田永芬

【摘要】随着现代信息时代的到来，我国企业开始利用信息技术来加强企业内部控制管理，以帮助企业应对越来越为激烈市场竞争。信息技术不仅给企业的经营模式和业务带来了巨大的改变，还对财务报表审计对象的生产环境产生了极大的影响。信息技术运用到财务报表审计中之后，使得审计的方法、模式、程序和内容发生改变，传统的人工审核、电子数据审计和计算机辅助审计开始向信息系统审计转变。科学合理的运用现代化网络信息技术，是提升企业财务审计工作质量的有效路径，目前国内关于财务报表审计中对信息系统控制风险的评价的研究还尚不足。因此，本文首先简要论述了信息系统审计，然后分析了财务报表审计中信息系统控制风险评价的目的，并指出信息系统控制风险评价的步骤和内容。希望本文的研究结果能够为我国企业财务报表审计中对信息系统控制风险的评价提供一定的帮助。

【关键词】财务报表审计;信息系统;控制风险评价

引言

财务报表审计涉及的范围比较广，其不仅需要对企业的资产负债表、现金流量表进行审计，还需要对企业的损益表、会计报表附注等进行审计。在执行审计工作过程中需要以遵循相关的原则，即职业道德规范、公平公正、独立自主等原则为出发点，提升自身的专业水平和能力，并在执行工作的过程中对于所获知的信息进行严格的保密。与此同时，还需要在执行会计报表审计业务的过程中坚持以独立审计的原则，并持有职业怀疑的态度严谨制定工作计划，这样才能实施下一步的审计工作。

由于审计人员经验和能力的有限、审计方法不科学以及计算机审计技能的人员不足等原因，企业财务报表审计风险不可避免。在信息化环境下，企业采用信息技术来编制财务报表，这一新方法带来了新的信息系统控制风险，研究我国企业财务报表审计中对信息系统控制风险的评价具有极其重要的意义。因此，本文首先简要论述了信息系统审计，然后分析了财务报表审计中信息系统控制风险评价的目的，并指出信息系统控制风险评价的步骤和内容。

一、信息系统审计概述

近年来，由于信息技术的不断进步，给社会的运行模式以及人们的生活方式都产生了极大的影响。信息技术运用到财务报表审计中之后，使得审计的方法、模式、程序和内容发生改变，传统的人工审核、电子数据审计和计算机辅助审计开始向信息系统审计转变。信息系统审计具有可靠性、安全性等特征，其可以有效实现组织目标。

现阶段，企业内部管理越来越依托于信息系统，造成了利用信息系统诈骗和舞弊的可能性，从而给企业带来了诸多的挑战和考验，同时也增加了企业的风险，例如：控制过程中产生的风险、经营和财务风险等。

企业需要对信息系统的软件、内部控制的安全性与可靠性等多个方面进行核查和评价，发现信息系统运行和管理上现有的问题，从而保障企业信息的安全性。同时，在对企业进行全面的控制和监督的过程中，有效地减少了信息系统所带来的重大风险。

与传统审计一致的是，信息系统审计也是通过分析和评价企业内部控制系统，其促进被审计企业提高信息系统的内部控制水平。信息系统审计的目标不仅包括传统财务报表审计需要完成的目标，还涵盖了保护资产的安全性、保证信息的可靠性、提高系统的有效性、提高系统的效率性以及促进内部控制系统完善等进一步的目标。

二、信息系统控制风险评价的目的

（一）与财务报表审计目的的关系

企业运用信息技术来编制财务报表，涉及的是企业经营的技术层面，并不会影响财务报表审计的目的，但是信息技术环境对财务报表的影响。企业财务报表是依据会计应用系统输出信息而编制的，一般由各种业务应用系统生成，因而财务报表信息的可信赖性很大程度上取决于信息系统的有效性，即企业的经营资源所产生的各项信息能够在企业的经营程序中得以全面地反映。因此，为了确保这些操作系统编制的财务报表的可靠性，则需要对内部控制中的所有环节进行有效地评价。

（二）信息技术环境下的审计模式

受到信息技术的影响，企业财务报表审计工作应该沿用之前的风险审计模式，对评价风险的同时对固有的风险进行评价，并以研究内部控制的基础上评价控制风险，从而确定实践过程中需要测试的关键点。利用信息技术之后，企业的财务报表面临着更多、更严重的风险，因此对信息技术环境下的财务报表审计的风险评价的意义要远远高于传统企业审计。

（三）与信息系统控制目标的关系

在财务报表审计中，信息系统控制目标已经成为一种可靠的标准。信息系统的控制目标包括遵循性目标、完整性目标、机密性目标、维护的持续性目标以及正当性目标等。审计人员需要在全面掌握审计目标和评价的程序，以及达到财务报表目的相关的内部控制。通过企业所属的行业、组织和信息系统的状况来判断审计要点以及相关的信息系统控制目标，对信息系统控制风险的评价应采用交易循环的方式。

三、信息系统控制风险评价的步骤和内容

随着信息技术的广泛应用，使得审计评价工作在原有工作基础上发生了变化，审计人员工作的程序主要对财物报表中进行的风险控制所产生的评价结果为目的。审计工作者在对企业依托信息系统进行风险控制评价时，需要根据自身企业的规模、企业人员利用信息系统的能力，应用程度、信息系统应用过程中所面临的困难、信息化业务所带来的重大作用等进行综合的考虑。可见，信息技术的应用已經成为企业经营生产的过程中的最重要的介质。因此，在对审计报表进行风险控制的评价时，审计人员不仅需要对企业各经营程序环节所产生的控制风险进行评价，还需要对与财务报表制作和应用相关的内部人员和各环节进行内部控制，而想要对控制风险进行全面的了解和评价则需要采用业务循环方法。

在信息化环境下，审计人员实施的程序是财务报表审计中以控制风险的评价为目的的程序。审计人员在进行信息系统控制风险评价时，不仅要考虑企业规模的大小，还必须综合考虑企业对信息系统的利用程度和复杂性以及信息化业务的重要性。在许多企业中，信息技术是经营程序中不可缺少的，因此，审计财务报表评价控制风险时，审计人员应将企业的经营程序中与财务报表相关的内部控制作为对象，对控制风险的了解和评价要采用业务循环法。

（一）掌握信息系统重要的内部控制情况

审计人员在了解企业的信息系统内容和使用状况后，应从企业内部控制的五个构成要素来了解信息系统的内部控制，主要包括对控制环境的了解、对风险评价的了解、对控制活动的了解、对信息传递的了解以及对监督活动的了解这五个方面。

（二）初步评价审计要点中的控制风险

审计人员在基于对企业内部控制进行全面了解后，首先，按照审计程序最为重要的环节进行控制风险的初步评价;其次，根据自身的需求，制定严格的审计计划和程序，以全面地明确出审计人员在进行信息系统控制风险评价的有序流程，还可以进一步明确出业务处理控制的控制测试程序。

（三）实施制测试程序

在审计人员全面了解审计要点中相关的内部控制的基础上，首先对内部控制的完善状况的控制评测试程序进行完善;其次，根据对审计要点中的相关内部控制情况进行深入分析后，以及对完善性的控制测试，实施对控制运用有效性的测试程序，从而取得评价内部控制的有效性的审计证据。

（四）综合评价信息系统控制的风险

审计人员进行与信息系统有关的控制风险评估，以明确与内部控制有关的信息系统控制目标在多大程度上得到实现。同时，审计员了解内部控制的不足和无效性对财务报告能够产生一定的影响，并确定是否需要额外的控制评价程度。而当信息系统相关内部控制存在较大缺陷时，审计人员需要根据企业报告中存在的缺陷给予一定的意见和改进。

四、结论

随着现代信息技术的发展，企业纷纷采用信息技术来编制财务报表、进行内部财务控制，有效地提升了企业财务审计工作质量。信息技术给财务报表审计带来了极大的冲击，由于审计人员经验和能力的有限、审计方法不科学以及计算机审计技能的人员不足等原因，企业财务报表审计风险不可避免。因此，研究我国企业财务报表审计中对信息系统控制风险的评价十分重要。本文首先简要论述了信息系统审计，然后分析了财务报表审计中信息系统控制风险评价的目的，并指出信息系统控制风险评价的步骤和内容。希望本文的研究结果能够为我国企业财务报表审计中对信息系统控制风险的评价提供一定的帮助。