浅析内部控制审计及其与信息技术融合.docVIP

浅析内部控制审计及其与信息技术融合 　　内部控制自产生起就与审计有着紧密的联系。无论是制度基础审计，还是风险导向审计， 对内部控制的测试与评价，都是审计的重要工作之一，并最终发展成为审计学科的一个重要分支mdash;mdash;mdash;内部控制审计。本文结合内部控制审计的特点，探索内部控制审计与信息技术深度融合的方法，是提高内部控制审计的效率与效果的有益尝试。 　　一、内部控制审计概述 　　(一)内部控制审计 　　内部控制服务于组织的管理需求，其目标包括：合理保证外部法令与内部规章得到遵循; 促进经营方针与目标的实现;合理保证信息真实、完整，财务报告可靠。内部控制体系由控制环境、风险评估、控制活动、信息与沟通、监控等五个要素构成，诸要素协同作用，为三大目标的实现提供合理保证。 　　随着企业面临的市场环境中风险日益增大，COSO 认为内部控制应该强化风险管理理念和意识，在2005 年10 月发布了《企业风险管理：整合框架》，对《内部控制：整合框架》进行更新，将其中的风险评估要素细化为事项识别、风险评估和风险应对三个要素，内部控制进入到一个全面风险管理的阶段。 　　随着制度基础审计方法的推行，内部控制评价逐渐成为一项重要的审计程序和工作内容。对内部控制进行测试评价，最终发展成为对内部控制进行审计，并进入制度化轨道。 　　(二)内部控制审计的目标与作用 　　直接目标是鉴证内部控制的有效性并发表独立、客观、公正的鉴证信息;间接目标是促进企业内部控制的制度完善和执行有效。实施内部控制审计既是《内部控制审计指引》等规范的外部要求，也是企业自身不断完善内部控制体系确保实现内部控制目标的内在需求。 　　有学者以我国上市公司2007 年mdash;2008 年内部控制审计报告为对象， 对内部控制审计动机、价值相关性及内部控制效率相关性进行检验，结果表明：内部控制审计能够提高资本运作效率和投资者的信心，降低企业发生法律诉讼、财务信息违规的概率和次数;强化内部控制审计有助于企业内部控制监管， 优化市场效率。 　　二、内部控制审计的一般程序 　　内部控制审计有两种组织方式，单独立项审计和与其他审计项目整合审计。内部控制审计的一般程序包括： 审计计划、审计实施、缺陷认定、审计报告等环节。具体为： 　　合理的审计计划是保证内部控制审计项目质量的先决条件。在此阶段应初步判断其内部控制的有效性，并参考以前年度对内部控制的测试评价结果，以之作为编制审计计划的依据。 　　审计实施是内部控制审计的具体检查环节，一般采用自上而下的方法。即先从财务报表层次分析错报的可能来源，从企业层面控制初步了解内部控制整体风险;然后有针对性地选择拟测试的企业层面、执行层面控制流程进行检查测试，获取审计证据，形成审计检查底稿。 　　在完成企业层面与各执行层面控制流程的检查后，按照设计缺陷、运行缺陷、财务报告缺陷、非财务报告缺陷的不同类别，重大、重要、一般缺陷的不同程度等定性、定量的标准来评价认定检查中发现的内部控制缺陷。 　　审计报告是内部控制审计最终结果的展示。审计报告分为两种， 一种是标准内部控制审计报告，《内控审计指引》对标准内部控制审计报告的范式做出了详尽的要求， 包括标题、收件人、责任叙述、固有局限性说明、缺陷描述、内部控制审计意见等要素。另一种是非标准内部控制审计报告，包括带强调事项段、否定意见、无法表示意见三种。 　　三、内部控制审计的内容与方法 　　(一)内部控制审计内容 　　1、内部控制设计的合理性。内部控制审计的对象是内部控制体系，应首先关注内控体系设计的合理性。重点关注内部控制诸要素是否齐备， 诸要素相互关联的设计是否合理，控制流程的设计是否做到经济、合理、有效，能否达到控制目标。这部分内容的审计应该贯穿始终，在检查各要素流程控制有效性的同时，关注其设计的合理性，最后在各个组成要素评价的基础上，对内部控制的整体设计能否合理保证控制目标的实现做出评价。 　　2、企业层面控制的有效性。企业层面的控制涉及内部控制的诸多要素。其内容包括企业管理层是否营造良好的内部环境，是否建立辨认、分析和管理相关风险的机制，将风险控制在可承受范围之内;企业是否进行持续的内部监督，包括日常监督和专项监督。 　　3、执行层面运行的有效性。检查评价执行层面运行的有效性是内部控制审计的重点。具体内容包括所有确保管理层的指令得以执行的政策和程序，同时要关注各业务流程设置的合理性，检查业务流程的每一个控制点是否有效执行。 　　(二)内部控制审计方法 　　内部控制审计抽取的样本以交易事项为主，一项交易通常是由交易主体、交易对象、交易辅助工具等构成的。审计过程是找证据的过程， 获得的审计证据也表现为三种基本形式