电子数据环境对内部控制评价之作用的影响

作 者:

作者简介:
郑石桥,南京审计大学审计科学院

原文出处:

内容提要:

02


期刊代号:V3
分类名称:审计文摘
复印期号:2021 年 09 期

关 键 词:

字号:

      内部控制与经典审计模式有不解之缘,了解内部控制状况可以作为风险评估的因素,内部控制评价可以作为减少实质性程序的措施,还可以作为独立的业务,形成内部控制审计,因而在经典审计模式中,内部控制评价具有举足轻重的地位。那么,随着电子数据环境的到来,审计载体发生了变化,电子数据分析与核对的效率更高,内部控制评价在审计中的地位是否会发生变化呢?通过将内部审计部门开展的内部控制鉴证业务称为内部控制评价,将会计师事务所开展的内部控制鉴证称为内部控制审计,由于电子数据对二者都会产生重要影响,本文不区分内部控制评价和内部控制审计,通称内部控制评价。

      二、文献综述

      (一)电子数据环境对内部控制评价的影响

      IAPC于1998年发布的国际审计准则第15号《电子数据处理环境下的审计》指出:“在电子数据处理环境下,并不改变审计的总体目标和范围。但是,计算机的使用改变了财务资料的处理和存储,并可能影响这个单位为达到适当的内部控制而采用的组织和程序。因此,审计人员在他对会计制度和有关的内部控制的研究和评价中所遵循的程序,以及他的其他审计程序的性质、时间和范围就可能受到电子数据处理环境的影响”,“如果审计人员计划在施行他的审计中依赖内部控制,他应当考虑人工和计算机控制对电子数据处理功能(电子数据处理的一般控制)的影响以及有关会计方面应用的特别控制(电子数据处理的应用控制)”。国际审计准则第15号的上述规定表明,在电子数据环境下,一般意义上的内部控制评价变为信息系统内部控制评价,主要包括电子数据处理的一般控制评价和电子数据处理的应用控制评价。基于国际审计准则第15号《电子数据处理环境下的审计》的上述规定,有学者研究了电子数据处理一般控制和应用控制评价的步骤和方法,这些步骤和方法与一般意义上的内部控制评价有较大差异。

      (二)大数据对内部控制评价的影响

      有学者认为,在大数据环境下,通常不再依赖内部控制评价来降低对实质性程序的依赖,所以内部控制评价不再是有实质意义的审计程序,陈伟描述的大数据审计步骤中并不包括内部控制评价,其他学者也有类似观点。

      现有文献对电子数据环境下内部控制评价在审计中的作用进行了一定的研究,但是这种研究并未区分内部控制评价的不同作用,也未区分内部控制评价在不同审计业务类型中的作用,本文拟弥补这个缺陷。

      三、理论框架

      一般来说,内部控制评价在审计中的作用有三种情形:一是将了解内部控制状况作为风险评估的因素;二是作为减少实质性程序的措施;三是作为独立的审计业务。电子数据环境的到来,会对上述三种情形的内部控制评价产生不同的影响。

      (一)了解内部控制状况作为风险评估的因素

      不同的审计主题可以形成不同的审计业务。通常来说,主要的审计业务类型包括财务审计、绩效审计、合规审计和制度审计,内部控制状况作为风险评估的因素,主要存在于财务审计、绩效审计、合规审计中。这些审计业务通常采用风险导向审计模式,其主要审计程序是风险评估和进一步的审计程序,而风险评估程序通常包括对内部控制的了解。随着电子数据环境的到来,了解内部控制状况作为风险评估的因素,这个审计程序的作用将发生变化。

      就财务审计来说,在风险导向审计模式下,首先要实行风险评估程序,而风险评估程序的主要内容是了解审计客体及相关情况,其中就包括了解审计客体相关内部控制,通过了解内部控制来初步评价控制风险,根据控制风险的初步评价,对交易、余额、列报相关认定的错弊风险做出初步评价,可见,交易、余额、列报相关认定的内部控制状况是评价交易、余额、列报相关认定风险的重要因素,其中的逻辑是,控制风险越高,相关财务信息的错弊风险越高。随着电子数据环境的到来,直接以交易、余额、列报相关认定的数据为基础进行风险评估是有效率的审计程序,基于控制风险的状况来评价交易、余额、列报相关认定的错弊风险的需求大为降低甚至消失。

      就绩效审计来说,通常包括绩效信息鉴证、绩效水平评价和绩效差异改进三种情形,将了解内部控制状况作为风险评估的因素主要发生在绩效信息鉴证中。类似于财务信息审计,绩效信息鉴证通常也是基于风险导向审计模式,首先是评估绩效信息错弊风险,在此基础上设计和实施进一步的审计程序。在绩效信息错弊风险评估中,通过了解绩效信息相关内部控制以评估绩效信息错弊风险是其中的路径之一,基本逻辑是,凡是绩效信息相关内部控制越是健全,绩效信息错弊风险会越低,所以绩效信息相关的内部控制之评价,是绩效信息错弊风险评估的重要内容。随着电子数据审计环境的到来,直接对绩效信息进行分析以评估其错弊风险可能变得很有效率,基于相关内部控制状况来推导绩效信息错弊风险可能不再符合成本效益原则,因此,总体来说,在电子数据绩效信息鉴证中,了解内部控制状况以评估绩效信息错弊风险的需求大为降低甚至消失。

      就合规审计来说,通常有两种定位:一是结论导向;二是问题导向。在结论导向模式下,通常也是基于风险导向审计模式,风险评估是必要的审计程序,而通过了解经济行为相关内部控制状况来评估违规风险是风险评估的重要内容,其逻辑是:经济行为相关内部控制越是健全,这种经济行为的违规风险就越低。随着电子数据环境的到来,直接对经济行为相关数据进行分析以评估经济行为的违规风险可能更加具有效率,而基于相关内部控制状况来推断经济行为的违规风险可能不再符合成本效益原则,因此,在结论导向电子数据合规审计中,了解内部控制状况以评估经济行为违规风险的需求大为降低甚至消失。在问题导向模式下,其主要目的是寻找违规行为,在电子数据环境下,严格区分风险评估和进一步的审计程序没有实质性意义,而通过对经济行为相关数据进行分析以发现经济行为违规疑点更具有效率,所以在问题导向电子数据合规审计中,了解内部控制状况以评估经济行为违规风险的需求大为降低甚至消失。

相关文章: