企業(yè)內(nèi)部審計(jì)信息化建設(shè)中風(fēng)險(xiǎn)控制的相關(guān)理論分析

徐正民 金銀鳳

國網(wǎng)浙江省電力有限公司嘉興供電公司

一、引言

近年來，隨著企業(yè)對內(nèi)部審計(jì)信息化建設(shè)的不斷推進(jìn)，管理人員更加重視信息化建設(shè)的發(fā)展，內(nèi)部審計(jì)信息化建設(shè)也取得了一定的成績。企業(yè)要想追趕時代發(fā)展的潮流，同時完善自身審計(jì)相關(guān)工作，則審計(jì)信息化建設(shè)是必要途徑。而審計(jì)信息化建設(shè)中難以避免地會存在一定的風(fēng)險(xiǎn)，如何正確識別并有效控制風(fēng)險(xiǎn)，是企業(yè)在信息化建設(shè)中應(yīng)當(dāng)解決的重要問題。因此，對企業(yè)內(nèi)部審計(jì)信息化建設(shè)中風(fēng)險(xiǎn)控制的相關(guān)理論進(jìn)行研究具有重要意義，不僅可以有效控制企業(yè)風(fēng)險(xiǎn)，而且可以有序推進(jìn)企業(yè)內(nèi)部審計(jì)信息化建設(shè)。

二、企業(yè)內(nèi)部審計(jì)信息化的內(nèi)涵

審計(jì)信息化是指在開展審計(jì)工作的過程中，利用信息技術(shù)，搭建審計(jì)信息化平臺，實(shí)現(xiàn)審計(jì)信息的共享和自動處理，從而提升審計(jì)工作效率和質(zhì)量，保證審計(jì)健康發(fā)展的過程[1]。

內(nèi)部審計(jì)信息化主要包括管理的信息化和監(jiān)督的信息化。審計(jì)管理信息化主要是指對審計(jì)項(xiàng)目的實(shí)施、審計(jì)人員的安排以及相關(guān)工作進(jìn)行管理，從而保證審計(jì)工作順利進(jìn)行。審計(jì)監(jiān)督信息化主要是指借助信息技術(shù)，對審計(jì)的全流程進(jìn)行監(jiān)督，從審計(jì)的實(shí)施過程到人員的相關(guān)操作都進(jìn)行監(jiān)督，從而最大程度地保證審計(jì)質(zhì)量。

傳統(tǒng)的審計(jì)主要是對賬、證、表進(jìn)行核對，從而發(fā)現(xiàn)財(cái)務(wù)問題和風(fēng)險(xiǎn)，并促使企業(yè)及時改正。而內(nèi)部審計(jì)信息化則通過信息化技術(shù)手段，實(shí)現(xiàn)了審計(jì)的自動化，大大提高了審計(jì)效率，同時也便于查找問題，追根溯源。

三、企業(yè)內(nèi)部審計(jì)信息化建設(shè)中風(fēng)險(xiǎn)控制的相關(guān)理論

（一）風(fēng)險(xiǎn)控制的內(nèi)涵

企業(yè)風(fēng)險(xiǎn)控制是一種科學(xué)的管理方法，通過對潛在風(fēng)險(xiǎn)的識別、分析和評估，采用多種手段對風(fēng)險(xiǎn)進(jìn)行控制，從而實(shí)現(xiàn)降低風(fēng)險(xiǎn)的目的[2]。企業(yè)內(nèi)部審計(jì)信息化建設(shè)中的風(fēng)險(xiǎn)控制主要是指在審計(jì)過程中，對可能存在的信息安全風(fēng)險(xiǎn)、人員操作風(fēng)險(xiǎn)等風(fēng)險(xiǎn)進(jìn)行控制，力求保證審計(jì)質(zhì)量。

（二）風(fēng)險(xiǎn)控制的意義

隨著經(jīng)濟(jì)的發(fā)展和社會的進(jìn)步，企業(yè)之間的競爭愈加激烈，企業(yè)面臨的風(fēng)險(xiǎn)也不斷提升。所以，企業(yè)內(nèi)部審計(jì)的范圍不斷擴(kuò)大，審計(jì)對象不斷增加，對審計(jì)信息化的水平提出了更高的要求，同時企業(yè)也面臨更多的審計(jì)風(fēng)險(xiǎn)。企業(yè)對風(fēng)險(xiǎn)進(jìn)行控制具有重要意義。第一，風(fēng)險(xiǎn)控制能夠幫助企業(yè)識別風(fēng)險(xiǎn)，保證審計(jì)信息化建設(shè)順利進(jìn)行。第二，風(fēng)險(xiǎn)控制為企業(yè)全面風(fēng)險(xiǎn)管理提供基礎(chǔ)，保證企業(yè)健康有序發(fā)展。第三，通過風(fēng)險(xiǎn)控制，企業(yè)能夠糾正自身問題，從而建立審計(jì)信息化標(biāo)準(zhǔn)。

（三）風(fēng)險(xiǎn)控制的流程

為應(yīng)對企業(yè)內(nèi)部審計(jì)信息化建設(shè)中的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)控制流程主要包括三個部分：風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置（見表1）。

表1 企業(yè)風(fēng)險(xiǎn)控制流程[3]

（四）風(fēng)險(xiǎn)控制的目標(biāo)

一方面，搭建完備的內(nèi)部審計(jì)信息化平臺[4]。通過對風(fēng)險(xiǎn)的識別和評估，發(fā)現(xiàn)企業(yè)內(nèi)部審計(jì)信息化建設(shè)中存在的問題，通過風(fēng)險(xiǎn)處理解決相關(guān)問題，從而建立完備的信息化平臺。信息化平臺的建設(shè)將為企業(yè)的審計(jì)工作提供便利條件，有利于內(nèi)部審計(jì)信息化的發(fā)展。

另一方面，建立完善的企業(yè)內(nèi)部審計(jì)信息化風(fēng)險(xiǎn)控制體系。首先，企業(yè)應(yīng)當(dāng)建立風(fēng)險(xiǎn)預(yù)警系統(tǒng)，對內(nèi)部審計(jì)信息化的風(fēng)險(xiǎn)進(jìn)行事前防范。其次，在識別出風(fēng)險(xiǎn)時，企業(yè)應(yīng)當(dāng)及時對問題進(jìn)行處理，保證內(nèi)部審計(jì)信息化的推進(jìn)。最后，對風(fēng)險(xiǎn)進(jìn)行處理后，企業(yè)要啟動相應(yīng)的處理機(jī)制，劃分責(zé)任，明確懲罰措施。同時，對風(fēng)險(xiǎn)控制的過程進(jìn)行分析和總結(jié)，為今后工作奠定基礎(chǔ)。

四、企業(yè)內(nèi)部審計(jì)信息化建設(shè)中的主要風(fēng)險(xiǎn)

（一）審計(jì)信息化建設(shè)的固有風(fēng)險(xiǎn)

傳統(tǒng)審計(jì)中，更多使用報(bào)表等紙質(zhì)數(shù)據(jù)信息，而內(nèi)部審計(jì)信息化背景下，企業(yè)的審計(jì)工作通過電子化的方式進(jìn)行數(shù)據(jù)的傳輸和測算，因此面臨網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[5]。例如，計(jì)算機(jī)病毒傳播可以對企業(yè)現(xiàn)有數(shù)據(jù)進(jìn)行破壞，黑客攻擊可能導(dǎo)致企業(yè)財(cái)務(wù)數(shù)據(jù)信息泄露，這些都屬于審計(jì)信息化建設(shè)的固有風(fēng)險(xiǎn)。數(shù)據(jù)信息的風(fēng)險(xiǎn)是由信息化的固有屬性所決定的，一旦企業(yè)未建立牢固的防火墻系統(tǒng)等安全防護(hù)機(jī)制，就可能會面臨信息泄露、數(shù)據(jù)損毀等風(fēng)險(xiǎn)。

（二）審計(jì)準(zhǔn)則缺失引發(fā)的風(fēng)險(xiǎn)

審計(jì)信息化背景下，企業(yè)的內(nèi)部審計(jì)工作基本上都是依據(jù)企業(yè)會計(jì)準(zhǔn)則、審計(jì)準(zhǔn)則等標(biāo)準(zhǔn)，而專門的企業(yè)內(nèi)部審計(jì)信息化標(biāo)準(zhǔn)則缺失。審計(jì)信息化準(zhǔn)則的缺失，不僅會為企業(yè)的審計(jì)工作帶來風(fēng)險(xiǎn)，而且會影響企業(yè)內(nèi)部審計(jì)的質(zhì)量和效果。例如，審計(jì)信息化準(zhǔn)則的缺失會為造成審計(jì)行為的偏差，導(dǎo)致徇私舞弊問題的發(fā)生，因?yàn)槿狈ο鄳?yīng)準(zhǔn)則的約束，審計(jì)人員可能會產(chǎn)生得過且過的思想，從而影響審計(jì)的公正性。

（三）審計(jì)范圍擴(kuò)大引發(fā)的風(fēng)險(xiǎn)

一方面，審計(jì)的目標(biāo)擴(kuò)大化增加了企業(yè)風(fēng)險(xiǎn)。傳統(tǒng)的審計(jì)中，審計(jì)人員只要核對賬目、憑證和報(bào)表，保證財(cái)務(wù)不發(fā)生問題即可。而審計(jì)信息化背景下，還需要對數(shù)據(jù)安全、審計(jì)信息化軟件的操作等內(nèi)容進(jìn)行審計(jì)，目標(biāo)進(jìn)一步擴(kuò)大化，因此面臨的風(fēng)險(xiǎn)也逐漸增加[6]。

另一方面，審計(jì)的對象擴(kuò)大化引發(fā)了新的風(fēng)險(xiǎn)。隨著信息技術(shù)的發(fā)展和相關(guān)財(cái)務(wù)準(zhǔn)則的出臺，企業(yè)的財(cái)務(wù)核算內(nèi)容劃分更加細(xì)致，審計(jì)的對象也逐漸增加，這樣企業(yè)就面臨更多的風(fēng)險(xiǎn)。隨著財(cái)務(wù)的多元化發(fā)展和技術(shù)的更新?lián)Q代，企業(yè)還會面臨更多的審計(jì)風(fēng)險(xiǎn)。

（四）審計(jì)信息化的操作風(fēng)險(xiǎn)

一方面，對審計(jì)信息化軟件不熟悉容易引發(fā)操作風(fēng)險(xiǎn)。由于信息化技術(shù)更新?lián)Q代速度較快，企業(yè)內(nèi)部審計(jì)信息化軟件也需要及時更新，這樣如果操作人員對軟件如果不熟悉則極易引發(fā)操作風(fēng)險(xiǎn)。由于審計(jì)信息化背景下，很多數(shù)據(jù)的測算都是自動生成的，一旦發(fā)生操作失誤那么直接會影響審計(jì)結(jié)果。

另一方面，由于審計(jì)人員的專業(yè)性不足也會引發(fā)操作風(fēng)險(xiǎn)。企業(yè)內(nèi)部審計(jì)信息化建設(shè)不僅需要審計(jì)人員具備基本的電算化技能，更重要的是需要具備高度的專業(yè)水平。如果審計(jì)人員專業(yè)性缺乏，則在審計(jì)過程中企業(yè)將會面臨人員的操作風(fēng)險(xiǎn)。

五、企業(yè)內(nèi)部審計(jì)信息化建設(shè)中風(fēng)險(xiǎn)控制的應(yīng)對策略

（一）建立風(fēng)險(xiǎn)防護(hù)系統(tǒng)保證審計(jì)信息安全

首先，企業(yè)應(yīng)當(dāng)建立安全的防火墻系統(tǒng)，保證數(shù)據(jù)安全。防火墻系統(tǒng)可以有效阻擋網(wǎng)絡(luò)黑客攻擊，同時對計(jì)算機(jī)病毒也具有防護(hù)作用，從而降低審計(jì)信息化的固有風(fēng)險(xiǎn)。

其次，企業(yè)應(yīng)當(dāng)對審計(jì)相關(guān)的軟硬件設(shè)備進(jìn)行及時更新，從而保證審計(jì)信息的安全。例如，對防病毒軟件進(jìn)行及時更新，可以預(yù)防病毒的入侵和傳播，防止企業(yè)信息的泄露。

最后，建立風(fēng)險(xiǎn)預(yù)警系統(tǒng)，一旦發(fā)現(xiàn)風(fēng)險(xiǎn)，系統(tǒng)可以自動識別并預(yù)警，企業(yè)可以及時采取措施進(jìn)行應(yīng)對，避免信息安全問題的發(fā)生。

（二）健全內(nèi)部審計(jì)信息化準(zhǔn)則

隨著審計(jì)信息化建設(shè)的不斷推進(jìn)，國家會出臺相應(yīng)的法律，用以規(guī)范審計(jì)行為。企業(yè)應(yīng)當(dāng)根據(jù)相關(guān)的法律，并結(jié)合自身實(shí)際情況，制定嚴(yán)格的內(nèi)部審計(jì)信息化準(zhǔn)則，從而規(guī)范內(nèi)部審計(jì)行為。企業(yè)的內(nèi)部審計(jì)信息化準(zhǔn)則應(yīng)當(dāng)對審計(jì)信息化的全流程進(jìn)行規(guī)定，明確審計(jì)責(zé)任，對于不合規(guī)的審計(jì)行為要制定嚴(yán)厲的罰則。內(nèi)部審計(jì)信息化準(zhǔn)則是企業(yè)內(nèi)部審計(jì)的標(biāo)準(zhǔn)和依據(jù)，是提高審計(jì)質(zhì)量的重要保證，是審計(jì)信息化建設(shè)的重要依據(jù)。

（三）提升審計(jì)信息化系統(tǒng)的風(fēng)險(xiǎn)防范能力

隨著企業(yè)內(nèi)部審計(jì)信息化的進(jìn)一步發(fā)展，審計(jì)的對象和目標(biāo)呈現(xiàn)擴(kuò)大化趨勢，因此面臨的風(fēng)險(xiǎn)也逐漸增加。要想實(shí)現(xiàn)風(fēng)險(xiǎn)控制的目的，就應(yīng)當(dāng)不斷優(yōu)化審計(jì)信息化系統(tǒng)，提升其風(fēng)險(xiǎn)防范能力。企業(yè)可以在審計(jì)信息化系統(tǒng)中設(shè)置風(fēng)險(xiǎn)節(jié)點(diǎn)，對審計(jì)的各個步驟進(jìn)行風(fēng)險(xiǎn)提示，從而實(shí)現(xiàn)對風(fēng)險(xiǎn)的有效把控。同時，企業(yè)管理人員應(yīng)當(dāng)在審計(jì)信息化系統(tǒng)中設(shè)置相應(yīng)的權(quán)限，便于及時對審計(jì)人員的相關(guān)工作進(jìn)行監(jiān)督和檢查，從而達(dá)到控制風(fēng)險(xiǎn)的目的。

（四）多措并舉規(guī)避操作風(fēng)險(xiǎn)

一方面，企業(yè)應(yīng)當(dāng)加強(qiáng)對審計(jì)信息化軟件的培訓(xùn)，無論是管理人員還是操作人員，都應(yīng)當(dāng)熟練掌握軟件的操作規(guī)程。只有對內(nèi)部審計(jì)信息化軟件熟悉后，審計(jì)人員才能順利開展審計(jì)工作，管理人員才能實(shí)現(xiàn)審計(jì)監(jiān)督職能。

另一方面，企業(yè)審計(jì)人員應(yīng)當(dāng)加強(qiáng)學(xué)習(xí)，提升自主學(xué)習(xí)能力，不斷提高專業(yè)性。對審計(jì)對象和目標(biāo)的更新，審計(jì)人員應(yīng)當(dāng)及時了解，并及時調(diào)整審計(jì)工作內(nèi)容，避免出現(xiàn)操作風(fēng)險(xiǎn)。