摘要:信息系统给高校管理带来方便的同时,也给高校内部审计带来了新的课题,因此高校信息系统审计应突破原有审计模式,进行创新.本文从信息系统审计风险的类型和特征入手,分析产生审计风险的原因,提出了防范信息系统审计风险的措施.
关键词:信息环境;高校;内部审计;风险特征;防范措施
目前高校的信息化建设进入高速发展阶段,审计对象及审计手段的信息化使高校内部审计风险愈发复杂,并在一定程度上加大了审计风险控制的范围和难度,信息环境下防范审计风险显得非常重要.
1信息环境下高校内部审计风险的产生原因
1.1信息系统自身潜在固有风险
信息系统本身会存在设计缺陷,如果出现数据处理漏洞,按照既定程序执行,则会导致生成错误资料而增加审计基础性数据不实的风险;信息的网络化使系统自身风险增大,容易出现突发性故障及病毒入侵,随时威胁系统安全,导致信息系统环境风险增大.
1.2信息系统内控制度管理风险
由于系统程序员具有极高的管理权限,可能存在篡改程序的风险,交易授权直接由电子数据处理功能取得,信息系统中各岗位不相容职责分配较为集中,因不恰当的授权而促使舞弊行为发生,造成内控制度管理风险[1].比如高校财务在手工核算时,审计线索十分清晰.从审核原始凭证→制作记账凭证→登记会计账簿→编制财务报告,其中每一个环节都有文字记录,很容易辨识修改痕迹.但在信息化财务软件中,为了更正会计信息的错误,前台允许撤销审核、反记账、反结账,后台管理员权限很大,可以修改、删除数据,肉眼无法觉察.这样就会降低审计人员发现错误的机率,并且使审计线索容易缺失.
1.3信息系统下审计技术与方法不当带来的审计检查风险
在信息化环境下,数据处理具有程序化、自动化、集中化、批量化,一旦处理结果产生差错,常常会在软件系统的处理中发生重复或累积,造成多种数据、表格、账薄甚至整个系统的数据失真,系统存在产生反复性差错的可能性.如果审计人员在审计过程中不具备应有的专业能力,运用的审计技术和方法不到位,执业水平与信息系统发展不协调,对信息系统软件和计算机系统知识掌握薄弱,审计人员将很难发现存在的问题而出现审计检查风险.
1.4信息系统下高校内部审计信息化建设滞后风险
内部审计方法模式的滞后导致内部审计人员风险意识淡薄,难以使用先进的审计工具和理论,缺乏必要的审计程序和指标体系,内部审计应用软件开发跟不上审计的步伐,缺乏成熟审计软件平台,使内部审计信息化建设明显滞后,不能完全超越正在运行的信息系统而自动找出系统漏洞,也不能与教学、科研、财务等其他内部职能部门之间形成一个有效的信息共享链,造成信息孤岛,在信息化环境下内部审计的监督力度受到了制约.
2信息环境下审计风险的特征
信息系统审计与其他审计不同,导致审计风险发生了很大变化,并且表现出不同的特征.其主要表现在以下几个方面:
2.1审计线索的隐蔽性
信息系统审计主要面对被审计单位系统中大量的电子数据[2],除过数据输入和输出,中间的处理环节完全由计算机完成,无纸化会导致审计线索的模糊.比如目前高校普遍实行会计电算化,财务数据存储介质与原来相比均发生了很大变化,生成和传递方式由计算机自动完成,数据信息的删改不留痕迹,容易导致审计失察而增加审计检查风险,再加上高科技的舞弊行为,审计人员在对数据信息采集、整理和分析过程中使审计风险隐蔽性加大.
2.2审计风险的不可控性
信息系统拥有高质量的硬件及软件来保障系统的稳定性.审计人员对更新的审计软件的熟悉程度,影响了其在信息系统审计过程中的操作和分析能力.信息系统数据处理相对集中高效,磁介质存储信息使得数据存储载体发生改变,系统内部控制转而以计算机系统内部控制为主.系统自身运行的有效性及控制失灵等安全隐患也造成了审计风险的不可控性[3].2.3审计取证的动态化信息系统中同种业务的数据处理采用相同程序,该程序设计开发错误如果未被发现,那么会出现错误的反复性.高校内审人员为了及时完成审计任务,在信息系统运行时开展审计,又不能干扰系统正常运转,也不能影响被审计单位工作秩序,只能实行审计取证动态化,加大了审计取证的风险性.
3信息环境下审计风险的防范措施
3.1加强信息系统内部控制建设
在信息化环境下,信息系统审计的审计对象、技术和方法等发生了转变,传统的法律法规和审计准则不能完全适用于审计[4],建立和健全信息系统审计法律法规和准则体系.信息系统的设计开发者和使用者应当全面投入到信息系统的内部控制构建中去,进一步完善信息系统的内部控制.
3.2完善计算机审计技术和方法
采取适宜的审计技术,使用实用高效的审计软件,从数据采集、数据分析到加工成审计数据,全部让审计软件来完成.高校内部审计对信息系统选择突击审计或就地审计方式,并要求审计软件能够识别不同类型的数据库,建立高校内部计算机审计信息系统.对审计过程中不能终止系统工作的,防止操作员篡改、删除数据,并保证被审程序和数据的准确和完整,及时拷贝系统中正在运行的数据,便于检查监督核实,也可以使审计软件与高校内部基建处、国有资产管理处、科研院等相关部门的系统数据库实现无缝对接,能够实现实时监督与预警.
3.3提高内部审计人员的风险意识
信息技术的运用和网络时代的到来,引进具备计算机、网络和审计知识的复合型人才,以适应信息化环境下的审计工作,运用审计各种类型的专业软件,比如抽样软件和分析软件进行样本的抽取,仔细分析获得相关数据得出审计结论[5].内审人员要突破传统审计思路束缚,发挥监督、促进、防护作用,以风险分析与控制为出发点,注重内部审计自身的风险识别与控制,防范被审单位潜在的业务风险,加大信息系统审计人才培养力度,保障信息系统审计质量,重视每个环节的风险测试,对于信息系统审计时发现的问题能够及时解决,提高控制内部审计风险发生的时效性,保证审计证据的充分性、相关性和可靠性,从而科学有效的控制内部审计风险.
3.4建立复合型人才的信息化审计队伍
由于各高校内部审计人员专业背景,主要以财务、审计为主,计算机专业人才所占比例较低,精通财务、审计和计算机的复合型人才更为稀缺,内部审计涉及面宽,要求内部审计人员不仅要掌握审计业务技能,还要熟悉会计电算化、教学、科研管理信息系统等其他业务,引入知识结构合理、计算机应用熟练的人才建立信息化审计队伍,才能够从海量数据中挖掘、分析、检验、整理、转换审计所需数据,降低审计风险.内审人员信息化能力重点在于审计软件开发和信息资源整合,我国高校内部审计机构也迫切需要兼具审计业务能力和电子信息技术能力的复合型高级人才.总之,高校内部审计机构要根据学校内部管理信息系统的运行情况,增强审计机构对各类应用系统、业务数据系统以及智能化系统的评价和监督,并注重遵循客观、公正、真实性原则审计信息公开,提升监管服务水平,发挥免疫系统的作用.
参考文献:
[1]茆敏.浅议信息系统审计风险[J].中国管理信息化,2016(1):39-41.
[2]余灿夏,午宁信.息化环境下的高校内部审计风险控制[J].中国内部审计,2014(10):70-73.
[3]吴华萍.审计信息化环境下的高校内部控制审计探析[J].财税审计,2015(9):114-115.
[4]黄钰清.信息化环文学期刊境下高校内部审计风险防控的思考[J].经济与社会发展,2016(5):125-128.
[5]凌静华,胡杰.信息化审计环境下企业内部审计的风险及预防策略研究[J].中国管理信息化,2016(12):33-34.
作者:卢跃 李小满 单位:西北农林科技大学 西北农林科技大学