内部审计信息化广义地讲，是指内部审计组织以信息技术为手段，组织计划审计项目、实施审计的全过程。

一、内部审计信息化的概念

内部审计信息化广义地讲，是指内部审计组织以信息技术为手段，组织计划审计项目、实施审计的全过程，以及以确认审计风险或评价企业信息战略、优化组织运营为目标，对组织营运所依赖的信息系统进行独立的、客观的确认和咨询活动。包括两方面的内容：一是以信息技术为手段开展内部审计工作的过程，即计算机辅助审计技术(CAATs);二是指内部审计部门以组织的信息系统为对象，以风险评估或内部控制检查为手段，对该系统所产生会计信息的真实、合法性作出确认，或通过优化企业信息管理，增强企业的核心竞争能力，即信息系统审计或EDP审计。内部审计的计算机辅助审计技术与信息系统审计之间存在着紧密的联系。

一方面，信息系统审计为计算机辅助审计下的常规财务收支审计提供支持。由于企业经营管理信息化以后，原来手工处理方式下的一些管理控制措施发生了根本性变化。一些控制措施已经成为计算机软件程序的操作步骤被固化在日常的操作中，有的已经通过软件自动地进行错误检查核对。而信息系统中控制措施的充分与否，是否正常发挥了作用，是否存在方便操作人员舞弊的“后门”，直接影响到各项经济信息的真实性、合法性。通过信息系统审计可以直接检查确认这些风险，为计算机辅助审计下的常规财务收支审计提供支持。

另一方面，计算机辅助审计是信息系统审计业务开展的最佳切入点。信息系统审计对审计人员的计算机知识要求非常高。从目前审计人员的知识结构来看，不具备直接开展信息系统审计的条件。因此，信息系统审计的开展应当采取循序渐进的战略，即首先逐步引入计算机辅助审计。随着审计人员知识结构的改变和经验的积累，信息系统审计的开展将水到渠成，各种风险尽可能成为可控。

二、内部审计信息化存在的风险

审计风险，是指会计报表存在重大错报或漏报，而审计人员审计后发表不恰当审计意见的可能性。内部审计风险是企业内部审计组织或人员在实施审计的过程中，无意地对存在重大错报或漏报的会计报表以及对具有重要影响的经营活动审计后，出具不恰当的审计结论，造成审计对象和与之相关方面遭受损失或损害，并由此引起审计主体承担这种责任的风险。由于内部审计信息化的技术特点，使得内部审计信息化存在着主体风险、客体风险和环境风险等三个方面的风险。

(一)审计主体风险企业内部审计组织或人员是审计风险产生的主体，审计风险的本质是无意地发表错误审计结论的可能性。这是因为内部审计信息化虽然是以信息技术为手段进行的人机审计，但起决定作用的仍然是审计人员，审计人员的素质高低是决定审计风险大小的关键因素。由于内部审计信息化的环境比手工会计系统更为复杂，审计对象也更多更复杂，内部审计人员只依靠原有的知识和技能是无法胜任审计信息化条件下的内部审计工作的。内部审计信息化对内部审计人员提出了“五能”的要求：能打开被审计单位数据库;能将被审计单位的数据下载到审计人员的计算机中，并转换成为审计人员可阅读的数据格式;能使用具有的查询分析功能的通用软件或审计软件进行查询、分析数据;能在审计现场搭建临时局域网;能排除常见的软硬件故障。这就要求内部审计人员要成为具有全面知识结构的复合型人才，即不仅要有丰富的会计、审计、经济、法律、管理等方面的知识和技能，熟悉审计的政策、法令法规及其他审计依，而且还要熟练掌握计算机硬件与软件的应用技术、熟悉计算机会计信息系统的结构和运行原理、有能力对计算机会计信息系统的内部控制做出适当的评价、掌握利用计算机进行分析性审计的技能和审计软件的开发技能。然而我国目前的审计人员总体水平远远没有达到这一程度，这就给内部审计信息化带来相应的风险。

(二)审计客体风险实行会计电算化后，会计数据的存储介质和形式、会计数据的生成和传递形式都发生了变化。传统的手工会计系统中，审计线索十分明了，从原始凭证、记账凭证、总账、明细账、汇总表直至会计报表，每一步都会有文字记录和验收人的签名，审计人员可以从最初的会计凭证开始，对发生的经济业务进行逐一审核，直到形成最终审计结果;也可以采用逆查法，从会计科目的余额开始，逆向核查，直至原始凭证，从而形成顺查法和逆查法等审计方法。审计信息化条件下，审计线索发生了变化。会计数据的存储介质和形式、会计数据的生成和传递形式都发生了变化，没有了传统的文字记录和账簿，取而代之的是存储磁盘，使得从原始数据的录入和财务报表的输出都只能通过计算机来完成。传统的审计线索消失了，审计人员就很难甚至根本无法通过肉眼跟踪会计业务的处理，也无法用传统的方法考查会计档案数据的安全性、完整性和准确性。因为通过电脑数据库输出的数据正确与否，主要取决于计算机，而非审计人员本身。如果会计电算化系统的应用程序出错或被人非法篡改，计算机只会按给定的程序以同样错误的方式处理有关的会计事项，错误的结果将是不堪设想的，审计人员很难甚至根本无法通过肉眼跟踪会计业务的处理，也无法用传统的方法考查会计档案数据的安全性、完整性和准确性，这就产生了审计客体风险。