基于信息化条件的内部控制审计

摘要：随着信息技术的普及，越来越多的企业利用信息系统来改善管理。但并不是所有的信息系统都能与企业的内部控制较好地融合。文章立足于内部审计的视角，提出了在信息化环境下如何对企业内部控制进行审计，同时指出在信息化环境下，内部控制审计应当更多关注内部控制与信息系统整合，以体现内部审计的价值。

中图分类号：F239.4 文献标识码：A 文章编号：1002-5812（2016）16-0036-02

关键词：信息化 内部控制 审计

一、前言

随着信息技术的不断发展，越来越多的企业选择信息系统以帮助改善经营管理。信息化改变了企业生产经营模式和信息传递方式，为提高业务运转与管理效率带来了可能。然而在实际工作中，许多企业并未从信息化中获益，反而受到了信息化的羁绊，这其中企业内部控制能否在信息化环境下得以有效整合成为了问题的关键。在对企业内部控制不断深入研究的过程中，内部控制审计的研究也逐渐增多，其广度与深度随着认识与研究程度的不断加深而不断扩展。近些年国内学术界对内部控制审计的研究主要集中在以下几个方面：内部控制审计的作用及影响；内部控制审计的内容及方法；国内外内部控制审计比较研究；内部控制审计与财务报表审计的关系。由此可见，当前内部控制审计的研究虽多，但仍然比较局限：内部控制审计的研究仍然主要集中在财务报告内部控制审计的研究；以实务为基础的内部控制审计研究较少；以内部审计的审计视角探讨内部控制审计如何为企业管理增效的研究较为罕见。

本文从当前信息化环境下企业内部控制常见的现象入手，结合实务案例，探讨信息化环境下内部控制审计的重点及审计方法，以期通过内部审计的力量，促使企业内部控制在信息化环境下得以有效整合，为企业管理增效。

二、信息化环境下企业内部控制现状

在日常的审计过程中，我们常听到信息系统影响了效率的说法，经过了解发现，绝大部分问题产生的根源在于企业内部控制没有与信息系统控制进行有效整合，从而打乱了正常的业务流程。在信息化环境下，企业内部控制普遍存在以下几个现象：

（一）认为信息系统能自动解决内部控制问题

企业在发展的过程中会遇到各种内部控制问题，比如库存管理控制问题。如何根据企业的经营和产品特点，制定适合企业实际的库存管理控制是企业管理人员的职责。然而，不少管理人员认为只要购买一套库存管理信息系统，问题就能迎刃而解。这是对信息系统的一个普遍错误认识。信息系统的流程控制基于传统的手工控制，是大量人工控制固化在信息系统中。没有适合企业实际的内部控制程序，即使购买了信息系统，其也不会发挥很大作用。

（二）绕过信息系统控制，实行线上一套线下一套

在审计的过程中笔者发现，企业对某些业务的控制存在线上线下不一致的现象，即信息系统中的控制与实际操作控制不一致。比如无计划采购事项。按照企业相关管理制度，不允许发生无计划采购，因而信息系统中对于无计划的采购事项是无法生成，各项审批无法进行，采购合同也无法在系统中生成。但在实际工作中，以生产急需、市场急需为由的无计划采购事项却时有发生，采购审批因为无计划而无法通过信息系统完成，因而需通过线下审批，线下生成合同。

（三）过于信赖信息系统，降低系统运行的必要控制

实际工作中，笔者发现许多人坚信信息系统的程序化控制不会出错，因而降低了复核的认真程度。比如财会人员认为固定资产管理系统计提折旧不会出错。但经过审计发现，财会人员在录入固定资产原值时，由于漏点了一个选项，而影响了相当一部分固定资产的折旧计提，而这一错误却长期未被发现。

三、信息化环境下内部控制审计的重点

在信息化环境下，企业的大部分内部控制被程序化，控制目标、方法、指标被设置在信息系统中，但仍有一部分控制还需要手工完成。因此，在信息化环境下企业的内部控制是人工控制与程序控制相结合，在对企业进行内部控制审计时，应当对总体的内部控制体系建立与执行情况进行评估，再对信息系统的内部控制体系进行评价，重点关注内部控制与信息系统的整合情况及例外事项执行情况。

（一）关注企业总体内部控制体系

尽管在信息化环境下，信息系统取代了一部分人工控制活动，但在进行内部控制审计时，仍应当首先对企业总体内部控制体系进行审计。通过对企业总体内部控制体系的了解，审计师能对企业内部控制环境有大致的判断，以进一步确定审计重点及测试范围。同时通过对企业各项制度的了解，能全面掌握业务流程的控制过程。比如在某公司库存管理内部控制审计中，审计人员了解到该公司定期会对库房进行盘点，但如何盘点并未作详细规定。在与业务人员访谈中发现该公司有定期盘点的记录，但是监盘人员并未实际到场监盘，却在盘点清单上签字。在随后的审计中，审计人员重点审计了盘点业务流程，加大审计抽样，发现了该公司库存严重不实问题。

（二）关注信息系统的内部控制建设及其执行情况

信息系统以控制规则的方式将企业的部分内部控制固化下来，但这不意味着对信息系统就可以不设控制。信息系统中的授权规则、不相容岗位设定规则、流程设置规则等都是人工设定，在对信息系统进行输入输出过程中也需要遵循一定的控制原则，因而信息系统的内部控制建设不容忽视，其影响着信息系统运行的有效性。对信息系统的内部控制审计，除了关注信息系统设定控制规则是否与企业内部控制一致外，还应当关注在应用信息系统过程中的一些人工控制。

此外，审计人员还应当对信息系统的内部控制执行情况进行评价。例如某化工生产销售企业使用销售软件管理销售订单。该公司根据市场行情每周确定化工产品的销售价格，销售员只能根据当周的销售价格在系统中制作销售订单，同时不允许销售员在系统中更改销售价格。在对该销售业务进行内部控制审计时，发现该公司某一时期系统生成的销售订单上的价格与该时期化工产品销售价格文件不一致，再进一步调查发现，该公司在生成订单环节违规修改了控制规则，允许业务人员在订单中修改价格。

（三）重点关注例外事项在信息系统的执行情况

在企业的制度里往往对一些特殊的例外的事项进行特别的规定，这些规定或是禁止性的或是有特殊的控制程序。在信息化环境下，业务人员有可能根据程序控制规则或漏洞来绕开对例外事项的审查。因而在审计中应当重点关注该类事项，并通过一定的技术方法将其在信息系统中的执行情况查找出来。如某公司规定500万元以上合同需经母公司审批，同时禁止对合同进行拆分。该公司合同管理系统仅对金额500万元以上的合同作出筛选，而并未对合同拆分进行判断控制。审计人员抽取一定时期内该公司500万元以下的合同，按合同相对人进行筛选，查看是否存在在相同或接近日期向同一供应商采购商品，并且总额超过500万元的情况，测试发现该公司存在合同拆分现象。

（四）重点关注企业内部控制与信息系统的整合情况

审计人员在对企业内部控制进行审计的过程中，除了对企业整体内部控制体系及信息系统内部控制体系的建立和执行情况进行评价外，还应当对两者的整合情况进行评价。信息系统与企业内部控制整合的程度，影响着企业利用信息系统改善管理的效果。整合程度越高，企业从信息化中受益越大，管理效率提升越快。反之，则为企业带来麻烦。在实务过程中，审计人员可以通过观察业务人员应用信息系统的熟练度及深度，访谈业务人员对信息系统的评价，对比系统应用前后企业内部控制发生的变化等方面进行整合评价。

四、信息化环境下内部控制审计的改进建议

（一）突出内部控制审计增值点，充分体现内部审计价值

企业在应用信息系统后，其经营模式、组织结构、控制程序等都受到不同程度的影响。如何将这种影响转化为积极的动力，促进管理效率的提升，就需要企业内部控制与信息系统进行有效的整合。而在整合的过程中，内部控制审计是有力的监督手段。通过内部控制审计，能发现信息系统控制过程的缺失，企业内部控制的缺陷，内部控制与信息系统整合过程中的重复控制或控制缺失，帮助企业完善及优化内部控制体系，促进企业管理的提升。因此审计人员在开展内部控制审计的过程中，应侧重于内部控制与信息系统整合效果的评估上，积极与业务人员、管理人员探讨如何优化流程与控制，努力促进内部控制与信息系统整合的效果，以体现内部审计的价值。

（二）提升审计人员信息系统审计的专业技能

信息化环境下，部分的信息都存储在系统中，数据的筛选、处理、分析、评价都对审计人员提出了较高的要求。此外在实务操作中审计人员需要熟悉信息系统审计的内容及使用信息系统审计的方法。因而审计人员需要加强信息系统审计的专业知识培训，通过提升专业技能，增强内部控制审计的能力，从而能更好地为企业提供增值服务。

五、结语

当前国内内部控制审计主要以《企业内部控制审计指引》作为审计规范，其审计视角更多的立足于独立外部审计，且审计目的更多的在于确保财务报告可靠性。而对于企业内部审计而言，审计的视角不仅仅在于查错，更多应关注的是如何为企业提供增值服务，为企业科学健康发展保驾护航。内部控制审计能很好地体现内部审计的这种价值。本文立足于内部审计的视角，提出了在信息化环境下如何对企业内部控制进行审计，同时指出了在信息化环境下，内部控制审计应当更多关注内部控制与信息系统整合，以体现内部审计的价值。J

参考文献：

[1]廖亮亮，叶松勤，王婷.信息化条件下内部控制审计风险探析[J].商业会计，2013，（22）：23-24.

[2]杨光.信息化环境下如何开展企业风险管理内部审计[J].财会月刊，2008，（09）：98-99.

[3]张红英.计算机信息系统环境下内部控制的审计[J].湖北审计，2001，（01）：16-17.

[4]赵红梅.IT环境下企业会计信息系统的内部控制研究[D].昆明理工大学，2006.