王媛媛

摘要：推进审计信息化建设是信息化环境下提升内部审计工作效率的必然选择。设计、执行和维护有效的内部控制，并评价其有效性是公司董事会等高级管理层的责任。文章以企业内部审计信息化、内部控制自我评价和报告工作为背景，阐述内部控制审计与内部控制、内部控制审计与信息系统审计的区别与联系，并结合作者所在单位在内部控制审计信息化建设中的实践经验，提出建立信息技术内部控制审计体系的建议。

关键词：信息技术；内部控制；内部控制审计；信息系统审计

一、背景

信息技术的快速发展及广泛使用，在促进企业经济效益增长和技术进步的同时，也给企业和广大投资者带来了更大的风险，安然、世通、施乐等公司重大财务舞弊案件的曝光，使得内部控制审计越来越多地受到国内外学者和内部控制审计工作者的重视。虽然自1991年开始，美国反舞弊性财务报告委员会发起组织（简单COSO委员会）就进行了关于内部控制的研究，但直到2002年，由参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出的以“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的”为宗旨的《萨班斯-奥克斯利法案》的出台才推动了内部控制审计工作的发展，SOX法案中指出“公司管理层要对本企业的内部控制进行评价，注册会计师要对被审计单位内部控制的有效性进行审计并发表意见。”SOX法案的颁布与实施在一定程度上提高了大股东及广大中小投资者的信心，与此同时，欧盟、英国等国家也对各自的资本市场监管法规进行了修订。在国内，1999年修订的《会计法》第一次从立法的角度对企业建立内部控制进行了要求。随后，为了提高会计信息质量、保护资产的安全完整、确保有关法律法规和规章制度的贯彻执行等，财政部规定从2001年6月起所有公司均应建立健全和有效实施本单位的内部会计控制体系，并制定了《内部会计控制规范》基本规范及货币资金等7项内部会计控制规范。2006年在全球内部控制审计大热潮的推动下，由财政部等5部委联合发起成立的“企业内部控制标准委员会”先后出台了《企业内部控制基本规范》、《企业内部控制配套指引》等文件，上海和深圳证券交易所也分别颁布了《上市公司内部控制指引》，根据相关文件和制度要求，上市公司要对本企业的内部控制进行评价，形成的内部控制自我评价报告与公司年度财务报表一同对外披露。同时，要求自2011年1月1日起我国境内外同时上市的公司开始实施企业内部控制审计指引，2012年1月1日起施行范围扩大至沪深交易所的主板上市公司。由此可见，在理论与实务方面，美欧等国家要早于我国，对我国企业内部控制审计的实践具有一定的指导借鉴作用，但由于国内企业大多对内部控制审计认识不到位，因而在实务中仍存在很多问题，如内部控制审计机构不独立、审计人员专业胜任能力不足等。同时，伴随信息技术在企业各领域的广泛使用，“触手可见”的审计资料越来越少，因此，如何利用信息技术开展内部控制审计工作意义重大。

本文以企业内部控制审计管理工作实践为视角，对笔者所在企业在利用信息技术建立内部控制审计体系中的做法和困难进行分析，并对如何更好的建立信息技术内部控制审计体系提出建议。

二、内部控制审计及相关理论辨析

（一）内部控制审计与内部控制的涵义与区别

对于内部控制的涵义，1949年美国会计师协会（AICPA）曾将其界定为“企业为保护资产完整、会计信息准确、提高经营效率及制度执行而制定的方法与措施”。1992年COSO委员会在《内部控制-整体框架》（Internal Control-Integrated Framework）中指出“内部控制是指由企业董事会、经理层和员工设计并执行，旨为特定目标实现提供合理保证的过程。目标具体包括财务报告真实可靠、企业合法合规经营、经营的效率和效果。”综上，内部控制是企业自我监督的重要手段，是企业各个业务流程的操作规范，目的在于提高经营管理水平。

内部控制审计是对内部控制的再控制，是评价、监督被审计单位内部控制设计及执行有效性的过程，实践中又分为注册会计师视角下的内部控制审计和企业内部管理视角下的内部控制审计。其中，注册会计师视角下的内部控制审计是指注册会计师接受被审计单位董事会委托对被审计单位内部控制的设计与运行有效性进行审计并发表审计意见的过程，目前我国的上市公司均需按照《企业内部控制审计指引》的要求聘请注册会计师进行内部控制审计；基于企业内部管理视角下的内部控制审计，其实质是属于企业的一种自我评价活动，由企业内部人员（内部审计人员及业务流程负责人）进行的自我测试、审计，目的在于发现并整改内控执行缺陷，促进公司内部管控水平提升。

可见，内部控制与内部控制审计两者在职能和目标上是不同的。

（二）内部控制审计与信息系统审计

根据国际信息系统审计与控制协会（ISACA）的定义，信息系统审计是“搜集并评价审计证据的过程，以判断信息系统是否能够有效保证资产安全、数据完整及高效地使用组织资源实现被审计单位的目标。”从ISACA对信息系统审计内容的规定来看，信息系统审计包括信息系统建设生命周期管理、信息资产保护、灾难恢复计划等；从信息系统审计工作实践上来看，信息系统审计包括信息安全审计、软硬件管理审计等。而在传统内部控制审计工作中，审计人员一方面需要对信息系统进行一般控制审计与应用控制审计，以判断支持企业日常工作的信息系统是否安全并得到有效控制，另一方面还需要运用计算机辅助审计技术，以高效地分析、处理和验证从各个系统中获取的数据。

可见，虽然两者均属于审计，但是属于两种不同类型的工作。

三、构建信息技术内部控制审计体系的探索与实践

伴随着公司信息化进程的不断发展，信息系统遍布公司的各个业务流程，为了促进公司提高内部控制管理水平，公司管理层十分重视对各业务领域的审计项目开展。在此背景下，公司利用信息技术进行内部控制审计的工作得到极大的支持，并形成了以“内部控制审计系统”为中心的信息技术内部控制审计体系，具体内容包括内部控制审计系统、持续审计系统及计算机辅助审计。

（一）构建实时的全过程内部控制审计监督体系，发挥内部审计免疫系统功能

1. 内部控制审计系统的开发背景

作为境外上市公司，相对于国内其它公司而言，公司较早的执行了COSO内部控制基本规范，为了确保公司内部控制的设计有效，公司对各领域进行了流程划分及流程控制点细分，并按照国家法律法规、公司业务规范等要求对各控制点的操作流程等进行描述，经过不断修订形成了较为完善的内部控制矩阵，该矩阵的构建为公司内部控制审计系统的建设提供了基础。然而，完善的内部控制制度体系离不开公司上下的一贯执行，由于公司业务繁多，如何实时的对内部控制的执行有效性进行评价成了难点。因此，公司以控制点为单元，按照各控制点的发生频率及涉及单位下发样本采集工单，通过将内部控制矩阵固化到系统中的方式来实现对各控制点执行的有效性进行准时实时监督的目的。

2. 利用内部控制审计系统开展内部控制测试的工作程序及方法

与外部审计人员开展内部控制测试类似，利用内部控制审计系统开展内部控制测试工作也需要先对控制点描述的准确性进行检验，即通过查阅资料、访谈等审计手段确认当前的内部控制程序是否能够对重大差错、风险的发生起到防范作用，并且是否与当前的实际情况相符；并在内部控制设计有效性得到认可的情况下，通过进行穿行测试等来判断某一业务是否按照内部控制要求的程序得到一贯的执行，也可通过审阅已完成业务的过程记录、函证、观察、访谈等方式确定内部控制是否执行有效。

3. 内部控制审计系统运行中的难点及成效

在利用内部控制审计系统开展内控测试的过程中，可根据审计目的的不同划分为对关键控制点的测试和对所有控制点的全面测试。但无论哪种测试，都需要测试人员及控制点责任人员配合完成，配合的效果直接影响测试结论的准确性。另一方面，由于系统中测试样本提供的人为性、随意性，在对某一控制点的缺陷认定方面存在一些困难。尽管如此，内部控制审计系统不但满足了审计人员开展非现场审计及审计资料共享的要求，也通过系统交办、承办、反馈等环节，实现了部门间对内部控制有效执行的整体推进，同时，内部控制审计系统的测试结论也为公司内部控制自我评价提供重要依据。

（二）推动审计部门与其他部门间信息交换，实现持续审计监督服务

1. 持续审计系统的产生

根据管理层的关注重点及业务部门的审计需求开展各类审计工作是公司内部审计机构的职责，但针对某一高风险领域如何进行持续的审计监督，成为审计实践中亟待解决的问题。此外，为了研究审计发现问题产生的原因及更有效的发现问题，需要对大量的原始数据进行调取，数据分析与建模也被更多地应用于审计程序中。经过对实践工作进行总结，公司通过将数据获取、数据分析、审计发现及报告等系统化，实现了对某些领域的持续审计系统监督。

2. 信息系统持续审计中的难点及成效

由于利用信息技术开展持续审计工作可实现对审计发现问题及审计报告的自动生成功能，因此，内部审计机构的工作重点更多的是利用审计报告结果发现问题突出的单位并向管理层报告，同时，持续的与业务部门就审计发现问题进行沟通确认也成了工作难点。但信息技术的融入对内部审计工作效率的提高及非现场审计目标的实现起到了极大的促进作用。

（三）运用计算机审计工具，有效提升审计效率

同国内大多数企业一样，公司在利用计算机执行和完成某些审计程序和任务的过程中，并未利用专门的辅助审计软件进行项目审计，主要是在审计业务中利用电子表格、数据库及字处理软件等帮助审计人员计算、复算、复核、分析审计数据，以节约审计时间、增加准确性。这也是公司在各项目开展中使用最为广泛的审计手段之一。

四、建立信息技术内部控制审计体系的建议

（一）做好内部控制审计信息化建设的整体布局，提高系统的开放性和可拓展性

内部控制审计信息化建设是公司信息化发展的重要组成部分，认真做好审计信息化建设的规划及组织实施可避免信息化建设发展不均衡、低水平重复建设等诸多问题。此外，由于多数公司信息系统的数据口径各不相同，增强电子数据的通用性和规范性，建立与之相适应的数据采集转换接口，对提高系统的适用性意义重大。

（二）建立内部控制审计信息化标准，提高利用信息技术进行内部控制审计工作的规范性

内部控制审计信息化在促进内部控制行为规范的同时，也须对内部控制审计系统的设计与开发、运行与维护、审计程序及审计证据的搜集与使用、审计人员应具备的资格等方面做出明确规定，并在建设和实践的相互作用中，不断完善信息化技术内部控制审计理论。

（三）拓宽信息化人才培养渠道，提高内部审计人员整体信息化素质

其一，引入一些既熟悉信息技术又精通审计的复合型人才到内部审计队伍中，补充信息化审计人才缺口。其二，有针对性地开展各种业务培训，促进现有内部审计人员更好地掌握信息化环境下的现代审计技术和方法。其三，加强部门间横向交流，特别是与信息专业人才的交流，通过实践锻炼、借调、交流，不断提升内部审计人员的计算机审计开发与运用水平。

参考文献：

[1]闫梦然.我国企业内部控制审计问题研究[D].财政部财政科学研究所，2013.

[2]张海霞.企业内部控制审计研究[D].山西财经大学，2012.

[3]叶常青、仇栋良、于铁军、李勉、陈伟波、丁朝霞.基于数据挖掘、联网审计和在线审计的内部审计信息化建设—来自广州市公安局内部审计信息化建设的实践[J].全国内部审计理论研讨优秀论文集，2013.

[4]陈冬梅、刘彦军、王红霞、裴浩帆、张国刚、王晓辉、李兵、潘国辉.企业内部审计信息化建设研究[J].全国内部审计理论研讨优秀论文集，2013.

[5]焦学文.证券公司内部审计信息化发展现状及趋势[J].审计与理财，2014（05）.

[6]李晟璐.高校会计信息系统内部控制体系构建[J].财会通讯，2015（35）.

[7]张瑕.基于注册会计师视角的内部控制审计问题研究[D].安徽财经大学，2013.

（作者单位：中国移动通信集团内蒙古有限公司）