基于信息集成内部控制评价与审计程序选择研究.docVIP

基于信息集成内部控制评价与审计程序选择研究 　　摘要：在信息集成环境中企业内部控制评价的重点，更多集中在环境变化后控制体系对新控制政策、程序遵循的程度，内部控制审计程序相应发生变化。本文根据内部控制要素构成从审计资源利用的角度，对将信息集成环境中的内部控制体系进行系统性划分，并引入职责分离评价模型，提出了内部控制审计程序的有效选择。 　　关键词：信息集成环境　内部控制评价　审计程序 　　 　　一、引言 　　 　　较多依赖信息集成系统的企业(如银行、证券公司等金融企业、超市等大型百货零售企业、以ERP等为平台的制造企业)，将自身的业务数据和财务数据、业务过程和财务过程在信息技术环境中集成，以自动实现企业经营运行和财务反映的一致性。在这种反映关系的信息集成环境中，企业会计报表是否完全在内部控制的推动下产生，目前在我国一些基于信息集??环境的审计项目中，企业内部控制评价流于形式。一般认为，开展内部控制评价的直接目的是确定审计任务中的审计程序、重点和范围，由于利用计算机辅助审计技术可以方便的实施实质性测试，甚至可以对被审电子账簿实行详细审查，因此，开展内部控制评价工作不符合成本效益原则。然而，电子交易记录与原始凭证、与实物资产以及与人的行为等对应关系，目前还是得借助手工方法给予核对、监盘和审查，如果被审计单位提供的会计资料严重失真，所有基于这些资料的实质性测试都没有意义，审计人员将会遭受极大的风险。长期以来，信息技术环境下内部控制评价的成效在我国一直不能得到突破，审计主体的观念固守以及专业胜任问题是其中主要原因，目前尚没有明显的迹象表明这种状况会在短时间内有很大的改变。在传统的功能较为单一的财务信息系统环境中，由于系统功能仅是对会计或业务过程的模拟，企业的组织结构、管理流程、应有的内部控制点都未发生根本的变化，系统中信息的流入流出不仅量小且内容单一，内部控制评价的客体，包括控制点的效用、信息产生的动因和所涉及的部门一目了然，也便于取证。因此，审计主体在内部控制审计程序中尚可较多的利用以往的经验和方法。与此不同的是，信息集成系统在管理理念更为精细、技术实现基础更为复杂的背景下构筑起来，并在企业内部营造出信息流转有序、业务功能联动，甚至在企业间沿着供应链的方向达到信息集成的IT集成环境，相应地其中内部控制的形态也呈现出多样化和复杂性的特征。要对信息集成环境中的内部控制体系进行全面的测试和鉴证非常复杂而耗时，必将带来审计成本的升高，这并不符合制度基础审计的意图，因此，审计主体没有必要对所有这些控制形态都进行深入评价。过分关注信息技术在信息集成环境中内部控制结构的风险因素。或唯注重传统内部控制措施的有效与否，都会使我国目前的内部控制评价工作走入相对狭隘的空间从而流于形式。能否在成本效益原则下评价内部控制的存在性与有效性，必须深入了解新环境给审计工作带来的影响，并依赖于审计程序的创新和审计技术的发展。 　　 　　二、信息集成环境的内部控制评价特性分析 　　 　　理想的信息集成环境是在企业的中高层业务管理人员直接参与，并将组织结构与业务流程重组的前提下构建的，企业的控制活动与集成系统相适应，并在其实施之际就得到确定，各类交易数据从初始录入开始的无缝数据流特性减少了内部控制执行个体主观素质的差异及事后检查的弊端，也满足了企业内部信息沟通的有效性，信息集成环境中企业内部控制的评价指标更多的集中在环境变化之后控制体系对新的控制政策、程序遵循的程度，内部控制的评价工作呈现出如下特性。 　　(一)评价内部控制建设的总体性目标由审计职业主导信息集成环境中的企业内部控制建设满足两个目标，即经营管理性目标和技术性目标，后者强调对信息技术风险的防范或控制，如服务器安全控制、登录安全控制、数据库安全控制等。信息集成系统的复杂性已催生出多种专业审计技术的问世，其中并行审计技术被公认为最有效，该技术在应用系统中嵌入审计模块，在系统运行的同时实行连续监控，包括对事务流事件、时间事件、文件事件的监控。虽然系统技术性的风险评估应用受到现代技术发展的约束，非传统审计职业所能控制，但由于信息技术人员不熟悉会计要求和审计风险，所以只能依据审计人员的风险识别指令开展工作，向审计小组提供与集成系统直接相关的审计证据，在审计活动中扮演辅助角色。审计专业人员则需要了解企业的整体信息流程及关键性信息流程的固有风险点，在此基础上指导其他专业人员开展审计工作。因此，评价信息集成环境内部控制建设的总体性目标由审计职业主导。 　　(二)形成内部控制链因果关系预期的难度加大为了评价企业内部控制在设计和运转上可能存在的漏洞，审计师首先要建立只针对被审企业的正确完善的内部控制框架预期。传统环境中，审计范畴下发展起来的内部控制评价更注重会计控制，因此，利用控制过程中清晰的因果关系，