基于信息技术的内控审计风险管理策略探讨

摘要：随着我国现代科学技术的发展进步，信息技术越来越多地应用到企业生产经营管理活动中，大大提高了企业内部管理的质量与效率。然而，在信息化条件下，很多企业内部控制审计风险存在着诸多不确定性因素，这就要求我们一定要高度重视信息化条件下的内部控制审计风险，结合本企业发展特点，找到与企业发展相适应的风险分析方法，从而更好地规避和防范企业审计风险。本文主要分析了信息化背景下的内部控制审计风险管理的现状，从内部控制审计人员、计算机信息系统以及责任追溯等方面研究了内部控制审计存在的主要风险问题，最后结合企业实际发展提出了几点可行性建议。

关键词：信息技术 内部控制 审计风险 管理策略

一、信息化背景下的内部控制审计风险管理现状

在当今社会，现代企业内部控制审计要想真正发挥作用，就要对企业内部审计风险进行有效识别和控制，这离不开先进的审计技术方法。随着现代信息技术的发展进步，企业内部控制审计风险的管理不断趋向于信息化发展。信息化背景下的内部控制审计与传统常规的内部审计相比，具有宏观性、预见性和建设性等特点，比如，为了避免和减少内部控制审计风险，企业可以实施联网审计，使审计关口前移，随时跟踪，及时发现问题，并尽早给予解决，这是传统常规内部审计风险管理不可企及的。

在信息化时代背景下，企业内部控制审计环境发生了很大的改变，信息技术不仅降低了传统信息传输的迟缓、易失真的可能性，大大扩大了信息接收的范围，提高了信息传输以及接收的效率，而且信息技术的应用，使得企业的组织结构更加趋向于网络化、扁平化和虚拟化，减少了企业内部控制的层次，提高了企业内部控制审计风险管理效率。此外，利用相关软件和现代网络技术等信息技术，实现了审计测试工作的自动化或半自动化，有效地降低了手工审计状态下的人员舞弊或疏漏等造成的审计风险等。这些都是信息化给企业内部控制审计风险管理带来的良好效益。但不可否认的是，内部控制审计风险管理的信息化建设也有一定的弊端，如系统的开放性、数据的共享性、信息的分散性等都会给内部控制审计流程带来了新的风险，并且内部控制审计风险的信息化必须依赖于计算机等现代信息设备，这又给网络黑客等不法分子以可乘之机，而且一旦信息系统失灵或崩溃，将可能会给企业带来不可估量的损失。可见，信息化背景下的内部控制审计风险管理有其先进合理之处，但同时也存在着严重的危害性，因此，我们要能够辩证看待企业内部控制审计风险管理的信息化建设。

二、信息化时代下的内部控制审计存在的主要风险问题

信息化时代下的企业内部控制审计存在着很多风险问题，下面主要从内部控制审计人员、计算机信息系统、信息传达过程中以及信息责任追溯四个方面进行分析：

（一）相关内部控制审计人员方面存在的风险

企业内部控制审计管理者以及执行者的风险偏好可能影响到内部控制审计的风险判断。在信息化条件下，内部控制审计风险的评估虽然大多依赖于计算机等信息系统，但或多或少的存在着审计主体的参与。而信息化时代下的风险导向审计将内部控制审计的工作重点放在了风险评估方面，审计主体在进行内部控制审计专业判断时如果偏好风险，则可能会降低风险危害度，而如果审计主体对风险预估比较保守，就可能在评估时也较为保守，这种内部控制审计风险判断的弹性空间在一定程度上会影响到内部控制审计风险。

此外，审计人员在信息化条件下的运用信息技术与审计专业知识的综合能力也可能成为内部控制审计风险。

（二）计算机信息系统方面可能存在的风险

信息技术环境下的内部控制审计风险管理离不开现代计算机信息系统的支持，因此，计算机信息系统的环境和质量存在风险，则可能导致内部控制审计风险。一是计算机信息系统环境方面的风险。企业内部控制审计风险管理运用的软件所在的计算机存在网络故障、木马、黑客、病毒等安全风险，必将随时对企业内部控制审计风险形成威胁；二是内部控制审计风险管理软件方面的风险。一般说来，企业运用内部控制审计风险管理软件时，往往采用外界购买的方式进行，有的企业甚至为了节省成本，购买盗版软件，如果软件存在设计缺少保密设置、审核环节、反记账、反结账等缺陷，就可能存在随意更改审核内容的问题，那么，内部控制审计风险管理也就形同虚设了。

（三）业务信息责任追溯方面存在的风险

在传统手工内部控制审计风险管理中，每项工作都反映在书面上，每项工作的经手人、审核签批等都会有相应人签字，审计风险管理工作一旦出现漏洞，可以直接顺着线索找到负责人。但基于信息技术的内部控制审计风险管理中，各项审计管理工作都几乎脱离了相关责任人签字程序，各项纸质记录消失，数据存储介质也以磁盘、光盘、软件等为主，对于内部控制审计风险管理中出现的问题难以找到责任人，再加上计算机病毒、程序处理错误、网络传输故障、非法入侵程序等的威胁都可能使得电子数据被破坏或重要数据被篡改，业务信息责任追溯难以真正落实下来。

三、基于信息技术的企业内部控制审计风险管理的有效策略分析

在当前信息技术条件下，企业内部控制审计风险管理涉及很多问题，我们企业内部控制审计风险管理相关人员要齐心协力，严格按照相关规章流程办事，积极探索信息技术条件下的企业内部控制审计风险管理的有效策略，进一步完善企业内部控制审计风险管理措施。这也是在当前信息化社会背景下，值得每家企业管理者深入研究和探讨的课题。

（一）制定相关内控审计规章流程，严格按照规章制度办事

一是要加强对信息系统的控制与审计。信息技术环境下的内部控制审计风险管理主要是基于信息系统完成的，要想加强内部控制审计风险管理效果，首先要提高计算机安全系数以及内控审计风险管理软件的安全系数，在软件设计开发时就要从专业审计角度对信息系统的参数设定、授权流程审批、相关核算办法、数据库安全性能等各个方面入手，还要同时加强计算机防火墙的设置，提高计算机以及审计风险管理软件的安全和性能。

二是要制定内控审计规章流程。在使用计算机内部控制审计风险管理过程中，要制定严格的内控审计规章流程，审计部门必须不断创新内部审计方法，如为确保信息系统输出数据的准确性、可靠性以及有效性，内部审计人员要采用反复测算等方法来检查信息系统的管理模块等。内控审计风险管理的重要关口环节都应由至少两人授权审核，并定期对全部数据进行整合与审查，确保内部控制审计风险管理的有效性。

（二）提升审计人员的职业素养，确保内部控制审计公正合理

基于信息技术的内部控制审计风险管理工作需要大量的数据库查询、数据库更新、数据分析等信息技术，这就要求企业内部控制审计风险管理相关人员应当同时具备丰富的内部控制审计风险管理知识以及计算机网络信息应用知识。

因此，企业要健全审计人员的专业知识培训与职业道德培训，加快审计人员的审计业务、信息应用技术知识的更新，提高审计人员的计算机操作水平、审计管理软件使用水平，与此同时，还要定期加强内部审计人员的职业道德建设，对每一位从事审计风险管理工作的人员都要加强引导与教育，提高他们的思想道德素质，提高其面对各种诱惑的能力，促使其自觉遵守国家相关审计法律法规，真正奉行责任、忠诚、清廉、独立、风险、依法的审计风险管理核心价值观，为信息化内部审计风险的规避提供有力的保障。

（三）加大违规人员的惩戒力度控制违规违法人员违规成本

在实际的企业内部控制审计风险管理中，我们要在确保内部审计监督独立性的基础上，确保审计风险结果的客观性、公正性，同时应进一步明确每一位内部控制审计风险管理工作人员的职责定位，深化对内部审计工作的价值和作用的认识，实施责任到人原则，一旦出现问题，必须追究责任到个人，坚决避免相互推卸责任的状况，以此强化审计风险管理人员的责任感和使命感。

在信息化条件下，通过计算机进行舞弊行为成为独特的风险类型，内部审计人员在开展审计工作中，一定要加以重视。内部审计人员一定要强化对违规人员的审计惩戒力度，防止利用计算机漏洞或网络系统漏洞开展违法犯罪活动，一旦发现有违规人员故意破坏内部控制审计秩序，应严惩不贷，轻者可采取内部罚款、警告、严重警告、开除等内部处分，而如若触犯了法律或给企业带来巨大损失等事态严重者，可根据具体情况直接移交司法机关。这样，就大大提高了违规违法人员的违规成本，迫使其自觉遵守内部控制审计工作规章，各自做好自己的分内工作，这在某种程度上也有效地规避了内部控制审计风险，进而促进现代企业持续健康有序发展。

随着我国现代科学技术的发展，企业内部控制审计风险管理的信息化已成为其发展的必然趋势，但企业内部控制审计风险管理的信息化建设显然不是一蹴而就的，它的发展成熟需要一个漫长的过程。尽管当前信息环境下的企业内部控制审计风险管理存在着诸多问题，但只要我们制定严格的内控审计规章流程、提高审计人员的职业素养、加大违规人员的惩戒力度，多措并举、严格规范和加强企业内部控制审计风险管理，就一定能够找到与企业相适应的内部控制审计风险管理方法，进而提高企业内部控制审计风险管理的有效性。

参考文献：

[1] 顾庆忠.风险管理导向下对外投资的内部控制策略探讨[J].财经界（学术版），2015（5）.

[2] 彭坤.会计信息化对企业内部控制审计的影响及对策研究[J].企业导报，2014（9）.

[3] 黄小琳.基于企业风险管理框架的内部控制评价模型及应用[J].审计研究，2013（6）.

[4] 王瑞华.基于会计审计风险原因与会计信息化审计对策的分析[J].商场现代化，2014（7）.