新萄京娱乐网址2492777_www.2492777.com-澳门新葡亰官网

  • 咨询热线:021-65989959
  • 在线咨询
联系视野

信息化环境下的内部控制审计

  随着信息技术的不断发展,越来越多的企业选择信息系统以帮助改善经营管理。信息化改变了企业生产经营模式和信息传递方式,为提高业务运转与管理效率带来了可能。然而在实际工作中,许多企业并未从信息化中获益,反而受到了信息化的羁绊,这其中企业内部控制能否在信息化环境下得以有效整合成为了问题的关键。
  
  在对企业内部控制不断深入研究的过程中,内部控制审计的研究也逐渐增多,其广度与深度随着认识与研究程度的不断加深而不断拓展。综合近些年国内学术界对内部控制审计的研究,研究内容主要集中在以下几个方面:内部控制审计的作用及影响;内部控制审计的内容及方法;国内外内部控制审计比较研究;内部控制审计与财务报表审计的关系。
  
  由此可见,当前内部控制审计的研究虽多,但仍然比较局限:内部控制审计的研究仍然主要集中在财务报告内部控制审计的研究;以实务为基础的内部控制审计研究较少;以内部审计的审计视角探讨内部控制审计如何为企业管理增效的研究较为罕见。
  
  一、信息化环境下企业内部控制现状
  
  随着信息化在各领域的不断推进,大大小小的信息系统应运而生,进入到了企业的经营管理中。许多信息系统的设计目的和功能都很好,但在实际应用过程中口碑却不是很好。经过审计发现,由于信息系统设计原因影响工作效率的情况微乎其微,绝大部分问题的根源在于企业内部控制没有与信息系统控制进行有效整合,从而打乱了正常的业务流程。在信息系统环境下,企业内部控制普遍存在以下几个现象:
  
  (一)、对信息系统存在误解,认为信息系统能解决内部控制问题
  
  企业在发展的过程中会遇到各种内部控制问题,比如普遍而令人头疼的库存管理控制问题。如何根据企业的经营和产品特点,制定适合企业实际的库存管理控制是企业管理人员的职责。然而,当遇到此类问题时,不少管理人员认为只要购买一套库存管理信息系统,问题就能迎刃而解。这是对信息系统的一个普遍错误认识。信息系统的流程控制基于传统的手工控制,是大量人工控制固化在信息系统中。没有适合企业实际的内部控制程序,即使购买了信息系统,信息系统也不会发挥很大作用,还不如不上。
  
  (二)、线上一套线下一套
  
  在审计的过程中笔者发现,企业对某些业务的控制存在线上线下不一致的现象,即信息系统中的控制与实际操作控制不一致。比如无计划采购事项。按照企业制度,不允许发生无计划采购,因而信息系统中对于无计划的采购事项是无法生成,各项审批无法进行,采购合同也无法在系统中生成。但在实际工作中,无计划采购事项却时有发生,采购审批因为无计划而无法通过信息系统完成,因而需通过线下审批,线下生成合同。
  
  (三)、过于信赖信息系统,降低系统运行的必要控制
  
  在访谈过程中笔者发现许多人坚信信息系统的程序化控制不会出错,但过度的信赖降低了他们复核的认真程度。比如某企业的财会人员从未对固定资产的折旧计提进行过复核,因为他们认为固定资产管理系统肯定不会出错。但经过审计发现,财会人员在录入固定资产原值时,由于漏点了一个选项,而影响了相当一部分固定资产的折旧计提,而这一错误却长期未被发现。
  
  二、信息系统环境下内部控制审计的重点
  
  在信息化环境下,企业的大部分内部控制被程序化,控制目标、方法、指标被设置在信息系统中,但仍有一部分控制还需要手工完成。因此,在信息化环境下企业的内部控制是人工控制与程序控制相结合。因而对企业进行内部控制审计时,应当对总体的内部控制体系建立与执行情况进行评估,再对信息系统的内部控制体系进行评价。
  
  (一)、关注企业总体内部控制体系
  
  尽管在信息化环境下,信息系统取代了一部分人工控制活动,但在进行内部控制审计时,仍应当首先对企业总体内部控制体系进行审计。通过对企业总体内部控制体系的了解,审计师能对企业内部控制环境有大致的判断,以进一步确定审计重点及测试范围。同时通过对企业各项制度的了解,能全面掌握业务流程的控制过程。
  
  比如在某公司库存管理内部控制审计中,审计人员在制度中了解到该公司定期会对库房进行盘点,但如何盘点并未作详细规定。在与业务人员访谈中发现该公司有定期盘点的记录,但是监盘人员并未实际到场监盘,但却在库房盘点清单上签字。在随后的审计中,审计人员重点审计了盘点业务流程,加大审计抽样,发现了该公司库存严重不实问题。
  
  (二)、关注信息系统的内部控制建设及其执行情况
  
  信息系统以控制规则的方式将企业的部分内部控制固化下来,但这不意味着对信息系统就可以不设控制。信息系统中的授权规则,不相容岗位设定规则,流程设置规则等都是人工设定,在对信息系统进行输入输出过程中也需要遵循一定的控制原则,因而信息系统的内部控制建设不容忽视,其影响着信息系统运行的有效性。
  
  对信息系统的内部控制审计,除了关注信息系统设定控制规则是否与企业内部控制一致外,还应当关注在应用信息系统过程中的一些人工控制,例如上文中提到的对录入固定资产管理系统的信息应当进行人工复核,对输出的固定资产折旧金额也应当进行测算复核。此外,审计人员还应当对信息系统的内部控制执行情况进行评价。
  
  例如某化工生产销售企业使用化工销售软件管理销售订单。该公司根据市场行情每周确定化工产品的销售价格,销售员只能根据当周的销售价格在系统中制作销售订单,同时不允许销售员在系统中更改销售价格。在对该销售业务进行内部控制审计时,发现该公司某一时期系统生成的销售订单上的价格与该时期化工产品销售价格文件不一致,再进行进一步调查发现,该公司在生成订单环节违规修改了控制规则,允许业务人员在订单中修改价格。
  
  (三)、重点关注例外事项在信息系统的执行情况
  
  在企业的制度里往往对一些特殊的例外的事项进行特别的规定,这些规定或是禁止性的或是有特殊的控制程序。在信息化环境下,业务人员有可能根据程序控制规则或漏洞来绕开对例外事项的审查。因而在审计中应当重点关注该类事项,并通过一定的技术方法将其在信息系统中的执行情况查找出来。
  
  如某公司规定500万元以上合同需经母公司审批,同时禁止对合同进行拆分。该公司合同管理系统仅对金额500万元以上的合同作出筛选,而并未对合同拆分进行判断控制。审计人员抽取一定时期内该公司500万元以下的合同,按合同相对人进行筛选,查看是否存在在相同或接近日期向同一供应商采购商品,并且总额超过500万元的情况。测试发现该公司存在合同拆分现象。
  
  (四)、关注企业内部控制与信息系统的整合情况
  
  审计人员在对企业内部控制进行审计的过程中,除了对企业整体内部控制体系及信息系统内部控制体系的建立和执行情况进行评价外,还应当对两者的整合情况进行评价。信息系统一方面是内部控制的对象,另一方面又是内部控制的重要工具与手段。信息系统与企业内部控制整合的程度,影响着企业利用信息系统改善管理的效果。
  
  整合程度越高,企业从信息化中受益越大,管理效率提升越快。整合程度越低,企业不仅享受不到信息化带来的管理提升,有可能还因此打乱原有管理控制,为企业带来麻烦。比如母公司为海外子公司采购库存管理系统,由于未充分考虑海外子公司当地管理实际,新的库存管理系统给海外子公司带来了巨大的麻烦,一度导致海外子公司无法正常出入库,严重影响了海外子公司的运作,最终海外子公司请求放弃使用该库存管理系统。
  
  三、开展内部控制审计的两点建议
  
  (一)、突出内部控制审计增值点,充分体现内部审计价值
  
  企业在应用信息系统后,其经营模式、组织结构、控制程序等都受到不同程度的影响。如何将这种影响转化为积极的动力,促进管理效率的提升,就需要企业内部控制与信息系统进行有效的整合。而在整合的过程中,内部控制审计是有力的监督手段。通过内部控制审计,能发现信息系统控制过程的缺失,企业内部控制的缺陷,内部控制与信息系统整合过程中的重复控制或控制缺失,帮助企业完善及优化内部控制体系,促进企业管理的提升。
  
  因此审计人员在开展内部控制审计的过程中,应侧重于内部控制与信息系统整合效果的评估上,积极与业务人员、管理人员探讨如何优化流程与控制,努力促进内部控制与信息系统整合的效果,以体现内部审计的价值。
  
  (二)、加强审计人员信息系统审计的专业知识
  
  信息化环境下,内部控制审计需要对信息系统的内部控制进行评价,在实务操作中需要熟悉信息系统审计的内容及使用信息系统审计的方法。因而审计人员需要加强信息系统审计的专业知识培训,通过提升专业技能,增强内部控制审计的能力,从而能更好地为企业提供增值服务。
  
  当前国内内部控制审计主要以《企业内部控制审计指引》作为审计规范,其审计视角更多的立足于独立外部审计,且审计目的更多的在于确保财务报告可靠性。而对于企业内部审计而言,审计的视角不仅仅在于对错,更多应关注的是如何为企业提供增值服务,为企业科学健康发展保驾护航。
  
  (本文来源于网络,版权归属原创作者所有,如有侵权请及时联系,我们会在24小时内删除处理。)
上海总部:上海市杨浦区纪念路8号上海财经大学科技园7号楼112室
电话:021-65989959/65989946/65980171
传真:021-65980171-823
邮箱:shsy@eco-sy.org
XML 地图 | Sitemap 地图