浅析内部控制审计及其与信息技术融合论文
内部控制自产生起就与审计有着紧密的联系。无论是制度基础审计,还是风险导向审计, 对内部控制的测试与评价,都是审计的重要工作之一,并最终发展成为审计学科的一个重要分支———内部控制审计。本文结合内部控制审计的特点,探索内部控制审计与信息技术深度融合的方法,是提高内部控制审计的效率与效果的有益尝试。
一、内部控制审计概述
(一)内部控制审计
内部控制服务于组织的管理需求,其目标包括:合理保证外部法令与内部规章得到遵循; 促进经营方针与目标的实现;合理保证信息真实、完整,财务报告可靠。内部控制体系由控制环境、风险评估、控制活动、信息与沟通、监控等五个要素构成,诸要素协同作用,为三大目标的实现提供合理保证。
随着企业面临的市场环境中风险日益增大,COSO 认为内部控制应该强化风险管理理念和意识,在2005 年10 月发布了《企业风险管理:整合框架》,对《内部控制:整合框架》进行更新,将其中的风险评估要素细化为事项识别、风险评估和风险应对三个要素,内部控制进入到一个全面风险管理的阶段。
随着制度基础审计方法的推行,内部控制评价逐渐成为一项重要的审计程序和工作内容。对内部控制进行测试评价,最终发展成为对内部控制进行审计,并进入制度化轨道。
(二)内部控制审计的目标与作用
直接目标是鉴证内部控制的有效性并发表独立、客观、公正的鉴证信息;间接目标是促进企业内部控制的制度完善和执行有效。实施内部控制审计既是《内部控制审计指引》等规范的外部要求,也是企业自身不断完善内部控制体系确保实现内部控制目标的内在需求。
有学者以我国上市公司2007 年—2008 年内部控制审计报告为对象, 对内部控制审计动机、价值相关性及内部控制效率相关性进行检验,结果表明:内部控制审计能够提高资本运作效率和投资者的信心,降低企业发生法律诉讼、财务信息违规的概率和次数;强化内部控制审计有助于企业内部控制监管, 优化市场效率。
二、内部控制审计的一般程序
内部控制审计有两种组织方式,单独立项审计和与其他审计项目整合审计。内部控制审计的一般程序包括: 审计计划、审计实施、缺陷认定、审计报告等环节。具体为:
合理的审计计划是保证内部控制审计项目质量的先决条件。在此阶段应初步判断其内部控制的有效性,并参考以前年度对内部控制的测试评价结果,以之作为编制审计计划的依据。
审计实施是内部控制审计的具体检查环节,一般采用自上而下的方法。即先从财务报表层次分析错报的可能来源,从企业层面控制初步了解内部控制整体风险;然后有针对性地选择拟测试的企业层面、执行层面控制流程进行检查测试,获取审计证据,形成审计检查底稿。
在完成企业层面与各执行层面控制流程的检查后,按照设计缺陷、运行缺陷、财务报告缺陷、非财务报告缺陷的不同类别,重大、重要、一般缺陷的不同程度等定性、定量的标准来评价认定检查中发现的内部控制缺陷。
审计报告是内部控制审计最终结果的展示。审计报告分为两种, 一种是标准内部控制审计报告,《内控审计指引》对标准内部控制审计报告的范式做出了详尽的要求, 包括标题、收件人、责任叙述、固有局限性说明、缺陷描述、内部控制审计意见等要素。另一种是非标准内部控制审计报告,包括带强调事项段、否定意见、无法表示意见三种。
三、内部控制审计的内容与方法
(一)内部控制审计内容
1、内部控制设计的合理性。内部控制审计的对象是内部控制体系,应首先关注内控体系设计的合理性。重点关注内部控制诸要素是否齐备, 诸要素相互关联的设计是否合理,控制流程的设计是否做到经济、合理、有效,能否达到控制目标。这部分内容的审计应该贯穿始终,在检查各要素流程控制有效性的同时,关注其设计的合理性,最后在各个组成要素评价的基础上,对内部控制的整体设计能否合理保证控制目标的实现做出评价。
2、企业层面控制的有效性。企业层面的控制涉及内部控制的诸多要素。其内容包括企业管理层是否营造良好的内部环境,是否建立辨认、分析和管理相关风险的机制,将风险控制在可承受范围之内;企业是否进行持续的内部监督,包括日常监督和专项监督。
3、执行层面运行的有效性。检查评价执行层面运行的有效性是内部控制审计的重点。具体内容包括所有确保管理层的指令得以执行的政策和程序,同时要关注各业务流程设置的合理性,检查业务流程的每一个控制点是否有效执行。
(二)内部控制审计方法
内部控制审计抽取的样本以交易事项为主,一项交易通常是由交易主体、交易对象、交易辅助工具等构成的。审计过程是找证据的过程, 获得的审计证据也表现为三种基本形式:人证、物证和书证。一般而言,内部控制审计有四种基本审计方法:文本审阅法、实地观察法、询问法,还有一种是内部控制审计特有的穿行测试法。
文本审阅法是最常用的审计方法,就是通过翻阅与原先的交易相关的文件、档案来了解交易原貌,获得书证,重点关注资料的真实性、完整性、有效性和协调性。实地观察法是通过实地查看在交易中出现过的实物,来了解交易原貌,获得物证。通过实地观察了解实物的存在性、权属性、完整性和足值性。询问法就是通过与相关当事人对话,来发现新线索,澄清事实,补充、验证物证和书证,形成完备的证据链。
穿行测试法在内部控制审计中运用最广,是检查评价内部控制设计及执行有效性必不可少的方法。具体运用时选取在审计期间内已经完成全部控制流程的交易样本,检查或重新执行该交易样本的每一个控制环节。在穿行测试过程中,同时运用文本查阅、询问、实地观察等方法,检查内部控制流程的全貌,对其设计和执行的有效性做出合理的评价。
四、影响内部控制审计效率与效果的主要因素
(一)内部控制审计抽样的科学性
审计抽样是影响内部控制审计效率与效果的重要因素。在当前的内部控制审计实务中, 审计抽样存在两种倾向:一是为追求审计“效果”而过度依赖经验判断抽样,经验丰富的审计人员凭借其职业经验,只要“抽取”较少的样本,就能够很快在其中“发现”差错样本;而对于经验一般的审计人员,抽取同样数量的样本却很难发现其中的差错样本。适度运用职业经验进行审计抽样能够提高内部控制审计效果,但过度依赖经验判断抽样则缺乏科学性,会造成样本差错率高于统计概率平均值,不同经验的审计人员做同一内控流程的检查结果差异较大,无法对企业内部控制的有效性得出合理的评价,最终影响了内部控制审计效果。二是为追求审计“效率”,简化抽样程序,忽视了不同企业的规模、业务类别及业务量的差异,简化抽取的样本并不能完全反映企业内部控制的实际情况。实际上这两种倾向都不利于内部控制审计目标的实现,最终对内部控制审计的效率与效果造成负面影响。要提高内部控制审计的.效率与效果,必须依靠科学的审计抽样方法。
审计抽样一般有统计抽样和非统计抽样两种,是否应用统计理论来评估样本总体特征,确定样本量是两者的根本区别。对于一个既定的审计目标而言,统计抽样能够以较小的样本量实现相同的审计目标。当然,统计抽样并不排除应用职业判断,相反,在设计抽样模型,选取抽样参数,确定抽样的总体,抽样的方式等方面需要采用职业判断。
科学的审计抽样, 就是将经验抽样与统计抽样有机结合,形成程序化的抽样模式,对不同经验的审计人员,不同规模、类别的内部控制流程具有良好的适应性,在实施内控审计时得出的结论相对统一。实践证明,设计合理,操作便捷,规范标准的程序化抽样方法,能够均衡提高内部控制审计效率与效果。
(二)内部控制评审标准的一致性
内部控制评审的标准一般按照内部控制健全性、内部控制有效性及控制目标实现来分类建立。健全性的评价标准包括合法合规性、不相容性与制衡性、成本效益与可操作性、适应性与相容性等标准;有效性评价标准包括各项业务的具体控制程序、措施,管理办法和奖惩制度;控制目标实现的标准则是量化评估内部控制在保证企业风险管理目标和企业战略目标的实现中所发挥的作用。
内部控制制度被广泛采纳后,其评审程序、内容逐渐标准化。但由于评价标准内容多样,且包含定量和定性标准,保持标准的一致性仍是当前内控审计中存在的难点。而在内部控制审计实务中,标准的一致性又往往不被重视,特别是对其中缺陷的认定,风险归类等定性标准部分,主观随意性较大,常常出现在不同时间、不同的审计人员对相同的审计事项采用不一样的审计评判标准的现象。特别是对于大型的企业集团,下属分(子)公司较多,在对各分(子)公司同时进行的内部控制审计时, 各个审计组所把持的标准也具有差异,这样对两家内控执行有效性相似的分(子)公司进行审计时,可能会得出差异较大的评审结果。
这种一致性差异还体现在企业内部控制日常管理部门与审计部门之间。企业的内控管理部门的内控评价标准与审计部门的评审标准宽严度通常不一致,在审计实务中,审计的评审标准一般严于内控管理部门的标准,导致内控管理部门牵头的内部控制评审与审计部门牵头的内控评审结果会有较大差异,无法对企业的内部控制做出客观的评价结果。评价标准的差异导致了检查评审的结果数据离散度高,不利于把握企业内部控制运行的准确状况以及变化趋势,影响了内部控制审计的实际效果。
内控管理部门与审计部门共同建立内控审计评价标准数据库,将定量的标准表单化,定性的标准格式化,并同步更新是解决评审标准不一致的有效措施。实施内部控制审计时,将检查结果与评价标准数据库对应取数,实现内部控制风险自动分类,缺陷自动计算,避免不同部门、不同时间、不同的审计人员对相同事项采取不同的评审标准,维持内部控制评审标准的一致性,确保对企业内部控制的有效性做出客观公正的评价,可有效提高内部控制审计效果。
(三)内部控制审计成果应用的连续性
按照《内部控制审计指引》规范的要求,对企业的内部控制审计已经成为一个周期性持续实施的审计项目,对同一企业历年进行的内部控制审计成果整理分析,找出近年来该企业在内部控制实施过程中存在的薄弱环节和变化趋势,是编制内部控制审计计划,审计抽样参数设定的重要依据。内部控制审计历史成果的连续运用, 可以合理确定审计范围,优化审计资源的配置,大大提高内部控制审计的效率。
实际上审计成果应用的连续性体现在两个方面,除了纵向历史数据的延续应用,还有一种就是横向审计成果的实时借鉴利用。这在大型企业集团对下属分(子)公司在同一时间段进行内部控制审计时,效果尤为突出。内部控制审计成果包括最终成果和过程当中的阶段性成果,在企业集团对下属各个分(子)公司进行内控审计时,如果对其中一家分(子)公司的内控审计成果, 或者阶段性成果, 能够及时被其他分(子)公司的内部控制审计及时应用,能够有效提高审计的效率和效果。比如在A 分公司的内控审计组发现这一年度,工程招投标控制业务流程执行的有效性存在异常,并形成检查底稿,B 分公司内控审计组能够实时关注这一审计结果,并利用这个结果及时修订内控审计实施方案的重点,调整抽样参数,关注相同业务是否存在相同问题,避免了错报样本的审计事项遗漏,有效提高大型企业集团内部控制审计的整体效果。
在当前的内部控制审计实务中,内部控制审计成果应用的连续性没有受到应有的重视。忽视对历史审计成果的应用,每一次内控审计都是“新”的开始;忽视对当期审计成果的应用,同时开展内部控制审计的各个审计组就像一座座信息孤岛,各自为战。
建立内部控制审计信息平台,将离散的历史审计成果数据连续化,将点状的同期审计成果数据网络化,实现历史审计成果数据定期分析,当期审计成果数据实时共享,是提高内控审计效率与效果的有效方法。
五、与信息技术融合的内部控制审计
(一)内部控制审计与信息技术融合的必要性
随着信息技术的迅猛发展,当前各企业使用的会计核算系统已实现电算化,而供应商管理、招投标管理、合同管理、OA 系统等企业管理信息系统, 特别是ERP 在各类企业广泛运用后, 大幅度提高了整个企业运行管理的环境信息化程度。
在信息化大环境影响下,企业内部控制的方式也由初期的人工控制发展为计算机辅助控制,也就是计算机与人工联合控制,最终将实现业务流程全过程线上控制。如以前的审批签字环节,是在线下通过人工控制完成的,现在大部分已经实现线上审批,审批签字的内容、时间、权限等信息均留有痕迹;以前依赖人工监督管理的不相容岗位分离,现在通过对不相容岗位人员设置不同的授权用户码处理不相容业务,对不相容岗位实施信息化管理。
内部控制审计评价的对象是内部控制系统,以及实施内部控制的企业经营管理环境。面对审计评价的对象和环境已经信息化的现状,内部控制审计的手段和方法也应该与时俱进。因此,与信息技术的融合具有较强的必要性和现实意义。
(二)内部控制审计与信息技术融合的优势
内部控制系统日趋规范化、程序化、标准化,这就与现代信息技术有着天然的亲和力。内部控制审计与信息技术的融合具有诸多优势。
一是可以借助计算机的强大运算能力,建立审计抽样模块,实现最大限度的自动抽样。审计统计抽样是遵循一定的数理统计模型, 通过大量复杂的数学运算来抽取少量的样本,推断总体。复杂的数学运算费时费力,而计算机的强大运算能力弥补了这个缺陷。建立审计抽样模块,实现自动抽样可以大幅度节省审计人员的工作量,降低审计成本,提高审计效率;按照统一的审计抽样程序进行抽样,可以减少审计过程中的主观判断风险,量化和控制审计风险。
二是能够借助计算机高效的数据处理能力,建立内部控制评审标准和审计成果数据库, 实现海量数据及时处理,实时更新,并按照审计需求提供汇总分析结果。与传统的手工数据处理相比,除了快捷这一优势,还具有良好的准确性和互动性。比如审计人员可以在任意时间调取不同审计项目的历史审计数据和当期审计成果,设定统计分析区间和类别参数后立刻就能得到分析结果。
三是可以利用互联网便捷的信息共享能力,建立内部控制审计信息平台,实现当期审计项目进展及成果信息的实时共享。审计人员能够随时了解其他审计组、同一审计组其他成员的工作进展和审计发现, 及时借鉴他人的审计成果,发现相关审计线索。
这些优势表明,与传统的审计相比,与信息技术高度融合的内部控制审计能够降低审计成本和审计风险,有效提高审计效率; 特别是在对大型企业集团的内部控制审计时,便于从横向和纵向两个维度分析集团内部控制执行有效性的变化趋势,增强了审计计划的针对性和持续改进集团内部控制的方向性,大幅度提高了内部控制审计效果。
(三)内部控制审计与信息技术融合的基本方法
内部控制审计与信息技术融合主要体现在审计检查方式与审计检查手段的融合。在审计检查方式上,更加注重线上与线下的关联印证。在抽取线下纸质控制要件检查时,要针对其线上的业务流程,对权限、配置、业务操作、职责分离等控制点逐一检查,这是与一般审计的区别所在。
审计检查手段的融合是内部控制审计与信息技术融合的重点。在构建于信息化技术融合的内部控制审计时,既有广义的硬环境的建设,如审计抽样模块、数据库、信息平台的建设等;也有软环境的建设,如与信息化相适应的内部控制审计理念的推广,审计流程的优化,相关制度规则的建立与完善等。具体基本步骤为:
第一步是审计部门组织开发内部控制审计抽样软件。对于具有一定软件开发能力的大型企业,审计部门可以提出需求,由信息技术部门开发;对于中小企业则可以外委专业软件公司开发。由于现在ERP 系统在各类企业广泛运用,审计抽样软件可以模块化的形式嵌入ERP 系统,直接从原始交易数据中抽取样本。
第二步是审计部门协同企业内部控制管理部门,建立内部控制审计信息平台,共同完善和维护内部控制审计评价标准、历史审计成果、当期审计进展情况等数据。在信息化应用比较普及的企业,通常每一个管理部门都建有自己的数据库和信息交流平台,在这种企业就只需要做好审计信息平台与内部控制管理信息平台之间的数据交换, 融合互通工作,不需要重建新的信息平台。
第三步是建设信息化内部控制审计的软环境。倡导依托信息化进行内部控制审计的理念,对审计人员进行审计抽样模块、信息平台应用的培训,根据信息化内部控制审计的特点修订和优化审计程序,制定和完善相应的规章制度。
(四)与信息技术融合的内部控制审计实例
下面以某大型国有石化企业集团的信息化内部控制审计为例,具体阐述与信息技术融合的内部控制审计的具体应用。
在审计信息集成管理系统中增设内部控制审计项目管理模块,并实现审计信息集成管理系统和内控管理信息系统的数据互通,实时共享,确保内部控制审计部门与内部控制管理部门具有统一的检查流程、统一的风险认定、缺陷认定等检查标准。图1、图2 分别为内部控制审计项目管理信息系统、内控管理信息系统。
在实施内部控制审计时,先通过审计项目管理信息系统穿透至内控管理信息系统,对内部控制设计的有效性进行初步审核;再通过内部控制审计项目管理信息系统对内部控制审计检查流程进行任务分工,并按照确定的流程分工检查在线关联审计底稿。
审计人员按照审计分工,开始进行审计抽样。审计抽样模块嵌入ERP系统,抽样时审计人员根据被审计对象的具体情况,设定重要性百分比、需要抽取的样本个数等参数、选取随机或者系统抽样方法之后就可以点击执行抽样按钮实施抽样。以物料采购订单抽样为例,抽样过程与样本输出结果如图3 所示。
审计人员对抽取的样本进行审计检查,检查结果直接输入内部控制审计信息系统的检查底稿电子表格中,由于内部控制审计信息系统对所有审计人员开放,检查底稿信息实时共享。图4 为内置于内部控制审计信息系统的检查底稿,审计人员只需填列检查记录,系统自动统计未执行样本比例,控制点检查结果等信息。
在完成各个内部控制流程检查,数据录入完毕后,系统将自动进行计算汇总, 输出包括能够量化反映内部控制设计及执行有效率的评价汇总表、检查评价发现问题汇总表、检查评价发现问题所涉及风险汇总表以及内部控制缺陷认定汇总表等结果。图5 为系统输出的内部控制缺陷汇总分析表。表中的缺陷定量计算由系统自动完成。
近年来该系统运行的结果表明,这种与信息技术融合的内部控制审计有效地解决了审计抽样标准化、程序化的问题,做到了内部控制评价标准保持一致,审计成果连续应用,均衡地提高了内部控制审计的效率与效果,具有较高的推广使用价值。
六、结束语
从长远来看,内部控制审计作为审计学科的一个重要分支,只有不断地提高自身的效率与效果,才能为企业增加更大的价值,从而体现自身价值,得以不断发展壮大。
实践表明,内部控制审计与信息技术融合后,能够大幅度提高其效率与效果,满足了高效完成内部控制审计目标的内在需求;而在信息技术迅猛发展的时代,大数据、云计算、互联网+等新技术、新理念层出不穷,为内部控制审计的信息化提供了良好的外部条件。在内因和外因的共同驱使下,可以预见,与信息技术深度融合将成为内部控制审计今后的发展方向。
【浅析内部控制审计及其与信息技术融合论文】相关文章: