好投稿
搜索

期刊大全 杂志订阅 SCI期刊 SCI发表 期刊服务 文秘服务 出版社 登录/注册 购物车(0)

首页 > 精品范文 > 内部审计信息化论文

内部审计信息化论文精品(七篇)

时间:2022-11-29 09:11:39

内部审计信息化论文

内部审计信息化论文篇(1)

(一)信息化系统自身固有的风险

在信息化系统的环境下,审计过程是借助于计算机及信息化技术,这将其与以往的纸质媒介、手工作业区别开来。纸质化的手工财务信息很容易追根溯源,获得一些原始的审计信息依据。而在引入信息化系统之后,财务信息被计算机汇总整合,方便了信息采集和处理的同时抹去了原有可探寻的线索痕迹,在便利了审计人员获得审计数据的同时加大了审计数据泄露、盗取的风险。而且,这种风险很难被察觉和快速排除。在这种情况下,企业的财务数据很容易被修改、删除、外漏,必然会导致企业遭受巨大的经济损失。

(二)信息化操作下相关人员业务生疏的风险

在信息化审计条件下,面对更加严格的审计要求和更加专业的审计操作,审计人员的专业素质尤为重要。审计人员不仅仅需要熟练掌握审计、会计方面的专业知识,更需要对会计电算化、网络技术、电脑操作等具备相关业务水平。这种复合型的素质需求无疑对审计人员提出了较高的业务要求,而当某一部分专业技能出现缺失,就会极大影响审计活动的效率及质量。

(三)信息化环境下的检查风险

在信息化系统审计下,传统检查方法已经不能满足系统化内部控制的审查与处理。这主要因为检查方法需要借助于计算机端口,这使得原先有迹可循、直观可视的会计核算变得不再那么容易。审计人员在审计过程中很容易忽略某一环节的检测,从而不能实现对企业整体性的把握。

(四)利用计算机舞弊带来的风险计算机在带来便利的同时也方便了那些别有用心之徒。对比传统审计舞弊行为,信息化系统下利用计算机舞弊更加具有隐藏性,破坏性也更大。企业的审计往往需要依附于整个计算机系统的正常运行,一旦计算机失控,就相当于从企业内部打开了缺口,更加难以控制。

(五)审计数据采集及内控制度上潜在的风险

传统审计过程不需要考虑审计数据采集的线索路径问题,因为一旦出现问题,可以立即返回源头查缺补漏。而在信息系统下,数据采集往往自动化,这就导致了责任承担的缺位,也给企业的内控制度造成了相当大的困扰。

二、信息化视角下国有企业规避审计潜在风险的对策

(一)及时更新信息化系统软件功能,避免系统落后的风险

企业信息化系统软件的及时更新成为企业紧跟时代大潮、避免被信息化淘汰的最简单也是最有效的手段之一。要想保证本企业内部审计的计算机系统能够获得及时的更新,就需要从两个方面下手。一是需要本企业培养或引进专门的技术人才。无论何时,人才都是企业得以长期发展的重中之重。只要建立起一套专业化的人才队伍,那么不论是在企业系统的日常维护、及时更新方面,还是在遭受黑客攻击、发生意外情况、系统重建等问题时,都能够第一时间的找出问题并加以解决,从而维护企业计算机系统的良好运行。二是要加强与专业软件研发公司的联系,从而在第一时间获取行业内的最新信息。一旦出现本企业内部队伍无法应对的局面,也可以及时获得外援支持,从而尽可能地降低经济损失。

(二)加强人员培训,提高审计队伍素质

加大对审计人员的培训,提升审计队伍的整体素质,是企业面对变化多端的审计风险所必须的投入。之所以要加强对审计人员的再培训,一方面是由于我国现阶段审计队伍的组成特点所决定,另一方面则受限于如今复杂多变的审计大背景。在我国,具备丰富经验、在各企业担任要职的审计骨干往往年龄偏大,这在大型国有企业中尤为明显,审计队伍已经趋向于老龄化。这样的审计队伍构成在面对审计信息化系统革新的挑战时,往往显得力不从心。一大批极富传统手工审计经验的审计人才对信息化系统审计不够熟练。另外,计算机系统的更新换代、审计软件的不断创新、审计内容的日益复杂等都使得审计工作需要学习型的复合型人才。企业组织审计队伍集体培训学习有利于人员之间的相互交流与学习,也能够保证企业内部审计队伍经验的传承与发扬。在培训中,审计人员可以借此提升在会计处理、计算机技术应用等方面的能力,从而获得全方位的提高。总之,在系统化审计的宏观背景下,包括国有企业在内的大型集团化企业需要多方面、多角度、多渠道地加强对审计人员的培训工作,转变审计人员的原有手工思维,在知识层面上更新换代,适应信息化审计的要求。

(三)采用适当审计方法避免检查风险

传统审计作业中,审计人员需要对纸质资料的数据采集与调取查阅相关审计资料,对某些信息进行反复的核查与计算,并需要对相关数据进行分析整理,而在信息化系统审计背景下,一旦还将审计方法割裂开来,单独程序单独使用,往往不能满足当今审计的需要。在信息化系统中,原先的审计方法有些已经滞后,而一些新的审计方法的采用则超越了原先的审计程序流程。例如,在目前审计背景下,对系统操作员的权限设定已经成为了审计工作的重点,一旦权限设定不明,就会发生授权混乱的局面,审查工作也就不可能有效进行,甚至有可能导致企业的日常现金流等资金管理上出现巨大漏洞,使企业遭受巨大的经济损失。

(四)加大对利用计算机舞弊行为的审查与惩处力度

利用计算机进行舞弊行为是计算机系统所独有的风险类型。一旦出现审计人员或其他相关犯罪人员利用手中权力进行计算机舞弊以达到自己的非法目的时,就会给企业的正常运营埋下巨大隐患。加强对计算机舞弊行为的审查和惩处,一方面要加强对审计人员的教育教导,加深审计队伍对这种违法犯罪行为的认识;另一方面则需要企业构建内部监督体系,企业可不定期地采用传统审计形式与系统化审计的数据结果进行对比,同时可聘请无利益相关的计算机专业人士定期对企业的计算机系统或审计系统进行测查,在日常的事务处理中注重对系统日志的留存备份等,以减少利用计算机舞弊行为的发生。

(五)健全和完善审计规章,强化企业制度规定

审计工作需要相关法律法规、审计规章的指引,企业内部也需要据此强化有关内部审计制度的规定。在信息化审计革新的背景下,政府颁布的审计技术规范可能随时改变。大型集团企业要在国家的审计准则及相关法律法规基础上,不断完善企业本身的审计制度和相关规定。企业可在政府重大审计理论政策时,组织业务精英进行学习研究,在此基础上总结经验,将其一并与政府文件下发到下属公司单位。除此之外,企业应该加大对内部制度规定的执行力度,从而从制度源头上保证企业的向心力与一致性。

三、结语

内部审计信息化论文篇(2)

为了合理的识别医疗信息系统的风险,内部审计人员首先应当了解医院的信息系统环境。

1.1了解信息技术在医院中的运行环境

该院搭建的医疗信息系统平台包括:医院信息系统(HIS)为收费、检查、门诊及住院等活动提供服务;临床信息系统(CIS)收集处理临床数据;此外还有LIS、PACS、电子病历系统、叫号系统、财务系统、人事系统、物流管理系统、电子点餐系统和科研教学系统等等分别发挥着其各自的作用。因此,计算机信息技术已经融入到了医院的各个主要业务流程,不仅为病人和医生服务,更为医院管理提供支撑。医院信息系统平台的搭建,一般都得到院方的广泛支持。

1.2了解搭建医疗信息系统平台的应用程序、计算机操作系统及硬件设备

首先,为该院服务的软件品种较多,各个软件间存在相互接叉读取数据的情况,有可能对数据库的安全稳定造成影响;其次,由于各个医院的专科项目不同,医疗就诊流程也存在着个性化的差异,导致所使用的软件以及软件所配备的应用程序、操作系统也存在个性化差异较高的现状,这可能会导致医疗成本的大幅度提高;第三,由于信息技术已经融入医院管理,医院对信息化系统的依赖程度较高,对系统本身的安全性要求更加严格。另外,为了满足软件的运行,医院必须同时保证充足的硬件设备,例如电脑终端、大型服务器、保障设施(例如UPS)及交换机等,并负责维护设备的安全运行。此外医院还需提供可靠的操作系统,例如主流的Windows和Linux系统等。

1.3了解医院对应用程序及软件的管理方式

为了有效地管理医疗信息软件和保障医疗数据的安全,该院要求各个软件提供单位派驻工作小组,长期为医院的软件提供外包管理服务。院方还成立专门的信息中心进行管理,信息中心制定了相应的信息系统管理规章制度,并对规章制度的监督、执行和有效更新负责。此外,为了监控软件和硬件的日常运行情况,一些专门的预警机制也被引入医疗信息系统的管理中。例如,网络运维管理平台的使用有效的监控各个软件应用程序、操作系统,以及服务器、交换机等硬件的运行状态及运行环境,在软硬件发生异常时提早预警,帮助软件工程师及时排查错误。

1.4了解医院信息系统实施是否有效地帮助医院提高运营效率

2评估识别出的风险

基于风险导向审计为基础的审计风险由3个部分组成。

2.1固有风险

信息系统的固有风险一般来自于系统本身的安全性。随着计算机技术的普及和在医院内部的广泛使用,有效降低了人为舞弊情况的发生。但是,计算机软件和硬件安全问题,信息系统设计造成的固有缺陷给医院管理带来了风险。首先,由于计算机网络本身容易感染病毒,受到攻击时会造成网络瘫痪;硬件存放环境不当,对大型硬件设备造成损伤引发宕机。在对医院信息系统高度依赖的环境下,软硬件存在的固有风险,会给医院造成重大的损失,影响正常的医疗秩序。其次,由于软件工程师对医疗知识和管理知识的缺乏,计算机软件设计开发的初始阶段往往存在缺陷,运行期间则需要根据用户的需求做反复的修改,此过程不仅增加了医院的成本开支,也会影响到系统运行的安全性。

2.2控制风险

对医院信息系统的良好控制首先依赖于医院的制度规范执行。医院一般都设置专门的计算机信息部门,对医院的信息系统,包括软件程序、硬件设备和网络进行统一管理。该院在设立信息中心的同时,聘请软件开发企业进行外包服务,即由软件公司派驻专门的人员为医院的信息系统服务。如何平衡医院自主管理和对外包服务的依赖,给医院的管理提出了新的问题。因此审计人员在评价控制风险时,需要对医院自主管理能力和规章制度的执行情况进行分析,同时对外包服务的有效性进行评价。其次,对用户授权的控制。信息系统在医疗业务流程和管理流程内部控制的实现主要是通过对用户权限的设置来完成。相应层级的管理人员都具有不同的授权权限,在不同的业务流程中发挥作用。但是任何一个系统都存在一个超级用户,超级用户对所有的医疗信息、目录和文件有完全的访问权,它是安装后第一个登录到服务器上的用户,可以添加用户并设置系统内所有用户的权限。因此,内部审计人员必须对超级用户的实际状况进行分析,从而评价是否存在随意篡改数据的风险。此外,软硬件的成本是医疗信息系统建立并进行控制活动过程中不可忽略的问题。软件成本主要来自于人工费用和知识产权费用。但是,软件公司在销售产品的时候,常常隐蔽其真实的人工成本,并将知识产权费用夸大。医院采购部门往往很难判断软件产品的采购价格是否合理;医院信息平台的搭建同样还依赖于大量硬件设备,医院往往需要采购大型服务器、交换机和UPS;为了保证硬件设备的良好运行,医院还需要考虑良好的存放环境,利用辅助设施,保证存放地点湿度和温度的适当;基于软件程序,硬件设备的安全运行和有效管理考虑,很多医院为此引入了网络运维系统等非医疗信息系统软件,在另一个程度上增加了医院的系统购置成本。因此,内部审计人员必须对成本效益进行分析,在避免一味节约成本造成的信息系统搭建不完善的同时,避免为单纯追求效益导致的资源浪费。

2.3检查风险

检查风险受固有风险和控制风险的影响。信息化的普及,改变了传统审计的方法、审计对象和审计线索。传统的内部审计通过执行控制测试和进一步审计程序,对财务报表的舞弊做出判断;通过对医院内部控制的了解,评价内部控制的有效性,帮助医院提高内部管理水平等。医疗信息系统建立后,要求审计人员在掌握医疗管理流程的同时,还需要了解医疗信息系统中软件程序、网络和硬件设备等专业计算机知识,并利用信息技术进行内部审计。在缺乏系统的计算机专业知识,以及计算机审计规范不健全的情况下,内部审计人员未能恰当地施行审计程序,也会为医院管理带来风险。

3应对措施

内部审计人员在实施进一步审计程序时,应当关注以下几点内容。

3.1将信息系统的哪些方面纳入审计的范围

在考虑成本效益的原则下,进一步审计程序应当将资源有效地集中于风险最大的部分。首先,内部审计人员应当评价风险的重要性。将后果严重的部分,进行重点关注,因此,在对医疗信息系统进行风险评估和分析之后,内部审计人员应该对系统中关键信息点进行重点审计,例如对HIS中病人的主索引、收费明细记录、病历记录、处方记录等执行详细的审计程序;其次,内部审计人员应当关注特别风险事项,例如对于超级用户权限管理的审计;最后,内部审计人员还要关注细微风险累计的影响,如果几个细微风险累计产生的影响会对系统整体运行造成重大损失,内部审计人员则需要详细地设计进一步审计程序以应对此类风险。

3.2采用怎样的审计方式对医院信息系统进行评估

与传统内部审计工作不同,内部审计人员需要对系统运行的有效性进行评价,因此除了传统的检查、观察、询问、函证、重新执行和分析程序等进一步审计程序以外,内部审计人员还需要对系统中关键信息的数据库语言进行分析。同时,还需要利用审计软件进行信息化下医院的内部审计工作。

3.3以何种频率进行审计

通常风险被划分为高、中、低3个等级。在被识别的高风险等级中,信息技术风险被认定为发生概率高且对医院的运行影响范围广,因此内部审计人员通常应当每1~2年进行1次审计;对风险级别和影响程度及范围均适中的风险点,每2~3年进行1次审计;对风险级别低,不经常发生以及影响范围和程度均不明显的部分则在每3~5年进行1次审计。

3.4针对医院信息化背景下产生的固有风险进行评价

对控制风险和检查风险分别采取应对措施降低风险的影响程度

3.4.1固有风险的评估。

由于固有风险是医院在搭建医疗信息系统平台时无法避免的缺陷所造成的损失,内部审计人员无法控制此类固有风险,只能评估风险的大小。内部审计人员应当评估固有风险的大小,协助相关科室建立应急方案,一旦发现由于信息系统故障造成的问题,立即采用人工应急预案,有效地减少损失,保证医疗服务的质量。

3.4.2控制风险的应对。

(1)医院对外包服务建立有效管理体制。根据调查和实践证明,合理适当的外包,可以减少医院管理成本,节约人力资源。但是过多的将医院的信息系统管理建立在外包服务的基础上,同样也会给医院带来风险。如果关键的管理点均依赖于外包服务,那么就会造成权责不清的情况发生。因此,医院内部加强对信息系统的管理,建立完善的管理制度,培养医院内部计算机管理人才,平衡外包服务和自身管理的程度,对外包工作进行有效的监督和管理是减少控制风险的关键。内部审计人员应当帮助医院评价计算机中心管理制度是否存在缺陷,并提出相关建议。(2)对滥用超级用户功能的控制。由于超级用户的存在,人为从后台篡改数据给医院的内部控制造成隐患,例如,医生可以从后台修改已开出的处方和病历,不利于医院对已开具病历和处方的管理,极易造成医疗纠纷;财务人员也可能恶意的对系统中已录入的财务数据进行修改,或隐藏一部分财务数据,造成医院财务管理的风险。因此,内部审计工作中,审计人员要关注超级用户的管理方法,严格控制其使用范围,以防人为恶意篡改数据。(3)加强采购环节的控制。内部审计人员应当分析本院的所有信息系统软件是否符合医院管理的成本效益原则,评价现有软件有无浪费,以及由于信息技术快速更新造成的应淘汰软件仍然在续订的情况。内部审计人员可以通过帮助建立完善的物流采购程序,对大型软件严格采取政府公开招标的形式,利用外部专家进行分析。同时,加强对成本的考察,软件成本大多来自于软件工程师的脑力劳动和知识产权,一般很难评估,内审可以通过相同产品的询价,比较软件给医院带来的效益等方式来评价软件是否应该引入。

3.4.3检查风险的应对措施。

内部审计信息化论文篇(3)

【关键词】 内部审计主题; 组织治理; 组织环境; 监督机制; 监视机制; 审核机制

【中图分类号】 F239.44 【文献标识码】 A 【文章编号】 1004-5937(2017)06-0115-06

一、引言

内部审计制度建构的一个基础性问题是审计什么――这就是审计内容,它包括审计对象、审计主题、审计业务类型、审计标的等多个层面。一般认为,审计对象是经管责任,而审计标的主要涉及审计证据的来源,所以,审计主题和审计业务类型是审计的核心内容[ 1 ]。本文从内部审计视角出发,关注其中的审计主题。审计主题是审计内容的骨架,不同的审计内容按审计主题形成有逻辑的框架体系,要建立有效的内部审计制度,必须有这种框架。从现实世界来看,不管是否意识到这个问题,每组织的内部审计都有一定的审计主题,并且不同的组织之间,内部审计主题存在差异。那么,既然都需要内部审计主题,不同组织之间为什么又会呈现差异化呢?

现有文献对审计主题有一定的研究,一些文献还从审计一般和政府审计的视角出发,分析了审计主题差异的原因。然而,关于内部审计主题及其差异化还缺乏针对性的研究。本文在现有文献的基础上,聚焦内部审计,提出内部审计主题及其差异化的理论框架。

随后的内容安排如下:首先是一个简要的文献综述,梳理内部审计主题相关文献,在此基础上,提出一个关于内部审计主题及其差异化的理论框架;其次用这个理论框架来分析内部审计权威文献倡导的审计主题及其变化,在一定程度上验证这个理论框架;最后是结论和启示。

二、文献综述

本文研究内部审计主题及其差异化的原因,文献综述包括两部分内容,一是内部审计主题及其差异化,二是内部审计内容及其差异化。

没有文献直接研究内部审计主题及其差异化,但是一些文献从审计一般和政府审计的视角研究审计主题,这对本文的研究有一定启发作用。一些文献认为,审计主题就是审计师发表审计意见的特定事项[ 2-3 ],鸟羽至英[ 4 ]、谢少敏[ 5 ]将审计主题分为行为主题和信息主题,郑石桥、周天根、王玮[ 6 ]在此基础上,将行为主题分为具体行为主题和制度主题,将信息主题分为财务信息主题和非财务信息主题。还有一些文献研究审计主题差异化的原因,郑石桥、周天根、王玮[ 6 ]认为,组织治理模式的不同导致了审计主题的差异化;郑石桥[ 7-8 ]认为,由于国有资源经管责任的内容不同及公共组织治理模式的不同,导致了政府审计主题的差异化。

关于内部审计内容及其差异化的相关研究有两方面的文献,一是职业组织的权威文献,二是研究性文献。关于职业组织的权威文献,IIA的内部审计职责说明书及审计准则和实务框架都涉及内部审计内容,其2013版IPPF认为,内部审计内容是风险管理、控制和治理过程[ 9 ];中国内部审计协会颁布的《第1101号――内部审计基本准则》规定,内部审计内容是业务活动、内部控制和风险管理[ 10 ];我国审计署的《审计署关于内部审计工作的规定》认为,内部审计内容是财政收支、财务收支、经济活动[ 11 ]。研究性文献对内部审计内容的观点较多,主流观点有三种:第一种观点,内部审计的对象包括会计资料、统计核算资料和其他业务核算资料;第二种观点,内部审计的对象是经济活动;第三种观点,内部审计的对象和范围,既包括各单位的经济活动,也包括各单位的经济管理工作[ 12-13 ]。还有一些文献认为,治理型内部审计、增值型内部审计,其审计内容不同于传统的内部审计。易仁萍[ 14 ]认为,内部控制、风险管理是内部审计的核心内容;邢风云[ 15 ]认为,内部审计对象不仅限于财务方面,而且向更多的管理领域延伸;刘德运[ 16 ]认为,内部审计的对象具体可以表述为风险管理、公司治理和内部控制。此外,还有文献描述了内部审计内容的变迁及影响因素,认为是审计环境的变化推动了审计内容的变化[ 17-21 ]。

上述文献对我们认知内部审计主题及其差异化有较大的启发,然而,关于内部审计主题并没有针对性的研究,对于内部审计主题及其差异化,缺乏一个系统化的理论框架,本文拟提出这个理论框架。

三、理论框架

从技术逻辑来说,审计就是对特定事项与既定标准之间的一致性发表意见,这里的特定事项就是审计主题,内部审计也不例外。审计主题是内部审计制度建构的关键要素:一方面,它受到其他一些因素的影响,这些因素包括组织治理机制、组织环境、内部审计定位等;另一方面,它又会影响内部审计业务类型,并通过业务类型影响内部审计其他基本要素,进而影响内部审计制度的整体效果。所以,内部审计主题是内部审计制度中承前启后的制度变量,其基本情形如图1所示。由于篇幅所限,本文关注内部审计主题及其影响因素――也就是内部审计主题差异化的原因(图中实线标识部分),至于内部审计主题对内部审计业务类型及通过业务类型形成的进一步影响,拟另作专门探究,本文不涉及(图中用虚线表示)。

(一)内部审计主题:概念、范围和类型

从本质上来说,内部审计是以系统方法从行为和信息两个角度独立鉴证经管责任履行中影响组织目标的消极因素及相关治理机制并将结果传达给组织内部利益相关者的制度安排[ 22 ]。根据这个本质,内部审计关注的是经管责任(accountability)履行中影响组织目标的消极因素,这些消极因素包括问题、次优问题和风险暴露。问题是由于人的自利而产生的影响组织目标的消极因素,次优问题是由于人的有限理性而产生的影响组织目标的消极因素。从广义来说,问题和次优问题都是风险暴露;从狭义来说,风险暴露是指问题和次优问题之外,对组织目标有负面影响且未能有效应对的外部及内部因素。在许多情形下,上述三类消极因素交织起来,无法清晰地判断是何种问题。

内部审计对于问题、次优问题和风险暴露并不是万能的,所做的基础性工作是鉴证,也就是判断这些问题是否存在,在此基础上,再推动解决上述问题。内部审计判断上述问题是否存在的核心内容是将与上述问题、次优问题及风险暴露相关的特定事项和既定标准进行比较,以判断特定事项与既定标准之间的一致性,如果不一致,就判断为偏差,并且推动对偏差的整改。这里的特定事项就是内部审计关注的审计主题。

那么,内部审计主题的范围是什么呢?两个因素限定了内部审计主题的范围,一是经管责任或组织目标,二是既定标准的存在。经管责任也就是人从委托人那里接受的责任。一般来说,这个责任体现为人负责的这个组织或岗位的目标,如果将岗位称为微组织,则经管责任也就是组织目标。人为了履行其经管责任,或为了实现组织目标,要做很多的努力,而问题、次优问题及风险暴露是对组织目标有负面影响的消极因素,审计师要关注是否存在这些消极因素。所以,离开经管责任或组织目标,也就无从谈起消极因素,并且内部审计围绕组织目标开展工作,也就是只能关注影响组织目标的消极因素,不能偏离这个主题。内部审计并不是一般意义上关注问题、次优问题及风险暴露,而是关注与组织目标或经管责任相关的问题、次优问题及风险暴露。

即使围绕组织目标或经管责任展开工作,内部审计还是要受到既定标准的限制,对于没有既定标准的事项,审计师就无法作出该特定事项是否发生偏差的判断,所以,既定标准的存在是内部审计主题存在的又一个前提条件。这里的既定标准就是该特定事项应该如何要求或流程或做法或惯例。如果该特定事项的现实与其应如何发生不一致,就判定为偏差,如果没有既定标准,当然也就不存在应该如何的问题,当然也就无法判断是否存在偏差。现实生活中,有一些对组织目标可能存在负面影响的行为或制度,但是,由于缺乏清晰的标准,内部审计在这些方面无能为力。例如,究竟什么样的领导风格是适宜的,目前还没有统一的认识,这也就导致对领导风格没有清晰的既定标准,审计师当然也就无法对领导风格是否存在偏差进行判断。在一些情形下,虽然没有清楚的既定标准,但是,如果主要的利益相关者能在多个可能的标准中就某一标准的适宜性达成共识,这种标准也能成为既定标准。

上述两个因素结合起来,限定了内部审计主题的范围,大致如图2所示。图中的阴影部分,就是内部审计主题的范围。

接下来的问题是内部审计主题有哪些种类。在内部审计主题范围内,审计师能鉴证的影响组织目标的问题、次优问题及风险暴露一般包括四种特定事项:财务信息、非财务信息、具体行为和制度。

财务信息是以货币计量的信息,主要体现在内部会计报表中。这些信息,一方面表明了各管理层对组织资源的使用情况,另一方面反映了组织的财务状况和财务成果,从财务视角表明了各管理层绩效。正是由于财务信息的上述功能,各管理层有可能操纵财务信息,通过这种操纵谋取自己的利益,所以财务信息虚假是问题。另外,即使各管理层无意操纵财务信息,由于人的有限理性,在财务信息的生产过程中也可能发生错误,从而使得财务信息失真,这就产生次优问题。在一些情形下,可能无法区分财务信息不真实是信息虚假还是信息错误,一般合称财务信息错弊。而财务信息错弊可能掩盖一些财务风险,从而带来未能应对的风险暴露。基于上述原因,内部审计师对于各管理层提供的财务信息要鉴证其真实性,其既定标准是组织关于财务信息生产及报告的规定,从而财务信息成为重要的内部审计主题。一些内部审计机构开展的财务审计是这种审计主题的典型代表。

非财务信息是以非货币计量的信息,主体体现在内部各种统计报表中。这些信息在很大程度上反映了各管理层营运的过程和结果,所以,这些信息在很大程度上也是各管理层的绩效指标。基于与财务信息相同的原因,这些信息可能产生问题、次优问题,产生信息错弊,进而带来未能应对的风险暴露。为此,内部审计师需要对这些信息进行鉴证,其既定标准是组织关于非财务信息生产及报告的规定,从而非财务信息成为重要的内部审计主题。一些内部审计机构在开展绩效审计、经济责任审计时,对非财务计量的绩效指标和经济责任指标进行鉴证,就是这种审计主题的典型代表。

具体行为是各管理层履行其经管责任或实现组织目标中的作为或不作为。要实现组织目标或履行经管责任,有些事必须做,表现为作为;许多事必须按一定的方式做,表现为正确作为;有些事不能做,表现为不作为。遵守了上述要求,就是正常行为,违背了上述要求就是缺陷行为。很显然,只有正常行为能促进经管责任的履行或组织目标的达成,而缺陷行为是会损害组织目标或经管责任之履行的。为此,在存在既定标准或能对可能的既定标准达成共识时,内部审计师需要对各管理层的具体行为进行鉴证,以识别缺陷行为,从而使得具体行为成为重要的内部审计主题。这里的缺陷行为既可能是由于自利带来的不当作为或不作为,从而表现为问题;也可能是有限理性带来的错误作为或不作为,从而表现为次优问题;还可能是由于自利或有限理性而带来的风险应对不当作为或不作为,从而表现为过度的风险暴露。行为主题审计的关键是既定标准是否存在,在许多情形下,具体行为的既定标准有明文规定,这些行为如果偏离既定标准就是违规行为;在有些情形下,具体行为的既定标准并没有明文规定,需要审计师的职业判断,这种情形下判断的偏差行为,主要表现为现行行为与适宜要求之间存在差距,通常是不合理的,一般称瑕疵行为。一些内部审计机构开展的财务收支合规性审计、经济合同合规性审计、工程结算合规性审计,就是这种审计主题的典型代表。

制度(institution)是要求大家共同遵守的办事规程或行动准则,是一种人们有目的建构的秩序规则。一般来说,任何组织的制度都包括两种类型:一是明文规定的规章制度;二是虽然没有明文规定,但是该组织有现行办事的程序或方法,有时甚至是潜规则。任何组织要达成其组织目标或者说管理层要履行好其经管责任,必须建立支持其组织目标或经管责任的制度体系。但是,由于各种原因,有些制度可能不支持组织目标或经管责任的良好履行,这类制度称为缺陷制度。缺陷制度的形成有多种原因,可能是由于管理层自利而故意形成的制度缺陷(当然,这种缺陷是对组织目标有负面影响,但对管理层本身可能是有利的),从而显现了问题;也可能是由于管理层的有限理性形成制度缺陷,从而显现了次优问题;还可能是由于管理层自利或有限理性,从而使得应对风险的制度存在缺陷,显现为风险过分暴露。无论是何种原因都会对组织目标的达成形成负面影响,所以,内部审计师需要对制度进行鉴证,以判断制度是否存在缺陷,从而使得制度成为重要的内部审计主题。制度鉴证的关键问题是既定标准,当判断现行制度是否执行时,现行已经存在的制度当然就是既定标准;当判断现行制度设计是否存在缺陷时,一些法律法规及管理原理、管理惯例、行业惯例可能成为既定标准,当然,这需要与利益相关者协商这个既定标准。所以,制度审计只能在某些范围内开展。一些内部审计机构开展的内部控制审计是典型的制度审计,一些内部审计机构开展的管理审计、经营审计、制度也是主要的审计主题。

以上分别阐述了四种审计主题,事实上,财务信息和非财务信息都具有不少共性,可以合并称为信息主题;而具体行为和制度更是密切相关。制度就是规范具体行为,而具体行为也需要按制度来实施,所以,制度和具体行为是一枚钱币的两面,正是在这个意义上,一些文献认为,将制度和具体行为合并称为行为主题。从而,内部审计的全部审计主题是两类四种:信息主题――包括财务信息和非财务信息,行为主题――包括具体行为和制度。

(二)内部审计主题差异化的原因――影响内部审计主题的因素

接下来的问题是,既然内部审计的全部审计主题是两类四种,为什么不同组织会选择不同的审计主题,换言之,影响内部审计主题选择或内部审计主题差异化的因素有哪些?按图1的框架来分析这些影响因素。

内部审计本质既有共性本质,也有个性本质,内部审计定位,主要是指内部审计个性本质的选择。一般来说,内部审计个性本质有三种:一是作为业务流程中的审核机制;二是作为监督机制之外的监督机制;三是作为治理机制的监视机制[ 22 ]。不同的个性本质选择,对内部审计主题有重要影响。

当内部审计作为业务流程中的审核机制时,能审核什么呢?主要有两种情形:一是审核前面的流程已经完成的经济行为是否符合既定标准,此时的审计主题是经济行为,也就是具体行为主题;二是审核前面的流程已经加工完成的经济信息是否符合既定的信息加工之规定,也就是判断经济信息是否真实,此时的审计主题是信息,既可能是财务信息,也可能是非财招畔。所以,概括来说,当内部审计作为审核机制时,其审计主题是具体行为、财务信息和非财务信息。

当内部审计作为业务流程之外的监督机制时,能监督什么呢?一般来说,也主要有两种情形:一是检查已经完成全部流程的经济行为是否符合既定标准,这种检查关注的经济行为属于具体行为主题;二是检查已经完成全部流程的经济信息是否符合各自的生产及报告规定,这种检查关注的是经济信息,履行信息主题,这种信息可能是财务信息,也可能是非财务信息。所以,概括起来,作为监督机制的内部审计,其审计主题依然是具体行为、财务信息和非财务信息。此时的审计主题与作为审核机制的内部审计相同,但是,由于是在业务流程之外履行的,所以,其功能不同,进而对消极因素的抑制之成本效益也不同。

当内部审计作为监视机制时,能监视什么呢?一般来说,监视的是治理机制,内部审计本身已经不直接应对问题、次优问题和风险暴露,而是监视应对这些问题的治理机制是否持续有效,这种治理机制,也就是本文前面提到的制度,风险管理、内部控制、治理过程、管理过程、价值链都是其具体形态。所以,此时的内部审计,其审计主题是制度。

以上所述的内部审计定位对内部审计主题的影响,归纳起来如表1所示。

接下来的问题是,内部审计定位为什么会不同呢?虽然有不少的因素会影响内部审计定位,但是,主要的因素是组织治理机制和组织环境。

从组织治理机制来说,其本身是一个整体,包括多种机制,不同机制的组合原则是成本效益,各种机制组合起来形成的治理机制要求具有理想的成本效益比。一般来说,内部审计只是治理机制组合中的一部分,当业务流程中的其他机制能以适当的成本有效地抑制经济行为和经济信息的偏差时,内部审计一般不嵌入业务流程中,只有其他机制不能以适当的成本有效地抑制这些偏差时,内部审计才需要作为业务流程中的审核机制,此时,审计主题就是履行完前置业务流程的经济行为和经济信息,前者属于具体行为主题,后者属于财务信息主题或非财务信息主题;当业务流程中的其他机制能以适当的成本有效地抑制经济行为和经济信息的偏差,但是还未能将其抑制到可容忍水准时,就需要内部审计作为监督机制,在业务流程完成之后,对已经履行完全部业务流程的经济行为和经济信息做再次检查,此时,审计主题就是履行完全部业务流程的经济行为和经济信息,前者属于具体行为主题,后者属于财务信息主题或非财务信息主题;当治理机制组合能以适当的成本有效地将经济行为和经济信息的偏差抑制到可容忍水平时,内部审计一般就作为监视机制,确保治理机制的持续有效运行,此时,审计主题包括风险管理、内部控制、治理过程、管理过程、经营过程、价值链等,属于制度主题。所以,总体来说,组织治理状况对内部审计定位有重要影响,进而影响内部审计主题。

组织环境也影响内部审计定位。根据环境因素的多寡,组织环境可分为简单环境和复杂环境,前者的环境因素少,后者的环境因素多;根据环境因素的变动性,组织环境可分为静态环境和动态环境,前者变动性小,后者变动性大。两者组合起来,组织环境的基本类型如表2所示[ 23 ]。

表2所示的四类组织环境中,不同类型的环境对内部审计定位要求有差异。按ABCD的顺序,组织环境中的风险因素越来越难以应对,从而,组织治理机制也越来越复杂,特别是其中的风险管理对于组织目标的达成越来越重要,与此相一致,组织治理机制也就越来越复杂,并且,越来越需要根据组织环境的发展变化来不断地优化,这就需要经常对组织治理机制进行监视,以判断其是否存在缺陷,及时发现不适宜的风险暴露。这就意味着,按ABCD的顺序,内部审计作为组织治理监视机制的重要性也越来越强,与此相适应,制度主题在内部审计主题组合中也就越来越重要,所以,组织环境对内部审计定位有重要影响,进而影响内部审计主题。

四、例证分析

本文以上提出了一个关于内部审计主题类型及其差异化的理论框架,下面用这个理论框架来阐解一些权威文献对内部审计主题的界定,以一定程度上验证这个理论框架。

(一)IIA界定的内部审计主题

从1947年开始,IIA颁布了一系列的职责说明书或准则,这些职责说明书或准则对内部审计概念都有界定,这些概念中界定的内部审计内容,归纳起来大致如表3所示。

表3显示两点:第一,IIA界定的所有内部审计内容都能纳入到本文理论框架中提出的内部审计主题,但是,理论框架中提到的非财务信息这个主题在IIA的概念中并没有出现。从发达国家内部审计发展的实践来看,内部绩效指标审计还没有得到足够的重视,我国则不然,内部经济责任审计已经是很多内部审计机构的重要业务,这其中就包括非财务信息审计。第二,内部审计主题在变迁,从最早的财务信息主题和具体行为主题发展到目前的制度主题,并且,制度主题成为IIA唯一强制的内部审计主题,这其中的原因,主要是组织环境越来越具有复杂、动态的特征,从而使得应对风险的治理机制越来越重要并且还可能越来越容易失去适宜性,从而越来越需要内部审计作为监视机制。

总体来说,本文的理论框架能解释IIA界定的内部审计内容或审计主题及其变化。

(二)我国权威文献对内部审计主题的界定

中国内部审计协会颁布的《第1101号――内部审计基本准则》规定,内部审计内容是业务活动、内部控制和风险管理,这里的业务活动属于具体行为主题,这里的内部控制和风险管理属于制度主题。与IIA的IPPF界定的内部审计内容相比,增加了业务活动,删除了治理过程,这两个变化是很有道理的。首先,由于我国大多数组织的治理机制还不能以适当的成本有效地将经济行为偏差抑制到可容忍的水准,仍然需要内部审计作为监督机制或审核机制,具体行为主题仍然需要;其次,对于我国的大多数组织来说,对组织治理(狭义的治理)进行审计还不具备条件,所以,组织治理纳入审计内容还不具有普通意义。

我国审计署的《审计署关于内部审计工作的规定》界定的内部审计内容是财政收支、财务收支、经济活动。很显然,这里界定的内部审计内容是财政收支、财务收支、经济活动,属于具体行为主题。这种界定的原因有两个:首先,根据政府审计的经验,我国有不少组织还存在较严重的违规行为,说明这些组织的治理机制还不能以适当的成本有效地将经济行为偏差抑制到可容忍的水准,所以,仍然需要内部审计作为监督机制或审核机制,此时的审计主题属于具体行为;其次,我国的政府审计虽然具有综合审计的趋势,但是,最重要的审计主题还是具体行为,财政财务收支及相关经济活动是否合规,是政府审计关注的主要内容,审计署当然也希望内部审计将这些内容作为审计重点。

综上所述,本文的理论框架基本能解释我国权威规范对内部审计内容或主题的界定。

五、结论和启示

审计主题是审计内容的骨架,要建立有效的内部审计制度,必须有这种框架。本文提出一个关于内部审计主题及其差异化的理论框架,并用这个理论框架来分析内部审计权威文献倡导的审计主题及其变化。

内部审计主题是审计师发表意见的特定事项,有两类四种:信息主题――财务信息和非财务信息,行为主题――具体行为和制度。内部审计作为抑制消极因素的机制之一,有三种定位:一是作为业务流程中的审核机制,二是作为业务流程之外的监督机制,三是作为治理机制的监视机制。组织治理机制的不同状况下,内部审计会有不同的定位。组织环境也影响内部审计定位,组织环境越具有复杂、动态特征,越是需要内部审计作为治理机制的监视机制。受组织治理机制和组织环境影响的内部审计定位会影响内部审计主题选择,并导致内部审计主题差异化。当内部审计作为业务流程中的审核机制时,审计内容是完成前置程序的经济行为和经济信息,审计主题属于具体行为、财务信息、非财务信息;当内部审计作为业务流程之外的监督机制时,审计内容是完成全部业务流程的经济行为和经济信息,审计主题属于具体行为、财务信息、非财务信息;当内部审计作为监视机制时,审计内容是制度或管理过程,审计主题是制度。影内部审计定位的主要因素是组织治理机制和组织环境。

本文提出的上述理论框架,能解释IIA及我国内部审计权威文献对内部审计内容或审计主题的界定及其变迁。

本文的研究再次启发我们,存在的就是合理的。内部审计主题及其差异化是有其原因,各个组织的内部审计领导,应该从本组织的治理机制状况及面临的组织环境来选择本组织的内部审计定位,并在此基础上,选择内部审计主题。只有这样建立起来的内部审计制度才能真正发挥作用。现实世界中,内部审计主题存在差异化恰恰是这些组织的领导理性思考的结果。

【参考文献】

[1] 郑石桥.审计理论研究:基础理论视角[M].中国人民大学出版社,2016.

[2] 郑石桥,宋夏云.行为审计和信息审计的比较:兼论审计学的发展[J].当代财经,2014(12):109-117.

[3] 郑石桥,郑卓如.基于审计主题的审计学科体系创新研究[J].会计研究,2015(9):81-87.

[4] 鸟羽至英.行为审计理论序说[J].会计,1995,148(6):77-80.

[5] 谢少敏.审计学导论:审计理论入门和研究[M].上海财经大学出版社,2006.

[6] 郑石桥,周天根,王玮.组织治理模式、机会主义类型和审计主题:基于行为审计和信息审计视角[J].中南财经政法大学学报,2015(2):80-85.

[7] 郑石桥.政府审计对象、审计业务类型和审计主题[J].会计之友,2015(18):97-103.

[8] 郑石桥.国家治理与国家审计:审计主题差异的理论框架和案例分析[J].会计之友,2015(1):122-127.

[9] IIA.International Professional Practice Framework(IPPF)[A].2013.

[10] 中国内部审计协会.第1101号――内部审计基本准则[A].2013.

[11] 中华人民共和国审计署.审计署关于内部审计工作的规定[A].2003.

[12] 陈光汉.内部审计对象探讨[J].审计研究,1985(3):15-17.

[13] 杨跃进.社会主义市场经济条件下内部审计对象的再认识[J].当代经济科学,1996(3):53-56.

[14] 易仁萍.内部控制、风险管理是内部审计的核心内容[J].中国内部审计,2005(12):1.

[15] 邢风云.公司治理下内部审计的功能定位研究[J].当代经济,2012(6):122-124.

[16] 刘德运.内部审计帮助企业增加价值:一个框架[J].审计研究,2014(5):108-112.

[17] 王光远.消极防弊・积极兴利・价值增值(一)――20世纪内部审计的回顾与思考:1900―1960年[J].财会月刊,2003(2):3-5.

[18] 王光远.消极防弊・积极兴利・价值增值(二)――20世纪内部审计的回顾与思考:1960―1970年[J].财会月刊,2003(3):3-5.

[19] 王光远.消极防弊・积极兴利・价值增值(三)――20世纪内部审计的回顾与思考:1970―1980年[J].财会月刊,2003(4):3-5.

[20] 王光远.消极防弊・积极兴利・价值增值(四)――20世纪内部审计的回顾与思考:1980―1990年[J].财会月刊,2003(5):3-5.

[21] 王光远.消极防弊・积极兴利・价值增值(五)――20世纪内部审计的回顾与思考:1990―2000年[J].财会月刊,2003(6):3-5.

[22] 郑石桥.内部审计本质:理论框架和例证分析[C].南京审计大学审计科学研究院工作论文,2016.

[23] 郑石桥,马洁,马新智.战略导向整合管理[M].新疆大学出版社,2003:54-55.

内部审计信息化论文篇(4)

关键词:信息化;内部审计;风险;防范

内部审计与外部审计的目标不同,除了审查财务报表及活动的合法性和公允性的基础要求外,更加重视评价公司经营管理的有效性,控制和改善经营风险管理,以促进企业实现经营目标。因此具体到审计内容,外部审计主要关注财务报表、内部控制审计、尽职调查、鉴证审计等,而内部审计则需细化到各个部门的各类经营活动,并拓展到管理领域。内部审计除了要求对国家审计及会计法规充分了解外,还必须要求内部审计人员具备专业的业务知识和管理水平。信息化系统下,内部审计通过智能化的记录、分析和呈现,大大提高了处理效率以及对业务动态的促进作用,但同时其自身也存在着诸多风险,需要企业或机构及时实施应对措施。

一、内部审计信息化的必然性

从内部审计的目标和内容看,内部审计不仅是国家法规对企业合法合规经营的要求,更是企业所有者和经营者出于经营安全和效率的角度自发切深入的自我审视,内部审计可以说是企业经营管理的重要工具和制度之一。在信息化时代,内部审计对企业竞争力的维持和提升具有战略意义。随着企业ERP系统的普及,面向不同类型的企业和组织的经营管理系统产品十分丰富,即是小企业也能够应用信息化和自动化的企业经营管理系统,这源于经济社会信息化的快速渗透,无纸化办公、电子商务、移动支付、多媒体沟通交流工具等让人与人、组织与组织之间的交易和互动更加接近纯数字化。绝大多数日常活动最后可以通过各种信息进行表征,而信息带来的价值在当下已经超越了任何传统的要素。快速准确地获得更多的信息,就能发现更多的机遇和问题,更能透彻地认识客户、竞争对手以及自身。而其中内部审计就是自我审视和自我改进的重要工具,而为了匹配信息化的竞争和运营,内部审计必然需要实现信息化。信息化内部审计内嵌化是必然趋势。理想的信息化内部审计不是仅仅将传统手工线下操作转变为电子化操作,而是要通过系统二次开发,将内部审计的流程、工具、关键要素、分析工具以及关联机制嵌入到组织的经营管理系统中,从而实现动态实时的内部审计监控,常态化的内部审计推动业务的改进和提升。

二、信息化系统下内部审计存在的风险

信息化系统下审计存在的风险主要包括安全风险、认知风险和过度风险。内部审计信息化后并不意味着一劳永逸,所有的工作都交由计算机和软件系统来完成,在实际经营管理过程中,组织中的很多活动涉及很多灰度和人性化的特征,并不完全能够通过量化或程序化来框定。安全风险主要指信息安全,内部审计信息充分展示了组织经营管理细节,甚至包括一些机密信息,一方面如果组织信息系统不够“牢固”,则存在被突破和窃取的风险。另一方面,电子化的信息的可复制性和可传播性要远远大于纸质文档,如果组织缺乏有效的分级分权管理机制或者执行不到位,则内部审计工作则可能成为信息安全的突破口;认知风险是指企业经营管理者以及普通员工对计算机系统下的内部审计工作缺乏专业认知和熟练的操作,致使信息化内部审计的执行效果可能还不如传统线下审计;过度风险主要体现在两个方面,一是过度依赖于信息化内部审计系统,经营管理者会产生唯信息论和唯数据论的倾向,一切决策和判断都依赖于系统报告和数据,从而失去基于基本面如人性、文化、思想方面的判断能力。另一方面是内嵌式的信息化审计,充分融入到日常经营管理活动中,如果缺乏合理的定位和边界约束,那么信息化审计将会演化成一种“大运动”或者“形式工程”,要么严重影响正常的经营活动,要么成为部门不务正业者“炫技”的工具。此外,随着组织的发展,内部审计的范围和流程需要根据业务及时调整,在传统人工操作下可以很快通过对组织架构和实施人的调整完成转变,而在信息化系统下则需要有开发人员根据业务变化进行开发,其中存在时间风险以及切换对接风险。

三、防范信息化系统下内部审计的措施

针对信息化系统下内部审计风险,本文认为应当从信息化内部审计工具适应性优化、信息化平台安全加固以及信心化内部审计使用规则明确入手进行规避:

首先为了适应企业不断变化的组织架构和业务内容,信息化内部审计系统必须实现开放式的模块化架设,通过标准化的流程和工具套件,以匹配不同业务和组织形式下的内部审计本质要求。应当按照审计和组织管理的最基本要素和原则进行设计,而不是过分细究业务自身的特点进行过分匹配的开发;其次是加强信息化系统的安全等级,包括对外防火墙的加固、加密通道的可靠性、分区分权的信息管理的严密性以及监控手段。特别是针对信息窃取、复制和转发的控制和跟踪,在信息化时代显得特别重要,因为掌握更多的信息就可以直接转变为有的放矢;最后需要明确信息化审计系统与业务经营管理之间的关联关系,协调系统管理和人为管理的关系,不仅要充分发挥信息化审计对业务监督和改进的参考和依据作用,还要提升经营管理者灵活运用信息化内部审计输出的能力,借助信息化内部审计工具,为发挥自身人性化的经营管理才能提供助力。此外,还需要加强信息化内部审计的落实效果,杜绝形式主义和运动主义倾向。

参考文献:

[1]韩双.浅谈审计信息化在内部审计领域的建设与应用[J].商场现代化,2015(32).

[2]章曦.信息化内部审计风险及应对[J].经济视野,2013(21).

[3]王波,赵玉林.论集团化企业内部审计信息化建设——以中石化集团为例[J].财会月刊,2017(4).

内部审计信息化论文篇(5)

关键词:REA模型;REACA模型

中图分类号:F235 文献标识码:A 文章编号:1001-828X(2012)10-0-02

一、问题的提出

随着知识经济的兴起和全球经济一体化趋势,人类已经进入一个全新的经济时代。以计算机硬软件技术、网络技术和数据管理技术为核心的IT技术,正在从根本上动摇企业的管理模式、业务流程和生产方式,不仅大大加快信息处理和传递速度,而且使会计信息超越国界在全球范围内实时生成、传递和共享成为现实。人们对会计信息的范围需求不断扩大,质量需求进一步提高,时间需求进一步加快。社会经济的发展极大强化了人们对信息的需求,而信息需求的扩张必然会推动会计信息供给模式的不断进步。但是从目前来看,会计信息供给滞后于社会经济发展的速度,换句话说,会计信息系统的发展并没有赶上人们对信息需求范围上、质量上、速度上的扩张速度,表现为会计信息不能满足人们日益增长的信息需求。

会计信息系统作为会计信息的采集、处理、报告等过程的载体,面对新的信息需求必须适时调整。会计信息处理的集成化、社会化和自动化是时代赋予会计信息系统的新要求。

二、传统会计信息系统的局限

长期以来,我国的会计信息化基于输出视角的建模思路导致了会计信息系统具有如下局限:其一,会计信息系统的流程基本上还是按照手工会计处理流程设计,虽然计算机的高速运算和巨大的数据存储能力在一定程度上缓解了会计人员的工作压力,但会计流程并未突破手工会计核算方式的框架,以此为基础建立的电算化会计信息系统仅仅是手工会计业务流程的高度仿真,并未改变传统会计业务流程的本质。其二,可以支持特定职能部门的管理工作,但不能为跨越多个职能部门的业务过程提供整体视图。同一业务事件相关的数据被分别保存于会计人员和非会计人员手中,形成信息孤岛,导致数据不一致、信息隔阂和组织中信息重复存储,弱化了会计信息支持决策的功能。其三,只采集了经济活动的部分信息,为了弥补这一缺陷,为投资者提供决策需要的更全面的信息,通常采取财务报表附注的形式补充披露其它财务及非财务信息,这样在提高披露充分性的同时,也增加了阅读理解的复杂性,加大了从中获取有用信息的难度。其四,进入会计信息系统数据源的选择依赖于会计人员的主观估计和判断。不同的会计政策和会计估计的选用,对最终产生的会计信息具有重大影响。

总体来说,这种面向输出视角的会计信息系统存在着“重账表生成结果、轻嵌入控制的检测”之弊端, 致使我国多数的会计系统难以有效地记录、识别和防范相关的风险。因而不能更好地提高企业信息化管理水平、提升行业核心竞争力、成为改进监管、防范金融风险的重要保障;不能从根本上满足会计信息化委员会确立的“构建一个以企业提供标准化信息为基础,方便使用者高效利用信息的数出一门、资料共享的综合信息平台”等会计信息化建设目标;不能切实顺应信息技术发展趋势和贯彻实施国家信息化战略的要求。

三、REACA模型的提出

(一)对信息化环境下会计信息系统的需求变革

在信息化环境下,业务流、信息流与控制流整合,信息系统在企业内部控制中的作用日趋重大。会计信息系统作为企业整体信息系统的有机组成部分,应不再是运行在业务过程之上的“事后反映与监督”的财务报表系统,而是运行在网络平台上的会计业务一体化的“实时”会计控制系统。

由于在信息化环境下,业务活动在网络平台上展开,由信息系统实现的自动化业务控制和信息控制成为内部控制的主要方式之一,控制嵌入式系统成为会计信息系统发展的新要求。杨周南(2003)指出:“随着企业业务流程自动化程度的提高,对业务活动的传统控制活动被逐渐嵌入到计算机程序中……传统的业务控制已转变为信息系统的一种自动控制。因此,在实施信息化的过程中,如何将控制过程嵌入到业务流和信息流中是十分重要的。” 庄明来(2008)指出,我国会计软件开发的长期实践表明,只有建立一个涵盖从严格的组织体系到完整的面向流程结构的严密的控制系统,才能最大程度地保证会计信息可靠性, 从而才能进一步保证会计信息的相关性。因此控制嵌入式系统是会计信息系统发展的方向。

由于企业传统的控制活动被逐渐嵌入会计信息系统,与此同时必须考虑在信息系统中为审查与评价内部控制建设情况并提出审计建议的审计活动预留相应的审计线索,这样才能确保信息系统安全、可靠、高效地运行。审计线索的嵌入,也有助于发现信息系统本身以及控制环节存在的不足,以便及时改进系统,使其充分发挥在经营管理活动中的作用。

信息化环境下会计信息系统整合控制与审计是摆在我们面前的一个新的研究课题。

(二)REA模型的启示

REA模型由McCarthy教授于1982年提出。1982年7月, McCarthy在《会计评论》上发表了题为《REA模型:共享数据环境中会计系统的一般框架》的论文,其含义是从资源、事件、参与者三个实体以及实体之间的关系对会计信息系统建模。他强调,如果要使会计成为企业整个数据系统的一个组成部分,而并非一个独立的、非集成的信息系统,我们就必须改变原有视角。他认为从建模的视角和数据库设计阶段数据整合的视角来看,会计事项应当具有与非会计事项的决策应用相兼容的特征。1996 年由于在REA 语义模型方面的贡献, McCarthy 教授被美国会计协会授予原创贡献奖。

相对于基于输出视角的会计信息系统建模思路,REA模型具有一定的理论优越性,这也是REA模型受到高度评价的原因之一。具体表现为:其一,基于REA模型的会计信息系统扩大了采集的会计事项范围,脱离了财务报表要素的制约,所有影响决策的业务事件都可以进入系统;其二,存储了最基本的历史记录,支持用户从多种不同的角度对信息进行自由的提取、分类和处理;其三,能够实现业务数据和财务数据的集成,在业务事件发生时采集业务数据和财务数据,完成信息数据一次性输入和集中存储,各职能部门根据权限从同一个数据仓库中提取数据。当某业务事件属于会计事项时,该业务事件的有关信息就由事件驱动模式自动传送至会计部门,会计人员生成传统的会计凭证。由于会计数据与业务数据来自同一数据源,自然保证了会计数据的完整性和一致性。

然而, REA模型的应用对系统的集成化要求较高,需要大容量的存储设备和快速的数据处理能力,这也是制约REA模型应用的技术瓶颈。对此,McCarthy教授也曾指出,只有信息技术发展提供更廉价的存储设备,更快速的信息处理能力时,基于REA模型的应用才能成为一个现实。

(三)REACA模型

REA模型提出后的十几年里,REA模型在理论研究、实践研究和教学方面得以不断深入地应用和发展。但是,REA模型研究的重点始终是基于资源、事件和参与者进行业务过程建模,其后的一些扩展研究也多是从REA模型的结构和实例等方面进行探讨。虽然REA模型中的事件处理规则和其他程序化的业务逻辑能够在一定程度上帮助组织核查错误并发现或防止舞弊行为,但这远远不能适应信息化环境下企业内部控制特殊性和控制重点变化的要求,因而无法达到内部控制的目标,这是制约REA模型在实务中全面应用的重要原因。

为此本文在信息化环境下,从会计信息系统整合控制与审计的视角,提出REACA扩展模型的基本思想。

REACA(Resource,Event,Agent,Control and Audit)扩展模型是在上述背景下提出的一种基于REA模型的会计信息系统建模方法,通过将控制(control)和审计(Audit)两个要素融入REA模型,在系统逻辑建模阶段建立包含控制和审计线索的业务过程模型,不但能发挥REA模型在满足多维输出视图需求方面的优势,而且还能辅助会计信息系统整合业务活动、控制活动和审计活动,实现业务流、控制流和审计流的集成。

1.整合控制要素

REACA模型中的控制要素是指在信息化环境下对业务过程进行监督、检查、并发现和纠正差错,以使组织活动符合既定的要求的一系列活动的总称,它是控制理论与方法的数字化、程序化和规则化。在信息化环境下,组织的大量控制活动被纳入到信息系统中,以计算机可识别的数字符号形式、按照预定的处理程序和流程、依照特定的控制规则管理业务活动。在建模过程中,控制具体体现为若干控制规则的嵌入。

REACA模型中的控制具体包括业务活动控制和信息系统控制。业务活动控制是为了达到营运的效率效果、财务报告的可靠性和相关法令的遵循性等目标而提供控制过程。业务活动控制的目标和控制对象与传统业务控制的控制对象是一致的,与COSO控制模型的内涵相对应。通过将业务活动控制内嵌到会计信息系统中,可以实现对业务的控制由计算机自动执行。通过REACA逻辑建模,可以让业务活动控制贯穿于整个企业内部各职能部门。业务控制活动主要包括预防性控制、检查性控制和纠正性控制三类活动。在业务过程建模中,对以上三类业务控制活动建模能够一定程度提高业务信息的安全、效率和准确性。

信息系统控制是为了达到会计信息的有效性、高效性、机密性、完整性、可用性、符合性和信息可靠性目标而采取的控制措施。信息系统控制的目标和控制对象与COBIT控制模型的内涵相对应。会计信息系统的广泛应用实现了手工业务的自动化处理,在提高工作效率的同时,也带来了与手工环境不同来源、不同性质的风险,从而对企业内部控制造成了多种影响。除了传统意义上的经营风险、控制风险和财务风险等之外,与信息系统的安全性、可靠性相关的信息和信息系统风险日益增长。很多企业在进行会计信息系统建设过程中常常忽视了信息系统内部控制建设,容易导致会计信息毁损、失窃和失真,以及非法访问、未经授权拷贝、黑客和病毒入侵等违规使用,从而使会计信息系统受到严重损害。因此本文认为会计信息系统建模过程中,就应考虑对控制要素的建模,也就是从需求分析阶段就要重视会计信息系统的控制建模。

2.整合审计要素

REACA模型的审计要素是确保和审查控制要素有效执行的活动,包括对业务控制活动审计线索的预留和对信息系统控制的审计活动。通过对审计要素建模,可以确保和审查内部控制机制的有效执行,以达到对会计信息系统安全、可靠、有效和高效的应用。同时在对审计要素的建模过程中还可以发现控制要素建模的不足,以便及时改进与完善,使会计信息系统逻辑模型达到预期的目标。

在REACA模型中,REA与C和A要素是在工程学的理论框架下有机结合的一个完整体系,共同指导会计信息系统的开发实践过程。审计要素要求在信息系统分析的建模阶段考虑有关审计线索的预留。在信息化环境下,微观经济运行的轨迹很大程度上反映和存储在以数据库和文件构成的数字介质上,这一信息处理方式和存储模式的改变对会计信息系统的设计提出了新的要求,即在信息系统分析和设计初期就要考虑相关的控制和审计需求,要提供标准的数据接口,在系统开发时为日后审计工作预留审计线索。这样,在系统实施运行过程中,会计系统的数据才能够快速通过标准接口进入审计系统,解决计算机审计系统中输入瓶颈问题,并保证审计人员能追踪到审计线索。

REACA模型中的审计要素与控制要素的关系可以用内部审计与内部控制的关系相类比。内部审计是由本部门和本企业内部独立于财会部门之外专职的审计机构或人员实施的审计,其主要目的是纠错防弊,以改善经营管理,提高经济效益。从上述内部审计的定义可以看出,内部审计是企业内部控制的一个重要组成部分。它是一个企业内部经济活动和管理制度是否合规、合理和有效的独立评价机制,它是对其他内部控制包括内部会计控制的再控制。审计既是一种特殊的控制方式,又是对业务过程的发生情况和控制程序的实施情况进行连续监督的重要手段。内部审计是内部控制的一种特殊形式。其特殊性在于:首先,内部审计与内部控制共同构成了保障经济行为与预定标准相一致的重要措施,但具有其独特而科学严谨的理论和方法;其次,审计独立性是审计工作价值的根本要求,虽然内部审计是内部控制的一种形式,但却是一个独立的系统性过程。

在信息化环境下,内部控制和内部审计这种关系依然存在。在企业对业务的传统控制活动逐渐被嵌人到计算机程序后,业务控制的有效性依赖于信息系统的安全性、可靠性和有效性。而信息系统的安全性、可靠性和有效性取决于信息系统的控制及其执行是否健全有效。因此,会计信息化除了需要建立健全信息系统控制之外,通过审计活动审查与评价信息系统的内部控制建设及其执行情况并提出审计建议也是确保信息系统安全、可靠、有效和高效运行的重要措施。通过审计活动可以发现信息系统本身及其控制环节的不足之处,并及时改进与完善, 使信息系统在企业的经营管理中有效发挥作用。

四、结论

面对信息技术对会计行业的冲击,为了肃清理论和实际工作中对“会计电算化”的简单化理解,杨周南教授提出了“会计信息化”的概念,并指出了会计信息化建设的整体工作框架,即ISCA模型。她认为会计信息化的体系结构包括信息技术环境下的AIS,信息系统内部控制制度和对内部控制制度的审计三大组成部分。REACA模型借鉴了ISCA模型的思考维度,是对ISCA模型的继承与发展,其中,REACA模型中的REA部分与ISCA模型中的现代会计信息系统相对应,是一种事件驱动的建模方法;REACA模型中的C和A分别借鉴了ISCA模型中控制和审计的思想并有所发展,强调在信息化环境下,会计信息系统建模不仅包括对业务活动的数字化、程序化和规则化控制,而且要对这种数字化、程序化和规则化的控制的有效性进行监督,以保障信息系统能够运行正常,能够完成既定控制目标,保证系统产生的信息真实、完整、可靠。

参考文献:

[1]杨周南.论会计管理信息化的ISCA模型[J].会计研究,2003,10.

[2]庄明来,蒋楠.论我国会计系统标准化流程的构建[J].中国管理信息化,2008.

[3]刘玉廷,王宏.美国加强政府部门内部控制建设的有关情况及其启示[J].会计研究,2008.

内部审计信息化论文篇(6)

【关键词】通信企业内部审计工程经济学

发起组织委员会(COSO)在1992年了关于内部控制理论的报告,并在1994年又重新修改,最终了《内部控制―整体框架》的报告,该报告明确参数了内部控制的组成是由环境、风险、活动和信息等多方位的控制组成,在整个经济实体中都涵盖的系统。内部审计在评估内部充当着监督的角色,不仅要判别内部评价的有效性,而且还要提出完善的控制方法,并且还需检查内部的执行情况,在整个内部的控制过程中全方位监控。这个报告的提出奠定了内部控制发展的基础,并为国企业以及公司团体的广泛赞誉。本文将从通信企业内审环节的薄弱点出发,探讨强化内审的意义研究[1]。

一、通信企业内审存在的问题

(1)大环境的因素。审计组织体系是由国家根据自身的经济水平以及社会状况而确立的,用以规划和协调国家审计、民间审计和内部审计的关系。对企业而言,国家的审计组织体系对内部审计机构和管理体制影响是不言而喻的。企业首先必须根据国家规划管理体制以及设置方式,其次是企业自身的需求来设置内部审计机构[2]。(2)自身的因素。随着改革的不断深化,内部审计在通信企业的职能和作用越来越受到重视。

二、解决方法研究

利用工程经济学对如何有效利用资源进行研究,找出提高经济效益途径。工程经济学是对各种工程技术方案的经济效益进行的研究,目的在于找到利用最小的投入获得最大的预期成果的运行机制,实现以最低寿命周期成本完成作业或服务的功能。将其与通信企业的审计相结合主要有以下的几个功能:

1、优化通信企业内部审计部门的权力配置。

为了确保审计工作的正常进行,内部审计人员必须享有一定的权力,这里的权利具体来说可以包括以下方面:(1)检查权。即可以超越本组织内部控制制度对业务活动和财务收支等活动进行检查,并且不接受任何人的拒绝,并且有权利获得被审计部门及工作人员的支持,具体包括提供有关审计主题的全面记录。(2)披露权。内部审计部门对被审计部门的违规事项有权进行披露。(3)报告权。内部审计部门有权将审计报告和相关审计意见提交到最高管理当局。(4)一定的处罚权。给予我国通信企业内部审计部门一定的处罚权是有必要的。首先,在建立内部审计制度的初期,如果缺乏处罚权,那么将会导致检查权的行使效果达不到预期效果。其次,如果将所有的违规事项均交由最高管理当局处理,再由最高管理局决定是否处罚,必然会拖延工作效率。再次,内审部门的处罚权是由其监督的主要职能说决定的。

2、强化通信企业内部审计的信息管理。

内部审计信息管理就是指将信息通过整理等方式将其转化为能被人们理解的信息,也包括将对审计工作产生影响的情况集合起来。加强审计信息的管理是满足工业工程技术理论的,也是内部审计监督和业务管理的基本依据。具体到通信企业就是,在工业工程技术理论的支持下,通过审计部门将审计信息进行输入、整理等一系列活动。(1)内部审计信息输入的管理:信息输入是指内部审计部门以监督和管理的需要为依据,对内部审计信息进行搜集,具体搜集内容有:通信企业在某些时期内制定的政策、规定或者方针等;内部审计部门自身的情况;被审计的业务部门的基本情况等。一般采用的信息输入方式如下:自行输入、组织输入、指派输入以及协作输入。(2)内部审计信息的整理:对信息进行整理是指利用一定的程序和方法对收集的原始信息进行处理,对信息整理的具体过程包括:将原始信息分类、鉴别原始信息的可靠性、确立整理的目标、将内部审计信息进行处理,使其有序化和系统化。通过这样的方式,通信企业内部审计的信息管理将会得到一定的强化[3]。

三、总结

本文从大环境因素以及通信企业自身的因素出发,探讨了目前通信企业中内审存在的问题,创新性的提出将“工程经济学”与“内部审计”结合以达到解决问题的要求,这两者的结合将进一步优化通信企业内部审计部门的权力配置以及强化通信企业内部审计的信息管理。

参考文献

[1]严晖.风险导向内部审计:背景分析与框架建构[J].财会通讯,2004,6:34-37.

内部审计信息化论文篇(7)

【关键词】内部控制信息披露审计质量影响研究

【中图分类号】F23

内部控制作为企业规模化发展的要求,起源于企业内部管理的需要,用于控制企业所要面临的风险,不仅决定着利益相关者的经济决策甚至还影响着社会的经济安全。而外部审计作为一种监督方式,其质量的高低影响着企业对外信息披露的有效性和真实性,决定着利益相关者对企业以及财务报表信息的信任程度。内部控制信息的披露作为近几年各企业对外披露的信息之一,受到了普遍的关注与研究。

2002年7月,美国出台了《萨班斯――奥克斯利法案》(以下简称SOX),从管理者、内部审计、外部审计等层面对公司内部审计做了具体规定。SOX的出台俨然引起了各个国家的重视,各国开始颁布相关的法律法规。2008年6月,我国财政部、证监会、审计署、银监会、保监会五部委联合了《企业内部控制基本规范》,要求上市公司“对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。2010年4月,中国版“萨班斯法案”的出台,标志着我国内部控制规范体系正式确立,内部控制信息披露也由自愿性向强制性过渡。此后,众多会计师事务所纷纷对企业展开内部控制审计业务,这些业务范围的扩大不仅增加了审计费用也对审计师独立性以及专业胜任能力产生一定的影响。同时,内部控制的健全与否也影响着审计师的抽样审查的重点和范围,因此,内部控制信息披露与审计质量有着密切的关系。本文以2011~2013年上证A股748家上市公司的数据为样本,以审计意见作为虚拟变量研究了内部控制信息披露对审计意见的影响,根据研究结果,从外部监管机构、上市公司以及审计师角度提出意见和对策以此来提升审计质量,并为我国内部控制信息披露的发展提供借鉴意义。

一、相关理论述评

(一)内部控制信息披露的相关理论

为了能更好的理解内部控制信息披露,需要先明确内部控制的含义与界定。《内部控制――整合框架》作为内部控制领域最为权威的文献之一,大多学者采用的内部控制的定义则出于此。此定义为:内部控制是为了合理保证企业营运的效率效果、相关法律法规及制度的有效遵循及财务报告可靠性真实性,而由企业董事会、管理阶层和其员工共同携手实施运行的一个过程。内部控制信息披露随着我国内部控制理论的不断发展,经历了自愿披露――局部披露――整体强制披露阶段。内部控制信息披露是建立在董事会和管理层依照一定的标准对内部控制的效率做出有效性评价的基础上,并以内部控制报告的形式由上市公司向投资者提供评价结果的行为。内部控制信息披露是管理层对于公司内部控制的实施情况以及第三方监督机构对于公司经营状况的评价和未来预测的主要手段,其披露的形式主要有会计年报、招股说明书、公司监事会和独立董事对其评价报告发表的相关意见等。内部控制的自我评价指企业需要按照《企业内部控制评价指引》对企业内控的五大要素进行说明和自我评价,并将评价相关内容进行披露。第三方注册会计师要根据企业内控的实施情况进行评价并出具评价意见。

1.委托理论与内部控制信息披露

在所有者和经营者产生分离后,所有者和管理者便形成了委托人和人的关系。委托具体是指委托人通过委托人,使其按照委托人的意愿或维护委托人的利益从事某些活动,并向委托人授予决策权的一种契约关系。在高度分散的股权结构下,股东的监督权力不能有效发挥,这样实际上就是人掌握了公司的控制权。如果人的行为违背了委托人的意愿,便产生了委托问题。而委托理论认为,内部控制信息披露可以缓解这种冲突,委托人可以从披露的信息中了解企业的经营状况,而信息披露也可以充分显示出人的管理能力和职责的履行情况,加强了委托人对人的监督。

2.信息不对称理论与内部控制信息披露

信息不对称理论又称非对称信息理论,是指交易双方对交易信息的掌握程度存在差异,信息充分的一方往往占据着较为有利的谈判地位,反之,信息匮乏的一方在谈判中处于被动地位,产生不公平。信息不对称往往导致“逆向选择”和“道德风险”两个后果,前者指交易一方为获取自身利益故意隐瞒已掌握的真实信息,后者指交易一方在双方已经达成某项约定或已经签署某项合同后,参与交易的另一方会利用利益约定中的缺陷而选择对自己有利的机会主义行为。利益相关者会通过上市公司对外披露的年报等来获取信息,但是这些信息对于了解和评价企业的价值并不一定是完整有效的。作为公司的管理层他们对于自己企业内部控制的建设状况了如指掌,但是却因有缺陷而故意不去披露,信息使用者很难通过其他途径去了解这部分信息,因此便产生了信息不对称。由此可见,内部控制信息及时、充分、如实的披露,可以消除信息不对称造成的信息使用者利益受损的状况。

3.信号传递理论与内部控制信息披露

信号传递理论表明,质量信息好坏的信号可以通过市场发出,质量高的公司可以通过信号传递理论在市场中将其与较差的公司区分开来,从而导致市场做出积极的反应,如股价上升等。因此企业为了获取更高的企业价值,更喜欢将好的内部控制信息披露出来,以此来提升外部利益相关者对公司的信任程度,而反过来,企业的内部控制存在缺陷时,企业披露这些负面信息的动力就不足。为此,完善内部控制信息披露的制度建立,可以更好的发挥信号传递的作用,同时信息透明化也保障了其他利益群体的利益。

(二)审计质量概念及影响因素

通过查阅大量的文献综述,发现审计质量的概念并未得到权威的认证,大多数学者通过自己的理解给出定义,但是其实质是不变的。目前最具代表性的是美国会计学会在颁布“基本审计概念说明”的公告中,对其描述为“未确定关于经济行为及经济现象的结论和所制定的标准之间的一致程度,而对于这种结论有关的证据进行客观搜集、评定,并将结果传达给利害人的系统性的过程。”高质量的审计服务会减少市场的逆向选择,缓解道德风险,增加投资者和上市公司的价值。

1.事务所规模对审计质量的影响

会计事务所规模的大小关系着其业务范围和业务能力。大规模的事务所会通过良好的企业文化,科学的管理,美好的前景吸引更多学历水平高、经验丰富的注册会计师加入。因此人力资源的优势已然成为审计市场上最强有力的竞争,往往也是能够承接到较大较为复杂的上市公司项目的关键因素。雄厚的经济实力和专业能力强的人员也使得事务所更加注重审计质量的提升,他们会设置自己的研发部门与培训部门,开展理论研究和实务培训等,及时学习审计领域的新知识,不断提高审计人员的专业素养和综合能力。一般地,规模较大的事务所在经历了一系列的试验和审计方法研发后会形成自己特有的审计系统、审计流程和工作底稿的模板,这些资源在无形中提升了事务所以及审计人员的审计质量。

2.审计任期对审计质量的影响

审计任期对审计质量的影响并非为直线型的,而为倒“U”型的。在初期,审计人员的审计任期较短时,审计人员对于被审计单位的运营状况和财务风险了解甚少,会发生审计风险或者审计偏差。但是随着审计任期的增长,审计人员能更深入地了解被审计单位,也能熟练地识别出财务报表可能存在的风险,实施准确的实质性程序。因此,随着审计任期的增加,审计人员的专业胜任能力不断提升,能够更为客观有效的对客户进行评价,出具审计意见,以此提升审计质量。但是审计任期的不断延长也会导致审计人员形成思维定式,过分依赖以往的经验和成果,不愿意去根据新的环境而进行改变。同时,审计任期的延长,也使得审计人员和客户的关系越来越密切,审计人员的意见会更倾向于客户的利益,其独立性受到威胁。为此,审计任期过长不利于提升审计质量。

3.审计收费对审计质量的影响

根据“经济人”假设,审计人员会追求利益最大化。审计费用作为审计人员的经济来源,会对其产生激励的作用。审计费用越高说明会计事务所派出了更多专业的审计人员,审计过程也会花费更多的时间和审计流程,因此合理的审计费用是审计人员开展工作的有利保障。但是过高的审计费用会使审计人员的独立性出现威胁,出现舞弊的情况。所以,合理的审计费用能够提升审计质量。

4.行业专门化对审计质量的影响

会计师事务所的行业专门化是指事务所针对某一行业所特有的专业知识和技能。当今经济飞速发展,企业活动的环境日趋复杂,审计人员如果能够掌握被审计单位的行业情况,例如市场的竞争状况、行业平均的利润水平、产品的需求量等,这些信息将有助于审计人员更好的判断企业的盈利能力,分析会计数据间的关系,更准确的进行审计程序,不易被客户误导。在审计结束阶段,审计人员因具备行业专长可以有侧重的收集审计证据提升报表的公允性和可靠性,从而提升审计质量。

(三)内部控制信息披露对审计质量的影响的理论分析

上市公司对内部控制信息进行披露,不仅可以使利益相关者得到更多有效的真实信息,也可以向审计师传递公司经营状况的信号,从而审计师对其进行审计时,会有依据内部控制信息的执行情况,而增加或者减少实质性测试,延长或缩短审计时间等。如果审计师通过内部控制信息的披露中判断该公司内部控制良好,审计时便认为其控制风险较小,公司在以后的一段时间内盈利能力和经营状况均良好,审计师面临的诉讼的概率就会降低,审计风险也会大大减少,审计师在最后出具标准无保留意见的可能性就会增大。

二、内部控制信息披露现状探析

《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》的颁布标志着我国内部控制信息披露逐渐走向强制性阶段,但是仍有部分公司不能有效进行披露。在2010年后的强制披露阶段,上市公司不得不按照国家出台的相关法律法规进行披露,本文筛选了2011~2013年我国上证A股748家公司的数据作为样本进行研究。

(一)总体质量较低

根据近3年最新数据显示,我国上市公司能够按照相关的法律法规披露内部控制自我评价报告和内部控制审计报告,并且披露的数量逐年上升。但是从数据中仍然可以发现有不披露以及只披露一个报告的公司,并且内控审计报告披露的数量明显低于自我评价报告。同时发现,内部控制存在缺陷的公司也占据着一定的比例,但都能采取相应的整改措施。由此可见,很多公司披露内部控制信息只是流于形式,并没有实质性的内涵,没有真正发挥内部控制的有效性。

(二)缺陷披露较少

通过对内部控制缺陷数据的统计,发现我国内部控制缺陷披露的公司数量较少,且缺陷数量有所增加、程度有所增大。根据我国上证A股的上市公司近年关于内部控制披露的内容发现,大多数公司不愿意披露内部控制缺陷,即使披露其内容也较为简单,只是轻描淡写的几句话概括,如“税务稽查涉及不规范发票、车辆未严格执行事前审批流程”等。可见,上市公司对于内部控制信息披露的动力不足,更不愿意将缺陷告知相关利益者,仅仅是按照相关要求起到监督作用。

(三)披露形式不够规范

《企业内部控制基本规范》中对内部控制评价的内容以及评价程序做了规定,要求企业应该按照程序结合自身特点开展内部控制的评价并公开。但这些规定仅针对信息披露的内容,对信息披露的格式并未作具体要求,这就容易导致披露形式的不规范。此外,大部分公司在编制内部控制评价报告时并不能严格的按照程序执行,存在为了评价而评价的现象,这样就导致了内部控制的自我评价报告可靠性和真实性的缺失,从而也存在着损害信息使用者利益的现象。

三、内部控制信息披露与审计质量的实证研究

(一)数据选择与研究假设

根据信号理论,公司建立良好有效的内部控制机制并能按照规定及时披露内部控制信息将有利于审计师信任其内部控制的有效性以及财务报表的真实性可靠性。这样一来,审计师出具标准无保留意见的可能性就更大,审计质量就越高。根据前文学者的研究发现,审计意见可以作为审计质量的替代变量,故本文选用我国上证A股748家上市公司2011~2013年数据的平均值作为研究样本,并提出以下假设:

假设H1:内部控制信息披露会影响审计质量;

假设H2:内部控制信息披露指数越高越容易得到标准无保留意见。

(二)变量设计与选择

本文利用SPSS软件进行研究,将资产规模、审计费用、审计师是否变更作为控制变量,以增强模型的可信度。本文的研究模型为:

根据样本描述性结果可知,获得非标准审计意见的大概有3%,内部控制信息披露指数最小值为0.333,最大值为4,平均数接近3,80%以上的公司能够对内部控制报告和审计报告进行披露,且有效性较高;同时也可以看出,大部分上市公司的审计单位并非四大,且更换事务所的上市公司还是少数。

(四)变量相关性分析

从表5可以看出,内部控制信息披露指数与审计意见在1%水平上呈显著负相关,说明内部控制信息披露指数越高越容易得到标准无保留意见。同时审计费用、年末总资产均与内部控制信息披露指数呈明显正相关,即审计费用、资产规模越高内部控制信息披露指数越高而审计费用、年末资产与审计意见呈显著负相关,说明资产和审计费用越高越容易得到标准无保留意见,表明了大公司更加注重内部控制信息的披露也更容易得到标准无保留意见。接下来对表6中各变量的多重共线性进行检验:

表6是对各变量的多重线性检验。当0

(五)多元回归分析

通过回归分析检验,各变量的符号与预期符号相同,数据显示,内部控制信息指数、总资产、会计师事务所更换与审计意见系数为负,审计费用、会计师事务所规模与审计意见系数为正。这表明了内部控制信息披露指数越高,越容易得到标准无保留意见,审计质量越高。

(六)研究结论

上述分析表明,我国大部分上市公司能够按照国家相关的法律法规进行有效的信息披露,并且规模越大的公司越注重披露的质量。通过皮尔逊双尾检验得出内部控制信息披露的指数受资产规模和审计费用的影响,即审计费用越高,资产规模越大披露指数越高。资产规模大、审计费用低、更换过会计师事务所且会计师事务所规模大的企业相对更容易得到标准无保留意见。而审计费用对于审计意见的影响是否为线性还需进一步研究。

通过双尾的相关性检验以及回归分析可以得出内部控制信息披露指数与审计意见在1%水平上呈显著负相关,且与审计意见的系数为负,说明内部控制信息披露指数越高越容易得到标准无保留意见,因此两个假设均得到验证。

四、改进对策与建议

虽然我国内部控制制度已逐渐向强制性披露完善,但通过本文对我国上市公司内部控制信息披露的现状分析以及实证研究发现,我国目前内部控制信息的披露制度建设还尚不完善,上市公司的执行情况参差不齐。为此,本文根据前文研究所发现的问题提出合理性的意见以此来提升审计质量。

(一)加强监管部门制度建立

1.完善内部控制信息披露相关制度

我国虽已强制要求上市公司披露内部控制自我评价报告以及注册会计师对内部控制信息的鉴定报告,但是就披露的内容、格式、责任主体等未做统一的规定,导致信息不对称。因此,我国的相关监管部门应明确规定内部控制信息只能披露内部控制自我评价报告及注册会计师对其出具的审计报告。同时,应明确规定内部控制信息披露的格式、内容、信息详尽程度等,并将其统一披露在公司治理结构或者董事会报告中。最后,应该明确由公司董事会和管理当局对内控制度的实施负责。

2.建立相关奖惩制度

我国上市公司内部控制信息披露所存在的最大问题就是动力不够、奖惩不明确导致上市公司对内控的投入程度不够。因此,我国的相关监管部门应该就内部控制信息披露制定一个统一的评价标准,如内部控制评价报告中的五大要素以及缺陷披露情况评判指标。相关部门应该定期对上市公司进行评价并出具评价结论,若评分较低者应该予以惩罚,评分较高者应给予一定奖励。监管部门一定要加强监管力度,出台惩罚制度,明确规定惩罚的主体以及惩罚措施,这样有利于上市公司发现自身内部控制的薄弱点并有利于投资者更好地认定公司。

(二)优化上市公司内部管理

1.完善内部控制建设

管理层应该重视内部控制的建设与实施,及时了解公司的实际情况,多学习内部控制的运行。首先,应该合理明确公司内部控制的原则与目标,保证内部控制机制的完整性。其次,各部门应该积极配合管理层实施内部控制,并及时发现问题,解决问题。最后,公司应该配合相关部门完成审核鉴定工作,不隐瞒实情,真实地反映公司的实际情况,并根据相关部门的认定情况提出整改措施,定期进行完善以提升内部控制的有效性。

2.设置内部审计部门

上市公司可选派专业人员成立内部审计部门,对公司的内部控制的实施进行监督。内部审计部门应保持良好的独立性,对公司进行实时监督并将发现的问题及时上报给董事会。董事会则应该根据内部审计所反映出的问题给予整改措施,从而提升公司的经营状况。同时内部审计部门的存在,也可以为外部审计师提供更多更为真实有效信息,从而提升审计质量。

3.优化公司治理结构

公司治理结构是内部控制有效实施的良好基础和有利保障,也是内部控制环境的组成部分。因此,公司应该优化股权结构、健全董事会结构并完善监事会职能。首先,分散股权集中的现象,降低大股东的持股比例来保护小股东的权利;其次,调整独立董事和非执行董事的比例,提升董事会人员的思想素质,强化对其的约束;最后,应该明确监事会的职责,赋予其一定的实权,让其真正发挥监督的作用。

(三)提升注册会计师专业素养

注册会计师作为第三方的中介机构,对内部控制自我评价报告进行审计并出具审计报告,因此应强化注册会计师的独立性以保证审计报告的可靠性。注册会计师应该不断提升自己专业能力和专业素养,从而能够正确判断公司的实际财务和内控状况。同时,审计师应该避免出现审计费用不足或根据内部控制报告而大量削减实质性程序,只简单地采取控制测试,轻易的出具报告。审计师应该在保持独立性的同时,不受其他因素的影响采取充分的审计程序,逐一进行测试,获取足够的证据来证明自己的判断。

五、结论

内部控制信息披露对审计质量的影响是学术界近几年的研究热点。本文从内部控制信息披露的理论基础即委托理论、信息不对称理论、信号传递理论出发,研究了内部控制信息对审计质量的理论影响。随后,本文通过国泰安数据库查阅了大量的数据,并借助spss和EXCEL对其进行了实证分析,以审计意见作为审计质量的替代变量,研究得出内部控制信息披露指数越高越容易得到标准无保留意见,其审计质量越高。最后根据研究结论提出了合理的对策与建议,对我国上市公司具有一定的借鉴意义。

主要参考文献:

[1]章雁,周艳秋.内部控制信息披露对审计意见影响的研究――基于2011年深市主板上市公司的数据[J].中国管理科学,2013(11):245-248.

[2]袁凤林,尧华英.外部审计对内部控制信息披露影响的实证研究[J].统计与决策.2011(6):148-150.

[3]杨德明,林斌,王彦超.内部控制、审计质量与成本.财经研究[J].2009,35(12):40-50.

[4]聂曼曼.论审计质量概念的重新界定――关于过程质量与结果质量的思考[J].中南财经政法大学学报.2009, (6).

[5]陈丽红,张龙平.行业专门化、客户重要性与审计质量[J].财经论丛,2010(.6):69-75.

[6]肖晓参.上市发电企业内部控制信息披露对审计质量的影响[长沙理工大学硕士论文],湖南:长沙,2013,29-30.

相关文章
热门文章
相关期刊