信息技术环境下内部控制审计风险的发生与应对
信息技术迅速发展的今天,正在潜移默化提升各个行业发展的速度,内部控制审计是关于企业内部控制有效性确认、评价的过程,包括对企业内部控制设计和运行缺陷以及缺陷等级的分析、评价和确认,找出缺陷产生的原因进而制定内部控制优化建议,是企业强化自身管理力度的强有力措施,将信息技术加入到内部控制审计工作中有必要性和现实实践性。
一、信息技术环境背景下内部控制审计的基本特征
(一)人员方面要求高标准的综合素质
伴随着信息技术的飞速发展,内部控制系统的良性运转是关键,而人是保障这个关键的重要环节,需要引起我们的足够重视,特别是信息化程度越来越高的当下,人员的综合素质要求更是越来越明显,高素质、高信誉度的人员是保障企业内部控制系统良性运转的关键组成部门,也是做好内部控制审计工作必不可少的后盾保障。内部控制审计工作涉及到的、接触到的都是内部重要信息,其保密程度和泄密危害性都很高,必然要求参与工作的人员各方面的素质都很高,专业技术能力强,这样才能保障企业的内部控制审计工作的安全可靠。
(二)数据的传输使用确保渠道共享
高度信息化的环境、日益发达的网络技术,企业内部的所有数据信息均可上传至企业自身开发利用的计算机终端系统,每个层面的管理人员根据自身的管理权限可以进行适度范围内的数据信息的搜集和使用以及相关内部控制审计工作的开展,如此高共享平台下的数据信息必然会让内部控制审计工作处理起来越来越方面,同时也可以确保企业管理层面的决策能够更加科学有效,保障了数据信息资源的充分共享和利用,可大大缩减内部控制审计工作因数据信息资源挖掘分析而产生的风险。
(三)内部控制审计方面
企业在信息化背景下主要依托内部的计算机终端系统进行相关信息的收集和业务的处理工作,有效避免了人为操作的繁琐复杂性,同时也是一些人工操作的步骤变得简约化、系统化和程序化,比如固定资产的折旧问题,系统里有设定好的相关处理软件,财务人员只需要输入简单的相关信息就可以完成资产的折旧计提工工作,比以前的手工记账更加简约有效,流程操作更加顺畅。内部控制审计工作相关数据的录入处理更加快速便捷,信息化程度越高,节约的时间越多,并且还有可以在一定程度上让某些数据分析事后报告转变为实时数据分析报告,在一定程度上确保了企业数据管理的动态化反馈,能够第一时间发现问题并进行问题的分析纠正。信息技术的及时反馈能让企业审计工作在第一时间得到第一手的资料,能够全面知悉企业目前的内部控制状况,可有效避免由于时间差而造成的各种数据信息的误判和决策分析的不及时性,内部控制审计工作人员在信息化背景下处理数据信息的简约、高效、便捷和获取数据综合分析结果的及时反馈性,能够在很大程度上避免内部审计风险的发生。
二、信息技术环境下内部控制审计风险基本概述
内部控制审计是企业委托会计师事务所对企业特定基准日的内部控制有效性进行审计并提出专业的意见,属于一项新兴业务,在信息技术快速发展的大背景下,站在审计风险的视角,在实际运行中必然存在着内部控制审计风险,主要体现在企业自身内部控制设计和运行的有效性存在重大缺陷,但审计师在审计过程中并没有发现重大缺陷进而出具了不恰当的内控审计意见的可能性。
内部控制审计风险具有客观存在性,主要体现在注册会计师所面临的内部控制审计风险是客观的、存在的,需要审计人员在检查审计过程中采取恰当的、有针对性的、合理化得审计方法程序去分析、识别、评估内部控制审计风险,目的在于最大程度的降低内控审计风险发生的可能性。内控审计风险不能完全消除,只能做到竭尽全力的争取将风险降到最低水平。一旦内部控制审计风险发生将带来严重的经济后果,审计人员的独立、公正和外界信任程度将受到不同程度的影响,特别严重的会引来损失赔偿或者诉讼,被审计单位需要及时披露相关联的重大事项信息情况,以免影响长期以来在公众心目中树立起来的良好企业形象,避免牵连到上市企业的股市价格波动,内部控制审计报告使用者误信、使用不恰当的报告数据信息开展投资决策分析也将会带来一定程度的经济效益损失。因此,注册会计师应该利用现代化的信息技术手段将内部控制审计风险缩减到可以接受的范围内。内控审计风险具有可控性,审计人员不要因为客观存在的风险而害怕接收审计单位,需要做的是通过采用多种综合性手段第一时间识别风险、利用具有可操作性的对策控制、调控风险以此达到降低审计风险的目标。最后,内部控制审计风险的客观存在性、一旦发生的严重性和可控性表明,审计人员应该充分利用好信息技术的高科技,专心研究好审计问题,潜心探索出降低风险的多种途径,多管齐下共同发挥作用不断优化提升内部控制审计质量,以促进审计工作朝着高质量发展的道路前进[1]。
三、信息技术环境下内部控制审计风险产生的原因
(一)注册会计师和会计师事务所层面的原因
审计人员的综合职业胜任能力方面,审计人员的综合胜任能力还不足。首先,被审计单位行业不同、企业的经营管理模式不同,审计人员需要深入了解分析企业的经营管理模式,才能有能力对内部控制设计合理性和运行的有效性做出正确的有效的评价。其次,目前被审计单位大量的使用OA、ERP等信息技术,审计人员需要掌握一定的信息技术,才能对信息管理软件的是否存在设计漏洞、运行是否有效性做出判断。这就要求审计人员一是要掌握审计业务知识,熟练的运用审计工具;二是要对企业管理模块的内容有多涉猎,能够了解和掌握行业之间的差异化流程;三是要熟练的掌握并运用信息技术,如此才能确保审计工作的高质量。目前,审计人员的综合胜任能力还不足,专业相对单一化,理论与实践相结合欠缺,受传统审计理念的影响不重视非财务方面的审计工作,进行影响审计工作效果。
审计人员的独立性方面,存自我评价和经济利益风险。查阅相关案例发现,在实际运行中企业的内部控制设计和运行存在多个缺陷漏洞,然而会计师事务所却出具了符合标准无保留意见的内部控制审计报告,究其原因:一方面,会计师事务所在承接内部控制审计的同时,往往同时承接被审计单位其他审计业务,如财务报表审计。同时承接多项审计业务使得不同业务之间存在自我评价的风险非常高,导致会计师事务所在审计报告意见栏签署过于自主;另一方面,被审计单位在经济层面的主导性,使事务所失去了本身的独立性和交易的主动权,决定使用哪个事务所、审计费用是多少这些在一定程度上取决于被审计单位的领导层面,然而事务所迫于审计费或者市场客户占有率的压力而不得不屈服、丧失主动权和审计意见的独立性。如果审计双方在某些重大问题上有分歧,被审计单位管理层有可能通过一些不透明的方式如降低审计费用、合同不续签等迫使事务所屈服于现实,影响其审计工作的独立性。
(二)被审计单位自身原因
1.被审计单位管理层重视不足
企业的内部控度制度建设并不是一个简易工程,需要在实践中进行不断的修正完善。一方面,企业的信息化技术内部控度制度建设越来越依赖信息技术,需要投入大量的人财物力,这些费用成本都是由企业承担。企业经营是以盈利为目的的,对于短期内看不到效果的内部控制制度建设自然得不到管理层的重视和财力支撑,导致规定仅仅流于形式;另一方面,企业的业务发展过于迅速,在信息技术的利用上,没有进行宏观的布置,使内部控制制度的建设不能提升到企业长期战略发展的层面到,为节约成本费用,企业没有增加对信息化的资源投入,导致企业的内部控制建设和信息化水平不匹配。
2.被审计单位内控制度建设不完善、执行不到位。
随着信息化技术和内部控制建设联系越来越紧密,一方面,信息化技术可以减少甚至杜绝人为因素对内部控制执行的影响,另一方面,也大大提升了内控制度设计的要求。如果内控制度设计的过于僵化,会使得内控制度难以执行;如果内控制度设计的过于灵活,会使得内控制度存在漏洞;在信息化技术介入内控制度执行的背景下,要求内部控制的设计者既要熟练掌握信息技术的控制方法,又要洞察人性,将信息技术和管理目标结合起来。
(三)信息技术的局限性
信息技术能够给内部控制极大的赋能,尤其在流程控制、数据采集、数据运算、数据分析等方面优势明显,但在具备优势的同时,也存在一定的局限性。
信息技术增加了内部控制的系统风险。信息系统减少了人工的干预,可以根据事先设计的流程自动运行,但也会降低人对系统的可控性。首先,信息系统由多个复杂的子系统组成,任何一个层面的错误,如果应对不及时,都会导致整个内部控制的瘫痪;其次,由于信息系统的专业性越来越强,系统中的漏洞将难以被识别、纠正,利用信息系统的漏洞隐蔽性越来越强;最后,传统的内部控制体系,数据都是分散在各个部门、各个人员手中,即使是数据出现了泄露等事项,损失也是局部的;信息系统将数据集中存储,一旦出现信息泄露,损失是全面性的,极大的增加了数据安全的风险。部分信息技术的可理解性越来越差。大数据、人工智能等基于机器学习和深度学习的信息技术,审计人员甚至开发人员都无法越来越难以理解其内在逻辑。大数据、人工智能等不追求输入和输出的因果关系,而是追求输入和输出的相关关系。比如某零售公司有一个“预测篮子”功能,它利用机器学习和人工智能来了解购物者的历史、偏好以及通常会购买哪些东西,以创造附加体验,以确定最佳的下一个可用项目,然后先发制人地要求顾客批准被替代的商品。作为审计人员本身已经无法通过上述业务逻辑的理解,判断其内部控制是否合理,测试内部控制是否有效;由于上述业务行为是基于大数据训练出来的,一项判断本身也会影响到业务逻辑,审计人员甚至无法对上述业务的判断行为进行还原。
(四)信息技术监管越来越严格
自2016年11月7日《网络安全法》颁布以来,国家网信办、工信部、公安部、国家认证认可监督管理委员会等部门陆续出台了一系列与此配套的法规。现阶段我国对数据保护等信息技术监管的立法中,已经有相当一部分较为具体、可操作的规定。但是由于缺少较高阶的法律加以统一,整体的法规和规范性文件依然处在一个较为分散和松散的状态,缺少系统性。目前,《个人信息保护法》和《数据安全法》等法律已经提上发布日程,可以预见在不远的将来,立法对数据的保护会进一步完善,覆盖的广度和深度会进一步加强。随着信息技术监管越来越严格,内部控制审计人员需要加强对信息技术监管相关的法律法规系统性的学习,对于内部控制中涉及到违法违规的行为及时的识别、评估其风险。
(五)监管层面原因
内部控制审计在我国起步相对较晚,发展时间相对短暂,相关配套性法律法规建设还不是很完整,处于正在逐渐完善的阶段必然存在一定程度的漏洞,当今信息化大背景下很容易被上市公司穿漏洞。内部控制审计体系的建设需要出台很多法律法规,我国目前还缺乏一个相对统一的权威性监管机构出具专门性的配套法律法规体系来指导注册会计师开展审计工作,这样,注册会计师没有一个相对标准统一的审计依据,种类繁多的内控法律法规不能满足内部控制审计的实际要求,对于某些特定问题的描述还存在着之间相互矛盾不一致的情况,增加了注册会计师的内控控制审计风险的发生。内部控制审计体系的完善需要多个部门的参与协同合作,亟需国家政府层面能够调动相关监管部门进行法律法规的优化完善工作,这是因为注册会计师在遇到特殊情况或者奇难杂症时,没有一个标准化的行动准则做指引,任由其根据自身专业和个人经验判断进行审计意见的出具,这样造成审计质量大打折扣,影响审计结果的可说服性和公众可信任度,更无法保证内部控制审计的独立性和公正性。
四、信息技术环境下防范内部控制审计风险的策略
被审计单位所委托的注册会计师作为第三方的独立审计主体,对被审计单位内部控制的设计的合理性、运行的有效性进行鉴定分析所开展的相关资料的搜集调阅、多方询问和实地考察等,是确保审计成败至关重要的屏障。
(一)提高注册会计师的信息技术能力
注册会计师作为内部控制审计的执行者兼职风险防范的第一人,要树立全流程的风险防控意识,从项目的承接到完成项目审计均需要时刻保持高度的风险意识,提升自身的综合素质,除了熟练掌握相关的审计业务法律法规外,还需要不间断的主动学习信息技术相关的知识,知识体系的更新可以促升对企业内部控制活动的预测分析和判断,提升自身的审计验证能力,将理论与实际相结合的能力,适应信息化发展的需求,掌握审计的主观能动性出具具有说服力的内部控制审计报告。
(二)利用专家的工作
在具体的内部控制审计过程中,注册会计师在遇到超越自己能力范围的信息技术,应该积极的利用专家的工作。在项目承接阶段,可以利用信息系统设计专家,通过问询、实地调研考察分析以及相关重点业务关节的现场观察等多种方式的运用更全面的了解被审计单位的信息系统的设计方面的问题,保持一贯的持续关注;在内部控制审计实施开展阶段,可以利用网络技术、数据库等具体技术方面的专家,结合行穿行测试等多种手段,实施风险评估程序以获取充分且适当的审计证据来支持其发表的内部控制审计意见,重点关注被审计单位经营活动中,利用信息技术容易引起内部控制重大缺陷的关键性环节和重要风险领域;项目审计完成阶段,注册会计师可以利用数据分析方面的专家,运用独立性的职业判断分析能力,综合考察验证材料以及对内控制度有效性判断的查证分析[2]。
(三)建立健全内部控制审计质量控制制度
会计师事务所将规范化的内部控制审计质量控制体系形成书面性文件,内容涵盖相关政策、制度和程序,利用信息化大数据平息共享平台实现审计人员信息全覆盖,每一位审计人员应确保被审计单位信息系统输出信息的真实可靠,明确知晓审计项目流程中应承担的审计质量责任义务,根据共享文件中有关审计具体内容的质量控制相关政策、制度和程度的具体性表述以及事前预期设定的目标条款规定严格贯彻落实执行。会计师事务所利用信息化数据网络建立长效性的评估系统和内部控制审计风险的制度体系建设,进一步明确审计质量控制基本原则,审计项目承接前能够有效识别潜在的风险并在可控范围内估测风险发生的概率和所产生的损失程度,通过信息化算法系统确保风险能够在事务所可接受和可控制的范围内。信息化数据库背景下,根据被审计单位的行业属性不同建立不同类型的审计客户信息管理制度,做好业务初始活动阶段的审计风险防空第一步,严格遵循审计相关工作准则,确定审计业务是否承接或者续接,充分考虑以确保信誉度和对客户服务满意的忠诚度。另外,强化审计完成阶段的审计质量复核控制机制,除了进行审计组领导层面的复核审计,还需要置顶提交事务所高管层面进行审计业务质量的复核审计,以确保审计业务完成前审计质量复核流程高质量严标准达成,从而给内部控制审计报告的出具提供坚强的质量后盾保障。
(四)搭建良好的、系统化的审计平台
依附于审计人员个人的信息专业化技能和经验、利用外部专家的工作,可以解决内部控制审计中点状问题,但内部控制审计系统性的问题需要搭建良好的、系统化的审计平台来解决。首先系统化的审计平台可以规范审计人员的审计程序,从而提升内部控制审计风险的防范控制水准;其次,信息化高速发展的大背景下,可以通过审计平台的快速更新迭代,系统化解决被审计单位信息技术更新迭代;再次,系统化的审计平台可以将部分信息技术工具化,如数据分析工具,图形展示工具,系统漏洞筛查工具等,降低内部控制审计信息技术门槛;最后,审计平台可以大幅度提升审计效率,做到以信息化手段来解决信息化问题。综上所述,在信息技术快速发展的大背景下,内部控制越来越多的使用信息技术,也越来越依赖信息技术。注册会计师在对内部控制审计时,除了传统的审计程序外,还要特别关注信息技术对内部控制造成的审计风险。从微观上,要求注册会计师要么加强学习信息技术的相关知识,要么能够利用信息技术专家的工作;从宏观上,要求事务所针对信息技术,健全内部控制审计质量控制制度,并建立与内部控制审计相匹配的审计平台。
(五)完善相关审计法律法规的监管职能
信息技术快速发展的今天,上市公司内部控制制度的完善不仅关乎企业自身的优化建设,还需要第三方会计师事务所审计力量的投资决策,这些功能的发挥需要强有力的外部监管机构作保障,需要财经部门构建监督管理委员会,独立于监管部门的审计师行业,充分发挥对审计人员的自律性和自主性,制定内部控制审计质量监督准则和督导复核机制、奖惩结合办法。开展同业互查机制,即完成对某一个会计师审计业务质量的检查和控制情况,又执行了对审计业务流程进行定期检查复核的互相监督管理机制,通过互查机制的建立,可以强化会计师对审计原则的遵循情况以及业务开展的风险点的把控情况,可以实现监管管理学习双推进,提出自己修改建议的同时进行相关措施的优化改进。引入保险制度,探索新的审计委托模式从根源上解决审计神独立性的问题,企业可以通过购买保险使保险公司成为企业的担保人,保险公司在接受业务之前需要对企业的经营状况及内部控制环境做详细的了解,以此了解担保的风险,保险公司会雇佣会计师事务所进项严格的内部控制审计,最大限度地降低担保保险,没有复杂性的内存关系,充分保障审计人员的独立性,大大降低内部控制审计风险的发生。