我国企业实施内部控制审计信息化是经济全球化和国际化的发展趋势,企业内部控制审计信息化是完善审计体系的内在要求,是企业适应新形势下外部竞争的必然选择。信息化是决定企业成败的关键因素,也是企业实现跨行业、跨所有制、跨地区乃至跨国拓展业务的重要基础。信息化技术在减少人工工作量、提升工作效率的同时,也蕴含了诸多风险。企业内部审计作为公司治理的四大基石之一,在内部控制审计领域将发挥巨大作用。企业如何迎接这一信息化浪潮所带来的机遇和挑战,将对社会经济、公司治理和企业竞争力等方面产生广泛而深远的影响,对企业内部审计信息化问题展开研究,具有重要的现实意义。曹燕、常京萍(2010)对企业内部审计信息化战略进行了研究,提出应制定内部审计信息化发展规划,提升内部审计信息化在企业信息化管理框架中的层次,构建个性化的内部审计网络系统,培养满足审计信息化要求的复合型人才,为我国推进内部审计信息化提供了实践参考。随着我国企业内部控制规范体系的实施,自2012年开始,上市公司必须对内部控制进行评价披露,并聘请注册会计师对内部控制进行审计,企业内部控制审计信息化成为难点和热点问题。 企业实施内部控制审计信息化,重点在于对信息系统进行审计。这里的信息系统,是指企业利用计算机技术和通讯技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。审计人员对企业特定基准日信息化环境下的内部控制设计与运行的有效性进行审计,并对其有效性发表意见。内部控制审计信息化是审计信息化的一个重要组成部分,所谓审计信息化就是在运用以电子计算机为代表的现代化数据处理工具时,被审计对象进行财务工作和经营时,审计人员为了实现其审计目的,收集必要的审计证据,采取必要的审计程序,对企业运营的合规性以及利用计算机以及网络生成的财务信息进行审计的工作。广义的信息化环境下的内部控制审计业务包括计算机内部审计所涉及的所有内容,即计算机系统内部控制制度审计、计算机系统程序审计、计算机系统数据文件审计、计算机系统开发审计、计算机辅助内部审计、网络系统审计、计算机舞弊的控制和审计。狭义的信息化环境下的内部控制审计业务主要包括计算机系统内部控制制度审计、计算机舞弊的控制与审计。本文基于信息化视角,分析企业实施内部控制审计信息化所面临的风险,并从内部控制制度、系统建设、人员素质和风险评估体系等多维度对风险因子进行思考,并提出相应的风险应对策略。 二、企业实施内部控制审计信息化存在的风险 企业实现内部控制审计信息化后,提升了企业信息系统的运行效率,减少了运营成本,提高了企业人员的综合素质,顺应了时代发展的趋势。然而,事物都有两面性。内审信息化的实施也给企业带来了更多更大的新问题,只有充分认识和解决这些问题,企业的信息化才能健康、快速带动企业的全面发展。 (一)企业战略目标在信息系统的传达过程中可能产生偏移风险 企业战略目标已经成为决定企业竞争成败的关键与核心问题之一。面对复杂多变的经营环境和风险价值网络,以及信息技术自身的安全性问题,企业战略目标在信息系统传达过程中可能产生偏移风险。会计信息系统、人力资源信息系统、社会责任信息系统、采购信息系统、生产加工信息系统、销售及售后信息系统、客户关系管理系统、投融资信息系统、内部审计信息系统等各子系统错综复杂,相互牵涉。一旦某个环节出现重大缺陷或舞弊,会波及其他相关系统,信息化条件下的内部控制风险被放大。因此,企业内部控制及其审计由以前的“内部控制导向”向“风险导向”转变与发展(李晋蓉,2002),风险成为企业实施内部控制审计必须考虑的问题。内部控制信息化水平越高,人对系统的依赖性就越大,一旦系统与企业战略不匹配,或者企业战略发生调整,而系统没有及时更新,那么,企业战略目标在信息系统的传达过程中就容易产生偏移风险。 (二)审计人员在信息化条件下的能力表现不足 内部控制审计信息化对审计人员的独立性和专业能力要求很高,但实际情况是,对于注册会计师审计而言,由于审计委托关系的错位,审计独立性受到严重影响,审计结果不客观、不公允的情况时有发生。对于内部审计而言,许多单位的内部控制和审计隶属于财务部门,独立性差,审计人员也是兼职的,职业胜任能力欠缺。无论是注册会计师还是内部审计师,大部分都是财会专业出身,也就是比较擅长于财务报表审计和与财务报表相关的内部控制审计,对于非财务内部控制审计和信息系统审计,缺乏从事信息化内部控制审计所需的知识、技能和经验,审计人员在信息化条件下的能力表现不足,审计风险巨大。 (三)企业内部控制系统的信息化增加了内部控制审计难度 企业内部控制的信息化必将带来内部控制审计的信息化。我国企业内部控制审计信息化增加了内部控制审计的难度,主要体现为以下五个方面: 1.控制环境的突变。虽然信息技术使企业内部控制管理层级明显减少,岗位更加精简,不仅改变了传统手工数据处理方式,而且触发了企业管理模式、生产方式、交易方式、作业流程的重大变革,但是信息化对企业管理者的素质提出了更高的要求。从实际操作来看,从内部控制审计人员到管理者,短期内员工必然对信息化的应用不太适应,有些老一辈领导甚至不太重视企业内部控制信息化。信息化推动企业组织架构的扁平化变革,人与人之间的当面交流减少,大量的业务处理都在系统内完成,信息化的控制环境下,道德风险和逆向选择行为发生的概率增大。
