一、审计数据安全方面带来的风险
一是审计证据的安全性。在审计信息化环境下,很多审计证据以电子文件、系统信息的形式存在。这些审计证据的取证或交换,往往也以信息化的方式实现。由于电子信息数据存在相当的可灭失性、可篡改性,使这些审计证据是否能得到被审计单位的接受和认可,是否可以充分可靠地支撑审计观点或审计结论存在一定的风险。二是审计信息的安全性。在审计信息化的情况下,获取的绝大多数是电子文件或数据信息中的公司战略规划、财务报告、商业合同、重要的客户或供应商数据、产品战略或价格策略等,可能涉及公司机密或个人隐私,相当一部分属于秘密甚至机密资料。而对这些敏感电子资料或数据信息,如果不按国家或公司相关保密规定严格进行保管和使用,可能导致受到政府机构的处罚或外部机构乃至个人的法律诉讼的风险。另外,计算机网络攻击和计算机病毒也时刻威胁着信息安全,近期发生的美国“棱镜”事件就是个典型的例子。三是审计信息集成管理系统等审计管理数据的安全。因为审计管理系统数据库缺乏合理备份而造成的审计管理数据灭失或不完整的风险。
二、内部审计信息化风险管控对策
(一)加强对财务报告真实性和准确性的检查监督。一是关注并加强对信息系统建设资料和技术方案、系统变更控制、系统关键逻辑和业务流程控制情况的审查,评价信息系统产生财务报告的准确性和真实性。二是关注并加强对财务报告产生过程中的相关信息系统数据的交换、导入导出、数据集成等关键环节的控制和执行情况进行审核。三是关注并加强对各项实物资产的有效核查,以及各信息系统间关键数据勾稽中的一致性和合理性的核实。
(二)加强审计队伍业务素质和审计技能。一是要不断提高内部审计人员对公司相关业务流程和控制点的熟练掌握程度,清楚不同业务流程之间相关数据的关联及勾稽关系,明确审计重点。二是要不断提高内部审计人员对审计信息化的综合应用水平。在实际工作中,可以借助被审计单位提供的业务流程图和系统操作手册,借助被审计单位信息系统建设人员、系统关键用户、业务部门骨干的培训和演示,达到快速了解和掌握,加快审计人员进入实质审计状态的节奏。三是要充分考量审计人员的专业背景和审计经验,优化审计组人员构成和人员分工,不断提高审计人员的胜任能力。
(三)充分利用信息化技术手段提高审计抽样的科学性、可操作性和可复核性。如针对集成度高、数据庞大的ERP系统,中国石化审计部门成功开发并实施了基于ERP环境下的审计抽样模型,实现与国际先进的审计抽样理念和方法的接轨。该模型提供了确定样本总体、重要性标准、样本量、抽样方法等基本功能,提供随机数表选样、随机选样、系统选样、判断选样等抽样方式,抽样结果可以穿透查询具体的订单、合同、收发单据和凭证等信息,实现符合性测试和实质性测试的有机结合,能够将审计人员的经验判断和系统客观选样有机融合。
(四)强化审计证据的相关性、充分性与可靠性。一是多采用系统截图的方式获取和保存审计证据。注意所截获图片中包含信息的完整性,比如查询日期、公司代码、成本中心、科目范围、预设条件等等信息,提高所截图片的证明力。二是尽量使用法定电子邮件的方式传递审计文件和资料。根据国际通行惯例和国内外相关法律规定,电子邮件可以作为证据,具备法律证据地位。因此,在审计过程中向被审计单位提交审计需求资料清单,或者被审计单位向审计人员提交审计资料,应该尽量通过电子邮箱,邮件所附内容或要求应尽量详细、准确,对电子邮件要进行妥善保存。三是确保审计证据的证明力。审计人员从信息系统中查询、导出、加工整理形成的一些审计证据,可以及时打印并提交被审计单位业务人员以签字、盖章确认的方式;对一些复杂的审计事项所获得的审计证据,可以采用电子文件和纸质文件相互结合、相互印证的方法,确保其证明力。四是防止文件被他人恶意篡改。对一些重要的文件,可以使用PDF或图片的文件格式保存下来再交给对方,防止文件被他人恶意篡改。
(五)强化审计信息的安全性。一是加强各类信息系统帐户管理。加强公司内部网络入口登录账户和信息系统登录账户管理,建立和审计事项相适应的审计信息化账户,授予合适的用户权限,确保和审计无关的信息不被随意查询。二是签订保密协议。严格遵守公司保密工作规定,审计组和被审计单位、审计组和审计人员,可以以适当的方式签订保密协议,从法律的层面和制度约束的层面对保密信息泄露的风险进行控制。三是加强日常管理和控制。定期对审计工作计算机和存储设备进行保密检查。对外借审计人员,应在日常的审计工作中强调信息保密规定和要求,外借审计人员完成审计任务离开前,应对其计算机和存储设备进行检查,删除不该保存的文件,确保保密信息不被外泄。四是加强计算机防病毒管理。对日常审计资料进行合理备份,要确保备份的有效性。特别是对重要的文件,一定要执行双备份或异储备份,要按照IT系统数据安全管理的规范和要求对审计管理系统数据进行管理和备份。五是将内部审计信息化风险纳入内部审计风险管理乃至企业风险管理的范畴。为了提高内部审计部门自身的风险管理水平,内部审计部门应该积极协同企业信息管理部门和风险管理部门,加强对内部审计信息化风险的认识,协调管控内部审计信息化风险,协助解决内部审计信息化中存在的问题。内部审计信息化风险作为伴随审计信息化发展而存在的风险管理内容之一,除了审计部门自身重视外,还需要公司其他相关部门如信息管理部门、风险管理部门的共同配合,需要其他相关业务部门的大力支持,通过内部审计信息化建设战略、审计队伍建设、机制建设和审计文化建设等措施,不断拓展和完善,有效控制内部审计信息化风险,为企业持艺术类论文续、健康发展保驾护航。
作者:刘彦军 单位:中国石化胜利油田审计处(中心)