企業內部審計信息化建設中風險控制的相關理論分析

徐正民 金銀鳳

國網浙江省電力有限公司嘉興供電公司

一、引言

近年來，隨著企業對內部審計信息化建設的不斷推進，管理人員更加重視信息化建設的發展，內部審計信息化建設也取得了一定的成績。企業要想追趕時代發展的潮流，同時完善自身審計相關工作，則審計信息化建設是必要途徑。而審計信息化建設中難以避免地會存在一定的風險，如何正確識別并有效控制風險，是企業在信息化建設中應當解決的重要問題。因此，對企業內部審計信息化建設中風險控制的相關理論進行研究具有重要意義，不僅可以有效控制企業風險，而且可以有序推進企業內部審計信息化建設。

二、企業內部審計信息化的內涵

審計信息化是指在開展審計工作的過程中，利用信息技術，搭建審計信息化平臺，實現審計信息的共享和自動處理，從而提升審計工作效率和質量，保證審計健康發展的過程[1]。

內部審計信息化主要包括管理的信息化和監督的信息化。審計管理信息化主要是指對審計項目的實施、審計人員的安排以及相關工作進行管理，從而保證審計工作順利進行。審計監督信息化主要是指借助信息技術，對審計的全流程進行監督，從審計的實施過程到人員的相關操作都進行監督，從而最大程度地保證審計質量。

傳統的審計主要是對賬、證、表進行核對，從而發現財務問題和風險，并促使企業及時改正。而內部審計信息化則通過信息化技術手段，實現了審計的自動化，大大提高了審計效率，同時也便于查找問題，追根溯源。

三、企業內部審計信息化建設中風險控制的相關理論

（一）風險控制的內涵

企業風險控制是一種科學的管理方法，通過對潛在風險的識別、分析和評估，采用多種手段對風險進行控制，從而實現降低風險的目的[2]。企業內部審計信息化建設中的風險控制主要是指在審計過程中，對可能存在的信息安全風險、人員操作風險等風險進行控制，力求保證審計質量。

（二）風險控制的意義

隨著經濟的發展和社會的進步，企業之間的競爭愈加激烈，企業面臨的風險也不斷提升。所以，企業內部審計的范圍不斷擴大，審計對象不斷增加，對審計信息化的水平提出了更高的要求，同時企業也面臨更多的審計風險。企業對風險進行控制具有重要意義。第一，風險控制能夠幫助企業識別風險，保證審計信息化建設順利進行。第二，風險控制為企業全面風險管理提供基礎，保證企業健康有序發展。第三，通過風險控制，企業能夠糾正自身問題，從而建立審計信息化標準。

（三）風險控制的流程

為應對企業內部審計信息化建設中的風險，風險控制流程主要包括三個部分：風險識別、風險評估和風險處置（見表1）。

表1 企業風險控制流程[3]

（四）風險控制的目標

一方面，搭建完備的內部審計信息化平臺[4]。通過對風險的識別和評估，發現企業內部審計信息化建設中存在的問題，通過風險處理解決相關問題，從而建立完備的信息化平臺。信息化平臺的建設將為企業的審計工作提供便利條件，有利于內部審計信息化的發展。

另一方面，建立完善的企業內部審計信息化風險控制體系。首先，企業應當建立風險預警系統，對內部審計信息化的風險進行事前防范。其次，在識別出風險時，企業應當及時對問題進行處理，保證內部審計信息化的推進。最后，對風險進行處理后，企業要啟動相應的處理機制，劃分責任，明確懲罰措施。同時，對風險控制的過程進行分析和總結，為今后工作奠定基礎。

四、企業內部審計信息化建設中的主要風險

（一）審計信息化建設的固有風險

傳統審計中，更多使用報表等紙質數據信息，而內部審計信息化背景下，企業的審計工作通過電子化的方式進行數據的傳輸和測算，因此面臨網絡安全風險[5]。例如，計算機病毒傳播可以對企業現有數據進行破壞，黑客攻擊可能導致企業財務數據信息泄露，這些都屬于審計信息化建設的固有風險。數據信息的風險是由信息化的固有屬性所決定的，一旦企業未建立牢固的防火墻系統等安全防護機制，就可能會面臨信息泄露、數據損毀等風險。

（二）審計準則缺失引發的風險

審計信息化背景下，企業的內部審計工作基本上都是依據企業會計準則、審計準則等標準，而專門的企業內部審計信息化標準則缺失。審計信息化準則的缺失，不僅會為企業的審計工作帶來風險，而且會影響企業內部審計的質量和效果。例如，審計信息化準則的缺失會為造成審計行為的偏差，導致徇私舞弊問題的發生，因為缺乏相應準則的約束，審計人員可能會產生得過且過的思想，從而影響審計的公正性。

（三）審計范圍擴大引發的風險

一方面，審計的目標擴大化增加了企業風險。傳統的審計中，審計人員只要核對賬目、憑證和報表，保證財務不發生問題即可。而審計信息化背景下，還需要對數據安全、審計信息化軟件的操作等內容進行審計，目標進一步擴大化，因此面臨的風險也逐漸增加[6]。

另一方面，審計的對象擴大化引發了新的風險。隨著信息技術的發展和相關財務準則的出臺，企業的財務核算內容劃分更加細致，審計的對象也逐漸增加，這樣企業就面臨更多的風險。隨著財務的多元化發展和技術的更新換代，企業還會面臨更多的審計風險。

（四）審計信息化的操作風險

一方面，對審計信息化軟件不熟悉容易引發操作風險。由于信息化技術更新換代速度較快，企業內部審計信息化軟件也需要及時更新，這樣如果操作人員對軟件如果不熟悉則極易引發操作風險。由于審計信息化背景下，很多數據的測算都是自動生成的，一旦發生操作失誤那么直接會影響審計結果。

另一方面，由于審計人員的專業性不足也會引發操作風險。企業內部審計信息化建設不僅需要審計人員具備基本的電算化技能，更重要的是需要具備高度的專業水平。如果審計人員專業性缺乏，則在審計過程中企業將會面臨人員的操作風險。

五、企業內部審計信息化建設中風險控制的應對策略

（一）建立風險防護系統保證審計信息安全

首先，企業應當建立安全的防火墻系統，保證數據安全。防火墻系統可以有效阻擋網絡黑客攻擊，同時對計算機病毒也具有防護作用，從而降低審計信息化的固有風險。

其次，企業應當對審計相關的軟硬件設備進行及時更新，從而保證審計信息的安全。例如，對防病毒軟件進行及時更新，可以預防病毒的入侵和傳播，防止企業信息的泄露。

最后，建立風險預警系統，一旦發現風險，系統可以自動識別并預警，企業可以及時采取措施進行應對，避免信息安全問題的發生。

（二）健全內部審計信息化準則

隨著審計信息化建設的不斷推進，國家會出臺相應的法律，用以規范審計行為。企業應當根據相關的法律，并結合自身實際情況，制定嚴格的內部審計信息化準則，從而規范內部審計行為。企業的內部審計信息化準則應當對審計信息化的全流程進行規定，明確審計責任，對于不合規的審計行為要制定嚴厲的罰則。內部審計信息化準則是企業內部審計的標準和依據，是提高審計質量的重要保證，是審計信息化建設的重要依據。

（三）提升審計信息化系統的風險防范能力

隨著企業內部審計信息化的進一步發展，審計的對象和目標呈現擴大化趨勢，因此面臨的風險也逐漸增加。要想實現風險控制的目的，就應當不斷優化審計信息化系統，提升其風險防范能力。企業可以在審計信息化系統中設置風險節點，對審計的各個步驟進行風險提示，從而實現對風險的有效把控。同時，企業管理人員應當在審計信息化系統中設置相應的權限，便于及時對審計人員的相關工作進行監督和檢查，從而達到控制風險的目的。

（四）多措并舉規避操作風險

一方面，企業應當加強對審計信息化軟件的培訓，無論是管理人員還是操作人員，都應當熟練掌握軟件的操作規程。只有對內部審計信息化軟件熟悉后，審計人員才能順利開展審計工作，管理人員才能實現審計監督職能。

另一方面，企業審計人員應當加強學習，提升自主學習能力，不斷提高專業性。對審計對象和目標的更新，審計人員應當及時了解，并及時調整審計工作內容，避免出現操作風險。