信息技术在内部控制审计中的应用

刘彦军

（胜利石油管理局 审计中心，山东 东营 257000）

以计算机、网络为代表的信息技术在各领域的广泛普及，促使审计环境发生了巨大变化。企业大部分经济活动的业务流程已经脱离了手工操作和纸质审批，完全在某个或多个管理信息系统中流转，纸质的痕迹已经不复存在。同时，随着信息技术在经济管理活动中的不断应用与日益渗透，内部控制审计已经远远超出了仅对手工记录的控制点进行审查的狭窄范围，正不断向信息技术领域深入。如果审计人员仍然固守传统审计的经验和做法，不懂得掌握和利用信息技术开展审计工作，必然面临巨大的潜在审计风险。但是，目前审计人员在信息技术条件下开展的内部控制审计过程中还存在内容不清、方法不明、方向模糊等诸多问题和困难，如何规范、有效地利用信息技术开展内部控制审计已成为迫切需要解决的问题。

一、目前内部控制审计存在的问题和困难

内部控制是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称，包括控制环境、风险评估、控制活动、信息与沟通、监控等五个要素［1］。内部控制审计是指审计部门依据审计工作计划和内部控制要求，运用规范的技术和方法对组织及其所属各单位内部控制设计和运行的有效性所进行的审计及评价活动。在企业生产经营活动快速信息化的背景下，审计部门开展内部控制审计主要面临以下问题和困难：

（一）难以对内部控制情况进行全面检查测试

在传统的手工操作时，企业的内部控制情况清晰可见、有据可查。而在信息系统环境下，内部控制主要依赖于管理信息系统，内部控制环节及相关要求融于各管理信息系统中，使审计人员无法通过传统方法觉察。特别是在进行信息系统设计时如果考虑不周全，系统可能无法判断出某些数据是否符合逻辑，对不合理的数据可能依旧进行正常处理，同时对错误数据的处理产生重复性和连续性，从而可能导致审计人员作出错误的判断。

（二）难以对内部牵制是否有效进行判断

在传统的手工系统下，可以通过建立岗位职责、进行不相容岗位分离以达到内部控制的目的。在信息系统下，一是通过划分操作员的职责、设置权限和密码达到人员职责分工；二是通过软件设计划分若干子系统或功能模块实现设置不同的责任中心。由于在信息系统中许多不相容职责相对集中，一方面可能由于不恰当的授权而加大舞弊的风险，另一方面权限设置的重叠或跨越责任中心越权设置，使相应的控制措施有可能失去应有的作用，如果审计人员在实施审计工作时未能及时有效发现这种弊端，将增加审计风险。

（三）难以对采用的信息系统进行检查评价

在传统的手工系统下，审计人员通过检查内部控制各环节的控制文档来检查评价其有效性。在信息环境下，如何应用信息技术检查企业应用的各类生产经营管理信息系统，对其本身设计与执行的有效性方面还存在内容和方法的模糊认识。

二、应用信息技术开展内部控制审计的内容

2005年，胜利油田分公司根据外部监管要求和中国石化股份有限公司统一部署，建立实施了内部控制制度，并在参考中国石化股份有限公司《内部控制手册》的基础上制定出《内部控制手册实施细则》。同期还上线运行了ERP（企业资源计划管理系统）。2006年开始，根据内控监管要求，胜利油田分公司审计部门分年度独立实施了内部控制审计项目，结合工作实际经验，笔者认为应用信息技术开展内部控制审计的主要内容包括：

（一）信息系统管理体制机制情况审查

这是公司层面的审查，主要包括审查企业是否建立了信息系统风险管理体系，职责是否明确；企业的主要负责人是否是信息系统风险管理责任人；信息系统的管理制度和内部控制流程是否健全；是否设立专门审计岗位进行信息系统风险审计；各业务信息系统上线运行后，是否每年定期进行风险评估，内容是否完整，是否在信息技术风险评估后制定风险管理策略、实施风险管理、持续跟踪改进等，是否定期向本单位专职部门报送相关信息系统管理信息等；IT战略规划是否科学，是否符合企业业务发展需要。

（二）权限及职责分离类审查

内部控制要求由审计组中ERP－BASIS人员和业务审计人员共同完成，通过信息系统查询具有关键操作权限的系统用户清单，如财务人员和物资采购业务人员等，确定系统用户是否与其工作职责相符，对比不相容岗位的用户清单，确定是否存在交叉用户；获取接入网络的外单位用户清单，是否存在用户终端接入申请审批表，是否包含安全责任条款，以及是否经所在部门和信息部门批准；是否建立了有效的网络认证机制，对网络访问控制进行统一的管理；获取人事部门提供的员工离职清单，检查所有的网络权限是否均已被删除。如在对有的企业物资采购内部控制审计时，就发现有部分关键岗位的业务人员，由于岗位进行了调动，还保留原有的职责权限，产生了不相容岗位未有效分离的情况，存在较大信息安全风险。

（三）系统配置审查

系统配置审查是指是否按照内控制度要求进行了合适的系统后台配置。重点审查价格差异和成本费用结转以及分摊分配的配置情况；是否存在对价格差异应配置成系统自动进行差异分配，而企业自行配置成人工手动配置，从而到达利用价格差异进行成本随意调节，调剂利润的情况；成本费用结转是否存在应在规定的科目内进行结转，而企业未在此科目进行结转，从而达到利用调整结转科目，规避考核指标，虚报经营成果的情况。

（四）业务操作类控制审查

主要是参数控制审计，审计人员要关注企业是否对信息管理系统的配置参数实施严格的安全与保密管理，防止非法生成、变更、泄漏、丢失与破坏，并根据敏感程度和用途，确定存取权限、方式和授权使用范围，严格审批和登记手续；结合业务政策和系统功能选定重点审计参数，检查参数设置情况，确认参数设置是否正确合规；查阅参数调整记录文档，确认参数是否建立了可追溯机制与轨迹，并重点关注异常参数的调整。

三、应用信息技术开展内部控制审计的主要方法

审计人员应坚持“风险导向和抓重点”的原则，根据企业生产经营特点和内部控制实际情况，充分借助ERP系统审计抽样模型，主要采用符合性测试与实质性检查相结合和穿行测试等方法，辅助采用判断抽样、实地查验等方法开展内部控制审计评价。

（一）穿行测试法

穿行测试法是指运用信息技术穿越整个流程所有关键环节进行测试，完整了解某项业务的设计及执行情况，并将运行结果与设计要求对比，以发现业务的薄弱环节和内部控制缺陷的评估评价方法。对于需要进行穿行测试的业务流程，为保证一定的置信水平和有效控制剩余风险，审计人员应至少随机抽取3笔业务进行穿透测试。检查时应按照内部控制审计业务流程检查工作底稿上的穿行测试标识及穿行测试控制点标志，尽量穿透某项业务内部控制流程，一些穿行测试可以选择逆向检查，从已执行完毕（例如合同已关闭等）的业务中选择样本，以保证穿透业务流程。

（二）抽样法

对采购、销售、财务、资本支出管理等业务流程，审计抽样时要引入重要性标准，重要性标准一般可按照检查期间内检查业务（控制点）所涉及的账户或交易总金额乘以5%确定，对于超过重要性标准的业务要全部进行检查，对于低于重要性标准的业务可采用随机抽样的办法进行检查。对采用ERP系统审计抽样模型进行控制点抽样的，必须保留该控制点的抽样结果截图，并作为业务流程底稿的附件。如果检查区间实际业务发生数少于应检查样本数时，以该控制点实际发生的笔数为检查样本数。相关控制点如果未发生业务或按照流程规定没有执行到相应点，可以认定该控制点未发生相关业务，则不需采集样本。对于检查发现问题的控制点，必须以判断抽样为主扩大抽样范围，并进行实质性检查，深入查实问题的责任、原因以及所涉及期间内的数量和总金额。

（三）实地观察法

信息环境下的业务活动、内部控制执行情况、信息设备实物存在环境、计算机系统实际操作过程、数据备份与存储实际运行情况等，均可采用观察法。审计人员可对照审计方案内容实地观察有关环境或者有关人员的操作，并结合访谈及有关文档资料，对网络、服务器、计算机设备以及有关系统功能或者操作流程进行审查。应用该方法时应注意选择好时间和地点，并首先确认所观察对象是否与实际情况一致，做好记录以应对观察对象的易失性。

（四）重复执行法

审计人员可以借助企业信息系统的测试系统，通过审查输入权限、输入格式、输入范围及自动处理等系列输入控制措施，判断系统是否对输入数据的完整性、准确性和唯一性进行了适当控制，分析数据输入是否符合规定流程并经过合理授权、审批；通过数据验证，审查数据输入错误处理功能是否健全有效，包括错误提示、跟踪、报告、处理。该方法主要是检查内部控制中的预警功能，目的是为了验证系统中是否配置了相应的预警和提示功能，如供应商的增强功能、物料主数据的增强功能等，如果设置或启用了此项功能，表明企业在此控制点上进行了有效控制。

此外，还可以利用计算机辅助审计工具和技术对相关控制点进行审计验证。在保持审计独立性、客观性及职业技能的质量控制前提下，可利用其他专业机构的审计结果或组织对信息技术内部控制的自我评估结果等。

四、应用信息技术开展内部控制审计的展望

目前，应用信息技术开展内部控制审计还停留在初级阶段，应该看到，技术还比较落后，方法还比较陈旧，效果还不很明显。在今后很长一段时间内，我们应积极转变观念，通过应用新的信息技术对内部控制进行审计，希望能够达到预期的审计效果，对完善内部控制，加强企业经营管理，将重点实现以下五个方面的突破：

（一）查找舞弊，创造良好的内部控制环境

在信息技术条件下，企业的生产经营活动将更多地依赖各种信息系统的支持。但是，由于信息系统所采用的信息技术存在很大的私密性和较高的技术门槛，大大增加了内外部人员利用信息技术从事非法活动和营私舞弊的可能性，从而相应增加了企业潜在损失的风险。完善的信息技术系统能准确、全面、及时地为企业内部监督机构提供履行其监督职能所需的信息，也为内外部治理机制的完善提供了基础性支持。通过应用信息技术进行内部控制审计，能够提升查找实际经营活动和所用信息系统中各种非法活动和舞弊行为的水平，使管理者抓住管理重点，及时做出决策，消除各种非法活动或舞弊行为，有助于改善企业的治理机制，创造良好的内部控制环境。

（二）发现风险，做出有效的风险评估

在信息化环境下，信息在企业中的作用越来越重要，信息化环境促使信息存储高度集中、单位时间传递的信息量大为提高，这些都增加了与信息资产和信息系统相关的风险。如果信息系统、数据仓库或共享中心受到强电磁干扰、网络攻击等计算机犯罪或遭受自然灾难的影响，极易造成控制失灵或系统崩溃，一旦重要信息遗失或被窃，都将给企业带来难以估量的损失。所以，我们应该把信息技术作为强化内部控制审计的一个有效工具，借助信息技术强大的搜索、计算、分析等功能，及时发现潜在的风险，进而做出正确的风险评估，有效规避风险。

（三）挑战传统，保证内部控制活动效果

在信息化环境下，业务流程的控制标准及要求已经嵌入到企业的各种经营管理信息系统中，为保证其系统正确性、完整性和安全性，有必要采取包括计算机软硬件设备、应用系统、数据和相关人员等信息系统组成要素的控制措施。在应用信息技术对内部控制审计后，根据审计评价后的结果，将会对企业的内部控制在设计的科学性和执行的有效性等方面提出新的更高的完善要求，较传统的内部控制而言，能够进一步保证控制制度、程序和措施更加全面、深入、有效，进而达到预期的控制目的。

（四）上下联动，畅通信息和沟通的渠道

通过运用信息技术对内部控制进行审计，将有助于提高内部控制的效率和效果，对内部控制的信息与沟通这一要素产生更为积极有利的影响［2］。一是促进董事会有效履行职责。通过运用信息技术对内部控制进行审计，能够有效消除董事会与管理层进行信息互换的障碍，有利于董事会与管理层保持信息对称，全面、完整地获得所需信息，更为有效地履行其监管职责。二是促进管理层与公司员工进行具体和有效的沟通。通过运用信息技术对内部控制进行审计，管理层能够使员工及时明确其行为预期和责任，更好地履行其领导职责。三是畅通外部信息沟通渠道。通过运用信息技术对内部控制进行审计，能保证企业与外部信息沟通渠道的畅通，确保企业的信息系统能获取和提供外部的事项、活动及环境有关的信息，同时给客户、供应商、监管部门等外部群体提供必要的信息，为企业营造一个良好的外部经营环境。

（五）自动完成，提高日常监督的效果和效率

信息技术环境下，监督的重点应该由传统的事后监督转为事前监督与事中监督相结合，以事前监督为主，侧重于信息系统的设计、实施、维护和操作过程等方面，其具体实施可考虑由内部审计部门负责执行。借助于信息技术对内部控制的审计，可在全面识别、分析、评估信息系统与经营活动相关风险的基础上，对能够使用定量指标评价的控制环节和标准，通过进行合理参数配置和定时执行检查程序，实现部分监督工作过程的自动化，并且可以通过采用网络技术实现实时监督、远程监督。如果出现达到或超过预警参数设定标准的情况，审计人员可以快速分析查找原因，将问题和风险消灭在萌芽状态，防患于未然，从而提高监督的效果和效率。

综上所述，内部控制审计通过应用信息技术，在明确监督评价内容和采取适当检查方法的基础上，不但能对企业经营活动控制的有效性进行检查评价，而且能对企业有关业务应用信息系统的规划、开发、运行、维护和管理等方面进行检查，对系统的安全性、可靠性、有效性以及项目建设的合规性进行综合评价，保证企业各类经营活动、系统建设和运行符合法律法规及监管要求，完善信息化环境下的内部控制制度，进一步维护资产和资源的安全和完整，增强企业的生存和竞争能力，为企业可持续发展保驾护航。

［1］胡娟，郭庆.企业信息化与内部控制关系研究［J］.中南财经政法大学研究生学报：理论研究版，2006，25（7）：61.

［2］孙伟英.信息化环境下企业内部控制探讨［J］.中国总会计师：理论研究版，2012，12（12）：45-46.