论内部审计信息化风险应对措施.doc

论内部审计信息化风险应对措施.doc论内部审计信息化风险应对措施
内部审计信息化广义地讲,是指内部审计组织以信息技术为手段,组织计划审计项目、实施审计的全过程。
一、内部审计信息化的概念
内部审计信息化广义地讲,是指内部审计组织以信息技术为手段,组织计划审计项目、实施审计的全过程,以及以确认审计风险或评价企业信息战略、优化组织运营为目标,对组织营运所依赖的信息系统进行独立的、客观的确认和咨询活动。包括两方面的内容:一是以信息技术为手段开展内部审计工作的过程,即计算机辅助审计技术(CAATs);二是指内部审计部门以组织的信息系统为对象,以风险评估或内部控制检查为手段,对该系统所产生会计信息的真实、合法性作出确认,或通过优化企业信息管理,增强企业的核心竞争能力,即信息系统审计或EDP审计。内部审计的计算机辅助审计技术与信息系统审计之间存在着紧密的联系。
一方面,信息系统审计为计算机辅助审计下的常规财务收支审计提供支持。由于企业经营管理信息化以后,原来手工处理方式下的一些管理控制措施发生了根本性变化。一些控制措施已经成为计算机软件程序的操作步骤被固化在日常的操作中,有的已经通过软件自动地进行错误检查核对。而信息系统中控制措施的充分与否,是否正常发挥了作用,是否存在方便操作人员舞弊的***,直接影响到各项经济信息的真实性、合法性。通过信息系统审计可以直接检查确认这些风险,为计算机辅助审计下的常规财务收支审计提供支持。
另一方面,计算机辅助审计是信息系统审计业务开展的最佳切入点。信息系统审计对审计人员的计算机知识要求非常高。从目前审计人员的知识结构来看,不具备直接开展信息系统审计的条件。因此,信息系统审计的开展应当采取循序渐进的战略,即首先逐步引入计算机辅助审计。随着审计人员知识结构的改变和经验的积累,信息系统审计的开展将水到渠成,各种风险尽可能成为可控。
二、内部审计信息化存在的风险
审计风险,是指会计报表存在重大错报或漏报,而审计人员审计后发表不恰当审计意见的可能性。内部审计风险是企业内部审计组织或人员在实施审计的过程中,无意地对存在重大错报或漏报的会计报表以及对具有重要影响的经营活动审计后,出具不恰当的审计结论,造成审计对象和与之相关方面遭受损失或损害,并由此引起审计主体承担这种责任的风险。由于内部审计信息化的技术特点,使得内部审计信息化存在着主体风险、客体风险和环境风险等三个方面的风险。
(一)审计主体风险企业内部审计组织或人员是审计风险产生的主体,审计风险的本质是无意地发表错误审计结论的可能性。这是因为内部审计信息化虽然是以信息技术为手段进行的人机审计,但起决定作用的仍然是审计人员,审计人员的素质高低是决定审计风险大小的关键因素。由于内部审计信息化的环境比手工会计系统更为复杂,审计对象也更多更复杂,内部审计人员只依靠原有的知识和技能是无法胜任审计信息化条件下的内部审计工作的。内部审计信息化对内部审计人员提出了五能的要求:能打开被审计单位数据库;能将被审计单位的数据下载到审计人员的计算机中,并转换成为审计人员可阅读的数据格式;能使用具有的查询分析功能的通用软件或审计软件进行查询、分析数据;能在审计现场搭建临时局域网;能排除常见的软硬件故障。这就要求内部审计人员要成为具有全面知识结构的复合型人才,即不仅要有丰富的会计、审计、经济、法律、管理等方面的知识和技能,熟悉审计的政策、