劉彥軍

（勝利石油管理局 審計中心，山東 東營 257000）

以計算機、網絡為代表的信息技術在各領域的廣泛普及，促使審計環(huán)境發(fā)生了巨大變化。企業(yè)大部分經濟活動的業(yè)務流程已經脫離了手工操作和紙質審批，完全在某個或多個管理信息系統(tǒng)中流轉，紙質的痕跡已經不復存在。同時，隨著信息技術在經濟管理活動中的不斷應用與日益滲透，內部控制審計已經遠遠超出了僅對手工記錄的控制點進行審查的狹窄范圍，正不斷向信息技術領域深入。如果審計人員仍然固守傳統(tǒng)審計的經驗和做法，不懂得掌握和利用信息技術開展審計工作，必然面臨巨大的潛在審計風險。但是，目前審計人員在信息技術條件下開展的內部控制審計過程中還存在內容不清、方法不明、方向模糊等諸多問題和困難，如何規(guī)范、有效地利用信息技術開展內部控制審計已成為迫切需要解決的問題。

一、目前內部控制審計存在的問題和困難

內部控制是指一個單位為了實現其經營目標，保護資產的安全完整，保證會計信息資料的正確可靠，確保經營方針的貫徹執(zhí)行，保證經營活動的經濟性、效率性和效果性而在單位內部采取的自我調整、約束、規(guī)劃、評價和控制的一系列方法、手續(xù)與措施的總稱，包括控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控等五個要素［1］。內部控制審計是指審計部門依據審計工作計劃和內部控制要求，運用規(guī)范的技術和方法對組織及其所屬各單位內部控制設計和運行的有效性所進行的審計及評價活動。在企業(yè)生產經營活動快速信息化的背景下，審計部門開展內部控制審計主要面臨以下問題和困難：

（一）難以對內部控制情況進行全面檢查測試

在傳統(tǒng)的手工操作時，企業(yè)的內部控制情況清晰可見、有據可查。而在信息系統(tǒng)環(huán)境下，內部控制主要依賴于管理信息系統(tǒng)，內部控制環(huán)節(jié)及相關要求融于各管理信息系統(tǒng)中，使審計人員無法通過傳統(tǒng)方法覺察。特別是在進行信息系統(tǒng)設計時如果考慮不周全，系統(tǒng)可能無法判斷出某些數據是否符合邏輯，對不合理的數據可能依舊進行正常處理，同時對錯誤數據的處理產生重復性和連續(xù)性，從而可能導致審計人員作出錯誤的判斷。

（二）難以對內部牽制是否有效進行判斷

在傳統(tǒng)的手工系統(tǒng)下，可以通過建立崗位職責、進行不相容崗位分離以達到內部控制的目的。在信息系統(tǒng)下，一是通過劃分操作員的職責、設置權限和密碼達到人員職責分工；二是通過軟件設計劃分若干子系統(tǒng)或功能模塊實現設置不同的責任中心。由于在信息系統(tǒng)中許多不相容職責相對集中，一方面可能由于不恰當的授權而加大舞弊的風險，另一方面權限設置的重疊或跨越責任中心越權設置，使相應的控制措施有可能失去應有的作用，如果審計人員在實施審計工作時未能及時有效發(fā)現這種弊端，將增加審計風險。

（三）難以對采用的信息系統(tǒng)進行檢查評價

在傳統(tǒng)的手工系統(tǒng)下，審計人員通過檢查內部控制各環(huán)節(jié)的控制文檔來檢查評價其有效性。在信息環(huán)境下，如何應用信息技術檢查企業(yè)應用的各類生產經營管理信息系統(tǒng)，對其本身設計與執(zhí)行的有效性方面還存在內容和方法的模糊認識。

二、應用信息技術開展內部控制審計的內容

2005年，勝利油田分公司根據外部監(jiān)管要求和中國石化股份有限公司統(tǒng)一部署，建立實施了內部控制制度，并在參考中國石化股份有限公司《內部控制手冊》的基礎上制定出《內部控制手冊實施細則》。同期還上線運行了ERP（企業(yè)資源計劃管理系統(tǒng)）。2006年開始，根據內控監(jiān)管要求，勝利油田分公司審計部門分年度獨立實施了內部控制審計項目，結合工作實際經驗，筆者認為應用信息技術開展內部控制審計的主要內容包括：

（一）信息系統(tǒng)管理體制機制情況審查

這是公司層面的審查，主要包括審查企業(yè)是否建立了信息系統(tǒng)風險管理體系，職責是否明確；企業(yè)的主要負責人是否是信息系統(tǒng)風險管理責任人；信息系統(tǒng)的管理制度和內部控制流程是否健全；是否設立專門審計崗位進行信息系統(tǒng)風險審計；各業(yè)務信息系統(tǒng)上線運行后，是否每年定期進行風險評估，內容是否完整，是否在信息技術風險評估后制定風險管理策略、實施風險管理、持續(xù)跟蹤改進等，是否定期向本單位專職部門報送相關信息系統(tǒng)管理信息等；IT戰(zhàn)略規(guī)劃是否科學，是否符合企業(yè)業(yè)務發(fā)展需要。

（二）權限及職責分離類審查

內部控制要求由審計組中ERP－BASIS人員和業(yè)務審計人員共同完成，通過信息系統(tǒng)查詢具有關鍵操作權限的系統(tǒng)用戶清單，如財務人員和物資采購業(yè)務人員等，確定系統(tǒng)用戶是否與其工作職責相符，對比不相容崗位的用戶清單，確定是否存在交叉用戶；獲取接入網絡的外單位用戶清單，是否存在用戶終端接入申請審批表，是否包含安全責任條款，以及是否經所在部門和信息部門批準；是否建立了有效的網絡認證機制，對網絡訪問控制進行統(tǒng)一的管理；獲取人事部門提供的員工離職清單，檢查所有的網絡權限是否均已被刪除。如在對有的企業(yè)物資采購內部控制審計時，就發(fā)現有部分關鍵崗位的業(yè)務人員，由于崗位進行了調動，還保留原有的職責權限，產生了不相容崗位未有效分離的情況，存在較大信息安全風險。

（三）系統(tǒng)配置審查

系統(tǒng)配置審查是指是否按照內控制度要求進行了合適的系統(tǒng)后臺配置。重點審查價格差異和成本費用結轉以及分攤分配的配置情況；是否存在對價格差異應配置成系統(tǒng)自動進行差異分配，而企業(yè)自行配置成人工手動配置，從而到達利用價格差異進行成本隨意調節(jié)，調劑利潤的情況；成本費用結轉是否存在應在規(guī)定的科目內進行結轉，而企業(yè)未在此科目進行結轉，從而達到利用調整結轉科目，規(guī)避考核指標，虛報經營成果的情況。

（四）業(yè)務操作類控制審查

主要是參數控制審計，審計人員要關注企業(yè)是否對信息管理系統(tǒng)的配置參數實施嚴格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞，并根據敏感程度和用途，確定存取權限、方式和授權使用范圍，嚴格審批和登記手續(xù)；結合業(yè)務政策和系統(tǒng)功能選定重點審計參數，檢查參數設置情況，確認參數設置是否正確合規(guī)；查閱參數調整記錄文檔，確認參數是否建立了可追溯機制與軌跡，并重點關注異常參數的調整。

三、應用信息技術開展內部控制審計的主要方法

審計人員應堅持“風險導向和抓重點”的原則，根據企業(yè)生產經營特點和內部控制實際情況，充分借助ERP系統(tǒng)審計抽樣模型，主要采用符合性測試與實質性檢查相結合和穿行測試等方法，輔助采用判斷抽樣、實地查驗等方法開展內部控制審計評價。

（一）穿行測試法

穿行測試法是指運用信息技術穿越整個流程所有關鍵環(huán)節(jié)進行測試，完整了解某項業(yè)務的設計及執(zhí)行情況，并將運行結果與設計要求對比，以發(fā)現業(yè)務的薄弱環(huán)節(jié)和內部控制缺陷的評估評價方法。對于需要進行穿行測試的業(yè)務流程，為保證一定的置信水平和有效控制剩余風險，審計人員應至少隨機抽取3筆業(yè)務進行穿透測試。檢查時應按照內部控制審計業(yè)務流程檢查工作底稿上的穿行測試標識及穿行測試控制點標志，盡量穿透某項業(yè)務內部控制流程，一些穿行測試可以選擇逆向檢查，從已執(zhí)行完畢（例如合同已關閉等）的業(yè)務中選擇樣本，以保證穿透業(yè)務流程。

（二）抽樣法

對采購、銷售、財務、資本支出管理等業(yè)務流程，審計抽樣時要引入重要性標準，重要性標準一般可按照檢查期間內檢查業(yè)務（控制點）所涉及的賬戶或交易總金額乘以5%確定，對于超過重要性標準的業(yè)務要全部進行檢查，對于低于重要性標準的業(yè)務可采用隨機抽樣的辦法進行檢查。對采用ERP系統(tǒng)審計抽樣模型進行控制點抽樣的，必須保留該控制點的抽樣結果截圖，并作為業(yè)務流程底稿的附件。如果檢查區(qū)間實際業(yè)務發(fā)生數少于應檢查樣本數時，以該控制點實際發(fā)生的筆數為檢查樣本數。相關控制點如果未發(fā)生業(yè)務或按照流程規(guī)定沒有執(zhí)行到相應點，可以認定該控制點未發(fā)生相關業(yè)務，則不需采集樣本。對于檢查發(fā)現問題的控制點，必須以判斷抽樣為主擴大抽樣范圍，并進行實質性檢查，深入查實問題的責任、原因以及所涉及期間內的數量和總金額。

（三）實地觀察法

信息環(huán)境下的業(yè)務活動、內部控制執(zhí)行情況、信息設備實物存在環(huán)境、計算機系統(tǒng)實際操作過程、數據備份與存儲實際運行情況等，均可采用觀察法。審計人員可對照審計方案內容實地觀察有關環(huán)境或者有關人員的操作，并結合訪談及有關文檔資料，對網絡、服務器、計算機設備以及有關系統(tǒng)功能或者操作流程進行審查。應用該方法時應注意選擇好時間和地點，并首先確認所觀察對象是否與實際情況一致，做好記錄以應對觀察對象的易失性。

（四）重復執(zhí)行法

審計人員可以借助企業(yè)信息系統(tǒng)的測試系統(tǒng)，通過審查輸入權限、輸入格式、輸入范圍及自動處理等系列輸入控制措施，判斷系統(tǒng)是否對輸入數據的完整性、準確性和唯一性進行了適當控制，分析數據輸入是否符合規(guī)定流程并經過合理授權、審批；通過數據驗證，審查數據輸入錯誤處理功能是否健全有效，包括錯誤提示、跟蹤、報告、處理。該方法主要是檢查內部控制中的預警功能，目的是為了驗證系統(tǒng)中是否配置了相應的預警和提示功能，如供應商的增強功能、物料主數據的增強功能等，如果設置或啟用了此項功能，表明企業(yè)在此控制點上進行了有效控制。

此外，還可以利用計算機輔助審計工具和技術對相關控制點進行審計驗證。在保持審計獨立性、客觀性及職業(yè)技能的質量控制前提下，可利用其他專業(yè)機構的審計結果或組織對信息技術內部控制的自我評估結果等。

四、應用信息技術開展內部控制審計的展望

目前，應用信息技術開展內部控制審計還停留在初級階段，應該看到，技術還比較落后，方法還比較陳舊，效果還不很明顯。在今后很長一段時間內，我們應積極轉變觀念，通過應用新的信息技術對內部控制進行審計，希望能夠達到預期的審計效果，對完善內部控制，加強企業(yè)經營管理，將重點實現以下五個方面的突破：

（一）查找舞弊，創(chuàng)造良好的內部控制環(huán)境

在信息技術條件下，企業(yè)的生產經營活動將更多地依賴各種信息系統(tǒng)的支持。但是，由于信息系統(tǒng)所采用的信息技術存在很大的私密性和較高的技術門檻，大大增加了內外部人員利用信息技術從事非法活動和營私舞弊的可能性，從而相應增加了企業(yè)潛在損失的風險。完善的信息技術系統(tǒng)能準確、全面、及時地為企業(yè)內部監(jiān)督機構提供履行其監(jiān)督職能所需的信息，也為內外部治理機制的完善提供了基礎性支持。通過應用信息技術進行內部控制審計，能夠提升查找實際經營活動和所用信息系統(tǒng)中各種非法活動和舞弊行為的水平，使管理者抓住管理重點，及時做出決策，消除各種非法活動或舞弊行為，有助于改善企業(yè)的治理機制，創(chuàng)造良好的內部控制環(huán)境。

（二）發(fā)現風險，做出有效的風險評估

在信息化環(huán)境下，信息在企業(yè)中的作用越來越重要，信息化環(huán)境促使信息存儲高度集中、單位時間傳遞的信息量大為提高，這些都增加了與信息資產和信息系統(tǒng)相關的風險。如果信息系統(tǒng)、數據倉庫或共享中心受到強電磁干擾、網絡攻擊等計算機犯罪或遭受自然災難的影響，極易造成控制失靈或系統(tǒng)崩潰，一旦重要信息遺失或被竊，都將給企業(yè)帶來難以估量的損失。所以，我們應該把信息技術作為強化內部控制審計的一個有效工具，借助信息技術強大的搜索、計算、分析等功能，及時發(fā)現潛在的風險，進而做出正確的風險評估，有效規(guī)避風險。

（三）挑戰(zhàn)傳統(tǒng)，保證內部控制活動效果

在信息化環(huán)境下，業(yè)務流程的控制標準及要求已經嵌入到企業(yè)的各種經營管理信息系統(tǒng)中，為保證其系統(tǒng)正確性、完整性和安全性，有必要采取包括計算機軟硬件設備、應用系統(tǒng)、數據和相關人員等信息系統(tǒng)組成要素的控制措施。在應用信息技術對內部控制審計后，根據審計評價后的結果，將會對企業(yè)的內部控制在設計的科學性和執(zhí)行的有效性等方面提出新的更高的完善要求，較傳統(tǒng)的內部控制而言，能夠進一步保證控制制度、程序和措施更加全面、深入、有效，進而達到預期的控制目的。

（四）上下聯動，暢通信息和溝通的渠道

通過運用信息技術對內部控制進行審計，將有助于提高內部控制的效率和效果，對內部控制的信息與溝通這一要素產生更為積極有利的影響［2］。一是促進董事會有效履行職責。通過運用信息技術對內部控制進行審計，能夠有效消除董事會與管理層進行信息互換的障礙，有利于董事會與管理層保持信息對稱，全面、完整地獲得所需信息，更為有效地履行其監(jiān)管職責。二是促進管理層與公司員工進行具體和有效的溝通。通過運用信息技術對內部控制進行審計，管理層能夠使員工及時明確其行為預期和責任，更好地履行其領導職責。三是暢通外部信息溝通渠道。通過運用信息技術對內部控制進行審計，能保證企業(yè)與外部信息溝通渠道的暢通，確保企業(yè)的信息系統(tǒng)能獲取和提供外部的事項、活動及環(huán)境有關的信息，同時給客戶、供應商、監(jiān)管部門等外部群體提供必要的信息，為企業(yè)營造一個良好的外部經營環(huán)境。

（五）自動完成，提高日常監(jiān)督的效果和效率

信息技術環(huán)境下，監(jiān)督的重點應該由傳統(tǒng)的事后監(jiān)督轉為事前監(jiān)督與事中監(jiān)督相結合，以事前監(jiān)督為主，側重于信息系統(tǒng)的設計、實施、維護和操作過程等方面，其具體實施可考慮由內部審計部門負責執(zhí)行。借助于信息技術對內部控制的審計，可在全面識別、分析、評估信息系統(tǒng)與經營活動相關風險的基礎上，對能夠使用定量指標評價的控制環(huán)節(jié)和標準，通過進行合理參數配置和定時執(zhí)行檢查程序，實現部分監(jiān)督工作過程的自動化，并且可以通過采用網絡技術實現實時監(jiān)督、遠程監(jiān)督。如果出現達到或超過預警參數設定標準的情況，審計人員可以快速分析查找原因，將問題和風險消滅在萌芽狀態(tài)，防患于未然，從而提高監(jiān)督的效果和效率。

綜上所述，內部控制審計通過應用信息技術，在明確監(jiān)督評價內容和采取適當檢查方法的基礎上，不但能對企業(yè)經營活動控制的有效性進行檢查評價，而且能對企業(yè)有關業(yè)務應用信息系統(tǒng)的規(guī)劃、開發(fā)、運行、維護和管理等方面進行檢查，對系統(tǒng)的安全性、可靠性、有效性以及項目建設的合規(guī)性進行綜合評價，保證企業(yè)各類經營活動、系統(tǒng)建設和運行符合法律法規(guī)及監(jiān)管要求，完善信息化環(huán)境下的內部控制制度，進一步維護資產和資源的安全和完整，增強企業(yè)的生存和競爭能力，為企業(yè)可持續(xù)發(fā)展保駕護航。

［1］胡娟，郭慶.企業(yè)信息化與內部控制關系研究［J］.中南財經政法大學研究生學報：理論研究版，2006，25（7）：61.

［2］孫偉英.信息化環(huán)境下企業(yè)內部控制探討［J］.中國總會計師：理論研究版，2012，12（12）：45-46.