關(guān)于利用信息技術(shù)建立內(nèi)部控制審計(jì)體系的思考

王媛媛

摘要：推進(jìn)審計(jì)信息化建設(shè)是信息化環(huán)境下提升內(nèi)部審計(jì)工作效率的必然選擇。設(shè)計(jì)、執(zhí)行和維護(hù)有效的內(nèi)部控制，并評(píng)價(jià)其有效性是公司董事會(huì)等高級(jí)管理層的責(zé)任。文章以企業(yè)內(nèi)部審計(jì)信息化、內(nèi)部控制自我評(píng)價(jià)和報(bào)告工作為背景，闡述內(nèi)部控制審計(jì)與內(nèi)部控制、內(nèi)部控制審計(jì)與信息系統(tǒng)審計(jì)的區(qū)別與聯(lián)系，并結(jié)合作者所在單位在內(nèi)部控制審計(jì)信息化建設(shè)中的實(shí)踐經(jīng)驗(yàn)，提出建立信息技術(shù)內(nèi)部控制審計(jì)體系的建議。

關(guān)鍵詞：信息技術(shù)；內(nèi)部控制；內(nèi)部控制審計(jì)；信息系統(tǒng)審計(jì)

一、背景

信息技術(shù)的快速發(fā)展及廣泛使用，在促進(jìn)企業(yè)經(jīng)濟(jì)效益增長(zhǎng)和技術(shù)進(jìn)步的同時(shí)，也給企業(yè)和廣大投資者帶來了更大的風(fēng)險(xiǎn)，安然、世通、施樂等公司重大財(cái)務(wù)舞弊案件的曝光，使得內(nèi)部控制審計(jì)越來越多地受到國(guó)內(nèi)外學(xué)者和內(nèi)部控制審計(jì)工作者的重視。雖然自1991年開始，美國(guó)反舞弊性財(cái)務(wù)報(bào)告委員會(huì)發(fā)起組織（簡(jiǎn)單COSO委員會(huì)）就進(jìn)行了關(guān)于內(nèi)部控制的研究，但直到2002年，由參議院銀行委員會(huì)主席薩班斯和眾議院金融服務(wù)委員會(huì)主席奧克斯利聯(lián)合提出的以“遵守證券法律以提高公司披露的準(zhǔn)確性和可靠性，從而保護(hù)投資者及其他目的”為宗旨的《薩班斯-奧克斯利法案》的出臺(tái)才推動(dòng)了內(nèi)部控制審計(jì)工作的發(fā)展，SOX法案中指出“公司管理層要對(duì)本企業(yè)的內(nèi)部控制進(jìn)行評(píng)價(jià)，注冊(cè)會(huì)計(jì)師要對(duì)被審計(jì)單位內(nèi)部控制的有效性進(jìn)行審計(jì)并發(fā)表意見。”SOX法案的頒布與實(shí)施在一定程度上提高了大股東及廣大中小投資者的信心，與此同時(shí)，歐盟、英國(guó)等國(guó)家也對(duì)各自的資本市場(chǎng)監(jiān)管法規(guī)進(jìn)行了修訂。在國(guó)內(nèi)，1999年修訂的《會(huì)計(jì)法》第一次從立法的角度對(duì)企業(yè)建立內(nèi)部控制進(jìn)行了要求。隨后，為了提高會(huì)計(jì)信息質(zhì)量、保護(hù)資產(chǎn)的安全完整、確保有關(guān)法律法規(guī)和規(guī)章制度的貫徹執(zhí)行等，財(cái)政部規(guī)定從2001年6月起所有公司均應(yīng)建立健全和有效實(shí)施本單位的內(nèi)部會(huì)計(jì)控制體系，并制定了《內(nèi)部會(huì)計(jì)控制規(guī)范》基本規(guī)范及貨幣資金等7項(xiàng)內(nèi)部會(huì)計(jì)控制規(guī)范。2006年在全球內(nèi)部控制審計(jì)大熱潮的推動(dòng)下，由財(cái)政部等5部委聯(lián)合發(fā)起成立的“企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)”先后出臺(tái)了《企業(yè)內(nèi)部控制基本規(guī)范》、《企業(yè)內(nèi)部控制配套指引》等文件，上海和深圳證券交易所也分別頒布了《上市公司內(nèi)部控制指引》，根據(jù)相關(guān)文件和制度要求，上市公司要對(duì)本企業(yè)的內(nèi)部控制進(jìn)行評(píng)價(jià)，形成的內(nèi)部控制自我評(píng)價(jià)報(bào)告與公司年度財(cái)務(wù)報(bào)表一同對(duì)外披露。同時(shí)，要求自2011年1月1日起我國(guó)境內(nèi)外同時(shí)上市的公司開始實(shí)施企業(yè)內(nèi)部控制審計(jì)指引，2012年1月1日起施行范圍擴(kuò)大至滬深交易所的主板上市公司。由此可見，在理論與實(shí)務(wù)方面，美歐等國(guó)家要早于我國(guó)，對(duì)我國(guó)企業(yè)內(nèi)部控制審計(jì)的實(shí)踐具有一定的指導(dǎo)借鑒作用，但由于國(guó)內(nèi)企業(yè)大多對(duì)內(nèi)部控制審計(jì)認(rèn)識(shí)不到位，因而在實(shí)務(wù)中仍存在很多問題，如內(nèi)部控制審計(jì)機(jī)構(gòu)不獨(dú)立、審計(jì)人員專業(yè)勝任能力不足等。同時(shí)，伴隨信息技術(shù)在企業(yè)各領(lǐng)域的廣泛使用，“觸手可見”的審計(jì)資料越來越少，因此，如何利用信息技術(shù)開展內(nèi)部控制審計(jì)工作意義重大。

本文以企業(yè)內(nèi)部控制審計(jì)管理工作實(shí)踐為視角，對(duì)筆者所在企業(yè)在利用信息技術(shù)建立內(nèi)部控制審計(jì)體系中的做法和困難進(jìn)行分析，并對(duì)如何更好的建立信息技術(shù)內(nèi)部控制審計(jì)體系提出建議。

二、內(nèi)部控制審計(jì)及相關(guān)理論辨析

（一）內(nèi)部控制審計(jì)與內(nèi)部控制的涵義與區(qū)別

對(duì)于內(nèi)部控制的涵義，1949年美國(guó)會(huì)計(jì)師協(xié)會(huì)（AICPA）曾將其界定為“企業(yè)為保護(hù)資產(chǎn)完整、會(huì)計(jì)信息準(zhǔn)確、提高經(jīng)營(yíng)效率及制度執(zhí)行而制定的方法與措施”。1992年COSO委員會(huì)在《內(nèi)部控制-整體框架》（Internal Control-Integrated Framework）中指出“內(nèi)部控制是指由企業(yè)董事會(huì)、經(jīng)理層和員工設(shè)計(jì)并執(zhí)行，旨為特定目標(biāo)實(shí)現(xiàn)提供合理保證的過程。目標(biāo)具體包括財(cái)務(wù)報(bào)告真實(shí)可靠、企業(yè)合法合規(guī)經(jīng)營(yíng)、經(jīng)營(yíng)的效率和效果?！本C上，內(nèi)部控制是企業(yè)自我監(jiān)督的重要手段，是企業(yè)各個(gè)業(yè)務(wù)流程的操作規(guī)范，目的在于提高經(jīng)營(yíng)管理水平。

內(nèi)部控制審計(jì)是對(duì)內(nèi)部控制的再控制，是評(píng)價(jià)、監(jiān)督被審計(jì)單位內(nèi)部控制設(shè)計(jì)及執(zhí)行有效性的過程，實(shí)踐中又分為注冊(cè)會(huì)計(jì)師視角下的內(nèi)部控制審計(jì)和企業(yè)內(nèi)部管理視角下的內(nèi)部控制審計(jì)。其中，注冊(cè)會(huì)計(jì)師視角下的內(nèi)部控制審計(jì)是指注冊(cè)會(huì)計(jì)師接受被審計(jì)單位董事會(huì)委托對(duì)被審計(jì)單位內(nèi)部控制的設(shè)計(jì)與運(yùn)行有效性進(jìn)行審計(jì)并發(fā)表審計(jì)意見的過程，目前我國(guó)的上市公司均需按照《企業(yè)內(nèi)部控制審計(jì)指引》的要求聘請(qǐng)注冊(cè)會(huì)計(jì)師進(jìn)行內(nèi)部控制審計(jì)；基于企業(yè)內(nèi)部管理視角下的內(nèi)部控制審計(jì)，其實(shí)質(zhì)是屬于企業(yè)的一種自我評(píng)價(jià)活動(dòng)，由企業(yè)內(nèi)部人員（內(nèi)部審計(jì)人員及業(yè)務(wù)流程負(fù)責(zé)人）進(jìn)行的自我測(cè)試、審計(jì)，目的在于發(fā)現(xiàn)并整改內(nèi)控執(zhí)行缺陷，促進(jìn)公司內(nèi)部管控水平提升。

可見，內(nèi)部控制與內(nèi)部控制審計(jì)兩者在職能和目標(biāo)上是不同的。

（二）內(nèi)部控制審計(jì)與信息系統(tǒng)審計(jì)

根據(jù)國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）的定義，信息系統(tǒng)審計(jì)是“搜集并評(píng)價(jià)審計(jì)證據(jù)的過程，以判斷信息系統(tǒng)是否能夠有效保證資產(chǎn)安全、數(shù)據(jù)完整及高效地使用組織資源實(shí)現(xiàn)被審計(jì)單位的目標(biāo)。”從ISACA對(duì)信息系統(tǒng)審計(jì)內(nèi)容的規(guī)定來看，信息系統(tǒng)審計(jì)包括信息系統(tǒng)建設(shè)生命周期管理、信息資產(chǎn)保護(hù)、災(zāi)難恢復(fù)計(jì)劃等；從信息系統(tǒng)審計(jì)工作實(shí)踐上來看，信息系統(tǒng)審計(jì)包括信息安全審計(jì)、軟硬件管理審計(jì)等。而在傳統(tǒng)內(nèi)部控制審計(jì)工作中，審計(jì)人員一方面需要對(duì)信息系統(tǒng)進(jìn)行一般控制審計(jì)與應(yīng)用控制審計(jì)，以判斷支持企業(yè)日常工作的信息系統(tǒng)是否安全并得到有效控制，另一方面還需要運(yùn)用計(jì)算機(jī)輔助審計(jì)技術(shù)，以高效地分析、處理和驗(yàn)證從各個(gè)系統(tǒng)中獲取的數(shù)據(jù)。

可見，雖然兩者均屬于審計(jì)，但是屬于兩種不同類型的工作。

三、構(gòu)建信息技術(shù)內(nèi)部控制審計(jì)體系的探索與實(shí)踐

伴隨著公司信息化進(jìn)程的不斷發(fā)展，信息系統(tǒng)遍布公司的各個(gè)業(yè)務(wù)流程，為了促進(jìn)公司提高內(nèi)部控制管理水平，公司管理層十分重視對(duì)各業(yè)務(wù)領(lǐng)域的審計(jì)項(xiàng)目開展。在此背景下，公司利用信息技術(shù)進(jìn)行內(nèi)部控制審計(jì)的工作得到極大的支持，并形成了以“內(nèi)部控制審計(jì)系統(tǒng)”為中心的信息技術(shù)內(nèi)部控制審計(jì)體系，具體內(nèi)容包括內(nèi)部控制審計(jì)系統(tǒng)、持續(xù)審計(jì)系統(tǒng)及計(jì)算機(jī)輔助審計(jì)。

（一）構(gòu)建實(shí)時(shí)的全過程內(nèi)部控制審計(jì)監(jiān)督體系，發(fā)揮內(nèi)部審計(jì)免疫系統(tǒng)功能

1. 內(nèi)部控制審計(jì)系統(tǒng)的開發(fā)背景

作為境外上市公司，相對(duì)于國(guó)內(nèi)其它公司而言，公司較早的執(zhí)行了COSO內(nèi)部控制基本規(guī)范，為了確保公司內(nèi)部控制的設(shè)計(jì)有效，公司對(duì)各領(lǐng)域進(jìn)行了流程劃分及流程控制點(diǎn)細(xì)分，并按照國(guó)家法律法規(guī)、公司業(yè)務(wù)規(guī)范等要求對(duì)各控制點(diǎn)的操作流程等進(jìn)行描述，經(jīng)過不斷修訂形成了較為完善的內(nèi)部控制矩陣，該矩陣的構(gòu)建為公司內(nèi)部控制審計(jì)系統(tǒng)的建設(shè)提供了基礎(chǔ)。然而，完善的內(nèi)部控制制度體系離不開公司上下的一貫執(zhí)行，由于公司業(yè)務(wù)繁多，如何實(shí)時(shí)的對(duì)內(nèi)部控制的執(zhí)行有效性進(jìn)行評(píng)價(jià)成了難點(diǎn)。因此，公司以控制點(diǎn)為單元，按照各控制點(diǎn)的發(fā)生頻率及涉及單位下發(fā)樣本采集工單，通過將內(nèi)部控制矩陣固化到系統(tǒng)中的方式來實(shí)現(xiàn)對(duì)各控制點(diǎn)執(zhí)行的有效性進(jìn)行準(zhǔn)時(shí)實(shí)時(shí)監(jiān)督的目的。

2. 利用內(nèi)部控制審計(jì)系統(tǒng)開展內(nèi)部控制測(cè)試的工作程序及方法

與外部審計(jì)人員開展內(nèi)部控制測(cè)試類似，利用內(nèi)部控制審計(jì)系統(tǒng)開展內(nèi)部控制測(cè)試工作也需要先對(duì)控制點(diǎn)描述的準(zhǔn)確性進(jìn)行檢驗(yàn)，即通過查閱資料、訪談等審計(jì)手段確認(rèn)當(dāng)前的內(nèi)部控制程序是否能夠?qū)χ卮蟛铄e(cuò)、風(fēng)險(xiǎn)的發(fā)生起到防范作用，并且是否與當(dāng)前的實(shí)際情況相符；并在內(nèi)部控制設(shè)計(jì)有效性得到認(rèn)可的情況下，通過進(jìn)行穿行測(cè)試等來判斷某一業(yè)務(wù)是否按照內(nèi)部控制要求的程序得到一貫的執(zhí)行，也可通過審閱已完成業(yè)務(wù)的過程記錄、函證、觀察、訪談等方式確定內(nèi)部控制是否執(zhí)行有效。

3. 內(nèi)部控制審計(jì)系統(tǒng)運(yùn)行中的難點(diǎn)及成效

在利用內(nèi)部控制審計(jì)系統(tǒng)開展內(nèi)控測(cè)試的過程中，可根據(jù)審計(jì)目的的不同劃分為對(duì)關(guān)鍵控制點(diǎn)的測(cè)試和對(duì)所有控制點(diǎn)的全面測(cè)試。但無論哪種測(cè)試，都需要測(cè)試人員及控制點(diǎn)責(zé)任人員配合完成，配合的效果直接影響測(cè)試結(jié)論的準(zhǔn)確性。另一方面，由于系統(tǒng)中測(cè)試樣本提供的人為性、隨意性，在對(duì)某一控制點(diǎn)的缺陷認(rèn)定方面存在一些困難。盡管如此，內(nèi)部控制審計(jì)系統(tǒng)不但滿足了審計(jì)人員開展非現(xiàn)場(chǎng)審計(jì)及審計(jì)資料共享的要求，也通過系統(tǒng)交辦、承辦、反饋等環(huán)節(jié)，實(shí)現(xiàn)了部門間對(duì)內(nèi)部控制有效執(zhí)行的整體推進(jìn)，同時(shí)，內(nèi)部控制審計(jì)系統(tǒng)的測(cè)試結(jié)論也為公司內(nèi)部控制自我評(píng)價(jià)提供重要依據(jù)。

（二）推動(dòng)審計(jì)部門與其他部門間信息交換，實(shí)現(xiàn)持續(xù)審計(jì)監(jiān)督服務(wù)

1. 持續(xù)審計(jì)系統(tǒng)的產(chǎn)生

根據(jù)管理層的關(guān)注重點(diǎn)及業(yè)務(wù)部門的審計(jì)需求開展各類審計(jì)工作是公司內(nèi)部審計(jì)機(jī)構(gòu)的職責(zé)，但針對(duì)某一高風(fēng)險(xiǎn)領(lǐng)域如何進(jìn)行持續(xù)的審計(jì)監(jiān)督，成為審計(jì)實(shí)踐中亟待解決的問題。此外，為了研究審計(jì)發(fā)現(xiàn)問題產(chǎn)生的原因及更有效的發(fā)現(xiàn)問題，需要對(duì)大量的原始數(shù)據(jù)進(jìn)行調(diào)取，數(shù)據(jù)分析與建模也被更多地應(yīng)用于審計(jì)程序中。經(jīng)過對(duì)實(shí)踐工作進(jìn)行總結(jié)，公司通過將數(shù)據(jù)獲取、數(shù)據(jù)分析、審計(jì)發(fā)現(xiàn)及報(bào)告等系統(tǒng)化，實(shí)現(xiàn)了對(duì)某些領(lǐng)域的持續(xù)審計(jì)系統(tǒng)監(jiān)督。

2. 信息系統(tǒng)持續(xù)審計(jì)中的難點(diǎn)及成效

由于利用信息技術(shù)開展持續(xù)審計(jì)工作可實(shí)現(xiàn)對(duì)審計(jì)發(fā)現(xiàn)問題及審計(jì)報(bào)告的自動(dòng)生成功能，因此，內(nèi)部審計(jì)機(jī)構(gòu)的工作重點(diǎn)更多的是利用審計(jì)報(bào)告結(jié)果發(fā)現(xiàn)問題突出的單位并向管理層報(bào)告，同時(shí)，持續(xù)的與業(yè)務(wù)部門就審計(jì)發(fā)現(xiàn)問題進(jìn)行溝通確認(rèn)也成了工作難點(diǎn)。但信息技術(shù)的融入對(duì)內(nèi)部審計(jì)工作效率的提高及非現(xiàn)場(chǎng)審計(jì)目標(biāo)的實(shí)現(xiàn)起到了極大的促進(jìn)作用。

（三）運(yùn)用計(jì)算機(jī)審計(jì)工具，有效提升審計(jì)效率

同國(guó)內(nèi)大多數(shù)企業(yè)一樣，公司在利用計(jì)算機(jī)執(zhí)行和完成某些審計(jì)程序和任務(wù)的過程中，并未利用專門的輔助審計(jì)軟件進(jìn)行項(xiàng)目審計(jì)，主要是在審計(jì)業(yè)務(wù)中利用電子表格、數(shù)據(jù)庫(kù)及字處理軟件等幫助審計(jì)人員計(jì)算、復(fù)算、復(fù)核、分析審計(jì)數(shù)據(jù)，以節(jié)約審計(jì)時(shí)間、增加準(zhǔn)確性。這也是公司在各項(xiàng)目開展中使用最為廣泛的審計(jì)手段之一。

四、建立信息技術(shù)內(nèi)部控制審計(jì)體系的建議

（一）做好內(nèi)部控制審計(jì)信息化建設(shè)的整體布局，提高系統(tǒng)的開放性和可拓展性

內(nèi)部控制審計(jì)信息化建設(shè)是公司信息化發(fā)展的重要組成部分，認(rèn)真做好審計(jì)信息化建設(shè)的規(guī)劃及組織實(shí)施可避免信息化建設(shè)發(fā)展不均衡、低水平重復(fù)建設(shè)等諸多問題。此外，由于多數(shù)公司信息系統(tǒng)的數(shù)據(jù)口徑各不相同，增強(qiáng)電子數(shù)據(jù)的通用性和規(guī)范性，建立與之相適應(yīng)的數(shù)據(jù)采集轉(zhuǎn)換接口，對(duì)提高系統(tǒng)的適用性意義重大。

（二）建立內(nèi)部控制審計(jì)信息化標(biāo)準(zhǔn)，提高利用信息技術(shù)進(jìn)行內(nèi)部控制審計(jì)工作的規(guī)范性

內(nèi)部控制審計(jì)信息化在促進(jìn)內(nèi)部控制行為規(guī)范的同時(shí)，也須對(duì)內(nèi)部控制審計(jì)系統(tǒng)的設(shè)計(jì)與開發(fā)、運(yùn)行與維護(hù)、審計(jì)程序及審計(jì)證據(jù)的搜集與使用、審計(jì)人員應(yīng)具備的資格等方面做出明確規(guī)定，并在建設(shè)和實(shí)踐的相互作用中，不斷完善信息化技術(shù)內(nèi)部控制審計(jì)理論。

（三）拓寬信息化人才培養(yǎng)渠道，提高內(nèi)部審計(jì)人員整體信息化素質(zhì)

其一，引入一些既熟悉信息技術(shù)又精通審計(jì)的復(fù)合型人才到內(nèi)部審計(jì)隊(duì)伍中，補(bǔ)充信息化審計(jì)人才缺口。其二，有針對(duì)性地開展各種業(yè)務(wù)培訓(xùn)，促進(jìn)現(xiàn)有內(nèi)部審計(jì)人員更好地掌握信息化環(huán)境下的現(xiàn)代審計(jì)技術(shù)和方法。其三，加強(qiáng)部門間橫向交流，特別是與信息專業(yè)人才的交流，通過實(shí)踐鍛煉、借調(diào)、交流，不斷提升內(nèi)部審計(jì)人員的計(jì)算機(jī)審計(jì)開發(fā)與運(yùn)用水平。

參考文獻(xiàn)：

[1]閆夢(mèng)然.我國(guó)企業(yè)內(nèi)部控制審計(jì)問題研究[D].財(cái)政部財(cái)政科學(xué)研究所，2013.

[2]張海霞.企業(yè)內(nèi)部控制審計(jì)研究[D].山西財(cái)經(jīng)大學(xué)，2012.

[3]葉常青、仇棟良、于鐵軍、李勉、陳偉波、丁朝霞.基于數(shù)據(jù)挖掘、聯(lián)網(wǎng)審計(jì)和在線審計(jì)的內(nèi)部審計(jì)信息化建設(shè)—來自廣州市公安局內(nèi)部審計(jì)信息化建設(shè)的實(shí)踐[J].全國(guó)內(nèi)部審計(jì)理論研討優(yōu)秀論文集，2013.

[4]陳冬梅、劉彥軍、王紅霞、裴浩帆、張國(guó)剛、王曉輝、李兵、潘國(guó)輝.企業(yè)內(nèi)部審計(jì)信息化建設(shè)研究[J].全國(guó)內(nèi)部審計(jì)理論研討優(yōu)秀論文集，2013.

[5]焦學(xué)文.證券公司內(nèi)部審計(jì)信息化發(fā)展現(xiàn)狀及趨勢(shì)[J].審計(jì)與理財(cái)，2014（05）.

[6]李晟璐.高校會(huì)計(jì)信息系統(tǒng)內(nèi)部控制體系構(gòu)建[J].財(cái)會(huì)通訊，2015（35）.

[7]張瑕.基于注冊(cè)會(huì)計(jì)師視角的內(nèi)部控制審計(jì)問題研究[D].安徽財(cái)經(jīng)大學(xué)，2013.

（作者單位：中國(guó)移動(dòng)通信集團(tuán)內(nèi)蒙古有限公司）