企業信息化內部審計風險與規避

時間:2022-11-08 11:11:30

導語:企業信息化內部審計風險與規避一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

企業信息化內部審計風險與規避

[摘要]企業內部審計是現代企業經營管理的關鍵之一,無論是外部遵從還是內部審視,企業內部管理對于企業合規合法經營,制度化和標準化運作起著至關重要的作用。在知識和信息高效共享的市場環境下,企業之間的信息和技術鴻溝越來越淺,而執行力成為企業不斷突破和在競爭中決勝的關鍵,企業內部審計的核心作用就是監督和推動企業內外各項管理法規制度、戰略策略以及日常經營活動的高效遵從和執行。隨著企業經營管理普遍應用信息化平臺,并與外部實現信息網絡化交互,企業經營管理面臨著新的審計風險,同時也打開了內部審計新的窗口。本文首先介紹了企業信息化對業務及組織管理的影響,并分析了企業信息化系統下的內容審計風險,最后探討了企業信息化系統下內部審計風險規避措施。

[關鍵詞]企業信息化;內部審計;數字化;智能管理

隨著我國互聯網、移動通信網絡的普遍覆蓋及電子商務、基于互聯網的各類應用的蓬勃發展,我國全社會生產生活的數字化、網絡化和智能化水平已經處于全球領先水平。企業與企業、企業與消費者、消費者與消費者,以及周邊各類主體之間的交易和互動都可以通過數字化的平臺、網絡和智能設備來實現。因此當下我國的企業經營處于一個市場高度開放、信息高度豐富、渠道高度通暢的時代,企業信息化水平從原來的辦公無紙化和自動化,已經發展到全流程的系統化和信息化,并與外部消費者、供應商、伙伴、政府等相關主體或個人實現了實時、無空間阻礙的交流和互動。企業網絡信息化對企業業務運作和組織的影響是革命性的,但在帶來顯著的邊界和高效外,同樣也出現了新的問題和風險。企業內部審計在獲得了更加高效智能化的工具的同時,也面臨著新的挑戰。

1企業信息化系統對業務和組織管理的影響

要理解企業信息化系統對業務和組織管理的影響,首先必須了解當前企業信息化系統發展現狀。企業信息化系統是從辦公自動化和數據庫化發展而來的,原本是企業內部某些部門基于計算機數據庫系統和內部網絡,構建了基于特定業務單元的數據存儲、查詢和統計的辦公系統。隨著企業經營管理各個環節和部門的數據及辦公軟件的打通融合,企業逐漸建立了端到端統一的業務運作和組織管理平臺。而在電子商務、在線支付以及智能識別技術的推動下,企業內部信息化系統逐漸外向化,與外部的接口逐漸增多,信息的內外交互日益頻繁,從而徹底改變了企業業務運作和組織管理的模式。企業信息化系統對業務運作的影響在于業務流程和執行標準的規范化、業務運轉的無時空差異性提升、業務進程和細節可視化和可記錄、業務分析智能化等。第一,企業信息化系統通過固定軟件模塊、權屬、數據庫關聯、操作字段和窗口等工具,將企業經營管理的各類流程,包括內部審計要素融合在平臺中。任何員工在系統中都有明確的角色和權責,并根據系統給出的標準窗口和工具開展工作。對于單個員工而言,只要根據系統提示和自身工作職責進行本環節的標準操作,就能夠向流程和系統輸出標準化的結果。而最終對于整體而言,業務運作在固化但可調節的系統中有序地進行,而盡可能地削弱了個人因素對業務的影響;第二,由于通信網絡和廣域互聯網的高度覆蓋,企業經營的場所和時間外延得到極大的擴展,只要有網絡且保障信息安全的環境下,任何員工都能夠通過企業信息化平臺進行遠程、移動化辦公。對于強調執行效率的競爭環節而言,打破了時空的束縛,極大地提升了業務運作的效率;第三,對于管理者而言,企業信息化系統能夠實現流程的可視、操作記錄的可視以及業務結果的可視,管理者通過機構化的管理試圖能夠實時掌握業務不同層次的運行狀態,能夠快速定位問題并識別風險;第四,企業信息化系統能夠為各業務模塊提供智能化管理的工具,特別是能夠智能化處理海量的統計分析數據,并挖掘出數據之間的關聯?,F代企業競爭的核心就是信息的競爭,快速獲取信息、處理信息并對自身進行調整,能夠保障企業在激烈的競爭中存活下來。無論信息化如何發展,企業經營都離不開人才的組織建設,只有建立能夠高效利用信息化系統以及其中信息數據的組織,企業才能走得更遠。反過來企業信息化系統對組織建設也具有極大的助力,一方面是組織效能能夠量化,二是個體評價數據化。在企業信息化系統下的組織,都與系統中特定系統模塊和節點匹配,組織承接的職責和關鍵經營活動都會在系統中體現。而每個人在自己的企業賬號中開展的各項工作也能夠被主管和組織獲悉。因此,企業信息化系統能夠對組織成員以及整體實現量化和標準化的管理動作,更能實現公平、均衡和及時。

2企業信息化系統下的內部審計風險

盡管企業信息化系統給企業內部管理的標準化和智能化帶來了巨大的改進,但并不是意味著企業內部審計風險就此消失,不僅原本存在于線下的審計風險轉化為電子化的形式,信息化系統本身及管理控制過程中還存在新的風險。一是企業信息化系統存在固有風險。當絕大多數企業經營管理信息都集成到信息化系統中,甚至是僅存在于信息化系統時,不同于紙質線下存儲,信息系統數據存在被黑客或病毒攻擊的風險,賬號密碼等機密信息泄露、濫用等風險。而這些風險隨著企業信息化平臺更加分散和開放,發生的地點、時間以及規模都是難以控制的。此外,信息化系統還存在物理或非物理傷害造成數據丟失、錯亂等風險。在設備、網絡及物理環境穩定,安全防護到位的情況下,企業信息化系統的確能夠高效支撐業務運轉及內部審計,然而一旦出現系統故障或者遭受攻擊,其影響范圍能夠在瞬間擴大,從而致使企業遭受巨大的經濟損失。二是信息化系統在管理控制過程中存在審計風險。企業內部審計的主要工作是通過審視企業各項工作的內外部法規制度遵從,企業經營管理流程及政策遵從等具體活動,確保企業經營的安全性和效益性。然而企業信息化系統帶來業務變革時,并沒有將原有的內部審計風險消除,如業務造假、越權行使、流程缺失等問題,在信息化系統中都仍然存在,因為信息化系統各個環節的實際操作者是鮮活的個體,自然存在各種“靈活”或“灰度”的處理方式。例如審批電子流的代批,聯合客戶捏造虛假合同等在信息化系統中無法杜絕。在信息化系統權限管理中,信息的公開和分享,因為各個環節操作人有意或無意的“失誤”,造成企業敏感信息甚至是保密信息,如員工薪資、合同信息、技術文檔等的泄露,給企業經營管理的正常運作帶來了諸多威脅。這也是目前企業在大力推進信息化的同時,持續加強內部信息安全管理的原因,尤其是以技術為核心的科技型企業,更是將信息安全作為企業生命線的核心命脈之一。三是信息穩定性風險。企業內部審計不僅是內部管理措施,還是外部監管的重要內容。在信息化系統下的內部審計,嚴重依賴企業信息化系統中的數據。而信息化系統的權限管理比線下更加復雜,如果缺乏企業高層領導的審計推動力,內部審計難以在與各個部門和環節博弈中取得全面勝利,從而缺乏充分的審計信息。而更為惡劣的一些企業的信息化系統權限管理松散,存在人為篡改記錄的行為,而此時又缺乏線下憑證對照的情況下,很容易出現嚴重企業內部信息造假,嚴重誤導內部審計工作的方向,導致內部審計結果完全不可用,甚至出現違法違規。

3企業信息化系統下內部審計風險的規避措施

對企業內部審計風險的監控和處理,借助信息化系統必然能夠大大提升效率,當然也要充分識別信息化系統的固有弱點,通過內控制度建設,盡可能減少人為因素對信息化系統的干擾,并同時提升信息自身的安全性和穩定性,才能更有效地發揮信息化系統智能化內審的作用。本文認為應從以下幾個方面規避企業信息化系統下的內部審計風險。建立以財務內控為業務管控核心的經營理念。企業經營本質是財務管理,所有環節和領域都最終會轉化為財務數據,最終呈現為企業的各個財務表單中。企業信息化系統下,能夠將財務管理的各項指標和工具應用到業務流程中,如招投標、合同簽訂、產品研發生產等活動都必須經過財務專業評審,并從效益性角度對決策提供支撐。同時,財務內部管理部門聯合商法等專業部門,共同制定符合內外部法規政策的流程及標準動作,規范輸入和輸入的標準,從而讓企業安全經營和效益導向的經營目標融化到信息化系統的每個角落。當然,建立以財務內控為核心的管理制度,必須有企業所有者及管理團隊進行頂層設計,并身體力行,將流程和內控遵從作為評價企業任何一個成員的工作行為的工具和標準。成功建立財務內控管理制度的企業如華為,由孟晚舟領導的財經管理部實現了華為全球一百多個國家和地區分支機構的行動統一,真正締造了鐵打的營盤。不斷強化企業信息化系統的安全防護和權限管理。為盡可能消除企業信息的泄露和違規使用,企業信息化系統應建立自我防護機制,從網絡安全、終端安全、人員安全等各層次對信息的獲取、傳遞進行控制,如為員工配發的辦公設備必須具備信息和網絡加密功能,信息獲取和傳遞記錄與員工信息匹配等。特別是針對各類賬號濫用的情況,必須對賬戶與終端進行捆綁,對接入網絡、IP地址進行識別。而對于手機拍照、手抄等非電子化信息竊取,則應當通過智能識別技術,明確終端及信息安全責任人的方式,加強信息和終端所有者做好自身信息安全管理。對于員工的工作相關活動,企業有權從后臺進行監控,包括對員工的工作記錄、網絡地址以及個人設備接入等進行管控。嚴格落實例行的內部審計管控工作。企業信息化系統給內部審計帶來了諸多便利,但由于系統中信息不完全真實以及人員和組織的變化,都會導致各種內部審計問題潛藏在信息系統中,如果缺乏統一例行的內部審計管理措施,這些風險將會不斷積累放大,尤其是對于集團性的企業而言隱患更大。因此必須堅決落實好基于信息化系統流程的內控管理措施,具體操作聚焦于發揮信息化系統的數據記錄優勢,對核查周期內的流程相關業務記錄導出,并根據各流程和各環節的所有者、控制者和執行者,下發審核樣本的自我審查任務,按照固定的格式反饋審計問題。同時由財務管理部、法務部等專業部門進行審計,復核各模塊的自審結果,并由公司最高層管理團隊簽發內部審計報告,明確相關問題及改進責任人、改進期限。對情節嚴重的內部審計問題,及時給予內部處罰或者移交外部司法部門處理。

參考文獻

[1]劉正軍,過靈利,易育林.企業內部審計信息化建設中風險控制的相關理論分析[J].現代商業,2015(23):177-179.

[2]徐倩瑩.基于大數據背景下企業內部審計信息化建設的探討[J].中國商論,2018(11).

[3]畢譯之,王冰羽.集團化企業內部審計信息化建設———以中石化集團為例[J].納稅,2018(2):155-156.

[4]葛兆誠.信息化條件下企業內部審計工作的改革與創新[J].納稅,2018(7).

[5]盧成航.信息化環境中內部審計的作用機理、方式及促進措施[J].特區經濟,2018(6).

[6]趙曉飛,陳靜.基于信息化系統的企業內部審計風險方法問題研究[J].中國管理信息化,2017(1):70-71.

作者:鄭元穎 毛梅娟 單位:1.國網浙江省電力有限公司衢州供電公司 2.國網浙江江山市供電有限公司