信息化环境下内部审计发展战略研究,本文主要内容关键词为:内部审计论文,环境论文,发展战略研究论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、信息化产生的影响分析
(一)信息化对企业的影响
1、信息成为企业制胜的因素。随着社会信息化程度越来越高,信息成为维持企业经济活动的基础性资源,一个企业生存与发展在一定程度上取决于对信息的掌控和管理。而企业对信息的管理不仅取决于信息技术的先进性,更取决于信息化管理水平。
2、信息化使企业面临的风险加剧。随着信息化进程的加快,企业信息系统安全问题所导致的风险日益增长,信息风险继传统的经营风险和财务风险之后,成为影响企业安全的又一重要风险。
3、信息化对企业管理模式产生重大影响。主要表现为:(1)从垂直管理到水平管理。传统上的多级垂直管理模式源于上级对信息的更多占有和掌握,随着知识和信息资源的基础化,使得水平管理成为可能,企业组织结构朝着扁平化发展。(2)从刚性管理到柔性管理。信息化的发展使人在企业中的作用日益突出,管理者更注重人的因素,管理更趋于人性化、柔性化。(3)从直接管理到远程管理。网络化的普及、信息传递技术的发展,使得远程管理成为可能。(4)从分头管理到交互管理。信息的融合使传统的管理环节和部门的界限模糊化,使得传统的分片、分头管理演变为综合的、互动的管理方式。
(二)信息化对内部审计的影响
1、审计风险增加。信息化所带来的审计风险主要源于五个方面:(1)网络的开放性。网络的开放性和包括会计信息在内的信息资源的共享性,导致企业会计资料被非法修改和窃取的可能性增加,企业经营的安全性受到影响,内部审计环境的稳定性较差。(2)传统控制方式的改变。企业信息数据的集中性,使得传统意义上的内部控制的有效性受到挑战,内部审计的难度加大。(3)外部对信息系统安全的威胁。计算机病毒和网络黑客危害着企业信息系统的安全,安全控制超过了企业内部范畴,内部审计的可控性受到威胁。(4)传统财务信息介质的消失。信息化条件下,传统的账簿被磁介质所取代,这些磁介质上所存储的资料不能为肉眼直接识别,修改不留痕迹,从而增加了内部审计的检查风险。(5)传统审计证据的缺失。由于数据处理过程的自动化,一些传统的审计线索消失了,审计证据的隐蔽性和易逝性加剧了审计风险。
2、审计管理方式变化。审计管理方式的改变主要表现为:(1)审计技术的更新。传统审计技术正逐渐被计算机辅助审计等日益更新的信息技术所取代。(2)审计方法的优化。信息技术在信息存储、传递方面的优势,推动了审计分析技术、审计抽样技术等科学方法在审计领域的深入、广泛使用,审计方法不断优化。(3)审计程序的改变。信息技术的支持使得内部审计可以摆脱传统审计模式的束缚,审计阶段的界限模糊,或交叉进行或同步完成。(4)审计重点的转变。审计重点从传统的查错纠弊向更高层次的风险管理、增值服务方面转变。(5)审计方式的创新。网络技术使审计人员可以随时随地开展联网审计,使远程审计成为可能;管理信息化使审计人员可以进行事前、事中控制及全过程监控;审计方式也不断实现创新。
二、信息化环境下内部审计分析
(一)劣势分析
1、法规标准缺位。国际信息系统审计与控制协会(ISACA)与IT治理研究所一起研究提出了IT治理的开放性标准——信息系统和技术控制目标(COBIT),但我国还缺乏与国内企业实际情况相适应的IT治理标准。公司治理结构的不完善和IT治理标准的缺失,成为信息化环境下内部审计发展的障碍。
2、人力资源不足。我国内部审计部门设立之初,主要以查账为主,大部分内部审计人员的专业背景为财务会计。信息化环境对内部审计人员素质提出了新的、更高的要求,审计人员的现有素质状况与要求之间的差距约束内部审计的发展。
3、信息资源缺乏。在信息化时代,信息资源成为最重要的基础资源之一,对一个企业如此,对一个部门也是这样。目前,信息资源已经成为内部审计发展的约束性资源。在企业的信息管理实务中,包括财务部门在内的业务部门常以信息安全为由,将内部审计排除在相关信息资源之外,许多企业的内部审计部门未能与相关业务部门建立网络连接,不能及时、全面地获取业务、财务信息,无法充分利用信息化优势,从而增加了审计成本,限制了审计效果,审计实施、审计评价工作受到影响。
(二)机遇分析
1、审计质量和审计效率得到提高。一方面,信息化在内部审计中的应用使内部审计人员可以从传统的账项核对等繁琐的审计工作中解脱出来,将更多的精力放在为企业防范经营风险和信息风险提供支持、为企业提高经济效益提供高附加值的服务,从而提升内部审计的层次;另一方面,审计技术的更新、审计方法的优化、审计方式的创新,直接推动着传统审计向科学化、现代化方向的转变,审计人员利用先进的审计方法和信息化所带来的数据支持,将大量的数据瞬间进行分析、判断,得出审计结论,提高了审计工作的效率和效果。
2、审计职能得到拓展。内部审计和IT治理为公司治理结构的组成部分,有一个共同特性,即在履行公司治理保障职能方面的覆盖性。内部审计的领域延伸到企业管理、公司治理的各个方面、各个环节、各个层次;而IT治理随着信息技术在生产和管理领域的全面渗透,也在不断地拓展其影响的广度和深度,信息化可以成为内部审计实施职能拓展的有效工具。另外,企业信息化直接为内部审计开拓了一片新的业务领域,内部审计的覆盖面由传统的审计业务扩大到信息化系统、系统的设计与开发、IT治理等方面,审计范围实现了较大拓展。
(三)挑战分析
1、外部机构的威胁。20世纪90年代以来,内部审计外部化在西方越来越普遍,在美国企业界,实行内部审计外部化的企业已占到20%以上。在我国,内部审计外委的现象也较为普遍,内部审计部门在充分利用社会审计开展工作的同时,在一定程度上也为自己引入了竞争对手。此外,随着信息化技术的普遍应用,专业的IT机构利用其在技术方面的优势,也在积极争取审计外包业务,尤其是信息系统审计外包业务。如果内部审计不能应对来自社会审计和IT机构的威胁,内部审计的职能范围不但不能实现扩充,还有可能面临被蚕食的局面。
2、信息技术本身的挑战。一方面,信息技术的高速发展、信息知识更新速度的加快,在考量着审计人员技能、知识的更新速度和内部审计的创新能力、应变能力;另一方面,信息技术的脆弱性给企业安全带来的威胁,使内部审计在企业风险管理方面的职能发挥受到考验。信息技术在为内部审计带来发展机遇的同时,信息技术本身也构成了对内部审计的严峻挑战。
三、信息化环境下内部审计的发展战略
(一)信息化环境下建立内部审计发展战略的必要性
为了研究信息化环境下内部审计的发展战略,在此引入西方学者McFarlan的研究模型(McFarlan Grid),根据信息系统对当前和未来组织战略影响的程度进行分析。
McFarlan研究模型将信息系统对组织战略的影响分为四类:(1)在对于当前和未来影响程度都比较低的情况下,IT所起的是支持和辅助作用。(2)在对于当前影响程度高而未来影响较小的情况下,IT起到基础性作用。(3)在对于当前和未来影响程度均较高的情况下,IT起到战略性的作用。(4)在对于当前影响小而未来影响大的情况下,IT则起到转折性的作用。根据该模型来分析内部审计的发展战略,传统的内部审计受IT的影响程度较低,而信息化环境下内部审计受IT的影响较大,在McFarlan的研究模型中,内部审计的战略发展处于转折(Turnround)的关键时期。
信息化的快速性和不可逆性、影响的深刻性和广泛性决定了信息技术对内部审计带来挑战的空前性、巨大性和持续性。当前内部审计正处于发展的转折点,只有树立起战略的观念,从战略的高度确立内部审计的发展方向,才能避免信息化给内部审计带来的不利影响,促进内部审计的可持续发展。
(二)信息化环境下内部审计的战略发展定位
1、信息化环境下的内部审计不仅是计算机辅助审计。信息化对内部审计的影响,首先是计算机辅助审计技术(CAATs),包括通用审计软件、实用工具软件、测试数据、跟踪和映射应用系统等许多类型的工具和技术,可运用在不同的审计过程中。例如,对事物细节的测试、分析性的评审、渗透测试、对信息系统一般控制的符合性测试、对信息系统应用控制的符合性测试等。然而,CAATs仅仅是实施信息技术审计的手段,并非审计信息化的全部,与信息系统审计是不同的两个概念。
2、信息化环境下的内部审计不仅是信息系统审计。ISACA对信息系统审计的定义是一个获取并评价证据,以判断计算机系统能否保证资产的安全、数据的完整及有效利用组织的资源并有效地实现组织目标的过程;日本通产省对信息系统审计的定义是为了信息系统的安全性、可靠性与有效性……对以计算机为核心的信息系统进行综合的检查与评价,……提出问题与建议的一连串活动。二者对信息系统的定义基本接近,都强调审计的评价功能,注重信息系统的安全性和有效性。可见,信息系统审计是对企业整个信息系统的审计,是信息化环境下内部审计的工作内容之一;信息系统审计和计算机辅助审计技术都是审计信息化的重要组成部分,但二者都不能涵盖信息化环境下内部审计的内涵。
3、信息化环境下的内部审计要充分考虑信息化的影响。英国审计署在上世纪90年代成立了专门的审计小组从事信息系统审计的探索和实践,信息系统审计和传统的审计业务并行。经过一段时间的实践发现,信息系统审计和传统的审计业务在审计目标上难以达成一致,甚至存在冲突。他们逐渐形成一种看法,即信息系统审计是一种技能,信息系统审计不能脱离传统审计目标单独存在,同时,得出一个结论,即整个审计工作都需要信息技术的支持,信息系统审计与财务审计的目标是一致的,应是财务审计的一个组成部分。对于英国审计署关于信息系统审计不能独立存在的结论是否合理暂不去考究,但英国审计署的实践至少证明了一点,即传统的审计业务将受到信息化的极大影响,内部审计已经无法脱离信息技术而孤立存在。在信息化的环境下要想实现内部审计的战略发展,必须摆脱传统的工作思路,从各方面、多角度充分考虑和评估信息化所带来的影响,调整工作重点和方向,优化审计工作程序和方法,整合内部审计资源,准确地进行内部审计的战略定位,拓展内部审计的发展空间。
(三)信息化环境下内部审计发展战略的动态性
信息技术的飞速发展和信息量的加速扩充使企业的信息化、内部审计的信息化呈现出强烈的动态性。信息治理的过程特征决定了信息治理不是某一时点的静止的状态,而是一个持续的、不断变化的过程。在这样的情形下,内部审计战略必然要呈现相应的动态性,才能确保其生命力。
1、根据信息化的不同发展阶段选择适宜的内部审计发展战略。在近几十年里,信息技术经历了三个发展阶段:数据处理阶段,计算机代替工作人员处理账务,数据库管理系统(DBMS)和信息管理系统(MIS)被广泛应用;微处理器阶段,个人计算机普及;网络时代,微机应用从单机向相互连接快速发展。相应的,企业信息化也经历了三个阶段:第一阶段,企业内部的信息工作流程相分离,制造、财务、工程等各自独立;第二阶段,企业结构呈网状、扁平化,企业信息化进入集成商务时代;第三阶段,即网络化时代,完全借助互联网来完成协同式商务。以国家电网公司为例,正在开展的国家电网公司信息化建设工程(SG186工程),即一体化平台、八大应用、六个保障体系,通过一体化平台整合各工作区域的信息资源,进一步促进管理的现代化和信息化。从企业信息化的阶段看,国家电网公司正从企业信息化的第一阶段向第二、第三阶段迈进。在这样一个关键的发展阶段,内部审计部门充分认识到信息化对内部审计的重要作用,抓住机遇,率先开始了SG186工程中审计信息化的开发工作;同时,发挥内部审计在整个信息化建设工程中的服务和监督作用,确保国家电网公司整个信息化目标的实现,也是内部审计部门的工作重点之一。
2、根据企业信息系统建设的不同阶段确定内部审计工作重点和方向。IT审计应围绕信息系统的全过程展开,通过参与信息系统的全过程,最大限度地提高信息系统的安全性、可靠性和有效性。在系统开发阶段,IT审计应包括系统规划审计、系统分析审计、系统设计审计、测试审计、试运行审计等方面;在系统运行维护阶段,IT审计包括系统输入审计、处理过程审计、数据库审计、系统输出审计和运行管理审计等方面。以国家电网公司的SG186工程为例,该工程正处于系统规划设计阶段,在这个阶段审计部门应充分关注系统是否符合成本效益原则,系统目标是否和公司战略目标一致,系统的规划是否有助于合理分配资源,节约投资成本;对原有信息系统是否进行了有效分析,对需求的分析是否充分;系统设计能否达到预定目标,能否满足需求;促进系统在组织创新和管理创新、形成管理合力方面及提高组织及员工的工作效率和质量方面的积极作用,从而增强公司核心竞争力。
(四)确保内部审计发展战略实现的关键因素分析
1、信息资源。适时掌握信息资源并管理好信息资源,利用信息资源和信息技术,打破传统内部审计所面临的时间障碍、地理障碍、成本障碍及部门间的结构障碍,是信息化环境下内部审计需解决的首要问题。据对乌克兰审计院的考察得知,该院联网审计工作取得的成效直接受益于信息化对审计工作所提供的信息和数据支持。围绕信息资源的获取,首先,通过立法程序规定被审计单位定期通过网络报送电子数据。其次,通过制定、发布数据交换(接口)标准,规范了被审计单位报送数据的格式。在此基础上,利用通用的数据分析软件和定制的查询软件,对被审计单位的电子数据进行审计处理。信息化环境下的内部审计,首先,须保障信息资源供给,比如,为了开展信息化审计,应在系统设计阶段就要求计算机信息系统留出审计接口,以便取得被审计系统的信息数据,进行有关的审计处理。其次,信息资源的管理也很重要,比如,在审计过程中,要判断信息数据的有用性和可用性,以得到干净、有用、正确的数据,避免信息超载给审计工作带来的负面影响。
2、人力资源。在信息化的环境下,人力资源的重要性已成为共识,提高现有审计人员的IT知识和技能水平,是内部审计所面临的紧迫任务。英国审计署十分重视对员工的IT技能培训,通过教室授课、网络互动教育和网络互动授课等多种方式提供培训服务。为推进信息系统审计工作,英国审计署制订了发展CISA(国际注册信息系统审计师)的战略计划,动员审计人员广泛参与CISA计划,获得CISA职业资格,并对取得该资格者提供经费支持和奖励政策,力争实现10%的审计人员具有CISA资格。另外,根据一项调查,美国的162个公司IT审计人员的设置情况如表1:
由国外机构和企业的经验可以看出,树立人才发展的战略目标、建立人才培训机制、保持合理的人员结构是解决人力资源不足的有效途径。在当前IT审计人才欠缺的情况下,借鉴国外的经验,通过现代化的人才引进机制引进IT审计人员,通过有效的培训机制对现有审计人员进行IT知识的培训,建立审计人才发展战略,是实现信息化环境下内部审计发展的保障。
3、管理机制。信息化环境下的审计管理机制,除了要健全审计组织机构、完善相应审计规章制度之外,对审计信息系统的合理构建至关重要。英国审计署对审计信息化的定位是借助网络技术将分散在不同地方的机构和人员进行整合;建立灵活快速的信息环境,使审计人员及时得到数据、技术、经验方面的支持;审计人员借助信息平台可以获取IT审计支持和数据分析支持,尽快切入审计项目;借助交互式信息技术,为审计人员和英国审计署之间提供动态的、交互式的服务等。准确、全面的定位和有效的管理机制为英国审计署工作的开展起到有力的支撑作用。
标签:内部审计论文; 大数据论文; 审计软件论文; 审计计划论文; 审计质量论文; 信息技术的发展论文; 数据与信息论文; 信息化规划论文; 信息化管理论文; 会计与审计论文; 审计目标论文; 审计方法论文; 管理审计论文; 过程管理论文; 信息系统规划论文; 信息化时代论文; 工作管理论文; 信息发展论文; it审计论文; it治理论文;