企业信息化内部审计风险与规避
企业信息化内部审计风险与规避 [摘要]企业内部审计是现代企业经营管理的关键之一,无论是外部遵从还是 内部审视,企业内部管理对于企业合规合法经营,制度化和标准化运作起着至关 重要的作用。在知识和信息高效共享的市场环境下,企业之间的信息和技术鸿沟 越来越浅,而执行力成为企业不断突破和在竞争中决胜的关键,企业内部审计的 核心作用就是监督和推动企业内外各项管理法规制度、战略策略以及日常经营活 动的高效遵从和执行。随着企业经营管理普遍应用信息化平台,并与外部实现信 息网络化交互,企业经营管理面临着新的审计风险,同时也打开了内部审计新的 窗口。本文首先介绍了企业信息化对业务及组织管理的影响,并分析了企业信息 化系统下的内容审计风险,最后探讨了企业信息化系统下内部审计风险的规避措 施。[关键词]企业信息化;
内部审计;
数字化;
智能管理 随着我国互联网、移动通信网络的普遍覆盖及电子商务、基于互联网的各 类应用的蓬勃发展,我国全社会生产生活的数字化、网络化和智能化水平已经处 于全球领先水平。企业与企业、企业与消费者、消费者与消费者,以及周边各类 主体之间的交易和互动都可以通过数字化的平台、网络和智能设备来实现。因此 当下我国的企业经营处于一个市场高度开放、信息高度丰富、渠道高度通畅的时 代,企业信息化水平从原来的办公无纸化和自动化,已经发展到全流程的系统化 和信息化,并与外部消费者、供应商、伙伴、政府等相关主体或个人实现了实时、 无空间阻碍的交流和互动。企业网络信息化对企业业务运作和组织的影响是革命 性的,但在带来显著的边界和高效外,同样也出现了新的问题和风险。企业内部 审计在获得了更加高效智能化的工具的同时,也面临着新的挑战。
1企业信息化系统对业务和组织管理的影响 要理解企业信息化系统对业务和组织管理的影响,首先必须了解当前企业 信息化系统发展现状。企业信息化系统是从办公自动化和数据库化发展而来的, 原本是企业内部某些部门基于计算机数据库系统和内部网络,构建了基于特定业 务单元的数据存储、查询和统计的办公系统。随着企业经营管理各个环节和部门 的数据及办公软件的打通融合,企业逐渐建立了端到端统一的业务运作和组织管 理平台。而在电子商务、在线支付以及智能识别技术的推动下,企业内部信息化 系统逐渐外向化,与外部的接口逐渐增多,信息的内外交互日益频繁,从而彻底 改变了企业业务运作和组织管理的模式。企业信息化系统对业务运作的影响在于业务流程和执行标准的规范化、业务运转的无时空差异性提升、业务进程和细节 可视化和可记录、业务分析智能化等。第一,企业信息化系统通过固定软件模块、 权属、数据库关联、操作字段和窗口等工具,将企业经营管理的各类流程,包括 内部审计要素融合在平台中。任何员工在系统中都有明确的角色和权责,并根据 系统给出的标准窗口和工具开展工作。对于单个员工而言,只要根据系统提示和 自身工作职责进行本环节的标准操作,就能够向流程和系统输出标准化的结果。
而最终对于整体而言,业务运作在固化但可调节的系统中有序地进行,而尽可能 地削弱了个人因素对业务的影响;
第二,由于通信网络和广域互联网的高度覆盖, 企业经营的场所和时间外延得到极大的扩展,只要有网络且保障信息安全的环境 下,任何员工都能够通过企业信息化平台进行远程、移动化办公。对于强调执行 效率的竞争环节而言,打破了时空的束缚,极大地提升了业务运作的效率;
第三, 对于管理者而言,企业信息化系统能够实现流程的可视、操作记录的可视以及业 务结果的可视,管理者通过机构化的管理试图能够实时掌握业务不同层次的运行 状态,能够快速定位问题并识别风险;
第四,企业信息化系统能够为各业务模块 提供智能化管理的工具,特别是能够智能化处理海量的统计分析数据,并挖掘出 数据之间的关联。现代企业竞争的核心就是信息的竞争,快速获取信息、处理信 息并对自身进行调整,能够保障企业在激烈的竞争中存活下来。无论信息化如何 发展,企业经营都离不开人才的组织建设,只有建立能够高效利用信息化系统以 及其中信息数据的组织,企业才能走得更远。反过来企业信息化系统对组织建设 也具有极大的助力,一方面是组织效能能够量化,二是个体评价数据化。在企业 信息化系统下的组织,都与系统中特定系统模块和节点匹配,组织承接的职责和 关键经营活动都会在系统中体现。而每个人在自己的企业账号中开展的各项工作 也能够被主管和组织获悉。因此,企业信息化系统能够对组织成员以及整体实现 量化和标准化的管理动作,更能实现公平、均衡和及时。
2企业信息化系统下的内部审计风险 尽管企业信息化系统给企业内部管理的标准化和智能化带来了巨大的改 进,但并不是意味着企业内部审计风险就此消失,不仅原本存在于线下的审计风 险转化为电子化的形式,信息化系统本身及管理控制过程中还存在新的风险。一 是企业信息化系统存在固有风险。当绝大多数企业经营管理信息都集成到信息化 系统中,甚至是仅存在于信息化系统时,不同于纸质线下存储,信息系统数据存 在被黑客或病毒攻击的风险,账号密码等机密信息泄露、滥用等风险。而这些风 险随着企业信息化平台更加分散和开放,发生的地点、时间以及规模都是难以控 制的。此外,信息化系统还存在物理或非物理伤害造成数据丢失、错乱等风险。在设备、网络及物理环境稳定,安全防护到位的情况下,企业信息化系统的确能 够高效支撑业务运转及内部审计,然而一旦出现系统故障或者遭受攻击,其影响 范围能够在瞬间扩大,从而致使企业遭受巨大的经济损失。二是信息化系统在管 理控制过程中存在审计风险。企业内部审计的主要工作是通过审视企业各项工作 的内外部法规制度遵从,企业经营管理流程及政策遵从等具体活动,确保企业经 营的安全性和效益性。然而企业信息化系统带来业务变革时,并没有将原有的内 部审计风险消除,如业务造假、越权行使、流程缺失等问题,在信息化系统中都 仍然存在,因为信息化系统各个环节的实际操作者是鲜活的个体,自然存在各种 “灵活”或“灰度”的处理方式。例如审批电子流的代批,联合客户捏造虚假合同等 在信息化系统中无法杜绝。在信息化系统权限管理中,信息的公开和分享,因为 各个环节操作人有意或无意的“失误”,造成企业敏感信息甚至是保密信息,如员 工薪资、合同信息、技术文档等的泄露,给企业经营管理的正常运作带来了诸多 威胁。这也是目前企业在大力推进信息化的同时,持续加强内部信息安全管理的 原因,尤其是以技术为核心的科技型企业,更是将信息安全作为企业生命线的核 心命脉之一。三是信息稳定性风险。企业内部审计不仅是内部管理措施,还是外 部监管的重要内容。在信息化系统下的内部审计,严重依赖企业信息化系统中的 数据。而信息化系统的权限管理比线下更加复杂,如果缺乏企业高层领导的审计 推动力,内部审计难以在与各个部门和环节博弈中取得全面胜利,从而缺乏充分 的审计信息。而更为恶劣的一些企业的信息化系统权限管理松散,存在人为篡改 记录的行为,而此时又缺乏线下凭证对照的情况下,很容易出现严重企业内部信 息造假,严重误导内部审计工作的方向,导致内部审计结果完全不可用,甚至出 现违法违规。
3企业信息化系统下内部审计风险的规避措施 对企业内部审计风险的监控和处理,借助信息化系统必然能够大大提升效 率,当然也要充分识别信息化系统的固有弱点,通过内控制度建设,尽可能减少 人为因素对信息化系统的干扰,并同时提升信息自身的安全性和稳定性,才能更 有效地发挥信息化系统智能化内审的作用。本文认为应从以下几个方面规避企业 信息化系统下的内部审计风险。建立以财务内控为业务管控核心的经营理念。企 业经营本质是财务管理,所有环节和领域都最终会转化为财务数据,最终呈现为 企业的各个财务表单中。企业信息化系统下,能够将财务管理的各项指标和工具 应用到业务流程中,如招投标、合同签订、产品研发生产等活动都必须经过财务 专业评审,并从效益性角度对决策提供支撑。同时,财务内部管理部门联合商法 等专业部门,共同制定符合内外部法规政策的流程及标准动作,规范输入和输入的标准,从而让企业安全经营和效益导向的经营目标融化到信息化系统的每个角 落。当然,建立以财务内控为核心的管理制度,必须有企业所有者及管理团队进 行顶层设计,并身体力行,将流程和内控遵从作为评价企业任何一个成员的工作 行为的工具和标准。成功建立财务内控管理制度的企业如华为,由孟晚舟领导的 财经管理部实现了华为全球一百多个国家和地区分支机构的行动统一,真正缔造 了铁打的营盘。不断强化企业信息化系统的安全防护和权限管理。为尽可能消除 企业信息的泄露和违规使用,企业信息化系统应建立自我防护机制,从网络安全、 终端安全、人员安全等各层次对信息的获取、传递进行控制,如为员工配发的办 公设备必须具备信息和网络加密功能,信息获取和传递记录与员工信息匹配等。
特别是针对各类账号滥用的情况,必须对账户与终端进行捆绑,对接入网络、IP 地址进行识别。而对于手机拍照、手抄等非电子化信息窃取,则应当通过智能识 别技术,明确终端及信息安全责任人的方式,加强信息和终端所有者做好自身信 息安全管理。对于员工的工作相关活动,企业有权从后台进行监控,包括对员工 的工作记录、网络地址以及个人设备接入等进行管控。严格落实例行的内部审计 管控工作。企业信息化系统给内部审计带来了诸多便利,但由于系统中信息不完 全真实以及人员和组织的变化,都会导致各种内部审计问题潜藏在信息系统中, 如果缺乏统一例行的内部审计管理措施,这些风险将会不断积累放大,尤其是对 于集团性的企业而言隐患更大。因此必须坚决落实好基于信息化系统流程的内控 管理措施,具体操作聚焦于发挥信息化系统的数据记录优势,对核查周期内的流 程相关业务记录导出,并根据各流程和各环节的所有者、控制者和执行者,下发 审核样本的自我审查任务,按照固定的格式反馈审计问题。同时由财务管理部、 法务部等专业部门进行审计,复核各模块的自审结果,并由公司最高层管理团队 签发内部审计报告,明确相关问题及改进责任人、改进期限。对情节严重的内部 审计问题,及时给予内部处罚或者移交外部司法部门处理。