|
内部控制审计信息化风险与应对策略研究 曹弋洋 一、引言 我国企事业单位实施内部控制审计信息化是经济全球化和国际化的发展趋势,内部控制审计信息化是完善审计体系的内在要求,也是应对日后可能的外部竞争的必然选择。目前越来越多的公立医院引入信息化技术来增强医院管理,快速处理医院各流程数据,从而为医院管理提供基础。然而,信息系统在高效率地帮助医院提高经营管理水平的同时也带来许多新的思考和挑战。内部审计作为医院管理的核心部门之一,需要对信息系统平台的有效性进行评价和分析,这无疑成为内部审计人员的一项新的挑战。 实施内部控制审计信息化,重点在于对信息系统进行审计。这里的信息系统,是指利用计算机技术和通讯技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。审计人员对特定基准日信息化环境下的内部控制设计与运行的有效性进行审计,并对其有效性发表意见。内部控制审计信息化是审计信息化的一个重要组成部分,所谓审计信息化就是在运用以电子计算机为代表的现代化数据处理工具时,被审计对象进行财务工作和经营时,审计人员为了实现其审计目的,收集必要的审计证据,采取必要的审计程序,对运营的合规性以及利用计算机以及网络生成的财务信息进行审计的工作。广义的信息化环境下的内部控制审计业务包括计算机内部审计所涉及的所有内容,即计算机系统内部控制制度审计、计算机系统程序审计、计算机系统数据文件审计、计算机系统开发审计、计算机辅助内部审计、网络系统审计、计算机舞弊的控制和审计。狭义的信息化环境下的内部控制审计业务主要包括计算机系统内部控制制度审计、计算机舞弊的控制与审计。本文基于信息化视角,分析实施内部控制审计信息化所面临的风险,并从内部控制制度、系统建设、人员素质和风险评估体系等多维度对风险因子进行思考,并提出相应的风险应对策略。 二、实施内部控制审计信息化存在的风险 实现内部控制审计信息化后,提升了医院信息系统的运行效率,减少了运营成本,提高了人员的综合素质,顺应了时代发展的趋势。然而,事物都有两面性。内审信息化的实施也带来了更多更大的新问题,只有充分认识和解决这些问题,信息化才能健康、快速带动医院的全面发展。 (一)审计人员在信息化条件下的能力表现不足 内部控制审计信息化对审计人员的独立性和专业能力要求很高,但实际情况是,许多企事业单位的内部控制和审计独立性差,甚至存在不少审计人员是兼职的情况,职业胜任能力欠缺。另外无论是注册会计师还是内部审计师,大部分都是财会专业出身,也就是比较擅长于财务报表审计和与财务报表相关的内部控制审计,对于非财务内部控制审计和信息系统审计,缺乏从事信息化内部控制审计所需的知识、技能和经验,审计人员在信息化条件下的能力表现不足,审计风险巨大。 (二)内部控制系统的信息化增加了内部控制审计难度 内部控制的信息化必将带来内部控制审计的信息化。内部控制审计信息化增加了内部控制审计的难度,主要体现为以下五个方面: 1.控制环境的突变。虽然信息技术使内部控制管理层级明显减少,岗位更加精简,不仅改变了传统手工数据处理方式,而且触发了管理模式、生产方式、交易方式、作业流程的重大变革,但是信息化对管理者的素质提出了更高的要求。从实际操作来看,从内部控制审计人员到管理者,短期内员工必然对信息化的应用不太适应,有些老一辈领导甚至不太重视内部控制信息化。信息化推动组织架构的扁平化变革,人与人之间的当面交流减少,大量的业务处理都在系统内完成,信息化的控制环境下,道德风险和逆向选择行为发生的概率增大。 2.风险评估过程的系统危害。在信息化环境下,各项事务对计算机系统的依赖与日俱增,一旦某个环节出现问题,该类错误将会被无限次复制和传播,从而带来更大的危害。信息系统越复杂,发生系统性风险的可能性越大。业务流程的自动化虽然降低了业务处理过程中人员疏漏或单独舞弊的风险,但是如果信息化系统失灵或崩溃,重要信息被窃取,都将给带来不可估量的损失。因此,信息化环境下,风险变得更加复杂,相应的危害性也更为严重。 3.控制活动的难度加大。控制活动是为了保证各项指令得到实施而制定并执行的控制政策和程序,是针对实现组织目标所涉及的风险而采取的必要防范或减少损失的措施。随着计算机使用范围的扩大,利用计算机越权参与生产经营活动,从而导致贪污、舞弊、诈骗等犯罪活动有所增加,各种木马程序、病毒都对信息化内部控制审计构成挑战。控制活动涉及面更宽,包括计算机系统、人机交互系统、手工操作系统,控制活动难度加大。 4.信息与沟通的多向性。一个良好的信息沟通系统不仅要有向下的沟通管道,还应有向上的、横向的以及与外界的信息沟通管道。应建立多方向信息沟通机制,利用多方的工作成果,减少重复性的工作,节约资源;同时,沟通的过程也是不断交流学习的过程,可以提高工作效率。因此,要让全体人员尽快从手工状态下的单一沟通机制转到信息化条件下的多向沟通机制中来。信息化手段在提高沟通效率的同时,也带来沟通风险。其一,信息化所生成的海量数据,使得信息冗余也可能掩盖重要信息,不利于决策参考;其二,如果信息与沟通环节控制不当,或者控制被突破,重要信息泄密后立即大范围扩散,可能对造成重大不利影响。 5.内部控制监督机构形同虚设。我国内部控制起步较晚,发展较为缓慢。内部控制形式重于实质,公司治理不良,风险意识薄弱,导致弊端丛生。于是,很多设计精良的控制系统往往会流于形式。信息化在减少人为操作风险、提高效率的同时,对流程进行了固化,对权力进行了制约。领导层一旦绕过信息化系统进行审批执行,信息系统内嵌的监督功能将会被搁浅,监督机构由于权限和独立性不高,也难以对管理层权力进行有效约束。 三、内部控制审计信息化风险的应对策略 内部控制审计信息化降低了一些传统风险,例如信息口径不统一、信息手工处理错误及效率低下等,但同时也增加了许多新的风险,例如安全性风险、信息系统依赖性风险。换言之,也就是信息化导致内部控制审计风险从一种形态演化为另一种形态。如何应对?本文拟从制度建设、设计研发、信息系统改进、人员胜任能力提升和夯实审计防线等方面进行论述。 (一)相关法律规范及单位内部控制制度体系的完善 国家层面,组织力量进一步完善相关基本规范,以及应用指引、评价指引和审计指引,出台分行业操作指南,积极推动企事业单位开展内部控制信息化和内部控制审计信息化。基于信息化的中长期规划,支持大型企事业单位研发内部控制审计软件及构建网络平台。 单位层面,密切配合国家政策及法制导向,结合行业特点、单位实际情况和未来发展战略,建立信息化内部控制及其审计制度,完善风险管理机制,为应对内部控制审计信息化风险提供制度支持。我国大多数企事业单位还没有形成统一高效的信息系统,业务上线水平低,存在大量信息孤岛,不能发挥信息化在管理上的支持作用。世界一流企业基本实现了信息化,我国要向世界一流企业“取经”,汲取成功经验,总结失败教训,发挥内部控制审计信息化建设的后发优势,努力提高管理经营的信息化水平。 (二)特别强调在信息系统的研发阶段对内部控制健全性进行审计 计算机系统的内部控制大部分和系统程序密切结合,内部控制功能被植入到计算机程序之中,构成数据处理的有机组成部分,一旦系统程序投入使用,其内部控制功能随即被确定,而且不容易得到纠正。因此,信息化环境下对内部控制的审计,特别强调在系统的设计和开发阶段就对内部控制的健全性进行检查和评估。内部控制一旦被固化到信息化流程,就会被锁死,除非有授权可以对其进行修改。但增加控制环节,无疑就增加了控制风险。因此,信息系统在设计和开发的阶段,应该对重要控制节点是否需要固化,以及修改非固化控制所需的授权策略等给予充分考虑,如果某些控制节点风险过大,或使用信息化控制成本很高,或控制修改情况变化过于频繁,可以考虑手工控制形式,而不必使用信息化控制手段。 此外,必须明确任何单位不可能完全依靠信息化来解决一切问题。单一的信息化内部控制系统本身就是不健全的,内部控制自身有诸多局限性,也可能失效,因为总有些例外情况游离在信息系统之外,而系统缺乏回应,需要启动应急预案或例外控制机制。信息化必须融合人本战略、人本文化和人本控制,方能起到事半功倍的作用。计算机不能代替人对突发事件进行全面判断,因此,如果仅仅实施单一的信息化策略,必然会为日后遭遇重大风险埋下伏笔。内部控制框架由风险治理向人本治理演进是必然趋势,虽然需要利用信息化,但不能完全依赖信息化,信息化只是控制的手段和形式,围绕人的利益和诉求才是控制的实质内容。要在信息系统中嵌入人本控制,把最终的控制重心落实到人,而不是完全交给机器。 (三)提升内部控制审计信息系统的风险防范能力 当今,所有单位所面临的环境十分严峻,传统的只考虑内部经营环境的时代已不复存在,要想在竞争中胜出,就要充分识别诸多外部因素,如社会整体经济走势、行业涉及领域的宽泛性、市场的供求关系均衡性、自然灾害等,推行全面风险管理,为内部控制审计信息化的实施创造良好的环境。 1.实施基于环境风险评估的企业战略内部控制审计。传统内部控制审计对环境的分析是基于风险评估的需要,体现风险导向,而不能体现价值导向,不够全面,全面内控审计的未来发展方向应该是包含防范和化解风险的价值导向的全面内控审计。战略是为了应对环境变化所带来的机会(价值)或威胁(风险)而采取的策略,战略内部控制是内部控制窗口向战略层次延伸所形成的内部控制体系,能够体现内部控制的战略意图。因此,实施基于环境风险评估的企业战略内部控制审计,包含了内部控制风险审计和内部控制价值审计。所有单位面临的内外部环境风险很多,对内部控制系统造成重大影响的风险包括战略风险、财务风险、市场风险、运营风险、法律风险,以及信息化本身所蕴含的安全风险。战略风险对信息化内部控制审计产生重大影响,内部审计需要对内部控制及其信息化与企业战略的荆合性进行评价,即在实施信息化审计时,必须考虑战略管理审计。 2.加强内部控制系统的安全性监视。内部控制信息化在提高信息生成和传播速度、扩大信息共享面、提高信息利用效能方面表现优异,但如果安全防护措施不当,也可能带来被删除、篡改和非法利用的风险。内部控制信息化带来的安全风险源于信息生成、加工、分析、整合、传播和应用的快捷性、多元性和无形性,因此,要求信息系统在设计过程中必须合理设置数据防火墙和功能安全密钥,并提供数据的应急管理方案和自动备份策略,保留数据修改和下载痕迹,一方面可以减少内部控制舞弊,同时为信息化内部控制审计取证提供支持。因此,加强信息化内部控制系统的安全性监视能够提升内部控制审计系统的风险防范能力。 (四)采取预防性的总体应对措施 总体应对措施能够有效降低内部控制审计信息化风险,主要包括建立与信息化环境相适应的组织架构、提高内部控制审计人员的专业胜任能力等方面。 1.建立与信息化环境相适应的组织架构。组织架构是内部控制的重要环境因素之一,而且对风险评估、控制活动、信息与沟通、内部监督等具有重要影响。建立与信息化环境相适应的组织架构,要求单位基于信息化需求,对治理结构、岗位设置、业务流程等进行革新或优化。单位应当具有明晰的组织结构,并合理设置职能部门,考虑信息化技术优势,精简治理层级,提升监督效能。通过信息化手段,充分发挥内部控制的监督机制,这样才有利于科学决策和规范运行。 2.相关人员执行能力的有效评价。优秀的员工素质是良好的内部控制环境的构成要素,评价内部审计人员、内部控制评价人员和其他相关人员的专业胜任能力和客观性,可以有效地降低内部控制审计风险。在评价他人的专业胜任能力时,外部审计人员应当考虑其专业资格、职业经验与技能等相关因素。在评价他人的客观性时,外部审计人员应当考虑是否存在削弱或者增强其客观性的因素。 3.相关人员专业技能的再深造。加强对在职审计人员信息化应用水平的培训,提高内部控制人员的专业胜任能力,同时加快与财经类高校的合作与交流,培养社会所需的复合型知识结构的审计系统开发人员,使他们成为信息化条件下内部控制审计的专业技术人员。对单位所面临的内外部环境如行业、经营状况以及市场等进行全面风险评估,不断提高执业人员信息化内部控制审计的知识、技能和经验,重点掌握战略与风险管理、信息化技术、内部控制、云审计、COBIT审计标准等。 四、结语 实行内部控制审计信息化是企事业单位顺应大数据时代发展的需要,也是内部控制审计走上规范化、信息化的需要。审计信息化会导致对审计组织方式的触动和对审计机构调整的需求,应在需要和可能之间寻求适度妥协,以足够的耐心,等待酝酿中的突破和外部环境的演变。目前,我国内部控制审计信息化虽正处在初级阶段,但财政部等五部委颁布并在上市公司实施的《企业内部控制基本规范》和包括审计指引在内的配套指引,以及目前正在积极开发和征求意见的分行业操作指南,为单位内部控制建设注入了强大的推动力,内部控制及其审计从幕后走向前台。随着社会经济的快速发展以及企事业单位参与国际国内市场竞争的加剧,许多大型跨国企业和上市集团公司开始实施ERP和SAP工程,这将为实施内部控制审计信息化提供平台支持。在政府的政策引导和积极推动下,在社会各界的关注和支持下,以及在所有单位自身战略目标驱动和风险管理协同下,内部控制审计信息化建设一定会迎来春天。 |
