1、信息化条件下内部控制审计风险探析摘要:在信息化条件下,企业的内部控制具有许多不确定性,这也导致内部控制审计风险的不确定性。内部控制的有效性取决于企业信息系统的有效性,因此,内部控制审计尤其要注意企业的信息系统。本文主要围绕信息化对内部控制审计过程中审计风险的影响,并对现阶段信息系统应用和发展中存在的问题,提出改善内部控制审计中风险评估效率和效果的措施。 关键词:信息系统 审计信息化 内部控制 审计风险 随着信息技术的快速发展,政府和企事业主管部门的管理工作日益趋向集约化和信息化,逐步构建起统一的信息化管理平台,审计风险经受着来自信息化的巨大冲击。因此,内部控制审计必须重视信息系统环境下的审计风
2、险的特殊性,找到与企业相适应的审计风险分析方法,以改善内部控制审计的效率和效果。内部控制审计作为一种与企业内部控制系统评价紧密相联的审计方法,就必须要与企业具体的信息系统复杂程度相适应。 一、信息化条件下内部控制审计的现状 (一)内部控制环境的现状 信息技术使公司内部控制环境发生了许多变化:首先,内部控制层次明显减少,岗位更加精简。信息化条件下,信息技术减少了信息在传统组织的信道传输中的延迟、失真以及噪音干扰,扩大了信息发布的范围,增进了组织各层次人员的信息传递与交流。其次,公司内部控制设计更强调以人为本、人机结合的原则,增强了员工识别风险的能力、发现问题与解决问题的能力、与其他业务人员协同配
3、合的能力。信息技术在企业中的广泛应用,不仅改变了传统手工数据处理方式,而且触发了企业管理模式、作业流程的变革。主要表现在组织结构、内部协调两个方面。 (1)组织结构的变化。现代企业组织结构的特征表现为组织结构的网络化、虚拟化、扁平化,这使企业内部控制层次明显减少,精简了岗位,明确了责任,提高了效率。在相对稳定的环境中,层级结构是效率较高的组织形式。但目前这种组织形式却越来越不能适应环境的发展变化,具体表现为:一是企业组织规模越来越庞大,难以有效运作。二是外部环境的变化,要求企业必须快速应变,具备极强的适应性。 (2)内部协调的变化。信息技术应用改变企业信息孤岛的状况,企业中的各种信息都集中存储
4、在企业数据库系统内,并不断实时更新。这些先进的系统为企业成员提供了很好的沟通条件。另外,企业通过信息化途径构建与利益相关者相联系的互动机制,使组织的经营管理人员可以实时获取企业内部与外部信息,并及时进行传达,实现相关信息的高效利用。 (二)风险评估过程的现状 在公司信息化环境下,业务流程的自动化降低了业务处理过程中源于人员疏漏或舞弊的风险。但系统的开放性、信息的分散性、数据的共享性使系统从封闭集中状态走向开放,带来了业务流程和信息系统的新风险。公司的运营管理越来越依赖于信息系统,如果信息系统失灵或崩溃,重要信息被窃,将会给公司带来不可估量的损失。在信息技术环境下,风险变得更加复杂,其危害性也更
5、加严重。 (三)信息沟通和审计线索的现状 一个良好的信息沟通系统要有全方位的信息沟通管道。企业需要按某种形式辨识并取得来自企业内部及外部的信息,并在组织内部进行沟通,以使员工清楚地获取有关其控制责任的信息,履行其责任。开放的信息系统为内部员工、管理者以及顾客、供应商等外部团体提供了开放的沟通渠道,有利于内部沟通与外部沟通的进行,从而使信息的传递与反馈更为高效,但也更加复杂多变。审计线索对审计来说极其重要。传统的手工会计系统,审计线索包括凭证、日记账、分类账和报表。而在信息技术环境下,从业务数据的具体处理过程到报表的输出都由计算机按照程序指令完成,数据均保存在磁性介质上,从而会影响到审计线索。无
6、纸张记录使审计人员用肉眼无法直接看到这些数据如何记录。 (四)审计技术、方法及内容的现状 随着信息技术的广泛应用,计算机辅助审计技术应运而生。它是一种利用计算机和相关软件,使审计测试工作实现自动化的技术。计算机辅助审计技术可以在以下方面使审计工作更富效率和效果:(1)将现有手工执行的审计测试自动化。 (2)在手工方式不可行的情况下执行测试或分析。虽然电算化下人工审查技术仍有必要,但计算机辅助审计效率更高。它不仅能够提高审阅大量交易的效率,而且计算机使审阅工作更具效果。在信息化条件下,审计内容也发生了相应的变化。在信息化的会计系统中,各项会计事项都是由计算机按照程序进行自动化处理的。信息系统的特
7、点及固有风险决定了信息化条件下审计的内容包括对信息化系统的处理和相关控制功能的审查。 二、信息化条件下内部控制审计存在的风险问题 (一)企业内部信息系统的环境可能存在安全问题 任何机构的内部控制环境均离不开信息系统的安全政策、标准和指南。信息系统安全政策是对机构在信息系统的控制与安全方面的全面描述。首先,该政策应该指明由谁负责该政策的执行。安全政策应要求机构为其硬件、软件以及数据提供足够的物理与逻辑安全控制,以防受到未授权访问或者故意损坏、破坏和更改。其次,该政策应指明具体的控制手段。信息技术安全政策通常包括五个部分:(1)目标和责任;(2)系统采购和开发;(3)访问终端;(4)设备与信息安全
8、;(5)服务部门方案。 信息系统安全标准是由高级管理人员制定的最低标准、规则构成的集合,以确保信息系统安全政策的实现。至于审计,信息系统安全标准为管理人员提供一个基准或底线,可以照此对单个信息系统控制的适当性进行评估。管理人员需要确保标准适用于现存系统,如果标准不适用,内部控制审计风险将会增加。 信息系统安全指南同样由高级管理人员制定,用于确保信息系统安全政策的实现。在为单独的信息系统控制提供详细的规范方面,指南与标准在格式上是相似的,其不同之处在于实现上。比如,对于具有信息系统安全指南而无标准的机构,审计人员可能把指南作为基准来衡量其信息系统控制是否适当。当审计人员向负责该系统的管理人员提出
9、控制的改进建议时,由于这些管理人员不把指南看作是必须执行的部分,因此审计人员就会遇到变革的阻力,与之相关的内部控制审计风险将会加大。 (二)企业战略目标在信息系统中的传达过程可能产生风险 在信息系统中,企业战略目标被细分成各部门、各项目或各阶段的具体目标。只有通过信息系统在企业内部和外部进行快速而有效的传达,才能保证系统目标的实现。在企业内部,与经营活动相关的目标主要是通过会计信息的传递而进行有效的传达,同时,其他相关目标的传达也与此相关,并相互影响。会计信息是财务管理目标所需信息的主要来源,财务会计所强调的相关性使会计信息与财务管理的关联性增加。企业外部的会计信息使用者使用会计信息的目的是为
10、便于把资源投入企业进行决策,而这些决策又最终影响企业的财务管理活动。因此,企业战略目标在信息系统中的传达不可避免地与会计信息系统有效性密切相关,企业战略目标在信息系统中的低效传达将影响会计信息系统的风险。 (三)计算机处理与控制的性质可能带来风险 在信息技术环境下,传统的手工控制越来越多地被自动化控制所替代。自动控制能为企业带来以下好处:(1)有效处理大流量交易及数据;(2)系统、数据库及操作系统的相关安全控制可以实现有效的职责分离;(3)可以提高信息的及时性、正确性,并使信息变得更易获取;(4)可以提高管理层对企业业务活动及相关政策的监督水平。同时,对自动控制的依赖也可能给企业带来下列重大错
11、报风险:(1)信息系统或相关系统程序可能会对数据进行错误处理,可能会去处理那些本身就错误的数据;(2)自动信息系统、数据库及操作系统的相关安全控制如果无效,会增加对数据信息非授权访问的风险,导致系统内部数据和系统对非授权交易及不存在交易的记录遭到破坏;(3)数据丢失风险或数据无法访问风险;(4)不适当的人工干预,或人为绕过自动控制。 (四)与企业信息化条件相关的风险偏好可能加大审计风险 在影响审计判断的因素中,执行者的风险偏好是影响的第一要素。以往的审计模式,在操作规范上更侧重于程序化,而现代审计多是企业信息化条件下的风险导向审计,将审计工作的重心放在了审计主体对风险的评估上。由于评估结果决定
12、了是否承接业务,以及业务承接后如何在技术上规避风险,所以这种新的审计模式使注册会计师在进行专业判断时,有了更大的弹性。但判断的空间越大,受审计主体偏好的影响就越大,同时,实行信息系统的企业多将复杂的风险评估过程转嫁给审计人员,因而风险偏好的影响也就越突出。 三、信息化条件下内部控制审计风险的评估策略 (一)评价相关人员及信息系统 评价内部审计人员、内部控制评价人员和其他相关人员的专业胜任能力和客观性,以及信息系统的适当性,可以有效地降低相关审计风险。随着计算机、网络等信息技术在会计中的广泛应用,一些传统的核对、计算、存储等内部会计控制方式都被计算机轻而易举地替代。审计人员应当测试内部控制设计和
13、运行的有效性,考虑其是否拥有与信息技术相关的知识和经验或者是否利用专家的工作。如果某项控制设计和运行由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的,相关的控制存在重大缺陷的风险较低;如果企业内部审计人员、内部控制评价人员的信息技术知识和经验较丰富并且较多客观地利用这些知识和经验工作,或者虽未有相关知识和经验但较多地利用具有胜任能力专家的工作并且客观地评价这些工作过程和结果,那么当外部审计人员利用这些人员的工作时,相关内部控制审计风险较低。 (二)选择自上而下的方法 选择自上而下的方法并考虑相关的信息系统控制,审计人员可以逐步找到风险的来
14、源。外部审计人员应当按照自上而下的方法,即从企业层面控制到业务层面控制顺序,考虑企业的信息系统的适当性和风险。当在识别和评价企业层面的控制风险时,应当把握重要性原则,至少应当关注:(1)与内部信息系统环境相关的控制风险;(2)针对董事会、经理层凌驾于信息系统控制之上的风险而设计的控制;(3)企业的风险评估过程;(4)对内部信息传递和财务报告流程的控制;(5)对控制有效性的内部控制监督和自我评价。外部审计人员测试业务层面控制相关的风险时,应当把握重要性原则,重点对企业生产经营活动中的重要业务与事项的控制进行测试,关注信息系统在处理一般业务时的一致性和与特定业务相关的特定控制。外部审计人员应当综合
15、运用询问、观察、检查、穿行测试和重新执行等方法识别与业务层面相关的控制风险。 (三)有效而又准确地评价控制缺陷 根据已有的信息系统流程,通过有效地评价控制缺陷,可以进一步识别和评价相关风险。在评价内部控制缺陷时,审计人员应首先检查已有的信息系统流程的缺陷,查明缺陷是设计缺陷还是运行缺陷,以此追本溯源,进一步全面地识别相关的控制风险。在识别控制缺陷成因后,审计人员还应当评价其识别的各项内部控制缺陷与信息系统的相关程度,以评价其严重程度,考虑其属于重大缺陷、重要缺陷还是一般缺陷,以此进一步评价相关风险的严重程度。在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时,审计人员应当评价信息
16、系统补偿性控制的影响。在进一步识别或评价相关风险时,如果存在以下迹象时,审计人员应当考虑可能存在较高的内部控制审计风险:(1)董事、监事和高级管理人员舞弊。 (2)企业更正已经公布的财务报表。 (3)审计人员发现当期财务报表存在重大错报而内部控制运行过程中未能发现该错报。 (4)企业审计委员会和内部审计机构对内部控制的监督无效。(5)组织结构、业务流程和业务单元复杂多变。 (6)企业内部控制最近发生较大变化。 (7)相关法律法规和行业状况发生较大变化。 (8)企业内部和外部缺乏有效的沟通。 (9)由于账务的规模和性质具有特殊性而易于发生重大错报。 (10)企业的经营成果、现金流量或财务状况与前
17、期相比发生较大变化。 (11)企业的信息系统与企业的具体情况不相适应。 (四)加强内部控制审计报告环节及后续环节的风险控制 做好审计的综合分析工作,强化精品意识,提升审计报告的层次和水平是提高审计报告质量的关键。应做好以下四方面质量控制:一是对审计的发现进行深加工,防止问题定性表面化;二是审计报告立意要高,防止内容庸俗化;三是审计结论要客观准确,防止言而无据;四是审计意见和建议要有可操作性,防止纯理论化。审计人员对会计电算化系统进行符合性测试和实质性测试后, 除对被审计单位会计报表的合理性、公允性、一贯性发表意见,做出审计结论外,还要对被审计单位的会计电算化系统的处理功能和内部控制进行评价,提
18、出改进意见。在信息化条件下,由于审计记录载体的转变,对审计证据、审计档案的质量控制提出了新要求。一是实行电子数据保存使用责任制度。二是加快审计档案信息化建设。目前我国境内的会计师事务所还没有专门的风险管理部门,绝大多数也没有专门的风险管理制度,在风险管理方面一般采取三级复核制度,但三级复核还仅限于传统意义上会计重要、重大问题的复核,对于风险的控制还只停留于初级定性判断阶段。从长远考虑,本文建议,会计师事务所应该结合三级复核制度建立一套全面有效的风险管理制度,同时建立风险管理档案,成立风险管理部门,设置风险绩效考核指标。 (注:本文系国家自然科学基金项目“会计协调测定和评价的实证研究”阶段性研究
19、成果;项目编号:70472068) 参考文献: 1.李全声.我国商业银行内部控制体系建设研究D.西南财经大学博士学位论文,2006. 2.贾厚光.信息技术条件下企业内部控制策略研究J.经济师,2002, (7). 3.相新江.论会计电算化应用中审计风险及应对措施J.科技情报开发与经济,2006, (8). 4.郑洁,贺正楚.信息技术对企业内部控制要素的五大影响J.广州大学学报(社会科学版) ,2005, (10). 5.刘志远,刘洁.信息技术条件下的企业内部控制J.会计研究,2001, (12). 6.胡国红.农业企业会计核算办法实施浅析J.事业财会,2006, (5). 7.杨琦.信息技术对企业内部控制影响分析与对策J.审计与经济研究,2005, (1). 8.李霞.电子商务环境下的企业内部控制探讨D.江西财经大学硕士学位论文,2009. 9.秦荣生,卢春泉.审计学M.北京:中国人民大学出版社,2011. 10.张继勋,周冉,孙鹏.内部控制披露、审计意见、投资者的风险感知和投资决策:一项实验证据J.会计研究,2011, (9). 作者简介: 廖亮亮,财政部财政科学研究所审计硕士研究生。研究方向:审计。叶松勤,中国人民大学商学院会计学博士。研究方向:公司治理与资本市场研究。 王婷,中央财经大学会计学院会计学研究生。研究方向:财务管理。
