財務(wù)報表審計中對信息系統(tǒng)控制風險的評價

田永芬

【摘要】隨著現(xiàn)代信息時代的到來，我國企業(yè)開始利用信息技術(shù)來加強企業(yè)內(nèi)部控制管理，以幫助企業(yè)應對越來越為激烈市場競爭。信息技術(shù)不僅給企業(yè)的經(jīng)營模式和業(yè)務(wù)帶來了巨大的改變，還對財務(wù)報表審計對象的生產(chǎn)環(huán)境產(chǎn)生了極大的影響。信息技術(shù)運用到財務(wù)報表審計中之后，使得審計的方法、模式、程序和內(nèi)容發(fā)生改變，傳統(tǒng)的人工審核、電子數(shù)據(jù)審計和計算機輔助審計開始向信息系統(tǒng)審計轉(zhuǎn)變?？茖W合理的運用現(xiàn)代化網(wǎng)絡(luò)信息技術(shù)，是提升企業(yè)財務(wù)審計工作質(zhì)量的有效路徑，目前國內(nèi)關(guān)于財務(wù)報表審計中對信息系統(tǒng)控制風險的評價的研究還尚不足。因此，本文首先簡要論述了信息系統(tǒng)審計，然后分析了財務(wù)報表審計中信息系統(tǒng)控制風險評價的目的，并指出信息系統(tǒng)控制風險評價的步驟和內(nèi)容。希望本文的研究結(jié)果能夠為我國企業(yè)財務(wù)報表審計中對信息系統(tǒng)控制風險的評價提供一定的幫助。

【關(guān)鍵詞】財務(wù)報表審計;信息系統(tǒng);控制風險評價

引言

財務(wù)報表審計涉及的范圍比較廣，其不僅需要對企業(yè)的資產(chǎn)負債表、現(xiàn)金流量表進行審計，還需要對企業(yè)的損益表、會計報表附注等進行審計。在執(zhí)行審計工作過程中需要以遵循相關(guān)的原則，即職業(yè)道德規(guī)范、公平公正、獨立自主等原則為出發(fā)點，提升自身的專業(yè)水平和能力，并在執(zhí)行工作的過程中對于所獲知的信息進行嚴格的保密。與此同時，還需要在執(zhí)行會計報表審計業(yè)務(wù)的過程中堅持以獨立審計的原則，并持有職業(yè)懷疑的態(tài)度嚴謹制定工作計劃，這樣才能實施下一步的審計工作。

由于審計人員經(jīng)驗和能力的有限、審計方法不科學以及計算機審計技能的人員不足等原因，企業(yè)財務(wù)報表審計風險不可避免。在信息化環(huán)境下，企業(yè)采用信息技術(shù)來編制財務(wù)報表，這一新方法帶來了新的信息系統(tǒng)控制風險，研究我國企業(yè)財務(wù)報表審計中對信息系統(tǒng)控制風險的評價具有極其重要的意義。因此，本文首先簡要論述了信息系統(tǒng)審計，然后分析了財務(wù)報表審計中信息系統(tǒng)控制風險評價的目的，并指出信息系統(tǒng)控制風險評價的步驟和內(nèi)容。

一、信息系統(tǒng)審計概述

近年來，由于信息技術(shù)的不斷進步，給社會的運行模式以及人們的生活方式都產(chǎn)生了極大的影響。信息技術(shù)運用到財務(wù)報表審計中之后，使得審計的方法、模式、程序和內(nèi)容發(fā)生改變，傳統(tǒng)的人工審核、電子數(shù)據(jù)審計和計算機輔助審計開始向信息系統(tǒng)審計轉(zhuǎn)變。信息系統(tǒng)審計具有可靠性、安全性等特征，其可以有效實現(xiàn)組織目標。

現(xiàn)階段，企業(yè)內(nèi)部管理越來越依托于信息系統(tǒng)，造成了利用信息系統(tǒng)詐騙和舞弊的可能性，從而給企業(yè)帶來了諸多的挑戰(zhàn)和考驗，同時也增加了企業(yè)的風險，例如：控制過程中產(chǎn)生的風險、經(jīng)營和財務(wù)風險等。

企業(yè)需要對信息系統(tǒng)的軟件、內(nèi)部控制的安全性與可靠性等多個方面進行核查和評價，發(fā)現(xiàn)信息系統(tǒng)運行和管理上現(xiàn)有的問題，從而保障企業(yè)信息的安全性。同時，在對企業(yè)進行全面的控制和監(jiān)督的過程中，有效地減少了信息系統(tǒng)所帶來的重大風險。

與傳統(tǒng)審計一致的是，信息系統(tǒng)審計也是通過分析和評價企業(yè)內(nèi)部控制系統(tǒng)，其促進被審計企業(yè)提高信息系統(tǒng)的內(nèi)部控制水平。信息系統(tǒng)審計的目標不僅包括傳統(tǒng)財務(wù)報表審計需要完成的目標，還涵蓋了保護資產(chǎn)的安全性、保證信息的可靠性、提高系統(tǒng)的有效性、提高系統(tǒng)的效率性以及促進內(nèi)部控制系統(tǒng)完善等進一步的目標。

二、信息系統(tǒng)控制風險評價的目的

（一）與財務(wù)報表審計目的的關(guān)系

企業(yè)運用信息技術(shù)來編制財務(wù)報表，涉及的是企業(yè)經(jīng)營的技術(shù)層面，并不會影響財務(wù)報表審計的目的，但是信息技術(shù)環(huán)境對財務(wù)報表的影響。企業(yè)財務(wù)報表是依據(jù)會計應用系統(tǒng)輸出信息而編制的，一般由各種業(yè)務(wù)應用系統(tǒng)生成，因而財務(wù)報表信息的可信賴性很大程度上取決于信息系統(tǒng)的有效性，即企業(yè)的經(jīng)營資源所產(chǎn)生的各項信息能夠在企業(yè)的經(jīng)營程序中得以全面地反映。因此，為了確保這些操作系統(tǒng)編制的財務(wù)報表的可靠性，則需要對內(nèi)部控制中的所有環(huán)節(jié)進行有效地評價。

（二）信息技術(shù)環(huán)境下的審計模式

受到信息技術(shù)的影響，企業(yè)財務(wù)報表審計工作應該沿用之前的風險審計模式，對評價風險的同時對固有的風險進行評價，并以研究內(nèi)部控制的基礎(chǔ)上評價控制風險，從而確定實踐過程中需要測試的關(guān)鍵點。利用信息技術(shù)之后，企業(yè)的財務(wù)報表面臨著更多、更嚴重的風險，因此對信息技術(shù)環(huán)境下的財務(wù)報表審計的風險評價的意義要遠遠高于傳統(tǒng)企業(yè)審計。

（三）與信息系統(tǒng)控制目標的關(guān)系

在財務(wù)報表審計中，信息系統(tǒng)控制目標已經(jīng)成為一種可靠的標準。信息系統(tǒng)的控制目標包括遵循性目標、完整性目標、機密性目標、維護的持續(xù)性目標以及正當性目標等。審計人員需要在全面掌握審計目標和評價的程序，以及達到財務(wù)報表目的相關(guān)的內(nèi)部控制。通過企業(yè)所屬的行業(yè)、組織和信息系統(tǒng)的狀況來判斷審計要點以及相關(guān)的信息系統(tǒng)控制目標，對信息系統(tǒng)控制風險的評價應采用交易循環(huán)的方式。

三、信息系統(tǒng)控制風險評價的步驟和內(nèi)容

隨著信息技術(shù)的廣泛應用，使得審計評價工作在原有工作基礎(chǔ)上發(fā)生了變化，審計人員工作的程序主要對財物報表中進行的風險控制所產(chǎn)生的評價結(jié)果為目的。審計工作者在對企業(yè)依托信息系統(tǒng)進行風險控制評價時，需要根據(jù)自身企業(yè)的規(guī)模、企業(yè)人員利用信息系統(tǒng)的能力，應用程度、信息系統(tǒng)應用過程中所面臨的困難、信息化業(yè)務(wù)所帶來的重大作用等進行綜合的考慮?？梢?，信息技術(shù)的應用已經(jīng)成為企業(yè)經(jīng)營生產(chǎn)的過程中的最重要的介質(zhì)。因此，在對審計報表進行風險控制的評價時，審計人員不僅需要對企業(yè)各經(jīng)營程序環(huán)節(jié)所產(chǎn)生的控制風險進行評價，還需要對與財務(wù)報表制作和應用相關(guān)的內(nèi)部人員和各環(huán)節(jié)進行內(nèi)部控制，而想要對控制風險進行全面的了解和評價則需要采用業(yè)務(wù)循環(huán)方法。

在信息化環(huán)境下，審計人員實施的程序是財務(wù)報表審計中以控制風險的評價為目的的程序。審計人員在進行信息系統(tǒng)控制風險評價時，不僅要考慮企業(yè)規(guī)模的大小，還必須綜合考慮企業(yè)對信息系統(tǒng)的利用程度和復雜性以及信息化業(yè)務(wù)的重要性。在許多企業(yè)中，信息技術(shù)是經(jīng)營程序中不可缺少的，因此，審計財務(wù)報表評價控制風險時，審計人員應將企業(yè)的經(jīng)營程序中與財務(wù)報表相關(guān)的內(nèi)部控制作為對象，對控制風險的了解和評價要采用業(yè)務(wù)循環(huán)法。

（一）掌握信息系統(tǒng)重要的內(nèi)部控制情況

審計人員在了解企業(yè)的信息系統(tǒng)內(nèi)容和使用狀況后，應從企業(yè)內(nèi)部控制的五個構(gòu)成要素來了解信息系統(tǒng)的內(nèi)部控制，主要包括對控制環(huán)境的了解、對風險評價的了解、對控制活動的了解、對信息傳遞的了解以及對監(jiān)督活動的了解這五個方面。

（二）初步評價審計要點中的控制風險

審計人員在基于對企業(yè)內(nèi)部控制進行全面了解后，首先，按照審計程序最為重要的環(huán)節(jié)進行控制風險的初步評價;其次，根據(jù)自身的需求，制定嚴格的審計計劃和程序，以全面地明確出審計人員在進行信息系統(tǒng)控制風險評價的有序流程，還可以進一步明確出業(yè)務(wù)處理控制的控制測試程序。

（三）實施制測試程序

在審計人員全面了解審計要點中相關(guān)的內(nèi)部控制的基礎(chǔ)上，首先對內(nèi)部控制的完善狀況的控制評測試程序進行完善;其次，根據(jù)對審計要點中的相關(guān)內(nèi)部控制情況進行深入分析后，以及對完善性的控制測試，實施對控制運用有效性的測試程序，從而取得評價內(nèi)部控制的有效性的審計證據(jù)。

（四）綜合評價信息系統(tǒng)控制的風險

審計人員進行與信息系統(tǒng)有關(guān)的控制風險評估，以明確與內(nèi)部控制有關(guān)的信息系統(tǒng)控制目標在多大程度上得到實現(xiàn)。同時，審計員了解內(nèi)部控制的不足和無效性對財務(wù)報告能夠產(chǎn)生一定的影響，并確定是否需要額外的控制評價程度。而當信息系統(tǒng)相關(guān)內(nèi)部控制存在較大缺陷時，審計人員需要根據(jù)企業(yè)報告中存在的缺陷給予一定的意見和改進。

四、結(jié)論

隨著現(xiàn)代信息技術(shù)的發(fā)展，企業(yè)紛紛采用信息技術(shù)來編制財務(wù)報表、進行內(nèi)部財務(wù)控制，有效地提升了企業(yè)財務(wù)審計工作質(zhì)量。信息技術(shù)給財務(wù)報表審計帶來了極大的沖擊，由于審計人員經(jīng)驗和能力的有限、審計方法不科學以及計算機審計技能的人員不足等原因，企業(yè)財務(wù)報表審計風險不可避免。因此，研究我國企業(yè)財務(wù)報表審計中對信息系統(tǒng)控制風險的評價十分重要。本文首先簡要論述了信息系統(tǒng)審計，然后分析了財務(wù)報表審計中信息系統(tǒng)控制風險評價的目的，并指出信息系統(tǒng)控制風險評價的步驟和內(nèi)容。希望本文的研究結(jié)果能夠為我國企業(yè)財務(wù)報表審計中對信息系統(tǒng)控制風險的評價提供一定的幫助。