中铁大桥局集团有限公司  范经华  谢朝松袁维平 张玲

    内容摘要：信息化发展，对施工企业内部控制带来了深远地影响，尤其影响到内部控制审计的五要素，使施工企业内部控制审计迫切需要更新审计思维，创新审计手段，加强对施工企业信息系统控制，做好信息化环境下施工企业内部控制审计。

关键字：信息化  施工企业    内部控制审计

信息化发展推动了施工企业管理水平的提高，会计电算化、管理信息系统、企业信息系统、企业资源规划等信息技术在施工企业日益广泛和深入，使施工企业的组织形式、管理体制、控制要点等发生了重大变化。在信息化条件下，加强项目内部控制审计具有重要意义。

一、信息化环境下施工企业内部控制的特点

    （一）数据和信息的获取自动化。在传统方式下，数据和信息的取得主要靠人工清点或使用仪器测量，手工记录各项原始会计数据和经济信息。在信息化条件下，可以利用传感设备全自动地获取所需数据或信息。如：用全自动声测设备检验钻孔桩深度和强度，用全站仪测量人工难以完成的测量施工，用自动监控装置代替人员值班等。由于自动传感设备具有高度自动化、准确性高、24小时不间断、数据实时获取、不受恶劣环境影响等优点，为施工企业实施更有效的内部控制提供了基础。

    （二）业务流程的自动化。施工企业网上银行开通，方便了资金划拨，lotus notes和协同工作平台OA的运用使办公自动化程度得到了提高，同时一些环节被节省或合并，办公自动化软件的运用，也使施工企业管理职能部门之间的相互交流和联系方式发生了变化，而内部控制的具体措施是根据业务流程的各个环节以及联系方式来进行的，因此，业务流程的自动化必然对内部控制各个要素及控制理念产生影响。

    （三）信息存储方式磁质化。由纸质改为磁盘或光盘。与纸介质相比，磁介质或光介质具有存储密度大、擦写不留痕迹的特点。存储密度大使得施工企业可以集中保存数据和信息资源，便于对其加以保护，但磁盘和光盘也容易毁损，造成数据丢失。在多种情况下，会造成信息丢失或损坏，其中包括运行期间的掉电、机器故障或磁介质物理损坏、病毒攻击破坏、黑客侵入和数据失窃、有目的的人为毁损、备份丢失等。一旦毁损或被盗将使企业遭受更大的损失。

    （四）信息处理的高效化。随着信息化地发展，计算机得到普遍运用，计算机的高速信息处理能力，使得信息处理的速度大为加快，效率大为提高。信息处理效率的提高有利于施工企业实施更复杂更有效的控制措施和控制方法，提高内部控制的效果和效率。

二、信息化环境对施工企业内部控制五要素的影响

    施工企业内部控制五要素是指控制环境、风险管理、控制活动、信息与沟通、监督等。

    （一）信息化环境对施工企业控制环境的影响。在信息化环境下，通过完善的施工企业信息系统，使施工企业的董事会、监事会和管理层能更好地进行绩效评价、 针对企业运营情况更快进行公司决策，从而达到公司治理目标。信息化将使施工企业组织结构趋向扁平化，管理层次减少。

    （二）信息化环境对施工企业风险评估的影响。施工企业的运营管理越来越依赖于信息系统，尤其是作为施工企业管理核心的工程项目管理和财务管理、合同管理、市场开发等的信息化程度越来越高，信息化在企业中的作用日趋重要，信息化环境促使信息存储高度集中、单位时间传递的信息量大为提高，这使这些都增加了与信息资产和信息系统相关的风险。信息化环境下，如果信息系统失灵或崩溃，重要信息被窃，都将给企业带来不可估量的损失。

    （三）信息化环境对施工企业控制活动的影响。信息化环境下施工企业的控制活动可分为两部分：自动化业务控制和信息系统控制。自动化业务控制是指生产经营过程中的全自动仪器和设备的采用，如自动化砼工厂、线性监测器等。信息化环境下自动化业务控制的形式和控制手段发生了很大变化。它以计算机程序的形式嵌入于施工企业信息系统之中，对业务的控制由计算机自动完成。信息系统控制是施工企业为了保证信息系统正确性、完整性和安全性而采取的控制措施，其控制对象是企业信息系统，包括计算机软硬件资源、应用系统、数据和相关人员等等信息系统的所有组成要素。

    （四）信息化环境对施工企业信息与沟通的影响。在完善的企业信息系统的支持下，有效地克服了施工企业工点分散不好管理的缺点，互不相识的员工能够更好地取得他们在执行、管理和控制企业经营过程中所需的信息，使员工顺利履行其职责。同时，信息技术也带来了信息过量的问题，以及借助高速信息处理能力造假的问题。

    （五）信息化环境对施工企业监督的影响。施工企业借助信息技术，可以使一部分的监督过程自动完成，并且可能实现实时监督，从而改善目前施工企业母子公司松散型管理的缺点，提高监督的效果和效率。

三、施工企业信息化环境下内部控制审计的要点

    （一）施工企业的信息管理网络内部控制审计。企业配置电脑等软硬件设施并不等于实现了IT治理。IT治理的目标是帮助管理层建立以企业战略为导向，以外界环境为依据，以业务和IT相整合为中心的观念，正确定位IT部门在整个组织中的作用。具体包括制定IT系统管理和操作上相互牵制的岗位守则，比如信息系统管理员与操作员的职责和权限，不相容职责的分离，管理登录日志的质量，至少三个月更换一次密码的政策，管理未经授权的远程访问，安装入侵检测系统、网络服务器的物理进入限制、灾难恢复计划的测试等。通过健全性测试、符合性测试及实质性测试，评价信息化环境下施工企业的人力资源管理、保密资料管理、招投标管理、合同管理、财务管理、物质机械管理、工程生产管理、安全质量管理、法律事务管理、信息系统管理等各项内部控制的信赖程度。

    （二）施工企业信息资产、信息技术和信息系统的内部控制审计。施工企业先进的施工方案、施工工艺、施工流程和重要财务信息、造价信息管理、投标信息管理均是施工企业的无形资产，是企业的核心保密信息。信息化发展使这些无形资产价值的提高，由于信息的无形性、可拷贝性，信息的泄密不易被发现。这要求企业有严格的保密制度，重要岗位保密职责要写进员工的劳动合同。实行不相容职务的人员分离制度。做好信息资产和信息系统方面的风险评估。减少灾难的发生以及灾难发生时的损失。采用良好的信息系统管理手段和技术降低风险。

    （三）施工企业自动化业务流程内部控制审计。信息化环境下的因交易授权过程不明显而易造成的损失，因此要针对自动业务流程进行监管和独立稽核。信息系统的开发、实施、维护和操作等活动要进行职责分离、监管以及独立稽核，使业务记录的有效性得到保障。

    （四）施工企业对内部控制的自我评估体系审计。施工企业不定期或定期地对自己的内部控制系统进行评估，评估内部控制的有效性及其实施的效率效果，以期能更好地达成内部控制的目标。如当前通常采用绩效考核评价体系就是很好的审计评价指标。通过自我评估体系发现哪里存有缺陷以及可能引至的后果，然后采取行动改进这种状况，对于施工企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等都有着积极的作用。

    （五）业务系统与财务系统的数据转换环节审计。信息化系统中，业务系统与财务系统之间的数据传递可以实时进行，也可以分批完成，极易出现数据不一致，所以系统之间的数据转换应该是审计的重点之一。另外，有些施工企业的信息化系统采用多家软件厂商的产品，业务系统与财务系统之间的数据传递需要借助外存（如磁盘）或局域网上不同数据文件之间转换等方式来完成，对这样的系统一定要防止并及早发现转换过程中的错弊。

    （六）动态在线的内部控制审计。信息化系统中，帐务处理是实时进行的。尤其是信息化系统，在同一时间可能有多个用户执行同一项功能、调用同一个数据文件，而系统只记录下最终的结果。若审计时只对静态系统进行审查，不进行有关运行程序、数据文件的联机实时审计，有时就难以发现存在的问题。因此对于重要业务的处理、关键的处理程序、业务人员的上机操作记录等应该加强动态审计。信息化系统一般本身都提供了一定的审计功能，一旦发现非法的或有超越网络授权的操作行为，就会记录入侵者的登录用户名、IP地址、登录日期、时间等信息，并寻找到非法用户曾经潜入系统内部的痕迹。利用大型数据库管理系统开发的应用软件也能对登录系统的用户及其使用系统的情况进行一定的监控，如哪些用户使用了系统、进行了哪些操作、操作的次数、登录及退出系统时间等。审计人员可以实时检查系统存放这些信息的审计踪迹表和系统日志文件，充分利用这些线索。同时，还可以利用专门软件进行重要数据的动态跟踪，比如利用Excel软件就可以实现一些简单的跟踪和分析。

    （七）所有与信息系统有关的部门及人员的内部控制审计。与信息系统相关的部门包括信息系统管理部门、维护部门和使用部门。相关人员包括网络管理员、系统管理员、数据库管理员、软硬件维护人员、系统操作人员、档案保管人员及机房保安人员等，对这些部门和人员进行安全意识教育及监督管理对于降低审计风险是至关重要的。

四、施工企业信息化环境下内部控制审计的措施

    （一）加强信息系统控制，实施施工企业信息系统审计。
    信息系统审计是独立信息系统审计师，为了信息系统的安全、可靠与有效，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向被审计单位的最高管理当局，提出问题与建议的一系列活动。信息系统审计综合运用IT技术与审计理论和方法为信息系统的使用者提供合理的保证。
    信息系统审计主要包括以下几个方面：①评价信息系统的管理、规划与组织方面的策略、政策、标准、程序和相关实务。②企业在信息系统技术基础设施与操作实务的管理和实施方面的有效性及效率，以确保其充分支持企业的经营目标。③逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持企业保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。④评价灾难恢复与业务持续计划，这些计划保证在发生灾难时，能够使企业持续处理业务。⑤应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足企业的业务目标。⑥评估业务系统与处理流程，确保根据企业的业务目标对相应风险实施管理。 

    内部审计机构是信息系统控制最重要的执行者之一。内部审计机构在信息系统的开发、实施、维护和操作过程中应当进行严格的独立审查，并定期对信息系统加以检查，以保证信息系统的正确性、完整性和安全性。内部审计机构应当将发现的问题及时报告给企业管理当局，提高管理当局对信息系统控制的重视程度，帮助管理当局弥补信息系统控制中的缺陷。

    （二）创新审计手段，做到一般控制审查和应用控制审查相结合。在手工处理环境下，单位内部控制的重点就是人及其处理的业务。而信息化环境下，业务处理过程包括了手工处理、计算机系统处理、人与计算机进行交互处理这几部分，单位内部控制的重点变成了人及其处理的业务、人机交互处理过程、计算机系统业务处理过程和不同系统之间信息的传递过程，内部控制的重点和环节发生了很大变化。只有对信息系统的内部控制实施审计，才能了解内部控制运行状况并由此确定后续实质性测试的重点和审计程序。信息化系统中，可以把控制划分为一般控制和应用控制两部分。一般控制是对系统中组织、开发、操作、管理等系统运行环境所进行的控制，通常以制定规章制度、网络安全软件和程序控制形式体现；应用控制是对信息系统的某一具体处理过程施加的控制，主要以程序的形式体现。审计时，应该在对系统—般控制做出评价的基础上，通过读原程序、模拟数据上机测试、上机处理实际业务、采用审计软件等方式测试系统的安全性、控制程序的正确性和有效性。

    （三）加强施工企业内部控制过程审计。随着数字经济时代的到来，作为独立的专门从事经济监督、评价、签证活动的数字经济审计必将大大发展。从而，审计的主要工作将不再停留在对企业财务状况及其经营过程所取得成果的数字本身的审计，而应过渡到对企业财务状况及其经营过程所取得成果的数字的形成过程进行的审计。

五、施工企业信息化环境下加强内部控制审计的思考

    （一）制定和完善相关的法律法规
    在信息化环境下,现有的一些法律法规呈现出滞后性,对信息化内部审计缺乏操作性,因而对保障审计独立性起不到应有的作用,也不能从宏观环境层次上有效地预防外界对审计的干扰。要解决这一问题就必须借助法律的强制力营造一个外在的法律环境,对有损独立性的行为予以法律诉讼和惩罚。法律上最有效的证据是记录业务发生的原件,但在法律上能否接受计算机的电子信息即无纸化信息作为有效的证据,已成为一个国际性的问题。无纸化的电子信息能否作为审计的有效证据,也是亟待解决的问题。这些问题的解决都有赖于政府制定相关的法律法规,对电子信息的有效性进行明确的界定,使信息化审计切实做到有法可依。同时,要不断完善原有的技术规范,统一网络技术管理规范,如对进入网络的信息的格式制定统一的标准和规范,对网络的数据操作制定相应的程序等。还要对审计人员和被审计单位的行为进行约束,对违规操作者进行处罚,培养“公众利益”的法律意识,从而提高审计质量,加大内部审计力度

    （二）提高施工企业内部审计的地位。国家审计署在1995年发布实施了《审计署关于内部审计工作的规定》,施工单位根据要求相继成立了内审机构,配备了审计人员。但是从多年运行的效果看,施工企业内部审计人员普遍感到压力大,工作难做,不好开展。内部审计是施工企业管理体系的重要组成部分,是单位实现自我监督、自我约束与自我调控的有效途径,也是加强管理的重要手段。随着经济体制改革的不断深入,内部审计显得日益重要。要做好信息化环境下的内部控制审计，需要进一步提高施工企业内部审计的地位，发挥内部审计管理与服务职能。

    (三) 研发新的审计软件

为适应信息化环境下的各种软件的发展,必须要提高开发审计软件的速度,加快审计软件更新换代的步伐，开发通用审计软件和专用审计软件,还可以引进计算机审计软件的技术,组织对有推广价值的审计软件进行评审,促进审计软件商品化。一种建立在会计电算化和计算机人工智能技术基础上的计算机审计软件系统——审计专家系统急需被开发出来。一个科学可用的审计软件应具有以下功能：一是管理功能。从审计项目立项、方案制定、审计实施，到下达审计结论，再到档案的归存，都应该能自动完成，实现无纸化审计。二是检测功能。对审计客体财务会计及相关软件进行检测，采集有价值的会计审计信息。三是评估功能。根据输入的数据，能对被审计单位的内部控制制度进行评估，对被审计单位财政财务收支的真实、合法、效益情况进行评价。四是控制功能。能根据审计人员的不同职责，规定和设置其审计权限。
　（四）加强内部审计专业人才的培养
    施工企业的信息化,使内部审计的范围不断扩大,给审计人员带来巨大的压力。施工企业内部审计应以企业经营管理为中心，重点突出，全面审计，不断拓宽审计新领域，创新内部审计理论、更新审计观念、提高审计人员素质，内审人员不仅要懂财务和经营管理，也要掌握信息化前沿知识，创新审计手段和审计思维，加强电子审计和在线审计，参与信息系统的分析与设计，实现审计资料共享，建立审计主体与客体网上信息沟通与传递系统，实现同步化监督。内部审计机构应从现在起就注重从多渠道对现有的审计人员进行培训, 要强化内部审计人员对数据库程序的学习,直接对数据库中的数据进行采集和转换,利用查询语句对财务数据进行分析和整理,完成审计任务,这样就能从根本上摆脱财务软件升级或有意识改动带来的束缚,克服内部审计工作中存在的各种技术问题。加快内部审计人员的知识更新,以适应会计信息化审计的要求。对内部审计专业人才的培养,既包括对内部审计人员计算机专业知识的培养和财务知识、审计知识的更新,也包括对计算机专业人员财务知识和审计知识的培养和计算机知识的更新,促进两者及早合二为一,真正适应信息化内部审计工作的需要。
   

参考文献：

[1]钱啸森，《国外信息系统审计案例》 中国时代经济出版社  2007年1月出版

[2]贾厚光 彭峰，会计信息化环境下的审计研究 《中国审计》2005年第20期

[3]徐政旦，谢荣等，《审计研究前沿》上海财经大学出版社  2002年出版
[4]吴水澎，《公司董事会、监事会效率与内控机制研究》 中国财政经济出版社  2005年出版