信息化管理审计与传统审计相结合的实践与体会

彭凯

【摘 要】随着市场经济的发展，企业面临的风险日益增多，传统的审计模式已无法满足现代企业经营和发展的需求。在这种条件下，信息化管理审计模式应运而生，并在我国企业中得以广泛运用。在信息化管理审计的过渡阶段，两者相结合十分必要，本文旨从传统审计与信息化管理审计的比较，结合目前审计实践，浅谈自身体会。

【关键词】传统审计；账项导向审计；制度导向审计；信息化管理审计

审计模式是审计导向性的目的、范围和方法等要素的组合。纵观历史，审计模式的演进不是一种替代与更新，而是不断满足管理需求的过程。伴随审计期望差不断扩大的趋势，变革制度基础审计模式，克服其自身缺陷，探索符合我国实情的审计模式成为当务之急。

一、传统审计模式与信息化管理审计模式的涵义

（一）传统审计模式

账项导向审计与制度导向审计是传统审计模式发展的两个不同阶段。账项导向审计以会计账簿为导向，以验证簿记并发现员工的偷窃行为为审计目标。审计人员从审计期间会计事项所依据的相关会计原始凭证入手，追查到记账凭证、会计报表等会计文件的形成，验算其记账金额、核对账证、账账、账表，如果它们之间能够勾稽相符，就认为财务报表所反映的情况是真实的。

制度导向审计模式是建立在被审计单位管理当局与审计人员之间的“无利害关系假设”基础上的，即假设被审计单位管理层和审计人员都希望建立能防止和揭露差错和舞弊的内部控制制度，就是检查内部控制制度的合法、合规性和有效性。

（二）信息化管理审计

传统信息化管理审计、现代信息化管理审计是信息化管理审计发展的两个不同阶段。传统信息化管理审计又称为控制信息化管理审计，是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法（账项导向审计和制度导向审计）之中，进而获取审计证据，形成审计结论的一种审计取证模式。

现代信息化管理审计又称为风险基础战略系统审计，是以被审计单位的战略经营风险为导向，按照“战略分析-流程分析-经营业绩评价-财务报表剩余风险分析”的基本思路，将会计报表重大错报风险和经营风险联系起来，从而提出了审计人员从源头分析和发现会计报表错报的观念。

二、传统制度导向审计模式与现代信息化管理审计模式的比较

（一）两种模式的审计理念不同

1.传统制度导向是个别评估审计风险，控制检查风险

传统制度导向模式将审计的重点放在对内部控制制度各个环节的审查上，目的是发现内部控制制度薄弱之处，找出问题发生的根源，然后针对这些环节扩大检查范围；对内部控制制度有效之处，则可缩小检查范围或简化其审计程序。这一模式着眼于对内部控制制度整体的了解与分析，发现与某些内部控制相关的会计信息的系统性错误，从而提高审计效率，即在“审计风险=固有风险×控制风险×检查风险”这一模型中，在一定的审计风险估计下，通过评估固有风险和控制风险的综合水平来控制检查风险。

2.现代风险导向模式是系统分析审计风险，应对重大检查风险

现代风险导向模式合理地揚弃了作为制度导向审计模式基础的“无利害关系假设”，把指导思想建立在“合理的职业怀疑假设”的基础上，立足于对审计风险进行系统的分析和评价，并以此作为出发点，制定审计策略和与企业状况相适应的多样化审计计划，将风险考虑贯穿于整个审计过程，着眼于全面的控制测试，而不仅仅着眼于内部控制制度的执行效果（即符合性测试）。此时，审计风险模型修正为：“审计风险=重大错报风险×检查风险”，在这种模式下，审计人员审计的主线是对重大错报风险的识别、评估和应对，保持职业怀疑态度，充分考虑可能导致会计报表发生重大错报的情况。

（二）两种审计模式的审计技术方法不同

1.传统制度导向模式是对内部控制的实质性测试

传统制度导向模式认为，评价某项管理当局认定的固有风险所做出的努力，将超过使用较低的固有风险而导致审计程序减少所带来的好处，因此往往将固有风险估计为最高水平，转而将审计重心转向控制风险和检查风险，因此审计的起点为企业的内部控制，这样审计资源就会集中在控制测试和实质性测试中，也就是说，传统审计模式在技术方法上更注重对账户余额和交易层次风险的评估，主要依赖于实质性测试。

2.现代风险导向模式是对经营环境可能带来的重大风险的分析和测试

现代风险导向模式审计模式针对传统的审计风险模型的缺陷进行了修订，将固有风险与控制风险合并为重大错报风险。这就要求审计人员从宏观上去了解被审计单位及其经营环境（包括内部控制），以充分识别和评估会计报表产生重大错报的可能性，从而针对重大错报风险来设计和实施控制测试和实质性测试程序。此时审计的起点为企业的经营战略和业务流程，审计人员获取审计证据的程序扩展为总体审计程序和具体方法。总体审计程序除了传统审计模式下的控制测试和实质性测试以外，还包括了风险评估程序。具体方法中，尽管也包含传统审计模型中的诸多审计取证方法，如检查、观察、询问、函证等，但核心是分析性复核，此时的分析性复核不再局限于对财务数据进行分析，也要对非财务数据进行分析。

三、传统导向模式必将过渡到风险导向模式

传统制度导向模式将防止和揭露差错舞弊的主要责任由审计人员转移给了被审计单位，把“查错防弊”的希望寄托在诚信的公司管理当局所设计和执行的内部控制制度上，其局限性是显而易见的。由于现代风险审计要求审计人员对审计对象管理的高度宏观掌控和业务流程的精细了解，需要一套完善的风险内控制度作为基础，需要高职业判断能力和分析能力的审计人才，因此传统审计与风险审计相结合是逐步过渡到风向导向审计的必经之路。

四、信息化管理审计与传统审计的结合

信息化管理审计模式提供了一种既能保持审计效果又能提高审计效率的全新思路。从实务界来说，在观念上要认同和接受，在方法上要循序渐进，通过实践逐步摸索、完善，将传统审计与信息化管理审计有机的结合起来，贯穿至审计程序始终。

（一）审前调查阶段

在审计之前，审计人员要充分关注和评价以下事项：被审计单位基本情况、可能存在的风险等。这种以关注和评价风险为核心的谨慎行为构成现代审计审前准备的重要内容，同时也体现为一种风险意识。事实上，信息化管理审计的关键是评价企业风险，包括：经营风险、财务风险、行业风险、企业战略目标风险、政策风险等。因此，在实务中，我们要考虑信息化管理审计模式下的固有风险，谨慎进行审计。

（二）计划阶段

首先，转变观念。从“成本效益”为主转向以“风险导向”为主的理念判断原则，不应将审计成本的高低作为减少必要审计程序的理由，视防范风险为底线。其次，适时修改审计计划。整个制定计划的“循环”始终以“风险”为转移，确立风险导向的逻辑思维过程，进而设计具针对性的审计计划。如：确定风险-评估风险-针对风险设计审计程序-获取证据-评估证据-专业判断审计结论等，更深刻地理解信息化管理审计理念。

（三）实施阶段

1.符合性测试阶段

以风险评估为中心，增加、完善对经营风险、固有风险的评估。受时间和成本的限制，一开始就将审计风险置于重要位置显得至关重要。信息化管理审计要求我们根据风险评估的思路，对内部控制进行评估，符合性测试的过程要将目前的控制与策略计划、风险评估联系起来。这样既可以把审计资源集中于高风险的审计领域，又可以提高审计效率。

（1）对经营风险的评价不是直接评估重大错报的概率。是从经营风险评估入手，考虑如下因素：持续经营能力、经营风险对审计风险的影响、会计政策等。经营风险是从经营分析中产生，经营分析过程实际上是咨询发现问题的过程。因此，从经营风险中能更有效的发现财务报表潜在的重大错报。

（2）对固有风险的评价应关注：一是了解企业发展的背景及经营业务，如产品、技术、客户等；二是分析企业发展的外部环境，如政策限制；三是分析企业经营者的诚信风险，不诚信的管理人员通常会有操纵财务报表以达自己目的的倾向，从而使固有风险增加；四是分析企业的战略目标、实施措施及其存在的风险，信息化管理审计的固有风险不同于传统审计固有风险的一個主要内容就是战略目标风险，战略目标实现的风险越大，其固有风险评估得也应越大。

2.实质性测试阶段

（1）实施针对性审计程序。不能机械照搬审计程序准则中规定好的程序，应当在了解和分析被审计单位基本面、政策面的基础上，根据风险评估结果，专业判断被审计单位的重点审计领域和风险点，实施针对性审计程序，必要时可实施程序组合策略。所有程序切分成以下三种：基本审计程序、补充审计程序和替代审计程序。针对特殊的风险点实施个性化审计程序及程序组合。

（2）规划审计范围。由于审计人员关注整个内部控制，导致审计范围有无边界倾向。合理规划审计范围就显得尤为重要。应把审计风险、内部控制评价、审计程序结合起来，按照审计风险、审计取证、审计重要性之间的关系，合理、科学地确定需要审计取证的范围和规模。一般以关注风险为转移，采取措施获取任何有关被审计对象不合理风险或可能伤害他人的信息；对任何非正常风险予以特别关注；采取一切可行措施来消除那些对审计意见有重大影响的疑点。敏感项目、重大投资项目往往是高风险集中的地方。

（3）扩大分析性复核审计取证功能。传统审计对信息的再加工重视程度不够，分析性复核主要用在报表分析上。在信息化管理审计理念下，分析性复核功能扩大，并走向多样化，不再是对财务数据进行分析，也对非财务数据进行分析。还可以充分借鉴现代管理方法，将之运用到分析性复核程序中，这将使得对重大错报风险的评估不再孤立，从一元评估发展为多元评估。假如在分析性复核时能多采用几种方法，就会使风险评估的结果更加可靠。在风险评估中，重大错报风险较低时，则在进行实质性测试时就可以减少对接近预期值的账户余额的测试，将重点放在例外事项上，对它们进行详细审查。

（4）注重分析、评估审计证据与获取审计证据重点的转移，并据此决定下一步的审计程序或直接得出审计结论。在审计实务中，一些审计人员注重资料的收集和证据的获取，轻视对证据的分析、归纳和判断，在工作底稿中缺乏审计轨迹和专业判断的思想记录，使得审计过程低效率、高成本、高风险。整个审计工作应以风险评估决定审计证据的质量及数量，当风险评估越高时，所需要的审计证据数量也越多，证明力越强。另外，由于审计重心向风险评估转移，会计师必须从外部取得大量的证据来证实风险评估的恰当性。要建立自己的数据库，更多从搜集外部证据入手。

（四）报告阶段

要加强与被审计单位、相关职能部门的沟通，谨慎出具审计报告。实务中诱发审计人员发表不恰当意见的情况主要源自外部环境，而审计人员几乎无力与外部环境相抗衡。致使常常出现审计意见被购买的事例。因此，应当加强与职能部门的沟通、协调，最大限度降低审计风险。

五、信息化管理审计与传统审计相结合的体会

（一）信息化管理审计可以弥补传统审计的不足

信息化管理审计是在对过去审计实践的总结和归纳的基础上发展起来的，是对账项导向审计和制度导向审计的继承和发展，弥补了传统审计的诸多缺陷。信息化管理审计的目标是将审计风险降低至可接受水平，为此，信息化管理审计强调审计战略，要求制定适合被审计单位业务的审计计划；要求不仅应检查与会计系统有关的因素，而且应检查企业内外各种环境因素；不仅应进行与会计事项有关的个别风险分析，而且应进行涉及各种环境因素的综合风险分析。作为一种新的审计理论，与传统审计的有机结合将会引起现行审计方法和程序的重大变革。

（二）充分利用分析性复核，贯穿于审计全过程

信息化管理审计将被审计单位置于一个大的经济环境中，运用立体观察的理论来判断影响企业经营风险的各种因素，从企业所处的行业状况、监管环境、经营目标、战略规划到经营方式、业务流程等内外部各个方面来分析评估审计的风险水平，把被审计单位的经营风险植入到本身的风险评价中去，并贯穿于审计的全过程，从而在审计过程中把重点放在审计风险的评估上，并通过审计程序把审计风险降低到审计人员可以接受的水平。