信息化环境下内部审计技术方法研究.docVIP

信息化环境下内部审计技术方法研究 　　【摘 要】 企业信息化发展促使内部审计变革其技术方法。文章从探讨信息技术风险及其评估出发，分析信息化环境下内部审计常见技术方法的分类，并进一步分析了并行审计、持续审计等新型内部审计技术与模式，从而构建信息化环境下的现代内部审计技术方法体系。 　　【关键词】 信息化； 内部审计技术； 信息技术风险； 计算机辅助审计 　　随着国家电网公司中信息技术的日益普及和企业信息化的深入开展，跨地区、跨部门的企业集团信息系统、ERP（Enterprise Resource Planning）系统广泛应用，原来所采用的传统内部审计技术方法很难及时地对被审计单位的会计经营信息作出客观评价，不能满足审计信息需求者的管理决策需要，内部审计难以实现增值目标。因此，内部审计采用现代审计方法成为必然。现代审计方法是指能够适应信息化的审计环境，能够对海量数据进行筛选分析，发现疑点和审计线索，从而实现审计目标的审计技术、方法的总称（董伯坤，2007）。本文从信息技术风险评估出发，分析信息化环境下的现代审计技术方法，并在此基础上进一步探索并行持续审计的模式，实现由传统审计向现代审计的转变，从而顺应信息化发展趋势，提高审计效率，降低审计风险。 　　一、信息技术风险评估 　　企业信息化的发展给审计技术方法带来变革，例如数据库技术（何玉洁、张俊超，2006）、趋势分析法（黄巧妙、吕天阳、庞琦，2009）等自动化操作和逻辑分析的方法（殷丽丽等，2010），同时更带来审计思维和基本理念的转变，在信息技术风险评估的基础上应用现代审计技术与方法便是一个基本的转变。 　　信息技术风险是指公司在信息处理和信息技术运用过程中产生的各种不确定因素，这些因素可能对公司的战略、发展、业务和效益等方面产生负面影响，并进而影响公司目标的实现。信息技术风险包括组织层面、一般性控制层面及业务流程层面的信息技术风险等。 　　信息技术风险评估是指识别、确认、评价公司所面临的与信息技术相关的内、外部风险及其潜在影响的过程。内部审计人员应采用适当的风险评估技术与方法，分析及评价信息技术风险发生的可能性及影响程度，为确定审计目标、范围、重点和方法提供依据。 　　针对组织层面、一般性控制层面的信息技术风险，审计人员在识别、评估时需要关注：业务关注度；信息资产（包括硬件设备、软件及数据）的重要性；对信息技术及信息技术部门的依赖程度；对外部信息技术服务的依赖程度；信息系统及其运行环境的安全性、可靠性；信息技术变更情况；与信息技术相关的企业标准、规范、规章制度的制定及执行情况等。 　　业务流程层面的信息技术风险受业务内容的重要性、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。通常，审计人员应了解业务流程并关注数据输入、处理、输出方面的信息技术风险。 　　内部审计人员应积极开展对信息化环境下风险的分析，充分考虑风险评估的结果，重点关注缺乏控制、重要性程度高以及可能产生舞弊的控制环节，以合理确定信息系统审计的内容及范围，对公司的信息技术内部控制的设计和执行有效性进行测试，并完善内部控制体系。 　　由于国家电网公司的业务运作更加依赖于信息系统，这种依赖和信息系统本身特点所导致的脆弱性，形成了新的业务风险。因此，公司必须开展和加强信息技术风险评估，并在此基础上对现有内部审计规范、指南等重新进行定义、修改和补充，加强信息系统内部审计工作管理体制建设，统一信息系统内部审计技术标准，明确信息系统内部审计人员技能要求，建立和完善适应信息化环境的内部审计准则体系，尤其把IT控制列为重点，把数据输入、处理和输出控制、信息系统的访问及网络安全作为内部审计的重要内容，使内部审计工作在新的环境下能够顺利进行。 　　二、信息化环境下内部审计常用技术方法 　　信息技术/信息系统的应用支撑着大多数关键业务流程，这也引起了在内部审计中如何使用信息技术的思考。本文认为，信息化环境下内部审计技术方法的研究与应用应从系统论、信息论的高度推进其系统化、科学化、规范化和智能化的发展。系统化是实施审计战略（策略）和审计技术方法的全面协调。审计战略（策略）解决好审什么、想达到什么目的的问题，审计技术和方法则解决怎么审和如何达到目的的问题，从而实现两者的协调。科学化就是将科学手段与经验总结相结合，推进信息化技术、数学和统计学等在审计中的应用。规范化是将内部审计技术方法融入到规范的内部审计程序中，规范和引导内部审计人员运用适当的审计技术和方法。智能化强调将历史经验总结、科学规律推导和审计人员的专业判断结合起来，积极加强审计数据中心建设，建立行业/领域审计的标准和方法（上海市审计学会课题组，2012）。 　　《内部审计具体准则第28号——信息系统审计》第六章第二十