求无疑对审计人员提出了较高的业务要求,而当某一部分专业技能出现缺失,就会极大影响审计活动的效率及质量。
(三)信息化环境下的检查风险
在信息化系统审计下,传统检查方法已经不能满足系统化内部控制的审查与处理。这主要因为检查方法需要借助于计算机端口,这使得原先有迹可循、直观可视的会计核算变得不再那么容易。审计人员在审计过程中很容易忽略某一环节的检测,从而不能实现对企业整体性的把握。
(四)利用计算机舞弊带来的风险计算机在带来便利的同时也方便了那些别有用心之徒。对比传统审计舞弊行为,信息化系统下利用计算机舞弊更加具有隐藏性,破坏性也更大。企业的审计往往需要依附于整个计算机系统的正常运行,一旦计算机失控,就相当于从企业内部打开了缺口,更加难以控制。
(五)审计数据采集及内控制度上潜在的风险
传统审计过程不需要考虑审计数据采集的线索路径问题,因为一旦出现问题,可以立即返回源头查缺补漏。而在信息系统下,数据采集往往自动化,这就导致了责任承担的缺位,也给企业的内控制度造成了相当大的困扰。
二、信息化视角下国有企业规避审计潜在风险的对策
(一)及时更新信息化系统软件功能,避免系统落后的风险
企业信息化系统软件的及时更新成为企业紧跟时代大潮、避免被信息化淘汰的最简单也是最有效的手段之一。要想保证本企业内部审计的计算机系统能够获得及时的更新,就需要从两个方面下手。一是需要本企业培养或引进专门的技术人才。无论何时,人才都是企业得以长期发展的重中之重。只要建立起一套专业化的人才队伍,那么不论是在企业系统的日常维护、及时更新方面,还是在遭受黑客攻击、发生意外情况、系统重建等问题时,都能够第一时间的找出问题并加以解决,从而维护企业计算机系统的良好运行。二是要加强与专业软件研发公司的联系,从而在第一时间获取行业内的最新信息。一旦出现本企业内部队伍无法应对的局面,也可以及时获得外援支持,从而尽可能地降低经济损失。
(二)加强人员培训,提高审计队伍素质
加大对审计人员的培训,提升审计队伍的整体素质,是企业面对变化多端的审计风险所必须的投入。之所以要加强对审计人员的再培训,一方面是由于我国现阶段审计队伍的组成特点所决定,另一方面则受限于如今复杂多变的审计大背景。在我国,具备丰富经验、在各企业担任要职的审计骨干往往年龄偏大,这在大型国有企业中尤为明显,审计队伍已经趋向于老龄化。这样的审计队伍构成在面对审计信息化系统革新的挑战时,往往显得力不从心。一大批极富传统手工审计经验的审计人才对信息化系统审计不够熟练。另外,计算机系统的更新换代、审计软件的不断创新、审计内容的日益复杂等都使得审计工作需要学习型的复合型人才。企业组织审计队伍集体培训学习有利于人员之间的相互交流与学习,也能够保证企业内部审计队伍经验的传承与发扬。在培训中,审计人员可以借此提升在会计处理、计算机技术应用等方面的能力,从而获得全方位的提高。总之,在系统化审计的宏观背景下,包括国有企业在内的大型集团化企业需要多方面、多角度、多渠道地加强对审计人员的培训工作,转变审计人员的原有手工思维,在知识层面上更新换代,适应信息化审计的要求。
(三)采用适当审计方法避免检查风险
传统审计作业中,审计人员需要对纸质资料的数据采集与调取查阅相关审计资料,对某些信息进行反复的核查与计算,并需要对相关数据进行分析整理,而在信息化系统审计背景下,一旦还将审计方法割裂开来,单独程序单独使用,往往不能满足当今审计的需要。在信息化系统中,原先的审计方法有些已经滞后,而一些新的审计方法的采用则超越了原先的审计程序流程。例如,在目前审计背景下,对系统操作员的权限设定已经成为了审计工作的重点,一旦权限设定不明,就会发生授权混乱的局面,审查工作也就不可能有效进行,甚至有可能导致企业的日常现金流等资金管理上出现巨大漏洞,使企业遭受巨大的经济损失。
(四)加大对利用计算机舞弊行为的审查与惩处力度
利用计算机进行舞弊行为是计算机系统所独有的风险类型。一旦出现审计人员或其他相关犯罪人员利用手中权力进行计算机舞弊以达到自己的非法目的时,就会给企业的正常运营埋下巨大隐患。加强对计算机舞弊行为的审查和惩处,一方面要加强对审计人员的教育教导,加深审计队伍对这种违法犯罪行为的认识;另一方面则需要企业构建内部监督体系,企业可不定期地采用传统审计形式与系统化审计的数据结果进行对比,同时可聘请无利益相关的计算机专业人士定期对企业的计算机系统或审计系统进行测查,在日常的事务处理中注重对系统日志的留存备份等,以减少利用计算机舞弊行为的发生。
(五)健全和完善审计规章,强化企业制度规定
审计工作需要相关法律法规、审计规章的指引,企业内部也需要据此强化有关内部审计制度的规定。在信息化审计革新的背景下,政府颁布的审计技术规范可能随时改变。大型集团企业要在国家的审计准则及相关法律法规基础上,不断完善企业本身的审计制度和相关规定。企业可在政府重大审计理论政策时,组织业务精英进行学习研究,在此基础上总结经验,将其一并与政府文件下发到下属公司单位。除此之外,企业应该加大对内部制度规定的执行力度,从而从制度源头上保证企业的向心力与一致性。
内部审计信息化论文篇(2)
“金审工程”实行预算跟踪与联网核查相结合的审计模式,与旧有的审计模式相比,主要有以下三个特点:
(1)以事后审计与事中审计相结合的模式取代单一的事后审计;
(2)以动、静态结合的审计模式取代单一的静态审计;
(3)以现场和远程审计结合的模式取代单一的现场审计。
这使得我国审计机关通过信息网络能够更强有力地履行审计的监督职能,使得审计机关维护经济秩序,推进廉政建设,纠错查弊、加强管理、揭露犯罪、打击腐败的能力得到进一步的增强。审计单位资料库、审计专家经验库和审计文献资料库作为“金审工程”的三大重要成果,对于我国审计信息化建设的进程具有重要的推进作用。在审计信息化的发展中,审计内容和范围进一步扩展,审计方法和技术体系得到了完善,这些都促进了审计的规范化,审计的反馈能力得到加强。在借鉴国内外先进经验的基础上,审计信息化将向标准化、共享化、开放化、网络化、智能化发展。但在当前的发展形势下,我国审计信息化的水平仍然不高。大部分审计人员仍然通过原始的手工方式实施审计,审计证据的获取不够适当和充分,难以保证审计的质量。尤其是在目前社会信息化水平不断提高,企业的财务、销售、生产等管理环节已实现信息化和信息系统联网的背景下,审计信息化的进程仍比较缓慢,与信息化发展的整体水平不相称。使用传统的审计模式,已经很难适应信息化条件下的风险评估、内控测试与评价要求,进而无法开展真正意义上的以风险为导向的审计业务。常用的计算机辅助审计技术虽然能对电子数据进行审计,但多数仅仅是把手工审计流程计算机化,并没有利用数据分析与挖掘技术,从海量电子数据中提取隐藏的或未知的信息。因此,审计信息化工作的推进和加强迫在眉睫。
二、内部审计信息化发展过程中面临的问题与风险
1.我国企业内部审计信息化程度仍有待提高。内部审计的主要目的是辅助提升企业内部管理,防范风险,系统诊断,为企业发展提供增值服务,工作的着眼点和切入点多为具体业务流程管理,普遍存在信息化程序不高的问题。以中航工业为例,虽然在集团层面初步建立了内部审计信息化的管理信息系统,但该系统尚未与所属企事业单位实现联网及资源共享。同时,部分成员单位的信息化程度不高,内部审计信息化系统的建设更是处于规划阶段,这些都影响了集团内部审计信息化水平的提高。审计信息化并不是简单地将财务信息数字化,应向审计对象的信息系统发展,但在内部审计信息化建设初始的尝试中,部分单位的审计信息化建设仍处于财务数据统计分析电子化的初步阶段,尚未建立内部审计信息系统,无法实现审计的智能化、实时化和远程化。
2.企业内部审计信息的标准化、共享化与网络化程度有待提高。我国审计工作与国际先进审计工作的主要距离在于审计管理水平较低,这严重限制了基层审计工作的发展。企业的信息化建设缺乏总体规划,企业中各部门基于自己部门的需求,建立多个小型、分散的信息管理系统,各系统之间的差异化程度较大,并且存在一些相似重复建设的问题,数据的采集、储存与数据库建设尚未标准化,形成信息孤岛。管理信息化水平影响了内部审计信息化建设的程度,各个审计机关之间还没有形成一个有效的信息共享链。要实现审计工作在信息化环境下的共享化和网络化,必须首先实现审计信息的标准化,建设标准化的信息采集、交换和管理平台。审计资源的共享性程度较低也会导致审计工作量增大,增加很多重复性的工作,降低审计的工作效率。并且,审计信息系统不能与会计信息系统、管理信息系统实现对接与数据的实时交换,也就无法实现通过审计信息系统进行数据挖掘与分析,及时发现被审计单位运营与内控中存在的风险与问题,无法完全实现“金审工程”将事后审计转变为事中与事后审计相结合的要求。
3.信息化影响企业内部审计的独立性。通常而言,内部审计的环境对于内部审计的独立性具有影响,独立性会随着审计环境的变化产生相应的变化。当内部审计人员能力水平的发展落后于信息化的发展时,内部审计的独立性会由于对于外部专家等人员产生依赖性而受到影响。另外,会计信息系统在开发阶段,内部审计人员通常会参与其中,这样也会由于不相容岗位分离的原因,在信息系统审计时影响内部审计的独立性。
4.企业内部审计安全性受到信息化的影响。审计人员在决定审计范围和建立审计方案时,企业内部控制的测试和评价是重要的依据来源。然而,在信息化的环境下,内部控制制度已不能实现对于企业安全的全面控制。首先,企业的财产和运营的安全和财会系统的安全收到来自外部网络的电脑病毒和黑客的威胁;其次,由于计算机的使用,传统会计的工作职责发生改变,工作痕迹无法实现完全的保留。来自信息系统的证据的可靠性与网络健全有效性密切相关,通常的审计程序往往无法控制企业会计报表的真实与公允,无法确定企业重大的错报与漏报。
5.传统审计手段相比信息化环境发展滞后。审计人员在信息化环境下,由于审计证据的不可见性,往往需要依靠计算机进行审计。并且,在信息化环境下,经常需要在信息系统处于运行的状态中实施实时的审计,这对于审计人员、手段和技术都提出了更高的要求。内部审计人员在掌握财会、审计、法律等知识的同时,由于内部审计信息化的发展,审计的环境、内容、技术等均产生了重要的变化,这就要求内部审计人员在信息系统审计时,对信息系统技术的掌握要更加精通,信息系统的审计才能够顺利开展。目前内审人员的专业性不强,主要来自财会、金融、管理等专业,计算机网络等使用水平仍处于办公自动化的初级阶段,运用审计软件进行数字化审计、对审计数据对象进行编程处理与分析的能力尚显不足,对于企业管理与运营的信息系统进行IT审计的能力尤为不足,难以适应现代信息技术对审计人员素质的要求。
6.审计软件开发能力不足。在企业内部审计信息化需求日益增长的背景下,内部审计信息系统开发尚未实现市场化运作,系统开发企业研发审计软件的能力也相对不足。目前一些数据分析功能较强的审计软件,研发企业对于其的配套服务,如推广、培训、升级和维护等还比较滞后。并且审计人员在数据采集时,由于审计软件设计时没有与被审计企业财务软件协调开发,没有考虑与企业的发展和业务流程相适应,导致数据的取得出现困难,与企业的现实情况脱节。另外,财务和管理信息系统和审计信息系统不能实现无缝连接,审计所需数据资料在业务系统和审计系统之间的传递,难免会造成一些接口端与兼容性上的差异,需要通过导出导入数据的环节将二者进行连接,也造成了一些重复性的工作,对于审计工作的效率有一定的影响。这也使得企业尚未建立真正意义上的审计信息系统,所做的也仅仅是审计的计算机化。而且,审计软件的设计也没有体现出其面向企业的定制性,如对于一些基建等项目的内部审计仍然无法通过审计软件上完全实施,使得内部审计信息化的实现受到影响。
三、内部审计信息化建设过程中的风险应对
1.制定和完善相关的制度规范。为了更好地进行内部审计信息化建设,企业对于内部审计信息化建设要加强重视,建立相应的内部审计规范、内部审计信息系统运行标准以及内部控制制度,使之与信息化背景下的新环境相适应,用以规范内部审计信息化的发展,将审计风险降低到可以接受的水平。并且,在信息化环境下,应对企业的内部控制流程及要点进行逐一的梳理、测试与考核,以确保会计核算软件的高效、正确运行,保证资料、信息合法合规,为内审工作奠定基础。
2.提高内部审计信息的标准化水平,最大程度实现信息共享。信息系统的发展越来越呈现出复杂化、大型化和网络化的趋势,并且在互联网技术的扶持下,深刻地改变着审计业务的处理方式和思维模式。企业要加快审计数据库的建设,建立审计资料、档案、专家经验、法规、经济数据等数据库,研究联网审计的实施。并且要实现数据库内容的不断补充和优化,采取各种方式满足审计工作对于各种财经信息资源的共享需求。可以在分析研究不同信息系统的基础上,建立标准化的统一的审计信息系统,实现审计资源的共享化。在业务层面上研究联网审计的实施,使联网审计目标得到更加明确和量化,促进审计信息化建设的开展与落实。企业可以通过网络将审计部门联接、建立审计数据库、举办审计信息化相关会议等措施,实现相关企业审计部门对审计信息化建设的经验交流,达到整合审计资源、共享审计信息的目的和作用。在审计过程中,审计部门可以与业务部门相互交流经验,通过交流实现信息的共享和思维的创新。
3.提高风险防范能力。由于信息化的发展,审计档案、资料等电子化后,信息磁性介质的保存风险加大。并且,一旦在管理不到位的情况下,储存的电子资料有被访问和滥用的审计风险。因而,通过制定严格的风险防范制度,实现网络财务信息的监控与强制存档,制定网络安全保密规定、系统运行管理规定、计算机软件运行开发管理规定等,实现审计信息系统风险的降低。
4.加强审计软件的开发。内部审计人员在信息化的环境下对于各种对象如单机、多用户、网络等开展内部审计工作时,必须使用审计软件。审计软件通常包含管理审计计划、内部控制评价、数据转换、审计抽样、实质性测试、生成报表、生成审计报告等功能,集成了大量的审计方法和技术。企业要研发使用优良的内部审计软件,必须要将业务创新和信息技术相结合,确保内部审计软件真正地与企业的管理与业务特点相结合,体现出企业内部审计软件的定制化与个性化。今后的信息化审计要在确保电子数据安全性的同时,朝着分析型的方向发展,促进计算机审计工作的智能化,使得内部审计工作的效率和质量不断提高,内部审计风险得到有效的控制。企业可以与专业的财务咨询公司合作,开发适合企业自身特点的审计信息系统,实现企业审计信息系统的定制化,切实满足企业的发展需要。
5.加强专业人才的培养。不仅由于内部审计工作位于企业管理核心,并且由于信息化的发展,要求企业内部审计人员需要同时具备优秀的财务管理知识和熟练的计算机应用技术,熟练操作企业内部审计软件。只有这样才能在掌握各种先进技术后,促进企业内部审计信息化的建设,确保企业内部审计工作的顺利开展。因此,切实加强对相关人员的培训工作对实现企业内部审计的信息化建设具有重要的意义。对内部审计专业人才的培养,不但需要加强对审计人员计算机专业知识的培养和财务知识、审计知识的更新,更需要丰富计算机专业人员的财务知识和审计知识,实现二者真正适应审计信息化发展的需要。
内部审计信息化论文篇(3)
企业会计业务的主流程最大程度地标准化和规范化,大量的业务数据通过网络从企业营销、采购、仓储、生产、质检、技术、设备动力等管理子系统直接传输到财务部门,经账务系统自动处理后,生成XBRL格式的会计数据,通过公共接口与企业内外部系统相连接,为会计信息使用者提供数据。会计数据处理中人工干预大大减少,且信息以电子数据形式保存在云平台。
(2)会计信息的利用程度与共享方式发生变化。
首先,开放的现代会计信息系统带来高度的信息共享。企业内部各职能部门可以通过会计信息系统及时了解、使用会计信息。其次,采用通用的XBRL格式语言披露会计信息,实现数据的集成与最大化利用,通过外部接口可直接为企业外部使用者诸如商业银行、税务机关、供应商、经销商等读取及进一步处理,提高工作效率。
(3)财务会计与管理会计逐步融合。
随着云计算、网络技术发展,会计人员从手工劳动中解放出来,管理角色也在转换。同时,内部管理需求将催生更多的管理模块,各部门从云平台抓取所需的会计信息,通过加工分析后提供给会计人员做更细致的管理分析,会计信息处理与管理会计的专业分析逐步智能化、一体化。
2会计信息化的发展对内部审计的影响
(1)内部审计环境发生了变化。
会计工作模式发生重大变化,企业整体管理模式发生变化。企业管理理念、业务流程经过调整,内部审计面对的不再是如山的凭证、厚厚的账册和成堆的会计报表,而是内外共享的信息系统平台提供的会计信息。会计信息系统突破了历史的、滞后的、货币计量甚至会计分期的限制,提供实时的、货币与非货币计量的、相关度高的各种会计信息;为满足内部管理需要,还能提供跨期的或者任意会计分期下的会计数据。
(2)企业内部控制发生变化。
首先,内部控制形式发生了变化。在手工会计工作环境下,不同岗位的会计人员在职责范围内工作,通过签章明确,通过职能分割、人员分工形成内部控制体系。在会计电算化工作环境下,通过授权控制,外加记账凭证签章明确。而在会计信息化下,会计、管理和业务一体化,岗位分工、授权控制、全面预算、文件记录等都以数据形式存在,而且,会计内部控制已经不再局限于会计核算部门。其次,内部控制制度在内容、层次、深度上需要不断得到丰富、完善和深化。内部审计人员面对是电子签名、流程、表单以及其他终端输出。流程控制和内部控制制度的执行,对传统职责分离的控制审计在实际中很难找到审计线索,而是更多地依赖计算机本身的程序。企业如果对操作员的权限管理松懈,操作员就可以以不同的身份进入系统并进行不同的操作,岗位责任制控制将名存实亡。
(3)内部审计风险进一步加大。
由于内部审计目的是评价和改善风险管理、控制公司治理流程的有效性,提高企业经济效益,当审计环境与企业内部控制发生变化后,内部审计风险进一步加大。首先,会计数据来源复杂、自动处理,如若设置与控制环节不够完善,出错后果更为严重,且不容易查对。其次,审计面对的内部控制风险测试的难度加大。不管是进行符合性测试还是实质性测试都很难把握固有风险的评估。比如在信息化过程中管理人员(不仅仅是会计人员)的业务能力不够、计算机系统“防火墙”受到破坏、计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障都会造成实际数据与电子账面数据不相符,增加了固有审计风险。再次,审计人员由于自身业务水平跟不上信息化技术发展而不能发现审计线索,不能发现财务报表实际存在的重大错报、漏报的风险。另外,企业管理系统以及会计信息系统软件的更新升级,也会增加审计检查风险。对账户或交易的重大实质性测试往往离不开企业的历史数据,软件版本的更新、平台的迁移都会对新旧数据产生不同程度影响,带来检查风险。
3企业内部审计的适应对策
3.1认真开展会计信息化系统安全评估
会计信息系统在企业管理系统中的重要地位毋庸置疑,如果会计信息系统安全性不能得到保障,内审工作也就无从谈起。企业应该借助专业的网络安全公司进行网络安全评估。主要抓好以下几方面安全评估工作:
(1)评估企业内部管理系统是否存在安全隐患。
会计记录来源于原始业务数据,网络开放性、数据共享性使得内部人员对原始数据的修改或删除可以不留痕迹。内部审计机构配合网络安全公司首先要梳理明确业务流程,然后对被测试系统做系统分析,分析其架构、软件体系以及程序部署等,再对被测系统做系统安全分析,进行安全建模,明确本系统可能受到的潜在威胁,最后需要剖析系统,确认有哪些攻击界面,根据测试方案进行测试。
(2)评估与企业外部对接环节是否存在安全隐患。
银企互联的技术已应用于企业委托收款与支付环节,网上银行业务的开展实现了银行和企业财务系统的平滑对接,企业通过财务系统中的操作可以直接完成银行账户资金的管理和调度。网上银行业务环节既有网络系统的安全问题也有操作控制的安全问题。数字证书、电子银行口令卡都是在企业管理系统内部共用的环境下使用,恶意的攻击侵入与无意的错误操作都有可能发生,导致企业财产受到损失。内部审计机构要配合网络安全公司对重点部位或者系统关键点实行渗透测试,渗透测试考虑的是以黑客方法,从单点上找到利用途径,主动发动攻击侵入系统,以测试系统关键部位是否安全,这种测试可以更直观地帮助企业提高认识,也能解决一些重要问题。
(3)制定防范措施。
经过安全评估,内部审计部门应该对企业整体系统架构、安全编码、安全测试、安全测试覆盖性、安全度量等多个因素有全面的认识,清楚会计信息化系统的安全威胁所在,协助网络安全公司提出解决方案,修补漏洞,参与制定安全防护措施。当企业管理系统或者会计信息系统软件更新升级时,做数据备份的同时还需要重新评估整体安全性,进行必要的实质性测试,否则会带来不可知的检查风险。
3.2加强企业内部控制的评审,降低控制风险
内部审计是评价企业内部会计制度健全与否,控制程度如何的主要手段。内控措施包括制度控制和程序控制。
(1)程序控制方面主要选择理想的审计软件或者对现有的审计软件进行二次开发,以适应会计信息化环境下的审计需要。
理想的审计软件应该是一个会计信息化系统评测、审计技术分析、内部绩效评价与考核等多种功能技术的集合体。它可以与管理系统直接对接,为子系统提供评测,直接取数,对财务数据开展分析、测试、计算处理、稽核,可以自动生成一部分审计工作底稿。经过对审计项目参数设置,提供绩效考核各种指标。内部审计注重对绩效考核体系的构建及绩效评价指标考核的全程监控,更好地发挥内部审计在改善经营管理和提高经济效益方面的作用。
(2)制度控制方面主要做好权限密码管理,针对数据异常错误和联网传输问题采取相应具体措施。
包括:分配设置责任中心和操作权限密码,降低约束机制失效可能性;提高网络通信效率和效果,降低软件出现异常错误的可能性等。企业信息化初期建设阶段,关注会计信息系统的操作风险,随着试运行结束,在磨合期段后段,注重控制的流程、内控漏洞防控。
(3)在内部绩效考核审计方面注重实时、全面、增值,从单纯的查错防弊向促进提高管理水平转变。
第一,利用企业管理信息系统,结合内控制度审计,重新设计考评制度,评价企业内控制度的健全性和有效性,为改进内控管理服务。第二,利用企业管理信息系统,开展对专项业务活动的审计,要优化考评流程,实时、动态地考评被审计部门规章制度的执行情况、管理职能的发挥情况、管理措施的有效性等。第三,根据企业的内审环境,建立一种类似平衡计分法的评价模式,对照预算指标、安全生产目标等方面的业绩指标,对各部门和员工当期业绩进行考核和评价,兑现奖惩。
3.4提高审计人员的综合素质和专业技能主要做好以下几个方面:
(1)提高内审人员的专业知识和技术水平。
会计信息化带来新的工作理念和模式,它要求内部审计人员不断更新自己的知识结构,必须熟练掌握审计标准、程序和技术,并运用到实际审计业务中。内部审计人员同时要熟悉会计准则和技术,必须理解管理原则,从而认定和评价偏离良好经营惯例情形的重要性和重大性。内部审计人员只有通过继续教育学习不断提高自己的业务技能,才能精通内部审计标准、程序和技术运用。
(2)拓展内审人员的相关专业知识和技能。
内部审计人员不仅要熟练掌握审计依据、审计技术,熟练使用各种审计软件,还要掌握计算机网络技术,熟悉财务会计与企业管理软件,适时补充管理科学和信息科学方面的知识,不断加深对会计信息化环境下新型会计工作模式的理解。内部审计人员应当积极参加多种形式的实践培训活动,成为适应企业管理需要的复合型内部审计人才。
内部审计信息化论文篇(4)
1.1了解信息技术在医院中的运行环境
该院搭建的医疗信息系统平台包括:医院信息系统(HIS)为收费、检查、门诊及住院等活动提供服务;临床信息系统(CIS)收集处理临床数据;此外还有LIS、PACS、电子病历系统、叫号系统、财务系统、人事系统、物流管理系统、电子点餐系统和科研教学系统等等分别发挥着其各自的作用。因此,计算机信息技术已经融入到了医院的各个主要业务流程,不仅为病人和医生服务,更为医院管理提供支撑。医院信息系统平台的搭建,一般都得到院方的广泛支持。
1.2了解搭建医疗信息系统平台的应用程序、计算机操作系统及硬件设备
首先,为该院服务的软件品种较多,各个软件间存在相互接叉读取数据的情况,有可能对数据库的安全稳定造成影响;其次,由于各个医院的专科项目不同,医疗就诊流程也存在着个性化的差异,导致所使用的软件以及软件所配备的应用程序、操作系统也存在个性化差异较高的现状,这可能会导致医疗成本的大幅度提高;第三,由于信息技术已经融入医院管理,医院对信息化系统的依赖程度较高,对系统本身的安全性要求更加严格。另外,为了满足软件的运行,医院必须同时保证充足的硬件设备,例如电脑终端、大型服务器、保障设施(例如UPS)及交换机等,并负责维护设备的安全运行。此外医院还需提供可靠的操作系统,例如主流的Windows和Linux系统等。
1.3了解医院对应用程序及软件的管理方式
为了有效地管理医疗信息软件和保障医疗数据的安全,该院要求各个软件提供单位派驻工作小组,长期为医院的软件提供外包管理服务。院方还成立专门的信息中心进行管理,信息中心制定了相应的信息系统管理规章制度,并对规章制度的监督、执行和有效更新负责。此外,为了监控软件和硬件的日常运行情况,一些专门的预警机制也被引入医疗信息系统的管理中。例如,网络运维管理平台的使用有效的监控各个软件应用程序、操作系统,以及服务器、交换机等硬件的运行状态及运行环境,在软硬件发生异常时提早预警,帮助软件工程师及时排查错误。
1.4了解医院信息系统实施是否有效地帮助医院提高运营效率
2评估识别出的风险
基于风险导向审计为基础的审计风险由3个部分组成。
2.1固有风险
信息系统的固有风险一般来自于系统本身的安全性。随着计算机技术的普及和在医院内部的广泛使用,有效降低了人为舞弊情况的发生。但是,计算机软件和硬件安全问题,信息系统设计造成的固有缺陷给医院管理带来了风险。首先,由于计算机网络本身容易感染病毒,受到攻击时会造成网络瘫痪;硬件存放环境不当,对大型硬件设备造成损伤引发宕机。在对医院信息系统高度依赖的环境下,软硬件存在的固有风险,会给医院造成重大的损失,影响正常的医疗秩序。其次,由于软件工程师对医疗知识和管理知识的缺乏,计算机软件设计开发的初始阶段往往存在缺陷,运行期间则需要根据用户的需求做反复的修改,此过程不仅增加了医院的成本开支,也会影响到系统运行的安全性。
2.2控制风险
对医院信息系统的良好控制首先依赖于医院的制度规范执行。医院一般都设置专门的计算机信息部门,对医院的信息系统,包括软件程序、硬件设备和网络进行统一管理。该院在设立信息中心的同时,聘请软件开发企业进行外包服务,即由软件公司派驻专门的人员为医院的信息系统服务。如何平衡医院自主管理和对外包服务的依赖,给医院的管理提出了新的问题。因此审计人员在评价控制风险时,需要对医院自主管理能力和规章制度的执行情况进行分析,同时对外包服务的有效性进行评价。其次,对用户授权的控制。信息系统在医疗业务流程和管理流程内部控制的实现主要是通过对用户权限的设置来完成。相应层级的管理人员都具有不同的授权权限,在不同的业务流程中发挥作用。但是任何一个系统都存在一个超级用户,超级用户对所有的医疗信息、目录和文件有完全的访问权,它是安装后第一个登录到服务器上的用户,可以添加用户并设置系统内所有用户的权限。因此,内部审计人员必须对超级用户的实际状况进行分析,从而评价是否存在随意篡改数据的风险。此外,软硬件的成本是医疗信息系统建立并进行控制活动过程中不可忽略的问题。软件成本主要来自于人工费用和知识产权费用。但是,软件公司在销售产品的时候,常常隐蔽其真实的人工成本,并将知识产权费用夸大。医院采购部门往往很难判断软件产品的采购价格是否合理;医院信息平台的搭建同样还依赖于大量硬件设备,医院往往需要采购大型服务器、交换机和UPS;为了保证硬件设备的良好运行,医院还需要考虑良好的存放环境,利用辅助设施,保证存放地点湿度和温度的适当;基于软件程序,硬件设备的安全运行和有效管理考虑,很多医院为此引入了网络运维系统等非医疗信息系统软件,在另一个程度上增加了医院的系统购置成本。因此,内部审计人员必须对成本效益进行分析,在避免一味节约成本造成的信息系统搭建不完善的同时,避免为单纯追求效益导致的资源浪费。
2.3检查风险
检查风险受固有风险和控制风险的影响。信息化的普及,改变了传统审计的方法、审计对象和审计线索。传统的内部审计通过执行控制测试和进一步审计程序,对财务报表的舞弊做出判断;通过对医院内部控制的了解,评价内部控制的有效性,帮助医院提高内部管理水平等。医疗信息系统建立后,要求审计人员在掌握医疗管理流程的同时,还需要了解医疗信息系统中软件程序、网络和硬件设备等专业计算机知识,并利用信息技术进行内部审计。在缺乏系统的计算机专业知识,以及计算机审计规范不健全的情况下,内部审计人员未能恰当地施行审计程序,也会为医院管理带来风险。
3应对措施
内部审计人员在实施进一步审计程序时,应当关注以下几点内容。
3.1将信息系统的哪些方面纳入审计的范围
在考虑成本效益的原则下,进一步审计程序应当将资源有效地集中于风险最大的部分。首先,内部审计人员应当评价风险的重要性。将后果严重的部分,进行重点关注,因此,在对医疗信息系统进行风险评估和分析之后,内部审计人员应该对系统中关键信息点进行重点审计,例如对HIS中病人的主索引、收费明细记录、病历记录、处方记录等执行详细的审计程序;其次,内部审计人员应当关注特别风险事项,例如对于超级用户权限管理的审计;最后,内部审计人员还要关注细微风险累计的影响,如果几个细微风险累计产生的影响会对系统整体运行造成重大损失,内部审计人员则需要详细地设计进一步审计程序以应对此类风险。
3.2采用怎样的审计方式对医院信息系统进行评估
与传统内部审计工作不同,内部审计人员需要对系统运行的有效性进行评价,因此除了传统的检查、观察、询问、函证、重新执行和分析程序等进一步审计程序以外,内部审计人员还需要对系统中关键信息的数据库语言进行分析。同时,还需要利用审计软件进行信息化下医院的内部审计工作。
3.3以何种频率进行审计
通常风险被划分为高、中、低3个等级。在被识别的高风险等级中,信息技术风险被认定为发生概率高且对医院的运行影响范围广,因此内部审计人员通常应当每1~2年进行1次审计;对风险级别和影响程度及范围均适中的风险点,每2~3年进行1次审计;对风险级别低,不经常发生以及影响范围和程度均不明显的部分则在每3~5年进行1次审计。
3.4针对医院信息化背景下产生的固有风险进行评价
对控制风险和检查风险分别采取应对措施降低风险的影响程度
3.4.1固有风险的评估。
由于固有风险是医院在搭建医疗信息系统平台时无法避免的缺陷所造成的损失,内部审计人员无法控制此类固有风险,只能评估风险的大小。内部审计人员应当评估固有风险的大小,协助相关科室建立应急方案,一旦发现由于信息系统故障造成的问题,立即采用人工应急预案,有效地减少损失,保证医疗服务的质量。
3.4.2控制风险的应对。
(1)医院对外包服务建立有效管理体制。根据调查和实践证明,合理适当的外包,可以减少医院管理成本,节约人力资源。但是过多的将医院的信息系统管理建立在外包服务的基础上,同样也会给医院带来风险。如果关键的管理点均依赖于外包服务,那么就会造成权责不清的情况发生。因此,医院内部加强对信息系统的管理,建立完善的管理制度,培养医院内部计算机管理人才,平衡外包服务和自身管理的程度,对外包工作进行有效的监督和管理是减少控制风险的关键。内部审计人员应当帮助医院评价计算机中心管理制度是否存在缺陷,并提出相关建议。(2)对滥用超级用户功能的控制。由于超级用户的存在,人为从后台篡改数据给医院的内部控制造成隐患,例如,医生可以从后台修改已开出的处方和病历,不利于医院对已开具病历和处方的管理,极易造成医疗纠纷;财务人员也可能恶意的对系统中已录入的财务数据进行修改,或隐藏一部分财务数据,造成医院财务管理的风险。因此,内部审计工作中,审计人员要关注超级用户的管理方法,严格控制其使用范围,以防人为恶意篡改数据。(3)加强采购环节的控制。内部审计人员应当分析本院的所有信息系统软件是否符合医院管理的成本效益原则,评价现有软件有无浪费,以及由于信息技术快速更新造成的应淘汰软件仍然在续订的情况。内部审计人员可以通过帮助建立完善的物流采购程序,对大型软件严格采取政府公开招标的形式,利用外部专家进行分析。同时,加强对成本的考察,软件成本大多来自于软件工程师的脑力劳动和知识产权,一般很难评估,内审可以通过相同产品的询价,比较软件给医院带来的效益等方式来评价软件是否应该引入。
内部审计信息化论文篇(5)
二、医院内部审计信息化的作用与意义
1.实现现代化人才建设
确保医院内部审计信息化进程能够顺利实施,人才建设工作必不可少。面对当下医院内部审计信息化程度较低的属性,医院可通过以下几点着重建设促进自身内部的审计信息化创建:第一,积极地进行事关信息网络层面的储备资源教学,让现今在职的一些审计人员能够正确了解、掌握信息系统中的内部控制,明白正确应用审计软件的相关环节操作;第二,要择取符合医院现实条件的人才实施有关数据库、软件编程以及网络安全管理等相关的技能知识训练,最大化利用医院现有的资源使之成为不但具备信息技术,而且也了解审计工作的复合型人才。第三,医院管理者需要不畏繁琐的甚至有些机械式的训练,并在此过程中,敢实践、敢创新,在审计工程项目里,分析内部审计信息化工作中可能发生的一些新局面,进而能够从实践的角度,提升专业人才的审计能力。第四,医院在必要的时候也可以聘请来自医院外部的专业人才协助促动审计信息化建设的展开。对于每一个医院内部审计工作人员来说,都应当以关注医院内部审计前途、命运的高度进行对内部审计信息化的功能理解,要明白审计人员如果不能够基础地具备计算机技术必然会丧失进行审计的资格。计算机网络技术对于医院内部审计人员的重要性是不言而喻,故而要因此形成紧迫感与激发主观能动性,提升对内部审计信息化深远意义的认知[1]。
2.实现内部审计信息化规划化
在医院内部审计的现实的职责规划中,一些审计工作人员通常都没有严谨的规程可供遵循。为了能够推动医院内部审计信息化的健康、稳定发展,必然要构建起健全的相关指标,使之规划化、制度化。各个省市的审计厅与卫生行业内部审计协会可在充分权衡医疗机构面临的具体问题的背景之下,借鉴一些先进的经验理念,制订出相应的审计工作准则与趋向。如此一来,医院内审人员只要在进行计算机审计过程中达到有章可循,有法律法规作为依托,对医院审计信息化的建设必然会有着十分积极的正面示范作用。
3.设计专业的审计软件,实现信息共享
有些医院开展内部审计信息化工作的成本花费尽管是“乐观”的,并且表露一种愿意在此投入支出的态度,却往往无法解决存在的现实问题。其本质原因主要在于,制订信息化软件的负责人并未认可的权衡与明白所做事情的根本性目的,同时,也并没有根据医院自身的实际情况进行实际发展。对此,医院在研制审计软件开发的过程中,可以通过有关的卫生主管部门以及行业内部审计协会一齐展开统一的规划,利用专业人士的力量并且按照医疗行业的标准,探索出符合医院模式的审计模式[2]。通过国家审计部门审核承认的审计软件作为前提,再和软件公司合作研发自身医院的专用的内部审计软件。但在软件研发阶段,还应当重点关注一下几点:第一,以遵循契合当前的内部审计准则为开发的第一原则,充分地权衡如今信息化的行业发展方向;第二,保证开放阶段审计专家的主导地位,并让软件公司的设计进程跟着审计专家的思路前行,不可本末倒置;第三,所研制而出软件应当具备优秀的开放性,进而可以满足医院内部的整体需求;第四,软件研发过程中,应当考虑必要的推广条件,软件需要具备极为便捷的可操作性。与此同时,医院务必要推进创设关于内部审计的信息管理工作。例如可以成了内部的数字化审计平台,把这个平台和医院的各个部门之间的业务进行系统对接,相互整合。这样一来,就能够即时全方位地得到审计人员需要的审计数据和资料,极大地缩减了成本支出。医院内审工具能够展开实时审计,不但能够弥补事后审计中普遍存在的线索不全的重大缺陷,也可以全面地提升审计工作的现实效率,做到无纸化传递。
内部审计信息化论文篇(6)
二、信息化技术对内部审计的影响与作用
随着信息技术在我国的快速发展,每个人都对信息的产生和处理的思维方式产生了巨大的改变,在信息的需求上的变化日新予以。同时影响并改变着内部审计的范围、内容与方法,对内部审计的发展产生极大的推动。
1.信息化技术的发展改变了企业内部审计环境在过去的20年间,企业的经营模式因信息化推进过程产生了巨大的变革,信息技术在企业中的广泛应用同时加速了审计环境的变化,审计工具,手段的变更不但提高了审计效率,同时对审计人员的要求更高。通过信息系统获得审计所需的数据和信息,而以往只能手工录入或取得;获得的数据由以往的记录在纸质介体上,容易丢失或因环境变更而损坏,变成利用电脑硬件储存,应用更加广泛和便利;在过去,审计人员需携带大量数据进行递交,极不方便,如今,传真,纸质文件等传统手段已经转变为更方便的联网查阅,互联网传输更方便了数据的对比和传输。但同时,内部审计人员面临的审计环境也相应变得复杂。
2.信息化技术的运用加大了内部审计的审计风险信息化技术的使用加大了审计风险。现在的审计风险模型为审计风险=重大错报风险×检查风险。高科技使得舞弊行为更隐蔽难以察觉,从而加大了重大错报风险。例如,利用随机产生程序伪造应收款项或存货的金额;利用报表编制程序快速编制多份虚假财务报表等。其次,在计算机系统中人为修改、删除、隐匿和破坏电子数据变得非常容易。操作失误、程序处理错误、非法入侵和网络传输故障等均可能对电子数据造成极大的破坏和泄露电子数据存在被篡改、破坏和丢失的可能性加大了重大错报风险。审计线索的减少或消失增加了检查风险。传统审计模式下会计处理的每一步都有文字记录,审计线索清晰。审计人员调阅纸质信息并加上专业判断可以获取和追索审计线索。信息化环境中审计线索更为隐蔽,获取也更为困难。目前很难制定出相应的审计技术、方法和测试指标,这就增加了检查风险。
三、信息化环境下国内外企业内部审计的发展现状
在信息化高度发展的大环境下,过去用于控制数据安全的人工手段已经渐渐失去作用,面临取消。更多的控制手段通过变更为程序继续发挥着原有的作用,如计算机防火墙,密码控制,程序操控等计算机手段高速发展,内部审计人员需要详细了解并测试相应的信息系统。审计证据存储在数据库里,采用了新的审计技术和高科技手段,针对重要的会计财务,可使用嵌入式系统进行审计,需审计的数据采用计算机程序进行采集和收录,并跟进比对,如重要数据有变化,均可在第一时间查看。这些都给内部审计人员带来工作挑战,如何全面掌握和灵活运用新的审计技术,是我们迫不及待解决的一大难题。因此,内部审计如果提留在过去的工作,不能及时适应日益技术化和信息化的新审计环境,不能让内技术得到进一步的发展和对内部审计管理进行改革,内部审计的工作将落后于社会,以后的工作更是举步维艰。为了应对这一系列的改变,国内外的企业内部审计都有了一定程度的发展。
1.国外企业内部审计的发展情况国外企业的内部审计发展主要从计算机的硬件系统控制以及软件的实质性审查进行改进
(1)内控制度的审计。审计的基础和前提是对企业内制制度的审查与评价。如从实施这一角度查看内控制度,部分是可以通过程序进行实施的,而部分是通过企业制度的约束作为实现手段。通过对软件程序的具体设计和运行,使“制度化”控制得到落实的实施,实现真正的“程序化”控制。而通过建立管理工作制度,可以确保内部审计得到有力支持,并保证计算机会计系统的安全性和稳定性。在会计电算化的条件下,部分传统的审计内容依旧需要审查,但如今的侧重点已经偏向于计算机系统的硬件和软件构成的内部控制。内部审计人员应积极参与,发挥主观能动性,在本单位制定各方面制度的过程中,积极思考和提出意见,制度实施过程中,积极进行定期审计或不定期检查,对企业内部控制的弱点及时发现和解决,并提出相应的改进措施,是内部控制制度落到实处,确保在审计过程中,会计数据达到安全、有效和完整。
(2)实质性审计。在以往落后的手工条件下,审计面对的对象和资料主要是书面形式的。在电算化的条件下,审计人员除了对审查数据的输入和输出,还负责审查计算机程序和数据库中的数据文件,其余会计核算由计算机的相关程序完成。现阶段,审计工作的重点是确保所用的会计软件合法、是否能正确审查数据,以及对机内数据文件的进行审计这些方面。
2.国内企业内部审计的发展情况
(1)内部审计的范围不断扩。在我国,内部审计的范围已经不再局限于财务审计,而是逐步开始扩大范围(组织经营和管理),如企业的内部控制和经营风险管理等方面。对绩效、经济责任、管理方面、经济合同等进行内部审计,对企业和组织的可持续发展和健康成长产生巨大影响。内部审计日益发挥了更重要的作用。
(2)内部审计针对的内容不断增加,传统内部审计中,关注点在于事后的监督和评价,当今社会对风险管理的观念不断加强,如今的内部审计已经要求内部审计人员必须对审计进行全过程的审计。从前面阶段对经济活动进行测量与分析,过程中对企业行为进行必要的监督和控制,最后进行综合性的评价和及时反馈,并视具体情况商讨是否开展后续的审计。
(3)企业逐步认识到风险,逐步开展量化且持续性的审计手段。目前,在企业的风险管理中,内部审计一般只起到了评估作用,只能对企业进行建议。审计的计划对企业进行分析,提出相应的风险战略。使风险管理与内部的审计程序统一;并且根据项目风险对审计项目进行先后分出次序,是内部审计资源可以因审计的风险大小进行合理利用,在高风险领域投放资源更为合理;在整个审计过程中,审计部门提前提出建议,进行对风险的防范和控制,为企业总体目标提供有效的服务和保障
(4)规范评价内部审计活动质量。企业通过学习和交流,慢慢建立起有效且全面的内部审计体系(质量与风险管理),将管理贯彻落实在全过程中。内部审计准则中也对内部审计的质量提出了更多改革与保护举措。主要体现在对过程的日常监督、对企业内部做出定期的评价以及再过程中对外部的评价。日常的监督的实现有赖于各方面的管理;企业内部定期评价交由审计主管负责,按照规定的内部审计计划进行检查,也可以通过兄弟单位的交流与学习进行加强。企业外部的评价就需要专业机构来完成,外部的检查最低在3年进行一次,也可以在必要时加密和加强力度。
四、国内企业内部审计的发展趋势
1.技术更加革新,电算化环境下的广泛使用生产力发展的过程离不开变革,而计算机的出现改变了当社会的最终生产能力。如今,具备更多功能的计算机及计算机软件已经得到了再进一步的发展和革新。设计者通过对使用者进行调查和研究,不断在软硬件设施中提高工作的效率,规模化,智能化是环境对内部审核的最高要求。不能熟悉地掌握计算机审计工具,就不能适应新环境下的审计工作,就落后与社会的潮流。审计人员通过各种高新技术和针对性的审计软件,从日益增多的数据中找出审计的漏洞与证据,从而展开高效而且有效的审计。现阶段审计的最终决定权还掌握在审计人员手中,计算机只是审计的一种辅助工具,如何杜绝人为干扰,将过往的手工审计经验带入到软件审计过程中是我们将面对的难题。国内企业面临软件的不断更新,将人为操控的风险减少,审计过程只限制于数据的输入和输出,其余通过智能化模拟进行审计,将风险和参数等一并计算得出。
2.内部审计在企业风险管理中的作用将越来越大相爱年代社会环境要求的是不断竞争,因此企业也面临着日益增加的风险,为此,风险评估已经成为内部审计工作中最重要的工作,内部审计工作也已经是企业对风险进行管理中最重要的一环。对内部审计而言,企业存在风险的领域就是工作中的重点。内部审计已经从对企业内部财务管理方面的单一控制,进一步参与到公司在利益,价值,日常工作的推进与建设当中。内部审计工作将从事后、静态与现场的传统审计手段,转变为事前或事中,动态与远程审(非现场)审计方向进行发展,摆脱过往的单一内部审计,向综合性审计,外部审计的大环境趋势靠拢。在针对企业内部的风险管理中,内部审计除了要对内部控制严格把关外,还需要对企业的风险管理机制及企业内部的治理结构投放更多的关注与控制。在审计中,工作的侧重点不但是测试与控制,还需要对企业风险进行定位分析、提前确认、以及做好防范。而审计是否能发挥出应有的控制以及有效的作用,需要与企业相关部门实时沟通与联系,在对风险管理过程中,审计需要有效地做出针对性检测,及时对风险做出有效的评价和建议,有重大的审计结果需要明确地反应和报告给相关领导部门。并随时跟踪落实情况,以防审计结果没有得到有效解决。防止风险进一步扩大和失去控制;另一方面,内部审计应优先对企业内部进行优先控制,避免个人员铤而走险,顶风舞弊。
3.内部审计的地位和独立性不断增强随着内部审计的作用越来越大,企业管理层逐渐加强认识到内部审计的重要性。领导层的认识加深也成为了企业内部顺利开展审计工作的关键保证。因充分认识到内部审计对企业发展的必要性,领导层会为内部审计提供更为方便的条件及地位保证,上层领导对内部审计工作的有力支持,可以使内部审计人员由原来的“秘密警察”转变为“管理层的资深顾问”,而内部审计人员也必定和企业部门进行更多交流和咨询,增加企业整体性和灵活性。我国企业当前的内部对审计部门的设置通常有五种模式,一,归于财务部门管理;二,由财务总监领导;三,总经理(首席执行官)领导;四,隶属于监事会;五,隶属于董事会。其中以第四、第五种模式最为广受欢迎。内部审计所处的层次比较高,相应的独立性很强。而且随着信息化环境发展,企业内部审计还会得到进一步发展,建立由董事会直接领导,直接服务于全公司的内部审计机制的组织模式将会成为今后的发展趋势。内部审计的独立性将得到进一步的加强。
内部审计信息化论文篇(7)
【中图分类号】 F239.44 【文献标识码】 A 【文章编号】 1004-5937(2017)06-0115-06
一、引言
内部审计制度建构的一个基础性问题是审计什么――这就是审计内容,它包括审计对象、审计主题、审计业务类型、审计标的等多个层面。一般认为,审计对象是经管责任,而审计标的主要涉及审计证据的来源,所以,审计主题和审计业务类型是审计的核心内容[ 1 ]。本文从内部审计视角出发,关注其中的审计主题。审计主题是审计内容的骨架,不同的审计内容按审计主题形成有逻辑的框架体系,要建立有效的内部审计制度,必须有这种框架。从现实世界来看,不管是否意识到这个问题,每组织的内部审计都有一定的审计主题,并且不同的组织之间,内部审计主题存在差异。那么,既然都需要内部审计主题,不同组织之间为什么又会呈现差异化呢?
现有文献对审计主题有一定的研究,一些文献还从审计一般和政府审计的视角出发,分析了审计主题差异的原因。然而,关于内部审计主题及其差异化还缺乏针对性的研究。本文在现有文献的基础上,聚焦内部审计,提出内部审计主题及其差异化的理论框架。
随后的内容安排如下:首先是一个简要的文献综述,梳理内部审计主题相关文献,在此基础上,提出一个关于内部审计主题及其差异化的理论框架;其次用这个理论框架来分析内部审计权威文献倡导的审计主题及其变化,在一定程度上验证这个理论框架;最后是结论和启示。
二、文献综述
本文研究内部审计主题及其差异化的原因,文献综述包括两部分内容,一是内部审计主题及其差异化,二是内部审计内容及其差异化。
没有文献直接研究内部审计主题及其差异化,但是一些文献从审计一般和政府审计的视角研究审计主题,这对本文的研究有一定启发作用。一些文献认为,审计主题就是审计师发表审计意见的特定事项[ 2-3 ],鸟羽至英[ 4 ]、谢少敏[ 5 ]将审计主题分为行为主题和信息主题,郑石桥、周天根、王玮[ 6 ]在此基础上,将行为主题分为具体行为主题和制度主题,将信息主题分为财务信息主题和非财务信息主题。还有一些文献研究审计主题差异化的原因,郑石桥、周天根、王玮[ 6 ]认为,组织治理模式的不同导致了审计主题的差异化;郑石桥[ 7-8 ]认为,由于国有资源经管责任的内容不同及公共组织治理模式的不同,导致了政府审计主题的差异化。
关于内部审计内容及其差异化的相关研究有两方面的文献,一是职业组织的权威文献,二是研究性文献。关于职业组织的权威文献,IIA的内部审计职责说明书及审计准则和实务框架都涉及内部审计内容,其2013版IPPF认为,内部审计内容是风险管理、控制和治理过程[ 9 ];中国内部审计协会颁布的《第1101号――内部审计基本准则》规定,内部审计内容是业务活动、内部控制和风险管理[ 10 ];我国审计署的《审计署关于内部审计工作的规定》认为,内部审计内容是财政收支、财务收支、经济活动[ 11 ]。研究性文献对内部审计内容的观点较多,主流观点有三种:第一种观点,内部审计的对象包括会计资料、统计核算资料和其他业务核算资料;第二种观点,内部审计的对象是经济活动;第三种观点,内部审计的对象和范围,既包括各单位的经济活动,也包括各单位的经济管理工作[ 12-13 ]。还有一些文献认为,治理型内部审计、增值型内部审计,其审计内容不同于传统的内部审计。易仁萍[ 14 ]认为,内部控制、风险管理是内部审计的核心内容;邢风云[ 15 ]认为,内部审计对象不仅限于财务方面,而且向更多的管理领域延伸;刘德运[ 16 ]认为,内部审计的对象具体可以表述为风险管理、公司治理和内部控制。此外,还有文献描述了内部审计内容的变迁及影响因素,认为是审计环境的变化推动了审计内容的变化[ 17-21 ]。
上述文献对我们认知内部审计主题及其差异化有较大的启发,然而,关于内部审计主题并没有针对性的研究,对于内部审计主题及其差异化,缺乏一个系统化的理论框架,本文拟提出这个理论框架。
三、理论框架
从技术逻辑来说,审计就是对特定事项与既定标准之间的一致性发表意见,这里的特定事项就是审计主题,内部审计也不例外。审计主题是内部审计制度建构的关键要素:一方面,它受到其他一些因素的影响,这些因素包括组织治理机制、组织环境、内部审计定位等;另一方面,它又会影响内部审计业务类型,并通过业务类型影响内部审计其他基本要素,进而影响内部审计制度的整体效果。所以,内部审计主题是内部审计制度中承前启后的制度变量,其基本情形如图1所示。由于篇幅所限,本文关注内部审计主题及其影响因素――也就是内部审计主题差异化的原因(图中实线标识部分),至于内部审计主题对内部审计业务类型及通过业务类型形成的进一步影响,拟另作专门探究,本文不涉及(图中用虚线表示)。
(一)内部审计主题:概念、范围和类型
从本质上来说,内部审计是以系统方法从行为和信息两个角度独立鉴证经管责任履行中影响组织目标的消极因素及相关治理机制并将结果传达给组织内部利益相关者的制度安排[ 22 ]。根据这个本质,内部审计关注的是经管责任(accountability)履行中影响组织目标的消极因素,这些消极因素包括问题、次优问题和风险暴露。问题是由于人的自利而产生的影响组织目标的消极因素,次优问题是由于人的有限理性而产生的影响组织目标的消极因素。从广义来说,问题和次优问题都是风险暴露;从狭义来说,风险暴露是指问题和次优问题之外,对组织目标有负面影响且未能有效应对的外部及内部因素。在许多情形下,上述三类消极因素交织起来,无法清晰地判断是何种问题。
内部审计对于问题、次优问题和风险暴露并不是万能的,所做的基础性工作是鉴证,也就是判断这些问题是否存在,在此基础上,再推动解决上述问题。内部审计判断上述问题是否存在的核心内容是将与上述问题、次优问题及风险暴露相关的特定事项和既定标准进行比较,以判断特定事项与既定标准之间的一致性,如果不一致,就判断为偏差,并且推动对偏差的整改。这里的特定事项就是内部审计关注的审计主题。
那么,内部审计主题的范围是什么呢?两个因素限定了内部审计主题的范围,一是经管责任或组织目标,二是既定标准的存在。经管责任也就是人从委托人那里接受的责任。一般来说,这个责任体现为人负责的这个组织或岗位的目标,如果将岗位称为微组织,则经管责任也就是组织目标。人为了履行其经管责任,或为了实现组织目标,要做很多的努力,而问题、次优问题及风险暴露是对组织目标有负面影响的消极因素,审计师要关注是否存在这些消极因素。所以,离开经管责任或组织目标,也就无从谈起消极因素,并且内部审计围绕组织目标开展工作,也就是只能关注影响组织目标的消极因素,不能偏离这个主题。内部审计并不是一般意义上关注问题、次优问题及风险暴露,而是关注与组织目标或经管责任相关的问题、次优问题及风险暴露。
即使围绕组织目标或经管责任展开工作,内部审计还是要受到既定标准的限制,对于没有既定标准的事项,审计师就无法作出该特定事项是否发生偏差的判断,所以,既定标准的存在是内部审计主题存在的又一个前提条件。这里的既定标准就是该特定事项应该如何要求或流程或做法或惯例。如果该特定事项的现实与其应如何发生不一致,就判定为偏差,如果没有既定标准,当然也就不存在应该如何的问题,当然也就无法判断是否存在偏差。现实生活中,有一些对组织目标可能存在负面影响的行为或制度,但是,由于缺乏清晰的标准,内部审计在这些方面无能为力。例如,究竟什么样的领导风格是适宜的,目前还没有统一的认识,这也就导致对领导风格没有清晰的既定标准,审计师当然也就无法对领导风格是否存在偏差进行判断。在一些情形下,虽然没有清楚的既定标准,但是,如果主要的利益相关者能在多个可能的标准中就某一标准的适宜性达成共识,这种标准也能成为既定标准。
上述两个因素结合起来,限定了内部审计主题的范围,大致如图2所示。图中的阴影部分,就是内部审计主题的范围。
接下来的问题是内部审计主题有哪些种类。在内部审计主题范围内,审计师能鉴证的影响组织目标的问题、次优问题及风险暴露一般包括四种特定事项:财务信息、非财务信息、具体行为和制度。
财务信息是以货币计量的信息,主要体现在内部会计报表中。这些信息,一方面表明了各管理层对组织资源的使用情况,另一方面反映了组织的财务状况和财务成果,从财务视角表明了各管理层绩效。正是由于财务信息的上述功能,各管理层有可能操纵财务信息,通过这种操纵谋取自己的利益,所以财务信息虚假是问题。另外,即使各管理层无意操纵财务信息,由于人的有限理性,在财务信息的生产过程中也可能发生错误,从而使得财务信息失真,这就产生次优问题。在一些情形下,可能无法区分财务信息不真实是信息虚假还是信息错误,一般合称财务信息错弊。而财务信息错弊可能掩盖一些财务风险,从而带来未能应对的风险暴露。基于上述原因,内部审计师对于各管理层提供的财务信息要鉴证其真实性,其既定标准是组织关于财务信息生产及报告的规定,从而财务信息成为重要的内部审计主题。一些内部审计机构开展的财务审计是这种审计主题的典型代表。
非财务信息是以非货币计量的信息,主体体现在内部各种统计报表中。这些信息在很大程度上反映了各管理层营运的过程和结果,所以,这些信息在很大程度上也是各管理层的绩效指标。基于与财务信息相同的原因,这些信息可能产生问题、次优问题,产生信息错弊,进而带来未能应对的风险暴露。为此,内部审计师需要对这些信息进行鉴证,其既定标准是组织关于非财务信息生产及报告的规定,从而非财务信息成为重要的内部审计主题。一些内部审计机构在开展绩效审计、经济责任审计时,对非财务计量的绩效指标和经济责任指标进行鉴证,就是这种审计主题的典型代表。
具体行为是各管理层履行其经管责任或实现组织目标中的作为或不作为。要实现组织目标或履行经管责任,有些事必须做,表现为作为;许多事必须按一定的方式做,表现为正确作为;有些事不能做,表现为不作为。遵守了上述要求,就是正常行为,违背了上述要求就是缺陷行为。很显然,只有正常行为能促进经管责任的履行或组织目标的达成,而缺陷行为是会损害组织目标或经管责任之履行的。为此,在存在既定标准或能对可能的既定标准达成共识时,内部审计师需要对各管理层的具体行为进行鉴证,以识别缺陷行为,从而使得具体行为成为重要的内部审计主题。这里的缺陷行为既可能是由于自利带来的不当作为或不作为,从而表现为问题;也可能是有限理性带来的错误作为或不作为,从而表现为次优问题;还可能是由于自利或有限理性而带来的风险应对不当作为或不作为,从而表现为过度的风险暴露。行为主题审计的关键是既定标准是否存在,在许多情形下,具体行为的既定标准有明文规定,这些行为如果偏离既定标准就是违规行为;在有些情形下,具体行为的既定标准并没有明文规定,需要审计师的职业判断,这种情形下判断的偏差行为,主要表现为现行行为与适宜要求之间存在差距,通常是不合理的,一般称瑕疵行为。一些内部审计机构开展的财务收支合规性审计、经济合同合规性审计、工程结算合规性审计,就是这种审计主题的典型代表。
制度(institution)是要求大家共同遵守的办事规程或行动准则,是一种人们有目的建构的秩序规则。一般来说,任何组织的制度都包括两种类型:一是明文规定的规章制度;二是虽然没有明文规定,但是该组织有现行办事的程序或方法,有时甚至是潜规则。任何组织要达成其组织目标或者说管理层要履行好其经管责任,必须建立支持其组织目标或经管责任的制度体系。但是,由于各种原因,有些制度可能不支持组织目标或经管责任的良好履行,这类制度称为缺陷制度。缺陷制度的形成有多种原因,可能是由于管理层自利而故意形成的制度缺陷(当然,这种缺陷是对组织目标有负面影响,但对管理层本身可能是有利的),从而显现了问题;也可能是由于管理层的有限理性形成制度缺陷,从而显现了次优问题;还可能是由于管理层自利或有限理性,从而使得应对风险的制度存在缺陷,显现为风险过分暴露。无论是何种原因都会对组织目标的达成形成负面影响,所以,内部审计师需要对制度进行鉴证,以判断制度是否存在缺陷,从而使得制度成为重要的内部审计主题。制度鉴证的关键问题是既定标准,当判断现行制度是否执行时,现行已经存在的制度当然就是既定标准;当判断现行制度设计是否存在缺陷时,一些法律法规及管理原理、管理惯例、行业惯例可能成为既定标准,当然,这需要与利益相关者协商这个既定标准。所以,制度审计只能在某些范围内开展。一些内部审计机构开展的内部控制审计是典型的制度审计,一些内部审计机构开展的管理审计、经营审计、制度也是主要的审计主题。
以上分别阐述了四种审计主题,事实上,财务信息和非财务信息都具有不少共性,可以合并称为信息主题;而具体行为和制度更是密切相关。制度就是规范具体行为,而具体行为也需要按制度来实施,所以,制度和具体行为是一枚钱币的两面,正是在这个意义上,一些文献认为,将制度和具体行为合并称为行为主题。从而,内部审计的全部审计主题是两类四种:信息主题――包括财务信息和非财务信息,行为主题――包括具体行为和制度。
(二)内部审计主题差异化的原因――影响内部审计主题的因素
接下来的问题是,既然内部审计的全部审计主题是两类四种,为什么不同组织会选择不同的审计主题,换言之,影响内部审计主题选择或内部审计主题差异化的因素有哪些?按图1的框架来分析这些影响因素。
内部审计本质既有共性本质,也有个性本质,内部审计定位,主要是指内部审计个性本质的选择。一般来说,内部审计个性本质有三种:一是作为业务流程中的审核机制;二是作为监督机制之外的监督机制;三是作为治理机制的监视机制[ 22 ]。不同的个性本质选择,对内部审计主题有重要影响。
当内部审计作为业务流程中的审核机制时,能审核什么呢?主要有两种情形:一是审核前面的流程已经完成的经济行为是否符合既定标准,此时的审计主题是经济行为,也就是具体行为主题;二是审核前面的流程已经加工完成的经济信息是否符合既定的信息加工之规定,也就是判断经济信息是否真实,此时的审计主题是信息,既可能是财务信息,也可能是非财招畔。所以,概括来说,当内部审计作为审核机制时,其审计主题是具体行为、财务信息和非财务信息。
当内部审计作为业务流程之外的监督机制时,能监督什么呢?一般来说,也主要有两种情形:一是检查已经完成全部流程的经济行为是否符合既定标准,这种检查关注的经济行为属于具体行为主题;二是检查已经完成全部流程的经济信息是否符合各自的生产及报告规定,这种检查关注的是经济信息,履行信息主题,这种信息可能是财务信息,也可能是非财务信息。所以,概括起来,作为监督机制的内部审计,其审计主题依然是具体行为、财务信息和非财务信息。此时的审计主题与作为审核机制的内部审计相同,但是,由于是在业务流程之外履行的,所以,其功能不同,进而对消极因素的抑制之成本效益也不同。
当内部审计作为监视机制时,能监视什么呢?一般来说,监视的是治理机制,内部审计本身已经不直接应对问题、次优问题和风险暴露,而是监视应对这些问题的治理机制是否持续有效,这种治理机制,也就是本文前面提到的制度,风险管理、内部控制、治理过程、管理过程、价值链都是其具体形态。所以,此时的内部审计,其审计主题是制度。
以上所述的内部审计定位对内部审计主题的影响,归纳起来如表1所示。
接下来的问题是,内部审计定位为什么会不同呢?虽然有不少的因素会影响内部审计定位,但是,主要的因素是组织治理机制和组织环境。
从组织治理机制来说,其本身是一个整体,包括多种机制,不同机制的组合原则是成本效益,各种机制组合起来形成的治理机制要求具有理想的成本效益比。一般来说,内部审计只是治理机制组合中的一部分,当业务流程中的其他机制能以适当的成本有效地抑制经济行为和经济信息的偏差时,内部审计一般不嵌入业务流程中,只有其他机制不能以适当的成本有效地抑制这些偏差时,内部审计才需要作为业务流程中的审核机制,此时,审计主题就是履行完前置业务流程的经济行为和经济信息,前者属于具体行为主题,后者属于财务信息主题或非财务信息主题;当业务流程中的其他机制能以适当的成本有效地抑制经济行为和经济信息的偏差,但是还未能将其抑制到可容忍水准时,就需要内部审计作为监督机制,在业务流程完成之后,对已经履行完全部业务流程的经济行为和经济信息做再次检查,此时,审计主题就是履行完全部业务流程的经济行为和经济信息,前者属于具体行为主题,后者属于财务信息主题或非财务信息主题;当治理机制组合能以适当的成本有效地将经济行为和经济信息的偏差抑制到可容忍水平时,内部审计一般就作为监视机制,确保治理机制的持续有效运行,此时,审计主题包括风险管理、内部控制、治理过程、管理过程、经营过程、价值链等,属于制度主题。所以,总体来说,组织治理状况对内部审计定位有重要影响,进而影响内部审计主题。
组织环境也影响内部审计定位。根据环境因素的多寡,组织环境可分为简单环境和复杂环境,前者的环境因素少,后者的环境因素多;根据环境因素的变动性,组织环境可分为静态环境和动态环境,前者变动性小,后者变动性大。两者组合起来,组织环境的基本类型如表2所示[ 23 ]。
表2所示的四类组织环境中,不同类型的环境对内部审计定位要求有差异。按ABCD的顺序,组织环境中的风险因素越来越难以应对,从而,组织治理机制也越来越复杂,特别是其中的风险管理对于组织目标的达成越来越重要,与此相一致,组织治理机制也就越来越复杂,并且,越来越需要根据组织环境的发展变化来不断地优化,这就需要经常对组织治理机制进行监视,以判断其是否存在缺陷,及时发现不适宜的风险暴露。这就意味着,按ABCD的顺序,内部审计作为组织治理监视机制的重要性也越来越强,与此相适应,制度主题在内部审计主题组合中也就越来越重要,所以,组织环境对内部审计定位有重要影响,进而影响内部审计主题。
四、例证分析
本文以上提出了一个关于内部审计主题类型及其差异化的理论框架,下面用这个理论框架来阐解一些权威文献对内部审计主题的界定,以一定程度上验证这个理论框架。
(一)IIA界定的内部审计主题
从1947年开始,IIA颁布了一系列的职责说明书或准则,这些职责说明书或准则对内部审计概念都有界定,这些概念中界定的内部审计内容,归纳起来大致如表3所示。
表3显示两点:第一,IIA界定的所有内部审计内容都能纳入到本文理论框架中提出的内部审计主题,但是,理论框架中提到的非财务信息这个主题在IIA的概念中并没有出现。从发达国家内部审计发展的实践来看,内部绩效指标审计还没有得到足够的重视,我国则不然,内部经济责任审计已经是很多内部审计机构的重要业务,这其中就包括非财务信息审计。第二,内部审计主题在变迁,从最早的财务信息主题和具体行为主题发展到目前的制度主题,并且,制度主题成为IIA唯一强制的内部审计主题,这其中的原因,主要是组织环境越来越具有复杂、动态的特征,从而使得应对风险的治理机制越来越重要并且还可能越来越容易失去适宜性,从而越来越需要内部审计作为监视机制。
总体来说,本文的理论框架能解释IIA界定的内部审计内容或审计主题及其变化。
(二)我国权威文献对内部审计主题的界定
中国内部审计协会颁布的《第1101号――内部审计基本准则》规定,内部审计内容是业务活动、内部控制和风险管理,这里的业务活动属于具体行为主题,这里的内部控制和风险管理属于制度主题。与IIA的IPPF界定的内部审计内容相比,增加了业务活动,删除了治理过程,这两个变化是很有道理的。首先,由于我国大多数组织的治理机制还不能以适当的成本有效地将经济行为偏差抑制到可容忍的水准,仍然需要内部审计作为监督机制或审核机制,具体行为主题仍然需要;其次,对于我国的大多数组织来说,对组织治理(狭义的治理)进行审计还不具备条件,所以,组织治理纳入审计内容还不具有普通意义。
我国审计署的《审计署关于内部审计工作的规定》界定的内部审计内容是财政收支、财务收支、经济活动。很显然,这里界定的内部审计内容是财政收支、财务收支、经济活动,属于具体行为主题。这种界定的原因有两个:首先,根据政府审计的经验,我国有不少组织还存在较严重的违规行为,说明这些组织的治理机制还不能以适当的成本有效地将经济行为偏差抑制到可容忍的水准,所以,仍然需要内部审计作为监督机制或审核机制,此时的审计主题属于具体行为;其次,我国的政府审计虽然具有综合审计的趋势,但是,最重要的审计主题还是具体行为,财政财务收支及相关经济活动是否合规,是政府审计关注的主要内容,审计署当然也希望内部审计将这些内容作为审计重点。
综上所述,本文的理论框架基本能解释我国权威规范对内部审计内容或主题的界定。
五、结论和启示
审计主题是审计内容的骨架,要建立有效的内部审计制度,必须有这种框架。本文提出一个关于内部审计主题及其差异化的理论框架,并用这个理论框架来分析内部审计权威文献倡导的审计主题及其变化。
内部审计主题是审计师发表意见的特定事项,有两类四种:信息主题――财务信息和非财务信息,行为主题――具体行为和制度。内部审计作为抑制消极因素的机制之一,有三种定位:一是作为业务流程中的审核机制,二是作为业务流程之外的监督机制,三是作为治理机制的监视机制。组织治理机制的不同状况下,内部审计会有不同的定位。组织环境也影响内部审计定位,组织环境越具有复杂、动态特征,越是需要内部审计作为治理机制的监视机制。受组织治理机制和组织环境影响的内部审计定位会影响内部审计主题选择,并导致内部审计主题差异化。当内部审计作为业务流程中的审核机制时,审计内容是完成前置程序的经济行为和经济信息,审计主题属于具体行为、财务信息、非财务信息;当内部审计作为业务流程之外的监督机制时,审计内容是完成全部业务流程的经济行为和经济信息,审计主题属于具体行为、财务信息、非财务信息;当内部审计作为监视机制时,审计内容是制度或管理过程,审计主题是制度。影内部审计定位的主要因素是组织治理机制和组织环境。
本文提出的上述理论框架,能解释IIA及我国内部审计权威文献对内部审计内容或审计主题的界定及其变迁。
本文的研究再次启发我们,存在的就是合理的。内部审计主题及其差异化是有其原因,各个组织的内部审计领导,应该从本组织的治理机制状况及面临的组织环境来选择本组织的内部审计定位,并在此基础上,选择内部审计主题。只有这样建立起来的内部审计制度才能真正发挥作用。现实世界中,内部审计主题存在差异化恰恰是这些组织的领导理性思考的结果。
【参考文献】
[1] 郑石桥.审计理论研究:基础理论视角[M].中国人民大学出版社,2016.
[2] 郑石桥,宋夏云.行为审计和信息审计的比较:兼论审计学的发展[J].当代财经,2014(12):109-117.
[3] 郑石桥,郑卓如.基于审计主题的审计学科体系创新研究[J].会计研究,2015(9):81-87.
[4] 鸟羽至英.行为审计理论序说[J].会计,1995,148(6):77-80.
[5] 谢少敏.审计学导论:审计理论入门和研究[M].上海财经大学出版社,2006.
[6] 郑石桥,周天根,王玮.组织治理模式、机会主义类型和审计主题:基于行为审计和信息审计视角[J].中南财经政法大学学报,2015(2):80-85.
[7] 郑石桥.政府审计对象、审计业务类型和审计主题[J].会计之友,2015(18):97-103.
[8] 郑石桥.国家治理与国家审计:审计主题差异的理论框架和案例分析[J].会计之友,2015(1):122-127.
[9] IIA.International Professional Practice Framework(IPPF)[A].2013.
[10] 中国内部审计协会.第1101号――内部审计基本准则[A].2013.
[11] 中华人民共和国审计署.审计署关于内部审计工作的规定[A].2003.
[12] 陈光汉.内部审计对象探讨[J].审计研究,1985(3):15-17.
[13] 杨跃进.社会主义市场经济条件下内部审计对象的再认识[J].当代经济科学,1996(3):53-56.
[14] 易仁萍.内部控制、风险管理是内部审计的核心内容[J].中国内部审计,2005(12):1.
[15] 邢风云.公司治理下内部审计的功能定位研究[J].当代经济,2012(6):122-124.
[16] 刘德运.内部审计帮助企业增加价值:一个框架[J].审计研究,2014(5):108-112.
[17] 王光远.消极防弊・积极兴利・价值增值(一)――20世纪内部审计的回顾与思考:1900―1960年[J].财会月刊,2003(2):3-5.
[18] 王光远.消极防弊・积极兴利・价值增值(二)――20世纪内部审计的回顾与思考:1960―1970年[J].财会月刊,2003(3):3-5.
[19] 王光远.消极防弊・积极兴利・价值增值(三)――20世纪内部审计的回顾与思考:1970―1980年[J].财会月刊,2003(4):3-5.
[20] 王光远.消极防弊・积极兴利・价值增值(四)――20世纪内部审计的回顾与思考:1980―1990年[J].财会月刊,2003(5):3-5.
[21] 王光远.消极防弊・积极兴利・价值增值(五)――20世纪内部审计的回顾与思考:1990―2000年[J].财会月刊,2003(6):3-5.
[22] 郑石桥.内部审计本质:理论框架和例证分析[C].南京审计大学审计科学研究院工作论文,2016.
内部审计信息化论文篇(8)
国家审计署审计长刘家义在2008年“推进内部审计转型与发展研讨会”上指出,现代内部审计是部门、单位企事业组织的“免疫系统”,是内部控制体系的重要组成部分,渗透到内部管理的各个方面,必须以“强管理、防风险、促发展”为己任财务论文,积极探索以“事前审计为基础、事中审计为重点、事后审计为保障”的审计方式,要责无旁贷地承担起推动内部控制建设、强化风险管理的重要职责。这给内部审计的发展趋势定下了基调。高校审计部门作为现代内部审计的重要组成部分,担负着高校依法行政、依法监督的重要职责。目前,各高校审计部门所从事的业务工作大都是“事后审计”、“秋后算账”,没有体现出审计监督所应有的作用论文参考文献格式。高校内审工作需要切实转变传统的审计观念,改变以往“要我审”的模式,将审计工作“关口前移”,树立“防范胜于纠正”的理念,提升高校内审工作的前瞻性,提出多角度全方位的建设性意见,为决策层提供更有力的支持财务论文,为学校发展提供更优质的监督和服务。
一、高校内部审计工作“关口前移”的内涵体系
内部审计工作“关口前移”是新时期党风廉政建设“更加注重预防”要求在审计工作的具体运用,是把事后审计变为事前、事中审计,发挥审计“免疫系统”功能的必然要求。那么如何理解高校内部审计“关口前移”内涵,本文认为可以结合科学有效的方法加以剖析。
(一)从系统论角度丰富高校内部审计工作“关口前移”内涵。
一个系统是由各个相互作用相互影响的个体集合形成的整体。高校内部审计工作“关口前移”是一项具有复杂性、前瞻性的系统工程。其一、从系统所处的环境出发,一个动态的系统必定与它所处的系统环境有着结构性的联系。刘家义审计长2008年3月提出发挥审计“免疫系统”功能的观点之后,全面审计系统积极响应,许多审计创新理念雨后春笋般出现,在这种审计转型大趋势环境下,高校内部审计工作“关口前移”是践行审计“免疫系统”理念,推动审计工作转型必要途径论文参考文献格式。其二、从系统的整体性出发,审计人员必须从审计项目的各个侧面对高校内部审计工作“关口前移”进行系统化动态化研究分析财务论文,包括:审计的战略目标、影响审计项目的内外部关系、被审计部门内控制度的相互作用等。
(二)从控制论角度强化高校内部审计工作“关口前移”监督。
控制论是信息交换过程中原因与结果不断相互作用以完成共同目标的过程控制,一个完整的控制系统必须包括三个要素:导向器、检测器以及矫正器。高校内部审计工作“关口前移”相当于导向器和检测器,侧重于事前、事中控制,发挥着审计“免疫系统”的预防功能和揭示功能。在高校内部审计过程中,当控制主体(审计人员)将获取的控制信息(审计证据)传达给被控制对象(被审计项目或被审计部门)时,其实也就是起到了一个行为修正的作用,即相当于控制系统中的矫正器,同时也发挥着审计“免疫系统”的抵御功能。
(三)从信息论角度畅通高校内部审计工作“关口前移”渠道。
为了全面清晰认识高校教育系统经济收支、专项资金管理、教育资产安全完整等情况,必须加大高校内部审计信息化建设,在改进审计手段和提升审计效能的基础上,畅通高校内部审计“关口前移”所必需的信息渠道财务论文,充分运用0A审计办公系统和AO审计现场实施系统对财务数据和业务数据联动审查,建立一套可操作性强的信息传输、信息获取、信息筛选、信息处理、信息储存的动态高校内审路径。
二、当前高校内部审计“关口前移”的主要制约因素
审计“关口前移”是审计方式创新的结果和审计工作科学发展的延伸论文参考文献格式。从工作实践上看,高校内部审计“关口前移”取得了卓著的工作成效和良好的社会评价。但是,近年来,很多高校投入大量资金,建设速度明显加快,新建项目、维修改造项目明显增多,物资设备采购规模不断扩大等等,现有的审计理念、审计独立性、审计方法、审计手段以及审计范围已经无法完全适应高校快速发展对内部审计工作的要求,具体表现以下几个方面:
(一)审计“关口前移”的认识不足
高校内审人员树立“关口前移”审计意识淡薄,仅仅着眼于问题的解决办法财务论文,没有立足于促进机制建设,通过与其他部门协作共同管理学校。并且高校内审工作侧重于行政监督,“事后纠弊”或“事后问责”,没有真正担负起为高校健康稳定发展“保驾护航”的职责。目前,高校内部控制机制的不完善和高校治理权力过分集中,客观上阻碍了高校内审工作“关口前移”的运用。在实际工作中,主要表现是:审计立项主观性较强,审计风险管理及质量控制不力,业务工作流程存在一定随意性,缺乏各个环节规范的文本等等。
(二)内部审计范围比较狭窄
由于我国内部审计工作起步较晚,发展较慢财务论文,高校内部审计工作内容大都停留在财务收支审计、基建(修缮)工程审计和领导干部经济责任审计等方面,内部控制审计、管理审计、专项资金审计、效益审计基本上没有开展,影响了我国高校内部审计职能的有效发展。
(三)内部审计工作手段落后
随着知识经济的来临,经济活动记录已面向电子化、数字化和无纸化的方向发展,会计技术为了跟随市场经济的知识化、信息化的步伐,很多企事业单位已经实现了会计电算化。然而,在会计电算化信息开发时代,我国的审计电算化却相对滞后,许多审计人员还停留在纸质账本审计阶段,对计算机审计技术掌握不够论文参考文献格式。我国高校内部审计技术手段相对落后尤为突出。
(四)内部审计人员质量不足
随着高校信息化快速发展,信息资源快速建设和不断引进财务论文,许多高校已经实现了校园网络一体化和,那么这就需要相配套的先进科学管理技术方法和高素质信息化管理人才。但从目前看,有很多高校内部审计人员不能从传统的审计手段中解放出来,信息技术知识缺乏、跟不上高校信息化建设对人才的需求。
三、高校内部审计工作“关口前移”的基本思路和具体做法
高校实行内部审计“关口前移”,就是要实现四个转变:在指导思想和工作定位上,实现由注重结果到注重过程、由注重监督到注重监督与服务并重的转变;在审计内容上,实现由单纯财务领域的差错防弊到注重改善经营管理的转变;在审计方式上,由单纯基建(修缮)工程结算审计到全过程跟踪审计、由领导干部离任审计到任前或任中审计的转变;在审计手段上,实现由手工操作向计算机审计、网络实时审计的转变。
(一)加快审计理念转变速度
在审计中,既注意对结果的审计,更注重对过程的审计财务论文,实现由注重治标向重在治本的转变、由查错纠弊向风险型审计转变;以加强控制、防范风险为目标,重点关注内部控制能力及其有效性的审计和评价,查找内部控制、风险管理的薄弱环节,更好地发挥内部审计在促进高校内部管理中的建设性作用。
(二)拓宽内部审计覆盖领域
除了开展基建(修缮)工程审计、财务收支和预决算审计,以及领导干部经济责任审计外,每年可以按照计划有针对性地开展内部控制审计、专项资金审计和效益审计。同时,要按照“全面审计,突出重点”的原则,将高校经济活动全部纳入审计范围,特别要注意从未审计或长期未审计的单位,做到不留死角。
(三)实施审计方式创新工作
由事后审计为主向事前、事中、事后审计并重转变财务论文,建立以“事前审计为基础、事中审计为重点、事后审计为保障”的审计方式,实现对审计项目的动态管理和监督,有利于进一步发挥审计监督在防范和控制风险中的积极作用论文参考文献格式。比如,基建(修缮)工程领域推行全过程跟踪审计,实现工程项目全程审计与建设工程同步,对工程建设的立项、决策、设计、招投标、施工监理、竣工结算等全过程经济活动和财务收支的真实性、合法性和效益性进行全过程跟踪审计服务和监督;针对领导干部任期经济责任审计,建立起“以任前、任中审计为主,兼顾离任审计”的审计模式,坚持有离必有审,先审后离,先审后任财务论文,把审计评价作为任免干部的重要参考依据。
(四)加强审计手段创新能力
内部审计信息化论文篇(9)
我国会计信息化已有较长的历史,并取得了不小的进步!会计信息化发展必然带来审计信息化的同步发展问题。但无论是在理论研究层面还是在应用实践层面,审计信息化的发展都难以赶上会计信息化发展。随着大数据时代的砹俸腿社会信息化应用程度的加深,审计信息化是必然趋势。在财政部的支持下,“企业会计信息化调查工作取得阶段性成果”。中国会计学会会计信息化专业委员会也在2015年8月8日了《2015企业会计信息化应用调查报告》,报告指出我国目前会计信息化发展速度较快,信息化程度较高,在经过多年的历程后取得了很多卓越的成就。相比于会计信息化的发展,审计信息化发展如何,关系到企业价值增值的内部审计信息化建设状况又如何?目前还鲜有关于此方面的文献,更别说是对某个具体省份的企业内部审计信息化建设状况的了解了。为此,本文准备专门对安徽省内部审计信息化建设状况进行专题调研,通过问卷调查的方式开展严谨务实的调查研究,以便了解内部审计从业人员对大数据的认知状况、对当前内部审计信息化工作的推进、内部审计信息化工作目标的达成情况,期望调查结果能够为审计厅(局)及其政府相关部门指导企业内部审计工作、以及在企业内部大力推进内部审计信息化工作,进一步推进提供一些方向性的指引,同时也为内部审计从业人员思考如何应对大数据的挑战,从而更好的转变观念,提高审计效率,充分发挥内部审计增值服务职能提供一定参考。
一、大数据与内部审计信息化建设情况问卷设计与资料收集
我们按照“大数据-内部审计信息化现状-免疫力提升-实际困难”这一思路展开,将调查问卷的设计分成了四个部分:前三部分为选择,最后一部分是开放式的论述(如表1所示),然后通过对问卷结果分析能够较为全面的反映安徽省内部审计信息化建设状况。
此次问卷调查借助安徽省内部审计培训等多种渠道发放问卷200份,回收问卷168份,剔除无效问卷,回收率为83.5%。调查人员主要涉及一线审计人员、高级审计人员、企业中层管理人员和企业其他相关人员,被调查企业涉及安徽省内上市公司和中小企业,覆盖面较广,资产规模不等。
二、安徽省内部审计从业人员对大数据的认知程度分析
(一)内部审计人员对大数据及其特征的认知程度
目前安徽省内部审计人员对大数据及其特征的认知,还是处在初步认识的状态。大部分人员听过但是不了解大数据(66%),而关于大数据的概念以及特征,笔者认为,题目给出的选项皆能体现大数据的特点。从表2能够看出参与者在选择上,更倾向于选择描述更确切,让人感觉更像是正确的答案。
(二)大数据对内部审计影响程度的认知状况分析
不同年龄对于大数据影响的认识有一定的区别。从表3能够看出20-30岁之间的参与者对于大数据影响认知相对来说较高。而表4则凸显出审计部门的规模也有一定的影响,认为影响生活及工作的部门规模呈现分散趋势,即相对较小或者较大的部门认为大数据对生活工作的影响程度较大。
综上所述,大数据时代的到来,正在悄悄促进着人们理念的转变。从日常生活开始逐步渗透,继而影响到人们生活工作的各方面。而作为审计相关人员,在认识到大数据对生活的影响之后,更应该有意识的将大数据引入审计工作,提高工作效率,体现审计对企业增值性的服务价值。
三、安徽省内部审计及其信息化建设状况的统计与分析
(一)安徽省内部审计机构设置与人员状况统计分析
被调查企业中设有内部审计机构的比例为76%。其中45%的被调查企业从事专职审计工作人员为1-3人,拥有3-5名专职人员的企业占到24%,拥有5-10名专职人员的企业最少仅仅为13%,而拥有10人以上的审计专职人员的企业仅仅占到了18%。有接近一半的被调查企业从事内部审计工作的专职人员小于3人,说明很多企业的管理者对于内部审计方面的重视程度还不够,应当加强对内部审计相关工作的重视,提升人才的专业性知识以及优化知识结构。
(二)安徽省内部审计经费投入与资金支持状况分析
用于内部审计信息化建设的经费投入在一万元以下的企业占到45%,而57%的企业在年度预算中根本没有审计信息化专项资金的安排。省内企业审计信息化程度还是处在初级阶段,经费投入以及资金支持都较少。无论资金投入数量还是专项资金预算都有向两头倾向。能够得知,省内企业在这两个方面呈现两极化趋势,即大企业更重视审计信息化而小企业更不重视。(见表5)
(三)安徽省内部审计软件存储于技术安全状况分析
安徽省企业在审计工作中用于审计信息维护使用的存储设备主要是:硬盘(移动硬盘)和U盘(36%和37%)。大部分企业内部审计采用的信息安全技术都是:加密存储和防火墙或CA认证(42%和33%)。对于信息安全方面,大部分企业在工作上使用的还只是比较日常生活的工具。而云盘(2%)等高端存储工具以及网闸(3%)、入侵检测(2%)等信息安全技术,使用者都少之又少。
四、内部审计信息化与安徽省内部审计免疫力提升路径分析
关于安徽省如何提升内部审计信息化以及内部审计免疫力方面,46%的参与者对内部审计免疫系统最为了解,其次为事项审计理论(25%)、内审云和云审计(15%)以及内部审计免疫力(14%)。从表6可以了解到对于 40岁以上的员工更了解内审云或云审计,而30-40岁之间的员工则更为了解内部审计免疫系统以及内部审计免疫力这两个概念。
66%的参与者认为信息技术发展对审计免疫力提升,表现在“基于大数据视角,以事项审计理论为基础,重新审视内部审计程序、审计报告和审计技术方法等,增强免疫力”。安徽省内的绝大部分企业管理和审计人员对于内部审计信息化相关理论还是有一定的了解,并且有自己的见解。“基于大数据视角”就是相关人员对于审计信息化观念转变的一个体现。这也为安徽省加强内部审计信息化、提升审计免疫力、促进内部审计更好地发挥“价值增值”等作用提供了良好的发展环境和人力物力的支持。
综上所述,想要借助信息技术发展提升内部审计免疫力,应当从观念入手,逐步改善人们的审计观念。健全法律法规,形成比较良好法律体系。再去改善企业生存环境,优化企业之间的竞争模式,在逐步形成的宏观发展框架之下,每个企业都会寻找到适合自身发展的提升免疫力的路径。
五、内部审计信息化建设调研所获得的启示
通过安徽省内部审计信息化建设羁龅牡餮校了解到安徽省内部审计信息化发展尚且未发育成熟,信息化建设已经初步有了一定的成果,相关人员在企业处于大数据时代下对审计信息化的认识及理念正在逐步转变,得到如下启示:
(一)企业应当加强对审计信息化相关人员的培训,加强人员对大数据的认知程度,加速对信息化认知和理念的转变。充分利用大数据技术以提高工作效率,并且合理对待信息化过程中可能出现的一些负面影响。
(二)审计信息化发展和企业科技程度和资金投入密切相关,应改善企业已有信息化管理系统。一切从实际出发,让信息化系统更符合企业自身经营要求,增加审计独立性,提升信息技术安全性,量身打造适合的信息化管理平台。
(三)加强对专业性人才的培养,完善计算机、审计、数据挖掘等专业知识结构,向更专业的方向发展。提升人才利用效率,真正做到“人”“机”结合,做到“1+1>2”的效果。
(四)宏观角度上内部审计信息化建设发展和相关法律法规的完善是分不开的。经过会计信息化多年的发展证实,无规矩不成方圆,没有完善的行业法律法规作为准绳,想要快速发展是不可能的。因此,政府需要加强规范引导,通过制度保障为审计信息化发展创造一个良好的发展环境,确保有法可依。
本次调查结果将会为安徽省内部审计信息化建设的推动和法律法规提供理论支持,相信在有关政府和部门的领导下,内部审计信息化一定会蓬勃发展,逐渐跟上会计信息化的步伐,在大数据时代下更好的拓展审计职能,发展增值型内部审计,更快提升企业自身价值和竞争力。
参考文献:
[1]邬贺铨.大数据时代的机遇与挑战[J].求是,2013(4).
[2]李俊.大数据在公共管理中的运用与审计启示[J].审计研究,2013(7).
[3]张佳琦.信息系统审计人才知识结构的研究[J].中国管理信息化,2010(12).
[4]时现.国内外企业内部审计发展状况之比较――基于调查问卷分析[J].审计研究,2008(6).
内部审计信息化论文篇(10)
内部审计与外部审计的目标不同,除了审查财务报表及活动的合法性和公允性的基础要求外,更加重视评价公司经营管理的有效性,控制和改善经营风险管理,以促进企业实现经营目标。因此具体到审计内容,外部审计主要关注财务报表、内部控制审计、尽职调查、鉴证审计等,而内部审计则需细化到各个部门的各类经营活动,并拓展到管理领域。内部审计除了要求对国家审计及会计法规充分了解外,还必须要求内部审计人员具备专业的业务知识和管理水平。信息化系统下,内部审计通过智能化的记录、分析和呈现,大大提高了处理效率以及对业务动态的促进作用,但同时其自身也存在着诸多风险,需要企业或机构及时实施应对措施。
一、内部审计信息化的必然性
从内部审计的目标和内容看,内部审计不仅是国家法规对企业合法合规经营的要求,更是企业所有者和经营者出于经营安全和效率的角度自发切深入的自我审视,内部审计可以说是企业经营管理的重要工具和制度之一。在信息化时代,内部审计对企业竞争力的维持和提升具有战略意义。随着企业ERP系统的普及,面向不同类型的企业和组织的经营管理系统产品十分丰富,即是小企业也能够应用信息化和自动化的企业经营管理系统,这源于经济社会信息化的快速渗透,无纸化办公、电子商务、移动支付、多媒体沟通交流工具等让人与人、组织与组织之间的交易和互动更加接近纯数字化。绝大多数日常活动最后可以通过各种信息进行表征,而信息带来的价值在当下已经超越了任何传统的要素。快速准确地获得更多的信息,就能发现更多的机遇和问题,更能透彻地认识客户、竞争对手以及自身。而其中内部审计就是自我审视和自我改进的重要工具,而为了匹配信息化的竞争和运营,内部审计必然需要实现信息化。信息化内部审计内嵌化是必然趋势。理想的信息化内部审计不是仅仅将传统手工线下操作转变为电子化操作,而是要通过系统二次开发,将内部审计的流程、工具、关键要素、分析工具以及关联机制嵌入到组织的经营管理系统中,从而实现动态实时的内部审计监控,常态化的内部审计推动业务的改进和提升。
二、信息化系统下内部审计存在的风险
信息化系统下审计存在的风险主要包括安全风险、认知风险和过度风险。内部审计信息化后并不意味着一劳永逸,所有的工作都交由计算机和软件系统来完成,在实际经营管理过程中,组织中的很多活动涉及很多灰度和人性化的特征,并不完全能够通过量化或程序化来框定。安全风险主要指信息安全,内部审计信息充分展示了组织经营管理细节,甚至包括一些机密信息,一方面如果组织信息系统不够“牢固”,则存在被突破和窃取的风险。另一方面,电子化的信息的可复制性和可传播性要远远大于纸质文档,如果组织缺乏有效的分级分权管理机制或者执行不到位,则内部审计工作则可能成为信息安全的突破口;认知风险是指企业经营管理者以及普通员工对计算机系统下的内部审计工作缺乏专业认知和熟练的操作,致使信息化内部审计的执行效果可能还不如传统线下审计;过度风险主要体现在两个方面,一是过度依赖于信息化内部审计系统,经营管理者会产生唯信息论和唯数据论的倾向,一切决策和判断都依赖于系统报告和数据,从而失去基于基本面如人性、文化、思想方面的判断能力。另一方面是内嵌式的信息化审计,充分融入到日常经营管理活动中,如果缺乏合理的定位和边界约束,那么信息化审计将会演化成一种“大运动”或者“形式工程”,要么严重影响正常的经营活动,要么成为部门不务正业者“炫技”的工具。此外,随着组织的发展,内部审计的范围和流程需要根据业务及时调整,在传统人工操作下可以很快通过对组织架构和实施人的调整完成转变,而在信息化系统下则需要有开发人员根据业务变化进行开发,其中存在时间风险以及切换对接风险。
三、防范信息化系统下内部审计的措施
针对信息化系统下内部审计风险,本文认为应当从信息化内部审计工具适应性优化、信息化平台安全加固以及信心化内部审计使用规则明确入手进行规避:
首先为了适应企业不断变化的组织架构和业务内容,信息化内部审计系统必须实现开放式的模块化架设,通过标准化的流程和工具套件,以匹配不同业务和组织形式下的内部审计本质要求。应当按照审计和组织管理的最基本要素和原则进行设计,而不是过分细究业务自身的特点进行过分匹配的开发;其次是加强信息化系统的安全等级,包括对外防火墙的加固、加密通道的可靠性、分区分权的信息管理的严密性以及监控手段。特别是针对信息窃取、复制和转发的控制和跟踪,在信息化时代显得特别重要,因为掌握更多的信息就可以直接转变为有的放矢;最后需要明确信息化审计系统与业务经营管理之间的关联关系,协调系统管理和人为管理的关系,不仅要充分发挥信息化审计对业务监督和改进的参考和依据作用,还要提升经营管理者灵活运用信息化内部审计输出的能力,借助信息化内部审计工具,为发挥自身人性化的经营管理才能提供助力。此外,还需要加强信息化内部审计的落实效果,杜绝形式主义和运动主义倾向。
参考文献:
[1]韩双.浅谈审计信息化在内部审计领域的建设与应用[J].商场现代化,2015(32).
[2]章曦.信息化内部审计风险及应对[J].经济视野,2013(21).
