新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

曹弋洋

一、引言

我國企事業(yè)單位實施內(nèi)部控制審計信息化是經(jīng)濟全球化和國際化的發(fā)展趨勢，內(nèi)部控制審計信息化是完善審計體系的內(nèi)在要求，也是應對日后可能的外部競爭的必然選擇。目前越來越多的公立醫(yī)院引入信息化技術來增強醫(yī)院管理，快速處理醫(yī)院各流程數(shù)據(jù)，從而為醫(yī)院管理提供基礎。然而，信息系統(tǒng)在高效率地幫助醫(yī)院提高經(jīng)營管理水平的同時也帶來許多新的思考和挑戰(zhàn)。內(nèi)部審計作為醫(yī)院管理的核心部門之一，需要對信息系統(tǒng)平臺的有效性進行評價和分析，這無疑成為內(nèi)部審計人員的一項新的挑戰(zhàn)。

實施內(nèi)部控制審計信息化，重點在于對信息系統(tǒng)進行審計。這里的信息系統(tǒng)，是指利用計算機技術和通訊技術，對內(nèi)部控制進行集成、轉(zhuǎn)化和提升所形成的信息化管理平臺。審計人員對特定基準日信息化環(huán)境下的內(nèi)部控制設計與運行的有效性進行審計，并對其有效性發(fā)表意見。內(nèi)部控制審計信息化是審計信息化的一個重要組成部分，所謂審計信息化就是在運用以電子計算機為代表的現(xiàn)代化數(shù)據(jù)處理工具時，被審計對象進行財務工作和經(jīng)營時，審計人員為了實現(xiàn)其審計目的，收集必要的審計證據(jù)，采取必要的審計程序，對運營的合規(guī)性以及利用計算機以及網(wǎng)絡生成的財務信息進行審計的工作。廣義的信息化環(huán)境下的內(nèi)部控制審計業(yè)務包括計算機內(nèi)部審計所涉及的所有內(nèi)容，即計算機系統(tǒng)內(nèi)部控制制度審計、計算機系統(tǒng)程序?qū)徲嫛⒂嬎銠C系統(tǒng)數(shù)據(jù)文件審計、計算機系統(tǒng)開發(fā)審計、計算機輔助內(nèi)部審計、網(wǎng)絡系統(tǒng)審計、計算機舞弊的控制和審計。狹義的信息化環(huán)境下的內(nèi)部控制審計業(yè)務主要包括計算機系統(tǒng)內(nèi)部控制制度審計、計算機舞弊的控制與審計。本文基于信息化視角，分析實施內(nèi)部控制審計信息化所面臨的風險，并從內(nèi)部控制制度、系統(tǒng)建設、人員素質(zhì)和風險評估體系等多維度對風險因子進行思考，并提出相應的風險應對策略。

二、實施內(nèi)部控制審計信息化存在的風險

實現(xiàn)內(nèi)部控制審計信息化后，提升了醫(yī)院信息系統(tǒng)的運行效率，減少了運營成本，提高了人員的綜合素質(zhì)，順應了時代發(fā)展的趨勢。然而，事物都有兩面性。內(nèi)審信息化的實施也帶來了更多更大的新問題，只有充分認識和解決這些問題，信息化才能健康、快速帶動醫(yī)院的全面發(fā)展。

(一)審計人員在信息化條件下的能力表現(xiàn)不足

內(nèi)部控制審計信息化對審計人員的獨立性和專業(yè)能力要求很高，但實際情況是，許多企事業(yè)單位的內(nèi)部控制和審計獨立性差，甚至存在不少審計人員是兼職的情況，職業(yè)勝任能力欠缺。另外無論是注冊會計師還是內(nèi)部審計師，大部分都是財會專業(yè)出身，也就是比較擅長于財務報表審計和與財務報表相關的內(nèi)部控制審計，對于非財務內(nèi)部控制審計和信息系統(tǒng)審計，缺乏從事信息化內(nèi)部控制審計所需的知識、技能和經(jīng)驗，審計人員在信息化條件下的能力表現(xiàn)不足，審計風險巨大。

(二)內(nèi)部控制系統(tǒng)的信息化增加了內(nèi)部控制審計難度

內(nèi)部控制的信息化必將帶來內(nèi)部控制審計的信息化。內(nèi)部控制審計信息化增加了內(nèi)部控制審計的難度，主要體現(xiàn)為以下五個方面:

1.控制環(huán)境的突變。雖然信息技術使內(nèi)部控制管理層級明顯減少，崗位更加精簡，不僅改變了傳統(tǒng)手工數(shù)據(jù)處理方式，而且觸發(fā)了管理模式、生產(chǎn)方式、交易方式、作業(yè)流程的重大變革，但是信息化對管理者的素質(zhì)提出了更高的要求。從實際操作來看，從內(nèi)部控制審計人員到管理者，短期內(nèi)員工必然對信息化的應用不太適應，有些老一輩領導甚至不太重視內(nèi)部控制信息化。信息化推動組織架構(gòu)的扁平化變革，人與人之間的當面交流減少，大量的業(yè)務處理都在系統(tǒng)內(nèi)完成，信息化的控制環(huán)境下，道德風險和逆向選擇行為發(fā)生的概率增大。

2.風險評估過程的系統(tǒng)危害。在信息化環(huán)境下，各項事務對計算機系統(tǒng)的依賴與日俱增，一旦某個環(huán)節(jié)出現(xiàn)問題，該類錯誤將會被無限次復制和傳播，從而帶來更大的危害。信息系統(tǒng)越復雜，發(fā)生系統(tǒng)性風險的可能性越大。業(yè)務流程的自動化雖然降低了業(yè)務處理過程中人員疏漏或單獨舞弊的風險，但是如果信息化系統(tǒng)失靈或崩潰，重要信息被竊取，都將給帶來不可估量的損失。因此，信息化環(huán)境下，風險變得更加復雜，相應的危害性也更為嚴重。

3.控制活動的難度加大?？刂苹顒邮菫榱吮ＷC各項指令得到實施而制定并執(zhí)行的控制政策和程序，是針對實現(xiàn)組織目標所涉及的風險而采取的必要防范或減少損失的措施。隨著計算機使用范圍的擴大，利用計算機越權參與生產(chǎn)經(jīng)營活動，從而導致貪污、舞弊、詐騙等犯罪活動有所增加，各種木馬程序、病毒都對信息化內(nèi)部控制審計構(gòu)成挑戰(zhàn)?？刂苹顒由婕懊娓鼘?，包括計算機系統(tǒng)、人機交互系統(tǒng)、手工操作系統(tǒng)，控制活動難度加大。

4.信息與溝通的多向性。一個良好的信息溝通系統(tǒng)不僅要有向下的溝通管道，還應有向上的、橫向的以及與外界的信息溝通管道。應建立多方向信息溝通機制，利用多方的工作成果，減少重復性的工作，節(jié)約資源;同時，溝通的過程也是不斷交流學習的過程，可以提高工作效率。因此，要讓全體人員盡快從手工狀態(tài)下的單一溝通機制轉(zhuǎn)到信息化條件下的多向溝通機制中來。信息化手段在提高溝通效率的同時，也帶來溝通風險。其一，信息化所生成的海量數(shù)據(jù)，使得信息冗余也可能掩蓋重要信息，不利于決策參考;其二，如果信息與溝通環(huán)節(jié)控制不當，或者控制被突破，重要信息泄密后立即大范圍擴散，可能對造成重大不利影響。

5.內(nèi)部控制監(jiān)督機構(gòu)形同虛設。我國內(nèi)部控制起步較晚，發(fā)展較為緩慢。內(nèi)部控制形式重于實質(zhì)，公司治理不良，風險意識薄弱，導致弊端叢生。于是，很多設計精良的控制系統(tǒng)往往會流于形式。信息化在減少人為操作風險、提高效率的同時，對流程進行了固化，對權力進行了制約。領導層一旦繞過信息化系統(tǒng)進行審批執(zhí)行，信息系統(tǒng)內(nèi)嵌的監(jiān)督功能將會被擱淺，監(jiān)督機構(gòu)由于權限和獨立性不高，也難以對管理層權力進行有效約束。

三、內(nèi)部控制審計信息化風險的應對策略

內(nèi)部控制審計信息化降低了一些傳統(tǒng)風險，例如信息口徑不統(tǒng)一、信息手工處理錯誤及效率低下等，但同時也增加了許多新的風險，例如安全性風險、信息系統(tǒng)依賴性風險。換言之，也就是信息化導致內(nèi)部控制審計風險從一種形態(tài)演化為另一種形態(tài)。如何應對?本文擬從制度建設、設計研發(fā)、信息系統(tǒng)改進、人員勝任能力提升和夯實審計防線等方面進行論述。

(一)相關法律規(guī)范及單位內(nèi)部控制制度體系的完善

國家層面，組織力量進一步完善相關基本規(guī)范，以及應用指引、評價指引和審計指引，出臺分行業(yè)操作指南，積極推動企事業(yè)單位開展內(nèi)部控制信息化和內(nèi)部控制審計信息化。基于信息化的中長期規(guī)劃，支持大型企事業(yè)單位研發(fā)內(nèi)部控制審計軟件及構(gòu)建網(wǎng)絡平臺。

單位層面，密切配合國家政策及法制導向，結(jié)合行業(yè)特點、單位實際情況和未來發(fā)展戰(zhàn)略，建立信息化內(nèi)部控制及其審計制度，完善風險管理機制，為應對內(nèi)部控制審計信息化風險提供制度支持。我國大多數(shù)企事業(yè)單位還沒有形成統(tǒng)一高效的信息系統(tǒng)，業(yè)務上線水平低，存在大量信息孤島，不能發(fā)揮信息化在管理上的支持作用。世界一流企業(yè)基本實現(xiàn)了信息化，我國要向世界一流企業(yè)“取經(jīng)”，汲取成功經(jīng)驗，總結(jié)失敗教訓，發(fā)揮內(nèi)部控制審計信息化建設的后發(fā)優(yōu)勢，努力提高管理經(jīng)營的信息化水平。

(二)特別強調(diào)在信息系統(tǒng)的研發(fā)階段對內(nèi)部控制健全性進行審計

計算機系統(tǒng)的內(nèi)部控制大部分和系統(tǒng)程序密切結(jié)合，內(nèi)部控制功能被植入到計算機程序之中，構(gòu)成數(shù)據(jù)處理的有機組成部分，一旦系統(tǒng)程序投入使用，其內(nèi)部控制功能隨即被確定，而且不容易得到糾正。因此，信息化環(huán)境下對內(nèi)部控制的審計，特別強調(diào)在系統(tǒng)的設計和開發(fā)階段就對內(nèi)部控制的健全性進行檢查和評估。內(nèi)部控制一旦被固化到信息化流程，就會被鎖死，除非有授權可以對其進行修改。但增加控制環(huán)節(jié)，無疑就增加了控制風險。因此，信息系統(tǒng)在設計和開發(fā)的階段，應該對重要控制節(jié)點是否需要固化，以及修改非固化控制所需的授權策略等給予充分考慮，如果某些控制節(jié)點風險過大，或使用信息化控制成本很高，或控制修改情況變化過于頻繁，可以考慮手工控制形式，而不必使用信息化控制手段。

此外，必須明確任何單位不可能完全依靠信息化來解決一切問題。單一的信息化內(nèi)部控制系統(tǒng)本身就是不健全的，內(nèi)部控制自身有諸多局限性，也可能失效，因為總有些例外情況游離在信息系統(tǒng)之外，而系統(tǒng)缺乏回應，需要啟動應急預案或例外控制機制。信息化必須融合人本戰(zhàn)略、人本文化和人本控制，方能起到事半功倍的作用。計算機不能代替人對突發(fā)事件進行全面判斷，因此，如果僅僅實施單一的信息化策略，必然會為日后遭遇重大風險埋下伏筆。內(nèi)部控制框架由風險治理向人本治理演進是必然趨勢，雖然需要利用信息化，但不能完全依賴信息化，信息化只是控制的手段和形式，圍繞人的利益和訴求才是控制的實質(zhì)內(nèi)容。要在信息系統(tǒng)中嵌入人本控制，把最終的控制重心落實到人，而不是完全交給機器。

(三)提升內(nèi)部控制審計信息系統(tǒng)的風險防范能力

當今，所有單位所面臨的環(huán)境十分嚴峻，傳統(tǒng)的只考慮內(nèi)部經(jīng)營環(huán)境的時代已不復存在，要想在競爭中勝出，就要充分識別諸多外部因素，如社會整體經(jīng)濟走勢、行業(yè)涉及領域的寬泛性、市場的供求關系均衡性、自然災害等，推行全面風險管理，為內(nèi)部控制審計信息化的實施創(chuàng)造良好的環(huán)境。

1.實施基于環(huán)境風險評估的企業(yè)戰(zhàn)略內(nèi)部控制審計。傳統(tǒng)內(nèi)部控制審計對環(huán)境的分析是基于風險評估的需要，體現(xiàn)風險導向，而不能體現(xiàn)價值導向，不夠全面，全面內(nèi)控審計的未來發(fā)展方向應該是包含防范和化解風險的價值導向的全面內(nèi)控審計。戰(zhàn)略是為了應對環(huán)境變化所帶來的機會(價值)或威脅(風險)而采取的策略，戰(zhàn)略內(nèi)部控制是內(nèi)部控制窗口向戰(zhàn)略層次延伸所形成的內(nèi)部控制體系，能夠體現(xiàn)內(nèi)部控制的戰(zhàn)略意圖。因此，實施基于環(huán)境風險評估的企業(yè)戰(zhàn)略內(nèi)部控制審計，包含了內(nèi)部控制風險審計和內(nèi)部控制價值審計。所有單位面臨的內(nèi)外部環(huán)境風險很多，對內(nèi)部控制系統(tǒng)造成重大影響的風險包括戰(zhàn)略風險、財務風險、市場風險、運營風險、法律風險，以及信息化本身所蘊含的安全風險。戰(zhàn)略風險對信息化內(nèi)部控制審計產(chǎn)生重大影響，內(nèi)部審計需要對內(nèi)部控制及其信息化與企業(yè)戰(zhàn)略的荊合性進行評價，即在實施信息化審計時，必須考慮戰(zhàn)略管理審計。

2.加強內(nèi)部控制系統(tǒng)的安全性監(jiān)視。內(nèi)部控制信息化在提高信息生成和傳播速度、擴大信息共享面、提高信息利用效能方面表現(xiàn)優(yōu)異，但如果安全防護措施不當，也可能帶來被刪除、篡改和非法利用的風險。內(nèi)部控制信息化帶來的安全風險源于信息生成、加工、分析、整合、傳播和應用的快捷性、多元性和無形性，因此，要求信息系統(tǒng)在設計過程中必須合理設置數(shù)據(jù)防火墻和功能安全密鑰，并提供數(shù)據(jù)的應急管理方案和自動備份策略，保留數(shù)據(jù)修改和下載痕跡，一方面可以減少內(nèi)部控制舞弊，同時為信息化內(nèi)部控制審計取證提供支持。因此，加強信息化內(nèi)部控制系統(tǒng)的安全性監(jiān)視能夠提升內(nèi)部控制審計系統(tǒng)的風險防范能力。

(四)采取預防性的總體應對措施

總體應對措施能夠有效降低內(nèi)部控制審計信息化風險，主要包括建立與信息化環(huán)境相適應的組織架構(gòu)、提高內(nèi)部控制審計人員的專業(yè)勝任能力等方面。

1.建立與信息化環(huán)境相適應的組織架構(gòu)。組織架構(gòu)是內(nèi)部控制的重要環(huán)境因素之一，而且對風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督等具有重要影響。建立與信息化環(huán)境相適應的組織架構(gòu)，要求單位基于信息化需求，對治理結(jié)構(gòu)、崗位設置、業(yè)務流程等進行革新或優(yōu)化。單位應當具有明晰的組織結(jié)構(gòu)，并合理設置職能部門，考慮信息化技術優(yōu)勢，精簡治理層級，提升監(jiān)督效能。通過信息化手段，充分發(fā)揮內(nèi)部控制的監(jiān)督機制，這樣才有利于科學決策和規(guī)范運行。

2.相關人員執(zhí)行能力的有效評價。優(yōu)秀的員工素質(zhì)是良好的內(nèi)部控制環(huán)境的構(gòu)成要素，評價內(nèi)部審計人員、內(nèi)部控制評價人員和其他相關人員的專業(yè)勝任能力和客觀性，可以有效地降低內(nèi)部控制審計風險。在評價他人的專業(yè)勝任能力時，外部審計人員應當考慮其專業(yè)資格、職業(yè)經(jīng)驗與技能等相關因素。在評價他人的客觀性時，外部審計人員應當考慮是否存在削弱或者增強其客觀性的因素。

3.相關人員專業(yè)技能的再深造。加強對在職審計人員信息化應用水平的培訓，提高內(nèi)部控制人員的專業(yè)勝任能力，同時加快與財經(jīng)類高校的合作與交流，培養(yǎng)社會所需的復合型知識結(jié)構(gòu)的審計系統(tǒng)開發(fā)人員，使他們成為信息化條件下內(nèi)部控制審計的專業(yè)技術人員。對單位所面臨的內(nèi)外部環(huán)境如行業(yè)、經(jīng)營狀況以及市場等進行全面風險評估，不斷提高執(zhí)業(yè)人員信息化內(nèi)部控制審計的知識、技能和經(jīng)驗，重點掌握戰(zhàn)略與風險管理、信息化技術、內(nèi)部控制、云審計、COBIT審計標準等。

四、結(jié)語

實行內(nèi)部控制審計信息化是企事業(yè)單位順應大數(shù)據(jù)時代發(fā)展的需要，也是內(nèi)部控制審計走上規(guī)范化、信息化的需要。審計信息化會導致對審計組織方式的觸動和對審計機構(gòu)調(diào)整的需求，應在需要和可能之間尋求適度妥協(xié)，以足夠的耐心，等待醞釀中的突破和外部環(huán)境的演變。目前，我國內(nèi)部控制審計信息化雖正處在初級階段，但財政部等五部委頒布并在上市公司實施的《企業(yè)內(nèi)部控制基本規(guī)范》和包括審計指引在內(nèi)的配套指引，以及目前正在積極開發(fā)和征求意見的分行業(yè)操作指南，為單位內(nèi)部控制建設注入了強大的推動力，內(nèi)部控制及其審計從幕后走向前臺。隨著社會經(jīng)濟的快速發(fā)展以及企事業(yè)單位參與國際國內(nèi)市場競爭的加劇，許多大型跨國企業(yè)和上市集團公司開始實施ERP和SAP工程，這將為實施內(nèi)部控制審計信息化提供平臺支持。在政府的政策引導和積極推動下，在社會各界的關注和支持下，以及在所有單位自身戰(zhàn)略目標驅(qū)動和風險管理協(xié)同下，內(nèi)部控制審計信息化建設一定會迎來春天。