试论国有企业财务信息系统审计,本文主要内容关键词为:信息系统论文,企业财务论文,试论论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着计算机技术和网络技术的迅猛发展,企业高度依赖于信息系统来提高效率、改进服务、加强管理,从而提高劳动生产率。会计电算化、电子商务(EC)、管理信息系统(MIS)、企业资源计划(ERP)的逐步实施与普及应用,企业也面临前所未有的信息风险,信息系统的安全、可靠、效率和功能完善比以往任何时候都更加重要。基于信息系统的重要性及IT挑战,产生了对信息系统进行控制和审计的需求,即信息系统内部控制和信息系统审计ISA。我国大中型国有企业近年来开始实行会计核算集中管理,各种财务信息系统应运而生,国有企业二级单位不再编制会计报表,只进行日常会计凭证处理工作,所有的经济业务都是通过财务网络完成。企业审计如何适应这一管理模式,本文拟从近几年国有企业开展财务信息系统审计的情况,分析财务信息系统审计的特点,总结存在的问题及审计对策。
图 信息系统内部控制实施的9个阶段
一、财务信息系统审计的运行方式
实行财务信息系统审计,为了确保信息系统审计数据的真实、可靠,就必须要有一个良好的信息系统审计环境,包括建立一个良好的内部控制环境和信息系统的安全环境,这就要求我们要逐步从两个方面扩展传统财务收支审计的内涵,一是在信息系统审计中评价被审计单位内部控制建设和执行情况,既要检查执行流程和规章制度情况,更要从完善制度、制度设计的有效性上着眼,从治本上下工夫,减少低级、重复的错误。二是要定期对处理财务数据的信息系统进行审计,确保系统的安全和可靠。
财务信息系统内部控制的实施是信息技术管理来实现的,CobiT框架是信息技术管理的通用标准,具有通用性、一般性。在运用CobiT框架来控制企业信息化时,要根据企业的实际情况把它个性化和具体化。
表1 CobiT对COSO的映射表及CobiT的高层次控制目标汇总表
(1)企业通过CobiT的成熟度模型,必须了解自己信息化管理和控制所处的状态,了解自身的薄弱环节,使得企业具有信息化管理和控制的概念。
(2)企业在应用CobiT框架时,要根据企业的战略目标来确定企业信息化的准则,了解需要投入的IT资源、可以达到的IT目标,以及每个IT流程的运转情况。
(3)企业应以CobiT的34个IT处理过程为模版,结合企业的业务流程和信息系统的具体情况,建立基于企业特殊要求的IT流程,然后提出每个IT流程的控制目标,并将其细化到任务活动的控制目标,使得每一个IT活动都有具体的控制标准。
(4)信息系统审计是CobiT框架的一个部分,是对企业信息化控制的一个不可忽略的环节。IT审计人员应根据企业信息化的具体情况,以CobiT框架的审计指南为蓝本,对信息化的成果进行审计。
如左下图所示,信息系统内部控制的实施通常由9个阶段构成:1、计划和范围;2、执行风险评估;3、识别重要的控制:4、文件化控制;5、评价控制设计;6、评价运营效力;7、识别并改进不足;8、文件化过程和结果;9、建立持续性。其中,步骤2和步骤3是实施内部控制的重要环节。通过步骤2,对特定的风险区域及IT风险进行风险评估,识别与信息系统相关联的风险以及相关的IT资源;通过步骤3,对系统所涉及的域、过程、活动进行信息系统的应用控制及一般性控制的识别。
在实施过程中,应充分利用高层次控制目标汇总表(表1)。组织管理人员可以清楚看到,在信息系统生命周期各阶段的各项工作中,各项IT标准的重要性和对哪些资源应实施控制。信息系统管理和控制人员可方便地通过分析CobiT的控制目标汇总表,了解和掌握每个IT过程中最重要和相对重要的控制目标,并根据这些应达到的控制目标,设置适当的控制程序对有关的IT资源实施控制。
实行财务信息系统审计后,所有的经济业务都实时地反映在财务信息系统上,加之国有企业上市后,外部监管较严,违规违纪问题呈逐年下降的趋势,借鉴内控体系测试相关抽样原则,对经济业务实行抽审,审计人员可以随时查看被审计单位的经济业务处理情况,现场审计时间比过去减少一半,既抓住了重点,又提高了审计效率。
(一)更加注重财务管理的过程控制
传统的财务收支审计由于是事后审计,实施审计时间也就是现场审计时间,而信息系统审计下,随时都处于审计状态,审计情况如何,存在什么问题、问题是如何落实的,都需要留下审计的痕迹,因此,在具体审计工作中,要求审计人员做好样本审查的记录工作,包括可能存在问题、测试步骤、落实情况,及时形成信息系统审计工作备忘录。
(二)财务收支审计的组织方式实现创新
传统财务收支审计下,由于时间紧、任务重,对一个单位的财务收支审计是由审计小组成员共同完成的,而在信息系统审计下,审计人员可以随时上网对被审计单位财务收支情况进行审查,在连续审计状态下,一名审计人员有足够的时间对一个单位进行信息系统审计,但为了保证信息系统审计质量,提高信息系统审计的客观性,对一个单位的信息系统审计至少应有三人控制,以减少重大漏审和错审现象。
(三)变事后审计为审计关口前移
传统财务收支审计一般是定期(如季度或半年)对被审计单位财务收支的真实性、合法性和合规性进行审计,往往是经济业务已经发生,违规违纪已为既成事实,属事后监督。实行财务信息系统审计,改变了事后审计的模式,审计人员随时上网监控各单位的财务收支情况,对于审计中发现的重要问题,及时通知被审计单位,以避免损失的扩大,实现了事中审计、跟踪控制,随时发现问题、解决问题。
二、财务信息系统审计中存在的问题
目前由于信息系统审计本身的局限性,国有企业信息系统审计尚处在摸索和试点之中,所以信息系统审计过程中还存在一些值得关注和需要进一步完善的问题:
(一)财务信息系统审计存在质量控制问题
财务信息系统审计存在的质量控制问题是客观存在的,具体表现为:一是信息系统审计不直接涉及具体业务人员、原始凭证等,审计人员的职业判断受到较大限制。二是信息系统审计模式下,传统审计中的一些常用方法,如询问法,观察法、盘点法在信息系统审计中不适用,不能核实被审计单位的账实相符情况,如对固定资产、存货和货币资金的清查盘点等。三是受信息系统审计资料的限制,不能对被审计单位的内部控制运行情况进行测试和评价。
(二)财务信息系统审计的风险问题
财务信息系统审计的风险问题多种多样,这些风险主要表现在:一是由于信息系统审计工作量大、加之现阶段网上不能查阅原始单据,信息收集不对称,在经济业务审查过程中存在漏审和错审的风险;二是实行信息系统审计后每一笔经济业务都实时地反映在财务信息系统上,作为过程控制,审计人员必须及时查看相关经济业务的真实性、合法性和合规性,但目前受审计资源的限制,如果审计人员因各种原因不能及时上网审查被审计单位的经济业务,及时发现问题并处理相关问题,存在审计滞后的风险;三是实行信息系统审计后,被审计单位的全部经济业务都实时的传输到了审计人员的电脑终端,如果加密措施不到位,一些别有用心的人会利用网络黑客,窃取被审计单位的机密资料,存在经济业务泄密的风险。四是目前国家和行业对财务信息系统审计还没有出台正式的规范和办法,信息系统审计的法律依据、相关审计规范还不健全,存在审计越位的风险。
(三)财务信息系统审计存在技术问题
目前财务信息系统审计的技术问题突出表现在审计信息系统和计算机辅助审计技术与财务信息系统相比发展滞后,如目前中油推广的审计信息系统尚处在试运行阶段,对如何与财务信息系统接口,如何将财务信息系统的资料转入审计系统,如何开展财务信息系统审计都没有明确;适应财务信息系统审计的需要,还没有一个比较成熟的计算机辅助审计软件,信息系统审计还是主要以手工审计为主,审计工作量大,而且不好对比分析和综合利用信息系统审计积累的各类信息。
(四)审计人员思想观念和业务技能不完全适应信息系统审计
当前,信息系统审计理论研究尚不全面深入,实践也处于摸索阶段,存在着低估或夸大信息系统审计作用的错误认识,有些人认为实行财务信息系统审计后,审计人员可以足不出户,包打天下,不借鉴传统财务收支审计好的办法和经验,不注重审计现场的访谈和核实;不研究财务信息系统审计如何与内控审计的结合。有些人思想观念陈旧,没有审计创新精神,不愿意接受信息系统审计的新技术和新方法,还是停留在过去财务收支事后审计的模式上,没有发挥出信息系统审计的优势。而且审计人员专业素质还不能满足信息系统审计的需要,表现在审计人员的计算机应用水平有待进一步提高;审计人员的审计技巧和职业判断能力有待进一步提高;审计人员的责任心还有待加强。
三、解决财务信息系统审计中存在问题的相关对策
当前,财务信息系统审计是国有企业审计方式的创新,是审计方式信息化的重要体现,它有着传统财务审计不可比拟的优势,并且产生了巨大的经济效益,尽管如此,财务信息系统审计理论研究尚不全面深入,实践也处于摸索阶段,还有许多不完善的地方,需要我们的实践加以总结和完善。
(一)加强财务信息系统审计质量控制
加强财务信息系统审计质量控制,审计部门应当做到以下几点:一是要注重信息系统审计的过程控制。信息系统审计的最大优势就是变过去的事后审计为事前、事中审计,要充分发挥这一优势就要加大信息系统审计的过程控制,主要作好以下几方面的工作:作好信息系统审计年度计划和方案,事先确定好年度信息系统审计重点单位、信息系统审计的内容、范围、审计时间、审计方式、审计人员安排等。针对现阶段原始单据网上无法查阅的问题,日常通过电话、传真、送达原始单据等方式及时或定期取证,努力提高样本查证及时率;作好信息系统审计日志,记录信息系统审计实施过程。二是要信息系统审计要与现场审计相结合,克服信息系统审计本身的局限,结合财务信息系统审计情况,要定期对被审计单位进行现场审计。主要是核实信息系统审计过程中发现的需要进一步落实的问题和信息系统审计无法解决的问题,如资产的清查盘点等工作;同时,对被审计单位的内控制度的设计和执行情况进行评价,确保信息系统审计在可控的状态下进行。
(二)规避财务信息系统审计风险
要规避财务信息系统审计风险,要做到三点:一是要全方位的开展信息系统审计,规避审计风险。在具体的信息系统审计过程中,既要连续的对网上数据进行审计和监控,也要定期到审计现场,深入核实经济业务的真实性、完整性和合规性,并定期对货币资金、存货、固定资产等实物进行清查盘点;既要对联网数据进行审计,也要对联网系统进行审计,鉴于目前国有企业对财务信息系统内控测试已形成制度化,日常信息系统审计以对联网数据审计为主;既要审查财务数据的真实性和合规性,也要评价内控系统的有效性。通过连续的、全方位的信息系统审计,努力降低审计风险,提高审计质量。二是要进一步完善网络审计相关制度。建立健全网络审计法规是保障网络审计正常发展的关键性措施,也是规避审计风险的法律依据。建议尽早出台网络审计规范,使审计部门在开展网络审计工作时有章可循。如信息系统审计通知书、信息系统审计结果的下发方式和下发时点;对电子证据、电子签名、电子合同、电子货币等网络经济工具的合法性及其使用规定等,都需要相关的审计规定加以明确,使得网络审计工作有法可依。三是要建立健全财务信息系统审计审理机制和考核机制。对一个单位的信息系统审计实行多人控制的原则,即在分配审计任务时,对一个单位的审计不仅要确定主审,还要确定助审,建立信息系统审计审理制度,不断减少漏审、错审的风险。同时审计部门要定期对信息系统审计执行情况进行检查,定期考核信息系统审计的质量、审计及时率,减少审计滞后的风险。
(三)解决财务信息系统审计技术的问题
将信息系统审计系统与审计管理系统有机结合,充分利用审计信息平台和计算机辅助审计技术,通过计算机辅助系统对海量的网络财务数据和业务数据进行检索、查询、追踪、转化、抽取、比较、归类、合并、统计、打印和编制工作底稿,完成审计报告。对被审计单位的异常经济业务,通过网络进行预警提示,从规避、减少公司经营风险上入手,为公司战略决策和经济发展服务。同时,充分发挥网络审计的优势,对信息系统审计获取的多年度、多单位财务信息进行综合利用,为管理层提供有用的审计信息。
(四)转变审计观念,提高人员素质
要转变审计观念,提高人员素质,首先要树立审计人员区别于传统审计的法制意识、风险意识和责任意识,既不能过分夸大信息系统审计的作用,完全割裂与传统财务收支审计的关系,也不能不思进取,完全依赖传统的财务收支审计方式方法;其次,网络知识更新换代异常迅速,审计人员要定期接受相关业务培训和在职教育,更新自身知识结构,不断提高审计技能和水平。
标签:cobit论文; 审计软件论文; 审计计划论文; 审计质量论文; 企业经济论文; 财务系统论文; 审计方法论文; 经济风险论文; 审计准则论文; 审计目标论文; 审计流程论文; 审计职业论文; 内部控制论文; it审计论文;