(溫州大學(xué)城市學(xué)院 浙江溫州325035)
從我國目前發(fā)布的相關(guān)規(guī)范來看,《企業(yè)內(nèi)部控制評價指引》專門針對的是由企業(yè)董事會和管理層的工作,《內(nèi)部審計具體準則第28號——信息系統(tǒng)審計》是用來指導(dǎo)內(nèi)部審計師開展信息系統(tǒng)審計;而《企業(yè)內(nèi)部控制審計指引》和《中國注冊會計師審計準則》則是用來指導(dǎo)注冊會計師進行內(nèi)部控制審計。它們的要求各有側(cè)重,但在實質(zhì)性的內(nèi)容上卻殊途同歸。下面我們分別進行介紹。
《內(nèi)部審計具體準則第28號——信息系統(tǒng)審計》指出,信息系統(tǒng)審計,是指由組織內(nèi)部審計機構(gòu)及人員對信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程開展的一系列綜合檢查、評價與報告活動。該準則適用于各類組織的內(nèi)部審計機構(gòu)、內(nèi)部審計人員及其從事的信息系統(tǒng)審計活動。
信息技術(shù)風(fēng)險評估師確定信息系統(tǒng)審計內(nèi)容的前提。在進行信息系統(tǒng)審計時,審計人員應(yīng)當識別組織所面臨的與信息技術(shù)相關(guān)的內(nèi)、外部風(fēng)險,并采用適當?shù)娘L(fēng)險評估技術(shù)與方法,分析及評價其發(fā)生的可能性及影響程度,為確定審計目標、范圍和方法提供依據(jù)。信息技術(shù)風(fēng)險是指組織在信息處理和信息技術(shù)運用過程中產(chǎn)生的、可能影響組織目標實現(xiàn)的各種不確定因素。信息技術(shù)風(fēng)險包括組織層面的信息技術(shù)風(fēng)險、一般性控制層面的信息技術(shù)風(fēng)險及業(yè)務(wù)流程層面的信息技術(shù)風(fēng)險等。相應(yīng)的,信息系統(tǒng)審計包括對組織層面信息技術(shù)控制、信息技術(shù)一般性控制及業(yè)務(wù)流程層面相關(guān)應(yīng)用控制的審計。
審計人員在識別、評估組織層面、一般性控制層面的信息技術(shù)風(fēng)險時需要關(guān)注以下幾方面:業(yè)務(wù)關(guān)注度,即組織的信息技術(shù)戰(zhàn)略與組織整體發(fā)展戰(zhàn)略規(guī)劃的契合度以及信息技術(shù) (包括硬件及軟件環(huán)境)對業(yè)務(wù)和用戶需求的支持度;信息資產(chǎn)的重要性;對信息技術(shù)的依賴程度;對信息技術(shù)部門人員的依賴程度;對外部信息技術(shù)服務(wù)的依賴程度;信息系統(tǒng)及其運行環(huán)境的安全性、可靠性;信息技術(shù)變更;法律規(guī)范環(huán)境;其他。
1.組織層面的信息技術(shù)控制。組織層面信息技術(shù)控制是指管理層及治理層對信息技術(shù)治理職能及內(nèi)部控制的重要性的態(tài)度、認識和措施,審計人員應(yīng)考慮以下控制要素中與信息技術(shù)相關(guān)的內(nèi)容:(1)控制環(huán)境。審計人員應(yīng)關(guān)注該組織的信息技術(shù)戰(zhàn)略規(guī)劃對業(yè)務(wù)戰(zhàn)略規(guī)劃的契合度、IT治理制度體系的建設(shè)、信息技術(shù)部門的組織結(jié)構(gòu)和關(guān)系、信息技術(shù)治理相關(guān)職權(quán)與責(zé)任的分配、信息技術(shù)人力資源管理、對用戶的信息技術(shù)教育和培訓(xùn)等方面。(2)風(fēng)險評估。審計人員應(yīng)關(guān)注組織的風(fēng)險評估的總體架構(gòu)中信息技術(shù)風(fēng)險管理的框架、流程和執(zhí)行情況、信息資產(chǎn)的分類以及信息資產(chǎn)所有者的職責(zé)等方面。(3)信息與溝通。審計人員應(yīng)關(guān)注組織的信息系統(tǒng)架構(gòu)及其對財務(wù)、業(yè)務(wù)流程的支持度、管理層及治理層的信息溝通模式、信息技術(shù)政策、信息安全制度的傳達與溝通等方面。(4)監(jiān)控。審計人員應(yīng)關(guān)注組織的監(jiān)控管理報告系統(tǒng)、監(jiān)控反饋、跟蹤處理程序以及組織對信息技術(shù)內(nèi)部控制的自我評估機制等方面。
2.信息技術(shù)一般性控制。信息技術(shù)一般性控制是指與網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)及其相關(guān)人員有關(guān)的信息技術(shù)政策和措施,以確保信息系統(tǒng)持續(xù)穩(wěn)定的運行,支持應(yīng)用控制的有效性。對信息技術(shù)一般性控制的審計應(yīng)考慮以下控制活動:(1)信息安全管理。審計人員應(yīng)關(guān)注組織的信息安全管理政策,物理訪問及針對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的身份認證和邏輯訪問管理機制,系統(tǒng)設(shè)置的職責(zé)分離控制等。(2)系統(tǒng)變更管理。審計人員應(yīng)關(guān)注組織的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的變更、參數(shù)設(shè)置變更的授權(quán)與審批,變更測試,變更移植到生產(chǎn)環(huán)境的流程控制等。(3)系統(tǒng)開發(fā)和采購管理。審計人員應(yīng)關(guān)注組織的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的開發(fā)和采購的授權(quán)審批,系統(tǒng)開發(fā)的方法論,開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境嚴格分離情況,系統(tǒng)的測試、審核、移植到生產(chǎn)環(huán)境等環(huán)節(jié)。(4)系統(tǒng)運行管理。審計人員應(yīng)關(guān)注組織的信息技術(shù)資產(chǎn)管理、系統(tǒng)容量管理、系統(tǒng)物理環(huán)境控制,系統(tǒng)和數(shù)據(jù)備份及恢復(fù)管理,問題管理和系統(tǒng)的日常運行管理等。
業(yè)務(wù)流程層面的信息技術(shù)風(fēng)險受行業(yè)背景、業(yè)務(wù)流程的復(fù)雜程度、上述組織層面及一般性控制層面的控制有效性等因素的影響而存在差異。一般而言,審計人員應(yīng)了解業(yè)務(wù)流程并關(guān)注以下幾方面信息技術(shù)風(fēng)險:數(shù)據(jù)輸入,數(shù)據(jù)處理,數(shù)據(jù)輸出。
業(yè)務(wù)流程層面應(yīng)用控制是指在業(yè)務(wù)流程層面為了合理保證應(yīng)用系統(tǒng)準確、完整、及時完成業(yè)務(wù)數(shù)據(jù)的生成、記錄、處理、報告等功能而設(shè)計、執(zhí)行的信息技術(shù)控制。對業(yè)務(wù)流程層面應(yīng)用控制的審計應(yīng)考慮以下與數(shù)據(jù)輸入、數(shù)據(jù)處理以及數(shù)據(jù)輸出環(huán)節(jié)相關(guān)的控制活動:授權(quán)與批準;系統(tǒng)配置控制;異常情況報告和差錯報告;接口/轉(zhuǎn)換控制;一致性核對;職責(zé)分離;系統(tǒng)訪問權(quán)限;系統(tǒng)計算;其他。
信息系統(tǒng)審計除上述常規(guī)的審計內(nèi)容外,審計人員還可以根據(jù)組織當前面臨的特殊風(fēng)險或需求,設(shè)計專項審計以滿足審計戰(zhàn)略,具體包括但不限于下列領(lǐng)域:信息系統(tǒng)開發(fā)實施項目的專項審計;信息系統(tǒng)安全專項審計;信息技術(shù)投資專項審計;業(yè)務(wù)連續(xù)性計劃的專項審計;外包條件下的專項審計;法律法規(guī)、行業(yè)規(guī)范要求的內(nèi)部控制的合規(guī)性的專項審計;其他專項審計。
我國目前指導(dǎo)注冊會計師開展內(nèi)部控制審計的規(guī)范包括 《中國注冊會計師審計準則》、《企業(yè)內(nèi)部控制基本規(guī)范》、《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制評價指引》、《企業(yè)內(nèi)部控制審計指引》、《中國注冊會計師鑒證業(yè)務(wù)基本準則》及相關(guān)執(zhí)業(yè)準則。
我國的 《企業(yè)內(nèi)部控制基本規(guī)范》要求所有的上市公司,對內(nèi)部控制的有效性進行自我評價,披露年度自我評價報告,并可聘請會計師事務(wù)所對內(nèi)部控制的有效性進行審計?!镀髽I(yè)內(nèi)部控制審計指引》指出,建立健全和有效實施內(nèi)部控制,評價內(nèi)部控制的有效性是企業(yè)董事會的責(zé)任。按照該指引的要求,在實施審計工作的基礎(chǔ)上對內(nèi)部控制的有效性發(fā)表審計意見,是注冊會計師的責(zé)任。注冊會計師可以單獨進行內(nèi)部控制審計,也可以將內(nèi)部控制審計與財務(wù)報表審計進行整合審計。在整合審計中,注冊會計師應(yīng)當對內(nèi)部控制設(shè)計與運行的有效性進行測試,以同時實現(xiàn)下列目標:1.獲取充分、適當?shù)淖C據(jù),支持其在內(nèi)部控制審計中對內(nèi)部控制有效性發(fā)表的意見;2.獲取充分、適當?shù)淖C據(jù),支持其在財務(wù)報表審計中對控制風(fēng)險的評估結(jié)果。由于信息系統(tǒng)是內(nèi)部控制進行集成、轉(zhuǎn)化和提升所形成的信息化管理平臺,已經(jīng)嵌入了企業(yè)的生產(chǎn)經(jīng)營管理業(yè)務(wù)流程、關(guān)鍵控制點和處理規(guī)則,財務(wù)報表中的數(shù)據(jù)都是由信息系統(tǒng)來生成。所以,在信息化環(huán)境下,注冊會計師需要對信息系統(tǒng)中內(nèi)部控制設(shè)計與運行的有效性進行測試。
中國注冊會計師審計準則第1211號《了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險》對所需要進行測試的信息系統(tǒng)進行了界定,將這部分信息系統(tǒng)稱為與財務(wù)報告相關(guān)的信息系統(tǒng)(也就是本文所說的會計信息系統(tǒng)),它包括用以生成、記錄、處理和報告交易、事項和情況,對相關(guān)資產(chǎn)、負債和所有者權(quán)益履行經(jīng)營管理責(zé)任的程序和記錄。與財務(wù)報告相關(guān)的信息系統(tǒng)所生成信息的質(zhì)量,對管理層能否編制可靠的財務(wù)報告具有重大影響,它通常包括下列職能:(1)識別與記錄所有的有效交易;(2)及時、詳細地描述交易,以便在財務(wù)報告中對交易作出恰當分類;(3)恰當計量交易,以便在財務(wù)報告中對交易的金額作出準確記錄;(4)恰當確定交易生成的會計期間;(5)在財務(wù)報表中恰當列報交易。
《企業(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng)》指出,企業(yè)利用信息系統(tǒng)實施內(nèi)部控制至少應(yīng)當關(guān)注下列風(fēng)險:(1)信息系統(tǒng)缺乏或規(guī)劃不合理,可能造成信息孤島或重復(fù)建設(shè),導(dǎo)致企業(yè)經(jīng)營管理效率低下;(2)系統(tǒng)開發(fā)不符合內(nèi)部控制要求,授權(quán)管理不當,可能導(dǎo)致無法利用信息技術(shù)實施有效控制;(3)系統(tǒng)運行維護和安全措施不到位,可能導(dǎo)致信息泄漏或毀損,系統(tǒng)無法正常運行。
中國注冊會計師審計準則第1211號《了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險》要求注冊會計師應(yīng)當從下列方面了解信息技術(shù)對內(nèi)部控制產(chǎn)生的特定風(fēng)險:(1)系統(tǒng)或程序未能正確處理數(shù)據(jù),或處理了不正確的數(shù)據(jù),或兩種情況同時并存;(2)在未得到授權(quán)情況下訪問數(shù)據(jù),可能導(dǎo)致數(shù)據(jù)的毀損或?qū)?shù)據(jù)不恰當?shù)男薷?,包括記錄未?jīng)授權(quán)或不存在的交易,或不正確地記錄了交易;(3)信息技術(shù)人員可能獲得超越其履行職責(zé)以外的數(shù)據(jù)訪問權(quán)限,破壞了系統(tǒng)應(yīng)有的職責(zé)分工;(4)經(jīng)授權(quán)改變主文檔的數(shù)據(jù);(5)經(jīng)授權(quán)改變系統(tǒng)或程序;(6)能對系統(tǒng)或程序作出必要的修改;(7)恰當?shù)娜藶楦深A(yù);(8)數(shù)據(jù)丟失的風(fēng)險或不能訪問所需要的數(shù)據(jù)??梢?,《企業(yè)內(nèi)部控制應(yīng)用指引》關(guān)注的是實施過程中的風(fēng)險,而《了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險》所關(guān)注的是運行過程中的風(fēng)險。
中國注冊會計師審計準則第1211號《了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險》指出,在被審計單位對日常交易采用高度自動化處理的情況下,審計證據(jù)可能僅以電子形式存在,其充分性和適當性通常取決于自動化信息系統(tǒng)相關(guān)控制的有效性,注冊會計師應(yīng)當考慮僅通過實施實質(zhì)性程序不能獲取充分、適當審計證據(jù)的可能性。如果認為僅通過實施實質(zhì)性程序不能獲取充分、適當?shù)膶徲嬜C據(jù),注冊會計師應(yīng)當考慮依賴的相關(guān)控制的有效性。
《了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險》要求,注冊會計師應(yīng)當從下列方面了解與財務(wù)報告相關(guān)的信息系統(tǒng):(1)在被審計單位經(jīng)營過程中,對財務(wù)報表具有重大影響的各類交易;(2)在信息技術(shù)和人工系統(tǒng)中,對交易生成、記錄、處理和報告的程序;(3)與交易生成、記錄、處理和報告有關(guān)的會計記錄、支持性信息和財務(wù)報表中的特定項目;(4)信息系統(tǒng)如何獲取除各類交易之外的對財務(wù)報表具有重大影響的事項和情況;(5)被審計單位編制財務(wù)報告的過程,包括作出的重大會計估計和披露。
由于被審計單位利用互聯(lián)網(wǎng)進行電子商務(wù)活動對企業(yè)原有的內(nèi)部控制造成了沖擊,中國注冊會計師審計準則第1633號《電子商務(wù)對財務(wù)報表審計的影響》特別規(guī)定了注冊會計師在進行審計時應(yīng)該關(guān)注電子商務(wù)對被審計單位內(nèi)部控制造成的影響,并指出,在某些情況下,僅依靠實施實質(zhì)性程序不足以將審計風(fēng)險降至可接受的低水平,注冊會計師應(yīng)當實施控制測試,并考慮使用計算機輔助審計技術(shù)。注冊會計師應(yīng)當重點關(guān)注與電子商務(wù)相關(guān)的安全性控制、交易完備性控制和流程整合。
《了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險》要求注冊會計師應(yīng)當了解與信息處理有關(guān)的控制活動,包括信息技術(shù)一般控制和應(yīng)用控制。信息技術(shù)一般控制是指與多個應(yīng)用系統(tǒng)有關(guān)的政策和程序,有助于保證信息系統(tǒng)持續(xù)恰當?shù)剡\行 (包括信息的完整性和數(shù)據(jù)的安全性),支持應(yīng)用控制作用的有效發(fā)揮,通常包括數(shù)據(jù)中心和網(wǎng)絡(luò)運行控制,系統(tǒng)軟件的購置、修改及維護控制,接觸或訪問權(quán)限控制,應(yīng)用系統(tǒng)的購置、開發(fā)及維護控制。信息技術(shù)應(yīng)用控制是指主要在業(yè)務(wù)流程層次運行的人工或自動化程序,與用于生成、記錄、處理、報告交易或其他財務(wù)數(shù)據(jù)的程序相關(guān),通常包括檢查數(shù)據(jù)計算準確性,審核賬戶和試算平衡表,設(shè)置對輸入數(shù)據(jù)和數(shù)字序號的自動檢查,以及對例外報告進行人工干預(yù)。
《企業(yè)內(nèi)部控制審計指引》要求注冊會計師按照自上而下的方法實施審計工作。自上而下的方法是注冊會計師識別風(fēng)險、選擇擬測試控制的基本思路。注冊會計師在實施審計工作時,可以將企業(yè)層面控制和業(yè)務(wù)層面控制的測試結(jié)合進行。《企業(yè)內(nèi)部控制審計指引》指出,注冊會計師測試企業(yè)層面控制,應(yīng)當把握重要性原則,至少應(yīng)當關(guān)注:(1)與內(nèi)部環(huán)境相關(guān)的控制;(2)針對董事會、經(jīng)理層凌駕于控制之上的風(fēng)險而設(shè)計的控制;(3)企業(yè)的風(fēng)險評估過程;(4)對內(nèi)部信息傳遞和財務(wù)報告流程的控制;(5)對控制有效性的內(nèi)部監(jiān)督和自我評價。注冊會計師測試業(yè)務(wù)層面控制,應(yīng)當把握重要性原則,結(jié)合企業(yè)實際、企業(yè)內(nèi)部控制各項應(yīng)用指引的要求和企業(yè)層面控制的測試情況,重點對企業(yè)生產(chǎn)經(jīng)營活動中的重要業(yè)務(wù)與事項的控制進行測試。
綜上所述,內(nèi)部審計師開展的信息系統(tǒng)審計和注冊會計師需要進行的會計信息系統(tǒng)審計,雖然在目的上存在著顯著差異。前者對組織是否達成信息技術(shù)管理目標進行綜合評價,并基于評價意見提出管理意見;后者是為財務(wù)報表審計服務(wù),是對被審計單位會計報表的合法性、公允性及會計處理方法的一貫性發(fā)表意見。從上面對兩者審計內(nèi)容的闡釋來看,如果將內(nèi)部審計人員進行審計的信息系統(tǒng)限定為會計信息系統(tǒng),而非企業(yè)內(nèi)部綜合信息系統(tǒng),那么內(nèi)部審計師與注冊會計師對信息系統(tǒng)審計的內(nèi)容并無多大差異。所以,中國注冊會計審計準則第1411號《考慮內(nèi)部審計工作》提出,“內(nèi)部審計和注冊會計師審計用以實現(xiàn)各自目標的某些手段通常是相似的,注冊會計師應(yīng)當考慮內(nèi)部審計工作的某些方面是否有助于確定審計程序的性質(zhì)、時間和范圍”?!坝行У膬?nèi)部審計通常有助于注冊會計師修改審計程序的性質(zhì)和時間,并縮小實施審計程序的范圍,但不能完全取代注冊會計師應(yīng)當實施的審計程序”?!镀髽I(yè)內(nèi)部控制審計指引》也指出,注冊會計師應(yīng)當對企業(yè)內(nèi)部控制自我評價工作進行評估,判斷是否利用企業(yè)內(nèi)部審計人員、內(nèi)部控制評價人員和其他相關(guān)人員的工作以及可利用的程度,相應(yīng)減少可能本應(yīng)由注冊會計師執(zhí)行的工作。