淺析內部控制審計及其與信息技術融合論文

　　內部控制自產生起就與審計有著緊密的聯(lián)系。無論是制度基礎審計，還是風險導向審計， 對內部控制的測試與評價，都是審計的重要工作之一，并最終發(fā)展成為審計學科的一個重要分支———內部控制審計。本文結合內部控制審計的特點，探索內部控制審計與信息技術深度融合的方法，是提高內部控制審計的效率與效果的有益嘗試。

　　一、內部控制審計概述

　　(一)內部控制審計

　　內部控制服務于組織的管理需求，其目標包括：合理保證外部法令與內部規(guī)章得到遵循; 促進經營方針與目標的實現(xiàn);合理保證信息真實、完整，財務報告可靠。內部控制體系由控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控等五個要素構成，諸要素協(xié)同作用，為三大目標的實現(xiàn)提供合理保證。

　　隨著企業(yè)面臨的市場環(huán)境中風險日益增大，COSO 認為內部控制應該強化風險管理理念和意識，在2005 年10 月發(fā)布了《企業(yè)風險管理：整合框架》，對《內部控制：整合框架》進行更新，將其中的風險評估要素細化為事項識別、風險評估和風險應對三個要素，內部控制進入到一個全面風險管理的階段。

　　隨著制度基礎審計方法的推行，內部控制評價逐漸成為一項重要的審計程序和工作內容。對內部控制進行測試評價，最終發(fā)展成為對內部控制進行審計，并進入制度化軌道。

　　(二)內部控制審計的目標與作用

　　直接目標是鑒證內部控制的有效性并發(fā)表獨立、客觀、公正的鑒證信息;間接目標是促進企業(yè)內部控制的制度完善和執(zhí)行有效。實施內部控制審計既是《內部控制審計指引》等規(guī)范的外部要求，也是企業(yè)自身不斷完善內部控制體系確保實現(xiàn)內部控制目標的內在需求。

　　有學者以我國上市公司2007 年—2008 年內部控制審計報告為對象， 對內部控制審計動機、價值相關性及內部控制效率相關性進行檢驗，結果表明：內部控制審計能夠提高資本運作效率和投資者的信心，降低企業(yè)發(fā)生法律訴訟、財務信息違規(guī)的概率和次數(shù);強化內部控制審計有助于企業(yè)內部控制監(jiān)管， 優(yōu)化市場效率。

　　二、內部控制審計的一般程序

　　內部控制審計有兩種組織方式，單獨立項審計和與其他審計項目整合審計。內部控制審計的一般程序包括： 審計計劃、審計實施、缺陷認定、審計報告等環(huán)節(jié)。具體為：

　　合理的審計計劃是保證內部控制審計項目質量的先決條件。在此階段應初步判斷其內部控制的有效性，并參考以前年度對內部控制的測試評價結果，以之作為編制審計計劃的依據(jù)。

　　審計實施是內部控制審計的具體檢查環(huán)節(jié)，一般采用自上而下的方法。即先從財務報表層次分析錯報的可能來源，從企業(yè)層面控制初步了解內部控制整體風險;然后有針對性地選擇擬測試的企業(yè)層面、執(zhí)行層面控制流程進行檢查測試，獲取審計證據(jù)，形成審計檢查底稿。

　　在完成企業(yè)層面與各執(zhí)行層面控制流程的檢查后，按照設計缺陷、運行缺陷、財務報告缺陷、非財務報告缺陷的不同類別，重大、重要、一般缺陷的不同程度等定性、定量的標準來評價認定檢查中發(fā)現(xiàn)的內部控制缺陷。

　　審計報告是內部控制審計最終結果的展示。審計報告分為兩種， 一種是標準內部控制審計報告，《內控審計指引》對標準內部控制審計報告的范式做出了詳盡的要求， 包括標題、收件人、責任敘述、固有局限性說明、缺陷描述、內部控制審計意見等要素。另一種是非標準內部控制審計報告，包括帶強調事項段、否定意見、無法表示意見三種。

　　三、內部控制審計的內容與方法

　　(一)內部控制審計內容

　　1、內部控制設計的合理性。內部控制審計的對象是內部控制體系，應首先關注內控體系設計的合理性。重點關注內部控制諸要素是否齊備， 諸要素相互關聯(lián)的設計是否合理，控制流程的設計是否做到經濟、合理、有效，能否達到控制目標。這部分內容的審計應該貫穿始終，在檢查各要素流程控制有效性的同時，關注其設計的合理性，最后在各個組成要素評價的基礎上，對內部控制的整體設計能否合理保證控制目標的實現(xiàn)做出評價。

　　2、企業(yè)層面控制的有效性。企業(yè)層面的控制涉及內部控制的諸多要素。其內容包括企業(yè)管理層是否營造良好的內部環(huán)境，是否建立辨認、分析和管理相關風險的機制，將風險控制在可承受范圍之內;企業(yè)是否進行持續(xù)的內部監(jiān)督，包括日常監(jiān)督和專項監(jiān)督。

　　3、執(zhí)行層面運行的有效性。檢查評價執(zhí)行層面運行的有效性是內部控制審計的重點。具體內容包括所有確保管理層的指令得以執(zhí)行的政策和程序，同時要關注各業(yè)務流程設置的合理性，檢查業(yè)務流程的每一個控制點是否有效執(zhí)行。

　　(二)內部控制審計方法

　　內部控制審計抽取的樣本以交易事項為主，一項交易通常是由交易主體、交易對象、交易輔助工具等構成的。審計過程是找證據(jù)的過程， 獲得的審計證據(jù)也表現(xiàn)為三種基本形式：人證、物證和書證。一般而言，內部控制審計有四種基本審計方法：文本審閱法、實地觀察法、詢問法，還有一種是內部控制審計特有的穿行測試法。

　　文本審閱法是最常用的審計方法，就是通過翻閱與原先的交易相關的文件、檔案來了解交易原貌，獲得書證，重點關注資料的真實性、完整性、有效性和協(xié)調性。實地觀察法是通過實地查看在交易中出現(xiàn)過的實物，來了解交易原貌，獲得物證。通過實地觀察了解實物的存在性、權屬性、完整性和足值性。詢問法就是通過與相關當事人對話，來發(fā)現(xiàn)新線索，澄清事實，補充、驗證物證和書證，形成完備的證據(jù)鏈。

　　穿行測試法在內部控制審計中運用最廣，是檢查評價內部控制設計及執(zhí)行有效性必不可少的方法。具體運用時選取在審計期間內已經完成全部控制流程的交易樣本，檢查或重新執(zhí)行該交易樣本的每一個控制環(huán)節(jié)。在穿行測試過程中，同時運用文本查閱、詢問、實地觀察等方法，檢查內部控制流程的全貌，對其設計和執(zhí)行的有效性做出合理的評價。

　　四、影響內部控制審計效率與效果的主要因素

　　(一)內部控制審計抽樣的科學性

　　審計抽樣是影響內部控制審計效率與效果的重要因素。在當前的內部控制審計實務中， 審計抽樣存在兩種傾向：一是為追求審計“效果”而過度依賴經驗判斷抽樣，經驗豐富的審計人員憑借其職業(yè)經驗，只要“抽取”較少的樣本，就能夠很快在其中“發(fā)現(xiàn)”差錯樣本;而對于經驗一般的審計人員，抽取同樣數(shù)量的樣本卻很難發(fā)現(xiàn)其中的差錯樣本。適度運用職業(yè)經驗進行審計抽樣能夠提高內部控制審計效果，但過度依賴經驗判斷抽樣則缺乏科學性，會造成樣本差錯率高于統(tǒng)計概率平均值，不同經驗的審計人員做同一內控流程的檢查結果差異較大，無法對企業(yè)內部控制的有效性得出合理的評價，最終影響了內部控制審計效果。二是為追求審計“效率”，簡化抽樣程序，忽視了不同企業(yè)的規(guī)模、業(yè)務類別及業(yè)務量的差異，簡化抽取的樣本并不能完全反映企業(yè)內部控制的實際情況。實際上這兩種傾向都不利于內部控制審計目標的實現(xiàn)，最終對內部控制審計的效率與效果造成負面影響。要提高內部控制審計的效率與效果，必須依靠科學的審計抽樣方法。

　　審計抽樣一般有統(tǒng)計抽樣和非統(tǒng)計抽樣兩種，是否應用統(tǒng)計理論來評估樣本總體特征，確定樣本量是兩者的根本區(qū)別。對于一個既定的審計目標而言，統(tǒng)計抽樣能夠以較小的樣本量實現(xiàn)相同的審計目標。當然，統(tǒng)計抽樣并不排除應用職業(yè)判斷，相反，在設計抽樣模型，選取抽樣參數(shù)，確定抽樣的總體，抽樣的方式等方面需要采用職業(yè)判斷。

　　科學的審計抽樣， 就是將經驗抽樣與統(tǒng)計抽樣有機結合，形成程序化的抽樣模式，對不同經驗的審計人員，不同規(guī)模、類別的內部控制流程具有良好的適應性，在實施內控審計時得出的結論相對統(tǒng)一。實踐證明，設計合理，操作便捷，規(guī)范標準的程序化抽樣方法，能夠均衡提高內部控制審計效率與效果。

　　(二)內部控制評審標準的一致性

　　內部控制評審的標準一般按照內部控制健全性、內部控制有效性及控制目標實現(xiàn)來分類建立。健全性的評價標準包括合法合規(guī)性、不相容性與制衡性、成本效益與可操作性、適應性與相容性等標準;有效性評價標準包括各項業(yè)務的具體控制程序、措施，管理辦法和獎懲制度;控制目標實現(xiàn)的標準則是量化評估內部控制在保證企業(yè)風險管理目標和企業(yè)戰(zhàn)略目標的實現(xiàn)中所發(fā)揮的作用。

　　內部控制制度被廣泛采納后，其評審程序、內容逐漸標準化。但由于評價標準內容多樣，且包含定量和定性標準，保持標準的一致性仍是當前內控審計中存在的難點。而在內部控制審計實務中，標準的一致性又往往不被重視，特別是對其中缺陷的認定，風險歸類等定性標準部分，主觀隨意性較大，常常出現(xiàn)在不同時間、不同的審計人員對相同的審計事項采用不一樣的審計評判標準的現(xiàn)象。特別是對于大型的企業(yè)集團，下屬分(子)公司較多，在對各分(子)公司同時進行的內部控制審計時， 各個審計組所把持的標準也具有差異，這樣對兩家內控執(zhí)行有效性相似的分(子)公司進行審計時，可能會得出差異較大的評審結果。

　　這種一致性差異還體現(xiàn)在企業(yè)內部控制日常管理部門與審計部門之間。企業(yè)的內控管理部門的內控評價標準與審計部門的評審標準寬嚴度通常不一致，在審計實務中，審計的評審標準一般嚴于內控管理部門的標準，導致內控管理部門牽頭的內部控制評審與審計部門牽頭的內控評審結果會有較大差異，無法對企業(yè)的內部控制做出客觀的評價結果。評價標準的差異導致了檢查評審的結果數(shù)據(jù)離散度高，不利于把握企業(yè)內部控制運行的準確狀況以及變化趨勢，影響了內部控制審計的實際效果。

　　內控管理部門與審計部門共同建立內控審計評價標準數(shù)據(jù)庫，將定量的標準表單化，定性的標準格式化，并同步更新是解決評審標準不一致的有效措施。實施內部控制審計時，將檢查結果與評價標準數(shù)據(jù)庫對應取數(shù)，實現(xiàn)內部控制風險自動分類，缺陷自動計算，避免不同部門、不同時間、不同的審計人員對相同事項采取不同的評審標準，維持內部控制評審標準的一致性，確保對企業(yè)內部控制的有效性做出客觀公正的評價，可有效提高內部控制審計效果。

　　(三)內部控制審計成果應用的連續(xù)性

　　按照《內部控制審計指引》規(guī)范的要求，對企業(yè)的內部控制審計已經成為一個周期性持續(xù)實施的審計項目，對同一企業(yè)歷年進行的內部控制審計成果整理分析，找出近年來該企業(yè)在內部控制實施過程中存在的薄弱環(huán)節(jié)和變化趨勢，是編制內部控制審計計劃，審計抽樣參數(shù)設定的重要依據(jù)。內部控制審計歷史成果的連續(xù)運用， 可以合理確定審計范圍，優(yōu)化審計資源的配置，大大提高內部控制審計的效率。

　　實際上審計成果應用的連續(xù)性體現(xiàn)在兩個方面，除了縱向歷史數(shù)據(jù)的延續(xù)應用，還有一種就是橫向審計成果的實時借鑒利用。這在大型企業(yè)集團對下屬分(子)公司在同一時間段進行內部控制審計時，效果尤為突出。內部控制審計成果包括最終成果和過程當中的階段性成果，在企業(yè)集團對下屬各個分(子)公司進行內控審計時，如果對其中一家分(子)公司的內控審計成果， 或者階段性成果， 能夠及時被其他分(子)公司的內部控制審計及時應用，能夠有效提高審計的效率和效果。比如在A 分公司的內控審計組發(fā)現(xiàn)這一年度，工程招投標控制業(yè)務流程執(zhí)行的有效性存在異常，并形成檢查底稿，B 分公司內控審計組能夠實時關注這一審計結果，并利用這個結果及時修訂內控審計實施方案的重點，調整抽樣參數(shù)，關注相同業(yè)務是否存在相同問題，避免了錯報樣本的審計事項遺漏，有效提高大型企業(yè)集團內部控制審計的整體效果。

　　在當前的內部控制審計實務中，內部控制審計成果應用的連續(xù)性沒有受到應有的重視。忽視對歷史審計成果的應用，每一次內控審計都是“新”的開始;忽視對當期審計成果的應用，同時開展內部控制審計的各個審計組就像一座座信息孤島，各自為戰(zhàn)。

　　建立內部控制審計信息平臺，將離散的歷史審計成果數(shù)據(jù)連續(xù)化，將點狀的同期審計成果數(shù)據(jù)網絡化，實現(xiàn)歷史審計成果數(shù)據(jù)定期分析，當期審計成果數(shù)據(jù)實時共享，是提高內控審計效率與效果的有效方法。

　　五、與信息技術融合的內部控制審計

　　(一)內部控制審計與信息技術融合的必要性

　　隨著信息技術的迅猛發(fā)展，當前各企業(yè)使用的會計核算系統(tǒng)已實現(xiàn)電算化，而供應商管理、招投標管理、合同管理、OA 系統(tǒng)等企業(yè)管理信息系統(tǒng)， 特別是ERP 在各類企業(yè)廣泛運用后， 大幅度提高了整個企業(yè)運行管理的環(huán)境信息化程度。

　　在信息化大環(huán)境影響下，企業(yè)內部控制的方式也由初期的人工控制發(fā)展為計算機輔助控制，也就是計算機與人工聯(lián)合控制，最終將實現(xiàn)業(yè)務流程全過程線上控制。如以前的審批簽字環(huán)節(jié)，是在線下通過人工控制完成的，現(xiàn)在大部分已經實現(xiàn)線上審批，審批簽字的內容、時間、權限等信息均留有痕跡;以前依賴人工監(jiān)督管理的不相容崗位分離，現(xiàn)在通過對不相容崗位人員設置不同的授權用戶碼處理不相容業(yè)務，對不相容崗位實施信息化管理。

　　內部控制審計評價的對象是內部控制系統(tǒng)，以及實施內部控制的企業(yè)經營管理環(huán)境。面對審計評價的對象和環(huán)境已經信息化的現(xiàn)狀，內部控制審計的手段和方法也應該與時俱進。因此，與信息技術的融合具有較強的必要性和現(xiàn)實意義。

　　(二)內部控制審計與信息技術融合的優(yōu)勢

　　內部控制系統(tǒng)日趨規(guī)范化、程序化、標準化，這就與現(xiàn)代信息技術有著天然的親和力。內部控制審計與信息技術的融合具有諸多優(yōu)勢。

　　一是可以借助計算機的強大運算能力，建立審計抽樣模塊，實現(xiàn)最大限度的自動抽樣。審計統(tǒng)計抽樣是遵循一定的數(shù)理統(tǒng)計模型， 通過大量復雜的數(shù)學運算來抽取少量的樣本，推斷總體。復雜的數(shù)學運算費時費力，而計算機的強大運算能力彌補了這個缺陷。建立審計抽樣模塊，實現(xiàn)自動抽樣可以大幅度節(jié)省審計人員的工作量，降低審計成本，提高審計效率;按照統(tǒng)一的審計抽樣程序進行抽樣，可以減少審計過程中的主觀判斷風險，量化和控制審計風險。

　　二是能夠借助計算機高效的數(shù)據(jù)處理能力，建立內部控制評審標準和審計成果數(shù)據(jù)庫， 實現(xiàn)海量數(shù)據(jù)及時處理，實時更新，并按照審計需求提供匯總分析結果。與傳統(tǒng)的手工數(shù)據(jù)處理相比，除了快捷這一優(yōu)勢，還具有良好的準確性和互動性。比如審計人員可以在任意時間調取不同審計項目的歷史審計數(shù)據(jù)和當期審計成果，設定統(tǒng)計分析區(qū)間和類別參數(shù)后立刻就能得到分析結果。

　　三是可以利用互聯(lián)網便捷的信息共享能力，建立內部控制審計信息平臺，實現(xiàn)當期審計項目進展及成果信息的實時共享。審計人員能夠隨時了解其他審計組、同一審計組其他成員的工作進展和審計發(fā)現(xiàn)， 及時借鑒他人的審計成果，發(fā)現(xiàn)相關審計線索。

　　這些優(yōu)勢表明，與傳統(tǒng)的審計相比，與信息技術高度融合的內部控制審計能夠降低審計成本和審計風險，有效提高審計效率; 特別是在對大型企業(yè)集團的內部控制審計時，便于從橫向和縱向兩個維度分析集團內部控制執(zhí)行有效性的變化趨勢，增強了審計計劃的針對性和持續(xù)改進集團內部控制的方向性，大幅度提高了內部控制審計效果。

　　(三)內部控制審計與信息技術融合的基本方法

　　內部控制審計與信息技術融合主要體現(xiàn)在審計檢查方式與審計檢查手段的融合。在審計檢查方式上，更加注重線上與線下的關聯(lián)印證。在抽取線下紙質控制要件檢查時，要針對其線上的業(yè)務流程，對權限、配置、業(yè)務操作、職責分離等控制點逐一檢查，這是與一般審計的區(qū)別所在。

　　審計檢查手段的融合是內部控制審計與信息技術融合的重點。在構建于信息化技術融合的內部控制審計時，既有廣義的硬環(huán)境的建設，如審計抽樣模塊、數(shù)據(jù)庫、信息平臺的建設等;也有軟環(huán)境的建設，如與信息化相適應的內部控制審計理念的推廣，審計流程的優(yōu)化，相關制度規(guī)則的建立與完善等。具體基本步驟為：

　　第一步是審計部門組織開發(fā)內部控制審計抽樣軟件。對于具有一定軟件開發(fā)能力的大型企業(yè)，審計部門可以提出需求，由信息技術部門開發(fā);對于中小企業(yè)則可以外委專業(yè)軟件公司開發(fā)。由于現(xiàn)在ERP 系統(tǒng)在各類企業(yè)廣泛運用，審計抽樣軟件可以模塊化的形式嵌入ERP 系統(tǒng)，直接從原始交易數(shù)據(jù)中抽取樣本。

　　第二步是審計部門協(xié)同企業(yè)內部控制管理部門，建立內部控制審計信息平臺，共同完善和維護內部控制審計評價標準、歷史審計成果、當期審計進展情況等數(shù)據(jù)。在信息化應用比較普及的企業(yè)，通常每一個管理部門都建有自己的數(shù)據(jù)庫和信息交流平臺，在這種企業(yè)就只需要做好審計信息平臺與內部控制管理信息平臺之間的數(shù)據(jù)交換， 融合互通工作，不需要重建新的信息平臺。

　　第三步是建設信息化內部控制審計的軟環(huán)境。倡導依托信息化進行內部控制審計的理念，對審計人員進行審計抽樣模塊、信息平臺應用的培訓，根據(jù)信息化內部控制審計的特點修訂和優(yōu)化審計程序，制定和完善相應的規(guī)章制度。

　　(四)與信息技術融合的內部控制審計實例

　　下面以某大型國有石化企業(yè)集團的信息化內部控制審計為例，具體闡述與信息技術融合的內部控制審計的具體應用。

　　在審計信息集成管理系統(tǒng)中增設內部控制審計項目管理模塊，并實現(xiàn)審計信息集成管理系統(tǒng)和內控管理信息系統(tǒng)的數(shù)據(jù)互通，實時共享，確保內部控制審計部門與內部控制管理部門具有統(tǒng)一的檢查流程、統(tǒng)一的風險認定、缺陷認定等檢查標準。圖1、圖2 分別為內部控制審計項目管理信息系統(tǒng)、內控管理信息系統(tǒng)。

　　在實施內部控制審計時，先通過審計項目管理信息系統(tǒng)穿透至內控管理信息系統(tǒng)，對內部控制設計的有效性進行初步審核;再通過內部控制審計項目管理信息系統(tǒng)對內部控制審計檢查流程進行任務分工，并按照確定的流程分工檢查在線關聯(lián)審計底稿。

　　審計人員按照審計分工，開始進行審計抽樣。審計抽樣模塊嵌入ERP系統(tǒng)，抽樣時審計人員根據(jù)被審計對象的具體情況，設定重要性百分比、需要抽取的樣本個數(shù)等參數(shù)、選取隨機或者系統(tǒng)抽樣方法之后就可以點擊執(zhí)行抽樣按鈕實施抽樣。以物料采購訂單抽樣為例，抽樣過程與樣本輸出結果如圖3 所示。

　　審計人員對抽取的樣本進行審計檢查，檢查結果直接輸入內部控制審計信息系統(tǒng)的檢查底稿電子表格中，由于內部控制審計信息系統(tǒng)對所有審計人員開放，檢查底稿信息實時共享。圖4 為內置于內部控制審計信息系統(tǒng)的檢查底稿，審計人員只需填列檢查記錄，系統(tǒng)自動統(tǒng)計未執(zhí)行樣本比例，控制點檢查結果等信息。

　　在完成各個內部控制流程檢查，數(shù)據(jù)錄入完畢后，系統(tǒng)將自動進行計算匯總， 輸出包括能夠量化反映內部控制設計及執(zhí)行有效率的評價匯總表、檢查評價發(fā)現(xiàn)問題匯總表、檢查評價發(fā)現(xiàn)問題所涉及風險匯總表以及內部控制缺陷認定匯總表等結果。圖5 為系統(tǒng)輸出的內部控制缺陷匯總分析表。表中的缺陷定量計算由系統(tǒng)自動完成。

　　近年來該系統(tǒng)運行的結果表明，這種與信息技術融合的內部控制審計有效地解決了審計抽樣標準化、程序化的問題，做到了內部控制評價標準保持一致，審計成果連續(xù)應用，均衡地提高了內部控制審計的效率與效果，具有較高的推廣使用價值。

　　六、結束語

　　從長遠來看，內部控制審計作為審計學科的一個重要分支，只有不斷地提高自身的效率與效果，才能為企業(yè)增加更大的價值，從而體現(xiàn)自身價值，得以不斷發(fā)展壯大。

　　實踐表明，內部控制審計與信息技術融合后，能夠大幅度提高其效率與效果，滿足了高效完成內部控制審計目標的內在需求;而在信息技術迅猛發(fā)展的時代，大數(shù)據(jù)、云計算、互聯(lián)網+等新技術、新理念層出不窮，為內部控制審計的信息化提供了良好的外部條件。在內因和外因的共同驅使下，可以預見，與信息技術深度融合將成為內部控制審計今后的發(fā)展方向。

【淺析內部控制審計及其與信息技術融合論文】相關文章：

內部控制審計的論文07-26

（經典）內部控制審計經典論文05-26

內部控制審計經典論文06-11

內部控制審計經典論文05-23

內部審計內部控制關系論文10-26

內部控制審計經典論文（必備）05-31

【集合】內部控制審計經典論文06-06

內部控制審計經典論文（熱門）06-05

【優(yōu)選】內部控制審計經典論文06-05

內部控制審計經典論文【合集】06-03