时间:2023-06-07 09:32:27
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇远程审计的思考,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:内部审计;计算机辅助审计;沟通
随着全球信息网络化的发展,计算机网络技术被广泛应用于企业经营和内部管理的全过程。面对审计资料无纸化、审计数据海量化的新挑战,内部审计对业务的监督逐步由现场手工查证的传统方式过渡到利用计算机进行远程监控与现场核实结合的新方式,内部审计人员与审计对象的沟通方式也随之发生了一些新变化。
一、计算机辅助审计发展情况简述
计算机辅助审计是指审计机构、审计人员在审计过程和审计管理活动中,以计算机为工具,推广应用信息技术,深入开发利用信息资源,改进审计作业和管理手段,全面、及时、有效地检查和监督经营管理信息,维护资产安全,更经济、有效地履行审计职能的活动过程。
计算机辅助审计的推广有赖于企业内部网络化和计算机软、硬件投入程度的加大。近年来,一些大型国有企业、金融机构以及税务、财政部门都不同程度地创建完善了财务收支和各种内部管理的网络系统。这些机构的内审部门也基本实现了与内部其他相关部门的网络互联,为实现信息交换网络化开辟了快速通道,为开展网络审计、实现实时监控打下了基础。与此同时,这些较大行业和系统积极推动计算机辅助审计建设,硬件投入和更新较为及时,软件开发也初见成效,使内部审计工作迈上了新的台阶。
二、计算机辅助审计引起沟通的主要变化
沟通贯穿于审计工作的全过程,是审计人员必备的专业技能。中国内部审计协会的《内部审计具体准则第10号――内部审计与外部审计的沟通》、《内部审计具体准则第11 号――结果沟通》、《内部审计具体准则第20号――人际关系》,以及国际内部审计专业实务框架等,均给出内部审计活动如何进行沟通的指引。审计沟通的技巧对于建立良好的人际关系、创造和谐的工作气氛、实现有效的信息交流、保证审计工作的顺利开展具有十分重要的作用。
与传统审计方式对比,计算机辅助审计中的沟通主要有以下变化。
(一)增加了与业务主管部门和一线业务人员的日常沟通。近十年来,各种业务电算化建设速度非常迅速,业务处理大集中模式已经成为主要的发展方向。面对着繁多的平台模块、各不相同的数据表定义,内部审计师不可能具备业务主管部门和一线人员所具有的相关系统知识和技能。为深入了解和研究各类业务系统功能模块的具体用途和数据关系,有针对性地使用审计软件创建审计模型、查找审计疑点,内部审计师必须加强与业务主管部门和一线业务人员的日常沟通。
(二)增加了与审计软件开发人员的沟通环节。传统审计以现场作业为主,审计人员主要面向业务经办的一线业务人员及其管理者,通过审阅、核对、复算、盘点、观察、鉴定、分析性复核等方法进行取证。在计算机辅助审计方式下,对审计软件应用的需求逐步加大,开发适用的审计软件对提高审计效率和保证审计质量起到重要的作用。参与设计审计软件的内部审计人员必须与技术开发人员进行良好沟通,才能将成熟的审计方法和技巧融入审计软件中,建立适用的查证疑点模型,有效建立业务系统与审计系统之间的关联,提高查找疑点的准确性。
(三)增加了远程沟通审计业务疑点的机会。受审计资源的限制,传统审计是在本系统内部选取某几个分支机构作为具体抽样对象开展现场审计,内部审计人员主要在审计对象的工作场所内进行查证。在计算机辅助审计方式下,借助审计软件,运行适当的审计模型,可以广泛地发现系统内存在的重大风险以及普遍性问题,不受地理范围的限制,真正实现以风险为导向的审计模式。审计软件的运行,可以得到几十条、几百条、甚至上万条需要核实的疑点,除少数存在重大风险的疑点需要内部审计人员到现场进行重点核实外,对中等风险的疑点可以通过系统追查业务的具体流向以确定问题所在,其他大部分低风险的疑点可以通过远程沟通方式进行核实:如通过邮件、电话等方式询问疑点的情况,移交被审计单位的上级主管协助核实,对风险轻微的可以移交审计对象自查。由于远程沟通并非面对面的沟通方式,审计对象可能会由于不了解审计工作而抗拒配合对问题的核实,又或是随便应付了事,因此,远程沟通需要审计人员更多的沟通技巧。
三、如何实现计算机辅助审计中的有效沟通
(一)加强与管理人员和一线业务人员沟通,加深对业务系统的熟悉程度
在信息化时代,内部审计人员只有熟悉审计对象业务系统、了解审计客体信息的构造和特点,才能有针对性地采取专用技术,实现应有的监督作用。首先,内部审计部门应以制度形式,制定与驻地审计对象的日常工作联系制度,要求审计对象定期将业务系统的发展状况、功能扩展、优化更新情况,以及新业务流程等文件报送审计机构。其次,日常工作中,内部审计人员应关注业务系统发展的新动态,可以根据专业方向定期与业务管理人员联系讨论业务发展的新动态,参加业务主管部门的培训班,保持业务知识的更新。再次,内部审计人员可以短期跟班工作等方式加深对系统实际操作的了解,实地向一线业务人员了解具体业务流程,更好地理论联系实践。通过不断的知识更新与深入研究,内部审计人员才能尽快深入了解业务动态及相关系统功能,为有针对性地将审计技巧融入审计软件打好基础。
(二)加强与软件开发人员沟通,实现审计技巧与审计软件开发的有机结合
内部审计信息化建设的关键,是组成审计专家和计算机专家结合的研发小组,开发合适的计算机辅助审计软件。首先,需要高级管理层重视,以内部审计章程的形式,要求所有业务系统的开发必须留有审计系统的数据接口,为获取完整的业务数据提供条件。其次,内部审计专家应从审计实务出发,将审计原理和内部审计程序转变为流程图的形式,以便开发人员理解审计作业流程,编译出符合审计规范的软件。再次,内部审计专家应针对本机构业务系统的具体特点,研发各类查证和分析技巧,并与开发人员一同选用适当的统计工具和常用的审计函数,使软件开发人员开发出简明易懂、符合审计人员工作习惯的软件。
(三)增强远程沟通的公开性与透明度,顺利获得审计对象对内部审计工作的帮助和支持
在进行远程沟通时,首先要取得沟通对象的信任,内部审计人员应该注意将审计目的、测试的范围、疑点核实的反馈方法等具体事项向每个审计对象进行详细说明,并取得审计对象上级管理部门与审计对象机构负责人的配合,以消除双方的误解,提高沟通的层次。其次,必须与审计对象声明审计工作的严肃性,明确核实工作中的审计联系人和提供核实材料的责任人,避免审计对象敷衍了事、避重就轻、无端否认事实等情况。再次,必须要保证远程沟通过程的信息交流通畅,内部审计应公开查证人员名单、联系方式,定期公布审计工作进度,让审计对象理解和自觉配合审计工作,及时提供完整、真实的信息。
(四)重视内部审计软件应用的培训,提高计算机辅助审计工作效率和效果
目前,大多数内部审计人员依然秉承传统的审计技术,只会使用审计对象的管理系统进行简单查询,对审计软件的使用也只是处于查询、编制工作底稿的初级水平,远未达到掌握数据库和灵活使用审计软件进行模型编制、多纬度分析的高级水平。内部审计机构应注重加强对审计软件的培训,使所有内部审计人员熟练掌握操作知识与技巧,培养一批既精通审计业务,又了解掌握计算机技术的复合型内部审计人才,提高计算机辅助审计工作效率和效果。一是制定经常性的培训计划,编制从基础级到提高级的各等级培训教材,鼓励员工参与培训,逐步提高应用水平;二是推行应用水平等级考试,将考核成绩纳入内部审计职业准入的条件之一,并结合激励措施引导学习和应用的自觉性;三是要注重对业务查询、模型编制、疑点核实等使用经验的总结和提升,不断提高和加深对审计软件的应用水平。
参考文献:
[1]索耶.内部审计:现代内部审计实务(第五版)(美)[M].北京:中国财政经济出版社,2005.
关键词:联网审计;财政审计
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2014)03-0-01
一、联网审计的特征和必要性
联网审计是指审计机关与被审计单位进行网络互联后,在对被审计单位财政财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实性、合法性、效益性进行适时、远程检查监督的行为。与传统现场审计相比,联网审计有以下特征:
(一)实时性。联网审计通过计算机网络实现数据传输,审计主体与审计客体建立实时的监控系统与机制,实现信息的实时传输。审计人员通过网络访问被审计单位信息数据库,缩短了每次检查活动的相隔期间以及检查时间,对于具体的财政财务收支事项,既可以在该事项结束后实施审计,也可以在该事项进行过程中适时进行审计,从而实现了事后审计与事中审计相结合,增强了审计的时效性。
(二)主动性。联网审计的重要特点,就是能够对审计客体的财务资料、业务信息进行全过程的实时跟踪、监控,实现对审计客体全过程预警、分析、核查等。传统现场审计模式中,审计项目根据年度计划确定,且延伸审计经常依靠主管部门安排,降低了审计追踪的准确性。通过联网审计模式,审计范围更广、审计内容更深、能够便捷地发现审计疑点,有针对性地选择延伸审计对象,审计人员充分掌握了主动性。
(三)动态审计。联网审计对比传统现场审计,最大的区别在于由以往的静态审计变为实时的动态审计,将审计活动由在特定时间进行的静态活动发展为多时点、多维度的系统性动态活动。
二、推进联网审计在构建财政审计大格局中的作用
(一)扩展财政审计覆盖面。预算执行审计作为审计机关永恒的主题,在为服务宏观调控、规范财政预算管理、提高资金使用效益发挥了积极的促进作用,财政管理逐步走上规范化的轨道。然而,由于基层审计机关业务人员少,预算执行审计组规模小等客观原因,审计过程中对预算单位抽查力度小,预算执行审计的覆盖面窄,审计盲区多,影响预算执行审计作用发挥。
推进联网审计,通过数据采集、预警设定、横向分析、趋势分析等手段,科学统筹审计资源,提升审计效率效果。通过审计方式、审计技术方法的变化,以被审计单位计算机信息系统和数据库原始数据为切入点,在对信息系统进行检查测评的基础上,通过对数据的采集、转换、清理、验证,运用查询分析、多维分析、数据挖掘等多种技术和方法构建模型进行数据分析,发现趋势异常和错误,把握总体,突出重点,精确延伸,从而收集审计证据,实现审计目标,逐步提高财政审计覆盖面,最终实现财政资金的全覆盖,构建财政审计大格局的目标。
(二)实现更高效的数据采集和分析。在传统现场审计中,审计人员利用计算机辅助实施审计数据的采集和分析,在数据量上受到所携带设备、审计范围的限制;在时间上受到现场组网和审计进度的影响。在联网审计中,前期平台一次建立,在日程采集中数据采集和分析的数量基本不受设备限制,审计范围在事前确定为最大可能的范围,时间不受现场组网时间与审计期间影响。因此联网审计具有更高的审计数据采集和分析效率。
(三)实现更科学的项目计划和管理。在联网审计模式下,能够及时把握趋势,发掘重点,跟踪线索,以选取重点资金、重点部门安排审计项目。在信息化条件下统筹安排、合理布局,将一个单位或部门的全部审计项目作为一个整体,让其他项目直接或间接地为预算执行审计服务,更清晰地把握预算执行的过程和结果,审计方案制定更具体、更具操作性。
(四)实现更多样的审计成果。联网审计模式下,审计节点更具实时性,审计范围更具全局性,审计手段更具科学性,因而审计查出问题更具针对性、准确性,更能发现带有全局性、倾向性的问题,撰写审计分析、审计综合报告等,为政府宏观决策提供参考意见。
三、推进联网审计建设的几点思考
(一)完善制度保障。要建立和完善制度保障,以指导联网审计工作实践的深入。要建立规范管理的制度,明确审计部门与被审计单位双方的权利和责任;确定联网审计的基本模式,建立审计部门内部审计流程、权限管理、风险管理等一整套规章制度,做到在联网过程中有章可循,为开展联网审计提供制度保障。
(二)加强宣传引导。审计部门采取多种方式,利用多种渠道进行联网审计宣传,使得被审计单位的领导、财务及相关人员理解联网审计的实质性意义,消除被审计单位对联网审计的误解,从而积极支持和配合联网审计的进行。
(三)加快网络建设。在现有的基础上加强审计网络建设,有计划地逐步建立全面的审计网络。利用好现有的现场审计实施软件,开发能面向各种系统、各类被审计对象、各种主题的审计软件,配置先进实用的计算机设备和功能性强、可兼容的系统软件,从被审计单位准确获取各种数据,实现有效的远程审计。
(四)防范审计风险。在网络环境下,审计面临的不仅仅是企业内部控制风险,网络的安全性也为审计带来新的风险。因此,被审单位的信息系统控制和网络信息的安全可靠性成为网络审计中审计风险防范和控制的重点。要着重对系统的职责分离情况、操作权限设置进行审查,采取安全可靠的措施做好保密工作。在联网审计实施过程中,严禁接触数据的电脑连接其它网络,以净化联网审计的网络空间,保证联网审计实施过程中的网络安全。
参考文献:
[1]张聪聪.利用财政联网审计扩展预算执行审计的覆盖面.审计月刊,2011(1)(总第273期).
[2]王松艳.在财政审计大格局下推进联网审计的思考.审计月刊,2011(8)(总第280期).
【论文摘 要】世界各国审计机关对计算机处理环境的内部控制问题都有相当的重视,当前对内部控制的研究存在三个问题:一是对广域网络环境下会计系统的内部控制缺乏研究;二是对内部控制的分类欠妥;三是不少控制措施以及对内部控制的符合性测试方法脱离实际。本文针对这些问题展开讨论并提出了内部控制及审计措施。
进入21世纪以来,世界各国审计机关对计算机处理环境的内部控制问题都更加重视,进行了非常深入的研究。既肯定了计算机处理环境对内部控制的影响,又研究了加强控制的措施,还探讨了审计内部控制的方法。但是,随着计算机技术的日新月异,尤其是商务和财务的出现,前述的这些研究已经显得苍白。我们认为,当前对内部控制的研究存在三个问题:一是对广域网络环境下会计系统的内部控制缺乏研究,二是对内部控制的分类欠,三是不少控制措施以及对内部控制的符合性测试方法脱离实际。下面将就这些问题展开讨论。
一、网络会计给内部控制提出了新课题
网络财务战略一经提出就获得的普遍认同,成为业界关注的焦点,引发人们对网络环境下财务与管理的思考。网络财务的最闪光之处是通过internet实现多种远程处理和支持电子商务,而这恰恰给会计内部控制出了难题。
我们知道,电子商务和远程处理必然要求会计系统的进一步开放与数据共享,而开放与共享将增加安全控制的难度,信息安全、资金安全都将成为内部控制的焦点。安全威胁既来自企业内部工作漫不经心的员工,也来自心怀不满的职员、外部黑客以及竞争对手。因为网上交易公开化程度较高,操作人员和信息使用者干预系统的机会增大,再加上使用的是公用通讯线路,系统面临的安全隐患也必然增多,从而增大企业经营的风险。例如,不法之徒可能利用网络及安全管理的漏洞窥探用户口令或电子账号,冒充合法用户作案,篡改数据库内容以窃取资产;利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏会计信息系统,甚至摧毁网络节点;此外,由于电子商务处理业务的原始记录以电子凭证的方式存在和传递,不法之徒通过改变电子货币账单、银行结算单等,就有可能转移财产的所有权。
有鉴于此,网络财务必须实现以下控制目标:
1.对远程操作的控制,即实现对远程记账、报账、查账、制表、审计以及网上报税等操作的安全控制。
2.对网上支付的控制,即保证支付信息的机密、支付过程的完整、交易双方的合法身份以及互操作性,实现安全支付。
3.对电子凭证的控制,即控制电子凭证的正确收发、真伪确认、安全传递和格式转换等问题。
以上控制既涉及技术层面,也涉及政府立法和企业内部的制度建设。在技术上要采用公开密匙加密、电子数字签名、电子信封、电子证书等技术,加强对网上输入、输出和传输信息的合法性、正确性控制,在企业内部网与外部公共网之间建立防火墙,对外部访问实行多层认证。在上建立电子商务法律法规,规范网上交易、支付、核算行为,并制定网络财务准则和相应的内部控制制度。没有网络安全,就没有网络财务。
二、关于内部控制的分类
美国执业会计师协会第3号《审计准则公告》、《国际审计准则》第20号以及我国《独立审计具体准则第20号》,都把计算机会计内部控制分为一般控制(general controls)和应用控制(application controls)两大类,并将前者定义为:(1)电子数据处理的组织和操作的计划;(2)对系统或程序的设计、开发和变动的记录、审核、测试和批准;(3)由制造商在设备内部所设置的控制;(4)对接触设备和数据文件的控制;(5)对系统的运行有影响的其他数据和指令程序的控制。公告把应用控制定义为输入控制、数据处理控制和输出控制。
我们认为内部控制的分类既要概念清晰,又要区分控制的主体,以便明确责任。为此,建议将内部控制分为管理制度控制和程序系统控制两大类。其中程序系统指机软硬件系统,主要是系统和软件。程序系统控制主要是靠软件本身功能来实现的内部控制机制,以实现系统的自我保护,主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。程序系统控制的责任者是软件开发部门,用户不应负有责任。而管理制度控制一般是以管理制度的形式实行的,主要包括组织、操作、维护和资料保管等方面。我们也可以进一步将管理制度控制分为环境控制(或基础控制)和操作控制(或控制)两类,组织、维护和资料保管都属于环境控制的范畴。显然制度的制订和执行与计算机程序系统无关,而是会计软件使用单位的责任。这种分类法的优点是分类标准明确,容易
理解,而且实现控制的措施和控制的主体是一致的,责任分明,方面容易清楚自己应该怎么办。
三、关于内部控制措施及审计
目前我们接触到的具体控制措施以及内部控制的审计时往往脱离实际,形式繁琐,又不突出控制重点,主要存在以下:
1.无法实现或不合理的控制措施
在对内部控制措施的罗列中,有许多是无法实现或者是不合理的要求。例如,要求在会计软件中“安装一个联机审机控制器,用来收集审计人员感兴趣的资料”,要求在程序中设置断点以控制“主文件金额数、记录计数、前一程序指令序号”“每一个操作运行结束后应有一份打印输出”,通过使用“双重运算、逆运算法”检查错误等等,都是不合理的甚至根本就无法实现的措施。又如对会计软件系统的开发控制和审计是否合理,也是值得商榷的。
2.无需过问的控制措施
有许多控制措施是计算机系统的最基本的功能,并非为会计所设置,审计人员是无需过问的。例如,硬件的冗余检验、奇偶校验、回声检验,操作系统的错误处置、程序保护、文件保护,这些控制都是计算机系统所必备的功能,不应该将它们纳入会计内部控制的范畴,也不应该成为审计的。其实对许多系统保护措施审计人员也无从了解,更谈不上审计。
3.对内部控制的审计内容繁琐
许多文献对内部控制审计方法的介绍不仅内容空洞繁琐,而且空谈许多无法实现的审计方法,严重脱离实际,使审计人员不得要领,抓不住审计的重点。例如,对系统软件的测试是完全没有必要的,因为系统软件一般都比较可靠,而且不会对会计软件系统的安全造成威胁。此外,对会计软件的测试方法中许多方法从技术上看是不可行的,从成本效益原则上看也是不合算的。例如,程序流程图检验法、程序代码检查法都要求审计人员去阅读程序代码以确定会计软件的控制措施是否满足,这确实是一种天方夜谭的设想。又如所谓图示法要求“利用监督程序来测定被测试程序中哪些指令执行过,哪些指令未曾动用”,也是很不现实的方法。
鉴于以上原因,我们认为当前应该全面检讨内部控制的措施一方面通过制订《会计软件基本功能规范》进一步明确会计软件公司的责任,规范会计软件产品的程序系统在数据输入、处理、输出、传输和安全保护的控制功能;另一方面则应通过制订会计基础工作规范,明确推行会计电算化的单位的控制责任,规范必要和切实可行的控制措施。
四、应该重视对内部控制的审计
在相当长的时间里由于人们对计算机会计系统比较陌生,内部控制措施不明确,审计方法不得要领,所以审计人员只得沿用对手工会计的审计方法,很少能够对内部控制进行有效的审计,漏洞较多,不足以确保会计系统的安全。因此,提高对内部控制的认识,加强对其内涵和技术的,重视对内部控制的审计,仍是当前会计电算化和审计领域的一个关键课题。一般情况下审计人员的责任主要不是审计计算机和会计软件系统的内部控制措施,而是审计应用单位制订的内部控制制度是否健全和真正有效执行。计算机硬件和系统软件无需审计人员去审计,而会计软件系统的输入、处理、输出和安全控制功能则应由专家去评审。我国过去对会计核算软件的两级评审制度,其实质就是对会计软件内部控制功能的审计。
参考文献
[1]邓春华.财务会计风险防范[m].中国财政经济出版社,2001
[2]刘国常.企业内部会计控制及其评审[m].2中国财政经济出版社,003
关键词:医疗信息化;信息安全;虚拟专用网;数据备份
引言
随着医疗产业的发展和生活水平的提高,人们对医疗服务的要求越来越高,同一区域间医院提供医疗服务的竞争也日益加剧。提升医疗服务水平,降低医疗成本,减少病人的医疗环节,成为各个医院争相努力的重要方向。建立区域医疗信息系统正是为了更好地提供医疗服务,也是适应医疗卫生事业的需求和发展的产物。为了实现医疗信息在区域间的共享和管理,需要建立一个全面的医疗信息共享平台。通过高效的医疗协同平台和标准化的医疗服务流程实现医疗数据及信息的共享和处理。由于区域医疗信息系统是建立在一个完整的计算机网络之上的,其中涉及到多个子网络之间的互联互通,以及跨网络的数据转发,因此数据的安全性显得尤为重要。特别医疗数据具有一定的隐私性、实时性,因此设计和建立安全医疗网络系统,成为区域医疗协同平台的必要条件。文章从医疗平台的安全架构出发,讨论和分析建立医疗网络的安全的重要方面,并在此基础上设计安全部署的方案和要点,作为建立完善的医疗协同平台的重要参考。
1 医疗协同平台的安全架构
区域医疗协同平台的安全架构主要功能是防范在网络中可能存在威胁,以及对数据进行有效的保护。从确定安全保障的目标出发,医疗协同平台的安全架构包含技术层、管理层和业务层三个层次。技术层、管理层、应用层是三个相对独立又互相联系的整体,正是三者之间的紧密耦合和相互协作才确保了医疗信息平台的安全。技术层支持应用层的实现,而管理层是确保技术层正常工作的关键,应用层则是技术层和管理层最终体现出具体的业务实施区域医疗协同平台框架的要求包括技术要求和管理要求。技术要求包括对应用访问进行严格限制,只允许访问对应的应用服务的对应端口,同时对那些不符合访问规则的请求进行拒绝,能够对整个网络的流量进行监控,从而对病毒和入侵行为进行判断。另一方面作为网络的运营及管理人员而言需要对网络设备、存储设备以及数据库的操作权限进行管理和审计,对那些没有授权的非法访问要能即使发现、告警,并实施阻断。进一步对于那些承担了整个网络运行的物理设备,如交换机、路由器、服务器、安全设备等需要进行统一的管理和维护,如果发生安全事件,可以利用统一管理系统进行故障定位和故障排除,这样可以有效减轻管理员的工作量,提升整个协同平台的运行效率。
在管理上,网络的访问权限和应用服务器的访问权限都需要进行合理的分配和有效的管理,同时必须建立完善的安全管理体制和措施。对相关的人员进行安全管理的培训,形成一套完整的管理机制,从管理和技术两个方面确保医疗协同平台的物理安全和系统安全。
2 安全实施方案
该部分是对医疗协同平台部署中的安全方面的问题进行讨论,对相关的实施方法和细节进行分析,力图建立一个安全高效的防护体系。本方案考虑到的安全设计主要有以下几个方面。
2.1 防火墙部署
在每个医院或医疗机构的外联出口部署一台硬件防火墙,该防火墙的内、外网卡分别连接于内、外部网络,但内部网络和外部网络是从逻辑上完全隔开的。所有来自外部网络的服务请求只能达防火墙的外部网卡,防火墙对收到的数据包进行分析后将合法请求通过内部网卡传送给相应的服务主机,对于非法访问加以绝。并通过互联网边界的防火墙设备设立一个独立的DMZ区域,用来部署医院的WEB、网上挂号等应用系统。
2.2 入侵检测系统部署
由于医院的具体应用比较多,需要部署大量的应用服务器,有些服务器需要外部网络的用户进行访问,因此在外部用户访问的过程中需要进行严格的安全控制和审计。在外接互联网的接口处部署入侵检测系统,可以对网络中的非法访问和非法流量进行检测和控制,从而阻断那些对内部网络有害的流量和访问,确保整个医疗系统的网络终端和服务器的安全。
2.3 互联网边界IPSEC VPN部署设计
考虑到下级医院或者分支机构需要接入到医院的信息中心,实现医院与下属单位和社区诊所等基层医疗组织的信息共享和网络访问,方便远程诊疗、远程视频会诊,我们采用了基于IPSec协议的VPN隧道的方式建立医院与下级机构的虚拟专用网。基于IPSce的虚拟专用网是是运行在一套完整的协议体系之上,它给出了应用于IP 层上网络数据安全的一整套体系结构。该体系结构包括认证头协议(Authentication Header,简称为AH)、封装安全负载协议(EncapsulatingSecurity Payload,简称为ESP)、密钥管理协议(Internet Key Exchange,简称为IKE)和用于网络认证及加密的一些算法等。利用这一套完整的安全机制,可以有效地保证接入端访问医院信息的可靠性。
2.4 SSL VPN部署设计
为了满足移动办公需要,使在外出差或专家医生远程医疗会诊能够安全、方便地接入到医院信息网络中,实现远程办公与远程医疗协助。同时考虑远程接入的安全要求,通过在医院外网DMZ区域旁路部署SSL VPN设备,对外网移动办公及远程接入用户提供基于SSL安全套接层协议的VPN隧道,实现对医院内部网络的访问,保证在远程接入到内网访问过程中数据传输的安全性、可靠性。
2.5 数据容灾备份设计
医院重要的数据都集中在业务网络的核心数据中心区域,这些数据与医院的业务紧密相关,一旦发生损坏,后果非常严重,甚至会对医院造成损害,因此必须要采取必要的数据灾备措施,将重要的数据进行备份,以防出现意外时,系统能够自动恢复,确保系统持续运行,更好地支撑医院的业务系统。
3 结束语
医疗产业的发展需要为患者提供更完善和方便的医疗服务,信息化技术在服务提供、信息获取等方面极大地方便了患者。医疗协同平台的建立正是对各种医疗信息的集成,帮助和促进医疗服务的完善。而平台安全事关医院和患者的利益,文章从网络安全的角度出发,对建立医疗平台的安全问题进行了讨论和分析,从访问安全、数据安全、接入安全等各个方面进行了论述,为建立区域医疗协同平台提供了有益的安全模式。
参考文献
[1]赵锋,曹文杰.医院信息系统访问控制策略设计分析[J].计算机技术与发展,2010(6).
[2]黄慧勇,黄冠朋,胡名坚.医院信息系统安全风险与应对[J].医学信息,2009(6).
[3]张涛,田国栋,蔡佳慧,等.电子健康档案隐私保护相关问题的思考[J].中国卫生信息管理,2011(4).
[4]王希忠,王智,黄俊强.安全审计在信息安全策略中的作用[J].信息技术,2010(3).
一、创新固定资产投资理念
传统的以查错纠弊为主要目标的审计理念已不能适应新形势发展的需要,应该增强宏观意识,努力研究和把握固定资产投资审计工作的规律和特点,探索固定资产投资审计工作的新理念、新思路。
审计人员在固定资产投资审计中要落实为人民服务的根本宗旨,本着真心实意对人民负责的精神,真正做到权为民所用、情为民所系、利为民所谋。
投资体制的深层次改革必然引起投资决策方式、资金筹措方式和资金使用方式的调整。在投资管理和项目管理领域正在发生的变化,主要表现为投资主体多元化、投资决策分散化、资金来源多元化、融资方式市场化、项目预算管理和工程合同管理国际化。这些使固定资产投资审计的环境、对象、内容和方式等都发生了不同程度的变化。因此,我们要根据投资管理体制、建设管理体制、财政管理体制、金融监管体制改革的要求,不断创新固定资产投资审计理念,致力于提高固定资产投资审计的宏观经济效应。
二、创新固定资产投资审计方法
要尝试新的固定资产投资审计模式,逐步实现由单一的账项基础审计向账项基础审计、管理基础审计、风险基础审计相互交叉和并存的审计模式发展。要积极推广和运用抽样审计、符合性测试和实质性测试、风险分析和评价、经济活动分析与数学模型分析等现代审计方法。
目前,粗放经营、粗放增长、低水平扩张和重复建设在经济生活中还比较普遍。在固定资产投资审计中要积极推行效益审计,对项目建设的经济性、效益性以及效果性进行评价。按照科学发展观的要求,投资效益审计既要考虑投资结构的合理性、投资规模的适当性、资金使用方向的正确性、使用效果的综合性、使用过程的公平性,又要检查项目建设的宏观性、公众性、关键性、基础性、牵动性和对政治、经济自然环境的影响,把宏观效益与微观效益、长远效益与当前效益、经济效益与社会效益及生态效益统一起来。
在具体的审计过程中,要重点关注政府性投资效益和重大投资项目的效益,关注资金的分配结构、使用效果。要大力推行审计信息化,充分利用计算机技术、网络技术来开展工程审计和远程审计,以及利用现有的投资审计软件、模块,加快建设项目基本资料库、固定资产审计法规库、工程审计经验数据库和固定资产投资审计案例库建设的步伐,以提高工作效率,提升审计质量,尽快实现固定资产投资审计手段现代化。
三、创新固定资产投资审计理论
随着社会主义市场经济体制的不断完善,我国的经济增长方式正在由粗放型向集约型转变,转变的核心问题就是提高效益。审计的发展要与经济发展阶段相适应,固定资产投资审计的目标要从真实、合法逐步转到效益上来,开展效益审计是在新形势下将固定资产投资审计向深层次、高水平推进的必由之路。审计署审计工作5年发展规划提出:在固定资产投资审计中,要积极开展投资效益审计,要逐年加大效益审计的比重,以期尽早实现固定资产投资审计以效益审计为主的目标。审计工作要围绕政府经济工作的中心,不断提高依法审计能力,为宏观调控服务,为领导决策服务。
关键词:数据中心 内部审计 信息化建设
进入二十一世纪以来,信息化已经成为我国经济和社会发展的重要推动力,信息技术应用与各个领域的融合日益紧密,越来越多的企业借助ERP、HR、OA等信息系统加强对企业的管理,以信息化推动现代化的战略已经取得丰硕的成果。伴随着企业信息化的发展,内部审计工作的环境发生了变化,非计算机证据的数据和比例相对减少,传统的审计方法越来越不适用。由于会计信息系统进行业务处理在数据处理工具、方法、流程等方面都发生了很大的变化,审计方法和技术也相应发生了改变,计算机审计已经日渐成为审计的一个新的发展方向。
一、研究现状
(一)内部审计工作的现状
李金华审计长曾高瞻远瞩的指出:“审计信息化建设是审计系统一场深刻的革命,是未来审计的主要手段,是现代审计的发展方向。不加强审计信息化建设,我们将失去审计资格。”早在1998年,我国审计署就开始筹备“金审工程”,开发针对政府部门、金融、财政和国有企业不同审计业务需要的审计监督应用系统,制定了审计业务信息接口标准。《审计署2008至2012年信息化发展规划》中指出要探索和完善信息化环境下的审计方式,推进审计信息化建设,努力提高审计工作效率、质量和水平,为审计事业发展提供信息技术支持和保障。
全国烟草行业近几年发展十分迅速,各个业务领域利用信息化促进管理上水平,各类信息系统如同雨后春笋,相继开发实施了工商交易平台、营销CRM、专卖管理、财务核算、电子结算、OA等应用系统,逐步形成了省级集中的数据交换中心。环境的变化对行业内审工作提出了新的要求,内部审计不仅是国有资产的守护者、财务账实的审核者,更是强化管理的促进者、提高效能的推动者、价值增值的促导者,传统而单一的财务收支审计已不能满足日益发展烟草企业管理的需要,内部审计工作的范围应需拓展。内部审计必须以“强管理、防风险、促发展”为己任,积极探索以“风险为导向、控制为主线、治理为核心、发展为目标”的管理审计和绩效审计,积极探索以“事前审计为基础、事中审计为重点、事后审计为保障”的审计模式。要实现这个目标,必须借助先进的审计信息化系统才能实现。
(二)内部审计信息化的必要性和可行性
“十二五”期间,国家烟草专卖局将“规范”视为“生命线工程”的核心位置。内部审计作为企业管理的重要组成部分,是内控体系保障规范的一个关键环节,在企业管理信息化的得到广泛应用的同时,往往存在审计对象的数据真伪难辨,且具有很强的隐蔽性,这对内部审计工作而言是一个新的考验,而审计对象的信息化也为内部审计信息化的发展提供了可行的契机。
1.内部审计信息化是促进自我规范的需要。行业内部审计是保障企业规范运营的防火墙,但由于内部审计的准则不完善,审计过程的规范仍然没有很好的解决,而内部审计信息化能实现流程固化,改进审计方法,进而促进审计工作自身规范。
2.内部审计信息化是提高工作效率的有效途径。传统审计的特征是动作滞后、过程缓慢,往往浪费大量的时间手工获取账册、凭证数据,通过计算机辅助审计,运用统计学、信息论等方法,可以将审计人员从繁重的简单劳动中解脱出来,有效提升审计效率。
3.内部审计信息化是融入企业信息化管理大环境的必然要求。尤其是行业全面实行财务管理和会计核算的电算化后,包括管理类审计,如经营管理、物流成本等内部审计对象都融入到集中的数据中心,内部审计必须实现信息化才能有效地开展。
二、内部审计信息化总体架构设计
(一)建设目标和原则
目前,烟草行业实现了省级集中的数据中心和财务管理,通过编码映射和数据转换,构建行业内部审计工作需要的一体化平台,以便于获取被审单位的数据信息,实现对审计项目的过程、资源、成果的有效管理;在审计模式上实现四个转变:由单一的事后审计转变为事后与事中审计相结合,由单一的静态审计转变为静态与动态审计相结合,由单一的现场审计转变为现场与远程审计相结合,由单一账套审计转变为多账套综合分析审计相结合的审计模式;通过提供丰富的分析工具、审计方法和经验共享,帮助快速发现疑点线索,提升业务能力,从而整体提高内部审计的效率和质量。
系统设计遵循以下的原则:
1.统一性与适用性相结合。坚持顶层设计,保障内部审计信息化与审计对象系统的无缝对接;坚持上下结合,灵活定制,促进内部审计工作针对性和适用性。
2.先进性与易用性相结合。与数据中心相匹配,采用大型数据库技术和相应的数据仓库、数据挖掘技术;在操作层面,将分析模板定制于后台,展现友好的人机界面。
3.安全性与稳定性相结合。根据审计工作的要求,采用身份认证、数据加密、入侵检测等安全方案;通过网络隔离与连通、权限分配、备份管理等技术,保障系统稳定运行。
(二)总体架构设计
按照“总体规划,分步实施”的原则,构建内部审计信息系统总体框架,系统采用B/S结构部署,总体逻辑框架由审计对象层、数据采集层、审计应用层及门户展现层四部分组成。审计对象层包括被审计单位(部门)的所有应用信息系统,各类数据信息集成到数据中心统一管理;数据采集层通过抽取、清洗、转换、处理等数据挖掘技术,从数据中心中抽取审计项目所需信息,并传递给联网审计系统(数据分析预警平台)和审计作业系统,为数据源采集提供支撑;审计应用层提供分析预警、现场作业和日常管理的信息化支撑平台;门户展现层负责与用户交互,实现系统对外一体化。系统总体架构设计如下图所示:
(三)系统功能模块设计
在数据中心集中管理的基础上,内部审计信息系统主要实现联网监控、审计管理和审计作业三大系统模块。通过数据传输通道进行设置和定义,抽取审计对象数据,并传递给联网审计系统(数据分析预警平台)、审计作业系统中,作为联网审计、审计作业的数据源开展工作。通过联网审计预警模型,发现疑点线索,通过管理系统指出审计方向,通过作业软件进行详细审计,同时将底稿等电子文档上报至管理系统进行保存。
1.联网监控
联网监控系统核心是数据分析预警功能,一方面从数据采集转换系统获取数据源开展审计;另一方面接受审计管理系统的工作计划安排,进行工作内容部署。
监控系统通过设置风险点预警方案,关联预警对象的数据中心,根据预警的触发条件、条件检测等,抽取预警对象的账套信息、经营信息等数据,经过清洗、转换、处理,形成可能的审计疑点或重点数据,存储在疑点库中,并将系统预警或者分析的疑点线索分配给现场审计作业工具系统,作为具体现场审计的工作重点或者方向,结合审计人员经验判断,从而准确迅速地确定怀疑目标,提高效率。
2.审计管理
审计管理系统,实现对审计过程的有效控制、对审计资源的有效利用、对审计成果深度挖掘,实现和审计作业系统交互。审计过程控制涵盖审计准备、审计实施、审计报告和后续审计全过程;审计资源管理整合了审计工作所需的各种资源,能够对审计工作提供完整、有效的信息支持,包括审计人才库、部门信息库、审计对象库、法律法规库、公司制度库、审计经验库、审计方案库、审计案例库八个资源库;审计成果体现在按照管理要求快速生成审计报表,能够以多种格式输出,为领导决策提供有力支持,另外,审计成果还体现在以审计项目为单元的档案管理,支持审计项目信息和过程的回溯,并根据权限提供项目信息共享。
通过审计管理系统还支撑年度审计计划的申报与审批、审计文书档案的管理、业务台账的统计汇总和基础报表的自动生成,并完成人力资源综合管理、审计任务的资源调配、审计人员履行职责的考评等。
3.审计作业
审计作业系统是由一系列的作业工具构成,包括审计数据采集与转换、审计查账、数据分析、审计底稿等外勤审计作业工作的处理;并将联网监控系统(数据分析预警平台)中分配的审计线索作为审计重点,进行有针对性的开展审计,同时将审计过程中产生的审计底稿传递到审计管理系统中。
通过审计作业系统辅助一线审计人员完成审计项目,实施电子财务数据、业务数据的采集转换,运用查询、分析、报表、计算等丰富的审计工具完成审计抽样和数据分析,提高审计工作效率。标准化的审计作业程序引导与控制规范了审计工作过程,降低审计风险。层层归集的基础信息及统计台账通过系统接口与审计综合管理信息系统无缝集成并实现现场审计作业数据与远程公司审计部之间的数据交互和共享。
三、结束语
当前,各个领域开展内部审计信息化建设的研究实践很多,成果也很丰硕。如何实现内部审计信息化的顺利转型,一方面,要结合烟草行业实际,统一规划,整体推进,在进一步完善数据中心建设的基础上,探索新技术、新思路,积极开展信息化支撑的风险导向性管理审计,拓宽审计领域;另一方面,要逐步突破审计人员的思维方式转变和自身能力提升,从审计技术和审计模式两个层面力求创新,努力促进行业内部审计工作上水平。
参考文献:
[1]审计署关于进一步加强审计理论研究工作的意见(审科发[2011]40号),2011(4).
[2]内部审计具体准则第26号――信息系统审计.
[3]金冬成,臧日.持续审计在内部审计中的实现方案探讨[J].中国内部审计,2011(2).
[4]曹燕,常京萍.企业内部审计信息化战略研究[J].会计之友,2010(10).
[5]吴埠.审计信息化及其架构探析[J].中国管理信息化,2007(12).
[6]彭胜华.计算机审计的内涵和目标[J].审计与理财,2007(5).
论文关键词:财务信息化内部控制
1财务管理信息化的发展及加强内部控制的需要
财务管理信息化是指采用现代信息技术,建立信息技术与财务管理学科高度融合的、充分开放的现代财务管理信息系统。这种财务管理信息系统将全面运用现代信息技术,通过网络系统,使业务处理高度自动化,信息高度共享,能够进行主动和实时报告财务管理信息。以本单位为例,十几年来财务管理信息化建设从会计电算化到财务信息化综合管理、纵深管理不断发展,目前建立了会计电算化、费收管理信息系统、船舶动态系统、财务远程查询系统、非税收入信息管理系统。通过系统的建设,实现了费收、核算、报表等财务数据的自动上报,远程财务查询,对多级机构、多级财务指标的归纳、分析和对比,满足专业财务人员和财务主管人员的工作要求,在此基础上计划推出财务管理综合信息平台和固定资产管理信息系统。财务管理网络化、信息化程度不断提高为从总体上及时把握财务状况,按需获取财务数据提供了简便高效的工具,实现了对前期财务信息化成果的综合利用,强化了财务管理T作的深度、控制能力和决策能力。
《会计法》明确提出各单位应当建立、健全本单位的内部财务管理监督制度的要求。财政部也了《内部财务管理控制基本规范》。因此结合本单位具体情况,把软件管理思想转化为各单位的实际工作规范,更新概念及T,作方法,制定管理规定和操作流程,指导具体的实际操作,加强内部控制的建设至关重要。在财务管理信息化环境下内部控制应包括两方面的内容。一方面是要加强对电子信息系统本身的控制,包括,系统组织和管理控制、系统开发和维护控制、文件资料控制、系统设备、数据、程序、网络安伞的控制以及日常应用的控制。另一方面,要运用电子信息技术手段建立控制系统,减少和消除内部人为控制的影响,确保内部控制的有效实施。
2信息化条件下内部财务管理控制的特点
在引入信息技术后,如没有X,tlN流程进行更新,也没有深入研究如何进行流程莺构,这就造成了信息系统与业务流程之间存在许多冲突,形成内部控制盲点。在内部的审计检查中可以发现一些不符合内部控制的案例,如在实际操作中,财务管理科长、网络管理员、数据库管理员、系统管理员、记帐员等岗位由同一人担任。同时。系统管理员在实施数据库数据修改、财务管理人员岗位分工、权限设置等具体操作时,缺乏必要的审批和监督程序。权限高度集中,监控制约不力,财务和核算系统存在隐患。在财务管理信息化环境下如果没有改变相应的控制程序和业务流程,将更容易发生舞弊行为。
2.1数据处理的集中性使财务管理工作组织发生了质的变化。
在手工财务管理的组织方式下,单位的财务管理部门按经济业务的性质分为不同的职能中心或不同的工作岗位,构成一个内部牵制网,很少出现错漏或舞弊的行为。而一旦出现问题,也可通过核查不同的责任者追究责任。这种职能的分割与人员的分工便形成了行之有效的手工财务管理的内部组织控制。财务管理信息化系统是按照计算机数据处理系统组织起来的,记账、算账、报账全部由电子计算机自动完成,主要处理过程不须人工干预。这种数据处理的集中性使传统的组织控制功能减弱。与此相适应,财务管理部门常常划分成数据(信息)收集组、凭证编审组、数据处理组(包括数据输入、处理、输出)、财务管理组、系统维护组等。
2.2财务管理信息化系统使内部财务管理扩大了控制范围。
传统的内部财务管理控制主要局限于单位内部的在错防弊,而财务管理信息化条件下的范围相应扩大,其中包括对系统开发过程的控制、数据编码的控制以及对调用和修改程序的控制等。随着电子信息技术的发展,单位与外部的信息传递更加频繁,过去边界明确现象逐渐消失,内部财务管理控制的范围不再局限于单位内部,因而加大了内部财务管理控制的难度。
2.3财务管理信息化控制手段和方式发生了变化。
在财务管理信息化条件下。控制方式和手段由手工控制转为手工控制和程序化控制相结合。原有的手工控制手段有些保留,但需要增设一些包含于计算机程序中的程序控制。一般来讲,财务管理信息化程度越高,采用的程序化控制也越多,不法分子有可能利用搭截侦听、口令字试探或解密文件等手段,使内部财务管理控制措施失效。正是由于财务管理信息化控制技术的复杂性,加大了系统的控制风险。
3财务管理信息化环境下加强内部控制的几点思考
3.1建立良好的控制活动。
3.1.1财务管理信息化岗位控制。设市财务管理核算岗位,必须做到不相容岗位的分离。建立健全财务管理信息化岗位的内部控制制度,可以使不同岗位互相监督、制约,使单位达到防止舞弊和欺诈的目的。
3.1.2业务发生控制。在经济业务发生时,通过计算机的控制程序,对业务发生的合理性、合法性和完整性进行检查和控制,如表示业务发生的有关代码,字符等是否有效,操作口令是否准确。要建立有效的控制制度以确保计算机的控制程序能正常运行。
3.1.3数据输入控制。由于信息化改变了原来的工作模式,要使用电脑,要上传数据,有些基层同志不适应正常工作,如果输入数据不正确,处理结果就会出现差错。单位应该建立起相应的内部控制度以便对输入的数据进行严格的控制,保证数据输入的准确性。数据输入控制首先要求输入的数据应经过必要的授权,并经有关的内部控制部门检查。其次应采用各种技术手段对输入数据的准确性进行校验。
3.1.4数据通信控制。是为了防止数据在传输过程中发生错误、丢失、泄密等事故的发生而采取的内部控制措施。要采用各种技术手段以保证数据在传输过程中的安令、可靠,可采用数据加密、数字签名、压缩及第三方的加密软件加密后传输。
3.2加强计算机软、硬件管理与网络系统安全的控制。
加强计算机硬件与网络系统安全的控制,是为了保证计算机系统的运行安全,避免由于外部环境因素导致系统运行错误的不安全隐患,其具体措施有,(1)密码和身份鉴别。通过密码和身份鉴别对数据库访问人员进行限制,仅限于经过授权的用户访问。(2)存取权限控制。通过权限设置对数据库中数据的访问范围进行限制。可以根据岗位、工作性质、设计的内容等为数据库用户设置一定的权限。
加强软件管理,必须引入安全稽核机制,对重要的操作日志进行记录,并进行必要的权限设置,以便能够对各种不同的权限进行用户识别和远程请求识别。按照系统管理员的权限,用预先定义好的规则控制会计账套数据的进出,通过对数据进行重新组合和对会计账套数据库进行加密,使业务数据只有在解密的条件下才能使用,同时必须进行必要的身份认证和内容检查,控制一些软件的安装,尤其是数据库系统软件,以防止利用数据库系统打开帐套数据库进行非法篡改。
3.3加强信息系统内部审计,完善监督管理机制。
内部审计控制是内部控制的一种特殊形式,内部审计师比外部审计人员更了解本单位的业务流程和管理,因此加强内部信息审计更能起到加强控制的作用。主要目标有,(1)评价电子数据的真实、完整性。(2)分析信息系统的薄弱环节。信息系统管理制度是否规范,系统重要功能尤其是校验功能是否缺失等等,发现薄弱环节,能加强信息系统的内控建设。(3)发现信息系统的非法功能和漏洞。应通过审计信息系统对系统功能的测试以及计算机数据审计发现的问题,通过分析这些问题产生的原因,反推出信息系统中存在的问题,发现信息系统中存在的非法功能和漏洞。
[关键词]高校;会计;内部控制
[中图分类号]F275 [文献标识码]A [文章编号]1005-6432(2011)9-0083-02
1 高校会计内部控制的相关理论
财政部颁布的《内部会计控制――基本规范》是目前我国内部控制领域内最有权威的标准。所谓内部控制是指单位为了保护资产的安全、完整,提高会计信息质量,确保有关法律法规和规章制度及单位经营管理方针政策的贯彻执行,避免或降低各种风险,提高经营管理效率,实现单位经营管理目标而制定和实施的一系列控制方法、措施和程序。内部控制制度实质属于单位内部的管理制度。
高校兼有事业单位和企业的共同特性,其会计核算方法和财务管理有自己的特点,是会计经济的特殊群体。高校会计内部控制是指:为了保证学校的经营管理有序、有效地运行,实现高校经营管理目标,维护高校资产的安全及完整,提高会计信息的真实性和准确性,确保会计工作质量和预防经济犯罪,有效地降低高校运作中的风险,而在高校内部管理中建立的一个管理控制系统。其目的是控制学校的一切产、学、研事业和财务收支等活动,针对每个具体环节建立内部控制制度,制定一套相互联系、相互制约的程序和方法,使之按照预期的目标健康有效地进行。
加入WTO以来,竞争的加剧使得高校对会计内部控制越来越受到重视,并成为高校实现经营目标、提高经营管理水平、增强竞争能力的重要途径。
2 高校会计内部控制的设计思路
当前,高校会计内部控制面临内控意识不足、内控制度不健全和内控保障机制欠缺等问题,各高校应该根据国家宏观调控的方向,结合本单位的特点和具体要求,设计科学的内部控制体系,制定出适合本单位的内部控制制度及相关配套执行措施。
2.1 设计依据
以COSO报告内部控制整体框架的五要素为基础,立足我国高校经营管理实践,可将高校会计内部控制划分为控制环境、风险评估与应对、控制措施、信息与沟通、监督与评价五方面:①控制环境。环境是制约内部控制制度建立和实施的各种因素的总称,是内部控制的基础。高校会计内部控制的环境,主要包括会计机构设置与会计人员的权责分配,机房环境建设和硬、软件的配备和系统管理维护等。②风险评估与应对。是对影响高校会计内部控制目标的各种不确定因素进行及时识别、分析,并确定采取应对措施的过程,是实施高校会计内部控制的重要环节。③控制措施。根据风险评估结果、结合风险应对措施所采取的确保会计内部控制目标实现的具体方法,是实施高校会计内部控制方法的具体应用。④信息与沟通。是及时、准确、完整地收集系统控制的各种反馈信息,形成信息管理机制。通过沟通,使各会计人员能够明确自己在内部控制中的责任,确保更好地加强内部控制。⑤监督与评价。是对高校会计内部控制制度的健全性、合理性和有效性进行检查、监督和评价,做出相应处理的过程,是实施高校会计内部控制的重要保证。
2.2 设计内容
建立完善的内部控制制度是高校会计内部控制目标得以实现的必要保证。结合上述设计依据,高校会计内部控制制度主要从一般控制、应用控制和内部审计控制三方面进行设计。①一般控制,是指对内部环境所实施的总体控制,亦称基础控制或环境控制。主要包括制度控制、会计软件使用控制、预算控制、系统初始化设置控制四项内容。各高校应根据《高等学校财务制度》、《会计法》和《会计电算化管理办法》及财政部颁布的有关规章制度,建立科学严密的人员管理、系统操作、系统管理维护和会计档案管理等内部控制管理制度;对内部控制系统软件严格执行“一审二测三使用”的原则,务必使会计软件达到合法性、规范性和实用性的要求;按照《内部会计控制规范》和《高校会计制度》的有关规定,根据学校本年度的工作计划和发展目标制定各单位和部门的预算,夯实预算收入使其标准化,采用不同的预算方法编制预算项目使预算支出科学、明细化,将收支的权利和责任落实到学院、部门和个人,使预算执行责任化;认真做好系统参数设置、科目、部门、项目及其代码的设置,各种账簿文件的建立、各种辅助核算和报表的定义以及录入各种账务期初余额等系统初始化设置控制。②应用控制,是指作用于高校会计的具体控制,亦称业务控制。主要包括业务处理过程中的业务批准与授权控制、数据输入控制、数据处理控制、数据输出控制、会计期间控制、业务循环控制等。高校财务应坚持“依规据法,收支并重,先审后批,权责结合”的原则。高校各负责人必须在其授权范围内行使职权和承担责任,严格按照《高等学校财务管理制度》和《国库集中支付管理办法》的要求核算与管理。对每项经济业务严格按批准程序和审核标准执行,逐级审批,签署审批意见,对流量大的货币资金支出实行联审联签制度,包括经费是否按规定使用、收支是否真实、合法、合理等。特别是高校实行的国库集中支付,经申请审批获得的各类资金,对经费的使用按照支出属性、项目、类别分别实行专款专用。各级财务人员应分工明确,各司其职,准确、规范地做好数据输入、处理和输出控制。要从单纯的事后制止和纠正错误的状况,转变为事前控制、事中控制、事后控制的全过程控制,会计人员应相互配合,加大防范出错和舞弊违法活动,加强和逐步完善高校会计内部控制制度。③内部审计,既是内部控制的不可缺少的组成部分,也是强化内部监督的制度安排。随着会计电算化在高校的全面推广,推行会计电算化审计制度,有利于对会计内部控制更好的监督检查。提高内部审计效率,还要不断地优化审计人员的知识结构。提高审计人员的素质,审计人员应不断丰富自己的业务知识,提高业务水平,还要掌握和运用电算化审计手段和科学管理手段,改变传统的审计观念,熟悉财经法律法规和规章制度以及电算化核算规范,适应新时代的要求。只有财务人员的整体素质提高了,才能担当起高校审计监督的重任,才能加强高校的会计内部控制。
3 高校会计内部控制的保障措施
3.1 提高管理层的重视
《内部会计控制规范》规定“单位负责人对本单位内部会计控制的建立健全及有效实施负责”,加强会计内部控制是时展的趋势,是高校财务管理的内在需求,更是高校提高竞争能力和未来发展的现实需要。高校会计内部控制是实行校长及各级领导负责制的会计核算管理和监督管理,即“统一领导,集中管理”,高校负责人是内部会计控制中的一个重要主体,不能也不应该独立于内部会计控制之外,应将对内部会计控制的领导真正落到实处。因此,要保证会计内部控制的实施,关键的问题就是要求各级领导加强对其的重视程度,自觉强化对会计内部控制的认识,更新管理观念。只有管理层真正认识和重视会计内部控制的重要性,以身作则,从上到下组织力量去认真贯彻和执行,才能充分发挥会计内部控制的重要作用。
3.2 加强会计队伍建设
高校建立高素质的会计队伍是实施内部控制的关键,首先,通过建立健全人才引进和选拔机制,引入竞争机制,加强校外人才的引进和校内人才的选拔,不断优化财会队伍年龄和知识结构。其次,通过组织参加专业培训、学历教育、职称考试和知识讲座等多种形式,促进财会人员不断拓宽知识面和提高专业技能。再次,结合财务工作特点,加强对财会人员的职业道德教育和财务管理人员政策法规教育,强化高校财务人员要遵守会计职业道德,包括爱岗敬业、诚实守信、廉洁自律、坚持准则、客观公正等,提升法制观念、责任意识和服务意识。最后,实施电算化的高校需要加强对财务人员的计算机操作技能,应经常对会计人员进行计算机系统培训,提高会计人员对电算化系统的认识和理解,了解会计电算化系统运行程序和内部控制制度,加强会计电算化警戒教育和日常操作技能,对电算化会计信息树立良好的思想认识和风险防范意识,减少人为操作和系统运行出错的可能性。
3.3 加强网络化控制
随着IT技术尤其是网络技术的发展和应用,网络信息技术已经渗透到高校的各个环节。目前财务软件的网络功能主要包括:远程报账,远程报表,远程审计,网上支付,网上催账、税,网上采购,网上销售,网上银行等;监督部门可以很方便地通过网络系统进行财务检查,对专用和专项资金使用情况进行分析。另外,高校应该充分利用校园网接口发挥财务系统的作用。根据高校自己的实际情况设置权限局域网,将会计电算化系统审批和报账流程、经费到位和执行情况、应收应付款项的管理情况、工资查询系统、学生学费收缴情况及欠费情况的查询系统、公积金和养老金的管理情况以及会计的各项法律法规、规章制度公布于财务网上。满足各管理部门对财务信息及财务报告的查看和调取数据的需要。既为校内各部门、各学院及时获取财物信息提供了通道、方便了广大师生的查询,更减轻了会计人员传送信息的工作量,大大提高了工作效率。同时,与财政部、教育部等主管部门和其他兄弟高校之间也应建立互联网,及时了解外面的信息、了解国家政策方针,可以互通有无,友好协作,也能够使其他部门对财务信息进行监督,真正发挥会计电算化信息系统网络化的优势作用。
优质的高校会计内部控制体系,需要科学的设计方案和完备的保障措施。提高高校领导的重视程度,加强高校财务人员的素质培养,完善财务网络化控制有利于构建相互制约、自我调整、管理有效的会计内部控制机制,有利于维护高校财务管理和经济秩序,有利于提高高校的整体竞争能力。
参考文献:
[1]潘庆阳.完善高等学校内部控制的几点思考[J].会计之友,2005(7).
[2]沈淑红.试论高校会计内部控制体系的建立[J].事业财会,2007(4).
[3]刘杰.论我国高校内部控制的建立[J].会计之友,2007(12).
关键词:政府采购审计 关键环节 存在问题 对策措施
政府采购审计是伴随着政府集中采购制度而出现的,主要是对使用财政资金的政府采购单位的政府采购预算、谋划执行及具体政府采购活动的审计,是部门预算执行审计的重要内容。几年的政府集中采购实践表明,这种采购方法不仅节约了大量的人力、物力、财力,提高了经费使用效益,还规范了政府消费行为,推进了政府部门的党风廉政建设。但是集中采购方式将购买权力过度集中,企业有可能用财物等手段贿赂采购单位及有关人员,出现新的腐败领域。为防止这类违规违纪问题的发生,确保政府采购永远在阳光下运行,政府采购审计应运而生。这是审计工作的新领域,审什么?怎样审?经过这几年的工作实践出现了什么问题?今后应该采取什么措施等都是当前审计人员需要思考和解决的主要问题。
一、政府采购审计的关键环节
认真履行对政府采购审计的监督,是政府采购制度得以贯彻落实和政府采购机制能够顺畅高效运行并健康持续发展的重要保证。在实施审计过程中,要抓住以下10个重点环节:一是对内控制度的审计;二是对采购计划的审计;三是对采购预算的审计;四是对采购供应商的审计;五是对采购实施的审计;六是对采购合同的审计;七是对采购结算方式的审计;八是对物资验收、分发的审计;九是对采购责任的审计;十是对采购效益的审计。审计人员在审计过程中,把握好这10个环节,就基本上能够做好对一个采购项目的监督工作了。
二、政府采购审计发现的主要问题
(一)审计基础建设与审计要求还有差距
一是政府采购审计法规亟需完善。现行采购审计的依据主要是《中华人民共和国政府采购法》、《中华人民共和国招标投标法》、及2012年新出台的《招标投标法实施条例》、各单位制订的采购监督管理规定等,这些规章制度赋予了审计部门全程参与物资采购审计监督的职能,但缺乏系统性,协调性,造成采购审计针对性不强,效果不明显,处于“走过场”的境地。二是审计信息化建设仍然滞后。政府采购对象具有范围广、品种复杂、价格多变等特点,决定了审计部门只有在全面了解市场、详细掌握采购信息的基础上,才能公正、准确地做出评价。但目前缺乏相关的软件,采购信息动态网在短时间内也难以构建。商家的订价权与用户的知情权极端地不对称,加大了审计的难度。
(二)采购工作运行秩序不够规范
政府采购是新生事物,更是对原有物资供应模式的深刻变革,不可避免地会触及个别单位和部门的利益,导致实际过程中遭遇“执行难”。同时,由于可借鉴的经验较少,各地的政府采购发展不平衡:有的规章制度不配套,可操作性不够强;有的采购方式不科学,不能按照规定的条件和要求组织招标;有的物资需求部门以不正当理由指定供应商,对一些专业设备和装备维修物资进行定点采购;更有少数单位将采购项目、资金化整为零,逃避采购制度的约束。政府采购在“审批关”“招投标关”“公告关”都存有漏洞。这些行为都为开展审计设置了障碍。
(三)政府采购事后监督缺乏力度
当前,在政府采购实际工作中,监督的重点主要放在了评标过程与中标供应商确定等阶段,忽视了对合同履行、物资验收、资金结算、物资设备使用、服务质量等方面的监督。导致部分采购物品达不到需求单位采购计划中提出的要求或是售后服务缺失滞后等问题。
(四)政府采购审计人员素质有待提高
政府采购的内容包罗万象,既有工程、定点企业,又有货物和服务,千差万别、复杂多样的采购活动对采购人员提出了很高的要求,同时对政府采购审计人员的业务素质也是一个很严峻的考验。现有的审计人员大多由财务人员转变而来,变动快,成分新,知识结构单一,素质参差不齐,业务能力与履职尽责要求有很大差距,难以按照全面审计,全程审计的要求对政府采购实施审计监督。
三、加强政府采购审计的对策措施
(一)完善法律和法规,为政府采购审计提供依据
要按照“前瞻性、全面性、系统性”的要求,紧密跟踪当前政府采购改革趋势和审计工作发展方向,尽快出台具体、完善、可操作性强的政府采购审计操作指南,以合理界定采购审计范围、内容,规定采购审计程序、审计方法、审计评价标准、奖惩措施等。
(二)改进审计理念和方法,加强审计信息化建设
审计部门面对大量的采购信息,要积极探索开展政府采购信息化审计。通过建设审计信息数据库、网络对话系统、审计信息查询系统、信息传输系统等,实现审计信息交流,远程网上审计,充分发挥高科技在审计监督中的作用。
(三)加强全程跟踪审计,规范政府采购秩序
审计监督要积极跟进,贯穿采购工作的全过程,提供全方位、全过程的跟踪审计服务。通过对“事前”“事中”“事后”三个阶段的监督,详细地了解每个采购项目的全貌,为规范政府采购秩序,确保政府采购公开性、公正性、公平性提供有力保障。
在电子商务环境下,越来越多的企业通过互联网产品信息,确定产品交易,传递产品发货单,划账结汇等。客户也从网上了解所需产品的相关信息,与厂方签订合同,发送订单。经济业务产生的原始凭证由传统的纸质凭证演变为电磁信息的形式在网上传递并存储于磁性介质中;由于网络账务系统具有共享性的特点,会计信息的相关使用者可以随时通过授权,上网查询企业的财务状况和经营成果,信息的及时性大大提高,作为事后反映的会计报表对于会计信息使用者的重要性大大降低;网络财务的兴起使得企业从采购,销售,支付及到资金回笼这一系列烦琐的处理过程变成网上的瞬间实现,这些都使得在手工会计系统环境下进行的传统审计模式受到极大的冲击。由此,IT审计这一新兴审计模式应运而生。
一、IT审计与传统审计相比较之优势
1、使审计时效性大大提高。传统审计一般是在企业的会计报表完成后进行,审计人员经过调查取证等一系列工作后再经过一段时间的整理形成审计书面报告,这期间往往要耗用几个月的时间,其时效性不强。而在网络环境中,审计部门可随时对被审计企业进行审查,及时收集其最新的会计信息,并向有关各方,从而使审计的时效性得到保障。
2、收集审计证据的成本大大降低。传统审计通过实物盘点,审查大量的凭证,账簿和报表,口头询问及函询等来获取证据,耗费了大量的人力物力。而在IT审计中,所有的现金,存货及各项固定资产等实物由计算机进行实时动态管理,所有凭证等书面文件都已成为网络中的电磁信息,口头询问及函询可通过发送邮件和网上实时交谈的形式来获取。这必将大大减少审计证据的收集成本。
3、减轻了审计人员的工作量。传统审计中,审计人员要进行大量的调查取证工作。而在IT审计中,在获得必要的权限下,审计人员利用审计接口软件便可轻松、便捷、完整的获得被审计企业的会计信息和经济数据,大大减少了工作量。
二、IT审计应用中存在的问题
1、由于在网络环境中,经济业务产生的原始凭证是以电磁信息的形式传递并存储于磁性介质中,具有能被无痕修改,容易丢失不利于永久保存等缺点,审计面对的是企业的电算化会计信息系统和网络账务系统,它们的合理有效性,安全程度直接影响到审计工作的质量和效率,而这些又受到技术和人为的诸多因素影响,审计环境中的不确定因素增加。
2、在IT审计中,审计人员对于计算机网络的依赖性大大增强。主要的审计证据来自于系统网络,属间接证据,其可靠性依赖于网络内控制度的健全有效性,且由于计算机病毒和黑客攻击都可以通过网络威胁到会计信息系统的安全,使得审计人员对网络的安全可靠产生依赖。
三、IT审计发展现状
美国等先进国家开展IT审计始于20世纪六十年代,国际上唯一的信息系统控制与审计协会ISACA总部就设在美国,目前已经在世界上100多个国家设立了160多个分会,现有会员两万多人。在发达国家,IT审计已经得到了普及。
在我国,信息化事业已发展到一个新的阶段。各级政府正在推进“电子政务”,并认真落实“以信息化带动工业化”的战略。广大企业也开始着手整合与升级各自的信息化应用系统。可以预计,全国将有更大更多的信息系统上马。但是在信息化推进的过程中,至今不同程度上存在一些问题,主要表现在规划制定不够深思熟虑;项目管理不够严格;系统运行效益不够明显。究其原因是相当普遍的对信息化风险认识不足,规避风险的措施不力。中国加入WTO后,为了保证我国经济社会与科技方面的稳步发展,保证与经济安全,社会安全,国家安全紧密相连的信息系统的安全,在我国发展IT审计已经势在必行!
四、对我国IT审计工作未来开展的几点思考
1、规范电算化会计信息系统模块,规范会计信息系统的数据结构。开展IT审计工作要求企业的计算机信息系统留有审计接口,以便通过接口取得被审系统的电子信息,进行有关的审计处理。虽然我国软件协会财务及管理软件分会曾对财务软件的数据接口提出了标准要求,但许多财务与管理软件都没有执行。我国现有的计算机信息系统大部分没有设置审计接口,有些系统的数据库还加了密,使审计软件无法访问系统的资料,电子资料的获取成了利用计算机辅助审计的瓶颈。
2、加快审计网络建设。在网络环境中,审计人员所面临的不再是传统的交易模式和经营管理理念,而是实时动态的网络信息资源。审计人员只有通过互联网才能完成审计线索的收集,审计信息的输出及传送,因此需要加强审计网络建设。
3、迫切需要培育一批既懂得审计知识,又懂得计算机网络知识的复合型人才。目前,我国国内的审计人员无论在数量上还是质量上仍有较大不足。传统的审计人员虽在财会审计领域经验丰富,但对计算机网络技术了解不多,这使得他们难以对复杂的网络会计系统进行有效的评审,难以应付电子商务环境下的审计风险。因此要保障IT审计工作的顺利开展,必须培育出一批高素质合格的IT审计师队伍。
关键词:发电企业;内部审计;风险管控
一、发电企业传统内部审计工作存在的问题
(一)内部审计工作难以满足发展的需求
首先,传统的内部审计侧重于事后发现问题也仅止于发现问题。发现问题时,损失往往已经形成,风险业已暴露。而且如果不能及时分析问题产生的原因,找出解决问题,建立长效机制,将无法协助企业提高经营管理水平。其者,由于认知的偏差,传统的内审工作缺乏主动性,没有提前介入参与到审计对象工作中,及时识别并帮助企业防患于控制风险。此外,许多发电企业的内部审计工作仍主要以现场审计为主,没有利用现代信息技术手段实现实时远程监控,提高工作效率。最后,传统的内部审计以检查企业的财务状况为工作重点,辅以其他业务资料,没有对企业全方位的业务进行把关,全方位识别风险。
(二)风险管理体系不完善
部分发电企业尚未建立起完善的风险管理体系,风险管理活动往往是被动按外部监管要求开展,没有意识到风控的必要性和重要性。这导致企业的风险管理方法落后,不能恰当地识别风评估风险,而风险管理活动往往是事后的“亡羊补牢”式。只有从企业管理层树立起主动风控的意识,才能把风控贯彻到企业的日常生产经营中。
(三)内部审计资源不足
发电企业内部审计普遍面临人员不足,从业人员专业能力不强,审计技术方法落后的难题,大部分内审工作人员由会计及其他专业构成,审计人才少,经济、工程、法律、风险管理的复合型人才更少。单一的专业知识结构制约了内部审计走出传统查账式审计的范畴,审计人员对生产经营中出现的异常情况缺乏敏感性和洞察力,难以找出系统性的重难点和薄弱点,无法将风险评估贯彻于审计始终。
二、新常态下发电企业风险导向内部审计的对策
(一)内部审计的职能转变
为适应新常态下审计工作发展的需要,发电企业内部审计必须重新思考其职能定位和审计目标,以风险为出发点,重新梳理其制度、流程及机制,着力实现从事后案件查处向事前风险预警转变。一是内部审计工作重点从内部会计控制审计向全面风险管理审计转变,内部审计工作要告别原来的财务收支审计,从以财务管理为主拓展到企业“三重一大”决策、经济管理、效益情况、内部控制及风险管理等方面。二是内部审计要从事后监督向事前、事中、事后全过程监督转变,做好审计关口前移,全面提升企业内部审计工作的范围和高度。比如参加本单位有关经营和财务管理会议,参与协助本单位有关部门研究制定和修改有关规章制度并督促落实。
(二)完善健全风险管理体系
企业管理层应深刻认识到风险管理是实现公司发展战略的前提,是保证业务持续稳定发展的根本。首先,企业应完善风险管理制度,优化流程和组织职能,设立相对独立的审计部门,严格内部审计人员录用标准、资格认证,要求内部审计人员熟悉企业战略、目标和计划,了解企业经营中的各项业务及其管理职能。其次,按审计署令第11号的规定,内部审计部门应在董事会领导下开展工作,向其负责并报告工作。董事会需听取内部审计工作汇报,加强对内部审计工作规划、年度审计计划、审计质量控制、问题整改和队伍建设等重要事项的管理。
(三)整合审计资源和审计能力
发电企业内部审计所涉及的层面广,影响大,除了财务专业的人才,还要了解发电行业、熟悉物资采购、工程招投标等业务内容的人才。首先,企业要支持和保障内部审计机构通过多种途径开展继续教育及专业培训,提高内部审计人员的职业胜任能力。企业应提供内审人员挂职锻炼和轮岗锻炼的机会,鼓励和支持内部审计人员加强学习和磨炼。必要时,可采取定期或不定期的方式来对内审人员进行考核,并把考核的成绩与个人的绩效相挂钩。再者,企业应结合自身特点建立风险数据库和资源共享机制,以满足审计人员及时了解业务情况、经营环境、发展战略,做出风险评估、业绩评价等方面的需要。最后,企业要建立良好的风险管理文化,倡导“全员风控”的理念,强调将风险控制落实到每一个岗位。在“全员风控”理念的指导下,企业每个岗位的员工都是风控负责人,业务开展同时也在进行风险控制。综上所述,在新常态下,发电企业内部审计要以风险管理为导向,尽快完成其角色转化和职能转变,完善健全风险管理体系,整合审计资源和审计能力,从而提升内部审计的效率和质量,更好地为企业服务。
参考文献:
[1]鲍国明.坚持稳中求进工作总基调努力防范和化解重大风险奋力推动内部审计高质量发展[J].中国内部审计,2019(4)4-10.
[2]赵广宇.风险导向内部审计实务探究[J].中国市场,2016(29):103-105.
关键词:财产保险;运营环节;内部控制
中图分类号:F27文献标识码:A
一、我国财产保险公司内部控制存在的问题及原因
在我国保险业,2009年国内某保险公司因巨亏被接管,2011年初国内某保险集团被国家审计署查出巨额资金违规,等等。我国保险业加强内部控制建设、提升管理能力、重塑行业形象,已迫在眉睫。尽管各家财产保险公司都在加强内控建设,但从目前情况看,财产保险公司在内控实际操作运行中,仍存在许多问题,有些甚至是违法违规问题,这些问题已经引起保险监管部门的高度关注,中国保监会已经开始加大监管处罚力度,整顿保险市场。2010年中国保监会及其各地派驻机构签发了约1,500份行政处罚决定书。从处罚情况分析,所出现的问题,大都是内部控制存在缺陷,主要集中在:承保管理、理赔管理、管理和财务管理四个运营环节。存在的问题包括:一是违规承保或放宽承保条件;二是虚假理赔、扩大责任理赔;三是违规支付手续费;四是账外经营。主要原因有以下几个方面:
(一)企业文化缺失:员工风险合规意识淡薄,执行力弱化。一是高管人员法治意识淡薄,缺乏对法律法规的敬畏。违法违规行为扰乱了市场秩序、影响了企业发展、吃掉了公司利润、腐蚀了干部队伍、损害了保险业形象;二是员工执行力弱化,缺乏合规意识。特别是基层的保险机构,对于公司的各项业务规章制度不执行或不全部执行,内控制度仅仅是写在了文件上、挂在了墙上,没能内化于广大员工的心里,没能使之融入员工自觉工作执行之中;三是内设机构重叠,职责界定不清,承保管理部门既负责核保管理,又直接承办业务,管理职能与业务发展职能混杂。
(二)控制环节弱化:公司内控组织不完善,内部管理流程不科学。在内控机构建设方面存在的主要问题有:一是部分公司在总部没有单独的合规法律部门,没有单独组织机构负责统一组织管理实施公司的内控制度;二是大部分新公司在二级机构没有单独的内部稽核机构;三是有的公司虽然设有内部稽核机构,但是不独立,职能不能有效发挥;四是大部分财产保险公司的法律部门或是法律岗人员的主要工作是处理保险纠纷和各种诉讼事务,没有精力去研究和防范事前法律风险。
在内部管理流程方面存在的主要问题有:一是单证管理上,单证保管和使用两者职务不分离;二是承保管理上,业务质量的审核把关不严,不严格按照业务承保规定核保业务;三是理赔环节上,报案后不及时立案,导致未决赔款底数不清,或是人为通过压低或提高未决赔案估损调节利润。有的公司甚至制作假赔案套取费用;四是财务环节,大额支取现金,产生大量应收保费没有控制等。
(三)IT控制失效:公司信息系统简单,控制技术手段落后。一是部分公司的信息系统仍处在简单的操作层面,没有内部控制管理功能;二是部分公司业务、财务、理赔、客户等系统之间没有实现无缝连接,相互之间数据信息割裂,业务数据管理无法实现系统化、整体化控制;三是部分公司信息系统中的内控节点设置不科学,未能起到有效防范风险的作用;四是部分公司没有严格按照授权在系统中实行操作权限分级管理。
二、完善我国财产保险企业内部控制的建议
针对以上财产保险公司运营环节出现的问题,提出内部控制完善建议:
(一)承保环节控制
第一,投保控制。一是建立“保单投保电话确认”内控制度。即,对于上级核保机构接到销售网点提交的投保单后,通过客户预留的联系方式,由保险公司核保机构逐一向客户电话确认投保信息,重点确认是否投保、投保险种、保险金额以及保险费金额等内容;二是建立“保单信息查询”内控制度。保险公司对所签发出的保险单,在其门户网站上提供保单验真和保单信息查询功能。从而避免虚假投保、虚假注销保单等舞弊行为。
第二,出单控制。一是保险公司信息系统应实现系统联网电脑出单,严禁手工出单或脱机打印;二是出单系统、单证管理系统、核心业务系统、财务系统应实时对接,保单信息内容应当实时完整记录在保险公司核心业务系统;三是实现集中录单管理。在一个地区设立相对独立专门负责录入保单的机构,确保保单信息录入内容真实、要素齐全、信息准确,保单信息录入后提交核保部门核保,核保通过后,由保险公司各网点负责打印保单,从而避免虚假退费的舞弊行为。
第三,核保控制。一是要建立“远程核保控制”,实现保单销售、保单录入、保单核保相分离。将保单销售、保单录入、保单核保工作实行远程分离,有效规避承保舞弊行为;二是要建立职责独立的专业化核保师队伍;三是要实行分级核保授权管理。从而避免违规协议承保,放宽承保条件等舞弊行为的发生。
(二)理赔环节控制
第一,建立远程理赔控制系统。为有效防止理赔舞弊行为的发生,保险公司应借助现代信息技术手段,建立远程理赔控制系统。基层查勘人员只负责查勘出险现场,将现场情况、理赔单证等,通过远程理赔系统,上传至上一级理赔核赔核价中心,由核赔核价中心人员进行分别定损、理算,通过将查勘、定损、理算三个职务分离,有效防范内部操作风险。
第二,建立健全理赔内控稽查制度。建立“三管齐下”的理赔质量内控稽查制度,即由理赔线为主开展理赔业务检查,以省级分公司的检查审计部门为主开展理赔效能检查和专项审查;聘用独立调查人对重点赔案、疑难赔案开展独立调查;积极推广应用车险远程核损技术,实施非现场理赔审计。通过建立健全理赔内控稽查机制,强化理赔环节的事中、事后监督。
(三)环节控制
第一,建立渠道信息系统控制。一是保险人(经纪人)应与保险公司实现系统联网电脑出单,禁止手工出单或脱机打印;二是保险人出单系统应与核心业务系统实时对接,保单信息内容应当实时完整地记录在保险公司核心业务系统。
第二,完善渠道管理制度。一是针对个人渠道,建立完善销售团队和销售人员管理制度。对销售团队、销售人员的组建、选拔、考核、晋升、退出等问题进行详细规定,确保建立起一支讲诚信、重道德的销售人员队伍;二是针对兼业、专业、经纪人销售渠道,应建立完善中介渠道管理制度。对这些中介渠道进行分类管理,制定资质审查、合作流程控制,实行合作业务规模与效益双向考核挂钩考核等方式,严格管理,确保合作的中介机构合法、合作的业务合规,合作的业务风险可控,双方互利互惠,长期共赢。
(四)财务环节控制。企业集团财务管理模式通常包括以下三种:“集权型”、“分权型”和“集分结合型”。“集权型”财务管理模式是所有战略决策与经营控制权都集中在总公司,基层分支公司没有经营控制权。“分权型”财务管理模式是指决策权分散于各分支公司,各分支公司相对独立,总公司不干预分支公司的生产经营和财务活动。“集分结合型”财务管理是指以总公司战略目标为核心,将重大决策权集中在总公司,而赋予分支公司自主经营权和其他决策权,同时采用分类指导的原则,对某些分支公司实行集权,对某些分支公司实行分权。鉴于目前我国财产保险公司在财务管理上存在的诸多问题,提出两项建议:
第一,业务规模较小的财产保险公司,建议采取“集权型”财务管理模式。对于新成立的或是刚刚发展起步的财产保险公司,在公司的发展初级阶段,规模较小、分支机构网点少和人力资源有限,为有效防范财务舞弊风险,增强运营效率,增强总部财务控制集权度,应采取“集权型”财务管理模式。
第二,业务规模较大、网点较多、目前采取“分权型”管理模式的大型财产保险公司,建议可先采取“集分结合型”模式,然后逐步过渡到“集权型”管理模式。对于目前采取“分权型”管理模式的大型财产保险公司,基于业务规模大、网点多的现状,可以采取分步过渡的办法,先过渡到“集分结合型”模式,然后再借助先进的信息技术手段,最终实现向“集权型”模式转变。在过渡期,采用“集合分权型”财务管理模式时,根据分支机构的实际情况有两项选择:一是分级实行集中。将重大财务决策权集中在总公司,赋予省级分公司(省级分公司可以向下赋予地市级分公司)自主经营权。其中,根据管理需要,可将基层分支机构的财务管理权上收至地市或省级分公司,由地市或省级分公司对基层支公司进行财务管理。实际上是上收基层分支机构财务权,使基层分支机构转变为销售网点;二是分类实行集中。即,按照分支机构财务管控能力,对财务管控能力弱的分支机构实行“集权型”财务管理模式,对财务管控能力强的分支机构实行“分权型”财务管理模式。
(作者单位:中国人民财产保险股份有限公司河北省分公司)
主要参考文献:
[1]郭文昌.中国保险业运行风险探析.中国经济出版社,2007.
