信息化是现代企业的普遍特征,因此对企业的信息系统进行内部控制审计是现代审计不可或缺的重要工作内容之一。内部控制是企业管理的核心工作,企业生产、销售、财务、人力、合同等各项工作的顺利进行都与内部控制的健全性和有效性密不可分,因而目前许多大型优势企业都建立起了适合本身生产经营特点的信息系统。 信息系统的稳定运行是建立在严密的内部控制制度基础之上的,对信息系统的安全、可靠、稳定等方面进行审计评价构成企业内部审计工作的新课题。对企业信息系统内部控制进行审计可以找到系统设计和运行过程中的薄弱环节进而对其进行弥补与完善,提高企业信息系统的使用效率,从而保障各项数据资料的真实性和完整性,防止非法入侵系统数据库及人为篡改数据的情况发生。这对于强化企业信息系统的运营效果,提高企业管理水平都是大有裨益的。 一、构建企业信息系统内部控制审计的框架体系 (一)框架体系的基础——企业信息系统内部控制审计的目标 1.保障企业经营目标的顺利实现。企业的所有控制活动的目的都是保障企业经营目标的实现,对信息系统内部控制的审计也是为实现企业目标服务的。企业信息系统内部控制审计旨在通过审计促进信息系统合理、高效地运行,从而保证企业价值最大化这一经营目标的实现。所以,企业信息系统内部控制审计的框架体系的建立要始终围绕这一目标而展开,设计的审计方法和程序也应以企业目标为基础。 2.促进企业资产安全,提高资产使用效率。企业信息系统的设计和实施是在管理层的督导下建立起来的,其目的是保证企业资产的高效使用,促使资产的保值增值。一个内部控制制度不健全的信息系统难以保证数据的安全及资产的有效利用,可能会给企业带来无法弥补的损失。所以,对企业信息系统进行内部控制审计是以促进企业资产安全及提高其使用效率为目标的。 3.促使企业信息系统依法稳定运行。企业建立信息系统必须在法律规定的框架内合法运行,在内部控制制度的设计上也应体现法律、政策规定的主旨特点。信息系统内部控制制度的制定要体现法律思维,信息系统是企业运营的中心,各项经济活动都在这一系统中得以记录,企业经营活动的过程和成果都会依托信息系统体现出来。可见,信息系统内部控制审计体系的目标是保证企业信息系统依法稳定运行。 (二)框架体系的内容——企业信息系统内部控制审计的内容和方法 企业信息系统内部控制审计是对构成内部控制制度的各项程序和规定进行检查和评价。信息系统内部控制审计有着不同于其他内部控制审计的构成内容,如:检查企业信息系统是否建立起内部控制措施,内部控制措施的设计是否得当,各项内部控制制度是否得到有效执行,以及针对信息系统的内部控制制度设计与实施是否存在风险等。在审计实务中,可以把信息系统内部控制审计的内容分为一般控制审计及应用控制审计两大部分,两者的具体内容及审计方法详见下页表。 通过下页表可以看到,企业信息系统内部控制审计是围绕着一般控制及应用控制而进行的,内部审计人员在对信息系统内部控制实施审计之前,应做好充分的前期准备工作,通过风险评估发现关键控制点,把有限的人力安排到影响系统安全的关键控制上,通过发生频率确定抽样样本,通过穿行测试记录详细测试步骤,从而得出正确的审计结论。 二、A公司信息系统内部控制审计的现状及存在的主要问题 (一)A公司信息系统内部控制的基本情况 A公司是我国知名的食品连锁企业,成立于20世纪80年代,产销量一直居国内领先水平,去年的产量更是达到了1 300万吨,销售收入近3亿元。A公司为总部部门及各分公司建立起了0A信息系统办公管理平台、财务用友NC网络软件、人力资源管理系统、审计信息系统等多个信息系统,使公司的资产管理、财务管理、采购管理、销售管理全部实现信息化。在此基础上,公司还建立起一系列的内部控制制度,用于规范信息系统的操作。
(二)对A公司实施信息系统内部控制审计 1.A公司信息系统内部控制审计流程图及审计重点。审计部决定对公司信息系统内部控制的设计与运行实施审计,审计部组成了有IT顾问专家参与的审计组,绘制了信息系统内部控制审计流程图如下:
审计组根据A公司的生产管理情况制定了详细的调查问卷,并于审计入场前进行发放。调查问卷由三部分组成:信息系统清单,包含财务、采购、销售、人力资源等五大系统;信息系统复杂程度评估;结论。 由于信息系统自身的特点,决定了其内部控制审计的重点不在纸质的规章制度上,而在于以不同程序形式编排在操作系统中的各项控制。例如:财务用友NC系统中,对于凭证生成后的自动检查程序设定了编码的逻辑取值范围、编号重复性检查、借贷方金额相等、制单和审核人员不同等程序,用于检查输入控制中的违规操作。据此,审计组设计了内部控制审计的重点即电子数据的管理部门。由于其他业务部门的操作停留在输入层面,而系统程序和开发维护等都在数据管理部门,所以审计组设计了以数据管理部为核心、辐射其他职能部室的审计工作重点,重点对信息系统的安全性和可靠性进行评价和测试。