信息化条件下内部控制审计风险研究.docVIP

信息化条件下内部控制审计风险研究 　　【摘 要】在信息化的条件下，企业的内部控制审计风险具有许多不确定性，企业内部控制的有效性取决于信息系统的有效性。因此，信息系统是企业内部审计风险重要的影响因素。本文在研究了信息化条件下企业内部控制审计的现状和现阶段审计存在的风险问题的基础上，进一步提出了信息化条件下审计风险的评估策略。 　　【关键词】信息化 内部控制 审计风险 　　改革开放30多年以来，我国的信息技术取得了快速的发展，企事业单位的管理工作日趋信息化，并逐步构建起了统一的信息化管理平台。随之，信息化也给企业的审计风险带来了巨大的冲击。因此，企业必须重视信息化条件下内部控制审计风险，找到与企业相适应的风险分析方法，从而更好地改善审计的效率和效果。 　　一、信息化条件下企业内部控制审计的现状 　　（一）企业内部控制环境的现状。信息化条件下，企业内部控制环境发生了许多变化：1.信息技术降低了信息传输的延迟、噪音干扰及失真的可能性，扩大了信息接收的范围，增进了信息在组织各成员之间的传递和交流。2.更强调“以人为本、人机结合”的企业内部控制设计原则，使员工识别风险、与其他人员协同配合、发现问题并解决问题的能力得到增强；3.信息技术的应用，使企业在组织结构和内部协调两个方面发生了变革：组织结构的变化主要表现为组织结构趋于网络化、扁平化和虚拟化，这样，可以减少企业内部控制的层次，精简岗位，提高效率；内部协调的变化主要表现在改变了企业信息不对称的现状，将企业中的各种信息都集中存储在数据库系统内并不断及时更新，为员工及时有效地进行沟通提供了良好的条件。 　　（二）审计内容、技术及方法的现状。第一，信息系统的特点及固有风险决定了信息化条件下审计的内容还要包括对信息化系统的处理和相关控制功能的审查。第二，利用相关软件和计算机，计算机辅助审计技术随着信息技术的广泛应用而产生，它使审计工作实现了自动化，主要表现在：1.使现有手工执行的审计测试实现自动化；2.是手工方式的一种补充，在手工方式不可行的情况下执行分析或测试，它不仅能够提高审阅大量交易的效率，还能使审阅工作更有效果。 　　（三）风险评估过程的现状。信息化条件下，公司的业务流程的自动化大大降低了由于人员舞弊或疏漏而造成的风险。但系统的开放性、数据的共享性和信息的分散性给信息系统和业务流程带来了新风险。由于公司业务越来越依赖于信息系统，一旦信息系统失灵或崩溃，将有可能给公司带来不可估量的损失。信息化条件下，审计风险变得更加复杂，其危害性也有可能更加严重。 　　二、信息化条件下审计存在的风险问题 　　（一）企业战略目标的传达可能产生风险。信息化条件下，企业战略目标被细分成各项目、各阶段或各部门的具体目标。只有通过信息系统进行快速而有效的传达，才能保证企业战略目标的实现。在企业内部和外部，企业战略目标主要是通过会计信息的传递实现有效的传达。因此，企业战略目标的传达，与会计信息系统的有效性息息相关，低效传达将会影响会计信息系统的风险。 　　（二）计算机的控制与处理可能带来风险。在信息化条件下，手工控制越来越被自动化控制所代替。自动化控制能为企业带来不少好处，但也有可能带来一系列重大风险，主要包括：1.信息系统等相关系统程序可能会错误处理数据，也可能会去处理本身就错误的数据；2.若对数据库、自动信息系统以及操作系统的相关安全控制无效，可能会导致系统对非授权交易及不存在交易的记录和系统内部数据的破坏；3.不适当的人工干预或人为绕过自动控制。 　　（三）风险偏好可能加大审计风险。审计执行者的风险偏好是影响审计判断的第一要素。不同于以往的审计模式，现代的审计多为信息化条件下的风险导向审计，它将审计工作的重点放在了对风险的评估上。因为是否承接业务以及承接业务后如何在技术上规避风险由评估结果决定，所以现代这种审计模式使审计主体在进行专业判断时的弹性比较大。通常情况下，判断空间越大，审计风险受审计主体的风险偏好的影响就越大。 　　三、信息化条件下审计风险的评估策略 　　（一） 信息系统及评价相关人员。评价信息系统的适当性，以及内部控制评价人员、审计人员和其他相关人员的客观性和专业胜任能力，能够有效降低审计风险。如果某项内部控制设计和运行是由拥有必要授权和专业胜任能力的人员按照规定的要求和程序执行的，能够实现控制目标，那么这项设计就是有效的，相关控制存在的重大缺陷的风险也会相对较低；如果企业内部控制评价人员、审计人员的经验和信息技术知识比较丰富，且能较为可观的进行审计判断，或者我具有胜任能力的专家对这些工作的过程和结果进行客观地评价，那么，审计风险也会相对较低。 　　（二） 准确而又有效地评价控制缺陷。基于已有的信息系统流程，对控制缺陷进行有效的评价，能够进一步识别和评价相关风险。