□廖亮亮 葉松勤（博士） 王 婷

（1財政部財政科學(xué)研究所 北京100872 2中國人民大學(xué)商學(xué)院北京100872 3中央財經(jīng)大學(xué)會計學(xué)院 北京 100081）

隨著信息技術(shù)的快速發(fā)展，政府和企事業(yè)主管部門的管理工作日益趨向集約化和信息化，逐步構(gòu)建起統(tǒng)一的信息化管理平臺，審計風(fēng)險經(jīng)受著來自信息化的巨大沖擊。因此，內(nèi)部控制審計必須重視信息系統(tǒng)環(huán)境下的審計風(fēng)險的特殊性，找到與企業(yè)相適應(yīng)的審計風(fēng)險分析方法，以改善內(nèi)部控制審計的效率和效果。內(nèi)部控制審計作為一種與企業(yè)內(nèi)部控制系統(tǒng)評價緊密相聯(lián)的審計方法，就必須要與企業(yè)具體的信息系統(tǒng)復(fù)雜程度相適應(yīng)。

一、信息化條件下內(nèi)部控制審計的現(xiàn)狀

（一）內(nèi)部控制環(huán)境的現(xiàn)狀

信息技術(shù)使公司內(nèi)部控制環(huán)境發(fā)生了許多變化：首先，內(nèi)部控制層次明顯減少，崗位更加精簡。信息化條件下，信息技術(shù)減少了信息在傳統(tǒng)組織的信道傳輸中的延遲、失真以及噪音干擾，擴大了信息發(fā)布的范圍，增進了組織各層次人員的信息傳遞與交流。其次，公司內(nèi)部控制設(shè)計更強調(diào)以人為本、人機結(jié)合的原則，增強了員工識別風(fēng)險的能力、發(fā)現(xiàn)問題與解決問題的能力、與其他業(yè)務(wù)人員協(xié)同配合的能力。信息技術(shù)在企業(yè)中的廣泛應(yīng)用，不僅改變了傳統(tǒng)手工數(shù)據(jù)處理方式，而且觸發(fā)了企業(yè)管理模式、作業(yè)流程的變革。主要表現(xiàn)在組織結(jié)構(gòu)、內(nèi)部協(xié)調(diào)兩個方面。（1）組織結(jié)構(gòu)的變化?，F(xiàn)代企業(yè)組織結(jié)構(gòu)的特征表現(xiàn)為組織結(jié)構(gòu)的網(wǎng)絡(luò)化、虛擬化、扁平化，這使企業(yè)內(nèi)部控制層次明顯減少，精簡了崗位，明確了責(zé)任，提高了效率。在相對穩(wěn)定的環(huán)境中，層級結(jié)構(gòu)是效率較高的組織形式。但目前這種組織形式卻越來越不能適應(yīng)環(huán)境的發(fā)展變化，具體表現(xiàn)為：一是企業(yè)組織規(guī)模越來越龐大，難以有效運作。二是外部環(huán)境的變化，要求企業(yè)必須快速應(yīng)變，具備極強的適應(yīng)性。（2）內(nèi)部協(xié)調(diào)的變化。信息技術(shù)應(yīng)用改變企業(yè)信息孤島的狀況，企業(yè)中的各種信息都集中存儲在企業(yè)數(shù)據(jù)庫系統(tǒng)內(nèi)，并不斷實時更新。這些先進的系統(tǒng)為企業(yè)成員提供了很好的溝通條件。另外，企業(yè)通過信息化途徑構(gòu)建與利益相關(guān)者相聯(lián)系的互動機制，使組織的經(jīng)營管理人員可以實時獲取企業(yè)內(nèi)部與外部信息，并及時進行傳達，實現(xiàn)相關(guān)信息的高效利用。

（二）風(fēng)險評估過程的現(xiàn)狀

在公司信息化環(huán)境下，業(yè)務(wù)流程的自動化降低了業(yè)務(wù)處理過程中源于人員疏漏或舞弊的風(fēng)險。但系統(tǒng)的開放性、信息的分散性、數(shù)據(jù)的共享性使系統(tǒng)從封閉集中狀態(tài)走向開放，帶來了業(yè)務(wù)流程和信息系統(tǒng)的新風(fēng)險。公司的運營管理越來越依賴于信息系統(tǒng)，如果信息系統(tǒng)失靈或崩潰，重要信息被竊，將會給公司帶來不可估量的損失。在信息技術(shù)環(huán)境下，風(fēng)險變得更加復(fù)雜，其危害性也更加嚴(yán)重。

（三）信息溝通和審計線索的現(xiàn)狀

一個良好的信息溝通系統(tǒng)要有全方位的信息溝通管道。企業(yè)需要按某種形式辨識并取得來自企業(yè)內(nèi)部及外部的信息，并在組織內(nèi)部進行溝通，以使員工清楚地獲取有關(guān)其控制責(zé)任的信息，履行其責(zé)任。開放的信息系統(tǒng)為內(nèi)部員工、管理者以及顧客、供應(yīng)商等外部團體提供了開放的溝通渠道，有利于內(nèi)部溝通與外部溝通的進行，從而使信息的傳遞與反饋更為高效，但也更加復(fù)雜多變。審計線索對審計來說極其重要。傳統(tǒng)的手工會計系統(tǒng)，審計線索包括憑證、日記賬、分類賬和報表。而在信息技術(shù)環(huán)境下，從業(yè)務(wù)數(shù)據(jù)的具體處理過程到報表的輸出都由計算機按照程序指令完成，數(shù)據(jù)均保存在磁性介質(zhì)上，從而會影響到審計線索。無紙張記錄使審計人員用肉眼無法直接看到這些數(shù)據(jù)如何記錄。

（四）審計技術(shù)、方法及內(nèi)容的現(xiàn)狀

隨著信息技術(shù)的廣泛應(yīng)用，計算機輔助審計技術(shù)應(yīng)運而生。它是一種利用計算機和相關(guān)軟件，使審計測試工作實現(xiàn)自動化的技術(shù)。計算機輔助審計技術(shù)可以在以下方面使審計工作更富效率和效果：（1）將現(xiàn)有手工執(zhí)行的審計測試自動化。（2）在手工方式不可行的情況下執(zhí)行測試或分析。雖然電算化下人工審查技術(shù)仍有必要，但計算機輔助審計效率更高。它不僅能夠提高審閱大量交易的效率，而且計算機使審閱工作更具效果。在信息化條件下，審計內(nèi)容也發(fā)生了相應(yīng)的變化。在信息化的會計系統(tǒng)中，各項會計事項都是由計算機按照程序進行自動化處理的。信息系統(tǒng)的特點及固有風(fēng)險決定了信息化條件下審計的內(nèi)容包括對信息化系統(tǒng)的處理和相關(guān)控制功能的審查。

二、信息化條件下內(nèi)部控制審計存在的風(fēng)險問題

（一）企業(yè)內(nèi)部信息系統(tǒng)的環(huán)境可能存在安全問題

任何機構(gòu)的內(nèi)部控制環(huán)境均離不開信息系統(tǒng)的安全政策、標(biāo)準(zhǔn)和指南。信息系統(tǒng)安全政策是對機構(gòu)在信息系統(tǒng)的控制與安全方面的全面描述。首先，該政策應(yīng)該指明由誰負(fù)責(zé)該政策的執(zhí)行。安全政策應(yīng)要求機構(gòu)為其硬件、軟件以及數(shù)據(jù)提供足夠的物理與邏輯安全控制，以防受到未授權(quán)訪問或者故意損壞、破壞和更改。其次，該政策應(yīng)指明具體的控制手段。信息技術(shù)安全政策通常包括五個部分：（1）目標(biāo)和責(zé)任；（2）系統(tǒng)采購和開發(fā)；（3）訪問終端；（4）設(shè)備與信息安全；（5）服務(wù)部門方案。

信息系統(tǒng)安全標(biāo)準(zhǔn)是由高級管理人員制定的最低標(biāo)準(zhǔn)、規(guī)則構(gòu)成的集合，以確保信息系統(tǒng)安全政策的實現(xiàn)。至于審計，信息系統(tǒng)安全標(biāo)準(zhǔn)為管理人員提供一個基準(zhǔn)或底線，可以照此對單個信息系統(tǒng)控制的適當(dāng)性進行評估。管理人員需要確保標(biāo)準(zhǔn)適用于現(xiàn)存系統(tǒng)，如果標(biāo)準(zhǔn)不適用，內(nèi)部控制審計風(fēng)險將會增加。

信息系統(tǒng)安全指南同樣由高級管理人員制定，用于確保信息系統(tǒng)安全政策的實現(xiàn)。在為單獨的信息系統(tǒng)控制提供詳細(xì)的規(guī)范方面，指南與標(biāo)準(zhǔn)在格式上是相似的，其不同之處在于實現(xiàn)上。比如，對于具有信息系統(tǒng)安全指南而無標(biāo)準(zhǔn)的機構(gòu)，審計人員可能把指南作為基準(zhǔn)來衡量其信息系統(tǒng)控制是否適當(dāng)。當(dāng)審計人員向負(fù)責(zé)該系統(tǒng)的管理人員提出控制的改進建議時，由于這些管理人員不把指南看作是必須執(zhí)行的部分，因此審計人員就會遇到變革的阻力，與之相關(guān)的內(nèi)部控制審計風(fēng)險將會加大。

（二）企業(yè)戰(zhàn)略目標(biāo)在信息系統(tǒng)中的傳達過程可能產(chǎn)生風(fēng)險

在信息系統(tǒng)中，企業(yè)戰(zhàn)略目標(biāo)被細(xì)分成各部門、各項目或各階段的具體目標(biāo)。只有通過信息系統(tǒng)在企業(yè)內(nèi)部和外部進行快速而有效的傳達，才能保證系統(tǒng)目標(biāo)的實現(xiàn)。在企業(yè)內(nèi)部，與經(jīng)營活動相關(guān)的目標(biāo)主要是通過會計信息的傳遞而進行有效的傳達，同時，其他相關(guān)目標(biāo)的傳達也與此相關(guān)，并相互影響。會計信息是財務(wù)管理目標(biāo)所需信息的主要來源，財務(wù)會計所強調(diào)的相關(guān)性使會計信息與財務(wù)管理的關(guān)聯(lián)性增加。企業(yè)外部的會計信息使用者使用會計信息的目的是為便于把資源投入企業(yè)進行決策，而這些決策又最終影響企業(yè)的財務(wù)管理活動。因此，企業(yè)戰(zhàn)略目標(biāo)在信息系統(tǒng)中的傳達不可避免地與會計信息系統(tǒng)有效性密切相關(guān)，企業(yè)戰(zhàn)略目標(biāo)在信息系統(tǒng)中的低效傳達將影響會計信息系統(tǒng)的風(fēng)險。

（三）計算機處理與控制的性質(zhì)可能帶來風(fēng)險

在信息技術(shù)環(huán)境下，傳統(tǒng)的手工控制越來越多地被自動化控制所替代。自動控制能為企業(yè)帶來以下好處：（1）有效處理大流量交易及數(shù)據(jù)；（2）系統(tǒng)、數(shù)據(jù)庫及操作系統(tǒng)的相關(guān)安全控制可以實現(xiàn)有效的職責(zé)分離；（3）可以提高信息的及時性、正確性，并使信息變得更易獲??；（4）可以提高管理層對企業(yè)業(yè)務(wù)活動及相關(guān)政策的監(jiān)督水平。同時，對自動控制的依賴也可能給企業(yè)帶來下列重大錯報風(fēng)險：（1）信息系統(tǒng)或相關(guān)系統(tǒng)程序可能會對數(shù)據(jù)進行錯誤處理，可能會去處理那些本身就錯誤的數(shù)據(jù)；（2）自動信息系統(tǒng)、數(shù)據(jù)庫及操作系統(tǒng)的相關(guān)安全控制如果無效，會增加對數(shù)據(jù)信息非授權(quán)訪問的風(fēng)險，導(dǎo)致系統(tǒng)內(nèi)部數(shù)據(jù)和系統(tǒng)對非授權(quán)交易及不存在交易的記錄遭到破壞；（3）數(shù)據(jù)丟失風(fēng)險或數(shù)據(jù)無法訪問風(fēng)險；（4）不適當(dāng)?shù)娜斯じ深A(yù)，或人為繞過自動控制。

（四）與企業(yè)信息化條件相關(guān)的風(fēng)險偏好可能加大審計風(fēng)險

在影響審計判斷的因素中，執(zhí)行者的風(fēng)險偏好是影響的第一要素。以往的審計模式，在操作規(guī)范上更側(cè)重于程序化，而現(xiàn)代審計多是企業(yè)信息化條件下的風(fēng)險導(dǎo)向?qū)徲?，將審計工作的重心放在了審計主體對風(fēng)險的評估上。由于評估結(jié)果決定了是否承接業(yè)務(wù)，以及業(yè)務(wù)承接后如何在技術(shù)上規(guī)避風(fēng)險，所以這種新的審計模式使注冊會計師在進行專業(yè)判斷時，有了更大的彈性。但判斷的空間越大，受審計主體偏好的影響就越大，同時，實行信息系統(tǒng)的企業(yè)多將復(fù)雜的風(fēng)險評估過程轉(zhuǎn)嫁給審計人員，因而風(fēng)險偏好的影響也就越突出。

三、信息化條件下內(nèi)部控制審計風(fēng)險的評估策略

（一）評價相關(guān)人員及信息系統(tǒng)

評價內(nèi)部審計人員、內(nèi)部控制評價人員和其他相關(guān)人員的專業(yè)勝任能力和客觀性，以及信息系統(tǒng)的適當(dāng)性，可以有效地降低相關(guān)審計風(fēng)險。隨著計算機、網(wǎng)絡(luò)等信息技術(shù)在會計中的廣泛應(yīng)用，一些傳統(tǒng)的核對、計算、存儲等內(nèi)部會計控制方式都被計算機輕而易舉地替代。審計人員應(yīng)當(dāng)測試內(nèi)部控制設(shè)計和運行的有效性，考慮其是否擁有與信息技術(shù)相關(guān)的知識和經(jīng)驗或者是否利用專家的工作。如果某項控制設(shè)計和運行由擁有必要授權(quán)和專業(yè)勝任能力的人員按照規(guī)定的程序與要求執(zhí)行，能夠?qū)崿F(xiàn)控制目標(biāo)，表明該項控制的設(shè)計是有效的，相關(guān)的控制存在重大缺陷的風(fēng)險較低；如果企業(yè)內(nèi)部審計人員、內(nèi)部控制評價人員的信息技術(shù)知識和經(jīng)驗較豐富并且較多客觀地利用這些知識和經(jīng)驗工作，或者雖未有相關(guān)知識和經(jīng)驗但較多地利用具有勝任能力專家的工作并且客觀地評價這些工作過程和結(jié)果，那么當(dāng)外部審計人員利用這些人員的工作時，相關(guān)內(nèi)部控制審計風(fēng)險較低。

（二）選擇自上而下的方法

選擇自上而下的方法并考慮相關(guān)的信息系統(tǒng)控制，審計人員可以逐步找到風(fēng)險的來源。外部審計人員應(yīng)當(dāng)按照自上而下的方法，即從企業(yè)層面控制到業(yè)務(wù)層面控制順序，考慮企業(yè)的信息系統(tǒng)的適當(dāng)性和風(fēng)險。當(dāng)在識別和評價企業(yè)層面的控制風(fēng)險時，應(yīng)當(dāng)把握重要性原則，至少應(yīng)當(dāng)關(guān)注：（1）與內(nèi)部信息系統(tǒng)環(huán)境相關(guān)的控制風(fēng)險；（2）針對董事會、經(jīng)理層凌駕于信息系統(tǒng)控制之上的風(fēng)險而設(shè)計的控制；（3）企業(yè)的風(fēng)險評估過程；（4）對內(nèi)部信息傳遞和財務(wù)報告流程的控制；（5）對控制有效性的內(nèi)部控制監(jiān)督和自我評價。外部審計人員測試業(yè)務(wù)層面控制相關(guān)的風(fēng)險時，應(yīng)當(dāng)把握重要性原則，重點對企業(yè)生產(chǎn)經(jīng)營活動中的重要業(yè)務(wù)與事項的控制進行測試，關(guān)注信息系統(tǒng)在處理一般業(yè)務(wù)時的一致性和與特定業(yè)務(wù)相關(guān)的特定控制。外部審計人員應(yīng)當(dāng)綜合運用詢問、觀察、檢查、穿行測試和重新執(zhí)行等方法識別與業(yè)務(wù)層面相關(guān)的控制風(fēng)險。

（三）有效而又準(zhǔn)確地評價控制缺陷

根據(jù)已有的信息系統(tǒng)流程，通過有效地評價控制缺陷，可以進一步識別和評價相關(guān)風(fēng)險。在評價內(nèi)部控制缺陷時，審計人員應(yīng)首先檢查已有的信息系統(tǒng)流程的缺陷，查明缺陷是設(shè)計缺陷還是運行缺陷，以此追本溯源，進一步全面地識別相關(guān)的控制風(fēng)險。在識別控制缺陷成因后，審計人員還應(yīng)當(dāng)評價其識別的各項內(nèi)部控制缺陷與信息系統(tǒng)的相關(guān)程度，以評價其嚴(yán)重程度，考慮其屬于重大缺陷、重要缺陷還是一般缺陷，以此進一步評價相關(guān)風(fēng)險的嚴(yán)重程度。在確定一項內(nèi)部控制缺陷或多項內(nèi)部控制缺陷的組合是否構(gòu)成重大缺陷時，審計人員應(yīng)當(dāng)評價信息系統(tǒng)補償性控制的影響。在進一步識別或評價相關(guān)風(fēng)險時，如果存在以下跡象時，審計人員應(yīng)當(dāng)考慮可能存在較高的內(nèi)部控制審計風(fēng)險：（1）董事、監(jiān)事和高級管理人員舞弊。（2）企業(yè)更正已經(jīng)公布的財務(wù)報表。（3）審計人員發(fā)現(xiàn)當(dāng)期財務(wù)報表存在重大錯報而內(nèi)部控制運行過程中未能發(fā)現(xiàn)該錯報。（4）企業(yè)審計委員會和內(nèi)部審計機構(gòu)對內(nèi)部控制的監(jiān)督無效。（5）組織結(jié)構(gòu)、業(yè)務(wù)流程和業(yè)務(wù)單元復(fù)雜多變。（6）企業(yè)內(nèi)部控制最近發(fā)生較大變化。（7）相關(guān)法律法規(guī)和行業(yè)狀況發(fā)生較大變化。（8）企業(yè)內(nèi)部和外部缺乏有效的溝通。（9）由于賬務(wù)的規(guī)模和性質(zhì)具有特殊性而易于發(fā)生重大錯報。（10）企業(yè)的經(jīng)營成果、現(xiàn)金流量或財務(wù)狀況與前期相比發(fā)生較大變化。（11）企業(yè)的信息系統(tǒng)與企業(yè)的具體情況不相適應(yīng)。

（四）加強內(nèi)部控制審計報告環(huán)節(jié)及后續(xù)環(huán)節(jié)的風(fēng)險控制

做好審計的綜合分析工作，強化精品意識，提升審計報告的層次和水平是提高審計報告質(zhì)量的關(guān)鍵。應(yīng)做好以下四方面質(zhì)量控制：一是對審計的發(fā)現(xiàn)進行深加工，防止問題定性表面化；二是審計報告立意要高，防止內(nèi)容庸俗化；三是審計結(jié)論要客觀準(zhǔn)確，防止言而無據(jù)；四是審計意見和建議要有可操作性，防止純理論化。審計人員對會計電算化系統(tǒng)進行符合性測試和實質(zhì)性測試后，除對被審計單位會計報表的合理性、公允性、一貫性發(fā)表意見，做出審計結(jié)論外，還要對被審計單位的會計電算化系統(tǒng)的處理功能和內(nèi)部控制進行評價，提出改進意見。在信息化條件下，由于審計記錄載體的轉(zhuǎn)變，對審計證據(jù)、審計檔案的質(zhì)量控制提出了新要求。一是實行電子數(shù)據(jù)保存使用責(zé)任制度。二是加快審計檔案信息化建設(shè)。目前我國境內(nèi)的會計師事務(wù)所還沒有專門的風(fēng)險管理部門，絕大多數(shù)也沒有專門的風(fēng)險管理制度，在風(fēng)險管理方面一般采取三級復(fù)核制度，但三級復(fù)核還僅限于傳統(tǒng)意義上會計重要、重大問題的復(fù)核，對于風(fēng)險的控制還只停留于初級定性判斷階段。從長遠(yuǎn)考慮，本文建議，會計師事務(wù)所應(yīng)該結(jié)合三級復(fù)核制度建立一套全面有效的風(fēng)險管理制度，同時建立風(fēng)險管理檔案，成立風(fēng)險管理部門，設(shè)置風(fēng)險績效考核指標(biāo)。