企业内部审计信息化平台建设与风险防控探讨
发布时间:2019/11/12 10:36:13


  

风控摘要:信息化的快速发展推动了各行业的深刻变革,工作形式不断创新、工作效率不断提高。企业内部审计在信息化大环境中,信息化内部审计优势越来越明显,传统的审计方法和审计模式正经历着前所未有的变革。通过内部与外部信息的互通共享,可以有效整合资源,变被动为主动,提升内部审计效率和质量。本文从传统内部审计工作的局限出发,探讨信息化内部审计的优势及信息化内部审计管理平台的建设,并分析信息化内部审计的风险与防控措施,为企业现代化内部审计提出合理建议。

 

引言

内部审计是企业内控工作的重要环节。随着企业不断发展,职能和制度不断完善,内部审计发挥的作用也愈加明显。由于内部审计的客观性和独立性,以及其系统规范的工作模式,可以整合并分析企业的业务和财务数据,对企业面临的经营风险、财务风险、管理风险等进行有效判断和评估,提前防控,从而为企业安全运营提供有效的指导与保障。对于企业来说,在大数据时代紧跟信息化步伐,促进内部审计改革创新意义重大,是企业现代化发展的必然选择。

 

传统内部审计工作的局限

传统的内部审计以查问题为主,更加注重财务风险,发现问题并提出建议,规避财务及程序风险。然而,传统的审计方法和流程在效率和覆盖度等方面越来越与企业的快速发展不相适应。

一是审计方法较为传统,审计效率不高。传统的内部审计依赖于审计人员的专业知识和业务能力,因此掌握的信息不够全面,缺乏对称信息及数据的获取,且审计数据多是经过人为处理,数据的完整性及原始性难以保证。而且,依赖于内部审计人员的审计范围不够全面,只能锁定某一类特定内容,难以做到总体把握和延伸审计。

二是审计流程不够规范,审计结果差异较大。传统的内部审计过程中,人为根据审计内容编制计划,总体上存在不规范,差异性较大,系统性较差的现象,因此审计结果差异性较大。

三是审计质量管理不完善,审计成果不能及时复核和追溯,而且对同类审计内容由于审计工作者的差异导致质量不能保证一致。由于审计数据及资料存档难度较大,导致审计成果复核的难度较大,不能突出复核重点。利用台账复核机制促进审计成果转化为动态掌握审计项目质量及整改的目标难以达到。因此,传统的内部审计方法与企业现代化发展速度愈加不相适应,其工作思路及内部审计管理均需随着现代化与信息化革新。

 

内部审计信息化的优势及平台建设

(一)内部审计信息化的优势

信息化是当前的主流发展趋势,借助计算机、网络和大数据,更好地整合各类信息,保证各种类型数据库信息的完整性。而且,多数据源可以保证多种关系型和非关系型数据库实现交互,审计数据可以通过交互进行导入、查询、分析、抽样等,确保内部审计的数据支撑充分并可以实现延伸审计。通过数据共享解决传统的内部审计工作所不能达到的效率,由被动变为主动,保证内部审计的质量。信息化内部审计最终要达到的目标一是通过丰富的计算机线上审计方式,全面提升审计效率二是通过审计内容、流程的标准化,规范审计人员的审计过程,提升审计专业水平,从而降低审计风险三是通过审计成果的复核流程确保审计成果的正确性和真实性。

同时,内部审计可以通过信息化平台或系统,着重提取重点业务信息,明确内部审计工作的重点和方向。而且可以利用企业管理数据库平台,实现内部审计业务延伸,发现在传统审计模式下无法深入检查的问题,从而提升审计广度和深度。

 

(二)内部审计信息化管理平台的建设

随着时代信息化及企业发展的现代化,内部审计更加注重运营风险,因此内部审计必须具有综合的内部控制和风险评估作用,以结果为导向,全面保障内部审计计划的执行,保障企业的运行。信息化内部审计管理平台是内部审计信息化的主要平台支撑,通过信息化内部审计管理平台,内部审计的业务模式可以实现有计划的管理和追溯。

一是审计计划可以做到多层级管理,便于审计任务合理分解并及时汇总,促进审计工作有序开展;

二是内部审计信息成果来源于企业运营数据及外部对比数据,可以实现企业运营风险等维度的审计分析;

三是通过整合协同办公平台和移动办公端,实现审计整改模块与协同办公平台、移动办公端的集成部署,提高审计效率。

综上所述,信息化内部审计管理平台可以通过审计计划管理、审计过程管理、审计整改管理,达到传统审计所达不到的高效与全面。那么,建立完善的内部审计信息化管理平台将势在必行。内部审计信息化管理平台的建设需要硬件和软件的共同支撑。硬件方面,计算机、互联网等已能够满足平台建设的基本需要。软件方面,企业可整合协同办公平台与项目管理系统,搭建内部审计信息化管理平台,内部与外部数据共享,高效获取审计信息成果。通过审计成果分析,全面反映审计风险,为审计计划的完善、审计重点的调整提供数据支撑。并利用审计成果提供决策分析,高效完成审计整改跟踪,实现审计问题的闭环管理,达到信息化内部审计的目标。

不仅如此,内部审计信息化管理平台可以根据实际情况嵌入风险控制模块,通过设置主要风险因素、风险权重、风险预警值,实现风险控制。例如对于工程建设类企业,主要面临财务风险、生产经营风险、管理风险、市场更显等,通过数据分析为各类风险设定预警值能够有效判断风险程度,审计部门能够及时提出风险化解的建议。


内部审计信息化的风险与防控

(一)内部审计信息化的主要风险

由于内部审计信息化具有特殊的技术要求,内部审计在信息化过程中存在着环境风险、主体风险和客体风险等诸多方面的风险。企业内部审计机构或内部审计人员在实施内部审计过程中,因信息收集有误或其他原因导致出具审计结论不恰当或不合理,造成被审计单位蒙受损失,且与被审计单位相关的其它方面也将遭受损失或利益损害,这将引起审计主体承担审计风险。

对于所有依赖于计算机及网络的信息化系统均存在一定的风险,如存在被黑客或病毒攻击的风险、存在因网络或系统不稳定导致信息传递不畅通的风险、存在因物理或非物理因素造成数据丢失、错乱等风险。同时,由于计算机系统应用程序出错或被人非法篡改,计算机只会按给定的程序以同样错误的方式处理有关的信息,错误的结果将产生连环反应,审计人员很难保证信息的安全性、完整性及准确性,审计客体风险也就随之产生。尽管信息化的应用可以节省大量人力统计信息与数据,但仍不乏人为失误造成的信息误差或错误,毕竟信息化管理平台的实际操作者仍是内部审计工作人员,即所谓的信息本身风险仍然存在。同时,由于信息传播范围变大,易造成企业关键信息泄密等,这也给审计信息化带来一定的风险。信息化内部审计的环境风险主要是传统的审计标准、准则及审计重点有了重大变化,审计线索、审计内容及审计技术也发生一系列的变化,传统的审计标准和审计准则很多已不再适用,需要针对信息化内部审计建立一系列与新形势相适应的审计标准与准则,相关合理的、可量化的评价体系亟需建立。

 

(二)内部审计信息化的风险防控

1、硬件保障

硬件是内部审计信息化管理平台建设的基础。平台建设主要是建立稳定可行的内部审计信息化管理平台,具有适应企业内部审计需要的各种功能模块,如审计计划管理模块、审计过程监督模块、审计成果管理模块、审计整改追踪模块、风险评估模块等。同时建立能够稳定运行的内部网络与外部网络,从而实现企业信息的互通共享,为内部审计提供强有力的数据支撑。

2、制度保障

现阶段来看,许多企业硬件设备较先进,但内部审计信息化管理平台建设仍未完善,或者信息化管理平台已创建,但由于相应的制度建设未同步,导致执行不到位。例如有些企业已采用信息化手段进行内部审计,但缺少信息化条件下的内部审计操作规程及相应的制度标准,给内部审计的执行带来困难。因此,企业在建设内部审计信息化管理平台的同时应建立一套完善的保障制度,确保企业内部审计计划顺利执行,并实现审计成果的科学管理与后期追溯。

首先应建立一套完善的企业组织架构,作为企业发展的关键组成部分,完善的组织架构可以促进企业开展科学管理、实施控制活动、促进信息沟通、强化内部监督,从而有效防范和化解各种内部与外部风险。

其次是建立一套完善的内部管控机制,合理、科学地分解各机构、各部门的工作职能,明确各个岗位的职责和工作要求等,并约定各个岗位的工作权限及相互制约关系,促进企业各项工作有章可循,实现科学管理。同时,通过有效的管理制度,做到信息全面、真实,传递及时,以便为调整审计重点、完善审计计划提供依据。而且,企业应建立健全内部审计管理制度,根据企业实际情况,制定科学合理的内部审计工作计划及促进内部审计计划的合理执行的保证机制,实现内部审计工作的法制化、制度化、规范化,确保内部审计在发挥有效作用。

3、人员保障

提高内部审计工作者的综合素质与业务能力可以充分发掘内部审计信息化的应用潜力,发挥内部审计信息化的最大价值。因此,培养锻炼一支高素质的内部审计队伍是提高内部审计成效的关键。

首先应加强对内部审计工作者的信息安全培训,数字化、信息化背景下的企业信息安全受到巨大挑战,内部审计工作者应提高认识,提高保护企业信息安全意识,并采取相应措施保证企业信息安全,在运用信息化平台查询、调取相关审计数据时,建立有效的网络系统屏障。

其次应提高内部审计工作者的业务能力,面对传统内部审计向信息化内部审计的变革,需要内部审计工作者快速适应工作方法及工作模式的转变,不断在实践中总结,在过程中优化,从而完善信息化内部审计工作流程。而且,内部审计工作者应充分利用信息化的优势,根据企业发展制定合理有效的内部审计计划,落实责任,并辅之以行之有效的执行保证措施,实现审计成果的科学管理与追溯,使内部审计工作真正做到完整闭环。

 

总 结

信息化技术的发展为传统内部审计带来了一次深刻变革,大大提高了审计效率与审计质量。与传统内部审计相比,信息化内部审计的应用不仅能够提高审计效率,而且能够标准化审计流程,专业化审计成果,并且便于审计成果的复核与追溯。通过前期规划、过程实施和复核流程实现内部审计事前有标准、事中有执行、事后有评价、持续有改进的全过程信息化管理,将内部审计和风险防控等内审业务推向全新高度,为企业有效规避风险、实现高效运营提供助力。



作者: 杭州西湖城市建设投资集团有限公司 赵坤 王碧涵

转自公众号:杭州西湖审计




中普云集