□廖亮亮 葉松勤（博士） 王 婷

（1財政部財政科學研究所 北京100872 2中國人民大學商學院北京100872 3中央財經(jīng)大學會計學院 北京 100081）

隨著信息技術(shù)的快速發(fā)展，政府和企事業(yè)主管部門的管理工作日益趨向集約化和信息化，逐步構(gòu)建起統(tǒng)一的信息化管理平臺，審計風險經(jīng)受著來自信息化的巨大沖擊。因此，內(nèi)部控制審計必須重視信息系統(tǒng)環(huán)境下的審計風險的特殊性，找到與企業(yè)相適應的審計風險分析方法，以改善內(nèi)部控制審計的效率和效果。內(nèi)部控制審計作為一種與企業(yè)內(nèi)部控制系統(tǒng)評價緊密相聯(lián)的審計方法，就必須要與企業(yè)具體的信息系統(tǒng)復雜程度相適應。

一、信息化條件下內(nèi)部控制審計的現(xiàn)狀

（一）內(nèi)部控制環(huán)境的現(xiàn)狀

信息技術(shù)使公司內(nèi)部控制環(huán)境發(fā)生了許多變化：首先，內(nèi)部控制層次明顯減少，崗位更加精簡。信息化條件下，信息技術(shù)減少了信息在傳統(tǒng)組織的信道傳輸中的延遲、失真以及噪音干擾，擴大了信息發(fā)布的范圍，增進了組織各層次人員的信息傳遞與交流。其次，公司內(nèi)部控制設計更強調(diào)以人為本、人機結(jié)合的原則，增強了員工識別風險的能力、發(fā)現(xiàn)問題與解決問題的能力、與其他業(yè)務人員協(xié)同配合的能力。信息技術(shù)在企業(yè)中的廣泛應用，不僅改變了傳統(tǒng)手工數(shù)據(jù)處理方式，而且觸發(fā)了企業(yè)管理模式、作業(yè)流程的變革。主要表現(xiàn)在組織結(jié)構(gòu)、內(nèi)部協(xié)調(diào)兩個方面。（1）組織結(jié)構(gòu)的變化。現(xiàn)代企業(yè)組織結(jié)構(gòu)的特征表現(xiàn)為組織結(jié)構(gòu)的網(wǎng)絡化、虛擬化、扁平化，這使企業(yè)內(nèi)部控制層次明顯減少，精簡了崗位，明確了責任，提高了效率。在相對穩(wěn)定的環(huán)境中，層級結(jié)構(gòu)是效率較高的組織形式。但目前這種組織形式卻越來越不能適應環(huán)境的發(fā)展變化，具體表現(xiàn)為：一是企業(yè)組織規(guī)模越來越龐大，難以有效運作。二是外部環(huán)境的變化，要求企業(yè)必須快速應變，具備極強的適應性。（2）內(nèi)部協(xié)調(diào)的變化。信息技術(shù)應用改變企業(yè)信息孤島的狀況，企業(yè)中的各種信息都集中存儲在企業(yè)數(shù)據(jù)庫系統(tǒng)內(nèi)，并不斷實時更新。這些先進的系統(tǒng)為企業(yè)成員提供了很好的溝通條件。另外，企業(yè)通過信息化途徑構(gòu)建與利益相關者相聯(lián)系的互動機制，使組織的經(jīng)營管理人員可以實時獲取企業(yè)內(nèi)部與外部信息，并及時進行傳達，實現(xiàn)相關信息的高效利用。

（二）風險評估過程的現(xiàn)狀

在公司信息化環(huán)境下，業(yè)務流程的自動化降低了業(yè)務處理過程中源于人員疏漏或舞弊的風險。但系統(tǒng)的開放性、信息的分散性、數(shù)據(jù)的共享性使系統(tǒng)從封閉集中狀態(tài)走向開放，帶來了業(yè)務流程和信息系統(tǒng)的新風險。公司的運營管理越來越依賴于信息系統(tǒng)，如果信息系統(tǒng)失靈或崩潰，重要信息被竊，將會給公司帶來不可估量的損失。在信息技術(shù)環(huán)境下，風險變得更加復雜，其危害性也更加嚴重。

（三）信息溝通和審計線索的現(xiàn)狀

一個良好的信息溝通系統(tǒng)要有全方位的信息溝通管道。企業(yè)需要按某種形式辨識并取得來自企業(yè)內(nèi)部及外部的信息，并在組織內(nèi)部進行溝通，以使員工清楚地獲取有關其控制責任的信息，履行其責任。開放的信息系統(tǒng)為內(nèi)部員工、管理者以及顧客、供應商等外部團體提供了開放的溝通渠道，有利于內(nèi)部溝通與外部溝通的進行，從而使信息的傳遞與反饋更為高效，但也更加復雜多變。審計線索對審計來說極其重要。傳統(tǒng)的手工會計系統(tǒng)，審計線索包括憑證、日記賬、分類賬和報表。而在信息技術(shù)環(huán)境下，從業(yè)務數(shù)據(jù)的具體處理過程到報表的輸出都由計算機按照程序指令完成，數(shù)據(jù)均保存在磁性介質(zhì)上，從而會影響到審計線索。無紙張記錄使審計人員用肉眼無法直接看到這些數(shù)據(jù)如何記錄。

（四）審計技術(shù)、方法及內(nèi)容的現(xiàn)狀

隨著信息技術(shù)的廣泛應用，計算機輔助審計技術(shù)應運而生。它是一種利用計算機和相關軟件，使審計測試工作實現(xiàn)自動化的技術(shù)。計算機輔助審計技術(shù)可以在以下方面使審計工作更富效率和效果：（1）將現(xiàn)有手工執(zhí)行的審計測試自動化。（2）在手工方式不可行的情況下執(zhí)行測試或分析。雖然電算化下人工審查技術(shù)仍有必要，但計算機輔助審計效率更高。它不僅能夠提高審閱大量交易的效率，而且計算機使審閱工作更具效果。在信息化條件下，審計內(nèi)容也發(fā)生了相應的變化。在信息化的會計系統(tǒng)中，各項會計事項都是由計算機按照程序進行自動化處理的。信息系統(tǒng)的特點及固有風險決定了信息化條件下審計的內(nèi)容包括對信息化系統(tǒng)的處理和相關控制功能的審查。

二、信息化條件下內(nèi)部控制審計存在的風險問題

（一）企業(yè)內(nèi)部信息系統(tǒng)的環(huán)境可能存在安全問題

任何機構(gòu)的內(nèi)部控制環(huán)境均離不開信息系統(tǒng)的安全政策、標準和指南。信息系統(tǒng)安全政策是對機構(gòu)在信息系統(tǒng)的控制與安全方面的全面描述。首先，該政策應該指明由誰負責該政策的執(zhí)行。安全政策應要求機構(gòu)為其硬件、軟件以及數(shù)據(jù)提供足夠的物理與邏輯安全控制，以防受到未授權(quán)訪問或者故意損壞、破壞和更改。其次，該政策應指明具體的控制手段。信息技術(shù)安全政策通常包括五個部分：（1）目標和責任；（2）系統(tǒng)采購和開發(fā)；（3）訪問終端；（4）設備與信息安全；（5）服務部門方案。

信息系統(tǒng)安全標準是由高級管理人員制定的最低標準、規(guī)則構(gòu)成的集合，以確保信息系統(tǒng)安全政策的實現(xiàn)。至于審計，信息系統(tǒng)安全標準為管理人員提供一個基準或底線，可以照此對單個信息系統(tǒng)控制的適當性進行評估。管理人員需要確保標準適用于現(xiàn)存系統(tǒng)，如果標準不適用，內(nèi)部控制審計風險將會增加。

信息系統(tǒng)安全指南同樣由高級管理人員制定，用于確保信息系統(tǒng)安全政策的實現(xiàn)。在為單獨的信息系統(tǒng)控制提供詳細的規(guī)范方面，指南與標準在格式上是相似的，其不同之處在于實現(xiàn)上。比如，對于具有信息系統(tǒng)安全指南而無標準的機構(gòu)，審計人員可能把指南作為基準來衡量其信息系統(tǒng)控制是否適當。當審計人員向負責該系統(tǒng)的管理人員提出控制的改進建議時，由于這些管理人員不把指南看作是必須執(zhí)行的部分，因此審計人員就會遇到變革的阻力，與之相關的內(nèi)部控制審計風險將會加大。

（二）企業(yè)戰(zhàn)略目標在信息系統(tǒng)中的傳達過程可能產(chǎn)生風險

在信息系統(tǒng)中，企業(yè)戰(zhàn)略目標被細分成各部門、各項目或各階段的具體目標。只有通過信息系統(tǒng)在企業(yè)內(nèi)部和外部進行快速而有效的傳達，才能保證系統(tǒng)目標的實現(xiàn)。在企業(yè)內(nèi)部，與經(jīng)營活動相關的目標主要是通過會計信息的傳遞而進行有效的傳達，同時，其他相關目標的傳達也與此相關，并相互影響。會計信息是財務管理目標所需信息的主要來源，財務會計所強調(diào)的相關性使會計信息與財務管理的關聯(lián)性增加。企業(yè)外部的會計信息使用者使用會計信息的目的是為便于把資源投入企業(yè)進行決策，而這些決策又最終影響企業(yè)的財務管理活動。因此，企業(yè)戰(zhàn)略目標在信息系統(tǒng)中的傳達不可避免地與會計信息系統(tǒng)有效性密切相關，企業(yè)戰(zhàn)略目標在信息系統(tǒng)中的低效傳達將影響會計信息系統(tǒng)的風險。

（三）計算機處理與控制的性質(zhì)可能帶來風險

在信息技術(shù)環(huán)境下，傳統(tǒng)的手工控制越來越多地被自動化控制所替代。自動控制能為企業(yè)帶來以下好處：（1）有效處理大流量交易及數(shù)據(jù)；（2）系統(tǒng)、數(shù)據(jù)庫及操作系統(tǒng)的相關安全控制可以實現(xiàn)有效的職責分離；（3）可以提高信息的及時性、正確性，并使信息變得更易獲取；（4）可以提高管理層對企業(yè)業(yè)務活動及相關政策的監(jiān)督水平。同時，對自動控制的依賴也可能給企業(yè)帶來下列重大錯報風險：（1）信息系統(tǒng)或相關系統(tǒng)程序可能會對數(shù)據(jù)進行錯誤處理，可能會去處理那些本身就錯誤的數(shù)據(jù)；（2）自動信息系統(tǒng)、數(shù)據(jù)庫及操作系統(tǒng)的相關安全控制如果無效，會增加對數(shù)據(jù)信息非授權(quán)訪問的風險，導致系統(tǒng)內(nèi)部數(shù)據(jù)和系統(tǒng)對非授權(quán)交易及不存在交易的記錄遭到破壞；（3）數(shù)據(jù)丟失風險或數(shù)據(jù)無法訪問風險；（4）不適當?shù)娜斯じ深A，或人為繞過自動控制。

（四）與企業(yè)信息化條件相關的風險偏好可能加大審計風險

在影響審計判斷的因素中，執(zhí)行者的風險偏好是影響的第一要素。以往的審計模式，在操作規(guī)范上更側(cè)重于程序化，而現(xiàn)代審計多是企業(yè)信息化條件下的風險導向?qū)徲?，將審計工作的重心放在了審計主體對風險的評估上。由于評估結(jié)果決定了是否承接業(yè)務，以及業(yè)務承接后如何在技術(shù)上規(guī)避風險，所以這種新的審計模式使注冊會計師在進行專業(yè)判斷時，有了更大的彈性。但判斷的空間越大，受審計主體偏好的影響就越大，同時，實行信息系統(tǒng)的企業(yè)多將復雜的風險評估過程轉(zhuǎn)嫁給審計人員，因而風險偏好的影響也就越突出。

三、信息化條件下內(nèi)部控制審計風險的評估策略

（一）評價相關人員及信息系統(tǒng)

評價內(nèi)部審計人員、內(nèi)部控制評價人員和其他相關人員的專業(yè)勝任能力和客觀性，以及信息系統(tǒng)的適當性，可以有效地降低相關審計風險。隨著計算機、網(wǎng)絡等信息技術(shù)在會計中的廣泛應用，一些傳統(tǒng)的核對、計算、存儲等內(nèi)部會計控制方式都被計算機輕而易舉地替代。審計人員應當測試內(nèi)部控制設計和運行的有效性，考慮其是否擁有與信息技術(shù)相關的知識和經(jīng)驗或者是否利用專家的工作。如果某項控制設計和運行由擁有必要授權(quán)和專業(yè)勝任能力的人員按照規(guī)定的程序與要求執(zhí)行，能夠?qū)崿F(xiàn)控制目標，表明該項控制的設計是有效的，相關的控制存在重大缺陷的風險較低；如果企業(yè)內(nèi)部審計人員、內(nèi)部控制評價人員的信息技術(shù)知識和經(jīng)驗較豐富并且較多客觀地利用這些知識和經(jīng)驗工作，或者雖未有相關知識和經(jīng)驗但較多地利用具有勝任能力專家的工作并且客觀地評價這些工作過程和結(jié)果，那么當外部審計人員利用這些人員的工作時，相關內(nèi)部控制審計風險較低。

（二）選擇自上而下的方法

選擇自上而下的方法并考慮相關的信息系統(tǒng)控制，審計人員可以逐步找到風險的來源。外部審計人員應當按照自上而下的方法，即從企業(yè)層面控制到業(yè)務層面控制順序，考慮企業(yè)的信息系統(tǒng)的適當性和風險。當在識別和評價企業(yè)層面的控制風險時，應當把握重要性原則，至少應當關注：（1）與內(nèi)部信息系統(tǒng)環(huán)境相關的控制風險；（2）針對董事會、經(jīng)理層凌駕于信息系統(tǒng)控制之上的風險而設計的控制；（3）企業(yè)的風險評估過程；（4）對內(nèi)部信息傳遞和財務報告流程的控制；（5）對控制有效性的內(nèi)部控制監(jiān)督和自我評價。外部審計人員測試業(yè)務層面控制相關的風險時，應當把握重要性原則，重點對企業(yè)生產(chǎn)經(jīng)營活動中的重要業(yè)務與事項的控制進行測試，關注信息系統(tǒng)在處理一般業(yè)務時的一致性和與特定業(yè)務相關的特定控制。外部審計人員應當綜合運用詢問、觀察、檢查、穿行測試和重新執(zhí)行等方法識別與業(yè)務層面相關的控制風險。

（三）有效而又準確地評價控制缺陷

根據(jù)已有的信息系統(tǒng)流程，通過有效地評價控制缺陷，可以進一步識別和評價相關風險。在評價內(nèi)部控制缺陷時，審計人員應首先檢查已有的信息系統(tǒng)流程的缺陷，查明缺陷是設計缺陷還是運行缺陷，以此追本溯源，進一步全面地識別相關的控制風險。在識別控制缺陷成因后，審計人員還應當評價其識別的各項內(nèi)部控制缺陷與信息系統(tǒng)的相關程度，以評價其嚴重程度，考慮其屬于重大缺陷、重要缺陷還是一般缺陷，以此進一步評價相關風險的嚴重程度。在確定一項內(nèi)部控制缺陷或多項內(nèi)部控制缺陷的組合是否構(gòu)成重大缺陷時，審計人員應當評價信息系統(tǒng)補償性控制的影響。在進一步識別或評價相關風險時，如果存在以下跡象時，審計人員應當考慮可能存在較高的內(nèi)部控制審計風險：（1）董事、監(jiān)事和高級管理人員舞弊。（2）企業(yè)更正已經(jīng)公布的財務報表。（3）審計人員發(fā)現(xiàn)當期財務報表存在重大錯報而內(nèi)部控制運行過程中未能發(fā)現(xiàn)該錯報。（4）企業(yè)審計委員會和內(nèi)部審計機構(gòu)對內(nèi)部控制的監(jiān)督無效。（5）組織結(jié)構(gòu)、業(yè)務流程和業(yè)務單元復雜多變。（6）企業(yè)內(nèi)部控制最近發(fā)生較大變化。（7）相關法律法規(guī)和行業(yè)狀況發(fā)生較大變化。（8）企業(yè)內(nèi)部和外部缺乏有效的溝通。（9）由于賬務的規(guī)模和性質(zhì)具有特殊性而易于發(fā)生重大錯報。（10）企業(yè)的經(jīng)營成果、現(xiàn)金流量或財務狀況與前期相比發(fā)生較大變化。（11）企業(yè)的信息系統(tǒng)與企業(yè)的具體情況不相適應。

（四）加強內(nèi)部控制審計報告環(huán)節(jié)及后續(xù)環(huán)節(jié)的風險控制

做好審計的綜合分析工作，強化精品意識，提升審計報告的層次和水平是提高審計報告質(zhì)量的關鍵。應做好以下四方面質(zhì)量控制：一是對審計的發(fā)現(xiàn)進行深加工，防止問題定性表面化；二是審計報告立意要高，防止內(nèi)容庸俗化；三是審計結(jié)論要客觀準確，防止言而無據(jù)；四是審計意見和建議要有可操作性，防止純理論化。審計人員對會計電算化系統(tǒng)進行符合性測試和實質(zhì)性測試后，除對被審計單位會計報表的合理性、公允性、一貫性發(fā)表意見，做出審計結(jié)論外，還要對被審計單位的會計電算化系統(tǒng)的處理功能和內(nèi)部控制進行評價，提出改進意見。在信息化條件下，由于審計記錄載體的轉(zhuǎn)變，對審計證據(jù)、審計檔案的質(zhì)量控制提出了新要求。一是實行電子數(shù)據(jù)保存使用責任制度。二是加快審計檔案信息化建設。目前我國境內(nèi)的會計師事務所還沒有專門的風險管理部門，絕大多數(shù)也沒有專門的風險管理制度，在風險管理方面一般采取三級復核制度，但三級復核還僅限于傳統(tǒng)意義上會計重要、重大問題的復核，對于風險的控制還只停留于初級定性判斷階段。從長遠考慮，本文建議，會計師事務所應該結(jié)合三級復核制度建立一套全面有效的風險管理制度，同時建立風險管理檔案，成立風險管理部門，設置風險績效考核指標。