信息技术对内部控制及审计过程的作用
摘要:当企业使用信息技术增强内部控制时,应确认与传统手工系统不相关的新风险,并在信息系统中实施有效的一般控制和应用控制,以降低这些风险对财务报告的影响。注册会计师审计与企业内部控制之间有着密切的联系。本文说明信息技术环境中企业的内部控制分为一般控制和应用控制,并指出信息技术对内部控制及审计过程的影响。在信息技术环境下实施审计时,注册会计师主要运用测试数据法、平行模拟法和嵌入审计法。
关键词:信息技术;内部控制;审计过程
《独立审计具体准则》第1号指出:注册会计师应当在对被审计单位相关内部控制制度进行调查、研究和评价的基础上,确定审计程序和方法[1]。内部控制是一门新兴的边缘学科,是现代管理学、审计学等学科共同关注的热点领域之一。现代注册会计师审计存在的目的之一就是要对企业会计信息的可靠性进行评价并出具意见,以提高会计信息的可信性,保护会计信息使用者的合法权益不受侵害。在当前的信息技术环境下,开发审计项目管理软件,运用信息技术实现审计管理的科学化已成为必需。信息技术(Information Technology,以下简称IT)最明显的优点是具有以有效的成本处理大量复杂业务的能力,通过在日常业务处理中利用计算机控制取代人工控制,减少传统人工环境中的人为错误。为了履行审计的经济监督与鉴证职能,注册会计师需要重视IT给审计带来的冲击,考虑IT对企业内部控制及审计过程的影响。
一、信息技术环境中内部控制的主要内容
内部控制是指被审计单位为了保证业务活动的有效进行,保证资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制包括控制环境、会计系统和控制程序[2]。IT系统可以分为两大广义的控制类型:一般控制和应用控制[3]。审计论文一般控制与IT的所有部分相关,包括行政管理;软件获取及维护;对接近硬件、软件和相关数据的实际和在线安全;意料之外的紧急情况的备份,以及硬件控制。应用控制适用于对个别交易的处理,包括对销售或现金收入等项目的处理控制。正如图1所指出,一般控制的设计是保护所有的应用控制,以确信哪些控制是有效的。强有力的一般控制能减轻图1中一般控制椭圆外的方格中所认定的风险[4](P330—346)。
(一)一般控制
1.IT功能的管理。企业管理部门必须配置充分的资源以提供技术支持。对IT是否关注主要取决于董事会和高级管理部门的态度。他们显示出的忽视、资源分配和涉及关键的IT决策等,就是发出的有关信号。在复杂的环境中,管理部门经常要建立IT指导委员会以帮助监督企业的技术需要。在不太复杂的企业内,董事会依赖于首席信息官(Chief Information Officer,以下简称CIO)的常规报告或其他高级IT经理,以保持管理部门的知情权。#p#分页标题#e#
2.IT职务的分离。对于IT功能中将传统的保管、审批,及记账责任综合起来的风险,具有良好控制的企业可以通过将IT中关键职责的分离来加以应对。其中要考虑防止IT员工审批和记录业务以掩盖偷窃的资产;并考虑将错误的影响减到最小。为了减少错误的软件编程,电脑操作(包括有关实际和在线接近硬件、软件和数据文件的安全)和对数据输入与输出的控制应如图2所说明的进行分离。
3.系统开发。为增强测试后的软件能继续按照规定的方式来处理信息的可靠性,管理部门必须设计并贯彻用于减少未经审批而修改软件的风险的内部控制。这些内部控制称为系统开发程序。购进软件决策或内部软件程序设计的关键是拥有一支包括IT和非IT人员的队伍,其中包括软件工程师和内部审计师等关键的信息使用者。这种人员的结合增加了信息的需要,以及软件设计和执行问题得到适当提出的可能性。这样的团队方式可导致较有效的系统和被关键用户更好地接受。软件是否购买或由内部开发,对软件以现实数据进行广泛测试是关键的环节。其目的是保证新的软件与现存硬件和软件要素是兼容的,并决定软件和硬件是否可以处理实际的交易量。企业采用的两种测试方法称为导向性测试和平行测试。导向测试包括执行企业中一个部分的系统,而其他的路线仍继续依赖原来的系统。平行测试包括在所有的路线中原有的和新的系统同时运作。一旦测试成功,支持新系统的软件就从程序设计员转入资料员。对该转换过程的控制是非常关键的,只有经过批准的修改才可以执行。资料员应该在提供了适当的系统开发文件以后,只接受新的或修改后的软件。此外,为了避免执行中的问题,应该在依赖系统减少的时候进行转换。
4.实际和在线的安全。对电脑强有力的实际控制和对软件及相关数据文件的在线限制可以减少未经审批修改软件和数据文件的风险。安全计划应该有书面形式,并有持续的监控。关于实际控制和在线接近控制的大体情况是:实际控制。对电脑设备的实际控制,开始于限制接近硬件、软件,以及对磁带、或磁盘、CD及软磁盘的备份数据文件。限制未经授权使用的方式举例包括,键盘进入、标志进入系统、安全摄影,以及安全员工。对于较高级别的安全,实际和在线接近仅授予员工指纹识别以后,或者员工视网膜扫描,并与批准的数据库作对比。其他实际控制包括冷气和湿度的监控,以保证设备的功能正常。灭火器的设备的随时取用,减少了火灾的可能损害。
5.备份和应急计划。断电、火灾、过热或过湿、水灾,甚至是蓄意破坏等等灾害对使用IT的企业具有严重的后果。为了对付这些风险,企业要建立详细的备份和应急计划。备份和应急计划的一个关键是,确信所有重要的软件和数据文件副本都备份,并贮藏在办公室以外的地点。#p#分页标题#e#
6.硬件控制。制造商将控制加入电脑设备中,以查出和报告设备缺陷,称为硬件控制。相对系统中硬件控制的适当性而言,审计人员更加关心客户对于电脑查出来的错误的解决办法,无论硬件控制的质量如何,除非客户的组织具有处理机器故障规定,输出的数据仍将不正确。
(二)应用控制
1.输入控制。为了确保由电脑处理的信息是经审批的、正确的、完整的控制,称为输入控制。输入控制是很重要的,因为IT系统中大量的错误是来自输入数据的错误。输入错误又导致了输出的错误,而无论信息处理的质量如何。在人工系统中的典型控制,继续成为重要的控制。例如管理部门对交易的书面审批、输入原始凭证的适当编制,及具有胜任能力的员工。
2.处理控制。在处理交易数据时,用于防止和查出错误的控制称为处理控制。尽管有较强的一般控制,特别是有关系统开发的安全的控制,为将错误减到最少而提供一些最佳控制,应用处理控制也经常嵌入软件,以防止、查找,并改正处理错误。图3包括了处理控制的举例。
3.输出控制。集中在处理结束以后查出错误而非预防错误的控制称为输出控制,最重要的输出控制是由员工对数据合理性作复核。此外,电脑生成的输出对人工控制总额的调节,以及已处理的单位数量与提交处理数量的对比,可以帮助认定输出中的错误。在某些情况中,要执行交易输出对输入原始凭证的样本对比。同样,处理的日期和时间的核实也能帮助认定无序的处理。对于敏感性的输出,例如,电脑自动产生的工资支票,可以在分发支票以前,要求适当的员工认定,以加强控制。
二、信息技术对审计过程的影响
不管客户使用的是普通的还是复杂的信息技术,作为审计人员必须了解这些控制,同时,对一般控制的了解增加了审计师的信赖有效的应用控制以减少业务相关审计目标的控制风险的能力。以下概括说明一般控制和应用控制对审计过程的影响。
1.一般控制对控制风险的影响。大部分审计人员在评价应用控制之前要评价一般控制的有效性。如果一般控制是失效的,不管应用控制的质量如何,在每个电脑会计应用中就存在重要错误的潜在可能性。例如,如果责任分离不充分的话,计算机操作员兼任程序编制员,就有机会接近计算机程序和文件,而审计人员则应该考虑账户中的虚假业务或未经审批数据及遗漏的潜在可能性,如销售,购进和薪金。同样地,如果审计人员观察到那个数据文件未被充分的保护,可能就会得出结论,因为一般控制影响每个应用控制,而存在重要的数据丢失风险。在这种情况中,需要在现金收入、现金支出和销售等账户中扩大审计测试以满足完整性目标。另一方面,如果存在良好的一般控制,则增加了较大的依赖应用控制的可能性。审计人员能因此测试应用控制的运行有效性并依赖于减少实质性测试的结果。使用有效的一般和应用控制,将产生重要的审计效率。#p#分页标题#e#
然而,在IT环境中的一个挑战是软件发生变化的影响:审计人员对控制的信任程度。当客户改变软件时,审计人员必须评估是否需要追加测试。如果一般控制是有效的,当软件发生变化时,审计人员就能够容易地加以确认。在一般控制薄弱的环境中,应用软件中有未经确认的变化的可能性较大。所以,当一般控制薄弱时,就必须考虑在持续的基础上执行贯穿全年的应用控制运行有效性的测试。审计人员通过与IT人员和关键使用者的会谈,审查流程图、用户手册、程序变化要求和测试结果等制度文件,复核由IT员工完成的详细问卷等,获得关于一般控制和应用控制的信息。在大多数情况中,使用数种方法了解内部控制是有必要的,因为每种方法提供了不同的信息。约见首席信息官和制度分析师可以提供有关全部IT职能运行、软件开发的范围、关键会计应用软件中硬件的变化、以及计划的改变概括等信息。复核方案的变化和制度测试结果在确认应用软件的程序变化时是有用的。调查表在确认具体内部控制时也是有用的。
2.IT控制对控制风险和实质性测试的影响。审计人员将内部控制的强点和弱点与具体的业务审计目标相联系,在这些强点和弱点的基础上,为每个交易事项有关的审计目标评估控制风险。审计人员并不经常地将一般控制中的强点和弱点与具体业务的审计目标相联系。一般控制在几个循环中影响业务相关审计目标。如果一般控制是失效的,则审计师依赖应用控制降低控制风险的能力也会被降低。相反,如果一般控制是有效的,就会增加审计师信赖应用控制以降低控制风险的能力。当审计人员认定能减少控制风险的具体应用控制时,就能减少实质性测试。除此之外,由于计算机执行的有效应用控制与人工执行的控制相比更加一致,因而随意的人为错误将得以控制。审计人员也许通过使用本审计公司的软件测试控制,而减少控制测试的审计成本。当这些因素联合起来的时候,审计工作就会有效果和有效率。在运用通过计算机审计时主要有测试数据法、平行模拟法和嵌入审计模式法。
(1)测试数据法。测试数据法包括使用客户的计算机系统和客户的应用程序处理审计人员的测试数据,以决定计算机执行的处理测试数据的控制是否正确。因为是审计人员设计测试数据,所以能够认定哪些测试项目应该是被客户的系统所接受或拒绝。然后将系统所产生的输出与审计师预计的测试数据的输出作比较,以确定应用程序的内部控制的效果性。
在使用测试数据法时,注册会计师主要应考虑三种情况:
其一,测试数据应该包括审计人员想要测试的所有相关条件。审计论文审计人员应该设计想要依赖的关键计算机控制点的测试数据,以降低控制风险。审计人员的测试数据应该包含可能是客户正常处理的一部份的现实数据项目,其中包括有效的和无效的交易事项。#p#分页标题#e#
其二,审计人员的测试数据所应用的程序,必须是客户在整个年度内使用的程序。运行测试数据的方法之一是在整年内任意选取几个时间段,进行突击检查,虽然这样做是昂贵的和耗时的。另外一个方法要在资料管理员和系统开发中为保证测试程序是用于正常处理中被使用的一般控制。
其三,测试数据必须从客户的记录中清除。如果在客户的软件测试时,包括了处理数据测试时,同时发生实际的客户交易事项,则一旦测试完成,一定要在客户的主要的文件中除去测试数据。让虚构的测试业务留在客户的主要文件中是不妥当的。为了要清除虚构交易,可以输入对交易有抵消影响的数据。
(2)平行模拟法。多种软件可用帮助审计人员在软件中决定控制的有效性,并获得有关以电子格式出现的账户余额的证据。审计人员通过使用相同的数据文件,用控制的软件对客户的软件执行平行运行。是否采用测试控制或余额测试,需将自己的输出与来自客户的软件进行比较,以测试客户软件的有效性。如果输出中没有差别,则表明客户软件是有效的,而有差别则表示存在潜在薄弱环节。因为审计人员的软件是通过客户软件设计成执行平行操作的,该测试方法称为平行模拟测试。
审计人员用于执行平行模拟测试的一个常用工具是特别设计的通用审计软件(GAS)。这些审计软件程序通常是以窗口为基础,而且能容易地在审计师的台式或手提式计算机上操作。139审计人员获得客户的数据库或主文件的副本,并使用通用审计软件执行多种客户的电子数据测试。使用通用审计软件主要是测试IT控制。如审计人员可以获得客户的顾客信用限额主文件,及顾客订单的输入文件的副本,并指导审计人员的电脑列出那些低于顾客审批的信用限额的交易。审计时可以将审计软件输出与客户记录的交易进行调节,以证实客户文件的真实性和完整性。通用审计软件的第二个用途是审计师核实客户的账户余额。又如审计人员可以使用软件加总顾客应收账款的主文件,以决定其总额是否与总账余额相符。通用审计软件的主要作用是在执行审计测试时比使用传统手工程序要快捷和详细。
(3)嵌入审计模式法。在使用嵌入审计模式法时,审计人员在客户的应用程序中插入审计模式以获得感兴趣的具体交易。例如,审计人员可以获得所有超过一定金额的购进,以便其审查购进和支付循环中处理的全部大额交易。当审计人员使用嵌入审计模式法时,能够通过认定客户处理的实际交易而持续审计这些业务,嵌入审计模式法的一个重要的优点是审计人员有持续测试的能力,可以及时进行测试数据和平行模拟的比较。
参考文献:
[1]中国注册会计师协会.独立审计具体准则(第1号)会计报表审计[Z].1996.#p#分页标题#e#
[2]中国注册会计师协会.独立审计具体准则(第9号)——内部控制与审计风险[Z].1997.
[3]中国注册会计师协会.独立审计具体准则(第20号)——计算机信息系统环境下的审计[Z].1999.
[4] A. A. Arens. Auditing An Integrated Approach[M].北京:清华大学出版社,2001.
