信息化条件下内部控制审计风险探析

摘要：本文主要围绕信息化对内部控制审计过程中审计风险的影响，就审计信息化对提升内部控制审计风险评估及风险应对的重要作用进行分析，指出现阶段信息系统的优点以及应用和发展中存在的问题，进而利用审计信息化，以提出提高内部控制审计中风险评估和风险应对的效率和效果的措施。

关键词：审计信息化；内部控制审计；审计风险内部控制审计，是指会计师事务所接受企业委托，对企业特定基准日内部控制设计与运行的有效性进行审计，并对内部控制的有效性发表意见。而所谓信息化就是把以电子计算机为代表的现代化数据处理工具和以信息论、系统论、数据库以及计算机网络等新兴理论和技术应用于会计核算和财务管理工作中以提高财务管理水平和经济效益，进而实现会计工作的现代化。在新的形势下，电算化会计信息系统对审计风险的影响和审计应采取的风险评估和风险应对对策成了需要研究的一个重要课题。

一、与信息化条件下相关的内部控制要素的现状

（一）控制环境的现状。信息技术使公司内部控制环境发生以下的变化：首先，内部控制层次明显减少，岗位更加精简。其次，信息化对公司管理者的素质提出了更高的要求。另一方面，信息技术在企业的广泛应用，不仅改变了传统手工数据处理方式，而且触发了企业管理模式、生产方式、交易方式、作业流程的变革。

（二）风险评估过程的现状。在公司信息化环境下，业务流程的自动化降低了业务处理过程中源于人员疏漏或舞弊的风险，如果信息系统失灵或崩溃，重要信息被窃，都将给公司带来不可估量的损失。信息技术环境下，风险变得更加复杂，其相应的危害性也更加严重。

（三）控制活动的现状。控制活动是企业为了保证指令得到实施而制定并执行的控制政策和程序，是针对实现组织目标所涉及的风险而采取的必要防范或减少损失的措施。随着计算机使用范围的扩大，利用计算机进行的贪污、舞弊、诈骗等犯罪活动有所增加。 （四）信息与沟通的现状。一个良好的信息沟通系统不仅要有向下的沟通管道，还应有向上的、横向的以及对外界的信息沟通管道。网络衔接企业各职能部门，实现会计和业务的一体化处理，使会计核算从事后的静态核算转变为事中的动态核算，信息需求者可以获取实时信息，使得工作在空间和时间上的接近不再是至关重要的问题，这样，内部控制可以由顺序化向并行化发展。

二、信息化条件下内部控制审计存在的风险问题

（一）审计人员在信息化条件下的能力不足。审计的职责就是对会计信息使用人履行其应尽的义务，审计风险对审计人员来讲是一条无形的标准，它能有效地保护会计信息使用人的利益，监督企业管理人员更加有效地管理好企业的经营活动。从我国目前情况来看，审计工作质量还不尽如人意，审计风险已造成巨额的赔偿损失，如果我们也能从立法的角度来看待审计风险的责任，就能十分有效地提高我国的会计工作与审计工作的质量。

（二）企业内部信息系统的环境可能存在安全问题。任何机构的内部控制环境均离不开信息系统的安全政策、标准和指南。息系统安全政策是对机构在信息系统的控制与安全方面的全面描述。如果机构内部尚不具有适当的信息系统安全政策，那么这将是是其内部控制的一个相当薄弱的环节，其所面临的风险是相当严重的。

（三）企业战略目标在信息系统中的传达过程可能产生风险。企业战略目标已经成为决定企业竞争成败的关键与核心问题之一，是企业在市场经济、竞争激烈的环境中，在总结历史经验、调查现状、预测未来的基础上，为谋求生存和发展而做出的长远性、全局性的谋划或方案。因此，企业战略目标在信息系统中的传达不可避免地与会计信息系统有效性密切相关。？

三、信息化条件下内部控制审计风险的评估策略探析

（一）评价相关人员及信息系统。评价内部审计人员、内部控制评价人员和其他相关人员的专业胜任能力和客观性，以及信息系统的适当性，可以有效地降低相关审计风险。在评价他人的专业胜任能力时，外部审计人员应当考虑其专业资格、职业经验与技能等相关因素。在评价他人的客观性时，外部审计人员应当考虑是否存在某些因素，将削弱或者增强其客观性。

（二）选择自上而下的方法。选择自上而下的方法并且考虑相关的信息系统控制，审计人员可以逐步找到风险的来源。当在识别和评价企业层面的控制风险时，应当把握重要性原则。外部审计人员应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法识别与业务层面相关的控制的风险。

（三）有效而又准确地评价控制缺陷。根据已有的信息系统流程，通过有效而又准确地评价控制缺陷，可以进一步识别和评价相关风险。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。审计人员应当考虑信息系统和相关人员相结合处理这些情况的有效性，进而较为准确地识别和评价审计风险。

四、信息化条件下内部控制审计风险的应对策略探析

（一）采取预防性的总体应对措施。加强对在职审计人员电算化应用水平的培训，同时加快和财经类高校联合办班，专门培养复合型知识结构的审计系统开发人员，使他们成为电算化审计的专业技术人员

（二）在内部控制审计整个过程中强化风险防范意识。一方面，评价企业的内部控制能在多大程度上确保会计电算化系统中会计记录的正确性和可靠性；另一方面，评价内部控制的有效执行能在多大程度上保护资产的完整性。通过以上两方面的评价，可以判断企业内部控制系统能在何种程度上防止或发现会计报表中的错误及经营过程的舞弊。

（三）加强内部控制审计报告环节以及后续环节的风险控制

做好审计发现问题的综合分析工作，强化精品意识，提升审计报告的层次和水平是提高审计报告质量的关键。应该好以下四方面质量控制：一是对审计发现进行深加工，防止问题定性表面化；二是审计报告立意要高，防止内容庸俗化；三是审计结论要客观准确，防止言而无据；四是提出的审计意见和建议要有可操作性，防止纯理论化。

本文建议，事务所应该结合三级复核制度建立一套全面有效的风险管理制度，同时建立风险管理档案、成立风险管理部门，设置风险绩效考核指标，对风险实行实时监督和控制，并按审计事项对审计风险进行分类整理和综合分析，以对未来审计事项提供参考和预警。（作者单位：江西财经大学）

参考文献：

[1]相新江，2006：《论信息化应用中审计风险及应对措施》，《科技情报开发与经济》。

[2]陈朝，2006：《我国信息化建设中信息系统审计问题研究》，东北师范大学出版社。

[3]肖敏，2008：《审计信息化的审计软件过程度量的研究》，《审计月刊》第2期。