时间:2023-03-17 18:11:17
引言:寻求写作上的突破?我们特意为您精选了12篇内部审计信息化论文范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
但是,从总体上说,目前我国事业单位内部审计工作还存在一些问题,其中一个重要的方面就是内部审计工作的信息化水平不高,需要进一步完善,从而更好地发挥内部审计工作在规范企业经济行为方面的作用。当前制约我国企业内部审计工作的信息化的因素主要有以下几个方面:
1.领导重视程度不够,对内审工作信息化的意义缺乏充分认识。
我国企业内部审计工作信息化建设多年来一直难以有效推进,多年来企业内部审计工作信息化仍然处于起步阶段,存在组织结构不完善,制度建设滞后等诸多问题,导致这些问题的一个重要原因就是认识上存在问题。一些企业领导虽然知道信息化有好处但是总觉得实现内部审计信息化需要的投资太多,而且回报慢,因此缺乏推进企业内部审计信息化的内在动力,使得企业内部审计信息化缺少资金支持和精神动力,信息化建设动作缓慢。目前虽然一些企业已经开始尝试内部审的信息化建设,但是绝大多数依旧停留在较低层次的电子数据处理方面,与真正的信息化还有较大的差距。
2.审计人员的水平有待提高。
审计工作本身就是一项专业性很强的工作,对工作人员的素质有较高的要求。内部审计信息化要求企业内部审计员工具有较高的计算机水平,能够熟练进行计算机软件操作,因此企业内部审计工作人员不仅要学好审计专业本身的知识还要掌握现代计算机技术。但是当前我国还缺少这样的复合型人才。从我国企业的情况来看,绝大部分的审计工作人员都难以达到这种标准。因为我国多数企业的审计人员就是财务系统的工作人员,而财务人员一般都是会计专业出身,他们往往缺少计算技术相关的知识,因此难以胜任内部审计信息化的重任。
3.缺乏有效的信息系统设计和实施方法。
内部审计工作涉及许多方面,是一个复杂的系统,因此,在信息化条件下与之相对应的内部审计信息系统也是一个复杂的系统。当前,我国内部审计部门的电脑虽然已经与互联网实现连接,但是能够适应企业内部审计工作的应用软件却十分有限,从而导致企业内部审计工作难以实现不同部门、不同审计项目等之间的信息交流与共享,使得企业内部审计工作效率低下,难以充分发挥内审工作的作用。因此,当前信息系统设计和实施方法的缺乏是阻碍企业内部审计信息化的一个重要因素,必须大力解决。
4.理论建设滞后。
内部审计信息化与其它各种工作一样需要理论进行指导,理论是行动的指南,只有在科学先进的理论指导下,才能使工作得以顺利有效推进,反之,则会阻碍实践活动的开展。我国内部审计信息化建设存在着理论滞后的情况。多年来该领域的研究一直跟不上现实审计信息化工作的发展要求,最近几年,随着国家的重视程度增加,该领域的研究学者有所增加,所以相应的推动了内部审计信息化理论工作的进步,提出了一些针对性较强的理论方法,对当前的审计工作起到了有力的推动作用。但是这些研究相关研究依旧显得稀少而零散,一直没有形成一个完整的理论体系,这种情况阻碍了我国企业内部审计信息化工作的开展。
三、加强我国企业内部审计信息化的措施
内部审计工作是我国监督体系的重要组成部分,企业内部审计工作承担着确保企业经济活动合法地进行,防止经济犯罪和滋生的重任。经过多年的努力,我国企业的内部审计工作已经取得了很大的进步,内部审计制度日益完善,组织结构不断得到改进,但我们还要进一步完善。
1.提高认识水平。
内部审计是一项具有很大意义的工作,如果充分发挥内审工作的作用可以有效地促进企业健康稳定发展。因此作为企业及其管理人员来讲必须转变观念,大力推进内部审计信息化建设。首先企业管理层要充分认识到在内部审计中推行信息化的重要意义,为在企业中顺利推行提供必要保障。其次还要加强员工的培训,使得企业各个部门员工理解支持内部审计工作,提高信息化在企业中全面实行。
2.提升审计人员素质。
首先要努力加强专业素养,树立在学习中工作、在工作中学习的理念,切实掌握经营活动中的理论知识和实践经验,努力提高解决审计工作中出现的新情况、新问题的能力,准确把握审计工作转型的基本内涵、原则要求和重要意义,切实增强工作的主动性和针对性。将事业单位经济管理、控制和体制改革等实施中存在的问题及时反映给行政负责人及上级主管部门,当好领导的参谋,真正做好内审工作,服务于内部经营管理。其次,要扩大自己的知识范围,不能在固守本专业,在信息化背景下尤其要重视对计算机技术的学习,努力提高自身的计算机技术水平,以适应内部审计信息化的发展趋势。从审计部门来说,需要设计一套有效的内部审计人员选拔、考核的制度,同时加大审计人员的培训力度,注重提高内部审计工作人员计算机技术和信息技术水平,建立针对审计人员的奖惩机制,充分发挥事业单位内部审计人员的主观能动性,从而提高审计人员工作的积极性。
3.制定内部审计信息化实施计划。
首先,要认真研究设计内部审计信息系统的构建方案,确定信息系统由哪些子系统构成,各系统之间如何连接。其次,要合理确定软硬件的配置,同时规定计算机的工作方式。第三建立内部审计信息化工作平台。吸收现代管理理念,整合企业内部审计资源,努力尝试根据企业内部审计工作的具体情况自主开发应用软件,审计工作平台主要包括数据库、门户体统、审计系统、管理系统、监控系统等。
在信息化系统的环境下,审计过程是借助于计算机及信息化技术,这将其与以往的纸质媒介、手工作业区别开来。纸质化的手工财务信息很容易追根溯源,获得一些原始的审计信息依据。而在引入信息化系统之后,财务信息被计算机汇总整合,方便了信息采集和处理的同时抹去了原有可探寻的线索痕迹,在便利了审计人员获得审计数据的同时加大了审计数据泄露、盗取的风险。而且,这种风险很难被察觉和快速排除。在这种情况下,企业的财务数据很容易被修改、删除、外漏,必然会导致企业遭受巨大的经济损失。
(二)信息化操作下相关人员业务生疏的风险
在信息化审计条件下,面对更加严格的审计要求和更加专业的审计操作,审计人员的专业素质尤为重要。审计人员不仅仅需要熟练掌握审计、会计方面的专业知识,更需要对会计电算化、网络技术、电脑操作等具备相关业务水平。这种复合型的素质需求无疑对审计人员提出了较高的业务要求,而当某一部分专业技能出现缺失,就会极大影响审计活动的效率及质量。
(三)信息化环境下的检查风险
在信息化系统审计下,传统检查方法已经不能满足系统化内部控制的审查与处理。这主要因为检查方法需要借助于计算机端口,这使得原先有迹可循、直观可视的会计核算变得不再那么容易。审计人员在审计过程中很容易忽略某一环节的检测,从而不能实现对企业整体性的把握。
(四)利用计算机舞弊带来的风险
计算机在带来便利的同时也方便了那些别有用心之徒。对比传统审计舞弊行为,信息化系统下利用计算机舞弊更加具有隐藏性,破坏性也更大。企业的审计往往需要依附于整个计算机系统的正常运行,一旦计算机失控,就相当于从企业内部打开了缺口,更加难以控制。
(五)审计数据采集及内控制度上潜在的风险
传统审计过程不需要考虑审计数据采集的线索路径问题,因为一旦出现问题,可以立即返回源头查缺补漏。而在信息系统下,数据采集往往自动化,这就导致了责任承担的缺位,也给企业的内控制度造成了相当大的困扰。
二、信息化视角下国有企业规避审计潜在风险的对策
(一)及时更新信息化系统软件功能,避免系统落后的风险
企业信息化系统软件的及时更新成为企业紧跟时代大潮、避免被信息化淘汰的最简单也是最有效的手段之一。要想保证本企业内部审计的计算机系统能够获得及时的更新,就需要从两个方面下手。一是需要本企业培养或引进专门的技术人才。无论何时,人才都是企业得以长期发展的重中之重。只要建立起一套专业化的人才队伍,那么不论是在企业系统的日常维护、及时更新方面,还是在遭受黑客攻击、发生意外情况、系统重建等问题时,都能够第一时间的找出问题并加以解决,从而维护企业计算机系统的良好运行。二是要加强与专业软件研发公司的联系,从而在第一时间获取行业内的最新信息。一旦出现本企业内部队伍无法应对的局面,也可以及时获得外援支持,从而尽可能地降低经济损失。
(二)加强人员培训,提高审计队伍素质
加大对审计人员的培训,提升审计队伍的整体素质,是企业面对变化多端的审计风险所必须的投入。之所以要加强对审计人员的再培训,一方面是由于我国现阶段审计队伍的组成特点所决定,另一方面则受限于如今复杂多变的审计大背景。在我国,具备丰富经验、在各企业担任要职的审计骨干往往年龄偏大,这在大型国有企业中尤为明显,审计队伍已经趋向于老龄化。这样的审计队伍构成在面对审计信息化系统革新的挑战时,往往显得力不从心。一大批极富传统手工审计经验的审计人才对信息化系统审计不够熟练。另外,计算机系统的更新换代、审计软件的不断创新、审计内容的日益复杂等都使得审计工作需要学习型的复合型人才。企业组织审计队伍集体培训学习有利于人员之间的相互交流与学习,也能够保证企业内部审计队伍经验的传承与发扬。在培训中,审计人员可以借此提升在会计处理、计算机技术应用等方面的能力,从而获得全方位的提高。总之,在系统化审计的宏观背景下,包括国有企业在内的大型集团化企业需要多方面、多角度、多渠道地加强对审计人员的培训工作,转变审计人员的原有手工思维,在知识层面上更新换代,适应信息化审计的要求。
(三)采用适当审计方法避免检查风险
传统审计作业中,审计人员需要对纸质资料的数据采集与调取查阅相关审计资料,对某些信息进行反复的核查与计算,并需要对相关数据进行分析整理,而在信息化系统审计背景下,一旦还将审计方法割裂开来,单独程序单独使用,往往不能满足当今审计的需要。在信息化系统中,原先的审计方法有些已经滞后,而一些新的审计方法的采用则超越了原先的审计程序流程。例如,在目前审计背景下,对系统操作员的权限设定已经成为了审计工作的重点,一旦权限设定不明,就会发生授权混乱的局面,审查工作也就不可能有效进行,甚至有可能导致企业的日常现金流等资金管理上出现巨大漏洞,使企业遭受巨大的经济损失。
(四)加大对利用计算机舞弊行为的审查与惩处力度
利用计算机进行舞弊行为是计算机系统所独有的风险类型。一旦出现审计人员或其他相关犯罪人员利用手中权力进行计算机舞弊以达到自己的非法目的时,就会给企业的正常运营埋下巨大隐患。加强对计算机舞弊行为的审查和惩处,一方面要加强对审计人员的教育教导,加深审计队伍对这种违法犯罪行为的认识;另一方面则需要企业构建内部监督体系,企业可不定期地采用传统审计形式与系统化审计的数据结果进行对比,同时可聘请无利益相关的计算机专业人士定期对企业的计算机系统或审计系统进行测查,在日常的事务处理中注重对系统日志的留存备份等,以减少利用计算机舞弊行为的发生。
(五)健全和完善审计规章,强化企业制度规定
审计工作需要相关法律法规、审计规章的指引,企业内部也需要据此强化有关内部审计制度的规定。在信息化审计革新的背景下,政府颁布的审计技术规范可能随时改变。大型集团企业要在国家的审计准则及相关法律法规基础上,不断完善企业本身的审计制度和相关规定。企业可在政府重大审计理论政策时,组织业务精英进行学习研究,在此基础上总结经验,将其一并与政府文件下发到下属公司单位。除此之外,企业应该加大对内部制度规定的执行力度,从而从制度源头上保证企业的向心力与一致性。
2.审计信息化人才匮乏。医院内部管理者对审计工作的轻视,导致信息化建设不健全,造成医院内部审计信息化人才极度缺乏。而现有审计人员缺乏信息化知识方面的知识,大部分审计人员没有接受过专业化的审计信息化培训,甚至不知道如何利用信息系统开展审计工作,更不知道利用信息技术进行审计过程中存在哪些风险,应该如何避免,人才的缺乏进一步制约了内部审计信息化的建设。
3.医院内部审计信息化系统不健全。医院内部审计信息化建设过程中,较为缺乏成熟的专业审计软件,只有通用审计软件,在我国有代表性的就是审计署组织开发的“通用审计软件”系列,审计信息往往难以实现共享,在审计质量和审计效率方面发挥的作用也较为有限,大多数审计软件只有基本的数据访问、数据分析、加工、统计功能,对于较高层次的财务分析、预警系统等进行审计时难以达到理想效果,无法得到内部审计人员想要的结果。
4.没有健全的审计信息化操作制度。在医院内部审计信息化操作过程中,还没有统一规范的信息化操作标准,操作中没有明确的法律规范、技术规范和业务规范,我国虽然有相关的审计法律法规,但由于医院审计信息化的发展以及医院审计环境的变化,在医院内部信息化审计过程中出现的新问题就难以有效解决。
二、提高医院内部审计信息化建设的有效措施
1.加强内部审计信息化重视度,创造良好信息化环境。内部审计信息化是现代化发展的必然趋势,而医院作为重要的行业,更应该加大自身信息化建设,不断提高内部审计信息化建设的水平,加强对信息化建设的投入力度。医院领导要加强对内部审计工作的重视,要做好内部审计信息化工作的宣传工作,充分发挥内部审计信息化对医院的监督、服务作用,有效推进医院内部规章制度的完善。
2.培养医院内部审计信息化人才,提高审计效率。审计信息化建设需要有专业的信息化人才,在医院信息化建设过程中,要进一步加大内部审计人员的信息化培训力度,不断提高内部审计人员对计算机技术的操作水平和审计软件的灵活运用能力,加大内部审计人员在计算机编程、数据库管理、网络安全等方面的学习。
3.完善审计信息化系统,加大信息化基础设施投入。要加大医院内部审计信息化建设的投入力度,邀请专业人士结合医院内部的经营特征,为医院设计适合自身特征的审计操作软件。在软件开发过程中,首先要遵循国家审计法的准则,考虑信息网络化发展的趋势,要始终结合医院自身特征,不断收集、提取、研究适合医院内部专用的审计软件;其次,在软件设计过程中要考虑到操作简易性,便于审计人员的学习运用。另外,在医院审计信息化建设过程中,还要建立完善的审计信息化平台,能够将审计结果及时地反应到其他部门,对审计结果做出评价,对医院内部审计工作中出现的问题进行有效监督,这样才能有效提高审计效率,减少医院内部审计的成本。
4.健全医院内部审计信息化操作制度。健全的内部信息化操作制度是确保医院内部审计合理有效开展的基本保障,在国家审计信息化尚不完善的时候,医院内部更应该加快自身信息化制度建设,对计算机审计工作做出相关的规定,确保审计工作的顺利开展。另外,制度严格的审计信息化操作规范,对审计人员操作进行有效监控,对从事审计信息化操作的人员进行严格要求,对于没有达到审计信息化操作要求的人员进行及时培训或者调离审计信息化部门。
目前,许多企业管理者和内部审计人员对信息化建设缺乏必要的认识,积极性不高,主动性不强,不愿投资,另一方面,由于参与内部审计的人受工作年龄等实际情况的影响,很多从业者仍局限于审计理念的思想和传统的审计,内部审计方法的理解还不够,不知道会计信息的实施不只是解放手工记账,而且在企业财务管理深层次变化的信息时代,缺乏内部审计信息的理解也阻碍了内部审计的信息化进程。
2.内审人员专业素质不高
目前内部审计的发展历史也不长,社会需求量处于正在增加的状态,真正的内审专业人员比例不高,很多内审人员都是财会人员兼职,难以适应现代信息技术对审计人员素质的要求,难以胜任高科技和新业务的审计项目。大部分内审人员都是通过培训学习才开始从事内部审计信息化工作。这些培训大多是一些计算机基础知识的培训,由于受培训时间短、培训内容单一等因素的影响,培训后,仍然不能熟练开展计算机审计。再加上我国目前已有的审计软件虽然较多,但软件的用法上还存在大大小小的差异,如果只培训而不应用,随着时间的推移,培训过的知识将逐步被遗忘,这些都制约了企业内部审计信息化的发展。
3.计算机软硬件方面存在不足
目前,企业的会计信息化已经发展的比较完善,但内部审计方面还不能及时与会计信息化保持高度的适应性。内部审计软件的研究与开发仍然处在摸索阶段,存在功能简单,数据分析方法和风险管理不足,实时审计系统不健全等问题。通常情况下,只是一台计算机作为一个审计信息平台,不能实现审计信息资源的共享,从而造成在线审计很难得到实现。由于内部审计人员自身的素质不高和开发相关软件的投入资金不足,企业在开发符合实际工作的审计软件方面也遇到了难题。不少企业硬件配置精良,却没有合适的软件资源可用,使设备形同虚设。
二、企业内部审计信息化建设的几点建议
1.提高相关人员对审计信息化的认识
内部审计师应该改变传统观念,通过报纸,专业杂志,各种理论研讨等多种形式提高对信息化的认识。内部审计人员应意识到,如果不利用内部审计信息化,不将计算机与内部审计工作相结合,就会失去审计资格。审计信息化在于领导,如果企业领导高度重视,将信息化工作放在首位,充分了解目标和信息技术概念和内部审计方法的含义的必要性和紧迫性,不断学习,学习先进的管理理念提升自身的素质,重视对来自内部审计信息化建设的战略规划层面高度重视,并采取有效措施,要从战略规划的层面上高度重视信息化内部审计建设,采取有力的措施并投入一定的人力、物力和财力,对内部审计信息化建设过程中遇到的问题和困难及时解决。提倡灵活应用基本审计技术和方法的基础上,充分调动信息技术审计的积极性,主动性,专注于信息技术引入审计走高科技,以提高效率和促进建设和发展的内部审计信息。
2.注重内审人员专业素质培养
为了推动我国内部审计信息化的发展,必须加大信息技术内部审计人员的培训,内部审计部门,各级内审部门也应与实际相结合,开展灵活培训和有针对性的培训,根据信息知识的审计水平,开展多层次的培训,培养一批掌握信息技术和管理审计,具有信息化思维能力的审计人才。首先,高校会计和审计专业应把审计和计算机信息网络技术为必修课程,加强学生对信息技术知识的培训。其次,后续教育要有保障,保证后续教育时间,加大信息化技术培训的内容和力度。通过现有的在线审计监督平台,培训审计信息化人才,建设复合型骨干队伍,为审计信息化技术深化应用提供人才储备。
3.推进审计软件的开发和普及
要加强内部审计软件的研发力度,除了继续完善内部审计软件在信息处理、数据查询、资源共享等方面的功能外,还要在内部审计软件的智能化方面有所创新,如数据分析、问题判断和内部控制弊端等。我们要把业务创新和信息技术创新结合起来,要开发和使用优秀的内部审计软件。在保证电子证据安全性的前提下,未来的计算机审计要向分析型方向发展,各级内审机构要建成各类审计数据分析平台,积极开发和完善内部审计软件,创新软件技术,通过软件的可视化、自动化、协作化等方式确保审计的准确性和高效性,使计算机辅助内部审计工作更加智能化,从而大大提高内部审计工作的效率和质量,有效地控制和降低内部审计风险。
1引言
在宁夏电力公司系统全面学习和贯彻落实科学发展观的大背景下,审计工作如何结合本专业特点,坚持以人为本,树立全面、协调、可持续的发展观,以科学的精神,建立科学的审计管理体系,是实现电网企业审计工作再上新台阶的迫切需要,而审计信息化建设,无疑为实现电网企业审计质量的提高提供了有效的途径。
前国家审计署审计长李金华曾高瞻远瞩的指出,“审计信息化是一场革命,能不能在这场革命中掌握主动权,直接关系今后审计事业的发展”。国网公司的审计工作“十一五”规划中也将审计信息化工作作为今后—个时期审计工作的重点之一。可见公司系统审计信息系统的建设迫在眉睫,也至关重要。笔者就宁夏电力公司审计信息化建设的现状谈谈对审计信息化建设的—点浅见。
2宁夏电力公司系统审计信息化建设现状
目前公司系统审计信息化建设依托于国网SG186工程项目,由中电普华公司开发的一体化审计综合管理系统及用于现场审计工作的审计作业工具两大平台。一体化审计综合管理系统是国网公司总部审计管理横向集成、纵向贯通到网省公司、到地市公司的信息高速公路,主要管理国网公司系统审计决策、重点、计划、统计、日常事务等事项。在制度的约束下,大量审计工作在平台上运行,起到信息共享,规范审计流程,提高审计质量和效率,提高审计现代化水平的作用。审计作业工具通过对多种财务数据的采集,实现对财务数据多角度、全方位的分析,达到快速锁定审计方向、把握审计重点并形成完整审计项目资料(记录底稿、审计报告)的作用。通过系统的应用,审计部门领导可以通过软件,科学地进行审计计划的编制,评估审计项目;审计人员可以在统一的计算机系统内,利用软件的各项特定功能,建立一个关联的整体,满足了公司审计业务管理要求。软件通过不同审计项目搜集、分析、加工、筛选后得到的企业信息,按企业名称分类存放到审计软件的中心数据库中,审计人员可以方便地查询并获得被审单位各方面的详细资料,以提高工作效率。内部审计是企业控制制度的再控制,内部审计部门内控制度的完善与否,工作质量的好坏,直接影响到整个企业的管理成效。使用软件进行内部审计作业和管理,加强了企业对内审部门的工作规范化控制。审计管理者可以充分利用软件系统提供的功能权限的控制,对不同职能岗位上的人员的操作功能加以限制。结合目前的实际运行情况来看,系统运行情况良好,基本满足宁夏电力公司审计业务的信息化应用要求。审计作业工具基本达到100%的使用频次,但审计综合管理系统的登录频次偏低,对相关数据的分析和处理能力偏弱。这些都暴露出审计综合管理系统还有进一步改进和完善的地方。在督促厂家完善的同时,相关配套制度的建设和考核的实施,也是审计信息系统使用效果的有效保障。
3ERP实施对审计信息化建设的影响
宁夏电力公司ERP系统的全面上线,对审计信息化工作提出了更高的要求。ERP系统可以让审计人员快捷、深入地了解业务流程与控制体系,并在业务抽样、正确性复核等方面提高效率。如何有效的利用ERP数据、信息的高度集成,实现多样化的分析,审计穿透快速方便以及信息实时,在线监控能够实现等特点,与审计工作实现有效地对接,无疑是现阶段公司审计信息化建设的方向。笔者有幸对上海电力公司和浙江省电力公司的审计信息化建设情况进行了调研。浙江公司和上海公司的审计信息化建设成效显著。浙江公司审计部2002年起,分阶段、分模块地开发了审计信息系统,经过近4年的不断改进,在2006年就已经建立起了较完备的审计综合管理系统和集财务、工程、用电营销各种数据源接口软件为一体的审计信息系统。2008年浙江省电力公司用于审计信息系统建设的资金达到200万元。上海电力公司结合SAP系统实时在线业务审批和监控功能以及权限的设置和记录,为强化上海电力的内部控制提供了有效的手段,帮助上海电力规避内部营运风险,并且为内部审计提供了详实的数据和依据。这些好的经验无疑为公司审计信息系统的建设提供了学习和借鉴的榜样。
4信息化对企业内部控制的影响及其对策
在国网公司系统全面倡导内部审计转型的大背景下,积极开展以监督和评价内部控制体系运行的有效性为导向的管理审计成为内部审计工作的趋势。通过评价和改进财务会计控制、经营管理控制和信息系统控制的有效性,促进提高内部控制能力和水平,帮助组织实现目标。良好的内部控制体系是以完善的公司治理结构和先进的内部控制为基础,以准确的风险识别和完备监测评估体系为前提,以健全的内部控制制度和严密的控制措施为核心,以严格的审计监督和客观的评价体系为保障,以强大的信息系统和畅通的沟通渠道为支撑的诸多要素构成的一个有机整体。这就要求我们对内部控制实施审计的时候,不能仅仅局限于对各个个功能要素进行孤立的审计,而要站在全局和系统的高度,对各个要素之间的关联活动和相互作用的效果进行审计,要从总体上对内控能力进行动态、系统的审计评价。这样,只有依托信息化条件,审计人员才可以利用计算机决速、准确的特点,积极开展事前审计、事中审计和效益审计,扩大审计面,提高审计质量和效率,使得内控审计成为可能。因此,实现内部审计全面转型与发展,审计手段必须从手工操作向信息化、自动化转变。这是内部审计工作发展的内在需要,也是内部审计实现现代化的重要标志。
5内部审计技术发展与审计项目管理
5.1审计信息技术的发展阶段
信息化环境下,内部审计技术有了新的突破。笔者认为审计技术的发展分为三个阶段,从原来的手工对帐审计到现在的计算机辅助审计,最后应该发展到以审计项目管理信息化为核心的系统解决方案。
5.2审计项目管理的信息化建设
审计的信息化,也对审计管理提出了新的要求。信息化条件下的审计管理主要是利用审计项目管理软件,完成对审计项目的管理、对审计成果的管理、对审计人员绩效考核的管理等功能。从审计项目的立项到审计项目的实施再到审计项目的终结和归档,审计管理系统都可以进行全程跟踪,实时监控。对于审计成果,审计管理系统能够方便的进行存储、检索和维护。审计管理系统还可以对审计人员的工作量、审计项目完成的情况等进行考核。
5.3内部审计信息系统的作用
内部审计管理系统应当包括综合管理系统、作业辅助系统、决策分析系统、力公门户系统,各系统的怍用如下:
5.3.1综合管理系统
通过审计综合管理系统实现整个企业年度审计计划的申报与审批、审计文书档案的管理、业务台帐的统计汇总和基础报表的自动生成,并完成人力资源综合管理、审计任务的资源调配、审计人员履行职责的考评等。通过资源管理(法律法规库、审计专家库、审计案例库、审计对象库)基础数据资料支撑,为整个审计应用系统提供完整、有效的审计-基础佶息支持。在公司目前审计信息系统的建设中,现有的审计综合管理系统基本能满足以E需求。
5.3.2作业辅助系统
通过审计作业系统辅助一线审计人员完成审计项目,实施电子财务数据、业务数据的采集转换,运用丰富的各类审计工具完成审计抽样和数据分析,提高审计工作效率。标准化的审计程序引导与控制规范了审计作业过程,降低审计风险。层层归集的基础信息及统计台帐通过系统接口与审计综合管理信息系统无缝集成并实现现场审计作业数据与远程公司审计部之间的数据交互和共享。目前,在实际应用中,公司系统的审计现场作业仅限于对财务数据的转换和查询,与浙江、上海公司拥有的财务、工程、用电营销等较为完备的审计作业工具系统相比还有较大的差距。这也是公司系统审计信息化建设亟需解决的问题和发展的方向。
5.3.3决策分析系统
通过决策分析系统辅助领导全面掌握审计项目进展情况,监控审计项目的工作进度。提取审计管言息系统、审计作业系统的相关数据,提供有价值的汇总缬:计信息,为领导宏观决策分晚基础。以公司目前审计信息化建设现状必须要结合公司系统ERP上线,财务管控系统的实施,充分利用这些系统中的数据库资源,与审计信息系统有效地对接实现业务流程追踪、数据采集分析、系统配置审核等诸多功能,才能使公司目前的审计信息化进程得到质的飞跃。
5.3.4办公门户系统
三、内审工作的发晨对策
(一)找准定位,突出服务职能
找准定位,是高速公路经营 企业 内审工作 发展 的前提。《规定》将内审职能定位为保证和咨询两大服务职能,这就意味着新形势下内审部门作为企业管理的一个职能部门,目的是维护企业整体的合法利益实现企业 经济 活动最优化、经济效益最大化,而不仅仅是履行监督检查、查错纠弊职能。这就要求内审部门充分利用其熟谙企业经营管理诸环节的有利条件,以监督为手段.以服务为目的.为企业经营绩效的改善出谋划策。只有这样,内审工作也才有旺盛的生命力。
(二)明确地位.增强独立性
独立性是高速公路经营企业内部审计能否充分发挥作用的保障,而内部审计的独立程度依赖于企业的内部审计管理模式。从内部审计机构的隶属关系上看,高速公路经营企业内部审计管理模式有:隶属于财务部门.受财务经理或总 会计 师领导的模式;独立设置内审部门.受总经理、董事会或监事会领导的模式。WwW.133229.COM很显然.前一种模式的独立性较弱。为充分发挥内部审计的作用,内部审计机构的设置必须坚持两条原则:独立性和权威性。结合目前高速公路经营企业治理结构的实际.监事会领导的内部审计机构是比较理想的模式。
(三)拓宽审计范围.实现财务审计与效益审计并重
开展效益审计是高速公路经营企业有效发挥内审作用的关键。由传统的财务审计向管理、效益及企业可持续发展审计转变是 现代 内部审计发展的趋势。效益审计在加强企业内控基础管理、防范企业风险和为企业增加价值方面有着其他控制方法无法替代的作用。在审计方法上.效益审计变事后审计为事前、事中和事后审计相结合.能更好地为企业改善经营管理、提高经济效益服务。因此.目前要有计划有步骤地推行效益审计.实现财务审计与效益审计并重。同时重视环境保护、追求可持续发展已成为高速公路经营企业的共同使命和责任,由此而来的经济发展审计、资源审计和环境审计也将成为内部审计的主要内容,从而使内部审计为企业的可持续发展服务。
(四)加强自身建设.提高业务水平
稳定内部审计队伍.改善内审人员组成结构,提高内审人员综合素质,健全内审制度是高速公路经营企业有效发挥内审作用的基础。首先.要稳定内部审计队伍.限制随意抽调或挤占内审岗位的现象.适当增加人员编制.增强内审力量;其次.要改善内审人员的结构.由于内审范围的拓展,并向管理领域延伸.原来单一的人员结构已不适应内审工作的需要.需配备工程技术、企业管理 法律 及lt审计人才:再次.要实行内审人员从业准入制度.进入内审队伍必须具有相关专业知识和从业资格.同时.加强内审人员的培训和交流.一方面企业要为内审人员知识结构多元化发展提供条件;另一方面内审人员要增强使命感、紧迫感、危机感.以适应现代内审对从业人员素质的要求;最后。要健全内部审计制度.明确内部审计机构的设置模式.健全内部审计组织体系,建立内审人员岗位责任体系。
进入21世纪以来,我国电力企业经营管理涉及业务领域不断扩张,呈现出经营范围跨度大、营业场地分散、组织结构关系纵横交错等一系列特点,从而迫使电力企业必须借助于信息技术手段,利用计算机网络系统进行全过程信息化企业管理。所谓信息技术,是指“有关信息的收集、识别、提取、变换、存储、传递、处理、检索、检测、分析和利用等的技术。计算机技术与现代通信技术一起构成了信息技术的核心内容。”
内部审计部门作为电力企业综合性的经济监督部门,面对这种新的形势,必须适应经济社会信息化发展的要求,加快推进内部审计信息化建设,使内部审计作用真正有效发挥,并协助企业提高经济效益,增强竞争能力。为此,电力企业集团提出了建设国际一流电力公司审计的发展目标,并于2002年8月颁发了《关于建设国际一流电力公司审计的指导意见》(国电审[2002]568号)及《国际一流电力公司审计工作考核标准》、《中国一流电力公司审计考核标准细则》两个实施细则,用于指导内部审计实践。2007年10月17日,中国国电集团公司又印发了《中国国电集团公司内部控制审计标准(试行)》,该标准指出:电力企业内部控制审计是审计人员对企业内部控制的健全性、可靠性、有效性和效率性进行的测试与评价。审计主要内容包括:审查内部控制环境、审查风险管理、审查内部控制活动、审查获取信息及处理信息的能力、审查监督情况。这表明,电力企业相关内部审计制度和标准已经建立并逐渐完善起来了。
但令人遗憾的是,由于各方面的原因,目前信息技术手段在电力企业内部审计中的应用还存在一些问题和不足,从而影响了内部审计工作的成效。本文对中国南方电网公司贵州电网下属电力企业内部审计信息化的现状及存在的问题进行了一些探讨,并提出相关建议。
一、企业内部审计信息化的现状及存在的问题
贵州电网公司是中国南方电网有限责任公司的全资子公司,负责贵州电网的统一规划、建设、管理和调度。公司下辖电力销售、设计、施工、科研等23家单位,2008年公司完成售电量904.34亿千瓦时,主营业务收入349.5亿元,以电力为主的能源工业已成为贵州的第一支柱产业,带动了相关产业的发展,对贵州经济发展起到了突出的拉动作用。在信息化建设方面,早在2005年,贵州电网公司下属电力企业就引进了中普软件公司开发的中普审计管理平台,主要功能是进行财务审计。2009年,该软件进行了升级,审计内容扩展到电力营销审计。总之,近年来,电力企业的内部审计部门在机构设置、人员素质的提高、审计范围和内容的扩展以及审计手段与方法的创新等方面做出了很多有益的尝试与探索,从而使内部审计在改善电力企业经营管理和提高经济效益等方面发挥了一定的积极作用。2008年,公司获得“2005-2007年度全国内部审计先进单位”和“2005-2007年度贵州省内部审计先进单位”的荣誉称号。另据统计,2005-2007年公司审计系统共完成审计项目2919项,其中工程项目审计2244项,财务收支审计215项,资产经营责任审计153项,任期经济责任审计126项,预算审计104项,审计调查53项,效益审计、风险审计和内控审计等创新审计项目24项;共提出审计建议2673条,促进增收节支9075万元,查出会计信息失真金额53277万元。
但是,勿庸讳言,由于各种原因,目前信息技术手段在贵州电网公司电力企业内部审计中的应用还存在一些问题和不足,从而影响了内部审计工作的成效。
首先,当前电力企业的审计人员大都具有财务工作背景,通常拥有会计师、审计师、注册会计师、工程预算审计师等职称或注册证书,从事过一定年限的审计实务操作,或者在财务岗位工作过一定时间,对于从事传统财务审计、经营审计工作没有问题。但是,勿庸讳言,许多审计人员的电力专业及相关管理知识储备不足,导致不少企业的内部审计仅局限于企业财务会计方面的审查,很少触及电力经营管理的其他领域,从而使内部审计多属财务性质,使得内部审计工作实际上变成了财务会计的自审过程。此外,在国内财务系统计算机运用水平方面,内部审计人员也远远落后于财务人员,而且审计人员本身对财务软件不太熟悉,这不仅增加了审计难度,而且效率低,准确率差,影响了内部审计作用的发挥。
其次,内部审计机构占有的有效信息不足。一方面,随着电网建设规模的扩大,贵州电网公司的资产规模将翻番,因些无论从人员规模、营业规模,还是管理结构,都变得越来越庞大。目前,贵州电网公司拥有直属单位22个,并对全省88个县(市、区)供电(电力)局(公司)进行直管或代管。直属单位中既包括供电局,还有电力建设工程公司、电力设计研究院、电力物资供应分公司、贵州电力职业技术学院、贵州电力职工培训中心、贵州电力职工医院和贵龙饭店等众多经营实体。这些基层单位涉及众多不同行业,生产经营过程中需要采购众多不同类别的产品,审计人员难以准确判断所有原材料、劳务采购价格和产品、服务销售价格的公允性,审查难度较大。另一方面,目前内部审计信息的共享性差,其他部门使用的营销管理系统、财务系统、生产管理系统、人力资源系统、工程结算软件的运用还是相对独立的,没有与审计部门建立网络联结,未能实现数据共享和实时监控,不能及时、全面地收集经营信息和财务信息,审计信息也不能及时反馈。可以预见的是,今后随着贵州电网公司规模和管理跨度的进一步加大,内部审计机构占有有效信息不足的问题将更加突出。
二、内部审计工作中应用信息技术手段的几点建议
首先,应充实内部审计队伍,提高审计从业人员的信息技术素质。
无论计算机辅助审计技术如何先进,归根到底,电力企业的内部审计工作依然要依靠审计人员来执行,在内部审计工作中起决定作用的依然是审计人员。同时,内部审计信息化建设的发展必定对从业的审计人员提出更高的职业要求。要在信息化环境下更好地执行内部审计任务,审计人员除了要具备丰富的金融和审计知识与技能外,更应具备计算机、网络、信息系统等多方面的知识与技能。因此,内部审计部门应优化群体结构,选聘优秀的专业内部审计人员。建立审计人员计算机上岗考核制度,定期开展计算机审计经验交流活动,促使他们通过培训、考核、交流以及自学等途径掌握计算机的操作和应用等技能。
除了配备专职的内部审计人员外,还可聘用工程技术专家、计算机工程师等专业人员解决计算机审计中出现的困难。同时,让他们与审计人员相互学习,造就一大批既懂电力企业业务,又熟悉计算机操作的审计人员,以适应电力企业内部审计信息化的需要。
其次,应该通过各种信息技术手段,不断加强内部审计信息的收集工作,并形成信息共享机制。
基于信息技术的内部审计的特点是以审计单位和被审计对象的计算机联网系统为载体。审计人员可以实时调取被审计单位有关资料,收集审计有用信息,并对财务报告做出单独审计的过程,使审计结论更为可靠。前文已述,电力企业内部审计机构存在占有有效信息不足的问题。要从根本上解决这个问题,必须依靠信息网络技术,实现内部审计系统与经营业务系统和财务系统的有效联接,根据审计监督业务和审计管理需要,从企业内部各个信息源取得各类审计信息。利用计算机网络技术,审计人员还可以通过实时检测、检查各部门电子账数据存储、备份方式,检测数据文件形成的名称、位置、时间、大小和属性,防止人为删除、修改和重新输入数据等变化。审计人员还能注意到电子原始凭证数据形成时的合法、合理性,监测系统的运行是否正常,并抽取样本检查其是否真实完整。交易测试几乎可以与交易的处理过程同步,从而将传统审计的事后监督变为实时监督。
此外,通过不同途径收集而来的审计信息,严格地讲只是一些原始材料。必须对这些原始信息进行全面校验,剔除不准确的信息,同时压缩多余的信息,变模糊为清晰。通过审计信息加工,还能产生出新的、更有价值的信息,往往从中产生许多很有价值的结论。此外,内部审计部门应尽快建立审计法规政策和被审计对象信息库。建立被审计对象资料信息库,将被审计单位的有关数据以及审计报告、审计决定、整改落实情况等附加信息录入库内,并逐年更新完善,可以达到对审计对象实行动态管理,提高后续审计项目的工作效率。建立电力企业常用审计法规信息库,既能够使审计人员快速了解和掌握最新的法律法规和国家有关的方针政策,又可以对照审计所发现问题的违规依据,做到有理有据,使被审计单位心服口服,同时也可以增强审计报告的规范性和严肃性。
第三,应利用信息技术手段,强化内部审计信息的输出与反馈。
内部审计的目的,是前瞻性的发现风险,并对风险进行防范和控制。2002年,国际内部审计师协会颁布了《内部审计职业实务准则》,该准则将内部审计定义为:“内部审计是一项客观独立的保证和咨询活动,其目的是为实现价值增加并提高组织的经营效率。”这表明,除了传统的保证服务之外,企业内部审计部门还应就如何改善组织的风险管理和内部控制向企业管理层提供审计数据分析和咨询服务。
审计师运用数据分析技术,可以对海量的审计数据进行分析,从中发现审计线索,有针对性地执行审计程序。目前在国外,以交易类型数据分析为导向的审计数据分析技术已经得到了比较广泛的运用,数据分析技术被广泛地应用在审计的计划和风险评估、异常交易数据的查找和线索发现、舞弊现象的侦测、评估和检测内控的有效性以及探求业务流程的改进机会等各个方面。如奥地利政府财政部的审计师在对来自各业务平台上的海量税务和海关数据进行分析,在巨大的时间压力下,完成了对公司发货额和公司记录的销售额的全面审计,挽回了8500万欧元的损失,并改进了审计流程,以防止舞弊行为的再度发生。
因此,电力企业内部审计部门应充分利用信息技术手段,强化内部审计信息的输出与反馈功能,为企业管理层和其他部门提供服务,向信息共享、实时审计方向发展。审计工作要围绕电力企业生产经营活动中遇到的难点、热点问题,特别是在财务管理、营销管理过程的关键点和关键环节,围绕财务管理的内部控制制度的建立、实施、考核、评价和监督开展审计课题研究,与现有的“电力营销自动化系统”和“电费管理实用化系统”相结合,找出审计监督的关键控制点,将审计管理、财务管理、营销管理的职能进一步延伸,使运行系统和监督系统紧密联系,从而提升企业的整体管理水平。
总而言之,信息技术手段的发展与应用不仅为电力企业内部审计的自身发展提供了契机,而且有利于电力企业在市场竞争中处于优势地位。目前我们对信息化环境下电力企业内部审计工作的研究还是一个较新的领域,目前相关的理论研究和实际应用成果还不是很多。本文的研究是笔者在此领域的初步探索,难免存在缺点和不足,敬请同行和专家批评指正,并将在今后的研究中不断加以完善。
参考文献:
[1]赵妙如.lT环境下内部审计参与企业风险管理研究[D].云南财经大学硕士学位论文,2008:19.
[2]任志媛.增值型内部审计在电力企业中的应用研究[D].华北电力大学硕士学位论文,2007:16.
[3]资料来源:中国电力网.《中国国电集团公司内部控制审计标准(试行)》印发[EB/OL].省略/article/1108/art1108925.asp
[4]资料来源:贵州电网公司网站.公司简介[EB/OL].gz.省略/show.aspx?id=40001&cid=187
[5]资料来源:贵州电网公司. 贵州电网公司获全国内部审计先进单位奖[EB/OL]. gz.省略/show.aspx?id=44913&cid=176.
一、现代内部审计的涵义
来自国家内部审计协会(CIIA)《内部审计基本准则》的定义:“内部审计是组织内部的一种独立客观的监督和评价活动,它通过审计和评价经营活动及内部控制的适当性、合法性和效益性来促使目标的实现。”来自国家审计署《关于加强内部审计工作的规定》的定义:“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法效益的行为,以促进加强经济管理和实现经济目标。”来自国际内部审计师协会(IIA)《内部审计专业实务标准》的定义:“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过系统、规范的方法,评价并改善风险管理、控制和治理过程成的效果,帮助组织实现其目标。
该定义以帮助组织增加价值为目标,以关注组织风险为主线,以组织的风险管理、内部控制和组织治理为内部审计业务的三大领域。这表明内部审计的职能是站在组织整体利益的立场上,发挥增加组织价值和提高组织效率的作用。
二、现代内部审计的特点
现代企业的内部审计已经不仅仅是事后的传统意义上的财务审计,其职能也不仅仅是提供保证服务;而是向事中审计、事后审计发展,其职能更侧重于监督、评价和咨询。并且,高质量的企业内部审计总是把经营审计放在财务审计之上。
根据《内部审计专业实务标准》所体现的观点,“内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现其目标。”内部审计是管理审计,它具有以下几个特点:
1.内部审计是一种独立、客观的保证与咨询活动。
2.内部审计服务于企业整体价值的提高,具有增值作用。
3.内部审计遵循成本与效益原则。
4.内部审计的内容具有广泛性和全面性。
内部审计的内容涉及企业经营管理的方方面面,按业务内容可将其分为:经营审计、绩效审计、质量审计、合同审计、安全审计、保密审计、财务审计、IT信息系统审计、合规性审计、经济责任审计等。正是因为内部审计具有上述的广泛性和全面性的特点,所以内部审计人员作为一个集体应该具备开展审计业务所需的知识技能、逻辑思维能力、分析判断能力和其他能力;如果内部审计人缺乏从事工作所需要的知识或经验,可以通过职业培训、后续教育,或通过实践锻炼得以提升。
三、“十二五”审计发展规划提出的信息化要求
加大对国家信息化建设情况的审计力度,建立和完善电子审计体系;深入总结审计实践经验,创新审计方式和方法,不断探索符合我国发展实际的审计方式和方法。
以数字化为基础,创新计算机审计的形式和内容,总结推广数字化审计模式,探索形成适应信息化环境的审计方式。大力推进电子审计体系建设,努力提高审计工作的信息化水平,不断完善以审计业务信息化和审计管理数字化为主要内容的审计信息化系统。
提高审计业务信息化水平。完善并推广现场审计实施系统,积极开展信息系统审计;组织开展对重要单位的联网审计;积极探索统一组织项目、联网跟踪等审计组织方式。提高审计管理数字化水平,创新信息化环境下的审计管理方式。
整合审计资源,实现联互通、资源共享,促进审计业务协同,提升审计资源的配置效率。发挥内部审计与外部审计的协调的作用,统筹安排相关审计工。
四、信息化与审计人员应具备的新技能
信息化数据处理环境下,审计对象的经济业务运作方式、控制措施及作为审计线索和审计证据的财务、非财务数据,要求审计人员不仅要有审计方面的专业知识,还应具备信息化数据处理方面的知识。为适应信息化环境的需要,应当培养复合型审计人才。通常,现代审计人员应具备以下能力:
一是全面运用信息系统办公的能力。特别是能掌握应当掌握常用的财务软件,如:用友财务软件、金蝶财务软件等,打开被审计单位数据库;能把数据下载到审计人员的计算机,并转换成为审计人员可阅读的数据格式。
二是精通使用审计业务软件能力。审计人员应掌握通用软件或专用审计业务软件进行数据采集、数据处理、数据分析能力。
三是运用联网审计能力,审计人员应具备在审计现场搭建联网审计平台、实现资源共享和网络化审计、应用信息化手段对资金实现过程化的相对实时的监控能力,并能发现和排除常见的软件、硬件故障。
四是开展信息系统审计的能力。培养审计人员懂得信息系统审计程序、信息技术治理、系统和基础建设生命周期管理、IT服务支持、信息资产的保护、灾难恢复和业务持续能力。
信息化环境下,业务处理过程包括了人员手工处理、计算机系统处理、人与计算机进行交互处理,内部控制的重点变成了人及其处理的业务、人机交互处理过程、计算机系统业务处理过程和不同系统之间的传递过程,内部控制的重点和环节发生了很大变化。对信息系统的审计,应做到一般控制审查和应用控制审查相结合;只有对系统的内部控制实施审计,才能了解内部控制运行状况并确定后续实质性测试的重点和审计程序的范围。
五、新时期审计人员应具有的新意识或新观念
以公司科技项目、管理咨询项目研究为依托,建立系统设计前期研发机制。通过将ERP业务审计研究、智能分析审计体系研究、公司信息化环境下内部控制特性及其审计研究等项目列入公司科技项目、管理咨询项目计划,联合国际知名的审计软件开发商、公司系统信息化建设单位,深入研究审计信息系统开发、建设各方面问题,根据审计信息系统建设的最新发展,借鉴国内外优秀企业的领先实践,研究提出了ERP业务审计系统、智能连续审计系统(审计监控预警系统)开发建设的技术路线、系统架构与功能,为系统开发奠定基础。
2建立系统建设过程管控机制
得到各业务部门的大力支持,获取多部门业务数据,是推进审计系统建设的管理难点。为此,审计部门紧抓机遇,以公司开展的“数据共享与业务融合”专项治理活动为契机,将审计系统建设所需数据集成需求,纳入公司重点工作平台,大力推进与相关业务部门的沟通协调工作,获得各部门的充分理解和对数据提供的大力支持。在系统建设过程中,通过与公司信息化主管部门建立周、月例会机制,及时研究讨论系统开发建设中出现的问题,加强系统建设过程管控,提高系统建设质量;根据各单位的反馈意见和建设中出现的问题,组织业务骨干开展技术攻关,持续优化完善系统功能及其实现方式,提高系统易用性水平,为建成好用、实用、高效的审计信息系统提供有效的机制保障。
3建立系统应用情况考核机制
通过制度指导、强化考核、典型示范、知识普及,推动各单位积极应用信息系统开展审计工作,创新信息化环境下的审计工作方式。一是制定下发《关于加强审计信息系统深化应用工作的实施意见》,对各单位做好系统应用工作、健全系统运维体系、加强应用环境保障等方面提出具体要求;制定系统应用定期考核、量化评分机制,发文通报考核情况,不断缩短考核周期,持续加大考核力度。二是将信息化纳入审计工作管理对标的四项重点之一,引导所属各单位着力推进审计信息化,深入思考,及时提炼工作经验,通过典型经验的机制,共享先进经验,发挥示范引领作用。三是建立审计信息系统深化应用培训的常态机制,培训工作纳入每年年度工作计划,公司总部、分部、省公司(直属单位)各司其职,开展分层、分类培训,加强系统应用知识、管理制度的推广、宣贯力度。
4建立审计信息化理论研讨机制
组织各单位结合自身实际,认真总结、提炼审计信息化建设、应用方面的成功经验,分析存在的问题,并提出建设性的意见和建议,开展理论研讨,撰写工作论文;抽调部分单位的审计信息化骨干组成评审专家组,对各单位提交的论文进行评选,提出修改完善意见,遴选优秀论文报送中国内部审计协会参评内部审计理论研讨优秀论文,并在审计门户系统开辟专栏共享研究成果,在公司系统培育学、用信息系统的良好氛围。
二、实施效果
1构建了体系完整的审计信息化体系
审计门户系统、审计综合管理系统、ERP业务审计系统、管控业务审计系统的相继建设应用,初步搭建起审计信息化平台,基本实现审计管理和审计作业的信息化。审计门户已成为审计人员应用系统,以及公司各单位交流审计工作信息、共享审计工作经验的重要平台;审计综合管理系统以项目管理为核心,实现了审计项目从计划到项目终结的全生命周期闭环管理,促进了审计管理的信息化;ERP业务审计系统、管控业务审计系统实现了审计业务对财务、工程、物资、设备、人力资源、营销管理等电网企业主要业务的全面覆盖,彻底改变了传统计算机辅助审计仅限于财务领域的状况,标志着审计信息系统与各主要业务应用系统的紧密融合,通过信息共享和互联,改变“信息孤岛”状况,初步实现了“信息共享,全程控制,在线监督,辅助分析”的审计信息化建设目标。
2促进了审计部门履职能力的提高
审计系统功能设计体现的是经过凝练的专家经验,能够为审计人员提供高效率的辅助分析工具。通过对最直接、最有效、最核心的审计专家经验知识进行归纳、提炼,所建立的一系列审计分析模型,为审计人员提供了标准化、高效率的审计方法和工具,全面提升了内部审计在提供专业咨询、鉴证意见和增值服务方面的职能。审计人员应用系统探索开展非现场审计,在充分发挥信息系统应有效能的同时,利用审计监督视野广的优势,通过对跨业务数据进行整合分析,及时为公司相关决策提供信息支持,高效提升了审计工作价值。
随着经济的飞速发展,信息技术在农村商业银行的广泛应用,传统的审计理念和技术手段受到了强力的冲击和影响,审计人员面临“不掌握计算机技术将失去审计资格”的尴尬局面。国家审计署审计长刘家义曾在全国审计工作座谈会上指出“不发展信息化就要被时代所抛弃,不发展信息化就难以肩负法律赋予的光荣使命,不发展信息化审计事业就没有出路”。无纸化办公、网上银行等的广泛应用,如何利用审计信息化加强内部控制和风险防范将面临新的挑战。
一、农村商业银行内部审计信息化的重要性
(一)审计信息化是强化审计监督的客观要求,是当今世界发展的大趋势。内部审计机构必须顺应社会经济信息化的客观要求,熟练运用先进的信息技术进行审计监督,更好地履行审计监督职责显得尤为重要。
(二)内部审计信息化是实现内部审计事业跨越式发展的必由之路。加强内部审计信息化建设,必须坚持创新,调整审计思路,转变审计理念,推进审计工作由传统审计向现代审计转轨。
二、农村商业银行内部审计信息化的现状
(一)审计工作效率较低。
现阶段已从繁琐的手工翻阅传票,大海捞针式的查找问题,到用SQL SERVER语句对数据库进行分析,查找风险数据,但SQL SERVER语句对不精通计算机的审计人员不知从何下手。信息化的今天,当前的审计方法已远远不能满足发展的需要,为走出困境,上级部门与中介机构联合开发出计算机辅助审计系统,操作人员只要会简单的计算机就能操作该系统。对新开发的计算机辅助审计系统导出的风险数据进行分析、核对,发现导出的风险数据准确率较低,该系统流程设计存在缺陷,未有效、充分发挥其优势。
(二)领导不够重视审计信息化的运用。
领导认为已按照上级部门要求使用计算机辅助审计系统,任务已完成,至于这个系统是否真的适用,是否真的可以实时预警防范内部风险等,后续问题就没有再继续跟进;这个审计系统经审计部一年来的运行、取数、核对,结果发现准确率很低,浪费了审计人员大量的时间和精力,目前这个审计系统基本成为“花瓶”摆设。
(三)审计队伍建设不完善。
一是审计人员业务素质跟不上时代的步伐,未及时学习新知识、更新审计方法;二是审计人员从事审计时间不长,经验不足。三是内审人员配备结构较单一,会计专业仍然占据主要部分,内部审计缺乏既精通计算机,又善于运用会计、信贷、管理业务的复合型人才。
我部现有专职内审人员九人,其中从事内部审计工作3年以下4人,3-5年5人;学历为大专及以下2人,本科以上7人;专业为:经济学、电子信息工程、软件工程、货币银行学各1人,会计学5人;中级职称8人,1人无职称。详见图1、图2。
三、农村商业银行内部审计信息化的对策
(一)向计算机审计的广度和深度探索内部审计的信息化工程。
随着审计队伍的不断壮大,领导对审计的期望值不断加大,希望审计部门实时监控内部风险,防止违规行为的发生,客观上要求审计部门必须向计算机审计的广度和深度探索,整合审计资源,提升审计人员专业胜任能力。建立数据分析团队,实时、动态监测分析相关数据,将不合规行为抹杀在萌芽状态。努力构建“事前防范、事中监控、事后评价”的审计防范系统,做到内部审计工作无“死角”。充分发挥计算机辅助审计“导航灯”作用,克服盲目性。运用现代信息技术手段,逐步实现内部风险防范从“人控”到“机控”的转变。
(二)审计信息化提升审计效率。
一是从计算机辅助审计系统导出的违规数据去排查、核对,直观、快速地发现“嫌疑数据”,有效选择重点审计领域,全面提高审计效率和质量。二是充分发挥计算机辅助审计系统处理数据的优势,改进农村商业银行内部审计手段和方法,规范审计流程,准确评估所辖网点风险,以现代信息科技理念深入诠释审计业务流程和管理方式,实时对经营业务进行监督,及时发现异常情况并报警提示,有效提高风险管理水平和风险监控能力,从而防范和化解金融风险。
(三)不断提高内审人员的专业素质和水平。
审计人员必须时刻给自己充电,不断学习各种新知识,不断提高审计业务水平。优化内审人员专业结构,配备或培养一批具有计算机和审计专业技能的复合型人才队伍,人才培养是审计信息化建设的最终核心。建立健全审计人员准入标准,对在一定时间内达不到标准要求的,调离审计岗位,让审计人员有岗位竞争压力,带着紧迫感和主动性去学习。推行审计实务导师制,充分发挥审计人员和核心骨干的引领示范作用。
(四)完善计算机辅助审计系统分析模型。
计算机辅助审计系统打破了事后的、静态的模式,彰显“鹰眼”功能,及时有效的进行风险排查,从而做到“早识别、早监控、早预警、早化解”,充分发挥了内部审计的“免疫系统”功能。计算机辅助审计系统让普通审计人员轻松完成数据采集工作,大大提高了审计效率;不断完善计算机辅助审计系统分析模型,目前该系统已有近300个分析模型,进一步提升分析模型准确度、数据分析结果适用性和业务风险覆盖面。
(五)深化推进审计成果转化。
及时将审计项目提交REPOS审计档案系统,审计资源共享,促进审计人员业务水平互相提高。每月召开审计工作例会,交流审计情况,总结经验;充分发挥内部审计“一查二纠三促进”的作用,建立健全权力运行制约和监督体系,创新审计模式。梳理计算机辅助审计系统导出数据审计发现的违规问题归纳提炼,编制审计案例、审计问题库和审计整改台账,促进各项业务规范和问题整改落实。
中图分类号:F239.45 文献标识码:A 文章编号:1004-5937(2016)01-0118-04
一、高校教育经费支出绩效审计的研究背景
高校教育经费支出绩效审计是指对高校教育经费支出的经济性、效率性和效果性进行综合分析与评价,以促进学校管理者优化配置资源、提高绩效,从而建设资源节约型高校。我国的财政管理改革已进入以支出管理改革为重点的阶段,高校教育经费支出作为公共财政支出的一个重要部分,一直是社会各界关注的重点和热点。因此,对高校教育经费支出开展绩效审计,对高校教育经费支出的经济性、效率性、效果性进行监督和审计,无论是对高等教育事业经费支出的管理改革还是审计事业的发展,都是一条不可或缺的必由之路。
高校教育经费绩效审计的审计主体可分为内部审计部门和政府审计部门,目前我国学术界对高校绩效审计的研究多数是以政府审计部门为出发点,探讨政府对高校的绩效审计,但是仍未形成完善的制度规范和统一的指标体系,高校的政府绩效审计处于初步建设时期,开展还需一段时间。
2015年3月24日,《教育部关于加强直属高等学校内部审计工作的意见》(教财〔2015〕2号)(以下简称《意见》)正式颁布实施,《意见》明确提出“内部审计是规范权力运行的重要手段,是强化过程监管的重要方式,是提高资源绩效的重要保障。”高校内部审计作为政府审计的延伸,在高校绩效审计中具有主动性,是推进高校绩效审计的动力与保障。因此本文选取内部审计部门作为审计主体,以内部审计部门为研究视角对高校教育经费支出的绩效审计进行研究。
二、高校教育经费支出绩效审计的必要性
(一)理论基础
1.公共产品理论
高等教育是非义务教育,既不是消费上具有完全竞争性和排他性的私人产品,也不是在消费上完全不具有竞争性和排他性的公共产品,它兼有私人产品和公共产品的成分,属于准公共产品。高等教育的准公共产品性质,决定了高等教育经费投入由政府、学生和社会共同承担,同时不可避免地引入了成本效益观念,而高校教育经费支出的绩效审计满足了利益相关者对经费支出效果的需要。
2.委托理论
委托理论认为,财产所有权和财产经营权分离后,一方面委托人希望人能诚实、公允地履行受托经济责任,不仅要实现财产的保全,还要实现财产的增值;另一方面,人也有义务向委托人说明受托经济责任的具体履行过程和结果。政府对高校投入资金,委托高校负责人对投入资金进行有效管理,从而为社会最大效率地提供公共服务,输出优秀人才;校企合作方、银校合作方等委托方投入或借出资金,希望高校为其盈利;学生缴纳学费,希望能接受到良好的教育。为保障受托经济责任的全面履行,满足众多利益相关者的信息需求,产生了绩效审计的要求。
(二)现实意义
1.绩效审计是高校厉行节约的重要保障
目前,高校教育经费支出结构不合理,存在不同程度的浪费,如设备仪器的采购与管理不善,重复购置;基建修缮项目没有长远规划,重复拆建;参加或举办没有意义的会议与活动,铺张浪费。这些不仅容易滋生高校腐败,还会影响高校的长远发展。当前的高校内部审计侧重于财务收支的总量审计,缺乏对经费支出的经济性、效率性、效果性的评价。高校教育经费的某项支出不超预算,并不代表这项资金的使用效率高,这项资金的支出不一定达到了预期效果,因此这笔资金即使不超预算,也是低效的支出,甚至是浪费的不合理支出。因此对高校教育经费支出进行绩效审计,对支出的绩效进行评价,可以保障经费支出的合理性与节约性,提高经费使用效益。
2.绩效审计是高校内部审计纵深发展的必然走向
20世纪90年代以来,绩效审计以其独特的优越性成为西方国家审计的主流方向(安杰等,2010)。在我国,高校虽然一般都设置了独立的审计部门,对经济责任、财政收支、基建修缮、科研经费等方面进行审计与监督,且取得了一定的成绩,但内部审计的职能作用却没有充分发挥,大部分高校内部审计的重点局限于财务预决算以及日常收支活动的准确性、差异性,却很少考虑学校教育经费支出的经济性、效益性、效果性,因此我国高校内部审计的创新和发展显得尤为重要与迫切。2014年1月1日,新修订的《中国内部审计准则》正式实施。新准则将内部审计定义为“一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。”内部审计的目的与绩效审计的内容相统一,因此引入绩效审计不仅是高校内部审计的创新方向,更是内部审计纵深发展的必然走向。
三、高校教育经费支出绩效审计的主要内容
(一)高校教育经费支出的经济性审计
经济性审计是指审计高校教育经费支出是否以最低费用获取一定质量的资源,审计高校教育经费支出是否节约以及支出结构是否合理。经济性审计是高校教育经费支出绩效审计的主要内容之一,高校内部审计人员应按照厉行节约以及经费优化配置的方针进行经济性审计,主要有以下两个方面的审计:
1.经费支出的节约性审计
审计在保证资源数量和质量的情况下,资源的购买成本是否有压缩空间,是否达到最低;审计资源的购买与获取是否严格执行预算,有无挤占挪用资金;审计是否严格执行了政府采购政策。
2.经费支出结构的合理性审计
科学合理地配置和使用教育经费,最大限度地提高资金的使用效益,是高等学校经费管理的一个重要目标。经济性审计的另一个重点就是审计经费的支出结构是否合理,是否最大限度地为教学、科研服务。
(二)高校教育经费支出的效率性审计
效率性强调的是成果与支出的比例关系,追求比例的最大化。对于高校教育经费支出来说,效率性审计是指在一定条件下,为取得同等的教育成果,高校教育资源的消耗程度,即审计是否以最小的资源投入获得一定量的成果;审计购入的资源是否优化配置,有无资源闲置与浪费。效率性审计是高校教育经费支出绩效审计的关键,是连接经济性审计与效果性审计的桥梁。效率性审计主要包括三个方面:
1.人力资源的效率性审计
高校教育经费支出获取教师、行政人员等各种人力资源,其中教师资源是核心,关系到学校的教学质量以及发展潜力,因此人力资源的效率性审计的重点是审查教师的人数与知识结构是否合理。
2.物力资源的效率性审计
物力资源的效率性审计主要是审计房屋、设备、图书等物力资源的利用效率,审计物力资源是否优化配置,有无闲置浪费。
3.财力资源的效率性审计
财力资源的效率性审计主要是审计高校教育经费在人才培养和发展科研两方面的支出效率性。
(三)高校教育经费支出的效果性审计
效果性审计是审计教育经费支出后所实现的实际效果和预期效果之间的关系,即是否达到预期目标。效果性审计可分为两个方面的审计:
1.人才培养效果性审计
我国高校的主要职能之一就是人才培养,是否培养出适合社会需要的人才是评价教育经费支出效果的重要内容。
2.科学研究效果性审计
高校的另一职能是科学研究,即通过科学研究不断输出新知识,促进社会发展。科学研究效果性审计主要是审计高校科研成果的数量和质量。
四、高校教育经费支出绩效审计指标体系
绩效审计本身是一个多指标综合性的审计模式,涉及到从资源的购买、使用到产出的全过程审计,因此一套科学实用、清晰可比的高校教育经费绩效审计指标是绩效审计的关键。本文基于内部审计的视角,初步探索了高校教育经费支出绩效审计的指标体系,见表1。
各审计指标的具体描述如下:
(一)经济性审计
1.实际支出与预算支出比例=(实际支出/预算支出)×100%
该指标越大,说明教育经费支出的经济性越差;该指标值大于1时,实际支出超预算,经费使用可能存在浪费。
2.本年实际支出增加比例=(实际支出-上年支出)/上年支出×100%
该指标值大于0,说明本年支出大于上年支出,指标值越大,超出上年支出越多;指标值小于0时,本年支出较上年支出节约。
3.教学支出比例=(教学支出/总支出)×100%
该指标反映了教学经费的使用情况,该指标值保持较高才是合理的支出结构。
4.三公经费支出比例=(三公经费/公用经费)×100%
三公经费包括出国(境)费、车辆购置及运行费、公务接待费,是应该严格控制的支出,该指标应维持在较低值。
5.设备购置支出比例=(设备购置支出/公用经费)×100%
设备购置支出比例包括可分别计算教学设备购置比例和行政设备购置比例,并进行对比分析。教育经费的支出重点应该是教学,教学设备在满足师生需要的同时还要及时优化更新,因此教学设备购置支出应该远大于行政设备购置支出。
6.人员经费比例=(人员经费/总支出)×100%
人员经费包括在教职工工资、福利、补贴等,人员经费比例越高,公用经费必然少,不利于教学活动的开展,因此该指标值应维持在较低水平。
(二)效率性审计
1.学生教师比例=(学生人数/教师人数)×100%
该指标值高,表明高校教师资源利用效率高。但是不能过高,生师比太高说明学校师资力量严重不足,影响学校办学质量。根据《普通高等学校基本办学条件指标(试行)》(教发〔2004〕2号)文件的规定,符合基本办学条件的生师比不能超过18:1。
2.教师人均工作量=全校教学工作量/教师人数
该指标反映了教师资源的利用效率,指标越高,效率越高。该指标不能过高,过多的工作量不仅影响教学质量,也会挤占教师的科研时间。
3.专业教师占全体教职工比例=(专业教师人数/全体教职工人数)×100%
专业教师在培养人才和科学研究中发挥重要作用。该指标值高,说明人力资源利用效率高;该指标值低,说明存在机构臃肿、人浮于事的现象,可以精简非教学人员,提高教育经费使用效率。
4.高层次人才占专业教师比例=(高层次人才数/专业教师人数)×100%
高层次人才是指根据学校学科专业建设与发展需要,面向国内外引进的高级专业技术职务、高学历的教师。该指标越大,说明师资力量越好,教学和科研发展的实力越强,人力资源效率越高。
5.房屋利用率=(实际使用的房屋面积/可使用的房屋面积)×100%
房屋包括高校的教室、图书馆、实验室、宿舍楼、运动馆等,该指标高,说明房屋资源利用率高,反之说明基建项目缺乏合理规划,导致资源闲置与浪费,效率低下。
6.设备更新率=(当年更新的设备数/当年购入的设备数)×100%
该指标低,说明当年购入的设备未能及时投入使用,造成这样的原因主要是设备重复购置或者设备更新不及时。这一方面导致了资源的闲置,另一方面学生未享用到优质资源,物力资源效率低下。
7.设备使用率=(设备实际使用小时数/该设备可充分使用小时数)×100%
该指标反映设备使用效率,值越高说明设备使用越充分。
8.图书借阅率=(图书借阅量/图书总数)×100%
图书资源是学习知识和发展科研的重要资源,该指标反映了师生对图书的利用率,指标值越高说明该项教育经费支出的效率性越高。
9.科研成果数与科研支出比=科研成果数/科研支出
科研成果包括发表的论文、出版的图书、获取的专利。该指标反映了科研经费的利用效率,指标越高效率越高。
10.学生人数与总支出比=学生人数/总支出
该指标反映单位经费支出所能负担的学生数量,该指标值越高说明经费的使用效率越高。
(三)效果性审计
1.学生毕业率=(毕业人数/学生总数)×100%
学生必须满足一定的条件才能毕业,该指标反映了高校培养的合格大学生的比例。
2.毕业生就业率=(就业人数/毕业生人数)×100%
该指标反映了高校培养的学生质量满足社会需求的程度。指标值越高,表明高校培养的人才素质越高,教育经费的支出效果好。
3.学生人均获奖数=获奖数/学生人数
包括国家级或地方级举办的知识竞赛、体育竞赛、实践竞赛等各类获奖数,该指标反映了学生的综合素质,比例越高效果越好。
4.教师人均论文数=数/教师人数
该指标反映了教师的学术研究能力,指标值越高,表明高校教师科学研究获得成果越多。
5.核心期刊论文比例=(核心期刊论文数/总数)×100%
该指标反映了高水平的科研成果数,指标值越高,说明教师科研能力越强。
6.教师人均科研专利数=科研专利数/教师人数
该指标反映了教师科研成果的创新性和实用性,指标值越高,经费支出的效果性越好。
7.教师人均出版教材数=出版图书数/教师人数
图书出版包括教材、理论研究、文学作品等的出版,反映了教师知识结构的系统化和完整化,指标值越高,科研效果越好。
五、加强高校内部审计部门建设,推进高校教育经费的绩效审计
(一)加强内部审计部门的独立性
内部审计是一种独立、客观的确认和咨询活动,而在高校管理体制以及传统观念的影响下,学校领导和教职工对内部审计的认识局限于过去的监督职能,忽略了内部审计的确认和咨询功能,内部审计在高校的独立性受到制约,不利于绩效审计的顺利开展。《意见》中明确提出“充分保障内部审计机构独立性。应设置独立内部审计部门,足额配备专职审计人员。要保障内部审计部门依法审计、依法查处问题、依法公告审计结果,不受其他机构和个人的干涉。对拒不接受审计监督,阻挠、干扰和不配合审计工作,或威胁、恐吓、报复审计人员的,要依规查处。”因此,独立性是内部审计部门的根基与核心,加强内部审计的独立性是推进绩效审计的根本保障。
(二)加强内部审计的信息化建设
高校教育经费支出绩效审计是对高校教育经费支出的全过程及其所产生的效果进行审计与评估,审计范围更加广泛,审计业务的性质更加复杂,这不仅加大了审计的工作量,而且要创新审计方法,如果仅依靠传统的审计方法,绩效审计工作很难开展,其优越性也无法体现。目前,高校数字化校园的建设实施,使信息化建设深入影响到校园内各类用户和管理部门,高校会计信息化的发展更是快速。但是,内部审计的信息化建设却不甚理想,一部分高校自行开发了简单的计算机辅助审计软件,一部分高校仅是利用Excel表进行审计,高校内部审计作为审计主体,却无法跟上审计对象的信息化步伐,严重制约了内部审计的职能发挥。因此,加强内部审计的信息化建设,提高内部审计的水平,不仅是绩效审计的需求,更是内部审计事业发展的需求。
(三)加强内部审计人员的多元化建设
高校教育经费支出绩效审计与传统内部审计相比,具有综合性、多样性和灵活性的特点,要顺利开展绩效审计,必须创新审计方法,加强内部审计的信息化建设,但是仅靠硬件设备的投入是不够的,还需要加强审计人员队伍的多元化建设。审计人员是绩效审计的主要推动力和实施者,具备一支由经济、管理、法律、建设工程、信息系统等专业背景和专业资格的人员组成的审计队伍是高校实施绩效审计的人才保障。
【参考文献】
[1] 安杰,国效宁,徐铭禧.我国高校绩效审计:现状、意义与建议[J].会计之友,2010(10):92-94.
[2] 张建林,刘韩婷.浅析高校科研经费绩效审计[J].河北企业,2013(1):63.
审计是客观评价个人,组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息,还提供了一个可内控的评估系统。审计的目标是表达人、组织、系统等的评估意见,审计人员在测试环境中进行评估工作。审计必须出示合理并基本无误的报表,通常是利用统计抽样来完成。审计也是用来考察和防止虚假数据及欺骗行为,检查、考证目标的完整性、准确性,以及检查目标是否符合既定的标准、尺度和其它审计准则。实现审计的信息化,有利于管理层迅速准确的做出决定,对于政企业发展、社会经济的进步都具有重要作用。目前,我国的审计工作尚存在性质认定模糊、工作范围过于狭窄等问题,有待进一步加强和改进。
审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。
一、审计工作的现状及存在的问题
随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。
(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向的作用。
(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。
二、信息化审计体系的健全
当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。
信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。 转贴于 三、主机系统安全审计
信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。
主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。
四、待解决的若干问题
计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。
保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。
防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。VPN可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防DDos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。
从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。
参考文献: