基于信息集成的内部控制评价与审计程序选择研究

来源:用户上传      作者: 梅惠娟

　　摘要：在信息集成环境中企业内部控制评价的重点，更多集中在环境变化后控制体系对新控制政策、程序遵循的程度，内部控制审计程序相应发生变化。本文根据内部控制要素构成从审计资源利用的角度，对将信息集成环境中的内部控制体系进行系统性划分，并引入职责分离评价模型，提出了内部控制审计程序的有效选择。
　　关键词：信息集成环境　内部控制评价　审计程序
　　
　　一、引言
　　
　　较多依赖信息集成系统的企业(如银行、证券公司等金融企业、超市等大型百货零售企业、以ERP等为平台的制造企业)，将自身的业务数据和财务数据、业务过程和财务过程在信息技术环境中集成，以自动实现企业经营运行和财务反映的一致性。在这种反映关系的信息集成环境中，企业会计报表是否完全在内部控制的推动下产生，目前在我国一些基于信息集成环境的审计项目中，企业内部控制评价流于形式。一般认为，开展内部控制评价的直接目的是确定审计任务中的审计程序、重点和范围，由于利用计算机辅助审计技术可以方便的实施实质性测试，甚至可以对被审电子账簿实行详细审查，因此，开展内部控制评价工作不符合成本效益原则。然而，电子交易记录与原始凭证、与实物资产以及与人的行为等对应关系，目前还是得借助手工方法给予核对、监盘和审查，如果被审计单位提供的会计资料严重失真，所有基于这些资料的实质性测试都没有意义，审计人员将会遭受极大的风险。长期以来，信息技术环境下内部控制评价的成效在我国一直不能得到突破，审计主体的观念固守以及专业胜任问题是其中主要原因，目前尚没有明显的迹象表明这种状况会在短时间内有很大的改变。在传统的功能较为单一的财务信息系统环境中，由于系统功能仅是对会计或业务过程的模拟，企业的组织结构、管理流程、应有的内部控制点都未发生根本的变化，系统中信息的流入流出不仅量小且内容单一，内部控制评价的客体，包括控制点的效用、信息产生的动因和所涉及的部门一目了然，也便于取证。因此，审计主体在内部控制审计程序中尚可较多的利用以往的经验和方法。与此不同的是，信息集成系统在管理理念更为精细、技术实现基础更为复杂的背景下构筑起来，并在企业内部营造出信息流转有序、业务功能联动，甚至在企业间沿着供应链的方向达到信息集成的IT集成环境，相应地其中内部控制的形态也呈现出多样化和复杂性的特征。要对信息集成环境中的内部控制体系进行全面的测试和鉴证非常复杂而耗时，必将带来审计成本的升高，这并不符合制度基础审计的意图，因此，审计主体没有必要对所有这些控制形态都进行深入评价。过分关注信息技术在信息集成环境中内部控制结构的风险因素。或唯注重传统内部控制措施的有效与否，都会使我国目前的内部控制评价工作走入相对狭隘的空间从而流于形式。能否在成本效益原则下评价内部控制的存在性与有效性，必须深入了解新环境给审计工作带来的影响，并依赖于审计程序的创新和审计技术的发展。
　　
　　二、信息集成环境的内部控制评价特性分析
　　
　　理想的信息集成环境是在企业的中高层业务管理人员直接参与，并将组织结构与业务流程重组的前提下构建的，企业的控制活动与集成系统相适应，并在其实施之际就得到确定，各类交易数据从初始录入开始的无缝数据流特性减少了内部控制执行个体主观素质的差异及事后检查的弊端，也满足了企业内部信息沟通的有效性，信息集成环境中企业内部控制的评价指标更多的集中在环境变化之后控制体系对新的控制政策、程序遵循的程度，内部控制的评价工作呈现出如下特性。
　　(一)评价内部控制建设的总体性目标由审计职业主导信息集成环境中的企业内部控制建设满足两个目标，即经营管理性目标和技术性目标，后者强调对信息技术风险的防范或控制，如服务器安全控制、登录安全控制、数据库安全控制等。信息集成系统的复杂性已催生出多种专业审计技术的问世，其中并行审计技术被公认为最有效，该技术在应用系统中嵌入审计模块，在系统运行的同时实行连续监控，包括对事务流事件、时间事件、文件事件的监控。虽然系统技术性的风险评估应用受到现代技术发展的约束，非传统审计职业所能控制，但由于信息技术人员不熟悉会计要求和审计风险，所以只能依据审计人员的风险识别指令开展工作，向审计小组提供与集成系统直接相关的审计证据，在审计活动中扮演辅助角色。审计专业人员则需要了解企业的整体信息流程及关键性信息流程的固有风险点，在此基础上指导其他专业人员开展审计工作。因此，评价信息集成环境内部控制建设的总体性目标由审计职业主导。
　　(二)形成内部控制链因果关系预期的难度加大为了评价企业内部控制在设计和运转上可能存在的漏洞，审计师首先要建立只针对被审企业的正确完善的内部控制框架预期。传统环境中，审计范畴下发展起来的内部控制评价更注重会计控制，因此，利用控制过程中清晰的因果关系，就可直接监控流程开展工作，如通过实施检查销售记录是否遵循连续编号的审计程序评估销售业务重复入账或遗漏重大销售业务事项的风险。而在信息集成环境中，过去诸如由于会计制度不规范、相关人员频繁更迭而导致的账证不符、会计处理随意等现象得到根本遏制。所不同的是，一方面系统吸收并内嵌了国际先进企业的管理实践，相应的控制内容超越了传统的会计控制；另一方面由于系统强调对各类生产流和管理流程对人、财、物等资源的有效利用控制，也强调对物流、资金流、信息流的匹配和协调控制，其中的控制思想是网状的。由此可见，相应控制措施由系统对单据分类连续编号的功能来提供，随后的开票程序、执行催收款程序、会计处理程序以及存货调拨、库存量识别、存量不足时的订单发出等都由集成系统自动完成。这样，各控制环节的职责分离要求被系统严密的身份认证、授权机制所取代，控制的范围、形式和时序都与原来有所不同，增加了审计主体对其中的因果关系理解或观察的难度，必然影响审计取证程序。
　　(三)信息集成系统的集成度决定审计取证的内容和方式在信息集成环境中，以ERP为平台的制造企业为例，从系统流程来看，绝大部分原始信息来源于采购和销售两个部门，财务部门通常是这两个部门的用户，因此，财务数据可以是准确的，但业务数据可以也可能发生错误或造假。由于对信息集成系统这个“黑箱”内部的控制结构进行审计目前尚不符合成本效益原则，因此，审计关键控制点的选择通常在采购和销售子系统的入口。然而，目前我国有些企业所谓的集成系统其物流系统(实物账)和财务系统(财务账)是分离的，物流系统是用来作内部管理的，而财务系统是应付税务等部门检查的。还有的企业采用局部引进的方式进行信息化集成，会计系统虽然与业务系统(进、销、存)建立了接口，并能够利用自动转账实现业务系统和会计系统地连接，但集成性较差，信息的纵横流转掺杂了较多的人工介入，如果适时增加补偿性的人工控制职能，将有利于减少控制风险，反之则不然。因此，集成系统的集成度决定着审计取证的内容和方式，需要审计人员对我国信息集成系统的种类、各自的流程特点以及相应控制缺失可能存在的隐患有更多地了解。
　　(四)全过程的内部控制评价视角内部控制评价常用的方法归纳起来有两种：一是查阅相应结果文档，通过调查询问来证明

控制措施是否合理，是否按计划执行，因为这是一种事后行为，问卷结果可能背离真实环境；二是在每类交易循环中选择一笔或若干笔业务进行穿行测试，即通过监控业务信息的启动和流程本身来评价内部控制的存在与否，这种测试结果往往是局部的。一般来讲，信息集成环境中的企业规模庞大，关系复杂，其内部控制系统包含多重目标，涉及企业每个层面和各项业务，上述两种方法都不能有效满足对内部控制进行全面真实地评价。在大中型企业中，企业战略目标的分解细化通常由预算管理来完成，预算管理同时也作为内部控制的一部分，在企业内部建设起层次分明、环环相扣的“授权、分权”控制架构。过去由于历史资料收集及编制上的难度，预算管理在企业内部控制上的效果不明朗，也就无法将其作为内部控制评价的对象和工具。而在信息集成环境中，预算管理需要的公共资料与其他业务系统共享，并在此基础上确定预算管理的业务范围，进行预算的管理，另外，这种信息的实时传递也使预算数据能够实时完成对业务的控制，使企业的经济活动时时处于受控状态。综合应用传统的调查询问和穿行测试方法，通过重点评价企业预算在编制、修订和执行上应遵循的控制，就可以使审计主体站在全局的角度，以较高的效率评价企业内部控制的连续性和有效性。
　　
　　三、信息集成环境的内部控制审计程序选择
　　
　　信息集成环境中内部控制审计程序的总体流程与传统环境一致，即通过对控制系统的了解和记录，初步认定控制风险的高低；然后对拟依赖的全部或部分内部控制程序进行符合性测试，测试它们的有效程度；最后在符合性测试的基础上，对控制风险进行再评估，从而确定实质性测试的范围。综合上述信息集成环境中内部控制评价的特性，审计程序中的具体工作内容和重点都会因企业环境发生变化，要想内部控制评价工作产生实效，必需在成本效益原则的框架下寻找合理的审计视角切入点和优化审计程序。
　　(一)了解内部控制结构，引入两种职责分离评价模型内部控制审计程序的第一步，是了解被审企业内部控制，对内部控制的健全性进行初步评估，以确定需要测试的项目并制定测试计划。根据内部控制要素构成、信息集成环境的特点以及可供利用的审计资源，可以将内部控制体系进行系统划分。具体分为三个部分，它们是核心结构(即贯彻企业战略经营理念、方针制定和传达的管理层控制系统)；基本结构(即通过对资源的整合来支持核心结构的执行控制系统)；内部控制自我评价结构(即由内审职能为主导的评价和监督控制系统)。核心结构对内部控制的态度决定了整个企业的态度、行为和效果，基本结构决定了企业各种业务循环的过程、方法和记录轨迹，内部自我评价结构通过日常的、持续的监督活动确保内部控制执行的效果，这三部分紧密关联，以人工或自动执行的手段在企业经营管理的多阶段交互。可以引入两种职责分离评价模型：静态职责分离和动态职责分离。评价静态职责分离主要针对内控体系的核心结构和自我评价结构，它仅限于审查高层岗位职能集上的约束关系，如企业重大决策集体审批制度、上报流程、责任签署流程、自我评估机制。审计主体依靠自己的力量，通过调查询问、调阅相关文档等传统方法展开审计工作。动态职责分离对交易流程启动时系统会话中可激活的对象和时序进行约束，评价的对象主要针对内部控制体系的基本结构，如合法执行人的认定，各类单据输入后识别匹配的激活机制，对所有折扣、降价、退款及费用调整处理的判断激活机制等，解决的是角色委派时潜在的冲突问题。审计主体依靠自己的力量或借助信息技术专业人员的帮助通过模拟测试对其开展评价工作。在审计程序的这一个阶段，要有信息技术部门的充分介入，并负责对内部控制技术性建设目标发表意见。具体做法是，先由他们负责对信息集成系统的运行环境作出初步评价，以确保被审企业集成信息系统的控制环境是可信赖的，只有于这一前提之下报表审计小组才开始进一步深入了解公司的信息系统流程(仅是流程而非信息系统本身)，并识别出潜在的固有风险。
　　(二)符合性测试。根据系统控制特点测试控制体系的基本结构在了解内部控制的基础上进行初步风险评估之后，审计程序的第二步就是执行符合性测试，目的是收集足够的证据以支持对某一认定评估的控制风险水平。实务中通常对业务循环应遵循的控制进行符合性测试，信息集成环境中的符合性测试主要围绕内部控制体系的基本结构展开。在信息集成环境中，内部控制与流程管理自动紧密地结合在一起，各业务循环与执行部门、与预算管理缺乏内部联系的状况得到根本改进，一次测试就可以证明内部控制体系中多个控制点的一贯应用，从而使符合性测试将更为有效。虽然测试样本选取的首要原则不再是出于成本效益考虑，而是以不影响或扰乱被审企业正常的经营管理为首选，但必须根据系统特点设计测试作业程序。
　　(1)控制测试从信息流转的源头开始。以ERP为平台的制造企业为例，内部控制链的源头在采购和销售环节，相应职能部门应遵守的流程控制，一是在进行合同签定时，同时签定付款期限和相关条款并保证每一份合同在系统中产生详细记录；二是从制度上保证业务人员严格按照合同的条款进行录入。针对上述流程控制，测试样本所要达到的目标，一是评价客户信用额度和资信等级记录、预付款比例和催收等控制措施的存在性，二是评价口令授权控制体系的有效性。而在非企业级的集成环境中，由于业务信息和会计信息在采集、处理和传输路径上的不同，为了评价它们之间应遵守的完整性和匹配性控制措施是否存在，需要选取多个敏感的信息源头设计测试样本，并实施证证、账证、账账之间的核对程序。
　　(2)取证基本程序应随信息集成系统的工作特性变化。信息集成系统内部本身存在大量稽核控制点，针对其执行形式和执行顺序，取证基本程序也应随之改变。如当被审企业现金收支占其货币资金收支总量的比例较大时，如何确认采购、销售和成本的及时结转就成为审计重点。传统做法是需要大量凭证抽样以核实采购成本的真实性，但在信息集成系统中，这一业务的执行过程通常由一个内部稽核关系来控制，即仓库本月原料入库都会自动生成一个入库号，采购部根据入库号和采购合同填制采购单价，财务部根据入库号对采购数量、采购暂估单价进行复核并做暂估入库的会计凭证。虽然同样可以采用传统的凭证抽样核实方法来间接测试系统这一稽核关系是否存在，但如果采购部和财务部的这一流程在本月没有结束，本月财务相关模块就无法关账。这样，审计程序就要转移到仓库，审核库房是否“每一笔实际入库的原材料均会且必须生成一个入库号”就成为一个关键程序，也使“核实大量会计凭证”这一基本程序转移到“核实企业基本经济业务”上来。
　　(3)在解读内部控制流程的基础上系统性的设计测试样本。纳入内部控制范围的各种活动，总表现为一系列可控制的点，对诸多关键点进行测试即可有效评价内部控制总体。在信息集成环境中，往往某一活动的控制点并非存在于该活动本身，而是将其分解以后分布在与其有关联的他处，其比例甚至比该活动的发生地点更多，控制形态呈现传递和继承的现象，控制效果以累积的形式存在于系统中。如存在核算的动因是供应链业务，其日常核算的数据也就来源于供应链，系统的功能结构是将存货核算子系统与成本

核算子系统、供应链管理子系统，应收及应付子系统集成，实时完成存货的出、入库核算和凭证处理，并实时传递到总账系统登记总账，于是供应链上存货的变化在财务上得到及时反映，更实现了企业存货的实时管理。由于各子系统的联动性增强，一方面为了避免数据的重复输入，在系统初始化定义阶段，只有存货科目在存货子系统中定义，存货有关的其他信息则由采购、销售及仓库等子系统进行定义和管理；另一方面存货子系统除了通常的权限管理、输入管理及操作流程限制等控制措施以外，各相关联动子系统的数据输入、信息传递和处理过程都是评价存货子系统控制的要点。这时就要仔细解读存货管理控制活动的处理流程，将应有的控制按逐层分解的方式展开。并落实到各个子系统的操作层及每个业务人员，在此基础上系统的设计测试样本。
　　(三)评估控制风险，整合利用控制体系的自我评价结构根据符合性测试结果，评估内部控制的设计和执行是否与控制风险初步认定相一致，是内部控制审计的第三个步骤。其中，内部控制在所审会计期间的运用是否一贯，发生显著性变动的原因，变动情况及影响，都是审计主体评价控制风险的重要考虑因素。信息集成环境中内部控制的变化，一般是由系统功能扩展、企业组织结构变化或经营战略变化所引发，呈现出信息覆盖面和信息流转方向发生改变的表象，这里，信息集成系统专业化知识的缺乏会影响控制风险的评估。由于内部审计既是企业内部控制的一部分，又是监督内部控制其他环节的主要力量，通过对以该职能为首的自我评价结构的再评估，可以得到企业信息集成系统在开发、保持、实施方面日常的和连续的信息，也可以了解到系统不提供服务的部门、项目或业务的情况，从而评价企业整体可能受到的影响。但首先要评价控制体系中自我评价结构的独立性，在此基础上开展相应的控制风险洋估工作。
　　
　　四、结语
　　
　　信息集成平台为企业内部形成一个高度自动化的控制环境，其内部控制建设严重依赖信息技术。从现代信息技术发展的眼光来看，技术越复杂，其监控能力越强，也更能起到威慑的作用。由于摆脱了过去过度依赖于人的实施手段，所以，技术也降低了内部控制高昂的实施成本提高了经济可行性。然而这给审计职业带来的难题是，这些技术在被审企业内部控制流程的哪个地点扮演何种角色；企业内部人在控制流程中扮演何种角色；在内部控制执行时，企业内部人与这些技术结合是否紧密而有效，以及伴随着始发于信息集成系统理念而萌生的企业流程创新、战略变革所带来的风险等问题，这些无一不对我国审计职业的专业知识、判断能力、职业谨慎等胜任问题提出挑战，内部控制审计程序中的任何不当简化都会带来审计风险。要对信息集成环境中的内部控制进行评价，不仅取决于审计对象客体本身的性质，更重要的是取决于认识的主体。因此，高力度加强审计职业培训，并大量增加信息集成环境的教学内容已成为我国审计行业的当务之急，要求审计人员深入了解新环境给审计工作带来的影响，并积极致力于审计程序的创新和审计技术的创新也是我国审计职业有待积极探索的课题。
　　
　　编辑　聂慧丽

转载注明来源:https://www.xzbu.com/3/view-1330535.htm