信息技術環(huán)境下內部控制審計風險的發(fā)生與應對

信息技術迅速發(fā)展的今天，正在潛移默化提升各個行業(yè)發(fā)展的速度，內部控制審計是關于企業(yè)內部控制有效性確認、評價的過程，包括對企業(yè)內部控制設計和運行缺陷以及缺陷等級的分析、評價和確認，找出缺陷產生的原因進而制定內部控制優(yōu)化建議，是企業(yè)強化自身管理力度的強有力措施，將信息技術加入到內部控制審計工作中有必要性和現實實踐性。

一、信息技術環(huán)境背景下內部控制審計的基本特征

（一）人員方面要求高標準的綜合素質

伴隨著信息技術的飛速發(fā)展，內部控制系統的良性運轉是關鍵，而人是保障這個關鍵的重要環(huán)節(jié)，需要引起我們的足夠重視，特別是信息化程度越來越高的當下，人員的綜合素質要求更是越來越明顯，高素質、高信譽度的人員是保障企業(yè)內部控制系統良性運轉的關鍵組成部門，也是做好內部控制審計工作必不可少的后盾保障。內部控制審計工作涉及到的、接觸到的都是內部重要信息，其保密程度和泄密危害性都很高，必然要求參與工作的人員各方面的素質都很高，專業(yè)技術能力強，這樣才能保障企業(yè)的內部控制審計工作的安全可靠。

（二）數據的傳輸使用確保渠道共享

高度信息化的環(huán)境、日益發(fā)達的網絡技術，企業(yè)內部的所有數據信息均可上傳至企業(yè)自身開發(fā)利用的計算機終端系統，每個層面的管理人員根據自身的管理權限可以進行適度范圍內的數據信息的搜集和使用以及相關內部控制審計工作的開展，如此高共享平臺下的數據信息必然會讓內部控制審計工作處理起來越來越方面，同時也可以確保企業(yè)管理層面的決策能夠更加科學有效，保障了數據信息資源的充分共享和利用，可大大縮減內部控制審計工作因數據信息資源挖掘分析而產生的風險。

（三）內部控制審計方面

企業(yè)在信息化背景下主要依托內部的計算機終端系統進行相關信息的收集和業(yè)務的處理工作，有效避免了人為操作的繁瑣復雜性，同時也是一些人工操作的步驟變得簡約化、系統化和程序化，比如固定資產的折舊問題，系統里有設定好的相關處理軟件，財務人員只需要輸入簡單的相關信息就可以完成資產的折舊計提工工作，比以前的手工記賬更加簡約有效，流程操作更加順暢。內部控制審計工作相關數據的錄入處理更加快速便捷，信息化程度越高，節(jié)約的時間越多，并且還有可以在一定程度上讓某些數據分析事后報告轉變?yōu)閷崟r數據分析報告，在一定程度上確保了企業(yè)數據管理的動態(tài)化反饋，能夠第一時間發(fā)現問題并進行問題的分析糾正。信息技術的及時反饋能讓企業(yè)審計工作在第一時間得到第一手的資料，能夠全面知悉企業(yè)目前的內部控制狀況，可有效避免由于時間差而造成的各種數據信息的誤判和決策分析的不及時性，內部控制審計工作人員在信息化背景下處理數據信息的簡約、高效、便捷和獲取數據綜合分析結果的及時反饋性，能夠在很大程度上避免內部審計風險的發(fā)生。

二、信息技術環(huán)境下內部控制審計風險基本概述

內部控制審計是企業(yè)委托會計師事務所對企業(yè)特定基準日的內部控制有效性進行審計并提出專業(yè)的意見，屬于一項新興業(yè)務，在信息技術快速發(fā)展的大背景下，站在審計風險的視角，在實際運行中必然存在著內部控制審計風險，主要體現在企業(yè)自身內部控制設計和運行的有效性存在重大缺陷，但審計師在審計過程中并沒有發(fā)現重大缺陷進而出具了不恰當的內控審計意見的可能性。

內部控制審計風險具有客觀存在性，主要體現在注冊會計師所面臨的內部控制審計風險是客觀的、存在的，需要審計人員在檢查審計過程中采取恰當的、有針對性的、合理化得審計方法程序去分析、識別、評估內部控制審計風險，目的在于最大程度的降低內控審計風險發(fā)生的可能性。內控審計風險不能完全消除，只能做到竭盡全力的爭取將風險降到最低水平。一旦內部控制審計風險發(fā)生將帶來嚴重的經濟后果，審計人員的獨立、公正和外界信任程度將受到不同程度的影響，特別嚴重的會引來損失賠償或者訴訟，被審計單位需要及時披露相關聯的重大事項信息情況，以免影響長期以來在公眾心目中樹立起來的良好企業(yè)形象，避免牽連到上市企業(yè)的股市價格波動，內部控制審計報告使用者誤信、使用不恰當的報告數據信息開展投資決策分析也將會帶來一定程度的經濟效益損失。因此，注冊會計師應該利用現代化的信息技術手段將內部控制審計風險縮減到可以接受的范圍內。內控審計風險具有可控性，審計人員不要因為客觀存在的風險而害怕接收審計單位，需要做的是通過采用多種綜合性手段第一時間識別風險、利用具有可操作性的對策控制、調控風險以此達到降低審計風險的目標。最后，內部控制審計風險的客觀存在性、一旦發(fā)生的嚴重性和可控性表明，審計人員應該充分利用好信息技術的高科技，專心研究好審計問題，潛心探索出降低風險的多種途徑，多管齊下共同發(fā)揮作用不斷優(yōu)化提升內部控制審計質量，以促進審計工作朝著高質量發(fā)展的道路前進[1]。

三、信息技術環(huán)境下內部控制審計風險產生的原因

（一）注冊會計師和會計師事務所層面的原因

審計人員的綜合職業(yè)勝任能力方面，審計人員的綜合勝任能力還不足。首先，被審計單位行業(yè)不同、企業(yè)的經營管理模式不同，審計人員需要深入了解分析企業(yè)的經營管理模式，才能有能力對內部控制設計合理性和運行的有效性做出正確的有效的評價。其次，目前被審計單位大量的使用OA、ERP等信息技術，審計人員需要掌握一定的信息技術，才能對信息管理軟件的是否存在設計漏洞、運行是否有效性做出判斷。這就要求審計人員一是要掌握審計業(yè)務知識，熟練的運用審計工具；二是要對企業(yè)管理模塊的內容有多涉獵，能夠了解和掌握行業(yè)之間的差異化流程；三是要熟練的掌握并運用信息技術，如此才能確保審計工作的高質量。目前，審計人員的綜合勝任能力還不足，專業(yè)相對單一化，理論與實踐相結合欠缺，受傳統審計理念的影響不重視非財務方面的審計工作，進行影響審計工作效果。

審計人員的獨立性方面，存自我評價和經濟利益風險。查閱相關案例發(fā)現，在實際運行中企業(yè)的內部控制設計和運行存在多個缺陷漏洞，然而會計師事務所卻出具了符合標準無保留意見的內部控制審計報告，究其原因：一方面，會計師事務所在承接內部控制審計的同時，往往同時承接被審計單位其他審計業(yè)務，如財務報表審計。同時承接多項審計業(yè)務使得不同業(yè)務之間存在自我評價的風險非常高，導致會計師事務所在審計報告意見欄簽署過于自主；另一方面，被審計單位在經濟層面的主導性，使事務所失去了本身的獨立性和交易的主動權，決定使用哪個事務所、審計費用是多少這些在一定程度上取決于被審計單位的領導層面，然而事務所迫于審計費或者市場客戶占有率的壓力而不得不屈服、喪失主動權和審計意見的獨立性。如果審計雙方在某些重大問題上有分歧，被審計單位管理層有可能通過一些不透明的方式如降低審計費用、合同不續(xù)簽等迫使事務所屈服于現實，影響其審計工作的獨立性。

（二）被審計單位自身原因

1.被審計單位管理層重視不足

企業(yè)的內部控度制度建設并不是一個簡易工程，需要在實踐中進行不斷的修正完善。一方面，企業(yè)的信息化技術內部控度制度建設越來越依賴信息技術，需要投入大量的人財物力，這些費用成本都是由企業(yè)承擔。企業(yè)經營是以盈利為目的的，對于短期內看不到效果的內部控制制度建設自然得不到管理層的重視和財力支撐，導致規(guī)定僅僅流于形式；另一方面，企業(yè)的業(yè)務發(fā)展過于迅速，在信息技術的利用上，沒有進行宏觀的布置，使內部控制制度的建設不能提升到企業(yè)長期戰(zhàn)略發(fā)展的層面到，為節(jié)約成本費用，企業(yè)沒有增加對信息化的資源投入，導致企業(yè)的內部控制建設和信息化水平不匹配。

2.被審計單位內控制度建設不完善、執(zhí)行不到位。

隨著信息化技術和內部控制建設聯系越來越緊密，一方面，信息化技術可以減少甚至杜絕人為因素對內部控制執(zhí)行的影響，另一方面，也大大提升了內控制度設計的要求。如果內控制度設計的過于僵化，會使得內控制度難以執(zhí)行；如果內控制度設計的過于靈活，會使得內控制度存在漏洞；在信息化技術介入內控制度執(zhí)行的背景下，要求內部控制的設計者既要熟練掌握信息技術的控制方法，又要洞察人性，將信息技術和管理目標結合起來。

（三）信息技術的局限性

信息技術能夠給內部控制極大的賦能，尤其在流程控制、數據采集、數據運算、數據分析等方面優(yōu)勢明顯，但在具備優(yōu)勢的同時，也存在一定的局限性。

信息技術增加了內部控制的系統風險。信息系統減少了人工的干預，可以根據事先設計的流程自動運行，但也會降低人對系統的可控性。首先，信息系統由多個復雜的子系統組成，任何一個層面的錯誤，如果應對不及時，都會導致整個內部控制的癱瘓；其次，由于信息系統的專業(yè)性越來越強，系統中的漏洞將難以被識別、糾正，利用信息系統的漏洞隱蔽性越來越強；最后，傳統的內部控制體系，數據都是分散在各個部門、各個人員手中，即使是數據出現了泄露等事項，損失也是局部的；信息系統將數據集中存儲，一旦出現信息泄露，損失是全面性的，極大的增加了數據安全的風險。部分信息技術的可理解性越來越差。大數據、人工智能等基于機器學習和深度學習的信息技術，審計人員甚至開發(fā)人員都無法越來越難以理解其內在邏輯。大數據、人工智能等不追求輸入和輸出的因果關系，而是追求輸入和輸出的相關關系。比如某零售公司有一個“預測籃子”功能，它利用機器學習和人工智能來了解購物者的歷史、偏好以及通常會購買哪些東西，以創(chuàng)造附加體驗，以確定最佳的下一個可用項目，然后先發(fā)制人地要求顧客批準被替代的商品。作為審計人員本身已經無法通過上述業(yè)務邏輯的理解，判斷其內部控制是否合理，測試內部控制是否有效；由于上述業(yè)務行為是基于大數據訓練出來的，一項判斷本身也會影響到業(yè)務邏輯，審計人員甚至無法對上述業(yè)務的判斷行為進行還原。

（四）信息技術監(jiān)管越來越嚴格

自2016年11月7日《網絡安全法》頒布以來，國家網信辦、工信部、公安部、國家認證認可監(jiān)督管理委員會等部門陸續(xù)出臺了一系列與此配套的法規(guī)?，F階段我國對數據保護等信息技術監(jiān)管的立法中，已經有相當一部分較為具體、可操作的規(guī)定。但是由于缺少較高階的法律加以統一，整體的法規(guī)和規(guī)范性文件依然處在一個較為分散和松散的狀態(tài)，缺少系統性。目前，《個人信息保護法》和《數據安全法》等法律已經提上發(fā)布日程，可以預見在不遠的將來，立法對數據的保護會進一步完善，覆蓋的廣度和深度會進一步加強。隨著信息技術監(jiān)管越來越嚴格，內部控制審計人員需要加強對信息技術監(jiān)管相關的法律法規(guī)系統性的學習，對于內部控制中涉及到違法違規(guī)的行為及時的識別、評估其風險。

（五）監(jiān)管層面原因

內部控制審計在我國起步相對較晚，發(fā)展時間相對短暫，相關配套性法律法規(guī)建設還不是很完整，處于正在逐漸完善的階段必然存在一定程度的漏洞，當今信息化大背景下很容易被上市公司穿漏洞。內部控制審計體系的建設需要出臺很多法律法規(guī)，我國目前還缺乏一個相對統一的權威性監(jiān)管機構出具專門性的配套法律法規(guī)體系來指導注冊會計師開展審計工作，這樣，注冊會計師沒有一個相對標準統一的審計依據，種類繁多的內控法律法規(guī)不能滿足內部控制審計的實際要求，對于某些特定問題的描述還存在著之間相互矛盾不一致的情況，增加了注冊會計師的內控控制審計風險的發(fā)生。內部控制審計體系的完善需要多個部門的參與協同合作，亟需國家政府層面能夠調動相關監(jiān)管部門進行法律法規(guī)的優(yōu)化完善工作，這是因為注冊會計師在遇到特殊情況或者奇難雜癥時，沒有一個標準化的行動準則做指引，任由其根據自身專業(yè)和個人經驗判斷進行審計意見的出具，這樣造成審計質量大打折扣，影響審計結果的可說服性和公眾可信任度，更無法保證內部控制審計的獨立性和公正性。

四、信息技術環(huán)境下防范內部控制審計風險的策略

被審計單位所委托的注冊會計師作為第三方的獨立審計主體，對被審計單位內部控制的設計的合理性、運行的有效性進行鑒定分析所開展的相關資料的搜集調閱、多方詢問和實地考察等，是確保審計成敗至關重要的屏障。

（一）提高注冊會計師的信息技術能力

注冊會計師作為內部控制審計的執(zhí)行者兼職風險防范的第一人，要樹立全流程的風險防控意識，從項目的承接到完成項目審計均需要時刻保持高度的風險意識，提升自身的綜合素質，除了熟練掌握相關的審計業(yè)務法律法規(guī)外，還需要不間斷的主動學習信息技術相關的知識，知識體系的更新可以促升對企業(yè)內部控制活動的預測分析和判斷，提升自身的審計驗證能力，將理論與實際相結合的能力，適應信息化發(fā)展的需求，掌握審計的主觀能動性出具具有說服力的內部控制審計報告。

（二）利用專家的工作

在具體的內部控制審計過程中，注冊會計師在遇到超越自己能力范圍的信息技術，應該積極的利用專家的工作。在項目承接階段，可以利用信息系統設計專家，通過問詢、實地調研考察分析以及相關重點業(yè)務關節(jié)的現場觀察等多種方式的運用更全面的了解被審計單位的信息系統的設計方面的問題，保持一貫的持續(xù)關注；在內部控制審計實施開展階段，可以利用網絡技術、數據庫等具體技術方面的專家，結合行穿行測試等多種手段，實施風險評估程序以獲取充分且適當的審計證據來支持其發(fā)表的內部控制審計意見，重點關注被審計單位經營活動中，利用信息技術容易引起內部控制重大缺陷的關鍵性環(huán)節(jié)和重要風險領域；項目審計完成階段，注冊會計師可以利用數據分析方面的專家，運用獨立性的職業(yè)判斷分析能力，綜合考察驗證材料以及對內控制度有效性判斷的查證分析[2]。

（三）建立健全內部控制審計質量控制制度

會計師事務所將規(guī)范化的內部控制審計質量控制體系形成書面性文件，內容涵蓋相關政策、制度和程序，利用信息化大數據平息共享平臺實現審計人員信息全覆蓋，每一位審計人員應確保被審計單位信息系統輸出信息的真實可靠，明確知曉審計項目流程中應承擔的審計質量責任義務，根據共享文件中有關審計具體內容的質量控制相關政策、制度和程度的具體性表述以及事前預期設定的目標條款規(guī)定嚴格貫徹落實執(zhí)行。會計師事務所利用信息化數據網絡建立長效性的評估系統和內部控制審計風險的制度體系建設，進一步明確審計質量控制基本原則，審計項目承接前能夠有效識別潛在的風險并在可控范圍內估測風險發(fā)生的概率和所產生的損失程度，通過信息化算法系統確保風險能夠在事務所可接受和可控制的范圍內。信息化數據庫背景下，根據被審計單位的行業(yè)屬性不同建立不同類型的審計客戶信息管理制度，做好業(yè)務初始活動階段的審計風險防空第一步，嚴格遵循審計相關工作準則，確定審計業(yè)務是否承接或者續(xù)接，充分考慮以確保信譽度和對客戶服務滿意的忠誠度。另外，強化審計完成階段的審計質量復核控制機制，除了進行審計組領導層面的復核審計，還需要置頂提交事務所高管層面進行審計業(yè)務質量的復核審計，以確保審計業(yè)務完成前審計質量復核流程高質量嚴標準達成，從而給內部控制審計報告的出具提供堅強的質量后盾保障。

（四）搭建良好的、系統化的審計平臺

依附于審計人員個人的信息專業(yè)化技能和經驗、利用外部專家的工作，可以解決內部控制審計中點狀問題，但內部控制審計系統性的問題需要搭建良好的、系統化的審計平臺來解決。首先系統化的審計平臺可以規(guī)范審計人員的審計程序，從而提升內部控制審計風險的防范控制水準；其次，信息化高速發(fā)展的大背景下，可以通過審計平臺的快速更新迭代，系統化解決被審計單位信息技術更新迭代；再次，系統化的審計平臺可以將部分信息技術工具化，如數據分析工具，圖形展示工具，系統漏洞篩查工具等，降低內部控制審計信息技術門檻；最后，審計平臺可以大幅度提升審計效率，做到以信息化手段來解決信息化問題。綜上所述，在信息技術快速發(fā)展的大背景下，內部控制越來越多的使用信息技術，也越來越依賴信息技術。注冊會計師在對內部控制審計時，除了傳統的審計程序外，還要特別關注信息技術對內部控制造成的審計風險。從微觀上，要求注冊會計師要么加強學習信息技術的相關知識，要么能夠利用信息技術專家的工作；從宏觀上，要求事務所針對信息技術，健全內部控制審計質量控制制度，并建立與內部控制審計相匹配的審計平臺。

（五）完善相關審計法律法規(guī)的監(jiān)管職能

信息技術快速發(fā)展的今天，上市公司內部控制制度的完善不僅關乎企業(yè)自身的優(yōu)化建設，還需要第三方會計師事務所審計力量的投資決策，這些功能的發(fā)揮需要強有力的外部監(jiān)管機構作保障，需要財經部門構建監(jiān)督管理委員會，獨立于監(jiān)管部門的審計師行業(yè)，充分發(fā)揮對審計人員的自律性和自主性，制定內部控制審計質量監(jiān)督準則和督導復核機制、獎懲結合辦法。開展同業(yè)互查機制，即完成對某一個會計師審計業(yè)務質量的檢查和控制情況，又執(zhí)行了對審計業(yè)務流程進行定期檢查復核的互相監(jiān)督管理機制，通過互查機制的建立，可以強化會計師對審計原則的遵循情況以及業(yè)務開展的風險點的把控情況，可以實現監(jiān)管管理學習雙推進，提出自己修改建議的同時進行相關措施的優(yōu)化改進。引入保險制度，探索新的審計委托模式從根源上解決審計神獨立性的問題，企業(yè)可以通過購買保險使保險公司成為企業(yè)的擔保人，保險公司在接受業(yè)務之前需要對企業(yè)的經營狀況及內部控制環(huán)境做詳細的了解，以此了解擔保的風險，保險公司會雇傭會計師事務所進項嚴格的內部控制審計，最大限度地降低擔保保險，沒有復雜性的內存關系，充分保障審計人員的獨立性，大大降低內部控制審計風險的發(fā)生。

本文來源：《商業(yè)觀察》http://www.00559.cn/w/jg/125.html