信息環(huán)境下如何開展企業(yè)風險管理內部審計

崔 帆 佟明昌

(西京學院會計學院 陜西 西安 710123)

一、引言

伴隨著社會經(jīng)濟不斷向前的發(fā)展、社會信息技術水平的飛速提升，在生活環(huán)境中人們對信息技術的應用十分廣泛，其中，在企業(yè)的內部審計工作中，合理有效地使用信息技術實現(xiàn)企業(yè)內部審計的信息化管理，一方面能很大程度上提高審計工作人員的工作效率，另一方面能進一步提高企業(yè)內部審計的準確性。當然，在實現(xiàn)企業(yè)內部審計的信息化管理的道路上，內部審計工作同時也面臨著很多的風險，尤其是經(jīng)濟全球化程度的進一步加深，導致企業(yè)經(jīng)營的內外部環(huán)境變得日益復雜，企業(yè)所面臨的風險進一步加大，使企業(yè)風險管理內部審計成為企業(yè)經(jīng)營的重要部分。在信息化環(huán)境下，及時發(fā)現(xiàn)企業(yè)內部管理存在的風險，合理有效地運用信息技術可以減少甚至可以將企業(yè)風險可能帶來的不必要損失降低到最低。因此,研究信息化環(huán)境下如何開展企業(yè)風險管理內部審計具有重要的現(xiàn)實意義。

二、內部審計、風險管理及風險管理審計的相關概述

(一)內部審計的概念

《審計實務標準》給出的定義:內部審計是一種關于獨立與客觀的咨詢活動和保證工作,它的目的是為了可以幫助組織增大其自身價值和提升組織的工作效率,運用現(xiàn)代化、系統(tǒng)化的方式進行對風險控制、管理和治理程序的改善和評價,從而協(xié)助組織實現(xiàn)既定目標。

(二)風險管理的概念

COSO對企業(yè)風險管理給出的定義:企業(yè)風險管理作為一個過程，它的實施相關人員為：一個主體的董事會、管理當局和其他人員，融入于企業(yè)之中，滿足戰(zhàn)略制定的需求，目的是為了識別出可能會影響主體的潛在風險，管理風險是為了讓它在主體風險容量的范圍之內，能為實現(xiàn)主體目標提供洽當合理的保證。以傳統(tǒng)的風險管理作為比較，企業(yè)風險管理更加強調戰(zhàn)略的導向性，包含了組織里全部的管理領域和管理當局，方法方式也變得更加的規(guī)范和富有結構。COSO表示企業(yè)風險管理包括遵守法則、客觀報告、戰(zhàn)略實現(xiàn)和高效運作四個重要的目標，也同時包括監(jiān)控活動、目標設定、風險評估、控制活動、信息溝通、事件識別、內部環(huán)境和風險反應八個重要的要素，在分公司級、部門級、企業(yè)級和事業(yè)單位級企業(yè)的這四個層級中進行工作。

(三)風險管理內部審計的相關概述

2004年在IIA發(fā)布的《內部審計在企業(yè)風險管理中的角色》中指出企業(yè)風險管理內部審計的核心作用就是向董事會做出對組織風險管理有效性的客觀保證，盡而可以幫助明確相信重要的企業(yè)風險已經(jīng)被合理恰當?shù)墓芾砬覂炔靠刂葡到y(tǒng)良性有效的工作。因而，在企業(yè)風險管理的組織中，內部審計的最大角色是作為一名監(jiān)督者，同時也包括一些其他服務：確保風險評估的準確性和評估重要的風險報告、風險管理流程及重要的風險管理。傳統(tǒng)風險導向審計是指內部審計工作人員單項的對企業(yè)風險和目標做出非正式的確認和評估，與其相比，新形勢的信息化環(huán)境下需要內部審計融入企業(yè)風險管理的各個細節(jié)工作中。

三、信息化環(huán)境下導致企業(yè)風險加大的影響因素

(一)系統(tǒng)自身風險增加對企業(yè)風險管理的影響

信息環(huán)境下，企業(yè)內部控制離不開人和軟件，內部控制與企業(yè)風險管理內部審計系統(tǒng)軟件融為一體，審計工作人員不能用傳統(tǒng)的方法察覺，針對系統(tǒng)軟件設計中存在的問題，較難發(fā)現(xiàn)?？赡苁且驗樵O計系統(tǒng)軟件時考慮不太全面，缺少對系統(tǒng)軟件的控制力，也可能是因為系統(tǒng)軟件自身無法判斷部分數(shù)據(jù)的邏輯關系，對不合常規(guī)的數(shù)據(jù)不會實施異常處理，導致錯誤數(shù)據(jù)重復并連續(xù)的影響數(shù)據(jù)，盡而導致整個系統(tǒng)數(shù)據(jù)出錯，增加風險。

(二)內部控制形式更加復雜對企業(yè)風險管理的影響

信息環(huán)境下，企業(yè)風險管理內部審計可能出現(xiàn)實時控制的失效，部分數(shù)據(jù)不能有效的進行實時同步，導致雙方實時數(shù)據(jù)不一致的情況出現(xiàn)，這就會給內部審計工作帶來困難，首先得把數(shù)據(jù)不一致的問題找出來，進行評估確認數(shù)據(jù)準確無誤之后，再進行內部審計工作。無疑在時效性上，中途會產(chǎn)生較多數(shù)據(jù)誤差，影響內部審計工作的正常進行，會使企業(yè)風險加大。

(三)數(shù)據(jù)的安全指數(shù)下降對企業(yè)風險管理的影響

信息環(huán)境下，電子數(shù)據(jù)的濫用、被人篡改和丟失成為可能。存儲介質的更新，一定程度上幫助信息數(shù)據(jù)最大程度集中于計算機系統(tǒng)軟件中，系統(tǒng)軟件存在被惡意篡改、非法入侵的可能性，使企業(yè)內部審計的風險增加。一旦被不法分子，利用技術手段破解系統(tǒng)軟件，數(shù)據(jù)被拷貝或惡意被且不留任何蛛絲馬跡，后果不堪設想。當然，計算機病毒、非人為的電源故障、費惡意操作失誤等，也會導致電子數(shù)據(jù)與真實數(shù)據(jù)不一致。

(四)內部控制制度控制力度弱對企業(yè)風險管理的影響

信息環(huán)境下，審計工作人員的責任范圍不明確以及權限和密碼的混亂的授權，板塊的調理不明確，很容易使內部審計工作無法生效且內部控制失效。

四、信息化環(huán)境下企業(yè)風險管理內部審計的方法

(一)不斷完善內部審計制度

企業(yè)應該根自身經(jīng)營特點、財務結構和經(jīng)營環(huán)境等因素與信息化環(huán)境下內部審計風險的相關特征相結合，制定出相對應的合理的內部審計制度。相關法律法規(guī)的制定，對企業(yè)審計制度的不斷完善和優(yōu)化起到重要的推動作用。最有效的審計證據(jù)莫過于每項經(jīng)濟業(yè)務的原始記錄，所以，需要對這些原始記錄制定相關的制度，來確保審計證據(jù)的原始性和真實性。信息化環(huán)境下的內部審計信息系統(tǒng)的正常運行，必須符合相關內部審計制度和法律法規(guī)的規(guī)定，需要做到“遵守制度，有法可依”。

(二)提升審計風險防范能力

企業(yè)需要培養(yǎng)內部審計工作人員自身的風險意識，提升審計風險防范能力，制定相應的預防風險措施。企業(yè)可以建立強制存檔制度，定期抽查，這樣可以有效的確保內部審計的原始數(shù)據(jù)合理披露，企業(yè)還要制定專用的風險防范制度，輻射審計信息系統(tǒng)軟件的運行、軟件開發(fā)和系統(tǒng)的安全保密。

(三)加大開發(fā)審計軟件的力度

內部審計的信息化離不開計算機預先設定好的的內部審計程序，因此，必須保證內部審計程序自身的可靠性和精確性。內部審計工作量的加大，對內部審計系統(tǒng)的要求也更高，需要內部審計系統(tǒng)的功能不斷優(yōu)化，盡而覆蓋更為廣泛的內部審計信息。一般內部審計系統(tǒng)的功能：內部控制評價、數(shù)據(jù)轉換、抽樣審計、自動生成審計報告、審計計劃管理和實質性測試等。伴隨著社會經(jīng)濟不斷向前的發(fā)展，這就需要加大內部審計信息系統(tǒng)的開發(fā)力度，以更好的適應經(jīng)濟發(fā)展。

(四)充分利用信息技術

信息系統(tǒng)具有數(shù)據(jù)集成的特點，內部審計工作人員需要充分利用這一特點。企業(yè)的經(jīng)濟業(yè)務流程很大程度上被信息化系統(tǒng)改變，例如ERP系統(tǒng)，它將采購、付款、開出發(fā)票等業(yè)務一體化，執(zhí)行了多個部門的業(yè)務，而且ERP系統(tǒng)本身也帶有分析功能和自身的重要數(shù)據(jù)庫。所以，內部審計工作人員并不需要單從多個子系統(tǒng)中獲取有效的信息數(shù)據(jù)，可以通過ERP這一個系統(tǒng)得到很多有效數(shù)據(jù)。充分利用信息技術，有助于內部審計工作人員更為方便的進行風險管理內部審計工作。

(五)打造學習型內部審計環(huán)境

信息化環(huán)境下，企業(yè)運營環(huán)境復雜化，企業(yè)風險管理內部審計工作任務也更加繁重，這就要求內部審計工作人員不斷地提升自身的業(yè)務水平。審計工作人員有學習新知識的必要，原有的會計、審計、財務管理等知識已近不能滿足企業(yè)當下信息化環(huán)境下的風險管理內部審計工作的新要求，需要審計工作人員學習一定的信息技術系統(tǒng)方面和現(xiàn)代企業(yè)管理技術的知識。所以，打造學習型內部審計環(huán)境，營造良好的學習氛圍，使內部審計工作人員主動學習新形式下的企業(yè)風險管理內部審計的相關知識，并定期舉辦有獎知識競賽，進一步調動工作人員的學習熱情，有助于提高審計工作人員的風險管理水平，促進企業(yè)目標高效的完成。

(六)專家參與風險管理內部審計

風險管理內部審計工作面對復雜的信息系統(tǒng)，要想高效的完成此項工作，必須精通該企業(yè)全部經(jīng)濟業(yè)務的運營流程，但是對于風險管理內部審計系統(tǒng)全面了解的內部審計工作人員太少幾乎沒有，這無疑增加了企業(yè)風險存在的可能性，對于內部審計工作人員能達到這種技能水平的十分困難。因此，雇傭各類別的專家，運用其專業(yè)知識，給予風險管理內部審計準確的審計判斷，盡而，共同推進企業(yè)風險管理內部審計的不斷發(fā)展。