曹弋洋
一、引言
我國企事業單位實施內部控制審計信息化是經濟全球化和國際化的發展趨勢,內部控制審計信息化是完善審計體系的內在要求,也是應對日后可能的外部競爭的必然選擇。目前越來越多的公立醫院引入信息化技術來增強醫院管理,快速處理醫院各流程數據,從而為醫院管理提供基礎。然而,信息系統在高效率地幫助醫院提高經營管理水平的同時也帶來許多新的思考和挑戰。內部審計作為醫院管理的核心部門之一,需要對信息系統平臺的有效性進行評價和分析,這無疑成為內部審計人員的一項新的挑戰。
實施內部控制審計信息化,重點在于對信息系統進行審計。這里的信息系統,是指利用計算機技術和通訊技術,對內部控制進行集成、轉化和提升所形成的信息化管理平臺。審計人員對特定基準日信息化環境下的內部控制設計與運行的有效性進行審計,并對其有效性發表意見。內部控制審計信息化是審計信息化的一個重要組成部分,所謂審計信息化就是在運用以電子計算機為代表的現代化數據處理工具時,被審計對象進行財務工作和經營時,審計人員為了實現其審計目的,收集必要的審計證據,采取必要的審計程序,對運營的合規性以及利用計算機以及網絡生成的財務信息進行審計的工作。廣義的信息化環境下的內部控制審計業務包括計算機內部審計所涉及的所有內容,即計算機系統內部控制制度審計、計算機系統程序審計、計算機系統數據文件審計、計算機系統開發審計、計算機輔助內部審計、網絡系統審計、計算機舞弊的控制和審計。狹義的信息化環境下的內部控制審計業務主要包括計算機系統內部控制制度審計、計算機舞弊的控制與審計。本文基于信息化視角,分析實施內部控制審計信息化所面臨的風險,并從內部控制制度、系統建設、人員素質和風險評估體系等多維度對風險因子進行思考,并提出相應的風險應對策略。
二、實施內部控制審計信息化存在的風險
實現內部控制審計信息化后,提升了醫院信息系統的運行效率,減少了運營成本,提高了人員的綜合素質,順應了時代發展的趨勢。然而,事物都有兩面性。內審信息化的實施也帶來了更多更大的新問題,只有充分認識和解決這些問題,信息化才能健康、快速帶動醫院的全面發展。
(一)審計人員在信息化條件下的能力表現不足
內部控制審計信息化對審計人員的獨立性和專業能力要求很高,但實際情況是,許多企事業單位的內部控制和審計獨立性差,甚至存在不少審計人員是兼職的情況,職業勝任能力欠缺。另外無論是注冊會計師還是內部審計師,大部分都是財會專業出身,也就是比較擅長于財務報表審計和與財務報表相關的內部控制審計,對于非財務內部控制審計和信息系統審計,缺乏從事信息化內部控制審計所需的知識、技能和經驗,審計人員在信息化條件下的能力表現不足,審計風險巨大。
(二)內部控制系統的信息化增加了內部控制審計難度
內部控制的信息化必將帶來內部控制審計的信息化。內部控制審計信息化增加了內部控制審計的難度,主要體現為以下五個方面:
1.控制環境的突變。雖然信息技術使內部控制管理層級明顯減少,崗位更加精簡,不僅改變了傳統手工數據處理方式,而且觸發了管理模式、生產方式、交易方式、作業流程的重大變革,但是信息化對管理者的素質提出了更高的要求。從實際操作來看,從內部控制審計人員到管理者,短期內員工必然對信息化的應用不太適應,有些老一輩領導甚至不太重視內部控制信息化。信息化推動組織架構的扁平化變革,人與人之間的當面交流減少,大量的業務處理都在系統內完成,信息化的控制環境下,道德風險和逆向選擇行為發生的概率增大。
2.風險評估過程的系統危害。在信息化環境下,各項事務對計算機系統的依賴與日俱增,一旦某個環節出現問題,該類錯誤將會被無限次復制和傳播,從而帶來更大的危害。信息系統越復雜,發生系統性風險的可能性越大。業務流程的自動化雖然降低了業務處理過程中人員疏漏或單獨舞弊的風險,但是如果信息化系統失靈或崩潰,重要信息被竊取,都將給帶來不可估量的損失。因此,信息化環境下,風險變得更加復雜,相應的危害性也更為嚴重。
3.控制活動的難度加大。控制活動是為了保證各項指令得到實施而制定并執行的控制政策和程序,是針對實現組織目標所涉及的風險而采取的必要防范或減少損失的措施。隨著計算機使用范圍的擴大,利用計算機越權參與生產經營活動,從而導致貪污、舞弊、詐騙等犯罪活動有所增加,各種木馬程序、病毒都對信息化內部控制審計構成挑戰。控制活動涉及面更寬,包括計算機系統、人機交互系統、手工操作系統,控制活動難度加大。
4.信息與溝通的多向性。一個良好的信息溝通系統不僅要有向下的溝通管道,還應有向上的、橫向的以及與外界的信息溝通管道。應建立多方向信息溝通機制,利用多方的工作成果,減少重復性的工作,節約資源;同時,溝通的過程也是不斷交流學習的過程,可以提高工作效率。因此,要讓全體人員盡快從手工狀態下的單一溝通機制轉到信息化條件下的多向溝通機制中來。信息化手段在提高溝通效率的同時,也帶來溝通風險。其一,信息化所生成的海量數據,使得信息冗余也可能掩蓋重要信息,不利于決策參考;其二,如果信息與溝通環節控制不當,或者控制被突破,重要信息泄密后立即大范圍擴散,可能對造成重大不利影響。
5.內部控制監督機構形同虛設。我國內部控制起步較晚,發展較為緩慢。內部控制形式重于實質,公司治理不良,風險意識薄弱,導致弊端叢生。于是,很多設計精良的控制系統往往會流于形式。信息化在減少人為操作風險、提高效率的同時,對流程進行了固化,對權力進行了制約。領導層一旦繞過信息化系統進行審批執行,信息系統內嵌的監督功能將會被擱淺,監督機構由于權限和獨立性不高,也難以對管理層權力進行有效約束。
三、內部控制審計信息化風險的應對策略
內部控制審計信息化降低了一些傳統風險,例如信息口徑不統一、信息手工處理錯誤及效率低下等,但同時也增加了許多新的風險,例如安全性風險、信息系統依賴性風險。換言之,也就是信息化導致內部控制審計風險從一種形態演化為另一種形態。如何應對?本文擬從制度建設、設計研發、信息系統改進、人員勝任能力提升和夯實審計防線等方面進行論述。
(一)相關法律規范及單位內部控制制度體系的完善
國家層面,組織力量進一步完善相關基本規范,以及應用指引、評價指引和審計指引,出臺分行業操作指南,積極推動企事業單位開展內部控制信息化和內部控制審計信息化。基于信息化的中長期規劃,支持大型企事業單位研發內部控制審計軟件及構建網絡平臺。
單位層面,密切配合國家政策及法制導向,結合行業特點、單位實際情況和未來發展戰略,建立信息化內部控制及其審計制度,完善風險管理機制,為應對內部控制審計信息化風險提供制度支持。我國大多數企事業單位還沒有形成統一高效的信息系統,業務上線水平低,存在大量信息孤島,不能發揮信息化在管理上的支持作用。世界一流企業基本實現了信息化,我國要向世界一流企業“取經”,汲取成功經驗,總結失敗教訓,發揮內部控制審計信息化建設的后發優勢,努力提高管理經營的信息化水平。
(二)特別強調在信息系統的研發階段對內部控制健全性進行審計
計算機系統的內部控制大部分和系統程序密切結合,內部控制功能被植入到計算機程序之中,構成數據處理的有機組成部分,一旦系統程序投入使用,其內部控制功能隨即被確定,而且不容易得到糾正。因此,信息化環境下對內部控制的審計,特別強調在系統的設計和開發階段就對內部控制的健全性進行檢查和評估。內部控制一旦被固化到信息化流程,就會被鎖死,除非有授權可以對其進行修改。但增加控制環節,無疑就增加了控制風險。因此,信息系統在設計和開發的階段,應該對重要控制節點是否需要固化,以及修改非固化控制所需的授權策略等給予充分考慮,如果某些控制節點風險過大,或使用信息化控制成本很高,或控制修改情況變化過于頻繁,可以考慮手工控制形式,而不必使用信息化控制手段。
此外,必須明確任何單位不可能完全依靠信息化來解決一切問題。單一的信息化內部控制系統本身就是不健全的,內部控制自身有諸多局限性,也可能失效,因為總有些例外情況游離在信息系統之外,而系統缺乏回應,需要啟動應急預案或例外控制機制。信息化必須融合人本戰略、人本文化和人本控制,方能起到事半功倍的作用。計算機不能代替人對突發事件進行全面判斷,因此,如果僅僅實施單一的信息化策略,必然會為日后遭遇重大風險埋下伏筆。內部控制框架由風險治理向人本治理演進是必然趨勢,雖然需要利用信息化,但不能完全依賴信息化,信息化只是控制的手段和形式,圍繞人的利益和訴求才是控制的實質內容。要在信息系統中嵌入人本控制,把最終的控制重心落實到人,而不是完全交給機器。
(三)提升內部控制審計信息系統的風險防范能力
當今,所有單位所面臨的環境十分嚴峻,傳統的只考慮內部經營環境的時代已不復存在,要想在競爭中勝出,就要充分識別諸多外部因素,如社會整體經濟走勢、行業涉及領域的寬泛性、市場的供求關系均衡性、自然災害等,推行全面風險管理,為內部控制審計信息化的實施創造良好的環境。
1.實施基于環境風險評估的企業戰略內部控制審計。傳統內部控制審計對環境的分析是基于風險評估的需要,體現風險導向,而不能體現價值導向,不夠全面,全面內控審計的未來發展方向應該是包含防范和化解風險的價值導向的全面內控審計。戰略是為了應對環境變化所帶來的機會(價值)或威脅(風險)而采取的策略,戰略內部控制是內部控制窗口向戰略層次延伸所形成的內部控制體系,能夠體現內部控制的戰略意圖。因此,實施基于環境風險評估的企業戰略內部控制審計,包含了內部控制風險審計和內部控制價值審計。所有單位面臨的內外部環境風險很多,對內部控制系統造成重大影響的風險包括戰略風險、財務風險、市場風險、運營風險、法律風險,以及信息化本身所蘊含的安全風險。戰略風險對信息化內部控制審計產生重大影響,內部審計需要對內部控制及其信息化與企業戰略的荊合性進行評價,即在實施信息化審計時,必須考慮戰略管理審計。
2.加強內部控制系統的安全性監視。內部控制信息化在提高信息生成和傳播速度、擴大信息共享面、提高信息利用效能方面表現優異,但如果安全防護措施不當,也可能帶來被刪除、篡改和非法利用的風險。內部控制信息化帶來的安全風險源于信息生成、加工、分析、整合、傳播和應用的快捷性、多元性和無形性,因此,要求信息系統在設計過程中必須合理設置數據防火墻和功能安全密鑰,并提供數據的應急管理方案和自動備份策略,保留數據修改和下載痕跡,一方面可以減少內部控制舞弊,同時為信息化內部控制審計取證提供支持。因此,加強信息化內部控制系統的安全性監視能夠提升內部控制審計系統的風險防范能力。
(四)采取預防性的總體應對措施
總體應對措施能夠有效降低內部控制審計信息化風險,主要包括建立與信息化環境相適應的組織架構、提高內部控制審計人員的專業勝任能力等方面。
1.建立與信息化環境相適應的組織架構。組織架構是內部控制的重要環境因素之一,而且對風險評估、控制活動、信息與溝通、內部監督等具有重要影響。建立與信息化環境相適應的組織架構,要求單位基于信息化需求,對治理結構、崗位設置、業務流程等進行革新或優化。單位應當具有明晰的組織結構,并合理設置職能部門,考慮信息化技術優勢,精簡治理層級,提升監督效能。通過信息化手段,充分發揮內部控制的監督機制,這樣才有利于科學決策和規范運行。
2.相關人員執行能力的有效評價。優秀的員工素質是良好的內部控制環境的構成要素,評價內部審計人員、內部控制評價人員和其他相關人員的專業勝任能力和客觀性,可以有效地降低內部控制審計風險。在評價他人的專業勝任能力時,外部審計人員應當考慮其專業資格、職業經驗與技能等相關因素。在評價他人的客觀性時,外部審計人員應當考慮是否存在削弱或者增強其客觀性的因素。
3.相關人員專業技能的再深造。加強對在職審計人員信息化應用水平的培訓,提高內部控制人員的專業勝任能力,同時加快與財經類高校的合作與交流,培養社會所需的復合型知識結構的審計系統開發人員,使他們成為信息化條件下內部控制審計的專業技術人員。對單位所面臨的內外部環境如行業、經營狀況以及市場等進行全面風險評估,不斷提高執業人員信息化內部控制審計的知識、技能和經驗,重點掌握戰略與風險管理、信息化技術、內部控制、云審計、COBIT審計標準等。
四、結語
實行內部控制審計信息化是企事業單位順應大數據時代發展的需要,也是內部控制審計走上規范化、信息化的需要。審計信息化會導致對審計組織方式的觸動和對審計機構調整的需求,應在需要和可能之間尋求適度妥協,以足夠的耐心,等待醞釀中的突破和外部環境的演變。目前,我國內部控制審計信息化雖正處在初級階段,但財政部等五部委頒布并在上市公司實施的《企業內部控制基本規范》和包括審計指引在內的配套指引,以及目前正在積極開發和征求意見的分行業操作指南,為單位內部控制建設注入了強大的推動力,內部控制及其審計從幕后走向前臺。隨著社會經濟的快速發展以及企事業單位參與國際國內市場競爭的加劇,許多大型跨國企業和上市集團公司開始實施ERP和SAP工程,這將為實施內部控制審計信息化提供平臺支持。在政府的政策引導和積極推動下,在社會各界的關注和支持下,以及在所有單位自身戰略目標驅動和風險管理協同下,內部控制審計信息化建設一定會迎來春天。
