会计信息化下内部控制审计研究

中南财经政法大学 杨 蓉

当前，我国的内部控制体系已初步形成，但与国外相比仍存在较大的差距，内部控制审计正处于起步阶段。经过一段时间的摸索和实践，我国的内部控制审计取得了一定的发展但也存在一系列亟待解决的问题。会计电算化软件和管理信息系统的广泛运用使我国进入了会计信息化阶段。企业实施会计信息化的过程也是一个业务流程再造的过程。会计信息化不仅改变了企业的会计核算方式也改变了企业的控制流程和人员分工。在会计信息化条件下，绝大部分的数据核算都由计算机独立完成，而数据的输入和输出由企业的各部门人员共同完成。因此，人员分工、权限设置成了内部控制制度的重要组成部分。另一方面，会计信息化不仅使计算机网络成为了内部控制的载体，也使某些会计信息成为了公司上下乃至公司内外共享的资源。

会计信息化不仅改变了内部控制的形式，扩大了内部控制的范围，还给企业带来了新的内部控制风险。由此，会计信息化也对内部控制审计产生了较大的影响，只有清楚地认识这些影响，注册会计师才能采取相应的措施，提高内部控制审计质量。但目前大部分内部控制审计仍以传统审计方法为主，采用清点实物、账项核对等传统审计方法，内部控制审计信息化程度很低，对新的审计工具和风险评估技术运用较少。这不仅阻碍了我国内部控制审计的进一步发展，也阻碍了我国内部控制审计质量的提高。注册会计师必须明确我国企业内部控制所处的阶段，了解会计信息化对内部控制审计产生的影响，才能找到相应的解决办法，提高内部控制审计质量。

一、会计信息化下内部控制审计的特征

会计信息化在给内部控制带来深刻变化的同时也给内部控制审计带来了较大的影响。总体而言，会计电算化扩大了内部控制审计的范围，提高了内部控制审计的风险。与传统的内部控制审计内容相比，会计电算化下的内部控制审计还应包括对会计信息系统的审计和数据安全性的审计。

（一）需要对会计信息系统进行审计。在会计信息化条件下，绝大部分数据和信息都由计算机自动处理和生成，实现了会计处理的自动化。由此，除传统的内部控制审计工作外，审计人员还应确定企业运用的会计信息系统的设计与开发是否正确、合理，能否保证数据处理的可靠性。

会计信息系统数据的正确性、可靠性是使内部控制有效并达到内部控制目标的基本前提。在传统的手工会计处理工作中，会计数据的处理流程清晰可见。而在会计信息化下，会计信息系统将这一系列的处理流程都隐藏在了计算机和网络中。会计人员只需进行数据的输入和输出，其他一切运算都由计算机独立完成。计算机处理过程中任何一个环节的错误都会引发一连串的连锁反应。因此，内部控制审计人员应对会计信息系统的正确性和可靠性进行检查，明确程序设计是否正确，是否符合相关会计法规的要求。

（二）需要对数据安全性进行审计。会计信息化给数据的安全性带来了一定的隐患。原因主要分为两方面：第一，会计数据的修改具有无痕性；第二，会计信息下载的安全问题存在不确定性。

运用管理信息系统时，企业通过登入权限的设置进行人员分工，相关人员用用户名和密码登录信息系统，进行数据的输入、输出等处理工作。原则上，登录后员工只能看到既定权限内的相关信息，但是只要有相应的权限任何人都可以不留痕迹地输入、查询和修改所有的数据信息。由此，无论是对数据库的非法访问还是黑客入侵都有可能影响数据的安全性。这不仅带来了新的内部控制风险，也大大提高了内部控制审计的风险。因此，注册会计师应加强对内部控制制度中人员分工、权限管理的审查。

会计信息化将计算机网络技术运用到企业管理中，使数据共享成为了可能。数据共享在给企业管理带来便利的同时也给内部控制带来了新的风险。完善的内部控制制度应保证企业的会计信息不会被非法截取或者下载。因此，注册会计师要对会计信息共享的安全性进行审计，确定防火墙是否建立，网络系统是否有实时监控功能。总之，注册会计师要加强对数据安全性的审计，明确企业是否建立了相应的内部控制制度以确保会计信息不会被非法截取、篡改和下载。

（三）审计风险提高。在传统的手工会计处理中，从原始凭证到记账凭证,由过账到财务报表的编制,每一步都有文字记录,都有经手人签字，形成了重要的审计线索，让注册会计师有章可循，有证可查。但会计信息化使磁盘取代了会计凭证、账簿，大量的审计线索也随之消失。审计线索的缺失在增加审计难度的同时也提高了审计风险。

另一方面，由于会计系统信息化后功能的集中，导致职责的集中，职责分离执行不力，无法避免执行人员的串通舞弊现象，使越权操作成为可能，如果高层管理人员违规操作，那么再严密的内部控制也不能产生应有的效果，毫无疑问，会计信息化使管理层合谋舞弊的风险提高了。会计信息化使计算机控制和人机交互控制成为了内部控制的重点，为管理层谋取私利提供了一定的便利。数据处理的无纸化、无痕化造成了审计线索的缺失，使管理层合谋舞弊隐藏得更深，更难发现。因此，会计信息化对企业总体层次的内部控制审计产生了较大的影响，提高了内部控制审计的难度和风险。

二、会计信息化下加强内部控制审计的措施

（一）审计团队中加入计算机专业人员。会计信息化对企业的内部控制产生了较大的影响，给会计数据的安全性造成了较大的冲击。同时，会计信息系统能正确处理会计数据、会计信息，是整个管理信息系统顺利运行的基础。因此，注册会计师在对企业进行内部控制审计时，必须对信息系统的正确性、可靠性和安全性进行测试，这就要求审计团队拥有较高的计算机信息技术的运用能力。

审计的关键在于人才，会计信息化在对内部控制产生影响的同时也给内部控制审计团队提出了较高的要求，这迫使我国加快计算机审计人员的培养。而计算机审计人员的培养是一个长期的过程，不是短时间内能够完成的。在这段空白期内，可以在审计团队中加入计算机的专业人员，让计算机的专业人员对企业管理信息系统的正确性和安全性进行测试。一方面，确定管理信息系统对数据的处理是否正确、可靠；另一方面，确定管理信息系统是否存在较大的安全漏洞，是否建立了防火墙等保护措施。

会计信息化已成为了企业发展的趋势，计算机审计人员的缺失是我国信息化下的内部控制审计存在的重要问题之一，只有解决了这一问题才能更好地推动我国内部控制审计的发展。

（二）加强重要账户的穿行测试。在内部控制审计中注册会计师要评价控制设计的有效性，确定控制执行的有效性，还要确定交易过程中与认定相关的错误的重大风险点。常用的审计方法有询问、检查、观察、穿行测试。询问、检查和观察有时不足以测试内部控制运行的有效性，因此，注册会计师应将这三种审计方法和穿行测试结合起来，以获得更高水平的保证。从另一方面看，注册会计师在执行穿行测试时往往也要综合运用询问、检查、观察等方法。穿行测试能让注册会计师更深入、透彻地了解企业内部控制的设计和执行情况，获得充分和适当的审计证据。

会计信息化给会计信息的安全性带来了巨大的影响，只要拥有相应的权限，任何人都可以不留痕迹地随意输入、修改、删除相关的会计信息。这对企业人员分工、计算机权限设置提出了较高的要求，同时也提高了注册会计师进行业务单元层次内部控制审计的难度。因此，注册会计师应更多地运用穿行测试这一审计方法来进行内部控制审计，以提高内部控制审计的效率。

（三）法律明文规定保留数据修改和下载的痕迹。

现在通用的管理信息系统大部分没有保留数据信息修改、删除和下载的痕迹，造成了审计线索的缺失，给内部控制审计带来了较大的挑战。在传统的手工会计处理中，凭证、账簿中的修改、删除都清晰可见，形成了一系列审计线索，让审计有据可循。但是，在会计信息化下，员工对会计数据的修改删除是不留痕迹的。另一方面，管理信息系统使会计信息成为了企业上下乃至企业内外共享的资源，只要拥有相应的权限任何人都能下载相关会计数据。这一系列问题给会计数据的安全性带来了较大的隐患。对此，如果监管部门颁布法律条文要求所有的管理信息系统都必须保存数据修改、删除和下载的痕迹就能较好地解决这一问题。这样一来，不仅能提高内部控制的效率还能降低内部控制审计风险。

（四）改变审计委托模式。会计信息化从某种程度上提高了管理层合谋舞弊的风险，给注册会计师内部控制审计带来了较大的挑战。这种挑战是由会计信息化带来的，但更重要的是由我国的审计委托模式造成的。在实际的审计关系中委托人和被审计人都是同一个——公司管理层。这样便形成了尴尬的自己请人审自己的情况，也给了管理层造假的时间和机会。

随着计算机网络的发展和管理信息系统的普及，网络审计成为了可能。注册会计师不但可以足不出户，还可以在管理层毫不知情的情况下对企业的会计信息系统进行审计。因此，如果我国真的形成由股东大会委托注册会计师对公司管理层进行网络审计的良性审计关系，就能极大地降低注册会计师内部控制审计的风险，让注册会计师更有可能识别出管理层合谋舞弊的行为。

三、结论

我国的内部控制已经从会计电算化阶段发展到了会计信息化阶段，这是一个不争的事实，会计信息化不仅改变了内部控制流程，扩大了内部控制范围，还提高了内部控制的风险。注册会计师要明确会计信息化对内部控制产生的影响，对新的内部控制体系进行有重点的、全面的审计。具体而言，会计信息化条件下，除传统的内部控制审计内容之外，注册会计师还要对会计信息系统的正确性、合理性进行审计，要对数据的安全性进行审计，还要面对因审计线索缺失和管理层舞弊风险提高带来的更高的审计风险。对此，只有多管齐下，在提高审计队伍质量的同时完善法律、法规的建设，并改变审计委托模式才有可能真正达到提高内部控制审计质量的效果。

1.骆良彬、张白.2008.企业信息化过程中内部控制问题研究.会计研究，5。

2.卢兴.2008.企业会计信息化下的审计.审计与理财，9。