内部审计信息化广义地讲，是指内部审计组织以信息技术为手段，组织计划审计项目、实施审计的全过程。

一、内部审计信息化的概念

内部审计信息化广义地讲，是指内部审计组织以信息技术为手段，组织计划审计项目、实施审计的全过程，以及以确认审计风险或评价企业信息战略、优化组织运营为目标，对组织营运所依赖的信息系统进行独立的、客观的确认和咨询活动。包括两方面的内容：一是以信息技术为手段开展内部审计工作的过程，即计算机辅助审计技术(CAATs);二是指内部审计部门以组织的信息系统为对象，以风险评估或内部控制检查为手段，对该系统所产生会计信息的真实、合法性作出确认，或通过优化企业信息管理，增强企业的核心竞争能力，即信息系统审计或EDP审计。内部审计的计算机辅助审计技术与信息系统审计之间存在着紧密的联系。

一方面，信息系统审计为计算机辅助审计下的常规财务收支审计提供支持。由于企业经营管理信息化以后，原来手工处理方式下的一些管理控制措施发生了根本性变化。一些控制措施已经成为计算机软件程序的操作步骤被固化在日常的操作中，有的已经通过软件自动地进行错误检查核对。而信息系统中控制措施的充分与否，是否正常发挥了作用，是否存在方便操作人员舞弊的“后门”，直接影响到各项经济信息的真实性、合法性。通过信息系统审计可以直接检查确认这些风险，为计算机辅助审计下的常规财务收支审计提供支持。

另一方面，计算机辅助审计是信息系统审计业务开展的最佳切入点。信息系统审计对审计人员的计算机知识要求非常高。从目前审计人员的知识结构来看，不具备直接开展信息系统审计的条件。因此，信息系统审计的开展应当采取循序渐进的战略，即首先逐步引入计算机辅助审计。随着审计人员知识结构的改变和经验的积累，信息系统审计的开展将水到渠成，各种风险尽可能成为可控。

二、内部审计信息化存在的风险

审计风险，是指会计报表存在重大错报或漏报，而审计人员审计后发表不恰当审计意见的可能性。内部审计风险是企业内部审计组织或人员在实施审计的过程中，无意地对存在重大错报或漏报的会计报表以及对具有重要影响的经营活动审计后，出具不恰当的审计结论，造成审计对象和与之相关方面遭受损失或损害，并由此引起审计主体承担这种责任的风险。由于内部审计信息化的技术特点，使得内部审计信息化存在着主体风险、客体风险和环境风险等三个方面的风险。

(一)审计主体风险企业内部审计组织或人员是审计风险产生的主体，审计风险的本质是无意地发表错误审计结论的可能性。这是因为内部审计信息化虽然是以信息技术为手段进行的人机审计，但起决定作用的仍然是审计人员，审计人员的素质高低是决定审计风险大小的关键因素。由于内部审计信息化的环境比手工会计系统更为复杂，审计对象也更多更复杂，内部审计人员只依靠原有的知识和技能是无法胜任审计信息化条件下的内部审计工作的。内部审计信息化对内部审计人员提出了“五能”的要求：能打开被审计单位数据库;能将被审计单位的数据下载到审计人员的计算机中，并转换成为审计人员可阅读的数据格式;能使用具有的查询分析功能的通用软件或审计软件进行查询、分析数据;能在审计现场搭建临时局域网;能排除常见的软硬件故障。这就要求内部审计人员要成为具有全面知识结构的复合型人才，即不仅要有丰富的会计、审计、经济、法律、管理等方面的知识和技能，熟悉审计的政策、法令法规及其他审计依，而且还要熟练掌握计算机硬件与软件的应用技术、熟悉计算机会计信息系统的结构和运行原理、有能力对计算机会计信息系统的内部控制做出适当的评价、掌握利用计算机进行分析性审计的技能和审计软件的开发技能。然而我国目前的审计人员总体水平远远没有达到这一程度，这就给内部审计信息化带来相应的风险。

(二)审计客体风险实行会计电算化后，会计数据的存储介质和形式、会计数据的生成和传递形式都发生了变化。传统的手工会计系统中，审计线索十分明了，从原始凭证、记账凭证、总账、明细账、汇总表直至会计报表，每一步都会有文字记录和验收人的签名，审计人员可以从最初的会计凭证开始，对发生的经济业务进行逐一审核，直到形成最终审计结果;也可以采用逆查法，从会计科目的余额开始，逆向核查，直至原始凭证，从而形成顺查法和逆查法等审计方法。审计信息化条件下，审计线索发生了变化。会计数据的存储介质和形式、会计数据的生成和传递形式都发生了变化，没有了传统的文字记录和账簿，取而代之的是存储磁盘，使得从原始数据的录入和财务报表的输出都只能通过计算机来完成。传统的审计线索消失了，审计人员就很难甚至根本无法通过肉眼跟踪会计业务的处理，也无法用传统的方法考查会计档案数据的安全性、完整性和准确性。因为通过电脑数据库输出的数据正确与否，主要取决于计算机，而非审计人员本身。如果会计电算化系统的应用程序出错或被人非法篡改，计算机只会按给定的程序以同样错误的方式处理有关的会计事项，错误的结果将是不堪设想的，审计人员很难甚至根本无法通过肉眼跟踪会计业务的处理，也无法用传统的方法考查会计档案数据的安全性、完整性和准确性，这就产生了审计客体风险。

(三)审计环境风险各国的审计界在以往的审计工作中已经建立了一系列的审计标准和准则，如审计人员标准、现场审计标准、审计报告标准、职业道德规范、审计效果衡量标准、财务审计标准和经济效益审计准则等。但是，由于信息化审计的对象有了重大变化，审计线索、审计内容及审计技术也受到影响而发生一系列的变化，手工审计中所制定的审计标准和审计准则中的某些已不再适用，这就要求在日益发展的会计电算化系统环境下，应加快制定有关针对性的审计标准和准则，建立一系列与新情况相适应的审计标准与准则，如电算化审计人员培训考核标准、电算化管理信息系统开发审计准则及其内部控制审计准则、审计应用软件标准等都有待建立。相比ROIC、EVA 等许多现行的评价指标体系，目前我国还没有比较完善的内部审计信息化评价体系。“没有比较，就没有进步”，如果我们没有一套合理的、可量化的评价体系，就难以有针对性地进行完善和改进。这也给审计信息化带来一定的风险。

三、内部审计信息化风险应对措施

(一)建立有针对性的内审信息化准则内部审计信息化使得审计对象、审计线索、审计方法等都发生了变化。人们在内部审计工作中逐步建立起的一系列审计准则已不适用于变化了的情况，而需要重新建立一套新的内部审计准则来指导审计工作实践。在制定新的内部审计准则时要在考虑我国国情的前提下，大力借鉴国外的先进经验。新的审计准则是对内部审计信息化的标准化，是衡量内部审计工作的标准，提高内部审计工作质量的保证。

(二)内审人员应加强对会计电算化内控的审计。计算机数据处理易于篡改而不易留下痕迹。健全的管理制度、职能分割制度、授权的控制制度等都是保证财务系统安全运行的基础。对于计算机文档及时的备份维护、防止病毒的侵害，都可以保障计算机系统的安全性。操作密码设置必须健全，达到合理分工、相互制约、相互监督，防止出现意外。内部审计人员应给予处理数据的系统和数据本身更多的关注。着重做到以下两个方面：一是职责明确。内审人员应该检查组织结构、职权和责任的分配与分工情况、其目的在于确定职责分工是否能够提供有力的内部控制，例如，程序与系统开发、计算机操作、输入数据的控制、在可行的情况下应予以分离。二是安全控制。审计人员应该确定是否制订了有关计算机硬件、计算机程序、数据文件、数据传送输入和输出资料以及人员的安全规定。该项检查应该不仅涉及中央处理站的计算机设备，还应包括其他地点的小型机、计算机终端、通讯设施及其他外围设备。

(三)培养内部审计信息化环境下的复合型知识结构人才内部审计信息化对内部审计人员的提出了更高的要求，这就需要培养一支符合内部审计信息化要求的复合型知识结构人才队伍。可以从两个方面来着手：一方面要加快发展审计后备力量，尤其是高校大学生。可以在高校增设电算化审计专业，扩大注册会计师专门化专业的规模，增强该类专业师资力量。课程设置中把审计类与计算机类课程作为两大专业核心课程，加快造就一大批年轻的复合型人才，充实、壮大我国的审计信息化人才队伍。二是加大对现有在职审计人员的计算机技能的培训力度。应该让审计人员真正看到利用计算机辅助审计的好处。通过使用，使他们对计算机的功能有进一步的了解，产生更大的兴趣，提高自觉学习的积极性，然后分阶段、分层次对现有专职审计人员在计算机知识、会计电算化系统的控制及计算机审计的技术方法等方面加以培训，使他们能胜任审计信息化条件下的审计工作;在注重普及计算机知识的同时，还应该积极培养具有复合性知识结构的审计信息化系统开发人员，让计算机技术人员学习会计和审计的基础知识，使他们也加入到审计队伍当中，成为电算化审计的专业人员。

(四)抓好事先审计是关键会计与审计在保证各自职能标准的前提下，为更好地体现两者从系统的程序设计、开发到操作技术方面协调一致，防止各个环节实施过程中出现错误或漏洞，最好的方法就是在会计电算化信息系统设计与开发过程中。由审计人员直接参与，即实行系统的事先审计工作。事先审计可以直接监督系统开发过程必须按照标准的开发规程和方法进行，以保证系统程序及应用控制满足会计管理需要并达到应有的质量。与此同时，审计人员直接参与系统的设计与开发，也为审计人员审查系统开发过程和评价应用控制提供应具备的条件。这些审计程序可以执行审计监督，建立审计跟踪文件，记录符合指定条件的会计事项及操作处理的有关信息，以便日后审计人员跟踪追查这些程序执行审计功能。

以上就是关于内部审计信息化的全部内容，希望给予大家帮助。

相关推荐：

关于审计的法律责任  

关于审计理论基础