王海兵　董倩　楊娛

【摘 要】 隨著社會經(jīng)濟的迅猛發(fā)展，信息技術(shù)的研發(fā)和應用日新月異。內(nèi)部控制審計信息化在提升效率的同時，也蘊含諸多風險。文章探討了我國企業(yè)實施內(nèi)部控制審計信息化的意義，對企業(yè)實施內(nèi)部控制審計信息化所面臨的風險進行了分析，并提出風險應對策略。

【關(guān)鍵詞】 內(nèi)部控制審計； 信息化； 審計風險； 風險應對

中圖分類號：F239.45 文獻標識碼：A 文章編號：1004-5937（2015）09-0057-05

一、引言

我國企業(yè)實施內(nèi)部控制審計信息化是經(jīng)濟全球化和國際化的發(fā)展趨勢，企業(yè)內(nèi)部控制審計信息化是完善審計體系的內(nèi)在要求，是企業(yè)適應新形勢下外部競爭的必然選擇。信息化是決定企業(yè)成敗的關(guān)鍵因素，也是企業(yè)實現(xiàn)跨行業(yè)、跨所有制、跨地區(qū)乃至跨國拓展業(yè)務(wù)的重要基礎(chǔ)。信息化技術(shù)在減少人工工作量、提升工作效率的同時，也蘊含了諸多風險。企業(yè)內(nèi)部審計作為公司治理的四大基石之一，在內(nèi)部控制審計領(lǐng)域?qū)l(fā)揮巨大作用。企業(yè)如何迎接這一信息化浪潮所帶來的機遇和挑戰(zhàn)，將對社會經(jīng)濟、公司治理和企業(yè)競爭力等方面產(chǎn)生廣泛而深遠的影響，對企業(yè)內(nèi)部審計信息化問題展開研究，具有重要的現(xiàn)實意義。曹燕、常京萍（2010）對企業(yè)內(nèi)部審計信息化戰(zhàn)略進行了研究，提出應制定內(nèi)部審計信息化發(fā)展規(guī)劃，提升內(nèi)部審計信息化在企業(yè)信息化管理框架中的層次，構(gòu)建個性化的內(nèi)部審計網(wǎng)絡(luò)系統(tǒng)，培養(yǎng)滿足審計信息化要求的復合型人才，為我國推進內(nèi)部審計信息化提供了實踐參考。隨著我國企業(yè)內(nèi)部控制規(guī)范體系的實施，自2012年開始，上市公司必須對內(nèi)部控制進行評價披露，并聘請注冊會計師對內(nèi)部控制進行審計，企業(yè)內(nèi)部控制審計信息化成為難點和熱點問題。

企業(yè)實施內(nèi)部控制審計信息化，重點在于對信息系統(tǒng)進行審計。這里的信息系統(tǒng)，是指企業(yè)利用計算機技術(shù)和通訊技術(shù)，對內(nèi)部控制進行集成、轉(zhuǎn)化和提升所形成的信息化管理平臺。審計人員對企業(yè)特定基準日信息化環(huán)境下的內(nèi)部控制設(shè)計與運行的有效性進行審計，并對其有效性發(fā)表意見。內(nèi)部控制審計信息化是審計信息化的一個重要組成部分，所謂審計信息化就是在運用以電子計算機為代表的現(xiàn)代化數(shù)據(jù)處理工具時，被審計對象進行財務(wù)工作和經(jīng)營時，審計人員為了實現(xiàn)其審計目的，收集必要的審計證據(jù)，采取必要的審計程序，對企業(yè)運營的合規(guī)性以及利用計算機以及網(wǎng)絡(luò)生成的財務(wù)信息進行審計的工作。廣義的信息化環(huán)境下的內(nèi)部控制審計業(yè)務(wù)包括計算機內(nèi)部審計所涉及的所有內(nèi)容，即計算機系統(tǒng)內(nèi)部控制制度審計、計算機系統(tǒng)程序?qū)徲?、計算機系統(tǒng)數(shù)據(jù)文件審計、計算機系統(tǒng)開發(fā)審計、計算機輔助內(nèi)部審計、網(wǎng)絡(luò)系統(tǒng)審計、計算機舞弊的控制和審計。狹義的信息化環(huán)境下的內(nèi)部控制審計業(yè)務(wù)主要包括計算機系統(tǒng)內(nèi)部控制制度審計、計算機舞弊的控制與審計。本文基于信息化視角，分析企業(yè)實施內(nèi)部控制審計信息化所面臨的風險，并從內(nèi)部控制制度、系統(tǒng)建設(shè)、人員素質(zhì)和風險評估體系等多維度對風險因子進行思考，并提出相應的風險應對策略。

二、企業(yè)實施內(nèi)部控制審計信息化存在的風險

企業(yè)實現(xiàn)內(nèi)部控制審計信息化后，提升了企業(yè)信息系統(tǒng)的運行效率，減少了運營成本，提高了企業(yè)人員的綜合素質(zhì)，順應了時代發(fā)展的趨勢。然而，事物都有兩面性。內(nèi)審信息化的實施也給企業(yè)帶來了更多更大的新問題，只有充分認識和解決這些問題，企業(yè)的信息化才能健康、快速帶動企業(yè)的全面發(fā)展。

（一）企業(yè)戰(zhàn)略目標在信息系統(tǒng)的傳達過程中可能產(chǎn)生偏移風險

企業(yè)戰(zhàn)略目標已經(jīng)成為決定企業(yè)競爭成敗的關(guān)鍵與核心問題之一。面對復雜多變的經(jīng)營環(huán)境和風險價值網(wǎng)絡(luò)，以及信息技術(shù)自身的安全性問題，企業(yè)戰(zhàn)略目標在信息系統(tǒng)傳達過程中可能產(chǎn)生偏移風險。會計信息系統(tǒng)、人力資源信息系統(tǒng)、社會責任信息系統(tǒng)、采購信息系統(tǒng)、生產(chǎn)加工信息系統(tǒng)、銷售及售后信息系統(tǒng)、客戶關(guān)系管理系統(tǒng)、投融資信息系統(tǒng)、內(nèi)部審計信息系統(tǒng)等各子系統(tǒng)錯綜復雜，相互牽涉。一旦某個環(huán)節(jié)出現(xiàn)重大缺陷或舞弊，會波及其他相關(guān)系統(tǒng)，信息化條件下的內(nèi)部控制風險被放大。因此，企業(yè)內(nèi)部控制及其審計由以前的“內(nèi)部控制導向”向“風險導向”轉(zhuǎn)變與發(fā)展（李晉蓉，2002），風險成為企業(yè)實施內(nèi)部控制審計必須考慮的問題。內(nèi)部控制信息化水平越高，人對系統(tǒng)的依賴性就越大，一旦系統(tǒng)與企業(yè)戰(zhàn)略不匹配，或者企業(yè)戰(zhàn)略發(fā)生調(diào)整，而系統(tǒng)沒有及時更新，那么，企業(yè)戰(zhàn)略目標在信息系統(tǒng)的傳達過程中就容易產(chǎn)生偏移風險。

（二）審計人員在信息化條件下的能力表現(xiàn)不足

內(nèi)部控制審計信息化對審計人員的獨立性和專業(yè)能力要求很高，但實際情況是，對于注冊會計師審計而言，由于審計委托關(guān)系的錯位，審計獨立性受到嚴重影響，審計結(jié)果不客觀、不公允的情況時有發(fā)生。對于內(nèi)部審計而言，許多單位的內(nèi)部控制和審計隸屬于財務(wù)部門，獨立性差，審計人員也是兼職的，職業(yè)勝任能力欠缺。無論是注冊會計師還是內(nèi)部審計師，大部分都是財會專業(yè)出身，也就是比較擅長于財務(wù)報表審計和與財務(wù)報表相關(guān)的內(nèi)部控制審計，對于非財務(wù)內(nèi)部控制審計和信息系統(tǒng)審計，缺乏從事信息化內(nèi)部控制審計所需的知識、技能和經(jīng)驗，審計人員在信息化條件下的能力表現(xiàn)不足，審計風險巨大。

（三）企業(yè)內(nèi)部控制系統(tǒng)的信息化增加了內(nèi)部控制審計難度

企業(yè)內(nèi)部控制的信息化必將帶來內(nèi)部控制審計的信息化。我國企業(yè)內(nèi)部控制審計信息化增加了內(nèi)部控制審計的難度，主要體現(xiàn)為以下五個方面：

1.控制環(huán)境的突變。雖然信息技術(shù)使企業(yè)內(nèi)部控制管理層級明顯減少，崗位更加精簡，不僅改變了傳統(tǒng)手工數(shù)據(jù)處理方式，而且觸發(fā)了企業(yè)管理模式、生產(chǎn)方式、交易方式、作業(yè)流程的重大變革，但是信息化對企業(yè)管理者的素質(zhì)提出了更高的要求。從實際操作來看，從內(nèi)部控制審計人員到管理者，短期內(nèi)員工必然對信息化的應用不太適應，有些老一輩領(lǐng)導甚至不太重視企業(yè)內(nèi)部控制信息化。信息化推動企業(yè)組織架構(gòu)的扁平化變革，人與人之間的當面交流減少，大量的業(yè)務(wù)處理都在系統(tǒng)內(nèi)完成，信息化的控制環(huán)境下，道德風險和逆向選擇行為發(fā)生的概率增大。

2.風險評估過程的系統(tǒng)危害。在企業(yè)信息化環(huán)境下，企業(yè)各項事務(wù)對計算機系統(tǒng)的依賴與日俱增，一旦某個環(huán)節(jié)出現(xiàn)問題，該類錯誤將會被無限次復制和傳播，從而帶來更大的危害。信息系統(tǒng)越復雜，發(fā)生系統(tǒng)性風險的可能性越大。業(yè)務(wù)流程的自動化雖然降低了業(yè)務(wù)處理過程中人員疏漏或單獨舞弊的風險，但是如果信息化系統(tǒng)失靈或崩潰，重要信息被竊取，都將給企業(yè)帶來不可估量的損失。因此，信息化環(huán)境下，風險變得更加復雜，相應的危害性也更為嚴重。

3.控制活動的難度加大?？刂苹顒邮瞧髽I(yè)為了保證各項指令得到實施而制定并執(zhí)行的控制政策和程序，是針對實現(xiàn)組織目標所涉及的風險而采取的必要防范或減少損失的措施。隨著計算機使用范圍的擴大，利用計算機越權(quán)參與企業(yè)生產(chǎn)經(jīng)營活動，從而導致貪污、舞弊、詐騙等犯罪活動有所增加，各種木馬程序、病毒都對信息化內(nèi)部控制審計構(gòu)成挑戰(zhàn)?？刂苹顒由婕懊娓鼘?，包括計算機系統(tǒng)、人機交互系統(tǒng)、手工操作系統(tǒng)，控制活動難度加大。

4.信息與溝通的多向性。一個良好的信息溝通系統(tǒng)不僅要有向下的溝通管道，還應有向上的、橫向的以及與外界的信息溝通管道。企業(yè)應建立多方向信息溝通機制，利用多方的工作成果，減少重復性的工作，節(jié)約資源；同時，溝通的過程也是不斷交流學習的過程，可以提高工作效率。因此，要讓企業(yè)全體人員盡快從手工狀態(tài)下的單一溝通機制轉(zhuǎn)到信息化條件下的多向溝通機制中來。信息化手段在提高溝通效率的同時，也帶來溝通風險。其一，信息化所生成的海量數(shù)據(jù)，使得信息冗余也可能掩蓋重要信息，不利于決策參考；其二，如果信息與溝通環(huán)節(jié)控制不當，或者控制被突破，重要信息泄密后立即大范圍擴散，可能對企業(yè)造成重大不利影響。

5.內(nèi)部控制監(jiān)督機構(gòu)形同虛設(shè)。我國內(nèi)部控制起步較晚，發(fā)展較為緩慢。內(nèi)部控制形式重于實質(zhì)，公司治理不良，風險意識薄弱，導致弊端叢生。于是，很多設(shè)計精良的控制系統(tǒng)往往會流于形式。信息化在減少人為操作風險、提高效率的同時，對流程進行了固化，對權(quán)力進行了制約。企業(yè)領(lǐng)導層一旦繞過信息化系統(tǒng)進行審批執(zhí)行，信息系統(tǒng)內(nèi)嵌的監(jiān)督功能將會被擱淺，監(jiān)督機構(gòu)由于權(quán)限和獨立性不高，也難以對管理層權(quán)力進行有效約束。

（四）內(nèi)部控制審計信息化下面臨的風險存在行業(yè)差異

不同行業(yè)對信息資源的應用層次是不一樣的，第一層次是最基本的數(shù)據(jù)數(shù)字化，這一層滲透率比較高，基本囊括了所有的行業(yè)，從小微企業(yè)到大中型企業(yè)，無不享受著信息化帶來的方便，但是，這一層次基本停留在用機器替代手工，以此來提高效率。第二個層次是數(shù)據(jù)聯(lián)網(wǎng)化，這一層次主要是一些金融企業(yè)、商務(wù)網(wǎng)絡(luò)平臺，以及社交網(wǎng)站等，他們有能力去應用和維護。第三個層次是智能化。處于這一層次的一般都是走在科技前沿的行業(yè)，如通信、軟件、手機行業(yè)等，他們擁有人、財、物等資源，有實力去開發(fā)和推廣，并引領(lǐng)時代潮流。由于不同行業(yè)的不同生產(chǎn)環(huán)節(jié)、不同的生活領(lǐng)域，信息化滲透程度都不一樣，因此，不同行業(yè)在實施內(nèi)部控制審計信息化時應充分考慮行業(yè)整體應用層次，以此來匹配和適應行業(yè)信息化的大發(fā)展。可見，在信息化條件下，不同行業(yè)面臨的內(nèi)部控制審計風險也存在差異。

三、內(nèi)部控制審計信息化風險的應對策略

企業(yè)內(nèi)部控制審計信息化降低了一些傳統(tǒng)風險，例如信息口徑不統(tǒng)一、信息手工處理錯誤及效率低下等，但同時也增加了許多新的風險，例如安全性風險、信息系統(tǒng)依賴性風險。換言之，也就是信息化導致內(nèi)部控制審計風險從一種形態(tài)演化為另一種形態(tài)。如何應對？本文擬從制度建設(shè)、設(shè)計研發(fā)、信息系統(tǒng)改進、人員勝任能力提升和夯實審計防線等方面進行論述。

（一）相關(guān)法律規(guī)范及企業(yè)內(nèi)部控制制度體系的完善

國家層面，組織力量進一步完善《企業(yè)內(nèi)部控制基本規(guī)范》，以及應用指引、評價指引和審計指引，出臺分行業(yè)操作指南，積極推動企業(yè)開展內(nèi)部控制信息化和內(nèi)部控制審計信息化?；谛畔⒒闹虚L期規(guī)劃，支持大型企業(yè)研發(fā)內(nèi)部控制審計軟件及構(gòu)建網(wǎng)絡(luò)平臺。財政部2013年12月印發(fā)了我國首個分行業(yè)的內(nèi)部控制操作指南——《石油石化行業(yè)內(nèi)部控制操作指南》（財會〔2013〕31號）（以下簡稱“指南”），要求加強信息溝通與信息化建設(shè)，建立與經(jīng)營管理相適應的信息系統(tǒng)，逐步運用于內(nèi)部控制活動的各業(yè)務(wù)流程中?！爸改稀钡谖逭隆靶畔⑾到y(tǒng)內(nèi)部控制的應用與保障”涉及信息系統(tǒng)的開發(fā)與應用、安全與保障，對信息系統(tǒng)的“監(jiān)督檢查”進行了規(guī)定，為推進我國石油石化行業(yè)內(nèi)部控制信息化及內(nèi)部控制審計信息化工作提供了依據(jù)和參考。目前，除了石油石化和電力行業(yè)外，其他行業(yè)的內(nèi)部控制操作指南尚未出臺，建議選取一批典型行業(yè)加以研發(fā)，例如醫(yī)療行業(yè)、食品行業(yè)、汽車行業(yè)等，逐步推出分行業(yè)內(nèi)部控制操作指南試行版，為社會提供一個討論、參考的范本，通過政策引導、理論研究和實踐應用等方式，加快我國企業(yè)內(nèi)部控制審計信息化進程。

企業(yè)層面，密切配合國家政策及法制導向，結(jié)合行業(yè)特點、企業(yè)實際情況和未來發(fā)展戰(zhàn)略，建立信息化內(nèi)部控制及其審計制度，完善風險管理機制，為應對內(nèi)部控制審計信息化風險提供制度支持。我國大多數(shù)企業(yè)還沒有形成統(tǒng)一高效的信息系統(tǒng)，業(yè)務(wù)上線水平低，存在大量信息孤島，不能發(fā)揮信息化在管理上的支持作用。世界一流企業(yè)基本實現(xiàn)了信息化，我國企業(yè)要向世界一流企業(yè)“取經(jīng)”，汲取成功經(jīng)驗，總結(jié)失敗教訓，發(fā)揮內(nèi)部控制審計信息化建設(shè)的后發(fā)優(yōu)勢，努力提高我國企業(yè)管理經(jīng)營的信息化水平。從事跨國經(jīng)營企業(yè)，更應著眼世界，盡早實現(xiàn)全球一體聯(lián)網(wǎng)運行，運用信息化手段提升內(nèi)部控制質(zhì)量和內(nèi)部控制審計效率，降低營運成本。呂敏康等（2012）初步設(shè)計出一個基于知識庫的內(nèi)部控制專家系統(tǒng)模型，建立了一套基于工作分解結(jié)構(gòu)方法、XML/XBRL和知識庫技術(shù)的系統(tǒng)構(gòu)建方法，為內(nèi)部控制信息化落地提供了一個可行的方案。

（二）特別強調(diào)在信息系統(tǒng)的研發(fā)階段對內(nèi)部控制健全性進行審計

計算機系統(tǒng)的內(nèi)部控制大部分和系統(tǒng)程序密切結(jié)合，內(nèi)部控制功能被植入到計算機程序之中，構(gòu)成數(shù)據(jù)處理的有機組成部分，一旦系統(tǒng)程序投入使用，其內(nèi)部控制功能隨即被確定，而且不容易得到糾正（賀志東，2014）。因此，信息化環(huán)境下對內(nèi)部控制的審計，特別強調(diào)在系統(tǒng)的設(shè)計和開發(fā)階段就對內(nèi)部控制的健全性進行檢查和評估。內(nèi)部控制一旦被固化到信息化流程，就會被鎖死，除非有授權(quán)可以對其進行修改。但增加控制環(huán)節(jié)，無疑就增加了控制風險。因此，信息系統(tǒng)在設(shè)計和開發(fā)的階段，應該對重要控制節(jié)點是否需要固化，以及修改非固化控制所需的授權(quán)策略等給予充分考慮，如果某些控制節(jié)點風險過大，或使用信息化控制成本很高，或控制修改情況變化過于頻繁，可以考慮手工控制形式，而不必使用信息化控制手段。

此外，必須明確，企業(yè)不可能完全依靠信息化來解決一切問題。單一的信息化內(nèi)部控制系統(tǒng)本身就是不健全的，內(nèi)部控制自身有諸多局限性，也可能失效，因為總有些例外情況游離在信息系統(tǒng)之外，而系統(tǒng)缺乏回應，需要啟動應急預案或例外控制機制。信息化必須融合人本戰(zhàn)略、人本文化和人本控制，方能起到事半功倍的作用。計算機不能代替人對突發(fā)事件進行全面判斷，因此，企業(yè)如果僅僅實施單一的信息化策略，必然會為企業(yè)日后遭遇重大風險埋下伏筆。企業(yè)內(nèi)部控制框架由風險治理向人本治理演進是必然趨勢（王海兵，2011），企業(yè)需要利用信息化，但不能完全依賴信息化，信息化只是控制的手段和形式，圍繞人的利益和訴求才是控制的實質(zhì)內(nèi)容。要在信息系統(tǒng)中嵌入人本控制，把最終的控制重心落實到人，而不是完全交給機器。

（三）提升內(nèi)部控制審計信息系統(tǒng)的風險防范能力

當今，企業(yè)所面臨的環(huán)境十分嚴峻，傳統(tǒng)的只考慮企業(yè)內(nèi)部經(jīng)營環(huán)境的時代已不復存在，企業(yè)要想在競爭中勝出，就要充分識別諸多外部因素，如社會整體經(jīng)濟走勢、行業(yè)涉及領(lǐng)域的寬泛性、市場的供求關(guān)系均衡性、自然災害等，推行全面風險管理，為內(nèi)部控制審計信息化的實施創(chuàng)造良好的環(huán)境（吳壽元，2012）。

1.實施基于環(huán)境風險評估的企業(yè)戰(zhàn)略內(nèi)部控制審計。傳統(tǒng)內(nèi)部控制審計對環(huán)境的分析是基于風險評估的需要，體現(xiàn)風險導向，而不能體現(xiàn)價值導向，不夠全面，全面內(nèi)控審計的未來發(fā)展方向應該是包含防范和化解風險的價值導向的全面內(nèi)控審計（李明輝，2004）。戰(zhàn)略是為了應對環(huán)境變化所帶來的機會（價值）或威脅（風險）而采取的策略，戰(zhàn)略內(nèi)部控制是內(nèi)部控制窗口向戰(zhàn)略層次延伸所形成的內(nèi)部控制體系，能夠體現(xiàn)內(nèi)部控制的戰(zhàn)略意圖。因此，實施基于環(huán)境風險評估的企業(yè)戰(zhàn)略內(nèi)部控制審計，包含了內(nèi)部控制風險審計和內(nèi)部控制價值審計。企業(yè)面臨的內(nèi)外部環(huán)境風險很多，對內(nèi)部控制系統(tǒng)造成重大影響的風險包括戰(zhàn)略風險、財務(wù)風險、市場風險、運營風險、法律風險，以及信息化本身所蘊含的安全風險。戰(zhàn)略風險對信息化內(nèi)部控制審計產(chǎn)生重大影響，內(nèi)部審計需要對內(nèi)部控制及其信息化與企業(yè)戰(zhàn)略的耦合性進行評價，即在實施信息化審計時，必須考慮戰(zhàn)略管理審計。在充分識別企業(yè)所面臨的內(nèi)外部環(huán)境后，便需對環(huán)境進行客觀的評價。首先運用大環(huán)境分析法（PESTEL）、態(tài)勢分析法（SWOT）等方法科學設(shè)置企業(yè)戰(zhàn)略目標，然后運用平衡計分卡（BSC）、戴明環(huán)（PDCA）循環(huán)等將目標細分和具體化，再對其進行深入分析，從而確定環(huán)境風險程度以及企業(yè)在競爭中所處的優(yōu)劣勢，進而指導企業(yè)下一步的工作部署。

信息化不只是單純的技術(shù)，而是融入了戰(zhàn)略思維的平臺，是戰(zhàn)略推進的利器。戰(zhàn)略問題確定了，才能明確內(nèi)部控制審計信息化當中的“主要矛盾”和“矛盾的主要方面”，風險管控才可能有的放矢。對于關(guān)鍵的能夠體現(xiàn)戰(zhàn)略意圖的控制節(jié)點，需要在信息化的內(nèi)部控制系統(tǒng)中加以考慮，以參數(shù)和授權(quán)等形式來設(shè)置“戰(zhàn)略閥門”。例如實施差異化戰(zhàn)略的企業(yè)，需要強化其研發(fā)內(nèi)部控制審計模塊，這是“主要矛盾”和核心問題，其他環(huán)節(jié)甚至可以通過外包、戰(zhàn)略聯(lián)盟等形式去實現(xiàn)。研發(fā)投入占收入比、研發(fā)人員數(shù)量和質(zhì)量、研發(fā)成功率、研發(fā)成果轉(zhuǎn)化率等都是關(guān)鍵的參數(shù)，這是“矛盾的主要方面”和關(guān)鍵因素，對這些參數(shù)進行密切監(jiān)控，能夠有效控制重大研發(fā)風險，從而為差異化戰(zhàn)略提供支持。同理，實施成本領(lǐng)先戰(zhàn)略的企業(yè)，更重視采購和生產(chǎn)成本的降低，信息化內(nèi)部控制審計的重心和差異化戰(zhàn)略顯著不同。因此，戰(zhàn)略的微小調(diào)整都應該導入到信息系統(tǒng)，通過修改或調(diào)節(jié)“戰(zhàn)略閥門”來實現(xiàn)。因此，企業(yè)實施內(nèi)部控制審計信息化必須先行制定科學合理的戰(zhàn)略，以戰(zhàn)略來引領(lǐng)和推動內(nèi)部控制審計信息化。

2.加強內(nèi)部控制系統(tǒng)的安全性監(jiān)視。內(nèi)部控制信息化在提高信息生成和傳播速度、擴大信息共享面、提高信息利用效能方面表現(xiàn)優(yōu)異，但如果安全防護措施不當，也可能帶來被刪除、篡改和非法利用的風險。內(nèi)部控制信息化帶來的安全風險源于信息生成、加工、分析、整合、傳播和應用的快捷性、多元性和無形性，因此，要求信息系統(tǒng)在設(shè)計過程中必須合理設(shè)置數(shù)據(jù)防火墻和功能安全密鑰，并提供數(shù)據(jù)的應急管理方案和自動備份策略，保留數(shù)據(jù)修改和下載痕跡（楊蓉，2012），一方面可以減少內(nèi)部控制舞弊，同時為信息化內(nèi)部控制審計取證提供支持。因此，加強信息化內(nèi)部控制系統(tǒng)的安全性監(jiān)視能夠提升內(nèi)部控制審計系統(tǒng)的風險防范能力。

信息化環(huán)境下的內(nèi)部控制系統(tǒng)（ICS）是以COSO風險管理框架和相關(guān)內(nèi)部控制基本規(guī)范與配套指引為理論基礎(chǔ)的內(nèi)部控制信息化管理系統(tǒng)。企業(yè)建立了內(nèi)部控制體系，設(shè)計了規(guī)范的內(nèi)部控制流程，如果在實際工作中得不到執(zhí)行，那么設(shè)計的內(nèi)部控制制度也將是一紙空文。作為內(nèi)部控制審計管理者，更應該熟知內(nèi)部控制系統(tǒng)的整個流程，識別系統(tǒng)中的安全隱患，實現(xiàn)內(nèi)部控制體系的規(guī)范化與精益化監(jiān)督和管理。

信息化環(huán)境下，加強內(nèi)部控制系統(tǒng)安全性監(jiān)測的具體措施，一是內(nèi)部控制測試，將測試程序及方法轉(zhuǎn)換為監(jiān)控規(guī)則，通過系統(tǒng)實現(xiàn)自動取證，使內(nèi)部控制測試工作日?；詣由山y(tǒng)一格式的測試工作底稿，規(guī)范測試工作過程。二是內(nèi)部控制評價，基于評價指標以項目的形式制定評價工作方案，利用多種測評方法開展評價工作，自動生成統(tǒng)一格式的評價工作底稿與評價報告，規(guī)范內(nèi)部控制評價流程。三是缺陷管理，通過對內(nèi)部控制設(shè)計缺陷和運行缺陷的識別、分析、報告，建立閉環(huán)的內(nèi)部控制改進機制，持續(xù)跟蹤優(yōu)化內(nèi)部控制管理體系。四是流程監(jiān)控，通過ICS與相關(guān)業(yè)務(wù)系統(tǒng)的高度集成，以內(nèi)部控制流程為標準，對業(yè)務(wù)流程進行實時監(jiān)控，自動報告問題，觸發(fā)異常問題處理機制，大大減少手工測試工作量。五是內(nèi)部控制地圖，提供多角度、多形式的內(nèi)部控制地圖，根據(jù)需要快速、直觀地顯示內(nèi)部控制運行實況，幫助管理者全面及時掌握企業(yè)內(nèi)部控制動態(tài)。企業(yè)實施內(nèi)部控制審計信息化的風險存在于整個流程中，要對其進行事前、事中、事后的全程審計監(jiān)督。具體案例中，審計人員需根據(jù)實際情況選擇一種或多種測試方法，對內(nèi)部控制系統(tǒng)中的安全性進行全程監(jiān)控，為企業(yè)內(nèi)部控制審計信息化的有序?qū)嵤┨峁┍Ｕ稀?/p>

（四）采取預防性的總體應對措施

總體應對措施能夠有效降低企業(yè)內(nèi)部控制審計信息化風險，主要包括建立與信息化環(huán)境相適應的組織架構(gòu)、提高內(nèi)部控制審計人員的專業(yè)勝任能力等方面。

1.建立與信息化環(huán)境相適應的組織架構(gòu)。組織架構(gòu)是內(nèi)部控制的重要環(huán)境因素之一，而且對風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督等具有重要影響。建立與信息化環(huán)境相適應的組織架構(gòu)，要求企業(yè)基于信息化需求，對治理結(jié)構(gòu)、崗位設(shè)置、業(yè)務(wù)流程等進行革新或優(yōu)化。企業(yè)應當具有明晰的組織結(jié)構(gòu)，并合理設(shè)置職能部門，考慮信息化技術(shù)優(yōu)勢，精簡治理層級，提升監(jiān)督效能。通過信息化手段，充分發(fā)揮內(nèi)部控制的監(jiān)督機制，這樣才有利于科學決策和規(guī)范運行（鄭潔、賀正楚，2005）。

2.相關(guān)人員執(zhí)行能力的有效評價。優(yōu)秀的員工素質(zhì)是良好的內(nèi)部控制環(huán)境的構(gòu)成要素，評價內(nèi)部審計人員、內(nèi)部控制評價人員和其他相關(guān)人員的專業(yè)勝任能力和客觀性，可以有效地降低內(nèi)部控制審計風險。在評價他人的專業(yè)勝任能力時，外部審計人員應當考慮其專業(yè)資格、職業(yè)經(jīng)驗與技能等相關(guān)因素。在評價他人的客觀性時，外部審計人員應當考慮是否存在削弱或者增強其客觀性的因素（吳水澎，2000）。

實施信息化內(nèi)部控制審計過程中，強化人機整合可以加強對企業(yè)業(yè)務(wù)流程、管理和決策的控制（王智玉，2011）。對審計人員自身執(zhí)行能力而言，由于其面對的是相互關(guān)聯(lián)的一系列復雜程序和海量數(shù)據(jù)，穿行測試和分析程序?qū)⑹窃\斷風險、發(fā)現(xiàn)控制缺陷的有效審計方法，能否熟練運用這些方法是影響審計效率和效果的重要因素。

3.相關(guān)人員專業(yè)技能的再深造。加強對在職審計人員信息化應用水平的培訓，提高內(nèi)部控制人員的專業(yè)勝任能力，同時加快與財經(jīng)類高校的合作與交流，培養(yǎng)社會所需的復合型知識結(jié)構(gòu)的審計系統(tǒng)開發(fā)人員，使他們成為信息化條件下內(nèi)部控制審計的專業(yè)技術(shù)人員。對企業(yè)所面臨的內(nèi)外部環(huán)境如行業(yè)、經(jīng)營狀況以及市場等進行全面風險評估，不斷提高執(zhí)業(yè)人員信息化內(nèi)部控制審計的知識、技能和經(jīng)驗，重點掌握戰(zhàn)略與風險管理、信息化技術(shù)、內(nèi)部控制、云審計、COBIT審計標準等。

還可以考慮引入激勵與約束機制對相關(guān)人員的執(zhí)業(yè)風險進行控制，從而倒逼相關(guān)人員不斷改進自身職業(yè)水準，將其所提供服務(wù)的質(zhì)量維持在一定水平之上，將風險控制在一定水平下。由于對EDI及ERP等信息系統(tǒng)的依賴性加重，全球都積極建立了更多有關(guān)信息系統(tǒng)審計的規(guī)定，以國際性銀行為例，員工的激勵性薪酬是很高的，但若因不良備份及復原程序而無法提供適當?shù)姆?wù)水準，公司及員工將受到嚴重的處罰（陳朝，2006）。對于審計人員而言，內(nèi)部控制審計的價值和風險就是兩條無形的標準，它能有效地保護審計人員及相關(guān)各方的利益，監(jiān)督企業(yè)管理層和員工積極有效地開展內(nèi)部控制活動。

（五）構(gòu)筑并夯實信息化環(huán)境下風險防控的三道防線

企業(yè)風險防控有三道防線：業(yè)務(wù)層面風險防控為第一道防線，管理層面風險防控為第二道防線，內(nèi)部審計是第三道防線。著名的巴林銀行倒閉案，既有用人不當（人力資源控制失效）的原因，也與信息系統(tǒng)內(nèi)部審計成果未得到重視和利用有關(guān)。操作員里森違規(guī)操盤掩蓋失誤，沒有從業(yè)務(wù)層面降低風險，此為第一道風險防線失控；總部分配給里森的記錄錯誤的賬號“88888”只有授權(quán)，在通知里森啟用總部賬號“99905”之際，并沒有凍結(jié)“88888”，而且里森身兼交易與清算二職，這就給里森利用這個不受監(jiān)控的賬戶進行舞弊以可乘之機，總部的決策授權(quán)存在很大問題，里森這一執(zhí)行層面也嚴重違背內(nèi)部控制的制衡性原則，風險管理存在重大漏洞，此為第二道風險防線失控；撇開里森個人的職業(yè)道德和職業(yè)勝任能力不說，更可悲的是，內(nèi)部審計報告中記錄了里森前臺交易和后臺清算兩職合一的情形，但未得到總部重視，由此，巴林銀行一路暢通無阻地走向了破產(chǎn)的深淵。內(nèi)部審計成果的有效利用可以改進內(nèi)部控制。對內(nèi)部控制審計成果的不重視、不利用，必然形成內(nèi)部控制審計信息化的重大風險，甚至摧毀一個企業(yè)。慘痛的教訓警示我們，構(gòu)筑并夯實信息化環(huán)境下風險防控的三道防線，是維系企業(yè)正常運轉(zhuǎn)的基石。

四、結(jié)語

企業(yè)實行內(nèi)部控制審計信息化是企業(yè)順應大數(shù)據(jù)時代發(fā)展的需要，也是企業(yè)內(nèi)部控制審計走上規(guī)范化、信息化的需要。審計信息化會導致對審計組織方式的觸動和對審計機構(gòu)調(diào)整的需求，應在需要和可能之間尋求適度妥協(xié)，以足夠的耐心，等待醞釀中的突破和外部環(huán)境的演變（駱良彬、張白，2008）。目前，我國企業(yè)內(nèi)部控制審計信息化雖正處在初級階段，但財政部等五部委頒布并在上市公司實施的《企業(yè)內(nèi)部控制基本規(guī)范》和包括審計指引在內(nèi)的配套指引，以及目前正在積極開發(fā)和征求意見的分行業(yè)操作指南，為企業(yè)內(nèi)部控制建設(shè)注入了強大的推動力，企業(yè)內(nèi)部控制及其審計從幕后走向前臺。隨著社會經(jīng)濟的快速發(fā)展以及企業(yè)參與國際國內(nèi)市場競爭的加劇，許多大型跨國企業(yè)和上市集團公司開始實施ERP和SAP工程，這將為企業(yè)實施內(nèi)部控制審計信息化提供平臺支持。在政府的政策引導和積極推動下，在社會各界的關(guān)注和支持下，以及在企業(yè)自身戰(zhàn)略目標驅(qū)動和風險管理協(xié)同下，企業(yè)內(nèi)部控制審計信息化建設(shè)一定會迎來春天。

【參考文獻】

[1] 曹燕，常京萍.企業(yè)內(nèi)部審計信息化戰(zhàn)略研究[J].會計之友，2010（10上）：52-53.

[2] 財政部，等.企業(yè)內(nèi)部控制規(guī)范[M].北京：中國財政經(jīng)濟出版社，2010.

[3] 中國注冊會計師協(xié)會.獨立審計具體準則第9號——內(nèi)部控制與審計風險[S].1997.

[4] 李晉蓉.試論企業(yè)內(nèi)部控制制度[C].四川省通信學會2002年學術(shù)年會論文集，2002.

[5] 肖敏.審計信息化的審計軟件過程度量的研究[J].審計月刊，2008（2）：30-32.

[6] 財政部.石油石化行業(yè)內(nèi)部控制操作指南[S].2013.

[7] 呂敏康，許家林.企業(yè)內(nèi)部控制專家系統(tǒng)研究[J].會計研究，2012（12）：61-67.

[8] 賀志東.中國內(nèi)部審計操作實務(wù)[M].北京：電子工業(yè)出版社，2014.

[9] 王海兵，伍中信，等.企業(yè)內(nèi)部控制的人本解讀與框架重構(gòu)[J].會計研究，2011（7）：59-65.

[10] 吳壽元.企業(yè)內(nèi)部控制審計研究[D].財政部財政科學研究所博士學位論文，2012.

[11] 李明輝.對完善上市公司監(jiān)事財務(wù)監(jiān)督制度的思考[J].審計研究，2004（4）：72-76.

[12] 楊蓉.會計信息化下內(nèi)部控制審計研究[J].財政監(jiān)督（財會版），2012（7）：5-6.

[13] 鄭潔，賀正楚.信息技術(shù)對企業(yè)內(nèi)部控制要素的五大影響[J].廣州大學學報（社會科學版），2005（10）：23-25.

[14] 吳水澎，陳漢文，邵賢弟.企業(yè)內(nèi)部控制理論的發(fā)展與啟示[J].會計研究，2000（5）：2-8.

[15] 王智玉.審計信息化與審計組織方式[J].審計研究，2011（4）：39-42.

[16] 陳朝.我國信息化建設(shè)中信息系統(tǒng)審計問題研究[D].東北師范大學碩士學位論文，2006.

[17] 駱良彬，張白.企業(yè)信息化過程中內(nèi)部控制問題研究[J].會計研究，2008（5）：69-75.