易濱斯

摘要：隨著信息技術的普及，越來越多的企業(yè)利用信息系統(tǒng)來改善管理。但并不是所有的信息系統(tǒng)都能與企業(yè)的內部控制較好地融合。文章立足于內部審計的視角，提出了在信息化環(huán)境下如何對企業(yè)內部控制進行審計，同時指出在信息化環(huán)境下，內部控制審計應當更多關注內部控制與信息系統(tǒng)整合，以體現(xiàn)內部審計的價值。

中圖分類號：F239.4 文獻標識碼：A 文章編號：1002-5812（2016）16-0036-02

關鍵詞：信息化 內部控制 審計

一、前言

隨著信息技術的不斷發(fā)展，越來越多的企業(yè)選擇信息系統(tǒng)以幫助改善經營管理。信息化改變了企業(yè)生產經營模式和信息傳遞方式，為提高業(yè)務運轉與管理效率帶來了可能。然而在實際工作中，許多企業(yè)并未從信息化中獲益，反而受到了信息化的羈絆，這其中企業(yè)內部控制能否在信息化環(huán)境下得以有效整合成為了問題的關鍵。在對企業(yè)內部控制不斷深入研究的過程中，內部控制審計的研究也逐漸增多，其廣度與深度隨著認識與研究程度的不斷加深而不斷擴展。近些年國內學術界對內部控制審計的研究主要集中在以下幾個方面：內部控制審計的作用及影響；內部控制審計的內容及方法；國內外內部控制審計比較研究；內部控制審計與財務報表審計的關系。由此可見，當前內部控制審計的研究雖多，但仍然比較局限：內部控制審計的研究仍然主要集中在財務報告內部控制審計的研究；以實務為基礎的內部控制審計研究較少；以內部審計的審計視角探討內部控制審計如何為企業(yè)管理增效的研究較為罕見。

本文從當前信息化環(huán)境下企業(yè)內部控制常見的現(xiàn)象入手，結合實務案例，探討信息化環(huán)境下內部控制審計的重點及審計方法，以期通過內部審計的力量，促使企業(yè)內部控制在信息化環(huán)境下得以有效整合，為企業(yè)管理增效。

二、信息化環(huán)境下企業(yè)內部控制現(xiàn)狀

在日常的審計過程中，我們常聽到信息系統(tǒng)影響了效率的說法，經過了解發(fā)現(xiàn)，絕大部分問題產生的根源在于企業(yè)內部控制沒有與信息系統(tǒng)控制進行有效整合，從而打亂了正常的業(yè)務流程。在信息化環(huán)境下，企業(yè)內部控制普遍存在以下幾個現(xiàn)象：

（一）認為信息系統(tǒng)能自動解決內部控制問題

企業(yè)在發(fā)展的過程中會遇到各種內部控制問題，比如庫存管理控制問題。如何根據企業(yè)的經營和產品特點，制定適合企業(yè)實際的庫存管理控制是企業(yè)管理人員的職責。然而，不少管理人員認為只要購買一套庫存管理信息系統(tǒng)，問題就能迎刃而解。這是對信息系統(tǒng)的一個普遍錯誤認識。信息系統(tǒng)的流程控制基于傳統(tǒng)的手工控制，是大量人工控制固化在信息系統(tǒng)中。沒有適合企業(yè)實際的內部控制程序，即使購買了信息系統(tǒng)，其也不會發(fā)揮很大作用。

（二）繞過信息系統(tǒng)控制，實行線上一套線下一套

在審計的過程中筆者發(fā)現(xiàn)，企業(yè)對某些業(yè)務的控制存在線上線下不一致的現(xiàn)象，即信息系統(tǒng)中的控制與實際操作控制不一致。比如無計劃采購事項。按照企業(yè)相關管理制度，不允許發(fā)生無計劃采購，因而信息系統(tǒng)中對于無計劃的采購事項是無法生成，各項審批無法進行，采購合同也無法在系統(tǒng)中生成。但在實際工作中，以生產急需、市場急需為由的無計劃采購事項卻時有發(fā)生，采購審批因為無計劃而無法通過信息系統(tǒng)完成，因而需通過線下審批，線下生成合同。

（三）過于信賴信息系統(tǒng)，降低系統(tǒng)運行的必要控制

實際工作中，筆者發(fā)現(xiàn)許多人堅信信息系統(tǒng)的程序化控制不會出錯，因而降低了復核的認真程度。比如財會人員認為固定資產管理系統(tǒng)計提折舊不會出錯。但經過審計發(fā)現(xiàn)，財會人員在錄入固定資產原值時，由于漏點了一個選項，而影響了相當一部分固定資產的折舊計提，而這一錯誤卻長期未被發(fā)現(xiàn)。

三、信息化環(huán)境下內部控制審計的重點

在信息化環(huán)境下，企業(yè)的大部分內部控制被程序化，控制目標、方法、指標被設置在信息系統(tǒng)中，但仍有一部分控制還需要手工完成。因此，在信息化環(huán)境下企業(yè)的內部控制是人工控制與程序控制相結合，在對企業(yè)進行內部控制審計時，應當對總體的內部控制體系建立與執(zhí)行情況進行評估，再對信息系統(tǒng)的內部控制體系進行評價，重點關注內部控制與信息系統(tǒng)的整合情況及例外事項執(zhí)行情況。

（一）關注企業(yè)總體內部控制體系

盡管在信息化環(huán)境下，信息系統(tǒng)取代了一部分人工控制活動，但在進行內部控制審計時，仍應當首先對企業(yè)總體內部控制體系進行審計。通過對企業(yè)總體內部控制體系的了解，審計師能對企業(yè)內部控制環(huán)境有大致的判斷，以進一步確定審計重點及測試范圍。同時通過對企業(yè)各項制度的了解，能全面掌握業(yè)務流程的控制過程。比如在某公司庫存管理內部控制審計中，審計人員了解到該公司定期會對庫房進行盤點，但如何盤點并未作詳細規(guī)定。在與業(yè)務人員訪談中發(fā)現(xiàn)該公司有定期盤點的記錄，但是監(jiān)盤人員并未實際到場監(jiān)盤，卻在盤點清單上簽字。在隨后的審計中，審計人員重點審計了盤點業(yè)務流程，加大審計抽樣，發(fā)現(xiàn)了該公司庫存嚴重不實問題。

（二）關注信息系統(tǒng)的內部控制建設及其執(zhí)行情況

信息系統(tǒng)以控制規(guī)則的方式將企業(yè)的部分內部控制固化下來，但這不意味著對信息系統(tǒng)就可以不設控制。信息系統(tǒng)中的授權規(guī)則、不相容崗位設定規(guī)則、流程設置規(guī)則等都是人工設定，在對信息系統(tǒng)進行輸入輸出過程中也需要遵循一定的控制原則，因而信息系統(tǒng)的內部控制建設不容忽視，其影響著信息系統(tǒng)運行的有效性。對信息系統(tǒng)的內部控制審計，除了關注信息系統(tǒng)設定控制規(guī)則是否與企業(yè)內部控制一致外，還應當關注在應用信息系統(tǒng)過程中的一些人工控制。

此外，審計人員還應當對信息系統(tǒng)的內部控制執(zhí)行情況進行評價。例如某化工生產銷售企業(yè)使用銷售軟件管理銷售訂單。該公司根據市場行情每周確定化工產品的銷售價格，銷售員只能根據當周的銷售價格在系統(tǒng)中制作銷售訂單，同時不允許銷售員在系統(tǒng)中更改銷售價格。在對該銷售業(yè)務進行內部控制審計時，發(fā)現(xiàn)該公司某一時期系統(tǒng)生成的銷售訂單上的價格與該時期化工產品銷售價格文件不一致，再進一步調查發(fā)現(xiàn)，該公司在生成訂單環(huán)節(jié)違規(guī)修改了控制規(guī)則，允許業(yè)務人員在訂單中修改價格。

（三）重點關注例外事項在信息系統(tǒng)的執(zhí)行情況

在企業(yè)的制度里往往對一些特殊的例外的事項進行特別的規(guī)定，這些規(guī)定或是禁止性的或是有特殊的控制程序。在信息化環(huán)境下，業(yè)務人員有可能根據程序控制規(guī)則或漏洞來繞開對例外事項的審查。因而在審計中應當重點關注該類事項，并通過一定的技術方法將其在信息系統(tǒng)中的執(zhí)行情況查找出來。如某公司規(guī)定500萬元以上合同需經母公司審批，同時禁止對合同進行拆分。該公司合同管理系統(tǒng)僅對金額500萬元以上的合同作出篩選，而并未對合同拆分進行判斷控制。審計人員抽取一定時期內該公司500萬元以下的合同，按合同相對人進行篩選，查看是否存在在相同或接近日期向同一供應商采購商品，并且總額超過500萬元的情況，測試發(fā)現(xiàn)該公司存在合同拆分現(xiàn)象。

（四）重點關注企業(yè)內部控制與信息系統(tǒng)的整合情況

審計人員在對企業(yè)內部控制進行審計的過程中，除了對企業(yè)整體內部控制體系及信息系統(tǒng)內部控制體系的建立和執(zhí)行情況進行評價外，還應當對兩者的整合情況進行評價。信息系統(tǒng)與企業(yè)內部控制整合的程度，影響著企業(yè)利用信息系統(tǒng)改善管理的效果。整合程度越高，企業(yè)從信息化中受益越大，管理效率提升越快。反之，則為企業(yè)帶來麻煩。在實務過程中，審計人員可以通過觀察業(yè)務人員應用信息系統(tǒng)的熟練度及深度，訪談業(yè)務人員對信息系統(tǒng)的評價，對比系統(tǒng)應用前后企業(yè)內部控制發(fā)生的變化等方面進行整合評價。

四、信息化環(huán)境下內部控制審計的改進建議

（一）突出內部控制審計增值點，充分體現(xiàn)內部審計價值

企業(yè)在應用信息系統(tǒng)后，其經營模式、組織結構、控制程序等都受到不同程度的影響。如何將這種影響轉化為積極的動力，促進管理效率的提升，就需要企業(yè)內部控制與信息系統(tǒng)進行有效的整合。而在整合的過程中，內部控制審計是有力的監(jiān)督手段。通過內部控制審計，能發(fā)現(xiàn)信息系統(tǒng)控制過程的缺失，企業(yè)內部控制的缺陷，內部控制與信息系統(tǒng)整合過程中的重復控制或控制缺失，幫助企業(yè)完善及優(yōu)化內部控制體系，促進企業(yè)管理的提升。因此審計人員在開展內部控制審計的過程中，應側重于內部控制與信息系統(tǒng)整合效果的評估上，積極與業(yè)務人員、管理人員探討如何優(yōu)化流程與控制，努力促進內部控制與信息系統(tǒng)整合的效果，以體現(xiàn)內部審計的價值。

（二）提升審計人員信息系統(tǒng)審計的專業(yè)技能

信息化環(huán)境下，部分的信息都存儲在系統(tǒng)中，數(shù)據的篩選、處理、分析、評價都對審計人員提出了較高的要求。此外在實務操作中審計人員需要熟悉信息系統(tǒng)審計的內容及使用信息系統(tǒng)審計的方法。因而審計人員需要加強信息系統(tǒng)審計的專業(yè)知識培訓，通過提升專業(yè)技能，增強內部控制審計的能力，從而能更好地為企業(yè)提供增值服務。

五、結語

當前國內內部控制審計主要以《企業(yè)內部控制審計指引》作為審計規(guī)范，其審計視角更多的立足于獨立外部審計，且審計目的更多的在于確保財務報告可靠性。而對于企業(yè)內部審計而言，審計的視角不僅僅在于查錯，更多應關注的是如何為企業(yè)提供增值服務，為企業(yè)科學健康發(fā)展保駕護航。內部控制審計能很好地體現(xiàn)內部審計的這種價值。本文立足于內部審計的視角，提出了在信息化環(huán)境下如何對企業(yè)內部控制進行審計，同時指出了在信息化環(huán)境下，內部控制審計應當更多關注內部控制與信息系統(tǒng)整合，以體現(xiàn)內部審計的價值。J

參考文獻：

[1]廖亮亮，葉松勤，王婷.信息化條件下內部控制審計風險探析[J].商業(yè)會計，2013，（22）：23-24.

[2]楊光.信息化環(huán)境下如何開展企業(yè)風險管理內部審計[J].財會月刊，2008，（09）：98-99.

[3]張紅英.計算機信息系統(tǒng)環(huán)境下內部控制的審計[J].湖北審計，2001，（01）：16-17.

[4]趙紅梅.IT環(huán)境下企業(yè)會計信息系統(tǒng)的內部控制研究[D].昆明理工大學，2006.