《工商银行内部审计信息化建设存在的风险及防范措施》9500字（论文）

摘要：随着当代计算机技术的发展，审计数据也在电子化、信息化。内部审计和信息化的结合成为了当下内部审计发展的重要挑战之一。内部审计信息化是通过利用计算机技术，实现内部审计工作在项目计划、操作流程、风险评价等全过程的信息化、自动化、智能化管理控制，从而更好的提高企业经营管理的信息化水平，实现企业的运营发展目标。工商银行在内部审计信息化建设方面取得了一定的成就，其内部审计信息化水平在我国众多企业中是数一数二的。本文从四个部分研究我国企业内部审计信息化的构建。第一部分指出内部审计信息化建设应当依靠的一些理论。第二部分对工商银行内部审计信息化建设的具体研究。第三部分提出上市公司在内部审计信息化建设时应当注意的一些风险点。最后是结合工行银行内部审计信息化建设方面取得一定成功的经验和相关风险点，提出一些可行的措施。关键词：上市公司；内部审计；信息化前言21世纪以来，互联网技术不断发展，各行各业都在不同程度上受到了信息技术的冲击。内部审计也因互联网技术的影响在不断改变，互联网技术不断地赋给内部审计新的职能，扩大了内部审计的范围，改变着内部审计的对象、模式，变革了内部审计的手段和工作形式。本文研究的主要内容是内部审计信息化构建水平的提升，以工商银行的内部审计信息化建设为例，从工商银行内部审计信息化构建的具体情况进行分析，找到工商银行能取得一定成功的几个主要原因，包括专业的审计平台、创新的审计模式等。接着结合上市公司信息化建设中容易出现的风险点进行具体防范措施的研究，最后提出了一些具有可行性的风险防范措施。一、相关概念及理论基础（一）内部审计相关概念内部审计是指对本公司的财务活动进行有效的监督和评价，帮助企业更好的经营，获取更好的经济效益，实现自身的价值。内部审计主要面向于企业内部组织，为企业内部组织提供相关的服务，帮助企业经营，提升企业的经济效益。内部审计帮助企业确定审计的内容，审计的范围根据审计内容进行确认，主要范围包括这些内容：国家政策的实施情况；本单位的财务状况和具体目标的实施；相关单位负责人的履职情况等。内部审计报告一般只在企业的内部供相关负责任人使用，不对外提供。（二）信息化相关概念信息化是指将计算机技术应用于生产领域之中，通过发展、改善信息化工具，从而提升生产力水平。通过信息化提升的生产能力，叫做信息化生产力。信息化将生产经营中的数据进行分析、汇总，给特定的使用者参考，帮助使用者进行有效的分析，做出适当的决策。信息化技术的应用，信息工具的普及能大幅度提升决策者的效率，降低决策者的使用成本。（三）协同理论不同的系统有着不同的特性，但是在同一个环境下，就会产生千丝万缕的联系。企业要使用的数据和信息分散在各个领域，单独的数据可能不足以满足企业的需求，通过将数据进行联系、整合和分析，各个系统进行协同合作，方能够从不同的方面对被审计单位进行更加完整的描绘。通过系统内部的相互作用，使得系统内部得到有序的排列，其在内部审计信息化中的作用是使得各个部分联合起来，使得数据分析能够更加符合整体的需要，帮助审计流程更加顺畅。可持续发展理论可持续发展理论是指要持续性发展，既要满足当下的需要，又不危害未来对其的需求。可持续发展理论通过以下几个原则体现出来：公平性是指机会的平等。信息化审计通过信息化技术的应用，将数据和个人联系起来，使得通过数据的应用得以体现个人能力，在现代化信息的各种要求下，审计人员得到合理的授权，是信息化审计模式公平性的体现方式。持续性是指不管环境经历了什么样的变化，都能保持自身的高效生产能力。随着审计经济责任的全面覆盖，对审计也提出了更高的要求，审计范围进一步拓展。要想高效发挥审计的效用，要在信息化审计实践中通过多种信息化审计流程的高效运营，逐步提升智能化审计的效率。在当代信息化高速发展的环境中，信息化审计模式应当不断优化自身管理机制、人才激励机制，通过更加灵活的管理，逐步得到优化。共同性是指想要得到更加持久的发展，个体和整体应当配合起来，发挥更大的作用。信息化审计通过数据共享，将组织内部的系统整合起来，结合外部具有共同性的相关组织，相互配合，共同作用于信息化审计模式。二、工商银行内部审计信息化建设分析（一）工商银行概况工商银行成立于1984年。2005年，在金融业面临巨大变革的背景下，整改为中国工商银行股份有限公司，并于2006年同时在上海和香港两地发行上市。工商银行依照国家法律和法规开展融资活动，在国内外筹集社会资金，加强对社会信贷资金的管理，支持企业的经营和发展，同时促进我国经济发展。工商银行依照国家法律，建设了由股份大会、董事会、监事会和高级管理层组成的现代公司治理架构，各部门之间各司其职，互相监督。（二）内部审计情况工商银行内部审计一直随着公司的业务而变化。2005年成立了内部审计机构，一直致力于为公司提供更加可靠的信息，围绕着公司的核心业务，不断地创新、转型和发展。随着公司业务的不断拓展，内部审计业务范围在扩大，内部审计的职能也在转变，主要表现在以下几个方面：从传统业务审计转向电子信息审计，从合规性审计转向公司风险管理、公司治理审计，从确认业务为主转向确认和咨询业务并重为主的审计。工商银行的内部审计始终注重发现公司经营发展中的风险，寻找公司内部审计中存在的缺陷，为这些问题的解决提供合理的建议。除此之外，工商银行在内部审计程序上也有着清晰的规划。主要围绕准备、实施、报告和后续四个阶段展开。内部审计准备阶段主要包括选定审计小组的人员，明确检查的重点和出具审计事项通知书等工作。内部审计实施阶段主要包括查阅相关资料、按照审计方法进行检查等。内部审计报告阶段：汇总发现的问题并上报、撰写审计意见书等。内部审计后续阶段主要包括监督发现问题的整改情况、开项目总结会等。（三）信息化构建情况工商银行注重内部审计信息化建设，在内部审计信息化建设上投入了大量的精力，使其得到了不断改革，形成了具有特色的内部审计方法，发展了较为先进的技术，培养了大批高素质人才，在内部审计信息化建设方面取得了一定成果。信息化技术在这里能够大显身手，不仅改变了传统的线下审计模式，创建了科学的非现场审计模式，还将信息化技术深入应用于审计工作中，广泛应用于管理和分析系统中，极大地推动了内部审计工作的优化改革。这一系列的改革措施，极大地提升工商银行的内部审计信息化水平，能够助力工商银行的发展。1.专业的审计系统平台工商银行以管理、监测、分析为核心，搭建了专业的内部审计信息系统平台。工商银行非常重视内部审计信息系统的建设，在很早就着重于构建内部审计信息系统，更是在多年来从未停下探索的步伐，经历了一步步的摸索与创新，取得了很大的成就。在创建初期，得到了国家的政策扶持，顺应国家的政策方针，有着明确的目标。2007年建设了审计分析系统，为后来的非现场审计搭建了初步的平台。2009年建设了审计管理系统，能够及时处理审计工作中的数据，能更好地管理审计项目，利用信息化技术完成审计工作。2010年建设了审计监测系统，利用监测系统及时监测审计工作中发现的各种风险。在此时就构建成了完善的内部审计信息化平台。三大系统主要功能如下：审计管理系统：作用于内部审计的日常工作中，是审计项目开展的平台，是开展各项审计工作的重要工具，辅助配置审计资源，是实现审计资源最优化的平台。审计监测系统：通过评价和分析相关的数据和指标，开展审计监察工作，检查审计工作中可能存在风险的项目，降低审计项目的风险，辅助审计人员开展审计工作，降低审计工作中的隐患，是开展审计工作的重要平台。审计分析系统：审计分析系统帮助审计人员进行数据分析，即使没有过审计数据分析经验的审计人员也能借此系统很好地开展审计工作，进行审计数据分析。审计分析系统能够减轻审计人员的工作量，在很大程度上提升审计工作效率，还能减少由于数据分析出现的失误。图2-1工商银行内部审计信息系统三大平台资料来源：中国工商银行官网整理/icbc/default1.htm三大系统配合起来能够很高效地工作，能够涉及到企业运营的方方面面，包括日常工作、审计风险评估等。各个系统能够独立地处理好审计工作开展所细分的任务，也是一个可以高效运营的整体，实现各个部分配合起来大于单个相加的价值。审计分析系统为管理和监测提供数据的支持，是其他两个系统开展工作的平台。监测系统可以监测数据的真实性，查明可能存在问题的数据，识别潜在的风险，减少出现重大失误的风险。管理系统进行日常的资源管理，为分析系统和监测系统的工作开展分配合理的资源，提供一定的支持。三个系统各自独立，又相互配合，能够共同在内部审计的工作开展中发挥重大作用。2.创新的现代审计模式以内部审计信息化技术为基础，开展审计工作，形成了创新的现代化审计模式，以非现场的形式开展审计工作。工商银行在刚开展审计工作的时候就致力于打造具有独特风格的审计模式，重视内部审计信息化技术的应用，将信息化技术和审计模式结合起来，不断改革创新。经历了多年的探索，建设成了有着自己鲜明特色的审计模式，探索出了完善的内部审计制度，并且将现代化审计信息技术广泛应用在公司的主要审计业务中，使得信息化技术能在公司的管理和运营中发挥其最大作用，能够有效识别审计项目风险，及时处理好日益增长的审计数据，并为未来审计信息化建设打下坚实基础，给未来信息化发展提供更加广阔的空间。3.科学的信息化审计活动工商银行的内部审计信息化模式与传统审计模式有着重大区别：审计方式得到了非常大的转变，审计的领域也更加广泛。现代化的审计信息技术应用到了审计工作的各个方面，建设成了先进的审计系统，极大程度使得审计活动的科学水平得到提升，审计活动的规范程度，加强。企业财务信息、金融信息、市场环境都能得到合理的评估，其中的风险可以有效得到识别。企业的机构能够得到控制，使各个部门的审计活动可以得到管理部门的监督，及时传递数据，共享信息。内部审计部门可以及时发现审计活动中存在的问题，对于重大的风险可以给与更多关注。审计活动价值能够得到更大地发挥，使其更好地服务于内部审计工作，帮助企业创造更大价值，提升效益。4.高度重视信息化技术发展工商银行在初期开展审计工作，设立内部审计部门的时候就提出了“重视审计信息化建设”的口号，在信息化建设方面也是投入了相当大的精力。在一开始的全手工化审计处理模式，到现在的高度自动化系统处理模式，归功于工商银行内部组织对于信息化建设的重视。工商银行的高级管理层参与到信息化建设的工作当中去，发挥着重要的引导作用。工商银行内部组织不仅有着重视信息化建设的良好意识，也将建设信息化的工作落实到实际中去：创新出了各种先进的技术，研发出了诸多专利技术，赢得了市场优势，与众多高校进行合作，开展信息化项目建设，为未来的信息化发展做好了铺垫。5.高素质的审计人才队伍工商银行内部审计信息化建设取得的重大成就离不开高素质审计人才队伍。在信息化高速发达的今天，传统的高素质审计人才已经满足不了公司的需要，信息化人才的引进已经成为了一种趋势。工商银行注重培养信息化人才，加强对信息化审计人才的引进，加大对内部审计员工的激励，经过这么多年的发展，已经打造出了一个专业的内部审计团队。而这个团队也在实践中不断积累经验，将信息化技术和审计工作紧密结合起来，极大地提升了工商银行的内部审计信息化水准。工商银行的信息化人才培养计划也受到了社会的广泛关注，多次派出境内员工轮换到境外工作，致力于培养国际化信息人才。工商银行不断拓展选人用人的视野，广纳贤才，以良好的制度保证人才的权益，在激烈的信息化人才竞争中能够抢占先机。三、上市公司内部审计信息化风险点（一）电子数据的安全风险1.移动信息存储器的安全风险移动存储器在内部审计信息化应用中发挥着重要作用，应用的范围很广泛，几乎在信息化数据传递中无时无刻都得到了使用。移动存储器给信息化建设带来了巨大的便利，但也带来了一定的安全隐患。审计人员很有可能在使用中不慎丢失掉移动储存器，导致数据的丢失。2.数据库信息的安全风险内部审计人员通常会把审计信息上传到网络数据库中，但是联网的数据库很有可能遭受到病毒感染或者受到恶意攻击，导致数据信息外泄，使公司遭受数据损失的安全风险。3.电脑系统的安全风险由于电脑系统的客观存在，不管软件还是硬件都有遭受损害的风险，这些潜在的风险会给信息化数据造成一定的风险。无论多么先进的电脑，都会存在一定的漏洞，不可避免地要面临这些风险，这会给一些不法分子可乘之机，给数据信息带来安全隐患。（二）数据获取的可靠性风险1.电子数据的获取风险电子数据的获取可能来自于许多地方，但并不一定经过了合法合规的审计程序，因此获取到的数据不一定真实可靠，只有经过正当程序获取到的数据才能被当做有效的审计证据。2.电子数据被篡改风险获得的数据不一定可信，因为电子数据具有易被篡改的特点，费尽周章获得的数据有可能已经被他人所更改，在此基础上得到审计结论，出具的审计报告就有可能与事实严重不符。3.电子数据的操作风险电子数据的专业性较强，因此往往只有专门的技术人员能够具有操作权限，一旦这些数据出现了问题，外行就不一定能够及时发现，而专业人员也不一定能有效地识别出来，那么在此基础上开展审计活动，其可靠性就会受到质疑。（三）审计数据的传递风险1.网络病毒的攻击审计数据传输中可能受到网络病毒的攻击，这些网络病毒危害性强，又有较强的隐蔽性，不易被发现，种类庞杂，会使得数据传输防不胜防，很大可能性受到破坏，导致审计数据的泄露或损害，影响到审计工作的机密性，导致内部审计工作不能正常展开。2.网络设备的维护内部审计部门开展工作的重点往往在审计工作上，对于网络设备不能够深入研究，如果不让专业人员进行检查和测试，长此以往下去，会导致设备在传输过程中出现安全隐患，影响到数据的正常传递。尽管有时开展了日常防护，也只是些简单的工作，在出现较大的风险时，起不到关键保护作用。3.审计数据的转换审计数据经过信息化转换，在转换过程中会出现一些转换风险，导致数据的转换错误，非同一时间下的数据传输，非同一批操作人员的数据传输都有可能导致审计数据的失真。经过多次的传递，审计相关数据就可能与实际有了较大出入，这些数据传递中产生的风险很难能够被合理处理。（四）审计人员操作应用风险1.人为失误的出现根据实践中的统计，由审计人员操作产生的风险占有相当大的比例，人为错误的出现频率往往是最高的。这些风险的出现与人的健康状况、专业能力有着密不可分的关系，很难得到有效地处理。2.信息软件的匹配信息化相关设备的研究开发人员不一定懂得审计工作，而专业的审计人员不一定懂得开发软件工作，这就会导致操作风险的出现：研发出的软件不能完全满足审计人员的需求，审计人员也不一定能完美驾驭这些设备和软件。3.审计人员的风险意识审计人员的风险意识会影响到操作风险，审计人员在开展审计工作的时候，可能觉得处理好审计工作就行，不一定会非常重视计算机网络的信息安全，这会导致审计人员在具体操作中忽视一些潜在的信息化风险，最终影响到审计数据的安全性和可靠性。（五）法律诉讼的风险内部审计人员在开展审计工作的时候可能需要考虑审计工作以外的会引起争议的因素，会影响审计工作的正常开展，最终导致自身的合法权益无法实现的风险。由于各种各样的原因，像是内部审计人员的法律意识、内部审计的证据收集等，都会导致法律诉讼风险的产生，而法律诉讼风险又是内部审计工作需要重点关注的重要风险点之一，一旦忽视了法律诉讼风险，可能会给企业带来巨大的损失。法律诉讼风险产生的原因又很复杂，想要预防和避免法律诉讼风险并不容易，而内部审计信息化的建设更是给企业法律诉讼风险的防范带来了新的挑战：由于数据的信息化，使得一些潜在的隐患更不容易被发现了，这就在无形中加大了企业内部审计中的风险。四、审计信息化风险防范措施（一）强化组织领导，重视信息化建设企业内部审计信息化的建设是一项长期的任务，需要企业投入相当多的资源和财力，这时候，能够得到管理层的支持就显得格外重要。有了管理层的支持，进行信息化建设的时候就会得到许多便利，能更好地开展工作。信息化建设的复杂性要求企业必然给予一定的重视，信息化建设取得一定成就的企业都是非常鲜明的例子，这些企业的管理层都会重视信息化的建设，他们会引导着信息化建设的方向，也是信息化建设能否成功的关键因素之一。因此，管理层应该培养重视信息化建设的意识，为企业的员工树立榜样，在企业中营造这样的良好氛围。在信息化能够得到顺利发展的同时，也要注重将信息化建设和内部审计相结合的工作，将思想贯彻落实于实际行动中，在实际中推动二者的结合，实现创新、突破和发展。长此以往下去，企业信息化水平的提升就有了可靠的保障，内部审计信息化的建设也终会取得成功。（二）提高企业信息化水平内部审计信息化建设能否取得成功，取决于企业内部信息化应用的水平。如果企业能够拥有较高的信息化水平，那么就会有利于内部审计信息化的发展。企业在进行内部审计信息化建设的时候，只需把建设的重点转移到怎样将信息化和内部审计相结合上来。在信息化高速发展的今天，许多企业都已经实现了企业的数据和信息化结合起来，将数据电子化、信息化，这些举措极大地推动了审计信息化的进程。工商银行的智慧审计就是信息化和内部审计结合较为成功的案例。信息化的改进极大地提升了内部审计工作的价值，不仅使得审计工作的效率得到极大提升，也通过信息化审计技术的发展提升了审计工作的准确性，可以通过更多数据的测算，辅助完成审计任务。信息化建设可以通过以下几个方面进行：加大在信息化方面的投入。既然信息化建设能够给企业带来的利益是巨大的，那么在信息化水平提升方面的投入也是值得的。虽然对于信息化的投入所能获得的回报不能立竿见影，但是只要坚信信息化的价值，不断提升信息化水平，在未来能够获得数倍于企业投入的利益。加强社会合作，借用社会力量。单个企业的资源是有限的，所能筹集的资金也是有限的，通过加强与其他公司的合作，可以弥补企业自身的不足，缓解信息化开发水平不够的压力。企业还可以借鉴前人的经验，通过对专业公司的咨询，少走弯路，降低成本。借助政府力量，发挥政策优势。信息化建设要付出巨大的成本，试错成本高，但最终的影响也是非常深远的。我国对于企业信息化建设的扶持力度很大，可以充分借助政府的力量，发挥我国社会主义优势。加强信息化人才队伍的建设。企业的员工是评价企业信息化水平的重要因素之一。企业员工应当有较高的信息化运用水平，为了达到这一目标，应当在企业营造持续学习的氛围，加大对信息化人才的奖励制度，引进更多信息化人才，为企业源源不断地输入更多人才，提升企业在信息化建设方面的创新能力。改变对信息化建设的认知，需要企业各级员工共同投入其中。信息化的建设不仅仅依赖于企业管理层的重视，还依赖于各级员工的重视。企业集体应充分了解信息化建设对于企业发展的价值，员工可以通过提升自身计算机操作水平，管理层更应当以身作则，共同为企业信息化建设贡献自己的一份力量。通过“云服务”发挥信息化建设的效益。我国的信息化建设往往是由一些大企业进行主导，中小企业由于自身条件的限制不能够参与其中，这导致中小企业不能认识到信息化建设对于企业发展的作用，也难以得到信息化发展给企业带来的好处。“云服务”的出现可以帮忙转变这一局面，因为“云服务”的使用成本低，普适性较高，能让中小企业在使用其提供的服务时，享受到信息化给企业带来的价值，能够在信息技术普遍应用的当今时代中切切实实受惠，从而提升企业信息化水平。（三）审计使用“云计算”的大数据平台内部审计信息化建设的重点在于信息化建设，信息化建设的关键又在于数字化水平。通过提升数字化水平，可以推动企业信息化建设的进程。1.重视企业基础数据中心的建设工商银行能够在内部审计信息化建设方面快速发展的重要原因在于工商银行有自己的数据中心，这为其信息化水平的提升打下了良好的基础。企业想要建设属于自己的数据中心，要付出相当大的成本，对于规模不够大的企业来说是非常困难的。我国政府主导建设了大型超级数据中心，来为中小企业提供相关服务。各大型互联网企业也致力于建立属于自己的数据中心。中小企业可以通过借助政府的力量，依靠政府提供的相关服务或是租用这些大型企业的数据中心来提升自身的信息化水平。2.搭建专业的审计数据平台依托于先进的信息化技术，工商银行将其和审计业务结合起来，实现了审计资源的有效管理，搭建了专业的审计数据平台。随着社会进步，电子数据逐渐取代了纸质文件，审计人员需要专业的审计数据平台，先进的信息化审计技术来开展审计业务。企业可以组织审计人员学习业界先进的信息化审计技术，将信息化审计技术与