《S国际集团会计信息系统内部控制审计的探究》13000字（论文）

S国际集团会计信息系统内部控制审计的研究内容摘要信息技术的快速发展和迅速普及，促使各类企业开始对信息技术使用重视，现如今，以往会计信息系统的内部控制方式和规章制度已远远不能满足企业的实际需求。对企业而言，这是机遇与挑战并存的时代。会计信息系统是企业信息化最重要的一部份，关与企业财务信息数据的输入和输出有着密切的联系，信息系统生成的数据是管理层对对决策判断的重要部分，因此企业信息系统内部控制的流程必须要规范化，会计信息系统内部控制审计必须得到企业的重视。审计的主要目的并非在于查出错误，而是改正企业所存在的问题，为企业提供增值服务，是为了进一步完善企业会计信息系统体系并支撑企业在信息化浪潮中更加稳健的发展，企业必须针对企业实际情况，对会计信息系统内部控制进行审计，同时，企业需要及时调整最新的信息系统内部控制审计的流程、内容和规章制度，以减少因为会计信息系统风险而造成一些不必要的损失，并提高系统的使用效率和服务价值，为企业健康高效发展保驾护航REF_Ref28126\r\h[1]。

本文在文献研究的基础上，先是对会计信息系统内部控制审计的概念、目的等进行说明，并阐述会计信息系统内部控制审计对企业的重要性。通过对S集团工作的实际案例分析，发现集团会计信息系统内部控制审计所存在的问题、分析问题存在的原因，并提出相应的解决措施。关键字：会计信息系统，内部控制，案例分析目录TOC\o"1-2"\h\u15464一、绪论 129437（一）研究背景 125709（二）研究意义 15725二、会计信息系统内部控制审计概述 112149（一）会计信息系统内部控制审计的定义 113624（二）会计信息系统内部控制审计的目标 212683（三）会计信息系统内部控制审计的内容 2100581.一般控制审计 2307092.应用控制审计 228027（四）会计信息系统内部控制审计的重要性 315842三、S集团信息系统内部控制审计 311769（一）S集团信息概况 312636（二）S集团会计信息系统内部控制审计现状 43950（三）S集团会计信息系统内部控制审计的目标 415435（四）S集团会计信息系统内部控制审计的过程 530921（五）S集团会计信息系统内部控制审计结果分析 1127227（六）S集团会计信息系统内部审计问题的成因 1222999（七）S集团会计信息系统内部审计改进建议 1429262四、结论与展望 165938（一）本文总结 1624764（二）展望 1729234参考文献 18绪论研究背景信息技术在企业发展中的作用尤为明显，现代的企业信息系统成为企业发展重要的一部分。无论是企业的生产环节，企业的销售环节，还是企业的经营环节，都存在着企业的信息系统。但信息技术的发展总有两面性，好的一方面为企业带来了信息化，但坏的方面给企业带来了更多的审计风险，比如通过信息网络实施舞弊、造假等行为。在如此背景下，审计工作者不仅要针对会计信息系统的合规性、适用性进行审计，更要对会计信息系统相关的内部控制的规范性进行测试，寻找和发现会计信息系统对重要控制环节的管理，强化企业会计信息系统的有效性REF_Ref28280\r\h[2]。研究意义现将信息系统运用于企业自身业务的公司越来越多，企业通过信息系统的操作完成业务，这严重冲击了传统的审计方式。企业应当加快信息化发展的进程，通过加强企业会计信息系统内部控制审计的有效性，使得会计信息系统内部控制更加完善，为企业经营和管理提供更大的作用。本次研究通过对S集团内部控制进行审计从中发现企业内部控制审计的不足之处，结合S集团公司会计信息系统内部控制审计中存在的不足，对问题进行探讨后提出的解决方案，为其他企业提供可以参考和借鉴的经验。会计信息系统内部控制审计概述（一）会计信息系统内部控制审计的概念会计信息系统的内部控制是为了健全企业会计信息系统的安全性和可靠性,提高会计信息系统在运行时的效率，以及保证生成数据的准确性和可靠性。采取改进方式和技术对会计信息系统优化管理的过程REF_Ref28348\r\h[3]。会计信息系统内部控制审计是针对会计信息系统内部控制和运行而进行的综合审查和评估,实现审计工作流程的规范性和资料的准确性，提高审计工作的效率和质量。其主要评价内部控制中一般控制设计的完整性、健全性和应用控制运行的有效性。（二）会计信息系统内部控制审计的目标对企业信息系统内部控制有效性的确认、评估是企业会计信息系统内部控制审计的目标：查看企业会计信息系统内部控制是否有效实现，其业务流程、程序的规范性；内部控制系统的流程是否遵守国家的各项法律法规和规则的制定；高效率地使用组织资源；以确保企业内部信息质量安全，有效地保护企业的各项资源REF_Ref28411\r\h[4]。会计信息系统内部控制审计的内容会计信息系统的内部控制审计按照内容分类，主要分为一般控制审计和应用控制审计。一般控制审计实施组织控制的审查，确认企业组织机构的构建是否具有合理性，员工的的权利和责任划分是否明确，且构成相互制约牵制，通过实地检查，在业务的实际处理过程中，查看操作人员的业务操作流程是否错误、以及其他有关人员是否存在舞弊现象。系统开发与维护控制的审查，在会计信息信息系统开发和维护阶段，审计人员应对其系统开发过程是否符合相关标准和要求进行全程监控，软件是否有经测试符合要求后投入使用，对于修改的部分应有详细的相关文件，主要是为了日后能更好的适用于企业的业务流程中。系统安全控制的审查，会计信息系统应采用安全性能良好的数据管理系统和操作平台，审计人员采取实地的查看和权限审批表，确认系统的运行环境是否安全，非操作人员查看系统的数据和文档资料是否有经过合格的审批手续REF_Ref28518\r\h[5]。审计人员通过实际操作流程，确认操作人员、口令、使用权限管理是否严格完整。只有通过标准的操作流程才能获取有效的数据信息。应用控制审计业务流程审计，所开发出来的会计信息系统通常都有经过反复测试拥有比较完整的业务处理流程。审计人员应该向有关人员获取资料以了解实际的业务处理方式和实际的运行状况。输入控制的审计，主要保证每笔数据有经授权且输入数据的合理性、完整性，若是有错误能被系统自动检测拒绝。输出控制的审计，保证输出控制信息是准确、无误的后由经批准的人员通过网络发送、拷贝等方式送到指定人员手中。审计人员应对输出日志随机抽查，确认数据的合理性及人员授权是否合适。（四）开展会计信息系统内部控制审计的重要性被审计单位实行信息系统内部控制审计的重要性体现在2个方面，一方面采用信息系统内部控制审计的措施可以发现企业信息系统内部业务控制的薄弱之处，企业自身业务流程的不规范，企业内部控制审计实施时总体情况的不足并提出改进建议、措施，促进被审计单位会计信息系统内部控制制度的建立、健全；减少被审计单位在信息系统内部控制审计时的所耗用的时间和成本，以提高被审计单位的审计效率和效果，提高被审计单位信息系统的效益。另一方面，信息系统审计在保护了系统环境方面起到了积极性的保护作用。审计人员在对信息系统内部控制中的业务流程、系统软件等资源进行审计，以确保业务处理的合理性、数据的真实可靠性、系统安全性和合法性，对检查监督出来的各种问题予以揭露，提出改进建议，规范其不合理的行为，减少数据的非法破坏，促进会计信息系统的高层次发展REF_Ref28600\r\h[6]。S集团信息系统内部控制审计（一）S集团信息概况S集团成立于1991年，是一家集地产开发、酒店文旅、商业运营、生活服务、大健康、智慧出行等产业的大型综合性跨行业的国际企业集团。企业以“平台+投资”为战略驱动，并在儿童、教育、金融服务、AI科技等领域投资布局，形成“大消费、大文旅、大健康、新科技”四大主航道业务，构建起幸福产业生态圈。到2021年底，S集团已在中国大陆投资3000余亿元人民币，多次被评为“中国企业500强”。（二）S集团会计信息系统内部控制审计现状自2017年年底ERP系统在S集团正式开始使用，该特大型网络信息系统在集团正式运行，集团财务管理信息系统实现了核算的一体化、网络化。为了有效支持S快速发展为核心诉求，集团2019年在应用了中兴新云财务系统，使集团资源管理在ERP系统下各个业务板块得到了更深层次的融合，专业系统的数字化程度不断增强，强化了企业各部门的控制和监督，不仅将公司经营活动的实际情况如实体现出来，还为会计核算提供财务、经营管理等方面的信息，从而确保会计核算过程的准确性和数据的有效性。目前，S集团己将审计信息集成系统应用于企业，该系统不仅可以监督审计实施流程，还可以对审计过程中对业务量和进度进行同步备份处理，保护审计工作底稿。该系统的运用减少了企业对企业审计档案的管理成本，提高审计效率，规范审计过程，加快了审计人员在审计过程的速度，提高了工作效率，还减少了审计人员的费用支出，增加了审计的绩效。但是集团的内部控制审计依然还存在问题，比如缺少对会计信息系统内部控制的效益性评估，员工权责分离控制领域规范性不强等，只有及时解决这些问题，内部控制审计才能进一步发展。整体来看，在信息化制度的大力推行下，集团内部控制审计的监督评价成效已经有显著的效果，对各项业务流程和数据有更为深入的了解，内部控制审计的质量和效果不断提高。（三）S集团信息系统内部控制审计的目标S集团针对会计信息系统内部控制开展专项审计的主要目标是通过搜集、评估证据，对会计信息系统内部控制的规范性、有效性进行检验评估，并对相关人员的操作行为是否合规是否按照规定进行检查。大致上是3部分:第一，判断集团信息系统组织架构及员工岗位职责的划分是否足够清晰，并且具备合理性，是否有按照规章制度的执行规范以及时施有效的监督；其二，评估信息系统的一般控制，判断信息系统的开发与运行制度的过程的有效性，在信息系统运行管理的合规性，在信息系统的访问上是否保障了安全，日常运行过程中是否遵守了操作规范REF_Ref28711\r\h[7];最后，评估信息系统的应用控制，对应用系统进行详细的测试，保证数据处理完整、准确生成以及确保数据的准确性、完整性、有效性、可验证性、可靠性REF_Ref28881\r\h[8]。（四）S集团会计信息系统内部控制审计的过程1.前期工作组织开展审计前期调查，拟定审计总体方案。在项目开展前期，内审部门需要结合审计项目的特点，进行前期调查，制定相应的总体计划，成立专门的审计小组，并对审计范围的确定、审计时间的安排、重点的审计对象以及审计人员的指派作出明确的安排。审计通知书至少要在审计开始前三天送达被审计单位。审计人员根据制定的方案，对收到的资料进行研究和分析，确定审计对象，以及对该目标执行的审计程序。在审计前期对项目风险进行评估，通过执行既定的程序，获取审计风险的评估结果，并根据该结果制定审计方案，如表3-1.表3-1审计方案设计审计项目内部控制审计审计期间2022.3.1-2022.3.28审计方式现场审计被审计单位信息科技部审计目标确保信息系统的可靠性、信息系统内部控制流程的规范性以及生成数据的准确性审计范围信息资产的管理、账号与权限管理、突发应急计划、信息安全、中心机房管理、会计信息系统项目管理审计具体内容序号项目内容审计程序资料部门1信息资产的管理采购订单及信息部统计清单，查看信息资产的完整性信息资产销单采购部2信息资产的报废处理手续、审批权限是否完整资产报销申请单/报告信息部、财务部3对于信息资产的异动、使用、保管、审批权限是否完整资产异动表/信息资产保管清单信息部4对于信息资产的维修/维护申请是否合理资产维修/护申请单信息部5账号与权限管理对信息操作人员进行询问，确定账户是否有多人使用的情况账号管理清单使用部门6采用随机抽取系统操作权限人员的账号，查看是否有密码为空或者密码太简单情况账号管理清单信息部7查看账号管理审批单，对于借用账号的审批手续是否完整账号与权限申请表、账号管理清单信息部查看是否有及时修改离职人员的账号信息账号管理清单、人才管理名单信息部、人力资源部2.总体控制环境内部审计人员参照之前风险评估的结果，确认被审计单位成立了为追求目标而成立信息系统规划的独立信息部门。确认信息人员的职责划分是否具有合理性，职位不相容是否有效落实，确认信息系统的内部控制章程是否完整。以问卷调查的方式对信息系统中心的管理控制人员、维护人员进行咨询，了解信息系统相关部门是否和具体业务负责人进行沟通，将战略规划传达给具体业务人员以及公司信息部门权责分离的清况和管理规章的履行情况。在审计过程达到总体控制环境调查，见如下表。表3-2总体控制环境调查表序号控制环境是否不适用备注会计信息系统部门√对于企业建设信息化的明确目标√员工权利和义务的明确划分制度√规章制度系统使用人员的权责分离是否规范√权利和义务业务操作人员的的权限明确√技术人员对于系统数据的操作权限√计算机使用管理规定信息系统数据处理和审核人员的分离√权利和义务信息系统使用人员对于机密文件的查阅权限√系统机密制度业务操作人员信息与企业对外披露的信息一致性√权利和义务企业和员工的保密合同制度√对会计信息系统的关键节点工作是否配置了备用员工√定期的人员考核工作√考核工作表信息系统人员的定期培训√培训手册企业内部对会计信息系统核心技术掌握的人数是否为多人√人员变动后，会计信息系统授权情况是否及时变更√会计信息系统使用规章员工工作变动后，对相关技术文档、机密资料的及时回收√专人管理业务文档3.一般控制审计（1）基础设施控制审计针对S集团会计信息系统的信息中心设施控制进行审计基础设施问题可能带来的隐患，并且对底层设备管理情况、信息系统环境设置状况进行分析。主要对信息系统中心移交的机房设置维护控制章程、操作日志和相关操作流程及硬件设施等业务资料及硬件变更操作文档进行检查以及对机房环境实施实地调研。对S集团会计信息系统审计过程中，完成机房环境调查表3-3.表3-3机房环境调查表序号机房环境调查问题是否不适合备注计算机房或数据存放中心无易燃物√实际情况火灾的预案，消防通道，有灭火器等√实物信息系统机房设立了专门的文档针对突发自然灾害√机房针对性文档火灾及水灾报警存在于机房或者数据存放场所√实物定期的净化处理机房内的空气√恒温及防潮设备存在于计算机房内√实物计算机房中存在独立备份或者备用电源√实物对人员出入机房的行为进行了制度上的规定√机房管理规定与登记表门卫和门禁系统存在于机房以及数据存储场所√只有借助于门禁卡并进行登记操作，人员才能进入机房乃数据存放场所√存在各种假监视设备比如，报警及成像系统等√为了避免电磁辐射会泄漏部分重要数据，将电磁屏蔽配备在一些重要设备当中√安排专人进行重要数据备份的存储工作√明文规定禁止下载或使用来历不明的软件√计算机使用管理规定当软盘或移动硬盘在重要机器上进行使用时，只有查杀病毒误会后才能投入使用√计算机使用管理规定使用外来的软件和数据之前，先查毒再使用√计算机使用管理规定定期对信息系统中的计算机系统进行查毒或杀毒√计算机使用管理规定信息系统的开发、维护、变更审计通过对会计信息系统中心管理人员进行座谈了解被审计单位应用开发系统的可研究性、成本效益分析、风险评估等报告，是否对项目可能出现的各种风险进行分析，查看相关的分析结果是否符合其管理部门的要求，并查阅会计信息系统中心提供的相关文件，查看文件是否正确完整。对于项目的管理工作，以某种模式进行管理，获取管理人员职责分配表以及项目的框架文件，对管理人员的组成进行检查，确定负责项目进度与控制的管理人，明确每个人的权利和责任。以选取的系统开发项目为样本，取得立项时的审批文件，检查该系统开发项目的立项是否经过了需求分析，以及该需求分析是否通过了部门负责人的审批REF_Ref28995\r\h[9]；后续期间，应用是否符合员工需求，收集用户的意见，是否有变动要求，若是有变动，则需要检查变更记录的内容，已确定变更的授权的情况，对于缺少的测试分析报告等资料，则要求系统开发商补齐。信息系统运行管理审计在日常工作中，系统的运行要与系统开发和维护分离。获取信息技术部门的人员列表，检查信息系统运行开发人员和维护人员是否是为不同个人，从而保证信息科技部门的内部岗位制约制度。在审计过程中围绕线上系统的日常运行管理，与运营人员座谈，完成对管理层运行工作的检验，完成信息系统运行管理调查表，表3-4。表3-4系统运行管理调查表序号控制措施调查是否不适用备注操作人员经过培训√培训手册岗位职责分离，定期轮换√授权用户访问√计算机使用规定终止离职人员所有访问√专人管理文档制定详细的上机守则、运行操作说明√计算机使用手册、机房管理规定按照法律法规要求保存数据√计算机自动存档系统运行日志按时记录状态√计算机自动存档故障运行和维护记录√机房管理规定信息系统运行服务水平的考核√信息系统运行情况的连续监控√只有得到授权处理后，才能查看、使用信息系统的数据和软件√机房管理手册数据备份及故障处理√实物对于重要性文档的专门保管√内部专门人员负责是否及时进行系统维护和系统升级√升级方案信息系统安全审计管理安全、人员安全以及技术安全是信息系统安全的三个部分。首先，查看企业管理机构的岗位设置、人员的职责以及对资源的分配，判断该部门是否能够为信息系统的安全提供有力支撑。检查是否有对各类信息系统进行风险评估，以及信息管理系统安全管理工作的有关制度的制定和有效实施REF_Ref29064\r\h[10]。第二，通过对人员管理措施、员工的培训和信息系统安全教育进行审计，检查内容为员工的培训计划，岗位职责手册，安全教育宣传册。以了解岗位设置是否合理，是否做到分工明确，岗位不相容。第三，对网络安全管理规定、日志记录、操作流程、防火墙及虚拟局域网的相关配置文件进行审计查阅操作，掌握网络安全进行控制时所采取的主要方式。重点检查的内容涉及：逻辑、生产网络物理同办公网络是否存在隔离关系；工作流程、业务需求是否可以通过网络得到满足以及其如何对存在异常的端点进行隔离处理；是否正确设置了关键防火墙安全参数等REF_Ref29119\r\h[11]。4.应用控制审计（1）业务流程控制审计在采用访谈和现场操作等方法了解S集团应用系统的业务流程。查看企业对于业务授权说明、会计信息系统使用手册、审批流程管理规定等资料，对于集团会计信息系统业务授权和审批流程有详细的了解；对用户访问权限控制检查和业务授权控制测试进行测试，确定公司用户授权以及职位不相容设置的合理性。（2）应用控制识别和测试审计人员根据前面分析的业务流程，识别控制活动。审计查阅了信息部门对会计信息系统操作手册、业务流程指导，功能说明书等资料，确定重点对系统主数据中的核心业务实体，如总账总账系统、销售系统和期末余额、本期发生额等代码参数进行审计。通过座谈、查询相关资料等方式对于数据的输入、处理和输出控制获取交易的数据的范围、方式和录入过程。查阅收费系统操作手册、业务处理流程图、数据流程图和功能设计说明书等资料检查数据处理控制。审计人员根据识别的应用控制属性和控制活动描述，对其进行测试。采取数据测试法，在会计信息系统正常办理业务的情形下，第一步将测试数据录入内控流程，使之贯穿全流程和所有关键环节，把运行结果数据与设计相比，从而发现内控流程的不足REF_Ref29119\r\h[11]。（五）S集团会计信息系统内部控制审计结果分析1.物理安全存在风险环境安全是信息系统的最基本的要求，服务器管理机房的安全是一切开展有效工作的基础。通过企业进行总体环境审计（表3-2）时了解到，会计信息系统中心办公场所与同源机房不在同一地点，数据中心只能对关键系统数据的进行备份，如果出现紧急停电情况，在没有备用发电机的情况下，很可能出现因停电而造成的短期数据丢失，且备用发电机需要临时从其他地方调运，因此该环节存在风险；机房没有门禁、监控或安全警报等且门禁卡存在非持卡人使用的情况，有时运维人员为了便利会临时向操作人员借用机房的门禁卡，机房这个重要的设备，如果有外部人员混入进行破坏，则可能有的数据破坏、泄露等风险。审计人员与相关负责人进行了沟通，建议缩短备用发电机的调拨距离，以免意外停电对导致重要数据丢失；对监控点安装视频监控，可以实时对机房进行动态监管，并对所有进入机房的人员实施登记制度，配合门禁制度，避免设备破坏和数据泄露的风险。2.风险评估程序执行不够严格S集团在开展信息系统内部控制审计风险评估时，并没有对内部控制方面方面的全面落实，在一些次要审计方面很大程度上依赖于主观判断，不符合标准的风险评估程序，因此在一定程度上可能会影响了对集团的风险评估，以至于不能发挥其识别和预防重大风险的作用。一些内部控制当中的风险，存在反复发生的情况，如果发现后及时解决，可以减少大量的资源浪费，责任的划分存在不够明确的地方，存在空白的管理区域，影响决策效率。3.缺少对会计信息系统的效益性评估在审计过程中，虽然发现了很多会计信息系统在功能设计经济性、权限分配的有效性以及管理制度效果性等问题等并于管理层提出了建议，但是对于会计信息系统全面和局部绩效部分、没有做出评估，集团信息系统的投入资源和产出效益之间的占比关系无法确定，存在很大的改进空间。4.会计信息系统审计技术不足在对集团展开会计信息系统专项审计工作时，审计人员大量采用的审计方法为座谈、检查，其主要是与信息技术部人员进行访谈，对于资料的检查主要关注完整性、及时性，在内部控制上倾向于了解人工控制，对于自动控制的检验不足REF_Ref29282\r\h[12]。因此在审计中对于计算机技术的运用并不是很充分，使得审计的重点偏向于信息系统的管理，受审计技术的限制，对于具体业务的信息化处理方法，如期末期间损益结转等测试不够严谨。5.会计信息系统内部控制审计部门力量不足S集团的内部人员学历高、能力强占很大比例，但是由于会计信息系统审计需要审计、会计、计算机专业的知识较多，财务及计算机专业出身的人员较少并且在较短时间内难以补齐，虽然可以通过自身学习获取理论知识，但是在审计的过程中的实际操作仅凭自学很难使专业性达到要求REF_Ref29335\r\h[13]。同时集团内部门严重缺乏复合型人才，导致很多事项无法做出具备充分依据的判断，总体而言，部门的整体实力存在一定不足。（六）S集团会计信息系统内部审计问题的成因1.信息化审计评价体系及规章制度方面会计信息系统审计绩效评估指标的欠缺。S集团在会计信息系统内部控制审计方面是种被动状态，只有审计人员来检查才会改进。目前的信息系统绩效评价指标，主要集中在信息系统的使用过程上，针对的是投入使用后，信息系统产生的效益，并试图对产生的效益进行量化，以此评价信息系统的绩效。但是，内部审计与公司财务存在较大的差别，财务绩效有较多指标可以进行量化，但目前尚没有建立有效的内部审计绩效评价体系。信息系统内部控制规章制度及法律法规存在滞后性。S集团内部审计制度并没有按照国家最新的规章制度及时的更新，这种滞后性会影响审计工作的质量。这种滞后性主要的原因是因为科技进步使得信息技术快速发展，会计信息系统技术远远超过其他技术的发展速度，使得整体规章制度的完善跟不上信息技术的发展。而且法律的制定和集团规章制度是需要反复研讨以及较长的审批环节，这让审计领域更加难以及时推出与新的信息技术相匹配的规章制度和法律法规，但是审计的进行需要依靠相关的法律法规，否则取得的审计结果缺乏说服力。这也导致审计行业较为依赖法规的制定。所以，审计人员在进行信息系统专项审计的过程中，信息系统内部的审计准则和规定缺少准确性，使得审计工作开展困难，审计人员获取数据和信息的难度更大，审计资料不充分，进而导致审计质量不高，妨碍对信息系统的监督、评价。2.信息系统审计技术方面计算机技术在审计中的应用不够深入。在对S集团在展开信息系统专项审计工作时，主要是通过的大多是是询问有关操作人员的业务流程、查阅有关资料的完整性、与管理人员座谈的方法了解信息系统内部控制各个控制点的实施情况来获取有用的信息，计算机技术在审计的过程中并没有起到很大作用，这种会计信息系统审计模式更倾向于管理层面，而没有专门针对系统设计、系统运行等方面开展实质性程序。通过调查，了解到S集团对于内部审计部门在每年都会开展信息系统审计培训课程，但是培训内容并没有对系统程序、数据结构等进行深入研究只是对信息系统的架构与日常业务执行过程进行培训。作为审计部门的人员严格遵守国家规定的审计准则中的审计程序是必要的，在此情况下，集团的信息系统审计工作虽然得到了全面的开展，但是监督力度可能会弱于没有信息系统下的传统人力审计方式。3.信息系统审计风险评估落实不够风险评估是开展信息系统专项审计工作之前必须进行的流程，对企业的风险进行全面评估之后，才能制定全面、准确的审计计划，以预防重大风险。但内部审计人员常常忽略对风险的全面评估，对风险的重视程度远弱于外部审计，虽然内部审计所承担的检查风险较低，但是风险评估与控制在管理层作出时决策起着重要的参考作用，所以审计人员缺少对企业合理风险评估的专项审计工作是不完整的，要充分发挥内部审计的决策职能，就需要进行完善的风险评估，并根据评估结果提出预防措施和改进建议。4.信息系统内部控制审计人员方面信息系统内部控制审计人员业务培训不够。会计信息系统内部控制审计人员不仅要较强的理论基础还要充分掌握信息技术理论内容REF_Ref29436\r\h[14]REF_Ref29446\r\h[15]。但是参与信息系统内部控制审计的部分是只负责小范围业务的财务人员，接触的业务量有限，且有些工作依然使用手工操作，因此他们的工作成果不符合用信息系统数据处理的要求，信息技术没有起到真正的作用，数据分析的准确性依然无法得到进一步发展。内部控制审计的综合集成不足。集团内部控制审计人员不仅要具备专业的会计和审计知识，还必须要熟知计算机基本的操作技能、法律法规知识以及办公自动化软件操作技能等REF_Ref29534\r\h[16]，但是S集团在适应信息技术方面还存在很大困难，在遇到问题时过度依赖于IT方面的人员；集团内部的审计人员中也缺乏信息化建设人才，导致队伍的整体适应能力不足。IT审计人员只懂得计算机审计，对于法律法规和会计理论的知识不够全面；财务审计人员只懂得财务审计，对于信息技术的了解不足。因此在面临复杂问题时，没有一方能够做出较为合理判断。（七）S集团会计信息系统内部审计改进建议1.完善规范内部审计制度规范信息系统审计流程。应当严格按照标准化的审计流程执行规定的流程，在审计计划阶段，掌握被审计信息系统总体情况、了解集团信息系统内部控制环境、识别重要性、编制总体审计计划的过程进行REF_Ref29602\r\h[17]。加强信息系统建设的协调性。对于信息系统的专项内部控制审计，应当与信息系统的建设紧密联系。在信息系统的建设过程中，明确会计信息化建设所要达到的目标，对于信息系统的建设从全局出发，全面进行布局，各部分做到相互协调。恰当安排审计项目开展的时间，可以更好的利用内部控制审计的监督职能，确保信息系统内部控制建设工作的有序进行，高效运转。信息系统的规范建设、合理使用对于往后的效益审计具有极大的帮助REF_Ref29658\r\h[18]。只有及时进行信息系统审计，才能更好地避免重复建设和资源的浪费，促进各功能模块的互相协调和互相兼容，才能做好信息系统建设与审计统筹规划。加强对信息系统在开发阶段的事中审计。对信息系统的开发阶段的事中审计，相比于事前审和事后审计而言，往往更能发现问题。在系统开发阶段让会计人员与审计人员参与其中，所开发出来的软件更能满足实际应用的问题，减少在实际工作中出现的故障，对于突发的故障也可以让有经验人员尽快修复，降低所需的维修成本。促进企业财务人员在执行过程中实现科学化和规范化，最终可以强化系统的功能REF_Ref29736\r\h[19]。构建内部控制审计信息化评价指标。集团对内部控制审计信息化应用评价指标，应当充分考虑投入和效果的比值。同时，需要考虑初始一次性投入与后续投入的关系，以及系统投入使用后功能是否理想，是否适应实际工作环境。完善内部控制审计规章制度。加大对系统操作管理制度的完善、对会计数据安全性能的管理、对信息管理档案共享的管理以及对计算机硬件操作系统的维护管理等的管理，把这些管理内容统一制定成为有效的管理制度，对相关制度与日常操作程序作出明确的要求，促使财务信息管理操作人员严格按照管理办法实施操作REF_Ref29534\r\h[16]。2.提高审计技术支撑水平风险评估在开展审计工作中有重要作用，在审计计划阶段、审计实践阶段和审计结论阶段扮演着发现、预防风险的重要作用。开展有效、全面的风险评估，对于信息系统审计而言具有极大的重要性。在进行风险评估时，可以考虑借助外部信息系统审计专业人才，以更为严谨的视角对信息系统审计中核心且具有技术深度的环节，提出更为专业的建议，审计人员再参考这些建议，从而更好地评估风险，也可以及时发现被内部审计人员忽视的风险领域REF_Ref19749\r\h。内部审计人员也可以在外部信息系统审计专业人才身上学习有用的审计技术和经验教训，积累内部审计人员的实践经验，有利于提高个人工作能力。因此，对于检查项应以客观事实为依据，正确、全面的记录，禁止对检查项进行主观判断，这就需要对基础工作的人员提出更高的检查要求，以发现真正的风险。3.加强人才分类培养因为企业内部员工的年龄分布在各个阶层，对于年龄较大的员工，重新学习对他们而言是件很难的事情。因此，根据工作岗位的需求，培训具有不同倾向的专业人员，可以减少统一培训所带来的成本。尽量做到合理分工每个人的价值能够得到最大化的发挥，从而提升每位员工的个人归属感，提高工作积极性和工作效率。培养能作出重大、关键判断的工作需求的复合型人才。信息系统审计所要求的复合型人才不但是能够拥有会计、审计相关专业的人员，还应精通计算机的信息系统审计。企业在招聘的时候，有目的地为企业引进能力强的人才，为企业信息系统内部审计建设添砖加瓦。复合型人才主要负责对审计中出现的关键节点进行职业判断，需要的数量不多，但技术要求极高，也就需要加强对新政策、新的业务系统的不断学习，增强自身专业技能的提升，才能在业务在重要性决策中作出判断，提高信息系统内部控制审计质量的提高，这将更有利于企业财务管理健康可持续发展REF_Ref30125\r\h[20]。结论与展望（一）本文总结以信息技术为主要生产力的大数据信息时代已经全面到来，当代公司集团的业务都需要利用信息系统来完成，会计信息系统内部控制则是信息系统重要的组成部分，对其的内控制审计也尤为重要REF_Ref30180\r\h[21]。本文通过对会计信息系统内部控制的概念、信息系统内部控制审计的内容等进行相关的阐述，选择S集团的案例作为研究对象，在对集团的总体状况和信息系统内部审计情况进行简单说明，对S集团的会计信息系统内部控制审计的流程顺序进行介绍，对审计的前期工作、总体环境评估、一般控制、应用控制进行总结。依据实地审计工作的分析和对信息系统内部控制审计的结果，总结了S集团信息系统对于内部控制审计的问题，主要是审计风险评估程序执行不够严格、会计信息系统效益性评估不足等问题，并根据集团自身的实际情况提出完善规范信息系统内部控制审计制度、通过加强人才管理培养等可提高信息系统内部控制审计不足的完善性建议。我国对信息系统内部控制审计工作越来越重视，但要如何完善信息系统内部控制审计体系，又要用什么审计方法并评价企业的信息系统内控制度，还需要更加深入的摸索。（二）展望从当今社会发展的过程而言，企业的会计信息系统发展非常快，信息技术和会计电算化程度很高，计算机能够有效地储存大量的财务数据和业务数据，可使会计信息系统审计效率得以有效地保障，在竞争激烈的市场上，能够将会计信息系统审计竞争力得以有效地提升REF_Ref30246\r\h[22]。因此企业不但要加强企业会计信息系统安全管理，更要全面完善企业会计信息系