企业内部审计信息化建设中应重视和强化相关管理和安全控制措施

　　该文结合企业内部审计信息化建设的现状和存在问题，着重分析和论述了加强内审信息化相关管理和强化安全控制等工作的重要性，以及具体内容和措施。

　　一、内审信息化建设的现状与分析

　　（一）内审信息化建设的主要进展

　　网络系统建设初具规模。一些大型企业都不同程度的组建完善了财务收支网络管理系统，内部审计部门也成为其中重要组成部分。有些行业的内审部门基本实现了与单位内部其他部门的网络互联，为实现信息交换网络化开辟了快速通道，为开展网络审计，实现实时监控打下了基础。

　　硬件系统建设基础良好。很多单位不断加大对其信息化基础设施和计算机审计设备的投入力度。不仅明显改进了审计手段，而且有效提高了工作效率。

　　软件应用系统建设初见成效。目前我国开发了众多财务审计的软件，工程审计软件等专业审计软件，专业审计软件的应用为更好开展工作提供了前提条件。

　　（二）内审信息化建设存在的主要问题

　　对内审信息化建设重视程度不够。传统审计的观念，方式方法根深蒂固。影响了内审信息化建设的进程。对这项工作的重视程度也因为观念的差异有所不同。工作水平参差不齐。

　　缺乏加强审计信息化建设的意识。有的内审人员主动开展计算机审计意识不强，还停留在传统的审计方法和模式上。

　　内审信息化建设滞后于财务电算化建设。随着信息技术的不断进步，会计电算化软件已由单机版升级到网络版。但内审信息化建设一直发展缓慢，无论硬件设施和软件投入，都明显落后于会计电算化水平。

　　审计软件应用水平不高。一些单位内审人员在审计软件的应用上处于被动状态，往往是借助于财务部门使用的财务软件，业务核算软件进行简单的查询和分析，使用专业审计软件的少，即便是使用专业审计软件也仅限于审计查询，审计抽样，工作底稿的生成等简单功能，即不能对财务状况进行系统审计，更不能进行深入分析，难以防范和纠正会计信息失真问题。

　　风险评估的难度加大。信息化后，由于功能的集中，导致职责的集中。会计信息系统在组织内的重要性增加，知识和信息成为企业创造价值的重要资源，企业的运营，管理越来越依赖于信息系统，这就增加了与信息系统相关的风险。

　　信息化方面的专业人才短缺。经过多年的培养和实践，目前在一些行业和部门已基本形成了一支在传统审计环境下有一定工作能力的内审队伍。在财务会计信息化的现代审计环境下，直面审计技术老化，审计知识老化的问题。有些内审人员不熟悉财务电算化软件和业务管理信息系统，对审计客体的信息系统基本情况不熟悉。这直接影响了在信息化时代内审应有的监督作用。

　　（三）内审信息化建设的意义

　　利于审计目标的实现。内审人员为完成规定的审计任务，实现审计目标，信息化的运用为内审人员提供取得审计证据的途径和手段，对所审事项的合理性，可靠性作出判断，更好地为内审人员进行职业判断。

　　利于提高工作效率，有效利用审计资源。内审人员必须使用有限的审计资源，完成审计任务。如果不使用科学信息化的技术方法就不能在规定的时间完成审计任务。使用科学信息化的技术方法，从而高效，准确的达到审计目标，提高工作效率，节约审计资源。

　　利于适应客体的变化。随着单位性质和经营方式的变化，放映经济活动的信息资料形式的变化，用传统的手段难以有效开展内部审计。只有用科学的信息化技术才能达到审计目标。从账目基础审计到制度基础审计，再到风险基础审计等都是适应客体变化的结果。

　　利于推动内审的发展。信息化技术的进步，提高了内审人员的工作效率，这就为内审的发展创造了条件。随着信息技术的进步，很快适应外部的变化，扩展审计的工作领域，提高审计能力，扩大审计的成果，优化审计工作的模式和手段，提高内部审计质量。

　　二、内审信息化建设中需要进一步强化相关管理工作

　　（一）内审信息化管理

　　信息技术改变了被审单位的管理方式，许多传统意义上的关键控制点，在计算机环境下需要从以下三个方面加强内审信息化建设中的相关配套管理工作，提升内审管理水平。

　　内控管理。以内控管理，内控测试，内控分析，缺陷修补，无效落实等为核心功能为一体化的管理体系。把各业务单元纳入内控评价范围，满足内部管理层进行内控管理的需求和外审的需求，提高工作效率，降低内控风险，实现内控管理工作常态化。

　　内部控制按其控制的目的不同，可分为会计控制和管理控制。会计控制是指与保护财产物资的安全性、会计信息的真实性和完整性以及财务活动合法性有关的控制；管理控制是指与保证经营方针、决策的贯彻执行，促进经营活动经济性、效率性、效果性以及经营目标的实现有关的控制。

　　实行内部控制，重点应当在组织结构及职责分工、授权批准、会计记录、资产保护、职工素质、预算管理和报告制度等重要环节组织实施。

　　建立健全内控制度，加强内控的管理，将内审原来起监督作用的事后监督，更多体现在事前预防和事中控制，把企业风险降到最低。

　　企业在遵守会计准则的基础上，应以本单位会计工作实际出发，建立健全和强化自身合理的会计政策和会计控制制度。对这些会计政策和会计控制制度，应作出书面文字规定，这样，不仅有利于企业有关人员了解处理日常会计事项的政策和方法，也有利于企业会计政策的前后连贯。

　　内审管理。内审管理是以计划管理，资源管理，作业管理，信息管理等为核心功能的一体化管理体系。

　　贯穿公司所有内审业务的管理，包括建设项目审计，经济责任审计，财务收支审计，管理流程审计等。

　　风险管理。按国资委颁发的《中央企业全面风险管理指引》要求，建立全面风险管理体系，实现风险信息化管理，风险管理系统包括风险评估，风险控制，风险预警等，实现对公司重要风险的识别，评估，控制和整合，降低公司整体风险水平。

　　三、必须强化审计信息安全控制措施

　　（一）审计信息安全的定义

　　审计信息安全就是在产生，传输，处理和存储的过程中，确保审计信息安全性，保密性，可用性，完整性和不可否认性。

　　（二）保障审计信息安全的主要措施

　　制度保证。制定有效信息保密制度是审计信息安全防范的基本保障。

　　硬件隔离。一是内审机构配备专用电脑用于现场审计，避免资料在存储过程中造成的信息外泄。也利于审计资料的归档和保管。

　　权限设置。权限设置，可以有效规避审计组成员使用信息不当和窃取信息造成资料外泄。

　　素质教育。根据《内部审计人员职业道德规范》的要求，“内审人员应当遵循保密原则，按规定使用其在履行职责时所获取的资料”。

　　软件加密。软件加密是通过使用计算机软件件加密系统，建立审计信息安全边界，有效保护企业核心信息安全，控制审计信息泄密风险。

　　企业根据自身特点采取相应的审计信息安全控制措施，使安全风险和责任意识扩展到单位每个成员，提高安全管理的整体效率，实现信息安全管理从静态，被动，散乱向动态，主动，系统地积极转变。

　　（作者单位：陕西延长石油(集团)有限责任公司研究院）

　　龚燕萍 文