- 站内搜索:
企业信息化对内部控制的影响及内部审计对策
包钢(集团)公司审计部 张小静
内容摘要:随着社会的发展,信息技术的应用越来越广泛,社会的各行各业都面临着信息化的挑战。内部审计同样也受到了冲击。本文就信息技术对企业内部控制造成的影响以及信息技术给内部审计带来的问题进行了论述,在此基础上又探讨了内部审计机构如何应对才能帮助管理当局弥补信息系统控制中的缺陷,进一步提高审计工作水平,从而促进内部审计向着信息化方向发展。
关键词:信息技术 内部控制 内部审计
在人类社会跨入21世纪之际,信息技术的应用渗透到了国民经济和社会发展的各个领域和各个层次,对人类社会的政治、经济和文化等方面都产生了巨大的冲击,各行各业都面临着信息化的挑战。
信息技术的发展使企业的经营环境与经营方式发生了巨大的变化,给企业的内部控制提出了新的挑战,同时给内部审计带来了巨大冲击。内部审计人员必须认识到新的经营环境和经营方式的特点和风险,掌握降低这些风险的控制和对这些控制进行审计的方法,为促进我国内部审计向信息化方向发展打好坚实的基础。
信息技术对企业内部控制产生了哪些影响、信息技术给内部审计带来了哪些问题、作为信息系统控制最重要的执行者之一——内部审计机构应如何应对,这些正是本文拟探讨的问题。
一、企业信息化对内部控制造成了什么影响
信息化对内部控制的影响主要表现在对内部控制五要素的影响:
1.对控制环境的影响: 改善了企业的控制环境
企业信息化将影响企业的治理机制。通过完善的企业信息系统,董事会、监事会可以更及时更全面的了解企业的全面信息,因而可以更好地进行战略制定、经理人员选择和绩效评价、企业运营情况监控等等,对企业进行更好的治理。小股东可以用较低的成本通过网络在线参加股东大会,而不必因为路途遥远等原因放弃自己的权利,可以更好地维护自身的利益。信息化将使企业组织结构趋向扁平化,管理层次减少。
信息化对企业管理者的素质提出了更高的要求。企业所面临的商务环境竞争加剧、变化加速,管理者所能获得的信息量倍增,信息技术和信息系统在企业中的作用日益重要,这些都要求管理者不但要有更强的把握信息、利用信息的能力,在运营管理企业中利用好信息资源,而且要有对信息、信息技术和信息系统重要性和风险的认识和理解,制定良好的信息技术战略和信息技术规划。
在网络环境下,人与人之间的直接接触将有所减少。信息资产价值的提高可能诱使掌握它的管理人员将其卖给竞争对手,而由于信息的无形性、可拷贝性,信息的泄密不易被发现。再者网络的远程接入性也给犯罪分子提供了方便,他们只要获得一个登录密码就可能通过网络侵入系统,窃取企业重要的信息资产,或是使信息系统崩溃,而不必像盗窃有形资产那样需要翻墙入室、避开警卫等麻烦之举。这些均对管理人员的品行和道德水平提出了更高的要求。
2.对风险评估的影响:扩大了风险评估范围
信息技术应用改变企业传统营运模式,也带来业务流程和信息系统的新风险。在企业信息化环境下,业务流程的自动化降低了业务处理过程中源于人员疏漏或舞弊的风险。但另一方面,企业的运营管理越来越依赖于信息系统,信息在企业中的作用日趋重要,信息化环境促使信息存储高度集中,单位时间传递的信息量大为提高,这些都增加了与信息资产和信息系统相关的风险。信息化环境下,如果信息系统失灵或崩溃,重要信息被窃,都将给企业带来不可估量的损失。
例如企业在信息技术平台上运行ERP系统、电子商务、供应链管理系统、客户关系管理系统,通过企业之间、企业内部的信息传递实现协同合作、优化资源配置。企业物流和资金流的流量、流速均由计算机精密排程,与联盟企业、市场情况环环相扣,以求最低成本、最快速度、最好质量组织企业经营活动。因此,供应链的任何环节出现突发事件都会波及企业的正常运行,给企业带来损失。此外,由于企业所有数据存放在数据库服务器内,网络开放性、数据共享性必将增加信息系统的风险,如数据可能被非授权人员拷贝、删除、修改,破坏;计算机病毒感染、黑客入侵、使用人员违规操作也会造成计算机系统故障或信息系统崩溃。企业风险识别、评估与防范,不仅要考虑内外部环境,而且要考虑业务流程与信息流程的耦合度、协作企业的关联度、信息系统的依赖度等因素,规避供应链作业流程和信息系统的新风险给企业带来的危害。
3.对控制活动的影响:业务流程控制与信息系统控制成为控制活动的一项重要内容
控制活动必须根据企业业务流程的情况和具体的控制点进行设置,因此,控制活动受到企业信息化的直接影响。在信息技术平台上,企业运行的ERP系统实行流程化管理。企业战略远景的实现、信息系统的导入、企业文化价值观的具体呈现,最终落实到企业的业务作业流程。
信息技术应用使传统人工控制形式演变为人机系统控制,控制重心将集中在作业流程的人机控制与信息系统控制。一些传统的内部控制规则和程序在新的技术环境下失去存在的意义,新的控制规则和程序建立在充分利用信息技术、用最少的资源达到更佳控制目标的基础上。
4.对信息和沟通的影响:组织成员之间信息交流和沟通更加便利
企业信息化对内部控制的信息和沟通这一要素产生了有利的影响。在完善的企业信息系统的支持下,企业员工能够更好地取得他们在执行、管理和控制企业经营过程中所需的信息,使员工顺利履行其职责。
由于大量的企业环境信息、政策信息、经营信息、财务会计信息、作业信息集中存储在企业数据库系统内,并不断被实时更新。在信息平台上,员工可以十分便捷地从计算机数据库中查阅有关的政策和法规,获取与其职责相关的控制信息,明确各自的权利与责任,了解自己的活动如何与他人的工作相关以及例外情况如何报告或处理的途径。另外,企业在网络平台上构建与利益相关者联系的机制,使组织的相关成员可以实时获取经营信息与财务会计信息,及时进行沟通,达到最佳协同合作和利益共享。
5.对监控的影响:监控更注意更新信息系统内部设置的控制参数与控制程序
借助信息技术,可以使一部分的监控过程自动完成,并且可能实现实时监控,从而提高监控的效果和效率。应当注意的是,在信息技术环境下,内部控制是基于一种人机结合的控制模式,许多控制程序、控制指标、控制方法被设置在计算机信息系统内部。因此监控的一项重要内容就是要及时了解原来设置在信息系统内的控制程序、控制参数是否过时,并针对企业经营环境变化情况,及时评估业务流程控制点的运行状态,重新调整或更改设置在信息系统的控制参数或程序。
二、信息化环境下内部审计工作遇到的问题
信息技术对内部控制的五要素产生了影响,相应的,信息技术也给内部控制框架中的重要要素之一的内部审计带来了新的问题:
1.审计线索、证据变得复杂化。审计证据的收集往往决定了审计工作的成败,而审计线索是审计师选择审计突破点并实施审计追踪的事实依据。信息化环境下,无纸化数据和无纸化交易减少了数据的重复输入、重复处理,也使会计处理程序化。业务发生后只要业务人员执行相应的功能,会计人员不再填制凭证就可以直接记录到相应的账户上,系统的内部控制更多地依赖自身的实时控制。
同时系统集成化使很多企业改变了管理模式,如有些企业根据业务需要把工作组作为基本工作单元,每个工作组内的成员共享数据,由于信息系统可以在不留下任何痕迹的情况下用后面的处理结果直接覆盖前面的处理结果,这就为审计评价数据完整性和可靠性增加了难度。系统集成化还使业务数据之间、财务数据之间,业务数据与财务数据之间的直接对应关系变得更加模糊、复杂,再加上数据的覆盖和网络化,从报表、账簿结果追查到原始业务变得非常困难。于是,数据的可靠性、原有纸质审计证据的减少、内部控制体系(会计处理及业务处理流程)的变化以及取得审计线索的审计难度成为内部审计必须面对的问题。
2.审计的范围即覆盖面将扩大。在信息化环境下,审计的对象是以计算机为处理手段的信息处理系统。这是信息技术下的审计区别于其他审计的标志,同时这也表明不仅会计信息化的会计信息系统是审计的对象,其他计算机信息处理系统(像企业资源计划ERP中的人力资源管理子系统、销售与分发管理子系统、物料管理子系统、生产计划子系统、质量管理子系统等)也是审计的对象,甚至包括从互联网下载的所有管理信息都是审计的对象,因为这些管理信息将会影响企业管理者的决策。业务数据、财务数据、业务处理、财务处理集成在一起,使管理审计和财务审计相互融合,无形中扩大了审计范围,提高了审计的难度和对审计人员专业知识的要求。
3.审计的对象复杂化,审计的重点发生了变化。信息化环境下企业的内部控制发生了很大变化。原有手工处理环境下的一些内部控制措施因失去了作用而被取消,有些内部控制措施被程序化后通过软件程序的执行而发挥作用,同时针对信息系统的特点又增加了一些新的内部控制措施。由于内部控制技术(如密码控制技术、防火墙技术等)不断发展,如何了解,测试、评价信息系统的内部控制情况便成了审计的重点及难题。
4.传统的审计技术与手段已无法达到目的,必须更新化。信息化环境下审计证据大多存储在数据库中,传统的审计技术难以达到目的,必须不断采用新的审计技术和手段,比如采用测试程序嵌入系统完成对重要处理的审计、利用审计软件采集和分析要审计的数据、采用软件动态跟踪某些重要数据的变化。如何掌握并运用新的审计技术和手段无疑成为内部审计人员工作中遇到的又一个问题。
5、信息化对审计人员的素质提出了更高要求。在信息化环境下,由于审计线索的变化、内部控制的变化、审计对象和内容的扩大及审计方法的变化,决定了对审计人员要求的提高。审计人员必须从传统的审计时空观转换为信息化社会的电子时空观(没有物理距离和没有时间滞后的时空观),具体表现为审计人员进行审计时不再局限于传统纸张上的书面数据,也不局限于会计系统,而是部分或全部依赖于电子数据。同时,审计人员除了掌握传统审计的基本知识外,还应掌握计算机知识及其应用技术,掌握数据处理和管理技术,掌握现代信息技术的应用;不仅要会操作审计软件,而且要能根据需要编写出各种测试审查程序模块。
三、企业信息化环境下内部审计的对策
内部审计机构是信息系统控制最重要的执行者之一。内部审计机构在信息系统的开发、实施、维护和操作过程中应当进行严格的独立审查,并定期对信息系统加以检查,以保证信息系统的正确性、完整性和安全性。内部审计机构应当将发现的问题及时报告给企业管理当局,提高管理当局对信息系统控制的重视程度,帮助管理当局弥补信息系统控制中的缺陷。
1.对单位的信息系统实施审计。目前,绝大多数单位在内部审计时是绕过信息系统的。由于集成化系统中原始凭证大量减少、数据之间直接对应关系模糊、业务处理和财务处理高度集成,使得系统中存储数据与输出数据可能不—致。比如,有关人员通过在系统中嵌入非法程序块转移了数据,而打印出虚假数据提供给审计人员,这种行为必然加大审计风险。内部审计人员要想了解系统提供的数据的可信赖程度,必须对系统本身进行审计,这是内部审计不可能回避的。
首先,内部审计人员要对本单位计算机信息系统及其相关情况有所了解,包括:①系统的硬件信息和软件信息。比如信息系统的结构、所使用微机的型号、内存容量、输入及输出设备、通讯设备、辅助存储设备,所使用的操作系统、通信软件、数据库管理系统和应用系统等。②系统进行业务处理的具体情况。比如处理的过程、发生错误的多少等。③本单位对其他单位信息系统的依赖程度。比如有的企业与其供货商或销售商共同管理存货,某些原料或产品的仓库设在供货商或销售商处,企业需要时直接从那里取得。这种情况下,如果供货商或销售商采用信息系统进行存货核算与管理,则本企业的存货信息高度依赖供货商或销售商的信息系统。④被审计系统的内部控制。如本年度设备的变更信息、维护信息、应用系统的复杂程度及重要的处理过程等—在了解信息系统的基础上,内部审计人员根据重要性和复杂程度确定审计程序。实施审计时,符合性测试的重点应该是系统内部控制的设置和遵守情况、系统内定义的信息转换规则。对于财务、业务集成化系统而言,单位发生的每—项业务在业务系统中都会根据业务人员、财务人员事先定义的转换规则自动生成会计记录,进入财务系统。此时审核的重点不应是系统生成的大量重复的凭证,而是定义的信息转换规则是否正确和有效、是否符合相关法规的要求、对这些规则的管理等是否有效。
2.加强对内部控制的审计,做到一般控制审查和应用控制审查相结合。在手工处理环境下,单位内部控制的重点就是人及其处理的业务。而电算化环境下,业务处理过程包括了手工处理、计算机系统处理、人与计算机进行交互处理这几部分,单位内部控制的重点变成了人及其处理的业务、人机交互处理过程、计算机系统业务处理过程和不同系统之间信息的传递过程,内部控制的重点和环节发生了很大变化。只有对信息系统的内部控制实施审计,才能了解内部控制运行状况并由此确定后续实质性测试的重点和审计程序。
电算化系统中,可以把控制划分为一般控制和应用控制两部分。一般控制是对系统中组织、开发、操作、管理等系统运行环境所进行的控制,通常以制定规章制度、网络安全软件和程序控制形式体现;应用控制是对信息系统的某一具体处理过程施加的控制,主要以程序的形式体现。审计时,应该在对系统—般控制做出评价的基础上,通过读原程序、模拟数据上机测试、上机处理实际业务、采用审计软件等方式测试系统的安全性、控制程序的正确性和有效性。
3.充分利用计算机辅助审计技术和工具。电算化系统的安全性、业务处理的正确性、应用控制的有效性、系统的运行效率等只有通过上机测试才能检验。因此内部审计人员可以对手工填制的原始单据、简单业务的处理、非程序控制制度和措施采用原来手工审计的有效方法,对于某些特定业务的处理过程、重要数据、复杂的处理过程及程序化的控制措施则应该充分利用计算机辅助审计技术和工具进行审计。
4.关注业务系统与财务系统的数据转换环节。集成化系统中,业务系统与财务系统之间的数据传递可以实时进行,也可以分批完成,极易出现数据不一致,所以系统之间的数据转换应该是审计的重点之一。另外,有些企业的电算化系统采用多家软件厂商的产品,业务系统与财务系统之间的数据传递需要借助外存(如磁盘)或局域网上不同数据文件之间转换等方式来完成,对这样的系统一定要防止并及时发现转换过程中的错弊。
5.加强动态在线审计。电算化系统中,账务处理是实时进行的。尤其是网络化系统,在同一时间可能有多个用户执行同一项功能、调用同一个数据文件,而系统只记录下最终的结果。若审计时只对静态系统进行审查,不进行有关运行程序、数据文件的联机实时审计,有时就难以发现存在的问题。因此对于重要业务的处理、关键的处理程序、业务人员的上机操作记录等应该加强动态审计。
网络化系统一般本身都提供了一定的审计功能,一旦发现非法的或有超越网络授权的操作行为,就会记录入侵者的登录用户名、IP地址、登录日期、时间等信息,并寻找到非法用户曾经潜入系统内部的痕迹。利用大型数据库管理系统开发的应用软件也能对登录系统的用户及其使用系统的情况进行一定的监控,如哪些用户使用了系统、进行了哪些操作、操作的次数、登录及退出系统时间等。审计人员可以实时检查系统存放这些信息的审计踪迹表和系统日志文件,充分利用这些线索。同时,还可以利用专门软件进行重要数据的动态跟踪,比如利用Excel软件就可以实现一些简单的跟踪和分析。
6.加强对所有与信息系统有关的部门及人员的监督管理。与信息系统相关的部门包括信息系统管理部门、维护部门和使用部门。相关人员包括网络管理员、系统管理员、数据库管理员、软硬件维护人员、系统操作人员、档案保管人员及机房保安人员等,对这些部门和人员进行安全意识教育及监督管理对于降低审计风险是至关重要的。
7.强化审计人员信息技术培训。在信息化环境下,审计工作所面临的信息系统非常复杂,对审计人员的信息技术水平要求非常高,因此首先要拓宽育人、用人视野,要“不拘一格选人才”,在人才引进上有所突破。要引进一批既懂审计、又懂计算机网络技术的复合型人才。其次应普遍提高审计人员的计算机操作水平和审计软件使用水平,使审计人员能广泛开展计算机辅助审计,并不断创新审计方法。从而提高审计人员的综合素质中的科技含量,为内部审计信息化建设提供人才支持。有条件的企业还可培养自己的内部信息技术审计师,以便能承担起诸如信息系统战略规划审计、信息系统软硬件审计、系统开发审计、信息系统管理审计、信息安全审计等更加专业化的审计任务。
通过对企业信息化给内部控制带来的影响及内部审计发展方向的探讨,我们可以看出,内部审计工作的现状急需改变,以适应信息化发展的需要,内部审计界必须加强审计理论和实务的研究,加大审计软件的研制力度以及利用计算机进行审计工作的规范化研究,同时强化内部审计人员的信息技术的教育,从各个方面提高审计工作水平,促进内部审计向着信息化方向发展。
