对行政事业单位内部审计信息化的探讨
一、引言
改革开放以来,我国经济的加速发展,会计的业务量也不断攀升,信息技术开始进入事业单位日常办公及管理的各个领域,审计信息化也在审计工作中得到充分的重视和发展。计算机辅助审计是信息系统审计业务开展的最佳切入点,在有限的人力,有效的时间情况下,推动对计算机审计技术的应用以提高审计工作的效率,效力是唯一有效的途径。《国务院关于加强审计工作的意见》指出:“探索在审计实践中运用大数据技术的途径,加大数据综合利用力度,提高运用信息化技术查核问题、评价判断、宏观分析的能力。创新电子审计技术,提高审计工作能力、质量和效率。推进对各部门、单位计算机信息系统安全性、可靠性和经济性的审计”,如何在保证大数据环境下充分运用信息化技术提高审计工作能力、质量和效率的同时防范审计风险是审计人员面临的一个重要挑战。本文将重点分析行政事业单位内部信息化审计面临的具体风险,并提出防控建议。
二、行政事业单位内部审计信息化的风险
由于内部审计信息化的技术特点,使得内部审计信息化存在一定风险,其具体表现在以下几个方面:
(一)缺乏比较具体的准则和标准
在当前审计对象日益信息化的背景下,单位内部审计的线索、审计内容和审计技术等面临发生了巨大的变化,而用来约束和规范工作的配套的准则和标准,尤其是适用于行业的准则和标准还处于探索阶段,单位审计人员在应用信息化审计的过程中尚无具体的标准可以执行。目前我国还没有比较完善的内部审计信息化评价体系,如果没有一套合理的、可量化的评价标准体系,就难针对性地进行完善和改进,这也给审计信息化带来一定的风险。
(二)数据采集风险
采集数据是审计分析的第一步,也是关系到审计质量的关键一步。特别是大数据环境下审计人员需要采集被审计单位的海量业务数据,在数据采集过程中审计人员主要面临两个风险:一是保证所采集数据的真实性、完整性,满足审计分析的需要;二是保证数据采集过程中被审计单位的系统安全性。
(三)大数据存储和管理的风险
海量的大数据从被审计单位采集回来,在存储和管理方面审计机关和人员面临两方面的风险:一是数据存储风险,海量的大数据如何进行存储,保证数据的完整性,同时可以供审计人员进行审计分析操作;是数据管理的风险,被审计单位提供的数据包含大量的个人基本信息、敏感信息,审计人员面对如何对这些数据进行管理,从技术上和制度上保证这些数据不泄露到社会上的风险。
(四)数据分析质量风险
审计人员从被审计单位获取了审计需要的大量数据,接下来要做的就是数据整理、分析,发展审计疑点,对审计疑点进行核实,并生成审计证据。在数据分析过程中审计人员会面对以下审计风险:1、面对海量数据和有限的审计时间,审计人员无法在审计要求的时间内对数据进行充分的研究、整理、分析和发现审计疑点,审计质量不高。2、只对被审计单位的数据进行分析,忽略对被审计单位信息系统安全性、可靠性的关注,如果被审计单位系统出现重大漏洞,会对审计产生一定风险。3、审计人员技术水平滞后,面对采集回来的数据无法进行处理和分析。审计人员采集回来数据不能自己处理分析,只能依靠外部人员,或者转换成熟悉的数据库格式;但是依靠外部人员存在数据如何保密的风险,转换成其他数据库格式又存在数据丢失的风险。4、电子数据不同于纸质资料,具有无形性和脆弱性的特点。其中,无形性是指电子证据存储在存储介质中,其内容与载体相互分离,复制不改变其完整性和真实性,相较纸质证据而言,不易区分原件及复印件。脆弱性是指人为篡改或伪造易导致数据的灭失或失实,由此产生易被修改、损坏且不留痕迹的特征。
三、行政事业单位内部审计信息化风险应对措施
(一)建立有针对性的内审信息化准则
内部审计信息化使得审计对象、审计线索、审计方法等都发生了变化。人们在内部审计工作中逐步建立起的一系列审计准则已不适用于变化了的情况,而需要重新建立一套新的内部审计准则来指导审计工作实践。在制定新的内部审计准则时要在考虑我国国情的前提下,大力借鉴国外的先进经验。新的审计准则是对内部审计信息化的标准化,是衡量内部审计工作的标准,提高内部审计工作质量的保证。
(二)采用电子数据分析与其他证据相结合审计方法采用这种方法可以有效避免因审计数据偏差而导致的审计风险
对电子数据的分析是找出线索发现问题的一种途径,但是电子数据可能存在偏差,分析电子数据后,再结合其他的证据能够既使分析结果更加的准确,提高审计效率,也能够有效防范审计风险。
(三)内审人员应加强对会计电算化内控的审计
随着计算机信息化的高速发展,审计人员应该不断加强计算机方面的业务学习,才能适应大数据的要求,才能提高审计质量和效率。审计人员的学习应该包含两个方法:一是各种先进的数据库操作和分析语句的学习;二是先进的快速梳理数据、分析数据、关联数据,查找审计疑点的学习。可以通过聘请专业老师讲解和“以干代训”的方式对审计人员进行大数据集中分析、信息系统审计等相关技能的培训
四、行政事业单位信息化审计风险的几点建议
内部审计应当把目光前移,要从事后监督向全过程监督的转变,把工作重点放在事前预防、事中控制和事后监督上,充分发挥内部审计的免疫功能,要提升内审工作的前瞻性,帮助被审计单位制定相关的内控制度,通过制度来约束具体的财务行为,防止简单的头疼医头、脚疼医脚,使内部审计充分发挥风险管理的作用。
(一)规范数据采集管理减少审计风险 1.做好采集前的准备工作。主要包括三个方面:一是明确本次审计的目的,充分调研、了解满足审计需求需采集的数据范围;二是通过与被审计单位相关人员接触,熟悉被审计单位的信息系统流程和数据结构;三是根据审计目的和了解情况,提出明确的数据需求。
2.选择合适的数据采集时间。通过与被审计单位进行沟通,选择合适的时间,在不影响被审计单位正常业务的前提下进行数据采集。
3.制定科学的数据采集流程,并严格按照流程进行操作。审计人员应不接触被审计单位的系统和后台数据库,应只提出操作需求和数据要求,由被审计单位相关人员进行现场操作,审计人员全场监督。
4.数据采集前、采集后对相关数据进行检查,通过记录计数和控制总数检查、连续性检查、业务数据对比检查、重要数据检查、各处理阶段数据完整性检查、在周期性发生事项的完整性检查等必要的技术手段审查数据的真实性和完整性。
5.采集结束被审计单位应提供“数据真实完整性承诺书”、“数据采集语句”、“日志文件”、“数据采集现场记录”、“数据字典”等相关技术资料。
6.审计机关对移动存储设备进行杀毒,保证无病毒后存储被审计单位提供的资料。
7.由于电子数据无形性和脆弱性的特点,在使用移动存储设备存储同时,应将数据在存入移动存储设备的同时刻制成光盘,光盘上由审计人员和被审计单位相关人员签字,然后将光盘封存、加盖被审计单位公章,作为备份原始数据由审计机关保存。
(二)完善数据管理使用制度
一是制定严格的数据管理制度,对数据的管理人员提出严格规范要求,规范审计人员使用数据的审批流程;二是建立完善的机房管理制度,非相关人员不得进入机房,进入机房人员应进行详细登记;三是建立大数据的使用制度,审计人员应该在指定的终端登录数据中心进行数据分析;四是建立数据下载制度,数据中心的数据审计人员在经过分析后需要下载的中间表和最终表应该经过严格的审批流程后由技术人员进行下载;五是审计人员应每年签订数据保密协议,保证不对外泄露相关资料。
(三)重视加强内部审计队伍建设工作
培养内部审计信息化环境下的复合型知识结构人才内部审计信息化对内部审计人员的提出了更高的要求,这就需要培养一支符合内部审计信息化要求的复合型知识结构人才队伍。所谓复合型人才,是指计算机技能+专业基础+工作经验的人员,这就要求审计机构在日常审计过程中注重培养适应职能部门发展并具备较高素质的审计人才,培养专业型的信息化审计人才是应对信息化审计风险的核心。加强对审计人员后续教育培训工作,使审计人员政治思想素质,业务水平和工作能力得到不断提高,以适应新形势对行政事业单位内部审计工作的更高要求。
推进内部审计信息化建设,以信息技术为依托创新审计方式方法,支持内部审计目标和运行机制是推动行政事业单位内部审计工作科学发展的必由之路,是在信息化条件下开展内部审计工作的必然选择。
