時間:2023-06-07 09:32:27
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇遠程審計的思考,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:內部審計;計算機輔助審計;溝通
隨著全球信息網絡化的發展,計算機網絡技術被廣泛應用于企業經營和內部管理的全過程。面對審計資料無紙化、審計數據海量化的新挑戰,內部審計對業務的監督逐步由現場手工查證的傳統方式過渡到利用計算機進行遠程監控與現場核實結合的新方式,內部審計人員與審計對象的溝通方式也隨之發生了一些新變化。
一、計算機輔助審計發展情況簡述
計算機輔助審計是指審計機構、審計人員在審計過程和審計管理活動中,以計算機為工具,推廣應用信息技術,深入開發利用信息資源,改進審計作業和管理手段,全面、及時、有效地檢查和監督經營管理信息,維護資產安全,更經濟、有效地履行審計職能的活動過程。
計算機輔助審計的推廣有賴于企業內部網絡化和計算機軟、硬件投入程度的加大。近年來,一些大型國有企業、金融機構以及稅務、財政部門都不同程度地創建完善了財務收支和各種內部管理的網絡系統。這些機構的內審部門也基本實現了與內部其他相關部門的網絡互聯,為實現信息交換網絡化開辟了快速通道,為開展網絡審計、實現實時監控打下了基礎。與此同時,這些較大行業和系統積極推動計算機輔助審計建設,硬件投入和更新較為及時,軟件開發也初見成效,使內部審計工作邁上了新的臺階。
二、計算機輔助審計引起溝通的主要變化
溝通貫穿于審計工作的全過程,是審計人員必備的專業技能。中國內部審計協會的《內部審計具體準則第10號――內部審計與外部審計的溝通》、《內部審計具體準則第11 號――結果溝通》、《內部審計具體準則第20號――人際關系》,以及國際內部審計專業實務框架等,均給出內部審計活動如何進行溝通的指引。審計溝通的技巧對于建立良好的人際關系、創造和諧的工作氣氛、實現有效的信息交流、保證審計工作的順利開展具有十分重要的作用。
與傳統審計方式對比,計算機輔助審計中的溝通主要有以下變化。
(一)增加了與業務主管部門和一線業務人員的日常溝通。近十年來,各種業務電算化建設速度非常迅速,業務處理大集中模式已經成為主要的發展方向。面對著繁多的平臺模塊、各不相同的數據表定義,內部審計師不可能具備業務主管部門和一線人員所具有的相關系統知識和技能。為深入了解和研究各類業務系統功能模塊的具體用途和數據關系,有針對性地使用審計軟件創建審計模型、查找審計疑點,內部審計師必須加強與業務主管部門和一線業務人員的日常溝通。
(二)增加了與審計軟件開發人員的溝通環節。傳統審計以現場作業為主,審計人員主要面向業務經辦的一線業務人員及其管理者,通過審閱、核對、復算、盤點、觀察、鑒定、分析性復核等方法進行取證。在計算機輔助審計方式下,對審計軟件應用的需求逐步加大,開發適用的審計軟件對提高審計效率和保證審計質量起到重要的作用。參與設計審計軟件的內部審計人員必須與技術開發人員進行良好溝通,才能將成熟的審計方法和技巧融入審計軟件中,建立適用的查證疑點模型,有效建立業務系統與審計系統之間的關聯,提高查找疑點的準確性。
(三)增加了遠程溝通審計業務疑點的機會。受審計資源的限制,傳統審計是在本系統內部選取某幾個分支機構作為具體抽樣對象開展現場審計,內部審計人員主要在審計對象的工作場所內進行查證。在計算機輔助審計方式下,借助審計軟件,運行適當的審計模型,可以廣泛地發現系統內存在的重大風險以及普遍性問題,不受地理范圍的限制,真正實現以風險為導向的審計模式。審計軟件的運行,可以得到幾十條、幾百條、甚至上萬條需要核實的疑點,除少數存在重大風險的疑點需要內部審計人員到現場進行重點核實外,對中等風險的疑點可以通過系統追查業務的具體流向以確定問題所在,其他大部分低風險的疑點可以通過遠程溝通方式進行核實:如通過郵件、電話等方式詢問疑點的情況,移交被審計單位的上級主管協助核實,對風險輕微的可以移交審計對象自查。由于遠程溝通并非面對面的溝通方式,審計對象可能會由于不了解審計工作而抗拒配合對問題的核實,又或是隨便應付了事,因此,遠程溝通需要審計人員更多的溝通技巧。
三、如何實現計算機輔助審計中的有效溝通
(一)加強與管理人員和一線業務人員溝通,加深對業務系統的熟悉程度
在信息化時代,內部審計人員只有熟悉審計對象業務系統、了解審計客體信息的構造和特點,才能有針對性地采取專用技術,實現應有的監督作用。首先,內部審計部門應以制度形式,制定與駐地審計對象的日常工作聯系制度,要求審計對象定期將業務系統的發展狀況、功能擴展、優化更新情況,以及新業務流程等文件報送審計機構。其次,日常工作中,內部審計人員應關注業務系統發展的新動態,可以根據專業方向定期與業務管理人員聯系討論業務發展的新動態,參加業務主管部門的培訓班,保持業務知識的更新。再次,內部審計人員可以短期跟班工作等方式加深對系統實際操作的了解,實地向一線業務人員了解具體業務流程,更好地理論聯系實踐。通過不斷的知識更新與深入研究,內部審計人員才能盡快深入了解業務動態及相關系統功能,為有針對性地將審計技巧融入審計軟件打好基礎。
(二)加強與軟件開發人員溝通,實現審計技巧與審計軟件開發的有機結合
內部審計信息化建設的關鍵,是組成審計專家和計算機專家結合的研發小組,開發合適的計算機輔助審計軟件。首先,需要高級管理層重視,以內部審計章程的形式,要求所有業務系統的開發必須留有審計系統的數據接口,為獲取完整的業務數據提供條件。其次,內部審計專家應從審計實務出發,將審計原理和內部審計程序轉變為流程圖的形式,以便開發人員理解審計作業流程,編譯出符合審計規范的軟件。再次,內部審計專家應針對本機構業務系統的具體特點,研發各類查證和分析技巧,并與開發人員一同選用適當的統計工具和常用的審計函數,使軟件開發人員開發出簡明易懂、符合審計人員工作習慣的軟件。
(三)增強遠程溝通的公開性與透明度,順利獲得審計對象對內部審計工作的幫助和支持
在進行遠程溝通時,首先要取得溝通對象的信任,內部審計人員應該注意將審計目的、測試的范圍、疑點核實的反饋方法等具體事項向每個審計對象進行詳細說明,并取得審計對象上級管理部門與審計對象機構負責人的配合,以消除雙方的誤解,提高溝通的層次。其次,必須與審計對象聲明審計工作的嚴肅性,明確核實工作中的審計聯系人和提供核實材料的責任人,避免審計對象敷衍了事、避重就輕、無端否認事實等情況。再次,必須要保證遠程溝通過程的信息交流通暢,內部審計應公開查證人員名單、聯系方式,定期公布審計工作進度,讓審計對象理解和自覺配合審計工作,及時提供完整、真實的信息。
(四)重視內部審計軟件應用的培訓,提高計算機輔助審計工作效率和效果
目前,大多數內部審計人員依然秉承傳統的審計技術,只會使用審計對象的管理系統進行簡單查詢,對審計軟件的使用也只是處于查詢、編制工作底稿的初級水平,遠未達到掌握數據庫和靈活使用審計軟件進行模型編制、多緯度分析的高級水平。內部審計機構應注重加強對審計軟件的培訓,使所有內部審計人員熟練掌握操作知識與技巧,培養一批既精通審計業務,又了解掌握計算機技術的復合型內部審計人才,提高計算機輔助審計工作效率和效果。一是制定經常性的培訓計劃,編制從基礎級到提高級的各等級培訓教材,鼓勵員工參與培訓,逐步提高應用水平;二是推行應用水平等級考試,將考核成績納入內部審計職業準入的條件之一,并結合激勵措施引導學習和應用的自覺性;三是要注重對業務查詢、模型編制、疑點核實等使用經驗的總結和提升,不斷提高和加深對審計軟件的應用水平。
參考文獻:
[1]索耶.內部審計:現代內部審計實務(第五版)(美)[M].北京:中國財政經濟出版社,2005.
關鍵詞:聯網審計;財政審計
中圖分類號:F239 文獻標識碼:A 文章編號:1001-828X(2014)03-0-01
一、聯網審計的特征和必要性
聯網審計是指審計機關與被審計單位進行網絡互聯后,在對被審計單位財政財務管理相關信息系統進行測評和高效率的數據采集與分析的基礎上,對被審計單位財政財務收支的真實性、合法性、效益性進行適時、遠程檢查監督的行為。與傳統現場審計相比,聯網審計有以下特征:
(一)實時性。聯網審計通過計算機網絡實現數據傳輸,審計主體與審計客體建立實時的監控系統與機制,實現信息的實時傳輸。審計人員通過網絡訪問被審計單位信息數據庫,縮短了每次檢查活動的相隔期間以及檢查時間,對于具體的財政財務收支事項,既可以在該事項結束后實施審計,也可以在該事項進行過程中適時進行審計,從而實現了事后審計與事中審計相結合,增強了審計的時效性。
(二)主動性。聯網審計的重要特點,就是能夠對審計客體的財務資料、業務信息進行全過程的實時跟蹤、監控,實現對審計客體全過程預警、分析、核查等。傳統現場審計模式中,審計項目根據年度計劃確定,且延伸審計經常依靠主管部門安排,降低了審計追蹤的準確性。通過聯網審計模式,審計范圍更廣、審計內容更深、能夠便捷地發現審計疑點,有針對性地選擇延伸審計對象,審計人員充分掌握了主動性。
(三)動態審計。聯網審計對比傳統現場審計,最大的區別在于由以往的靜態審計變為實時的動態審計,將審計活動由在特定時間進行的靜態活動發展為多時點、多維度的系統性動態活動。
二、推進聯網審計在構建財政審計大格局中的作用
(一)擴展財政審計覆蓋面。預算執行審計作為審計機關永恒的主題,在為服務宏觀調控、規范財政預算管理、提高資金使用效益發揮了積極的促進作用,財政管理逐步走上規范化的軌道。然而,由于基層審計機關業務人員少,預算執行審計組規模小等客觀原因,審計過程中對預算單位抽查力度小,預算執行審計的覆蓋面窄,審計盲區多,影響預算執行審計作用發揮。
推進聯網審計,通過數據采集、預警設定、橫向分析、趨勢分析等手段,科學統籌審計資源,提升審計效率效果。通過審計方式、審計技術方法的變化,以被審計單位計算機信息系統和數據庫原始數據為切入點,在對信息系統進行檢查測評的基礎上,通過對數據的采集、轉換、清理、驗證,運用查詢分析、多維分析、數據挖掘等多種技術和方法構建模型進行數據分析,發現趨勢異常和錯誤,把握總體,突出重點,精確延伸,從而收集審計證據,實現審計目標,逐步提高財政審計覆蓋面,最終實現財政資金的全覆蓋,構建財政審計大格局的目標。
(二)實現更高效的數據采集和分析。在傳統現場審計中,審計人員利用計算機輔助實施審計數據的采集和分析,在數據量上受到所攜帶設備、審計范圍的限制;在時間上受到現場組網和審計進度的影響。在聯網審計中,前期平臺一次建立,在日程采集中數據采集和分析的數量基本不受設備限制,審計范圍在事前確定為最大可能的范圍,時間不受現場組網時間與審計期間影響。因此聯網審計具有更高的審計數據采集和分析效率。
(三)實現更科學的項目計劃和管理。在聯網審計模式下,能夠及時把握趨勢,發掘重點,跟蹤線索,以選取重點資金、重點部門安排審計項目。在信息化條件下統籌安排、合理布局,將一個單位或部門的全部審計項目作為一個整體,讓其他項目直接或間接地為預算執行審計服務,更清晰地把握預算執行的過程和結果,審計方案制定更具體、更具操作性。
(四)實現更多樣的審計成果。聯網審計模式下,審計節點更具實時性,審計范圍更具全局性,審計手段更具科學性,因而審計查出問題更具針對性、準確性,更能發現帶有全局性、傾向性的問題,撰寫審計分析、審計綜合報告等,為政府宏觀決策提供參考意見。
三、推進聯網審計建設的幾點思考
(一)完善制度保障。要建立和完善制度保障,以指導聯網審計工作實踐的深入。要建立規范管理的制度,明確審計部門與被審計單位雙方的權利和責任;確定聯網審計的基本模式,建立審計部門內部審計流程、權限管理、風險管理等一整套規章制度,做到在聯網過程中有章可循,為開展聯網審計提供制度保障。
(二)加強宣傳引導。審計部門采取多種方式,利用多種渠道進行聯網審計宣傳,使得被審計單位的領導、財務及相關人員理解聯網審計的實質性意義,消除被審計單位對聯網審計的誤解,從而積極支持和配合聯網審計的進行。
(三)加快網絡建設。在現有的基礎上加強審計網絡建設,有計劃地逐步建立全面的審計網絡。利用好現有的現場審計實施軟件,開發能面向各種系統、各類被審計對象、各種主題的審計軟件,配置先進實用的計算機設備和功能性強、可兼容的系統軟件,從被審計單位準確獲取各種數據,實現有效的遠程審計。
(四)防范審計風險。在網絡環境下,審計面臨的不僅僅是企業內部控制風險,網絡的安全性也為審計帶來新的風險。因此,被審單位的信息系統控制和網絡信息的安全可靠性成為網絡審計中審計風險防范和控制的重點。要著重對系統的職責分離情況、操作權限設置進行審查,采取安全可靠的措施做好保密工作。在聯網審計實施過程中,嚴禁接觸數據的電腦連接其它網絡,以凈化聯網審計的網絡空間,保證聯網審計實施過程中的網絡安全。
參考文獻:
[1]張聰聰.利用財政聯網審計擴展預算執行審計的覆蓋面.審計月刊,2011(1)(總第273期).
[2]王松艷.在財政審計大格局下推進聯網審計的思考.審計月刊,2011(8)(總第280期).
【論文摘 要】世界各國審計機關對計算機處理環境的內部控制問題都有相當的重視,當前對內部控制的研究存在三個問題:一是對廣域網絡環境下會計系統的內部控制缺乏研究;二是對內部控制的分類欠妥;三是不少控制措施以及對內部控制的符合性測試方法脫離實際。本文針對這些問題展開討論并提出了內部控制及審計措施。
進入21世紀以來,世界各國審計機關對計算機處理環境的內部控制問題都更加重視,進行了非常深入的研究。既肯定了計算機處理環境對內部控制的影響,又研究了加強控制的措施,還探討了審計內部控制的方法。但是,隨著計算機技術的日新月異,尤其是商務和財務的出現,前述的這些研究已經顯得蒼白。我們認為,當前對內部控制的研究存在三個問題:一是對廣域網絡環境下會計系統的內部控制缺乏研究,二是對內部控制的分類欠,三是不少控制措施以及對內部控制的符合性測試方法脫離實際。下面將就這些問題展開討論。
一、網絡會計給內部控制提出了新課題
網絡財務戰略一經提出就獲得的普遍認同,成為業界關注的焦點,引發人們對網絡環境下財務與管理的思考。網絡財務的最閃光之處是通過internet實現多種遠程處理和支持電子商務,而這恰恰給會計內部控制出了難題。
我們知道,電子商務和遠程處理必然要求會計系統的進一步開放與數據共享,而開放與共享將增加安全控制的難度,信息安全、資金安全都將成為內部控制的焦點。安全威脅既來自企業內部工作漫不經心的員工,也來自心懷不滿的職員、外部黑客以及競爭對手。因為網上交易公開化程度較高,操作人員和信息使用者干預系統的機會增大,再加上使用的是公用通訊線路,系統面臨的安全隱患也必然增多,從而增大企業經營的風險。例如,不法之徒可能利用網絡及安全管理的漏洞窺探用戶口令或電子賬號,冒充合法用戶作案,篡改數據庫內容以竊取資產;利用網絡遠距離竊取企業的商業秘密以換取錢財,或利用網絡傳播計算機病毒以破壞會計信息系統,甚至摧毀網絡節點;此外,由于電子商務處理業務的原始記錄以電子憑證的方式存在和傳遞,不法之徒通過改變電子貨幣賬單、銀行結算單等,就有可能轉移財產的所有權。
有鑒于此,網絡財務必須實現以下控制目標:
1.對遠程操作的控制,即實現對遠程記賬、報賬、查賬、制表、審計以及網上報稅等操作的安全控制。
2.對網上支付的控制,即保證支付信息的機密、支付過程的完整、交易雙方的合法身份以及互操作性,實現安全支付。
3.對電子憑證的控制,即控制電子憑證的正確收發、真偽確認、安全傳遞和格式轉換等問題。
以上控制既涉及技術層面,也涉及政府立法和企業內部的制度建設。在技術上要采用公開密匙加密、電子數字簽名、電子信封、電子證書等技術,加強對網上輸入、輸出和傳輸信息的合法性、正確性控制,在企業內部網與外部公共網之間建立防火墻,對外部訪問實行多層認證。在上建立電子商務法律法規,規范網上交易、支付、核算行為,并制定網絡財務準則和相應的內部控制制度。沒有網絡安全,就沒有網絡財務。
二、關于內部控制的分類
美國執業會計師協會第3號《審計準則公告》、《國際審計準則》第20號以及我國《獨立審計具體準則第20號》,都把計算機會計內部控制分為一般控制(general controls)和應用控制(application controls)兩大類,并將前者定義為:(1)電子數據處理的組織和操作的計劃;(2)對系統或程序的設計、開發和變動的記錄、審核、測試和批準;(3)由制造商在設備內部所設置的控制;(4)對接觸設備和數據文件的控制;(5)對系統的運行有影響的其他數據和指令程序的控制。公告把應用控制定義為輸入控制、數據處理控制和輸出控制。
我們認為內部控制的分類既要概念清晰,又要區分控制的主體,以便明確責任。為此,建議將內部控制分為管理制度控制和程序系統控制兩大類。其中程序系統指機軟硬件系統,主要是系統和軟件。程序系統控制主要是靠軟件本身功能來實現的內部控制機制,以實現系統的自我保護,主要包括數據輸入、內部處理、信息輸出、數據傳輸和系統安全保護控制。程序系統控制的責任者是軟件開發部門,用戶不應負有責任。而管理制度控制一般是以管理制度的形式實行的,主要包括組織、操作、維護和資料保管等方面。我們也可以進一步將管理制度控制分為環境控制(或基礎控制)和操作控制(或控制)兩類,組織、維護和資料保管都屬于環境控制的范疇。顯然制度的制訂和執行與計算機程序系統無關,而是會計軟件使用單位的責任。這種分類法的優點是分類標準明確,容易
理解,而且實現控制的措施和控制的主體是一致的,責任分明,方面容易清楚自己應該怎么辦。
三、關于內部控制措施及審計
目前我們接觸到的具體控制措施以及內部控制的審計時往往脫離實際,形式繁瑣,又不突出控制重點,主要存在以下:
1.無法實現或不合理的控制措施
在對內部控制措施的羅列中,有許多是無法實現或者是不合理的要求。例如,要求在會計軟件中“安裝一個聯機審機控制器,用來收集審計人員感興趣的資料”,要求在程序中設置斷點以控制“主文件金額數、記錄計數、前一程序指令序號”“每一個操作運行結束后應有一份打印輸出”,通過使用“雙重運算、逆運算法”檢查錯誤等等,都是不合理的甚至根本就無法實現的措施。又如對會計軟件系統的開發控制和審計是否合理,也是值得商榷的。
2.無需過問的控制措施
有許多控制措施是計算機系統的最基本的功能,并非為會計所設置,審計人員是無需過問的。例如,硬件的冗余檢驗、奇偶校驗、回聲檢驗,操作系統的錯誤處置、程序保護、文件保護,這些控制都是計算機系統所必備的功能,不應該將它們納入會計內部控制的范疇,也不應該成為審計的。其實對許多系統保護措施審計人員也無從了解,更談不上審計。
3.對內部控制的審計內容繁瑣
許多文獻對內部控制審計方法的介紹不僅內容空洞繁瑣,而且空談許多無法實現的審計方法,嚴重脫離實際,使審計人員不得要領,抓不住審計的重點。例如,對系統軟件的測試是完全沒有必要的,因為系統軟件一般都比較可靠,而且不會對會計軟件系統的安全造成威脅。此外,對會計軟件的測試方法中許多方法從技術上看是不可行的,從成本效益原則上看也是不合算的。例如,程序流程圖檢驗法、程序代碼檢查法都要求審計人員去閱讀程序代碼以確定會計軟件的控制措施是否滿足,這確實是一種天方夜譚的設想。又如所謂圖示法要求“利用監督程序來測定被測試程序中哪些指令執行過,哪些指令未曾動用”,也是很不現實的方法。
鑒于以上原因,我們認為當前應該全面檢討內部控制的措施一方面通過制訂《會計軟件基本功能規范》進一步明確會計軟件公司的責任,規范會計軟件產品的程序系統在數據輸入、處理、輸出、傳輸和安全保護的控制功能;另一方面則應通過制訂會計基礎工作規范,明確推行會計電算化的單位的控制責任,規范必要和切實可行的控制措施。
四、應該重視對內部控制的審計
在相當長的時間里由于人們對計算機會計系統比較陌生,內部控制措施不明確,審計方法不得要領,所以審計人員只得沿用對手工會計的審計方法,很少能夠對內部控制進行有效的審計,漏洞較多,不足以確保會計系統的安全。因此,提高對內部控制的認識,加強對其內涵和技術的,重視對內部控制的審計,仍是當前會計電算化和審計領域的一個關鍵課題。一般情況下審計人員的責任主要不是審計計算機和會計軟件系統的內部控制措施,而是審計應用單位制訂的內部控制制度是否健全和真正有效執行。計算機硬件和系統軟件無需審計人員去審計,而會計軟件系統的輸入、處理、輸出和安全控制功能則應由專家去評審。我國過去對會計核算軟件的兩級評審制度,其實質就是對會計軟件內部控制功能的審計。
參考文獻
[1]鄧春華.財務會計風險防范[m].中國財政經濟出版社,2001
[2]劉國常.企業內部會計控制及其評審[m].2中國財政經濟出版社,003
關鍵詞:醫療信息化;信息安全;虛擬專用網;數據備份
引言
隨著醫療產業的發展和生活水平的提高,人們對醫療服務的要求越來越高,同一區域間醫院提供醫療服務的競爭也日益加劇。提升醫療服務水平,降低醫療成本,減少病人的醫療環節,成為各個醫院爭相努力的重要方向。建立區域醫療信息系統正是為了更好地提供醫療服務,也是適應醫療衛生事業的需求和發展的產物。為了實現醫療信息在區域間的共享和管理,需要建立一個全面的醫療信息共享平臺。通過高效的醫療協同平臺和標準化的醫療服務流程實現醫療數據及信息的共享和處理。由于區域醫療信息系統是建立在一個完整的計算機網絡之上的,其中涉及到多個子網絡之間的互聯互通,以及跨網絡的數據轉發,因此數據的安全性顯得尤為重要。特別醫療數據具有一定的隱私性、實時性,因此設計和建立安全醫療網絡系統,成為區域醫療協同平臺的必要條件。文章從醫療平臺的安全架構出發,討論和分析建立醫療網絡的安全的重要方面,并在此基礎上設計安全部署的方案和要點,作為建立完善的醫療協同平臺的重要參考。
1 醫療協同平臺的安全架構
區域醫療協同平臺的安全架構主要功能是防范在網絡中可能存在威脅,以及對數據進行有效的保護。從確定安全保障的目標出發,醫療協同平臺的安全架構包含技術層、管理層和業務層三個層次。技術層、管理層、應用層是三個相對獨立又互相聯系的整體,正是三者之間的緊密耦合和相互協作才確保了醫療信息平臺的安全。技術層支持應用層的實現,而管理層是確保技術層正常工作的關鍵,應用層則是技術層和管理層最終體現出具體的業務實施區域醫療協同平臺框架的要求包括技術要求和管理要求。技術要求包括對應用訪問進行嚴格限制,只允許訪問對應的應用服務的對應端口,同時對那些不符合訪問規則的請求進行拒絕,能夠對整個網絡的流量進行監控,從而對病毒和入侵行為進行判斷。另一方面作為網絡的運營及管理人員而言需要對網絡設備、存儲設備以及數據庫的操作權限進行管理和審計,對那些沒有授權的非法訪問要能即使發現、告警,并實施阻斷。進一步對于那些承擔了整個網絡運行的物理設備,如交換機、路由器、服務器、安全設備等需要進行統一的管理和維護,如果發生安全事件,可以利用統一管理系統進行故障定位和故障排除,這樣可以有效減輕管理員的工作量,提升整個協同平臺的運行效率。
在管理上,網絡的訪問權限和應用服務器的訪問權限都需要進行合理的分配和有效的管理,同時必須建立完善的安全管理體制和措施。對相關的人員進行安全管理的培訓,形成一套完整的管理機制,從管理和技術兩個方面確保醫療協同平臺的物理安全和系統安全。
2 安全實施方案
該部分是對醫療協同平臺部署中的安全方面的問題進行討論,對相關的實施方法和細節進行分析,力圖建立一個安全高效的防護體系。本方案考慮到的安全設計主要有以下幾個方面。
2.1 防火墻部署
在每個醫院或醫療機構的外聯出口部署一臺硬件防火墻,該防火墻的內、外網卡分別連接于內、外部網絡,但內部網絡和外部網絡是從邏輯上完全隔開的。所有來自外部網絡的服務請求只能達防火墻的外部網卡,防火墻對收到的數據包進行分析后將合法請求通過內部網卡傳送給相應的服務主機,對于非法訪問加以絕。并通過互聯網邊界的防火墻設備設立一個獨立的DMZ區域,用來部署醫院的WEB、網上掛號等應用系統。
2.2 入侵檢測系統部署
由于醫院的具體應用比較多,需要部署大量的應用服務器,有些服務器需要外部網絡的用戶進行訪問,因此在外部用戶訪問的過程中需要進行嚴格的安全控制和審計。在外接互聯網的接口處部署入侵檢測系統,可以對網絡中的非法訪問和非法流量進行檢測和控制,從而阻斷那些對內部網絡有害的流量和訪問,確保整個醫療系統的網絡終端和服務器的安全。
2.3 互聯網邊界IPSEC VPN部署設計
考慮到下級醫院或者分支機構需要接入到醫院的信息中心,實現醫院與下屬單位和社區診所等基層醫療組織的信息共享和網絡訪問,方便遠程診療、遠程視頻會診,我們采用了基于IPSec協議的VPN隧道的方式建立醫院與下級機構的虛擬專用網。基于IPSce的虛擬專用網是是運行在一套完整的協議體系之上,它給出了應用于IP 層上網絡數據安全的一整套體系結構。該體系結構包括認證頭協議(Authentication Header,簡稱為AH)、封裝安全負載協議(EncapsulatingSecurity Payload,簡稱為ESP)、密鑰管理協議(Internet Key Exchange,簡稱為IKE)和用于網絡認證及加密的一些算法等。利用這一套完整的安全機制,可以有效地保證接入端訪問醫院信息的可靠性。
2.4 SSL VPN部署設計
為了滿足移動辦公需要,使在外出差或專家醫生遠程醫療會診能夠安全、方便地接入到醫院信息網絡中,實現遠程辦公與遠程醫療協助。同時考慮遠程接入的安全要求,通過在醫院外網DMZ區域旁路部署SSL VPN設備,對外網移動辦公及遠程接入用戶提供基于SSL安全套接層協議的VPN隧道,實現對醫院內部網絡的訪問,保證在遠程接入到內網訪問過程中數據傳輸的安全性、可靠性。
2.5 數據容災備份設計
醫院重要的數據都集中在業務網絡的核心數據中心區域,這些數據與醫院的業務緊密相關,一旦發生損壞,后果非常嚴重,甚至會對醫院造成損害,因此必須要采取必要的數據災備措施,將重要的數據進行備份,以防出現意外時,系統能夠自動恢復,確保系統持續運行,更好地支撐醫院的業務系統。
3 結束語
醫療產業的發展需要為患者提供更完善和方便的醫療服務,信息化技術在服務提供、信息獲取等方面極大地方便了患者。醫療協同平臺的建立正是對各種醫療信息的集成,幫助和促進醫療服務的完善。而平臺安全事關醫院和患者的利益,文章從網絡安全的角度出發,對建立醫療平臺的安全問題進行了討論和分析,從訪問安全、數據安全、接入安全等各個方面進行了論述,為建立區域醫療協同平臺提供了有益的安全模式。
參考文獻
[1]趙鋒,曹文杰.醫院信息系統訪問控制策略設計分析[J].計算機技術與發展,2010(6).
[2]黃慧勇,黃冠朋,胡名堅.醫院信息系統安全風險與應對[J].醫學信息,2009(6).
[3]張濤,田國棟,蔡佳慧,等.電子健康檔案隱私保護相關問題的思考[J].中國衛生信息管理,2011(4).
[4]王希忠,王智,黃俊強.安全審計在信息安全策略中的作用[J].信息技術,2010(3).
一、創新固定資產投資理念
傳統的以查錯糾弊為主要目標的審計理念已不能適應新形勢發展的需要,應該增強宏觀意識,努力研究和把握固定資產投資審計工作的規律和特點,探索固定資產投資審計工作的新理念、新思路。
審計人員在固定資產投資審計中要落實為人民服務的根本宗旨,本著真心實意對人民負責的精神,真正做到權為民所用、情為民所系、利為民所謀。
投資體制的深層次改革必然引起投資決策方式、資金籌措方式和資金使用方式的調整。在投資管理和項目管理領域正在發生的變化,主要表現為投資主體多元化、投資決策分散化、資金來源多元化、融資方式市場化、項目預算管理和工程合同管理國際化。這些使固定資產投資審計的環境、對象、內容和方式等都發生了不同程度的變化。因此,我們要根據投資管理體制、建設管理體制、財政管理體制、金融監管體制改革的要求,不斷創新固定資產投資審計理念,致力于提高固定資產投資審計的宏觀經濟效應。
二、創新固定資產投資審計方法
要嘗試新的固定資產投資審計模式,逐步實現由單一的賬項基礎審計向賬項基礎審計、管理基礎審計、風險基礎審計相互交叉和并存的審計模式發展。要積極推廣和運用抽樣審計、符合性測試和實質性測試、風險分析和評價、經濟活動分析與數學模型分析等現代審計方法。
目前,粗放經營、粗放增長、低水平擴張和重復建設在經濟生活中還比較普遍。在固定資產投資審計中要積極推行效益審計,對項目建設的經濟性、效益性以及效果性進行評價。按照科學發展觀的要求,投資效益審計既要考慮投資結構的合理性、投資規模的適當性、資金使用方向的正確性、使用效果的綜合性、使用過程的公平性,又要檢查項目建設的宏觀性、公眾性、關鍵性、基礎性、牽動性和對政治、經濟自然環境的影響,把宏觀效益與微觀效益、長遠效益與當前效益、經濟效益與社會效益及生態效益統一起來。
在具體的審計過程中,要重點關注政府性投資效益和重大投資項目的效益,關注資金的分配結構、使用效果。要大力推行審計信息化,充分利用計算機技術、網絡技術來開展工程審計和遠程審計,以及利用現有的投資審計軟件、模塊,加快建設項目基本資料庫、固定資產審計法規庫、工程審計經驗數據庫和固定資產投資審計案例庫建設的步伐,以提高工作效率,提升審計質量,盡快實現固定資產投資審計手段現代化。
三、創新固定資產投資審計理論
隨著社會主義市場經濟體制的不斷完善,我國的經濟增長方式正在由粗放型向集約型轉變,轉變的核心問題就是提高效益。審計的發展要與經濟發展階段相適應,固定資產投資審計的目標要從真實、合法逐步轉到效益上來,開展效益審計是在新形勢下將固定資產投資審計向深層次、高水平推進的必由之路。審計署審計工作5年發展規劃提出:在固定資產投資審計中,要積極開展投資效益審計,要逐年加大效益審計的比重,以期盡早實現固定資產投資審計以效益審計為主的目標。審計工作要圍繞政府經濟工作的中心,不斷提高依法審計能力,為宏觀調控服務,為領導決策服務。
關鍵詞:數據中心 內部審計 信息化建設
進入二十一世紀以來,信息化已經成為我國經濟和社會發展的重要推動力,信息技術應用與各個領域的融合日益緊密,越來越多的企業借助ERP、HR、OA等信息系統加強對企業的管理,以信息化推動現代化的戰略已經取得豐碩的成果。伴隨著企業信息化的發展,內部審計工作的環境發生了變化,非計算機證據的數據和比例相對減少,傳統的審計方法越來越不適用。由于會計信息系統進行業務處理在數據處理工具、方法、流程等方面都發生了很大的變化,審計方法和技術也相應發生了改變,計算機審計已經日漸成為審計的一個新的發展方向。
一、研究現狀
(一)內部審計工作的現狀
李金華審計長曾高瞻遠矚的指出:“審計信息化建設是審計系統一場深刻的革命,是未來審計的主要手段,是現代審計的發展方向。不加強審計信息化建設,我們將失去審計資格。”早在1998年,我國審計署就開始籌備“金審工程”,開發針對政府部門、金融、財政和國有企業不同審計業務需要的審計監督應用系統,制定了審計業務信息接口標準。《審計署2008至2012年信息化發展規劃》中指出要探索和完善信息化環境下的審計方式,推進審計信息化建設,努力提高審計工作效率、質量和水平,為審計事業發展提供信息技術支持和保障。
全國煙草行業近幾年發展十分迅速,各個業務領域利用信息化促進管理上水平,各類信息系統如同雨后春筍,相繼開發實施了工商交易平臺、營銷CRM、專賣管理、財務核算、電子結算、OA等應用系統,逐步形成了省級集中的數據交換中心。環境的變化對行業內審工作提出了新的要求,內部審計不僅是國有資產的守護者、財務賬實的審核者,更是強化管理的促進者、提高效能的推動者、價值增值的促導者,傳統而單一的財務收支審計已不能滿足日益發展煙草企業管理的需要,內部審計工作的范圍應需拓展。內部審計必須以“強管理、防風險、促發展”為己任,積極探索以“風險為導向、控制為主線、治理為核心、發展為目標”的管理審計和績效審計,積極探索以“事前審計為基礎、事中審計為重點、事后審計為保障”的審計模式。要實現這個目標,必須借助先進的審計信息化系統才能實現。
(二)內部審計信息化的必要性和可行性
“十二五”期間,國家煙草專賣局將“規范”視為“生命線工程”的核心位置。內部審計作為企業管理的重要組成部分,是內控體系保障規范的一個關鍵環節,在企業管理信息化的得到廣泛應用的同時,往往存在審計對象的數據真偽難辨,且具有很強的隱蔽性,這對內部審計工作而言是一個新的考驗,而審計對象的信息化也為內部審計信息化的發展提供了可行的契機。
1.內部審計信息化是促進自我規范的需要。行業內部審計是保障企業規范運營的防火墻,但由于內部審計的準則不完善,審計過程的規范仍然沒有很好的解決,而內部審計信息化能實現流程固化,改進審計方法,進而促進審計工作自身規范。
2.內部審計信息化是提高工作效率的有效途徑。傳統審計的特征是動作滯后、過程緩慢,往往浪費大量的時間手工獲取賬冊、憑證數據,通過計算機輔助審計,運用統計學、信息論等方法,可以將審計人員從繁重的簡單勞動中解脫出來,有效提升審計效率。
3.內部審計信息化是融入企業信息化管理大環境的必然要求。尤其是行業全面實行財務管理和會計核算的電算化后,包括管理類審計,如經營管理、物流成本等內部審計對象都融入到集中的數據中心,內部審計必須實現信息化才能有效地開展。
二、內部審計信息化總體架構設計
(一)建設目標和原則
目前,煙草行業實現了省級集中的數據中心和財務管理,通過編碼映射和數據轉換,構建行業內部審計工作需要的一體化平臺,以便于獲取被審單位的數據信息,實現對審計項目的過程、資源、成果的有效管理;在審計模式上實現四個轉變:由單一的事后審計轉變為事后與事中審計相結合,由單一的靜態審計轉變為靜態與動態審計相結合,由單一的現場審計轉變為現場與遠程審計相結合,由單一賬套審計轉變為多賬套綜合分析審計相結合的審計模式;通過提供豐富的分析工具、審計方法和經驗共享,幫助快速發現疑點線索,提升業務能力,從而整體提高內部審計的效率和質量。
系統設計遵循以下的原則:
1.統一性與適用性相結合。堅持頂層設計,保障內部審計信息化與審計對象系統的無縫對接;堅持上下結合,靈活定制,促進內部審計工作針對性和適用性。
2.先進性與易用性相結合。與數據中心相匹配,采用大型數據庫技術和相應的數據倉庫、數據挖掘技術;在操作層面,將分析模板定制于后臺,展現友好的人機界面。
3.安全性與穩定性相結合。根據審計工作的要求,采用身份認證、數據加密、入侵檢測等安全方案;通過網絡隔離與連通、權限分配、備份管理等技術,保障系統穩定運行。
(二)總體架構設計
按照“總體規劃,分步實施”的原則,構建內部審計信息系統總體框架,系統采用B/S結構部署,總體邏輯框架由審計對象層、數據采集層、審計應用層及門戶展現層四部分組成。審計對象層包括被審計單位(部門)的所有應用信息系統,各類數據信息集成到數據中心統一管理;數據采集層通過抽取、清洗、轉換、處理等數據挖掘技術,從數據中心中抽取審計項目所需信息,并傳遞給聯網審計系統(數據分析預警平臺)和審計作業系統,為數據源采集提供支撐;審計應用層提供分析預警、現場作業和日常管理的信息化支撐平臺;門戶展現層負責與用戶交互,實現系統對外一體化。系統總體架構設計如下圖所示:
(三)系統功能模塊設計
在數據中心集中管理的基礎上,內部審計信息系統主要實現聯網監控、審計管理和審計作業三大系統模塊。通過數據傳輸通道進行設置和定義,抽取審計對象數據,并傳遞給聯網審計系統(數據分析預警平臺)、審計作業系統中,作為聯網審計、審計作業的數據源開展工作。通過聯網審計預警模型,發現疑點線索,通過管理系統指出審計方向,通過作業軟件進行詳細審計,同時將底稿等電子文檔上報至管理系統進行保存。
1.聯網監控
聯網監控系統核心是數據分析預警功能,一方面從數據采集轉換系統獲取數據源開展審計;另一方面接受審計管理系統的工作計劃安排,進行工作內容部署。
監控系統通過設置風險點預警方案,關聯預警對象的數據中心,根據預警的觸發條件、條件檢測等,抽取預警對象的賬套信息、經營信息等數據,經過清洗、轉換、處理,形成可能的審計疑點或重點數據,存儲在疑點庫中,并將系統預警或者分析的疑點線索分配給現場審計作業工具系統,作為具體現場審計的工作重點或者方向,結合審計人員經驗判斷,從而準確迅速地確定懷疑目標,提高效率。
2.審計管理
審計管理系統,實現對審計過程的有效控制、對審計資源的有效利用、對審計成果深度挖掘,實現和審計作業系統交互。審計過程控制涵蓋審計準備、審計實施、審計報告和后續審計全過程;審計資源管理整合了審計工作所需的各種資源,能夠對審計工作提供完整、有效的信息支持,包括審計人才庫、部門信息庫、審計對象庫、法律法規庫、公司制度庫、審計經驗庫、審計方案庫、審計案例庫八個資源庫;審計成果體現在按照管理要求快速生成審計報表,能夠以多種格式輸出,為領導決策提供有力支持,另外,審計成果還體現在以審計項目為單元的檔案管理,支持審計項目信息和過程的回溯,并根據權限提供項目信息共享。
通過審計管理系統還支撐年度審計計劃的申報與審批、審計文書檔案的管理、業務臺賬的統計匯總和基礎報表的自動生成,并完成人力資源綜合管理、審計任務的資源調配、審計人員履行職責的考評等。
3.審計作業
審計作業系統是由一系列的作業工具構成,包括審計數據采集與轉換、審計查賬、數據分析、審計底稿等外勤審計作業工作的處理;并將聯網監控系統(數據分析預警平臺)中分配的審計線索作為審計重點,進行有針對性的開展審計,同時將審計過程中產生的審計底稿傳遞到審計管理系統中。
通過審計作業系統輔助一線審計人員完成審計項目,實施電子財務數據、業務數據的采集轉換,運用查詢、分析、報表、計算等豐富的審計工具完成審計抽樣和數據分析,提高審計工作效率。標準化的審計作業程序引導與控制規范了審計工作過程,降低審計風險。層層歸集的基礎信息及統計臺賬通過系統接口與審計綜合管理信息系統無縫集成并實現現場審計作業數據與遠程公司審計部之間的數據交互和共享。
三、結束語
當前,各個領域開展內部審計信息化建設的研究實踐很多,成果也很豐碩。如何實現內部審計信息化的順利轉型,一方面,要結合煙草行業實際,統一規劃,整體推進,在進一步完善數據中心建設的基礎上,探索新技術、新思路,積極開展信息化支撐的風險導向性管理審計,拓寬審計領域;另一方面,要逐步突破審計人員的思維方式轉變和自身能力提升,從審計技術和審計模式兩個層面力求創新,努力促進行業內部審計工作上水平。
參考文獻:
[1]審計署關于進一步加強審計理論研究工作的意見(審科發[2011]40號),2011(4).
[2]內部審計具體準則第26號――信息系統審計.
[3]金冬成,臧日.持續審計在內部審計中的實現方案探討[J].中國內部審計,2011(2).
[4]曹燕,常京萍.企業內部審計信息化戰略研究[J].會計之友,2010(10).
[5]吳埠.審計信息化及其架構探析[J].中國管理信息化,2007(12).
[6]彭勝華.計算機審計的內涵和目標[J].審計與理財,2007(5).
論文關鍵詞:財務信息化內部控制
1財務管理信息化的發展及加強內部控制的需要
財務管理信息化是指采用現代信息技術,建立信息技術與財務管理學科高度融合的、充分開放的現代財務管理信息系統。這種財務管理信息系統將全面運用現代信息技術,通過網絡系統,使業務處理高度自動化,信息高度共享,能夠進行主動和實時報告財務管理信息。以本單位為例,十幾年來財務管理信息化建設從會計電算化到財務信息化綜合管理、縱深管理不斷發展,目前建立了會計電算化、費收管理信息系統、船舶動態系統、財務遠程查詢系統、非稅收入信息管理系統。通過系統的建設,實現了費收、核算、報表等財務數據的自動上報,遠程財務查詢,對多級機構、多級財務指標的歸納、分析和對比,滿足專業財務人員和財務主管人員的工作要求,在此基礎上計劃推出財務管理綜合信息平臺和固定資產管理信息系統。財務管理網絡化、信息化程度不斷提高為從總體上及時把握財務狀況,按需獲取財務數據提供了簡便高效的工具,實現了對前期財務信息化成果的綜合利用,強化了財務管理T作的深度、控制能力和決策能力。
《會計法》明確提出各單位應當建立、健全本單位的內部財務管理監督制度的要求。財政部也了《內部財務管理控制基本規范》。因此結合本單位具體情況,把軟件管理思想轉化為各單位的實際工作規范,更新概念及T,作方法,制定管理規定和操作流程,指導具體的實際操作,加強內部控制的建設至關重要。在財務管理信息化環境下內部控制應包括兩方面的內容。一方面是要加強對電子信息系統本身的控制,包括,系統組織和管理控制、系統開發和維護控制、文件資料控制、系統設備、數據、程序、網絡安傘的控制以及日常應用的控制。另一方面,要運用電子信息技術手段建立控制系統,減少和消除內部人為控制的影響,確保內部控制的有效實施。
2信息化條件下內部財務管理控制的特點
在引入信息技術后,如沒有X,tlN流程進行更新,也沒有深入研究如何進行流程鶯構,這就造成了信息系統與業務流程之間存在許多沖突,形成內部控制盲點。在內部的審計檢查中可以發現一些不符合內部控制的案例,如在實際操作中,財務管理科長、網絡管理員、數據庫管理員、系統管理員、記帳員等崗位由同一人擔任。同時。系統管理員在實施數據庫數據修改、財務管理人員崗位分工、權限設置等具體操作時,缺乏必要的審批和監督程序。權限高度集中,監控制約不力,財務和核算系統存在隱患。在財務管理信息化環境下如果沒有改變相應的控制程序和業務流程,將更容易發生舞弊行為。
2.1數據處理的集中性使財務管理工作組織發生了質的變化。
在手工財務管理的組織方式下,單位的財務管理部門按經濟業務的性質分為不同的職能中心或不同的工作崗位,構成一個內部牽制網,很少出現錯漏或舞弊的行為。而一旦出現問題,也可通過核查不同的責任者追究責任。這種職能的分割與人員的分工便形成了行之有效的手工財務管理的內部組織控制。財務管理信息化系統是按照計算機數據處理系統組織起來的,記賬、算賬、報賬全部由電子計算機自動完成,主要處理過程不須人工干預。這種數據處理的集中性使傳統的組織控制功能減弱。與此相適應,財務管理部門常常劃分成數據(信息)收集組、憑證編審組、數據處理組(包括數據輸入、處理、輸出)、財務管理組、系統維護組等。
2.2財務管理信息化系統使內部財務管理擴大了控制范圍。
傳統的內部財務管理控制主要局限于單位內部的在錯防弊,而財務管理信息化條件下的范圍相應擴大,其中包括對系統開發過程的控制、數據編碼的控制以及對調用和修改程序的控制等。隨著電子信息技術的發展,單位與外部的信息傳遞更加頻繁,過去邊界明確現象逐漸消失,內部財務管理控制的范圍不再局限于單位內部,因而加大了內部財務管理控制的難度。
2.3財務管理信息化控制手段和方式發生了變化。
在財務管理信息化條件下。控制方式和手段由手工控制轉為手工控制和程序化控制相結合。原有的手工控制手段有些保留,但需要增設一些包含于計算機程序中的程序控制。一般來講,財務管理信息化程度越高,采用的程序化控制也越多,不法分子有可能利用搭截偵聽、口令字試探或解密文件等手段,使內部財務管理控制措施失效。正是由于財務管理信息化控制技術的復雜性,加大了系統的控制風險。
3財務管理信息化環境下加強內部控制的幾點思考
3.1建立良好的控制活動。
3.1.1財務管理信息化崗位控制。設市財務管理核算崗位,必須做到不相容崗位的分離。建立健全財務管理信息化崗位的內部控制制度,可以使不同崗位互相監督、制約,使單位達到防止舞弊和欺詐的目的。
3.1.2業務發生控制。在經濟業務發生時,通過計算機的控制程序,對業務發生的合理性、合法性和完整性進行檢查和控制,如表示業務發生的有關代碼,字符等是否有效,操作口令是否準確。要建立有效的控制制度以確保計算機的控制程序能正常運行。
3.1.3數據輸入控制。由于信息化改變了原來的工作模式,要使用電腦,要上傳數據,有些基層同志不適應正常工作,如果輸入數據不正確,處理結果就會出現差錯。單位應該建立起相應的內部控制度以便對輸入的數據進行嚴格的控制,保證數據輸入的準確性。數據輸入控制首先要求輸入的數據應經過必要的授權,并經有關的內部控制部門檢查。其次應采用各種技術手段對輸入數據的準確性進行校驗。
3.1.4數據通信控制。是為了防止數據在傳輸過程中發生錯誤、丟失、泄密等事故的發生而采取的內部控制措施。要采用各種技術手段以保證數據在傳輸過程中的安令、可靠,可采用數據加密、數字簽名、壓縮及第三方的加密軟件加密后傳輸。
3.2加強計算機軟、硬件管理與網絡系統安全的控制。
加強計算機硬件與網絡系統安全的控制,是為了保證計算機系統的運行安全,避免由于外部環境因素導致系統運行錯誤的不安全隱患,其具體措施有,(1)密碼和身份鑒別。通過密碼和身份鑒別對數據庫訪問人員進行限制,僅限于經過授權的用戶訪問。(2)存取權限控制。通過權限設置對數據庫中數據的訪問范圍進行限制。可以根據崗位、工作性質、設計的內容等為數據庫用戶設置一定的權限。
加強軟件管理,必須引入安全稽核機制,對重要的操作日志進行記錄,并進行必要的權限設置,以便能夠對各種不同的權限進行用戶識別和遠程請求識別。按照系統管理員的權限,用預先定義好的規則控制會計賬套數據的進出,通過對數據進行重新組合和對會計賬套數據庫進行加密,使業務數據只有在解密的條件下才能使用,同時必須進行必要的身份認證和內容檢查,控制一些軟件的安裝,尤其是數據庫系統軟件,以防止利用數據庫系統打開帳套數據庫進行非法篡改。
3.3加強信息系統內部審計,完善監督管理機制。
內部審計控制是內部控制的一種特殊形式,內部審計師比外部審計人員更了解本單位的業務流程和管理,因此加強內部信息審計更能起到加強控制的作用。主要目標有,(1)評價電子數據的真實、完整性。(2)分析信息系統的薄弱環節。信息系統管理制度是否規范,系統重要功能尤其是校驗功能是否缺失等等,發現薄弱環節,能加強信息系統的內控建設。(3)發現信息系統的非法功能和漏洞。應通過審計信息系統對系統功能的測試以及計算機數據審計發現的問題,通過分析這些問題產生的原因,反推出信息系統中存在的問題,發現信息系統中存在的非法功能和漏洞。
[關鍵詞]高校;會計;內部控制
[中圖分類號]F275 [文獻標識碼]A [文章編號]1005-6432(2011)9-0083-02
1 高校會計內部控制的相關理論
財政部頒布的《內部會計控制――基本規范》是目前我國內部控制領域內最有權威的標準。所謂內部控制是指單位為了保護資產的安全、完整,提高會計信息質量,確保有關法律法規和規章制度及單位經營管理方針政策的貫徹執行,避免或降低各種風險,提高經營管理效率,實現單位經營管理目標而制定和實施的一系列控制方法、措施和程序。內部控制制度實質屬于單位內部的管理制度。
高校兼有事業單位和企業的共同特性,其會計核算方法和財務管理有自己的特點,是會計經濟的特殊群體。高校會計內部控制是指:為了保證學校的經營管理有序、有效地運行,實現高校經營管理目標,維護高校資產的安全及完整,提高會計信息的真實性和準確性,確保會計工作質量和預防經濟犯罪,有效地降低高校運作中的風險,而在高校內部管理中建立的一個管理控制系統。其目的是控制學校的一切產、學、研事業和財務收支等活動,針對每個具體環節建立內部控制制度,制定一套相互聯系、相互制約的程序和方法,使之按照預期的目標健康有效地進行。
加入WTO以來,競爭的加劇使得高校對會計內部控制越來越受到重視,并成為高校實現經營目標、提高經營管理水平、增強競爭能力的重要途徑。
2 高校會計內部控制的設計思路
當前,高校會計內部控制面臨內控意識不足、內控制度不健全和內控保障機制欠缺等問題,各高校應該根據國家宏觀調控的方向,結合本單位的特點和具體要求,設計科學的內部控制體系,制定出適合本單位的內部控制制度及相關配套執行措施。
2.1 設計依據
以COSO報告內部控制整體框架的五要素為基礎,立足我國高校經營管理實踐,可將高校會計內部控制劃分為控制環境、風險評估與應對、控制措施、信息與溝通、監督與評價五方面:①控制環境。環境是制約內部控制制度建立和實施的各種因素的總稱,是內部控制的基礎。高校會計內部控制的環境,主要包括會計機構設置與會計人員的權責分配,機房環境建設和硬、軟件的配備和系統管理維護等。②風險評估與應對。是對影響高校會計內部控制目標的各種不確定因素進行及時識別、分析,并確定采取應對措施的過程,是實施高校會計內部控制的重要環節。③控制措施。根據風險評估結果、結合風險應對措施所采取的確保會計內部控制目標實現的具體方法,是實施高校會計內部控制方法的具體應用。④信息與溝通。是及時、準確、完整地收集系統控制的各種反饋信息,形成信息管理機制。通過溝通,使各會計人員能夠明確自己在內部控制中的責任,確保更好地加強內部控制。⑤監督與評價。是對高校會計內部控制制度的健全性、合理性和有效性進行檢查、監督和評價,做出相應處理的過程,是實施高校會計內部控制的重要保證。
2.2 設計內容
建立完善的內部控制制度是高校會計內部控制目標得以實現的必要保證。結合上述設計依據,高校會計內部控制制度主要從一般控制、應用控制和內部審計控制三方面進行設計。①一般控制,是指對內部環境所實施的總體控制,亦稱基礎控制或環境控制。主要包括制度控制、會計軟件使用控制、預算控制、系統初始化設置控制四項內容。各高校應根據《高等學校財務制度》、《會計法》和《會計電算化管理辦法》及財政部頒布的有關規章制度,建立科學嚴密的人員管理、系統操作、系統管理維護和會計檔案管理等內部控制管理制度;對內部控制系統軟件嚴格執行“一審二測三使用”的原則,務必使會計軟件達到合法性、規范性和實用性的要求;按照《內部會計控制規范》和《高校會計制度》的有關規定,根據學校本年度的工作計劃和發展目標制定各單位和部門的預算,夯實預算收入使其標準化,采用不同的預算方法編制預算項目使預算支出科學、明細化,將收支的權利和責任落實到學院、部門和個人,使預算執行責任化;認真做好系統參數設置、科目、部門、項目及其代碼的設置,各種賬簿文件的建立、各種輔助核算和報表的定義以及錄入各種賬務期初余額等系統初始化設置控制。②應用控制,是指作用于高校會計的具體控制,亦稱業務控制。主要包括業務處理過程中的業務批準與授權控制、數據輸入控制、數據處理控制、數據輸出控制、會計期間控制、業務循環控制等。高校財務應堅持“依規據法,收支并重,先審后批,權責結合”的原則。高校各負責人必須在其授權范圍內行使職權和承擔責任,嚴格按照《高等學校財務管理制度》和《國庫集中支付管理辦法》的要求核算與管理。對每項經濟業務嚴格按批準程序和審核標準執行,逐級審批,簽署審批意見,對流量大的貨幣資金支出實行聯審聯簽制度,包括經費是否按規定使用、收支是否真實、合法、合理等。特別是高校實行的國庫集中支付,經申請審批獲得的各類資金,對經費的使用按照支出屬性、項目、類別分別實行專款專用。各級財務人員應分工明確,各司其職,準確、規范地做好數據輸入、處理和輸出控制。要從單純的事后制止和糾正錯誤的狀況,轉變為事前控制、事中控制、事后控制的全過程控制,會計人員應相互配合,加大防范出錯和舞弊違法活動,加強和逐步完善高校會計內部控制制度。③內部審計,既是內部控制的不可缺少的組成部分,也是強化內部監督的制度安排。隨著會計電算化在高校的全面推廣,推行會計電算化審計制度,有利于對會計內部控制更好的監督檢查。提高內部審計效率,還要不斷地優化審計人員的知識結構。提高審計人員的素質,審計人員應不斷豐富自己的業務知識,提高業務水平,還要掌握和運用電算化審計手段和科學管理手段,改變傳統的審計觀念,熟悉財經法律法規和規章制度以及電算化核算規范,適應新時代的要求。只有財務人員的整體素質提高了,才能擔當起高校審計監督的重任,才能加強高校的會計內部控制。
3 高校會計內部控制的保障措施
3.1 提高管理層的重視
《內部會計控制規范》規定“單位負責人對本單位內部會計控制的建立健全及有效實施負責”,加強會計內部控制是時展的趨勢,是高校財務管理的內在需求,更是高校提高競爭能力和未來發展的現實需要。高校會計內部控制是實行校長及各級領導負責制的會計核算管理和監督管理,即“統一領導,集中管理”,高校負責人是內部會計控制中的一個重要主體,不能也不應該獨立于內部會計控制之外,應將對內部會計控制的領導真正落到實處。因此,要保證會計內部控制的實施,關鍵的問題就是要求各級領導加強對其的重視程度,自覺強化對會計內部控制的認識,更新管理觀念。只有管理層真正認識和重視會計內部控制的重要性,以身作則,從上到下組織力量去認真貫徹和執行,才能充分發揮會計內部控制的重要作用。
3.2 加強會計隊伍建設
高校建立高素質的會計隊伍是實施內部控制的關鍵,首先,通過建立健全人才引進和選拔機制,引入競爭機制,加強校外人才的引進和校內人才的選拔,不斷優化財會隊伍年齡和知識結構。其次,通過組織參加專業培訓、學歷教育、職稱考試和知識講座等多種形式,促進財會人員不斷拓寬知識面和提高專業技能。再次,結合財務工作特點,加強對財會人員的職業道德教育和財務管理人員政策法規教育,強化高校財務人員要遵守會計職業道德,包括愛崗敬業、誠實守信、廉潔自律、堅持準則、客觀公正等,提升法制觀念、責任意識和服務意識。最后,實施電算化的高校需要加強對財務人員的計算機操作技能,應經常對會計人員進行計算機系統培訓,提高會計人員對電算化系統的認識和理解,了解會計電算化系統運行程序和內部控制制度,加強會計電算化警戒教育和日常操作技能,對電算化會計信息樹立良好的思想認識和風險防范意識,減少人為操作和系統運行出錯的可能性。
3.3 加強網絡化控制
隨著IT技術尤其是網絡技術的發展和應用,網絡信息技術已經滲透到高校的各個環節。目前財務軟件的網絡功能主要包括:遠程報賬,遠程報表,遠程審計,網上支付,網上催賬、稅,網上采購,網上銷售,網上銀行等;監督部門可以很方便地通過網絡系統進行財務檢查,對專用和專項資金使用情況進行分析。另外,高校應該充分利用校園網接口發揮財務系統的作用。根據高校自己的實際情況設置權限局域網,將會計電算化系統審批和報賬流程、經費到位和執行情況、應收應付款項的管理情況、工資查詢系統、學生學費收繳情況及欠費情況的查詢系統、公積金和養老金的管理情況以及會計的各項法律法規、規章制度公布于財務網上。滿足各管理部門對財務信息及財務報告的查看和調取數據的需要。既為校內各部門、各學院及時獲取財物信息提供了通道、方便了廣大師生的查詢,更減輕了會計人員傳送信息的工作量,大大提高了工作效率。同時,與財政部、教育部等主管部門和其他兄弟高校之間也應建立互聯網,及時了解外面的信息、了解國家政策方針,可以互通有無,友好協作,也能夠使其他部門對財務信息進行監督,真正發揮會計電算化信息系統網絡化的優勢作用。
優質的高校會計內部控制體系,需要科學的設計方案和完備的保障措施。提高高校領導的重視程度,加強高校財務人員的素質培養,完善財務網絡化控制有利于構建相互制約、自我調整、管理有效的會計內部控制機制,有利于維護高校財務管理和經濟秩序,有利于提高高校的整體競爭能力。
參考文獻:
[1]潘慶陽.完善高等學校內部控制的幾點思考[J].會計之友,2005(7).
[2]沈淑紅.試論高校會計內部控制體系的建立[J].事業財會,2007(4).
[3]劉杰.論我國高校內部控制的建立[J].會計之友,2007(12).
關鍵詞:政府采購審計 關鍵環節 存在問題 對策措施
政府采購審計是伴隨著政府集中采購制度而出現的,主要是對使用財政資金的政府采購單位的政府采購預算、謀劃執行及具體政府采購活動的審計,是部門預算執行審計的重要內容。幾年的政府集中采購實踐表明,這種采購方法不僅節約了大量的人力、物力、財力,提高了經費使用效益,還規范了政府消費行為,推進了政府部門的黨風廉政建設。但是集中采購方式將購買權力過度集中,企業有可能用財物等手段賄賂采購單位及有關人員,出現新的腐敗領域。為防止這類違規違紀問題的發生,確保政府采購永遠在陽光下運行,政府采購審計應運而生。這是審計工作的新領域,審什么?怎樣審?經過這幾年的工作實踐出現了什么問題?今后應該采取什么措施等都是當前審計人員需要思考和解決的主要問題。
一、政府采購審計的關鍵環節
認真履行對政府采購審計的監督,是政府采購制度得以貫徹落實和政府采購機制能夠順暢高效運行并健康持續發展的重要保證。在實施審計過程中,要抓住以下10個重點環節:一是對內控制度的審計;二是對采購計劃的審計;三是對采購預算的審計;四是對采購供應商的審計;五是對采購實施的審計;六是對采購合同的審計;七是對采購結算方式的審計;八是對物資驗收、分發的審計;九是對采購責任的審計;十是對采購效益的審計。審計人員在審計過程中,把握好這10個環節,就基本上能夠做好對一個采購項目的監督工作了。
二、政府采購審計發現的主要問題
(一)審計基礎建設與審計要求還有差距
一是政府采購審計法規亟需完善。現行采購審計的依據主要是《中華人民共和國政府采購法》、《中華人民共和國招標投標法》、及2012年新出臺的《招標投標法實施條例》、各單位制訂的采購監督管理規定等,這些規章制度賦予了審計部門全程參與物資采購審計監督的職能,但缺乏系統性,協調性,造成采購審計針對性不強,效果不明顯,處于“走過場”的境地。二是審計信息化建設仍然滯后。政府采購對象具有范圍廣、品種復雜、價格多變等特點,決定了審計部門只有在全面了解市場、詳細掌握采購信息的基礎上,才能公正、準確地做出評價。但目前缺乏相關的軟件,采購信息動態網在短時間內也難以構建。商家的訂價權與用戶的知情權極端地不對稱,加大了審計的難度。
(二)采購工作運行秩序不夠規范
政府采購是新生事物,更是對原有物資供應模式的深刻變革,不可避免地會觸及個別單位和部門的利益,導致實際過程中遭遇“執行難”。同時,由于可借鑒的經驗較少,各地的政府采購發展不平衡:有的規章制度不配套,可操作性不夠強;有的采購方式不科學,不能按照規定的條件和要求組織招標;有的物資需求部門以不正當理由指定供應商,對一些專業設備和裝備維修物資進行定點采購;更有少數單位將采購項目、資金化整為零,逃避采購制度的約束。政府采購在“審批關”“招投標關”“公告關”都存有漏洞。這些行為都為開展審計設置了障礙。
(三)政府采購事后監督缺乏力度
當前,在政府采購實際工作中,監督的重點主要放在了評標過程與中標供應商確定等階段,忽視了對合同履行、物資驗收、資金結算、物資設備使用、服務質量等方面的監督。導致部分采購物品達不到需求單位采購計劃中提出的要求或是售后服務缺失滯后等問題。
(四)政府采購審計人員素質有待提高
政府采購的內容包羅萬象,既有工程、定點企業,又有貨物和服務,千差萬別、復雜多樣的采購活動對采購人員提出了很高的要求,同時對政府采購審計人員的業務素質也是一個很嚴峻的考驗。現有的審計人員大多由財務人員轉變而來,變動快,成分新,知識結構單一,素質參差不齊,業務能力與履職盡責要求有很大差距,難以按照全面審計,全程審計的要求對政府采購實施審計監督。
三、加強政府采購審計的對策措施
(一)完善法律和法規,為政府采購審計提供依據
要按照“前瞻性、全面性、系統性”的要求,緊密跟蹤當前政府采購改革趨勢和審計工作發展方向,盡快出臺具體、完善、可操作性強的政府采購審計操作指南,以合理界定采購審計范圍、內容,規定采購審計程序、審計方法、審計評價標準、獎懲措施等。
(二)改進審計理念和方法,加強審計信息化建設
審計部門面對大量的采購信息,要積極探索開展政府采購信息化審計。通過建設審計信息數據庫、網絡對話系統、審計信息查詢系統、信息傳輸系統等,實現審計信息交流,遠程網上審計,充分發揮高科技在審計監督中的作用。
(三)加強全程跟蹤審計,規范政府采購秩序
審計監督要積極跟進,貫穿采購工作的全過程,提供全方位、全過程的跟蹤審計服務。通過對“事前”“事中”“事后”三個階段的監督,詳細地了解每個采購項目的全貌,為規范政府采購秩序,確保政府采購公開性、公正性、公平性提供有力保障。
在電子商務環境下,越來越多的企業通過互聯網產品信息,確定產品交易,傳遞產品發貨單,劃賬結匯等。客戶也從網上了解所需產品的相關信息,與廠方簽訂合同,發送訂單。經濟業務產生的原始憑證由傳統的紙質憑證演變為電磁信息的形式在網上傳遞并存儲于磁性介質中;由于網絡賬務系統具有共享性的特點,會計信息的相關使用者可以隨時通過授權,上網查詢企業的財務狀況和經營成果,信息的及時性大大提高,作為事后反映的會計報表對于會計信息使用者的重要性大大降低;網絡財務的興起使得企業從采購,銷售,支付及到資金回籠這一系列煩瑣的處理過程變成網上的瞬間實現,這些都使得在手工會計系統環境下進行的傳統審計模式受到極大的沖擊。由此,IT審計這一新興審計模式應運而生。
一、IT審計與傳統審計相比較之優勢
1、使審計時效性大大提高。傳統審計一般是在企業的會計報表完成后進行,審計人員經過調查取證等一系列工作后再經過一段時間的整理形成審計書面報告,這期間往往要耗用幾個月的時間,其時效性不強。而在網絡環境中,審計部門可隨時對被審計企業進行審查,及時收集其最新的會計信息,并向有關各方,從而使審計的時效性得到保障。
2、收集審計證據的成本大大降低。傳統審計通過實物盤點,審查大量的憑證,賬簿和報表,口頭詢問及函詢等來獲取證據,耗費了大量的人力物力。而在IT審計中,所有的現金,存貨及各項固定資產等實物由計算機進行實時動態管理,所有憑證等書面文件都已成為網絡中的電磁信息,口頭詢問及函詢可通過發送郵件和網上實時交談的形式來獲取。這必將大大減少審計證據的收集成本。
3、減輕了審計人員的工作量。傳統審計中,審計人員要進行大量的調查取證工作。而在IT審計中,在獲得必要的權限下,審計人員利用審計接口軟件便可輕松、便捷、完整的獲得被審計企業的會計信息和經濟數據,大大減少了工作量。
二、IT審計應用中存在的問題
1、由于在網絡環境中,經濟業務產生的原始憑證是以電磁信息的形式傳遞并存儲于磁性介質中,具有能被無痕修改,容易丟失不利于永久保存等缺點,審計面對的是企業的電算化會計信息系統和網絡賬務系統,它們的合理有效性,安全程度直接影響到審計工作的質量和效率,而這些又受到技術和人為的諸多因素影響,審計環境中的不確定因素增加。
2、在IT審計中,審計人員對于計算機網絡的依賴性大大增強。主要的審計證據來自于系統網絡,屬間接證據,其可靠性依賴于網絡內控制度的健全有效性,且由于計算機病毒和黑客攻擊都可以通過網絡威脅到會計信息系統的安全,使得審計人員對網絡的安全可靠產生依賴。
三、IT審計發展現狀
美國等先進國家開展IT審計始于20世紀六十年代,國際上唯一的信息系統控制與審計協會ISACA總部就設在美國,目前已經在世界上100多個國家設立了160多個分會,現有會員兩萬多人。在發達國家,IT審計已經得到了普及。
在我國,信息化事業已發展到一個新的階段。各級政府正在推進“電子政務”,并認真落實“以信息化帶動工業化”的戰略。廣大企業也開始著手整合與升級各自的信息化應用系統。可以預計,全國將有更大更多的信息系統上馬。但是在信息化推進的過程中,至今不同程度上存在一些問題,主要表現在規劃制定不夠深思熟慮;項目管理不夠嚴格;系統運行效益不夠明顯。究其原因是相當普遍的對信息化風險認識不足,規避風險的措施不力。中國加入WTO后,為了保證我國經濟社會與科技方面的穩步發展,保證與經濟安全,社會安全,國家安全緊密相連的信息系統的安全,在我國發展IT審計已經勢在必行!
四、對我國IT審計工作未來開展的幾點思考
1、規范電算化會計信息系統模塊,規范會計信息系統的數據結構。開展IT審計工作要求企業的計算機信息系統留有審計接口,以便通過接口取得被審系統的電子信息,進行有關的審計處理。雖然我國軟件協會財務及管理軟件分會曾對財務軟件的數據接口提出了標準要求,但許多財務與管理軟件都沒有執行。我國現有的計算機信息系統大部分沒有設置審計接口,有些系統的數據庫還加了密,使審計軟件無法訪問系統的資料,電子資料的獲取成了利用計算機輔助審計的瓶頸。
2、加快審計網絡建設。在網絡環境中,審計人員所面臨的不再是傳統的交易模式和經營管理理念,而是實時動態的網絡信息資源。審計人員只有通過互聯網才能完成審計線索的收集,審計信息的輸出及傳送,因此需要加強審計網絡建設。
3、迫切需要培育一批既懂得審計知識,又懂得計算機網絡知識的復合型人才。目前,我國國內的審計人員無論在數量上還是質量上仍有較大不足。傳統的審計人員雖在財會審計領域經驗豐富,但對計算機網絡技術了解不多,這使得他們難以對復雜的網絡會計系統進行有效的評審,難以應付電子商務環境下的審計風險。因此要保障IT審計工作的順利開展,必須培育出一批高素質合格的IT審計師隊伍。
關鍵詞:發電企業;內部審計;風險管控
一、發電企業傳統內部審計工作存在的問題
(一)內部審計工作難以滿足發展的需求
首先,傳統的內部審計側重于事后發現問題也僅止于發現問題。發現問題時,損失往往已經形成,風險業已暴露。而且如果不能及時分析問題產生的原因,找出解決問題,建立長效機制,將無法協助企業提高經營管理水平。其者,由于認知的偏差,傳統的內審工作缺乏主動性,沒有提前介入參與到審計對象工作中,及時識別并幫助企業防患于控制風險。此外,許多發電企業的內部審計工作仍主要以現場審計為主,沒有利用現代信息技術手段實現實時遠程監控,提高工作效率。最后,傳統的內部審計以檢查企業的財務狀況為工作重點,輔以其他業務資料,沒有對企業全方位的業務進行把關,全方位識別風險。
(二)風險管理體系不完善
部分發電企業尚未建立起完善的風險管理體系,風險管理活動往往是被動按外部監管要求開展,沒有意識到風控的必要性和重要性。這導致企業的風險管理方法落后,不能恰當地識別風評估風險,而風險管理活動往往是事后的“亡羊補牢”式。只有從企業管理層樹立起主動風控的意識,才能把風控貫徹到企業的日常生產經營中。
(三)內部審計資源不足
發電企業內部審計普遍面臨人員不足,從業人員專業能力不強,審計技術方法落后的難題,大部分內審工作人員由會計及其他專業構成,審計人才少,經濟、工程、法律、風險管理的復合型人才更少。單一的專業知識結構制約了內部審計走出傳統查賬式審計的范疇,審計人員對生產經營中出現的異常情況缺乏敏感性和洞察力,難以找出系統性的重難點和薄弱點,無法將風險評估貫徹于審計始終。
二、新常態下發電企業風險導向內部審計的對策
(一)內部審計的職能轉變
為適應新常態下審計工作發展的需要,發電企業內部審計必須重新思考其職能定位和審計目標,以風險為出發點,重新梳理其制度、流程及機制,著力實現從事后案件查處向事前風險預警轉變。一是內部審計工作重點從內部會計控制審計向全面風險管理審計轉變,內部審計工作要告別原來的財務收支審計,從以財務管理為主拓展到企業“三重一大”決策、經濟管理、效益情況、內部控制及風險管理等方面。二是內部審計要從事后監督向事前、事中、事后全過程監督轉變,做好審計關口前移,全面提升企業內部審計工作的范圍和高度。比如參加本單位有關經營和財務管理會議,參與協助本單位有關部門研究制定和修改有關規章制度并督促落實。
(二)完善健全風險管理體系
企業管理層應深刻認識到風險管理是實現公司發展戰略的前提,是保證業務持續穩定發展的根本。首先,企業應完善風險管理制度,優化流程和組織職能,設立相對獨立的審計部門,嚴格內部審計人員錄用標準、資格認證,要求內部審計人員熟悉企業戰略、目標和計劃,了解企業經營中的各項業務及其管理職能。其次,按審計署令第11號的規定,內部審計部門應在董事會領導下開展工作,向其負責并報告工作。董事會需聽取內部審計工作匯報,加強對內部審計工作規劃、年度審計計劃、審計質量控制、問題整改和隊伍建設等重要事項的管理。
(三)整合審計資源和審計能力
發電企業內部審計所涉及的層面廣,影響大,除了財務專業的人才,還要了解發電行業、熟悉物資采購、工程招投標等業務內容的人才。首先,企業要支持和保障內部審計機構通過多種途徑開展繼續教育及專業培訓,提高內部審計人員的職業勝任能力。企業應提供內審人員掛職鍛煉和輪崗鍛煉的機會,鼓勵和支持內部審計人員加強學習和磨煉。必要時,可采取定期或不定期的方式來對內審人員進行考核,并把考核的成績與個人的績效相掛鉤。再者,企業應結合自身特點建立風險數據庫和資源共享機制,以滿足審計人員及時了解業務情況、經營環境、發展戰略,做出風險評估、業績評價等方面的需要。最后,企業要建立良好的風險管理文化,倡導“全員風控”的理念,強調將風險控制落實到每一個崗位。在“全員風控”理念的指導下,企業每個崗位的員工都是風控負責人,業務開展同時也在進行風險控制。綜上所述,在新常態下,發電企業內部審計要以風險管理為導向,盡快完成其角色轉化和職能轉變,完善健全風險管理體系,整合審計資源和審計能力,從而提升內部審計的效率和質量,更好地為企業服務。
參考文獻:
[1]鮑國明.堅持穩中求進工作總基調努力防范和化解重大風險奮力推動內部審計高質量發展[J].中國內部審計,2019(4)4-10.
[2]趙廣宇.風險導向內部審計實務探究[J].中國市場,2016(29):103-105.
關鍵詞:財產保險;運營環節;內部控制
中圖分類號:F27文獻標識碼:A
一、我國財產保險公司內部控制存在的問題及原因
在我國保險業,2009年國內某保險公司因巨虧被接管,2011年初國內某保險集團被國家審計署查出巨額資金違規,等等。我國保險業加強內部控制建設、提升管理能力、重塑行業形象,已迫在眉睫。盡管各家財產保險公司都在加強內控建設,但從目前情況看,財產保險公司在內控實際操作運行中,仍存在許多問題,有些甚至是違法違規問題,這些問題已經引起保險監管部門的高度關注,中國保監會已經開始加大監管處罰力度,整頓保險市場。2010年中國保監會及其各地派駐機構簽發了約1,500份行政處罰決定書。從處罰情況分析,所出現的問題,大都是內部控制存在缺陷,主要集中在:承保管理、理賠管理、管理和財務管理四個運營環節。存在的問題包括:一是違規承保或放寬承保條件;二是虛假理賠、擴大責任理賠;三是違規支付手續費;四是賬外經營。主要原因有以下幾個方面:
(一)企業文化缺失:員工風險合規意識淡薄,執行力弱化。一是高管人員法治意識淡薄,缺乏對法律法規的敬畏。違法違規行為擾亂了市場秩序、影響了企業發展、吃掉了公司利潤、腐蝕了干部隊伍、損害了保險業形象;二是員工執行力弱化,缺乏合規意識。特別是基層的保險機構,對于公司的各項業務規章制度不執行或不全部執行,內控制度僅僅是寫在了文件上、掛在了墻上,沒能內化于廣大員工的心里,沒能使之融入員工自覺工作執行之中;三是內設機構重疊,職責界定不清,承保管理部門既負責核保管理,又直接承辦業務,管理職能與業務發展職能混雜。
(二)控制環節弱化:公司內控組織不完善,內部管理流程不科學。在內控機構建設方面存在的主要問題有:一是部分公司在總部沒有單獨的合規法律部門,沒有單獨組織機構負責統一組織管理實施公司的內控制度;二是大部分新公司在二級機構沒有單獨的內部稽核機構;三是有的公司雖然設有內部稽核機構,但是不獨立,職能不能有效發揮;四是大部分財產保險公司的法律部門或是法律崗人員的主要工作是處理保險糾紛和各種訴訟事務,沒有精力去研究和防范事前法律風險。
在內部管理流程方面存在的主要問題有:一是單證管理上,單證保管和使用兩者職務不分離;二是承保管理上,業務質量的審核把關不嚴,不嚴格按照業務承保規定核保業務;三是理賠環節上,報案后不及時立案,導致未決賠款底數不清,或是人為通過壓低或提高未決賠案估損調節利潤。有的公司甚至制作假賠案套取費用;四是財務環節,大額支取現金,產生大量應收保費沒有控制等。
(三)IT控制失效:公司信息系統簡單,控制技術手段落后。一是部分公司的信息系統仍處在簡單的操作層面,沒有內部控制管理功能;二是部分公司業務、財務、理賠、客戶等系統之間沒有實現無縫連接,相互之間數據信息割裂,業務數據管理無法實現系統化、整體化控制;三是部分公司信息系統中的內控節點設置不科學,未能起到有效防范風險的作用;四是部分公司沒有嚴格按照授權在系統中實行操作權限分級管理。
二、完善我國財產保險企業內部控制的建議
針對以上財產保險公司運營環節出現的問題,提出內部控制完善建議:
(一)承保環節控制
第一,投保控制。一是建立“保單投保電話確認”內控制度。即,對于上級核保機構接到銷售網點提交的投保單后,通過客戶預留的聯系方式,由保險公司核保機構逐一向客戶電話確認投保信息,重點確認是否投保、投保險種、保險金額以及保險費金額等內容;二是建立“保單信息查詢”內控制度。保險公司對所簽發出的保險單,在其門戶網站上提供保單驗真和保單信息查詢功能。從而避免虛假投保、虛假注銷保單等舞弊行為。
第二,出單控制。一是保險公司信息系統應實現系統聯網電腦出單,嚴禁手工出單或脫機打印;二是出單系統、單證管理系統、核心業務系統、財務系統應實時對接,保單信息內容應當實時完整記錄在保險公司核心業務系統;三是實現集中錄單管理。在一個地區設立相對獨立專門負責錄入保單的機構,確保保單信息錄入內容真實、要素齊全、信息準確,保單信息錄入后提交核保部門核保,核保通過后,由保險公司各網點負責打印保單,從而避免虛假退費的舞弊行為。
第三,核保控制。一是要建立“遠程核保控制”,實現保單銷售、保單錄入、保單核保相分離。將保單銷售、保單錄入、保單核保工作實行遠程分離,有效規避承保舞弊行為;二是要建立職責獨立的專業化核保師隊伍;三是要實行分級核保授權管理。從而避免違規協議承保,放寬承保條件等舞弊行為的發生。
(二)理賠環節控制
第一,建立遠程理賠控制系統。為有效防止理賠舞弊行為的發生,保險公司應借助現代信息技術手段,建立遠程理賠控制系統。基層查勘人員只負責查勘出險現場,將現場情況、理賠單證等,通過遠程理賠系統,上傳至上一級理賠核賠核價中心,由核賠核價中心人員進行分別定損、理算,通過將查勘、定損、理算三個職務分離,有效防范內部操作風險。
第二,建立健全理賠內控稽查制度。建立“三管齊下”的理賠質量內控稽查制度,即由理賠線為主開展理賠業務檢查,以省級分公司的檢查審計部門為主開展理賠效能檢查和專項審查;聘用獨立調查人對重點賠案、疑難賠案開展獨立調查;積極推廣應用車險遠程核損技術,實施非現場理賠審計。通過建立健全理賠內控稽查機制,強化理賠環節的事中、事后監督。
(三)環節控制
第一,建立渠道信息系統控制。一是保險人(經紀人)應與保險公司實現系統聯網電腦出單,禁止手工出單或脫機打印;二是保險人出單系統應與核心業務系統實時對接,保單信息內容應當實時完整地記錄在保險公司核心業務系統。
第二,完善渠道管理制度。一是針對個人渠道,建立完善銷售團隊和銷售人員管理制度。對銷售團隊、銷售人員的組建、選拔、考核、晉升、退出等問題進行詳細規定,確保建立起一支講誠信、重道德的銷售人員隊伍;二是針對兼業、專業、經紀人銷售渠道,應建立完善中介渠道管理制度。對這些中介渠道進行分類管理,制定資質審查、合作流程控制,實行合作業務規模與效益雙向考核掛鉤考核等方式,嚴格管理,確保合作的中介機構合法、合作的業務合規,合作的業務風險可控,雙方互利互惠,長期共贏。
(四)財務環節控制。企業集團財務管理模式通常包括以下三種:“集權型”、“分權型”和“集分結合型”。“集權型”財務管理模式是所有戰略決策與經營控制權都集中在總公司,基層分支公司沒有經營控制權。“分權型”財務管理模式是指決策權分散于各分支公司,各分支公司相對獨立,總公司不干預分支公司的生產經營和財務活動。“集分結合型”財務管理是指以總公司戰略目標為核心,將重大決策權集中在總公司,而賦予分支公司自主經營權和其他決策權,同時采用分類指導的原則,對某些分支公司實行集權,對某些分支公司實行分權。鑒于目前我國財產保險公司在財務管理上存在的諸多問題,提出兩項建議:
第一,業務規模較小的財產保險公司,建議采取“集權型”財務管理模式。對于新成立的或是剛剛發展起步的財產保險公司,在公司的發展初級階段,規模較小、分支機構網點少和人力資源有限,為有效防范財務舞弊風險,增強運營效率,增強總部財務控制集權度,應采取“集權型”財務管理模式。
第二,業務規模較大、網點較多、目前采取“分權型”管理模式的大型財產保險公司,建議可先采取“集分結合型”模式,然后逐步過渡到“集權型”管理模式。對于目前采取“分權型”管理模式的大型財產保險公司,基于業務規模大、網點多的現狀,可以采取分步過渡的辦法,先過渡到“集分結合型”模式,然后再借助先進的信息技術手段,最終實現向“集權型”模式轉變。在過渡期,采用“集合分權型”財務管理模式時,根據分支機構的實際情況有兩項選擇:一是分級實行集中。將重大財務決策權集中在總公司,賦予省級分公司(省級分公司可以向下賦予地市級分公司)自主經營權。其中,根據管理需要,可將基層分支機構的財務管理權上收至地市或省級分公司,由地市或省級分公司對基層支公司進行財務管理。實際上是上收基層分支機構財務權,使基層分支機構轉變為銷售網點;二是分類實行集中。即,按照分支機構財務管控能力,對財務管控能力弱的分支機構實行“集權型”財務管理模式,對財務管控能力強的分支機構實行“分權型”財務管理模式。
(作者單位:中國人民財產保險股份有限公司河北省分公司)
主要參考文獻:
[1]郭文昌.中國保險業運行風險探析.中國經濟出版社,2007.