浅析内部控制审计及其与信息技术融合.docx

浅析内部控制审计及其与信息技术融合内部控制自产生起就与审计有着紧密的联系无论是制度基础审计还是风险导向审计对内部控制的测试与评价都是审计的重要工作之一并最终发展成为审计学科的一个重要分支内部控制审计本文结合内部控制审计的特点探索内部控制审计与信息技术深度融合的方法是提高内部控制审计的效率与效果的有益尝试一内部控制审计概述一内部控制审计内部控制服务于组织的管理需求其目标包括合理保证外部法令与内部规章得到遵循促进经营方针与目标的实现合理保证信息真实完整财务报告可靠内部控制体系由控制环境风险评估控制活动信息与沟通监控等五个要素构成诸要素协同作用为三大目标的实现提供合理保证随着企业面临的市场环境中风险日益增大认为内部控制应该强化风险管理理念和意识在年月发布了企业风险管理整合框架对内部控制整合框架进行更新将其中的风险评估要素细化为事项识别风险评估和风险应对三个要素内部控制进入到一个全面风险管理的阶段随着制度基础审计方法的推行内部控制评价逐渐成为一项重要的审计程序和工作内容对内部控制进行测试评价最终发展成为对内部控制进行审计并进入制度化轨道二内部控制审计的目标与作用直接目标是鉴证内部控制的有效性并发表独立客观公正的鉴证信息间接目标是促进企业内部控制的制度完善和执行有效实施内部控制审计既是内部控制审计指引等规范的外部要求也是企业自身不断完善内部控制体系确保实现内部控制目标的内在需求有学者以我国上市公司年年内部控制审计报告为对象对内部控制审计动机价值相关性及内部控制效率相关性进行检验结果表明内部控制审计能够提高资本运作效率和投资者的信心降低企业发生法律诉讼财务信息违规的概率和次数强化内部控制审计有助于企业内部控制监管优化市场效率二内部控制审计的一般程序内部控制审计有两种组织方式单独立项审计和与其他审计项目整合审计内部控制审计的一般程序包括审计计划审计实施缺陷认定审计报告等环节具体为合理的审计计划是保证内部控制审计项目质量的先决条件在此阶段应初步判断其内部控制的有效性并参考以前年度对内部控制的测试评价结果以之作为编制审计计划的依据审计实施是内部控制审计的具体检查环节一般采用自上而下的方法即先从财务报表层次分析错报的可能来源从企业层面控制初步了解内部控制整体风险然后有针对性地选择拟测试的企业层面执行层面控制流程进行检查测试获取审计证据形成审计检查底稿在完成企业层面与各执行层面控制流程的检查后按照设计缺陷运行缺陷财务报告缺陷非财务报告缺陷的不同类别重大重要一般缺陷的不同程度等定性定量的标准来评价认定检查中发现的内部控制缺陷审计报告是内部控制审计最终结果的展示审计报告分为两种一种是标准内部控制审计报告内控审计指引对标准内部控制审计报告的范式做出了详尽的要求包括标题收件人责任叙述固有局限性说明缺陷描述内部控制审计意见等要素另一种是非标准内部控制审计报告包括带强调事项段否定意见无法表示意见三种三内部控制审计的内容与方法一内部控制审计内容内部控制设计的合理性内部控制审计的对象是内部控制体系应首先关注内控体系设计的合理性重点关注内部控制诸要素是否齐备诸要素相互关联的设计是否合理控制流程的设计是否做到经济合理有效能否达到控制目标这部分内容的审计应该贯穿始终在检查各要素流程控制有效性的同时关注其设计的合理性最后在各个组成要素评价的基础上对内部控制的整体设计能否合理保证控制目标的实现做出评价企业层面控制的有效性企业层面的控制涉及内部控制的诸多要素其内容包括企业管理层是否营造良好的内部环境是否建立辨认分析和管理相关风险的机制将风险控制在可承受范围之内企业是否进行持续的内部监督包括日常监督和专项监督执行层面运行的有效性检查评价执行层面运行的有效性是内部控制审计的重点具体内容包括所有确保管理层的指令得以执行的政策和程序同时要关注各业务流程设置的合理性检查业务流程的每一个控制点是否有效执行二内部控制审计方法内部控制审计抽取的样本以交易事项为主一项交易通常是由交易主体交易对象交易辅助工具等构成的审计过程是找证据的过程获得的审计证据也表现为三种基本形式人证物证和书证一般而言内部控制审计有四种基本审计方法文本审阅法实地观察法询问法还有一种是内部控制审计特有的穿行测试法文本审阅法是最常用的审计方法就是通过翻阅与原先的交易相关的文件档案来了解交易原貌获得书证重点关注资料的真实性完整性有效性和协调性实地观察法是通过实地查看在交易中出现过的实物来了解交易原貌获得物证通过实地观察了解实物的存在性权属性完整性和足值性询问法就是通过与相关当事人对话来发现新线索澄清事实补充验证物证和书证形成完备的证据链穿行测试法在内部控制审计中运用最广是检查评价内部控制设计及执行有效性必不可少的方法具体运用时选取在审计期间内已经完成全部控制流程的交易样本检查或重新执行该交易样本的每一个控制环节在穿行测试过程中同时运用文本查阅询问实地观察等方法检查内部控制流程的全貌对其设计和执行的有效性做出合理的评价四影响内部控制审计效率与效果的主要因素一内部控制审计抽样的科学性审计抽样是影响内部控制审计效率与效果的重要因素在当前的内部控制审计实务中审计抽样存在两种倾向一是为追求审计效果而过度依赖经验判断抽样经验丰富的审计人员凭借其职业经验只要抽取较少的样本就能够很快在其中发现差错样本而对于经验一般的审计人员抽取同样数量的样本却很难发现其中的差错样本适度运用职业经验进行审计抽样能够提高内部控制审计效果但过度依赖经验判断抽样则缺乏科学性会造成样本差错率高于统计概率平均值不同经验的审计人员做同一内控流程的检查结果差异较大无法对企业内部控制的有效性得出合理的评价最终影响了内部控制审计效果二是为追求审计效率简化抽样程序忽视了不同企业的规模业务类别及业务量的差异简化抽取的样本并不能完全反映企业内部控制的实际情况实际上这两种倾向都不利于内部控制审计目标的实现最终对内部控制审计的效率与效果造成负面影响要提高内部控制审计的效率与效果必须依靠科学的审计抽样方法审计抽样一般有统计抽样和非统计抽样两种是否应用统计理论来评估样本总体特征确定样本量是两者的根本区别对于一个既定的审计目标而言统计抽样能够以较小的样本量实现相同的审计目标当然统计抽样并不排除应用职业判断相反在设计抽样模型选取抽样参数确定抽样的总体抽样的方式等方面需要采用职业判断科学的审计抽样就是将经验抽样与统计抽样有机结合形成程序化的抽样模式对不同经验的审计人员不同规模类别的内部控制流程具有良好的适应性在实施内控审计时得出的结论相对统一实践证明设计合理操作便捷规范标准的程序化抽样方法能够均衡提高内部控制审计效率与效果二内部控制评审标准的一致性内部控制评审的标准一般按照内部控制健全性内部控制有效性及控制目标实现来分类建立健全性的评价标准包括合法合规性不相容性与制衡性成本效益与可操作性适应性与相容性等标准有效性评价标准包括各项业务的具体控制程序措施管理办法和奖惩制度控制目标实现的标准则是量化评估内部控制在保证企业风险管理目标和企业战略目标的实现中所发挥的作用内部控制制度被广泛采纳后其评审程序内容逐渐标准化但由于评价标准内容多样且包含定量和定性标准保持标准的一致性仍是当前内控审计中存在的难点而在内部控制审计实务中标准的一致性又往往不被重视特别是对其中缺陷的认定风险归类等定性标准部分主观随意性较大常常出现在不同时间不同的审计人员对相同的审计事项采用不一样的审计评判标准的现象特别是对于大型的企业集团下属分子公司较多在对各分子公司同时进行的内部控制审计时各个审计组所把持的标准也具有差异这样对两家内控执行有效性相似的分子公司进行审计时可能会得出差异较大的评审结果这种一致性差异还体现在企业内部控制日常管理部门与审计部门之间企业的内控管理部门的内控评价标准与审计部门的评审标准宽严度通常不一致在审计实务中审计的评审标准一般严于内控管理部门的标准导致内控管理部门牵头的内部控制评审与审计部门牵头的内控评审结果会有较大差异无法对企业的内部控制做出客观的评价结果评价标准的差异导致了检查评审的结果数据离散度高不利于把握企业内部控制运行的准确状况以及变化趋势影响了内部控制审计的实际效果内控管理部门与审计部门共同建立内控审计评价标准数据库将定量的标准表单化定性的标准格式化并同步更新是解决评审标准不一致的有效措施实施内部控制审计时将检查结果与评价标准数据库对应取数实现内部控制风险自动分类缺陷自动计算避免不同部门不同时间不同的审计人员对相同事项采取不同的评审标准维持内部控制评审标准的一致性确保对企业内部控制的有效性做出客观公正的评价可有效提高内部控制审计效果三内部控制审计成果应用的连续性按照内部控制审计指引规范的要求对企业的内部控制审计已经成为一个周期性持续实施的审计项目对同一企业历年进行的内部控制审计成果整理分析找出近年来该企业在内部控制实施过程中存在的薄弱环节和变化趋势是编制内部控制审计计划审计抽样参数设定的重要依据内部控制审计历史成果的连续运用可以合理确定审计范围优化审计资源的配置大大提高内部控制审计的效率实际上审计成果应用的连续性体现在两个方面除了纵向历史数据的延续应用还有一种就是横向审计成果的实时借鉴利用这在大型企业集团对下属分子公司在同一时间段进行内部控制审计时效果尤为突出内部控制审计成果包括最终成果和过程当中的阶段性成果在企业集团对下属各个分子公司进行内控审计时如果对其中一家分子公司的内控审计成果或者阶段性成果能够及时被其他分子公司的内部控制审计及时应用能够有效提高审计的效率和效果比如在分公司的内控审计组发现这一年度工程招投标控制业务流程执行的有效性存在异常并形成检查底稿分公司内控审计组能够实时关注这一审计结果并利用这个结果及时修订内控审计实施方案的重点调整抽样参数关注相同业务是否存在相同问题避免了错报样本的审计事项遗漏有效提高大型企业集团内部控制审计的整体效果在当前的内部控制审计实务中内部控制审计成果应用的连续性没有受到应有的重视忽视对历史审计成果的应用每一次内控审计都是新的开始忽视对当期审计成果的应用同时开展内部控制审计的各个审计组就像一座座信息孤岛各自为战建立内部控制审计信息平台将离散的历史审计成果数据连续化将点状的同期审计成果数据网络化实现历史审计成果数据定期分析当期审计成果数据实时共享是提高内控审计效率与效果的有效方法五与信息技术融合的内部控制审计一内部控制审计与信息技术融合的必要性随着信息技术的迅猛发展当前各企业使用的会计核算系统已实现电算化而供应商管理招投标管理合同管理系统等企业管理信息系统特别是在各类企业广泛运用后大幅度提高了整个企业运行管理的环境信息化程度在信息化大环境影响下企业内部控制的方式也由初期的人工控制发展为计算机辅助控制也就是计算机与人工联合控制最终将实现业务流程全过程线上控制如以前的审批签字环节是在线下通过人工控制完成的现在大部分已经实现线上审批审批签字的内容时间权限等信息均留有痕迹以前依赖人工监督管理的不相容岗位分离现在通过对不相容岗位人员设置不同的授权用户码处理不相容业务对不相容岗位实施信息化管理内部控制审计评价的对象是内部控制系统以及实施内部控制的企业经营管理环境面对审计评价的对象和环境已经信息化的现状内部控制审计的手段和方法也应该与时俱进因此与信息技术的融合具有较强的必要性和现实意义二内部控制审计与信息技术融合的优势内部控制系统日趋规范化程序化标准化这就与现代信息技术有着天然的亲和力内部控制审计与信息技术的融合具有诸多优势一是可以借助计算机的强大运算能力建立审计抽样模块实现最大限度的自动抽样审计统计抽样是遵循一定的数理统计模型通过大量复杂的数学运算来抽取少量的样本推断总体复杂的数学运算费时费力而计算机的强大运算能力弥补了这个缺陷建立审计抽样模块实现自动抽样可以大幅度节省审计人员的工作量降低审计成本提高审计效率按照统一的审计抽样程序进行抽样可以减少审计过程中的主观判断风险量化和控制审计风险二是能够借助计算机高效的数据处理能力建立内部控制评审标准和审计成果数据库实现海量数据及时处理实时更新并按照审计需求提供汇总分析结果与传统的手工数据处理相比除了快捷这一优势还具有良好的准确性和互动性比如审计人员可以在任意时间调取不同审计项目的历史审计数据和当期审计成果设定统计分析区间和类别参数后立刻就能得到分析结果三是可以利用互联网便捷的信息共享能力建立内部控制审计信息平台实现当期审计项目进展及成果信息的实时共享审计人员能够随时了解其他审计组同一审计组其他成员的工作进展和审计发现及时借鉴他人的审计成果发现相关审计线索这些优势表明与传统的审计相比与信息技术高度融合的内部控制审计能够降低审计成本和审计风险有效提高审计效率特别是在对大型企业集团的内部控制审计时便于从横向和纵向两个维度分析集团内部控制执行有效性的变化趋势增强了审计计划的针对性和持续改进集团内部控制的方向性大幅度提高了内部控制审计效果三内部控制审计与信息技术融合的基本方法内部控制审计与信息技术融合主要体现在审计检查方式与审计检查手段的融合在审计检查方式上更加注重线上与线下的关联印证在抽取线下纸质控制要件检查时要针对其线上的业务流程对权限配置业务操作职责分离等控制点逐一检查这是与一般审计的区别所在审计检查手段的融合是内部控制审计与信息技术融合的重点在构建于信息化技术融合的内部控制审计时既有广义的硬环境的建设如审计抽样模块数据库信息平台的建设等也有软环境的建设如与信息化相适应的内部控制审计理念的推广审计流程的优化相关制度规则的建立与完善等具体基本步骤为第一步是审计部门组织开发内部控制审计抽样软件对于具有一定软件开发能力的大型企业审计部门可以提出需求由信息技术部门开发对于中小企业则可以外委专业软件公司开发由于现在系统在各类企业广泛运用审计抽样软件可以模块化的形式嵌入系统直接从原始交易数据中抽取样本第二步是审计部门协同企业内部控制管理部门建立内部控制审计信息平台共同完善和维护内部控制审计评价标准历史审计成果当期审计进展情况等数据在信息化应用比较普及的企业通常每一个管理部门都建有自己的数据库和信息交流平台在这种企业就只需要做好审计信息平台与内部控制管理信息平台之间的数据交换融合互通工作不需要重建新的信息平台第三步是建设信息化内部控制审计的软环境倡导依托信息化进行内部控制审计的理念对审计人员进行审计抽样模块信息平台应用的培训根据信息化内部控制审计的特点修订和优化审计程序制定和完善相应的规章制度四与信息技术融合的内部控制审计实例下面以某大型国有石化企业集团的信息化内部控制审计为例具体阐述与信息技术融合的内部控制审计的具体应用在审计信息集成管理系统中增设内部控制审计项目管理模块并实现审计信息集成管理系统和内控管理信息系统的数据互通实时共享确保内部控制审计部门与内部控制管理部门具有统一的检查流程统一的风险认定缺陷认定等检查标准图图分别为内部控制审计项目管理信息系统内控管理信息系统在实施内部控制审计时先通过审计项目管理信息系统穿透至内控管理信息系统对内部控制设计的有效性进行初步审核再通过内部控制审计项目管理信息系统对内部控制审计检查流程进行任务分工并按照确定的流程分工检查在线关联审计底稿审计人员按照审计分工开始进行审计抽样审计抽样模块嵌入系统抽样时审计人员根据被审计对象的具体情况设定重要性百分比需要抽取的样本个数等参数选取随机或者系统抽样方法之后就可以点击执行抽样按钮实施抽样以物料采购订单抽样为例抽样过程与样本输出结果如图所示审计人员对抽取的样本进行审计检查检查结果直接输入内部控制审计信息系统的检查底稿电子表格中由于内部控制审计信息系统对所有审计人员开放检查底稿信息实时共享图为内置于内部控制审计信息系统的检查底稿审计人员只需填列检查记录系统自动统计未执行样本比例控制点检查结果等信息在完成各个内部控制流程检查数据录入完毕后系统将自动进行计算汇总输出包括能够量化反映内部控制设计及执行有效率的评价汇总表检查评价发现问题汇总表检查评价发现问题所涉及风险汇总表以及内部控制缺陷认定汇总表等结果图为系统输出的内部控制缺陷汇总分析表表中的缺陷定量计算由系统自动完成近年来该系统运行的结果表明这种与信息技术融合的内部控制审计有效地解决了审计抽样标准化程序化的问题做到了内部控制评价标准保持一致审计成果连续应用均衡地提高了内部控制审计的效率与效果具有较高的推广使用价值六结束语从长远来看内部控制审计作为审计学科的一个重要分支只有不断地提高自身的效率与效果才能为企业增加更大的价值从而体现自身价值得以不断发展壮大实践表明内部控制审计与信息技术融合后能够大幅度提高其效率与效果满足了高效完成内部控制审计目标的内在需求而在信息技术迅猛发展的时代大数据云计算互联网等新技术新理念层出不穷为内部控制审计的信息化提供了良好的外部条件在内因和外因的共同驱使下可以预见与信息技术深度融合将成为内部控制审计今后的发展方向