信息化環(huán)境下內部審計技術方法研究

1、<p>　　信息化環(huán)境下內部審計技術方法研究</p><p>　　【摘 要】 企業(yè)信息化發(fā)展促使內部審計變革其技術方法。文章從探討信息技術風險及其評估出發(fā)，分析信息化環(huán)境下內部審計常見技術方法的分類，并進一步分析了并行審計、持續(xù)審計等新型內部審計技術與模式，從而構建信息化環(huán)境下的現(xiàn)代內部審計技術方法體系。 </p><p>　　【關鍵詞】 信息化； 內部審計技術； 信息技術風險；

2、 計算機輔助審計 </p><p>　　隨著國家電網公司中信息技術的日益普及和企業(yè)信息化的深入開展，跨地區(qū)、跨部門的企業(yè)集團信息系統(tǒng)、ERP（Enterprise Resource Planning）系統(tǒng)廣泛應用，原來所采用的傳統(tǒng)內部審計技術方法很難及時地對被審計單位的會計經營信息作出客觀評價，不能滿足審計信息需求者的管理決策需要，內部審計難以實現(xiàn)增值目標。因此，內部審計采用現(xiàn)代審計方法成為必然?，F(xiàn)代審計方法是指

3、能夠適應信息化的審計環(huán)境，能夠對海量數(shù)據進行篩選分析，發(fā)現(xiàn)疑點和審計線索，從而實現(xiàn)審計目標的審計技術、方法的總稱（董伯坤，2007）。本文從信息技術風險評估出發(fā)，分析信息化環(huán)境下的現(xiàn)代審計技術方法，并在此基礎上進一步探索并行持續(xù)審計的模式，實現(xiàn)由傳統(tǒng)審計向現(xiàn)代審計的轉變，從而順應信息化發(fā)展趨勢，提高審計效率，降低審計風險。 </p><p>　　一、信息技術風險評估 </p><p>　　

4、企業(yè)信息化的發(fā)展給審計技術方法帶來變革，例如數(shù)據庫技術（何玉潔、張俊超，2006）、趨勢分析法（黃巧妙、呂天陽、龐琦，2009）等自動化操作和邏輯分析的方法（殷麗麗等，2010），同時更帶來審計思維和基本理念的轉變，在信息技術風險評估的基礎上應用現(xiàn)代審計技術與方法便是一個基本的轉變。 </p><p>　　信息技術風險是指公司在信息處理和信息技術運用過程中產生的各種不確定因素，這些因素可能對公司的戰(zhàn)略、發(fā)展、業(yè)務

5、和效益等方面產生負面影響，并進而影響公司目標的實現(xiàn)。信息技術風險包括組織層面、一般性控制層面及業(yè)務流程層面的信息技術風險等。 </p><p>　　信息技術風險評估是指識別、確認、評價公司所面臨的與信息技術相關的內、外部風險及其潛在影響的過程。內部審計人員應采用適當?shù)娘L險評估技術與方法，分析及評價信息技術風險發(fā)生的可能性及影響程度，為確定審計目標、范圍、重點和方法提供依據。 </p><p&g

6、t;　　針對組織層面、一般性控制層面的信息技術風險，審計人員在識別、評估時需要關注：業(yè)務關注度；信息資產（包括硬件設備、軟件及數(shù)據）的重要性；對信息技術及信息技術部門的依賴程度；對外部信息技術服務的依賴程度；信息系統(tǒng)及其運行環(huán)境的安全性、可靠性；信息技術變更情況；與信息技術相關的企業(yè)標準、規(guī)范、規(guī)章制度的制定及執(zhí)行情況等。 </p><p>　　業(yè)務流程層面的信息技術風險受業(yè)務內容的重要性、業(yè)務流程的復雜程度、上

7、述組織層面及一般性控制層面的控制有效性等因素的影響而存在差異。通常，審計人員應了解業(yè)務流程并關注數(shù)據輸入、處理、輸出方面的信息技術風險。 </p><p>　　內部審計人員應積極開展對信息化環(huán)境下風險的分析，充分考慮風險評估的結果，重點關注缺乏控制、重要性程度高以及可能產生舞弊的控制環(huán)節(jié)，以合理確定信息系統(tǒng)審計的內容及范圍，對公司的信息技術內部控制的設計和執(zhí)行有效性進行測試，并完善內部控制體系。 </p&g

8、t;<p>　　由于國家電網公司的業(yè)務運作更加依賴于信息系統(tǒng)，這種依賴和信息系統(tǒng)本身特點所導致的脆弱性，形成了新的業(yè)務風險。因此，公司必須開展和加強信息技術風險評估，并在此基礎上對現(xiàn)有內部審計規(guī)范、指南等重新進行定義、修改和補充，加強信息系統(tǒng)內部審計工作管理體制建設，統(tǒng)一信息系統(tǒng)內部審計技術標準，明確信息系統(tǒng)內部審計人員技能要求，建立和完善適應信息化環(huán)境的內部審計準則體系，尤其把IT控制列為重點，把數(shù)據輸入、處理和輸出控制

9、、信息系統(tǒng)的訪問及網絡安全作為內部審計的重要內容，使內部審計工作在新的環(huán)境下能夠順利進行。 </p><p>　　二、信息化環(huán)境下內部審計常用技術方法 </p><p>　　信息技術/信息系統(tǒng)的應用支撐著大多數(shù)關鍵業(yè)務流程，這也引起了在內部審計中如何使用信息技術的思考。本文認為，信息化環(huán)境下內部審計技術方法的研究與應用應從系統(tǒng)論、信息論的高度推進其系統(tǒng)化、科學化、規(guī)范化和智能化的發(fā)展。系統(tǒng)

10、化是實施審計戰(zhàn)略（策略）和審計技術方法的全面協(xié)調。審計戰(zhàn)略（策略）解決好審什么、想達到什么目的的問題，審計技術和方法則解決怎么審和如何達到目的的問題，從而實現(xiàn)兩者的協(xié)調。科學化就是將科學手段與經驗總結相結合，推進信息化技術、數(shù)學和統(tǒng)計學等在審計中的應用。規(guī)范化是將內部審計技術方法融入到規(guī)范的內部審計程序中，規(guī)范和引導內部審計人員運用適當?shù)膶徲嫾夹g和方法。智能化強調將歷史經驗總結、科學規(guī)律推導和審計人員的專業(yè)判斷結合起來，積極加強審計數(shù)據

11、中心建設，建立行業(yè)/領域審計的標準和方法（上海市審計學會課題組，2012）。 </p><p>　　《內部審計具體準則第28號——信息系統(tǒng)審計》第六章第二十四條指出，審計人員在開展信息系統(tǒng)審計過程中為獲取充分、適當?shù)膶徲嬜C據，可以單獨或綜合應用八種審計技術方法，包括：詢問、觀察、審閱、穿行測試等傳統(tǒng)方法；驗證系統(tǒng)控制和計算邏輯、登錄信息系統(tǒng)進行系統(tǒng)查詢、計算機輔助審計工具和技術等信息技術；利用其他專業(yè)機構的審計結

12、果或組織對信息技術內部控制的自我評估結果等。 </p><p>　　2011年審計署審計科研所《審計機關審計技術創(chuàng)新情況》課題組在全國27個?。ㄗ灾螀^(qū)、直轄市）、5個計劃單列市和18個特派員辦事處對2006年以來的審計技術創(chuàng)新情況進行了專題調研，收集創(chuàng)新型審計技術應用522項，按技術種類分類可分為59種技術類別（審計署審計科研所課題組，2012）。在眾多創(chuàng)新型審計技術中尤為突出的是，計算機類審計技術占了很大比重，

13、主要包括：各類審計軟件、數(shù)據采集/轉換技術、數(shù)據查詢和分析技術、聯(lián)網審計技術、信息系統(tǒng)審計技術、多維分析技術、數(shù)據庫技術、Office系列軟件、商業(yè)智能（BI）技術、MD5碼技術、數(shù)據挖掘技術、數(shù)據恢復技術、實時通訊技術等。 　　在此基礎上，本文將審計技術方法綜合整理為如圖1所示的體系。 </p><p>　　1.常規(guī)審計方法，主要是用于信息系統(tǒng)的了解和描述，包括訪談法、系統(tǒng)文檔審閱法、觀察法、文字描述法、表格

14、描述法、圖形描述法等。 </p><p>　　2.計算機輔助審計技術，又可進一步分為面向系統(tǒng)的計算機輔助審計技術和面向數(shù)據的計算機輔助審計技術。面向系統(tǒng)的計算機輔助審計技術是用于驗證程序系統(tǒng)的，包括受控處理法、測試數(shù)據法、綜合測試法、平行模擬法和程序跟蹤法等；面向數(shù)據的計算機輔助審計技術主要用于對信息系統(tǒng)中的電子數(shù)據進行審計，包括數(shù)據采集、數(shù)據驗證、數(shù)據整理和轉換、建立審計中間表和數(shù)據分析等環(huán)節(jié)，采用的數(shù)據分析技

15、術主要有賬表分析、數(shù)據查詢、審計抽樣、統(tǒng)計分析、數(shù)值分析、賬齡分析等（陳偉、張金城，2008）。 </p><p>　　3.信息系統(tǒng)評價技術，主要用于信息系統(tǒng)的控制、風險和整體性評價，如控制矩陣、風險矩陣、層次分析法等。 </p><p>　　4.新型審計技術，主要有并行審計、持續(xù)審計、商業(yè)智能（BI）技術、數(shù)據挖掘技術、數(shù)據恢復技術等。 </p><p>　　內部

16、審計人員在充分考慮信息安全的前提下，結合成本效益原則，根據信息系統(tǒng)審計業(yè)務類型，可以靈活選用恰當?shù)膶徲嫾夹g方法。在充分發(fā)揮好信息化環(huán)境下內部審計技術優(yōu)勢的同時，應該處理好例外現(xiàn)象，不能過于依賴技術，審計人員仍應保持高度的職業(yè)謹慎。 </p><p>　　三、新型內部審計技術與模式 </p><p>　　審計對象的科技水平和復雜性不斷提高，對審計技術提出了更高的要求，要求內部審計關口從傳統(tǒng)的

17、事后審計逐漸前移到事中事前；同時，科學技術特別是信息和電子技術的發(fā)展，也為開發(fā)應用新型內部審計技術與模式創(chuàng)造了條件，使事中審計成為可行、經濟的審計模式。并行審計、持續(xù)審計便是實現(xiàn)信息化環(huán)境下實現(xiàn)審計關口前移的事中審計技術。 </p><p>　?。ㄒ唬┎⑿袑徲嫾夹g </p><p>　　并行審計技術（Concurrent Auditing Technique）產生于20世紀60年代后期和7

18、0年代初期，是依托信息技術的發(fā)展而提出的審計技術。并行審計技術是指在應用系統(tǒng)對其業(yè)務進行處理時，同時采集審計證據的技術。使用并行審計技術采集審計證據包括兩個方面：一是為采集、處理和打印審計證據，需要在應用系統(tǒng)或系統(tǒng)軟件中嵌入專門的審計模塊；二是將采集到的證據存儲在應用系統(tǒng)文件中或存儲在專門的審計文件中，以便審計人員進行審查（梁麗瑾、續(xù)慧泓，2007）。 </p><p>　　信息技術特別是網絡技術的發(fā)展，為并行審

19、計提供了硬件環(huán)境的支持。并行審計要求的對交易的連續(xù)監(jiān)控可以借助于網絡環(huán)境來實現(xiàn)。新的技術，如智能識別技術、無線射頻識別（RFID）、傳感技術等的廣泛應用，為審計模塊的“嵌入”提供了技術上的實現(xiàn)方案。同時，數(shù)據庫管理技術，特別是數(shù)據倉庫技術的應用，不僅能夠存儲海量的交易數(shù)據，而且通過數(shù)據倉庫可以提供決策所需的相關信息，從而對業(yè)務發(fā)生的情況可以作出智能化的判斷和分析，并將這種分析和判斷信息及時反饋。 </p><p>

20、;<b>　?。ǘ┏掷m(xù)審計 </b></p><p>　　持續(xù)審計（Continuous Auditing，CA）是一種由審計師在事項發(fā)生的同時，或在事項發(fā)生后的較短時間內，對與事項相關的主題提供書面評價的審計方法（CICA/AICPA，1999）。具體來說，持續(xù)審計是基于網絡信息技術，由審計師實施的將約定事項的連續(xù)信息（無論財務或非財務的信息）與事先確定的標準相對照，然后就二者的符合程度

21、作出保證判斷的審計報告的一系列過程。它將信息技術高度整合到了審計領域，融合了實時審計、計算機輔助審計、聯(lián)網審計、非現(xiàn)場審計等方式，實現(xiàn)審計人員和被審計單位電子數(shù)據的及時連接和交互，克服了當前審計的滯后性，具有報告時隔短、審計范圍廣、追蹤事件及時、風險控制強等優(yōu)點，可以縮短內部審計周期、改善風險和控制安全系數(shù)（張文秀、劉雷，2012；張娟、廖洪，2006）。 </p><p>　　國際上對持續(xù)審計的研究起步于20世

22、紀60年代，美國證監(jiān)會（SEC）、國際內部審計師協(xié)會（IIA）、加拿大注冊會計師公會（CICA）、美國注冊會計師公會（AICPA）和國際信息系統(tǒng)審計協(xié)會（ISACA）等機構先后公開表明對基于IT的持續(xù)審計模式加以支持與倡導。根據普華永道會計師事務所發(fā)布的《2006內部審計狀況職業(yè)研究》（State of the Internal Audit Profession Study：Continuous Auditing Gains Momen

23、tum），被調查的美國公司中有半數(shù)的公司目前正在使用持續(xù)審計技術。 </p><p>　　持續(xù)審計不僅向外界進一步證實被審單位提供的連續(xù)（或實時）報告（信息）的可靠程度，還可以為內部管理控制提供決策信息支持，同時還能夠根據客戶的特殊需求實時提供不同程度的相關保障。隨著信息技術的進步、電子商務的普及以及管理決策對信息“實時性”需求的日益增強，它將成為信息化時代審計模式發(fā)展的必然趨勢之一。持續(xù)審計在我國內部審計中還未

24、完全開展，但可以預計這種技術以后會成為內部審計的重要方式。 </p><p>　　除了并行審計、持續(xù)審計之外，新興的審計技術還有商業(yè)智能（BI）技術、數(shù)據挖掘技術、數(shù)據恢復技術等。隨著移動設備、云計算等的推廣和應用，將會有更多更新的審計技術出現(xiàn)。 </p><p><b>　　四、結語 </b></p><p>　　國家電網公司在信息化環(huán)境下的

25、內部審計工作目前還處于摸索階段，在研究和探索內部審計技術方法的同時，還應對審計人員進行專門的信息技術培訓、對審計部門開放所有信息查詢功能等。進一步地還可以鼓勵內部審計人員參加國際注冊信息系統(tǒng)審計師（CISA）資格考試，通過培訓和考試，培養(yǎng)具有較高深的計算機軟硬件和網絡知識，掌握信息系統(tǒng)審計技術的較高層次的審計人才，更好地應用現(xiàn)代化的審計技術方法，從而適應企業(yè)信息化發(fā)展的大潮。 </p><p><b>

26、　　【主要參考文獻】 </b></p><p>　　[1] 審計署審計科研所課題組.審計機關審計技術創(chuàng)新情況專題調研報告[R].2012. </p><p>　　[2] 中國內部審計協(xié)會.內部審計具體準則第28號——信息系統(tǒng)審計[S].2009. </p><p>　　[3] 陳偉，張金城.計算機輔助審計原理及應用[M].北京：清華大學出版社，2008.

27、 </p><p>　　[4] 張文秀.IT治理下的內部審計信息化發(fā)展研究[J].商業(yè)會計，2010（12）：41-42. </p><p>　　[5] 梁麗瑾，續(xù)慧泓.基于并行審計技術的內部審計應用研究[J].審計研究，2007（2）：36-38. </p><p>　　[6] 張娟，廖洪.基于IT 技術的連續(xù)審計（CA）：綜述與展望[J].審計研究，2006（5