對行政事業單位內部審計信息化的探討

張長玉

摘 要 隨著信息技術的發展，審計信息化也隨之普及。本文將重點分析行政事業單位內部信息化審計面臨的具體風險，并提出防控建議。

關鍵詞 行政事業單位 內部審計 信息化 風險控制

一、行政事業單位內部審計信息化的風險

由于內部審計信息化的技術特點，使得內部審計信息化存在一定風險。具體表現在以下幾個方面：

（一）缺乏具體的準則和標準

在當前審計對象日益信息化的背景下，單位內部審計的線索、審計內容和審計技術等發生了巨大的變化，而用來約束和規范工作的配套的準則和標準，尤其是適用于行業的準則和標準還處于探索階段，單位審計人員在應用信息化審計的過程中尚無具體的標準。目前，我國還沒有比較完善的內部審計信息化評價體系，如果沒有一套合理的、可量化的評價標準體系，就很難針對性地進行完善和改進，這也給審計信息化帶來了一定的風險。

（二）數據采集風險

采集數據是審計分析的第一步，也是關系到審計質量的關鍵一步。特別是大數據環境下，審計人員需要采集被審計單位的海量業務數據，在數據采集過程中審計人員主要面臨兩個風險：一是保證所采集數據的真實性、完整性，滿足審計分析的需要；二是保證數據采集過程中被審計單位的系統安全性。

（三）大數據存儲和管理的風險

海量的大數據從被審計單位采集回來，在存儲和管理方面，審計機關和人員面臨兩方面的風險：一是數據存儲風險，海量的大數據如何進行存儲，保證數據的完整性，同時可以供審計人員進行審計分析操作；二是數據管理的風險，被審計單位提供的數據包含大量的個人基本信息、敏感信息，審計人員如何對這些數據進行管理，從技術上和制度上保證這些數據不泄露。

（四）數據分析質量風險

審計人員從被審計單位獲取了審計需要的大量數據，接下來要做的就是數據整理、分析，發展審計疑點，對審計疑點進行核實，并生成審計證據。在數據分析過程中審計人員會面對以下審計風險：一是面對海量數據和有限的審計時間，審計人員無法在審計要求的時間內，對數據進行充分的研究、整理、分析和發現審計疑點，審計質量不高。二是只對被審計單位的數據進行分析，忽略對被審計單位信息系統安全性、可靠性的關注，如果被審計單位系統出現重大漏洞，會對審計產生一定風險。三是審計人員技術水平滯后，面對采集回來的數據無法進行處理和分析。審計人員采集回來的數據不能自己處理分析，只能依靠外部人員，或者轉換成熟悉的數據庫格式。但是依靠外部人員存在數據泄露的風險，轉換成其他數據庫格式又存在數據丟失的風險。四是電子數據不同于紙質資料，具有無形性和脆弱性的特點。其中，無形性是指電子證據存儲在存儲介質中，其內容與載體相互分離，復制不改變其完整性和真實性，相較紙質證據而言，不易區分原件及復印件。

二、行政事業單位內部審計信息化風險應對措施

（一）建立有針對性的內審信息化準則

內部審計信息化使得審計對象、審計線索、審計方法等發生了變化。人們在內部審計工作中逐步建立起的一系列審計準則，已不適用于變化了的情況，所以需要重新建立一套新的內部審計準則來指導審計工作實踐。在制定新的內部審計準則時要在考慮我國國情的前提下，大力借鑒國外的先進經驗。新的審計準則是對內部審計信息化的標準化，是衡量內部審計工作的標準，是提高內部審計工作質量的保證。

（二）采用電子數據分析與其他證據相結合審計方法，這種方法可以有效避免因審計數據偏差而導致的審計風險

對電子數據進行分析是找出線索、發現問題的一種途徑，但是電子數據可能存在偏差，分析電子數據后，再結合其他證據，保證分析結果更加的準確，提高審計效率，也能夠有效防范審計風險。

（三）內審人員應加強對會計電算化內控的審計

隨著計算機信息化的高速發展，審計人員應該不斷加強計算機方面的業務學習，才能適應大數據的要求，才能提高審計質量和效率。審計人員的學習有兩個方法：一是各種先進的數據庫操作和分析語句的學習；二是先進的快速梳理數據、分析數據、關聯數據，查找審計疑點的學習?？梢酝ㄟ^聘請專業老師講解和“以干代訓”的方式，對審計人員進行大數據集中分析、信息系統審計等相關技能的培訓。

三、行政事業單位信息化審計風險的幾點建議

內部審計應當把目光前移，從事后監督向全過程監督的轉變，把工作重點放在事前預防、事中控制和事后監督上，充分發揮內部審計的免疫功能，提升內審工作的前瞻性，幫助被審計單位制定相關的內控制度。并通過制度來約束具體的財務行為，防止簡單的頭疼醫頭、腳疼醫腳，使內部審計充分發揮風險管理的作用。

（一）規范數據采集管理，減少審計風險

第一，做好采集前的準備工作。主要包括三個方面：一是明確本次審計的目的，充分調研、了解滿足審計需求需采集的數據范圍；二是通過與被審計單位相關人員接觸，熟悉被審計單位的信息系統流程和數據結構；三是根據審計目的和了解情況，提出明確的數據需求。

第二，選擇合適的數據采集時間。通過與被審計單位進行溝通，選擇合適的時間，在不影響被審計單位正常業務的前提下進行數據采集。

第三，制定科學的數據采集流程，并嚴格按照流程進行操作。審計人員應不接觸被審計單位的系統和后臺數據庫，應只提出操作需求和數據要求，由被審計單位相關人員進行現場操作，審計人員全場監督。

第四，數據采集前、采集后對相關數據進行檢查，通過記錄計數和控制總數檢查、連續性檢查、業務數據對比檢查、重要數據檢查、各處理階段數據完整性檢查、在周期性發生事項的完整性檢查等必要的技術手段，審查數據的真實性和完整性。

第五，采集結束，被審計單位應提供“數據真實完整性承諾書”“數據采集語句”“日志文件”“數據采集現場記錄”“數據字典”等相關技術資料。

第六，審計機關對移動存儲設備進行殺毒，保證無病毒后存儲被審計單位提供的資料。

第七，由于電子數據具有無形性和脆弱性的特點，在使用移動存儲設備存儲同時，應將數據在存入移動存儲設備的同時刻制成光盤，光盤上由審計人員和被審計單位相關人員簽字，然后將光盤封存、加蓋被審計單位公章，作為備份原始數據由審計機關保存。

（二）完善數據管理使用制度

一是制定嚴格的數據管理制度，對數據的管理人員提出嚴格規范要求，規范審計人員使用數據的審批流程；二是建立完善的機房管理制度，非相關人員不得進入機房，進入機房人員應進行詳細登記；三是建立大數據的使用制度，審計人員應該在指定的終端登錄數據中心進行數據分析；四是建立數據下載制度，數據中心的數據審計人員在經過分析后，需要下載的中間表和最終表應該經過嚴格的審批流程后由技術人員進行下載；五是審計人員應每年簽訂數據保密協議，防止對外泄露相關資料。

（三）重視加強內部審計隊伍建設工作

培養內部審計信息化環境下的復合型知識結構人才內部審計信息化，對內部審計人員提出了更高的要求，這就需要培養一支符合內部審計信息化要求的復合型知識結構人才隊伍。所謂復合型人才，是指計算機技能+專業基礎+工作經驗的人員，這就要求審計機構在日常審計過程中，注重培養適應職能部門發展并具備較高素質的審計人才，培養專業型的信息化審計人才是應對信息化審計風險的核心。加強審計人員后續教育培訓工作，不斷提高審計人員的政治思想素質、業務水平和工作能力，以適應新形勢下人們對行政事業單位內部審計工作的更高要求。

（作者單位為遼寧海城驗軍管理區財政所）

參考文獻

[1] 張小乖.內部審計信息化框架及審計數據安全實踐《中國內部審計》[J].