[摘要]如今以網絡、通訊、信息處理、人工智能和多媒體為核心的信息技術———IT已成為世界經濟和科技發(fā)展的制高點。IT正在改變著企業(yè)的經營環(huán)境，沖擊著企業(yè)的經營管理，給企業(yè)的內部控制帶來新的挑戰(zhàn)，并賦予它新的內涵和任務。IT環(huán)境下風險導向型內部控制是要達到有效控制風險，保證信息真實可靠，提高經營效率的目的。

　　[關鍵詞]信息技術；風險；風險評估；風險預警；風險管理審計

　　一、IT環(huán)境下企業(yè)內部控制面臨的問題

　　隨著信息技術的發(fā)展，特別是網絡信息的傳遞和財務軟件的應用，傳統(tǒng)的單機會計電算化系統(tǒng)正在向網絡會計系統(tǒng)發(fā)展，這是會計領域的重大變革，極大的促進了會計工作效率的提高，同時給企業(yè)的內部控制帶來新的問題和挑戰(zhàn)，主要體現在：

　　（一）網絡環(huán)境的開放性使企業(yè)的固有風險、財務風險加大

　　在網絡時代，企業(yè)的信息都要在網絡上公布，企業(yè)人員需要定期或不定期的進行信息交流，企業(yè)的各項數據都存儲在處于聯(lián)網狀態(tài)的客戶機的磁盤中，極易被篡改或惡意破壞，同時磁盤等軟硬件也可能由于質量問題或病毒侵擾而發(fā)生故障，破壞企業(yè)的數據和各種信息，這就使會計數據的安全性受到威脅，安全系數下降，加劇了會計信息的失真。同時競爭對手也可以通過互聯(lián)網登陸企業(yè)的網站，了解企業(yè)的信息，使企業(yè)數據信息的保密性難以保證。這就增大了企業(yè)的固有風險和財務風險。

　　（二）授權方式的改變，潛伏著更大的經營風險和控制風險

　　授權批準是傳統(tǒng)內部控制的基本手段，通過嚴格控制相應環(huán)節(jié)的負責人員的權限，使每一個崗位上的負責人只在本崗位上有權處理數據，能加強各環(huán)節(jié)的內部牽制，有效的防止作弊。IT使權限分工成為口令形式，口令不像印章那樣便于保管，一旦被偷看或竊取，就會給企業(yè)帶來巨大損失。如果有人竊取口令，非法核銷企業(yè)的賣出產品數量和應收賬款，然后收買銷售人員竊取到顧客訂單密碼開出假訂單，就會騙取企業(yè)的產品，這就增大了企業(yè)的控制風險和經營風險。

　?。ㄈ徲嬋藛T面臨的審計風險加大

　　在IT環(huán)境下審計人員對本身具有不安全性的信息資料和數據進行審計，加大了做出錯誤判斷的可能性，使審計的控制風險和檢查風險增大。審計風險AR=IR CR DR（IR為固有風險，CR為控制風險，DR為檢查風險），IR、CR、DR都增大了，相應的審計風險也就增大了，這對審計行業(yè)來講是一個嚴峻的挑戰(zhàn)。

　　二、IT環(huán)境下對風險導向型內部控制的理解

　　企業(yè)內部控制自產生以來經歷了內部牽制、內部控制制度、內部控制結構和內部控制整體框架四個階段。內部控制是由企業(yè)董事會、經理階層和其他員工實施的，為營運的效率、效果，財務報告的可靠性，相關法令的遵循性等目標的達成而提供合理保證的過程。其構成要素有：控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督?？梢哉f這五個要素都是非常重要的，但在IT環(huán)境下各種不確定性因素急劇加大，使企業(yè)的風險更增強，這就突出了風險評估要素的重要性，如果企業(yè)對經營項目本身的風險評估不夠恰當，錯誤決策，就會功虧一簣。風險導向型內部控制是伴隨著IT的發(fā)展而發(fā)展起來的，是指在IT環(huán)境下企業(yè)的經營決策以風險評估為基礎，綜合分析企業(yè)經濟活動的各因素的一種內部控制方式。風險導向型內部控制在風險較大的信息技術環(huán)境下既是出資者約束經理人的工具，也是經理人鎖定職業(yè)風險的“防火墻”。同時，從契約經濟學的角度去理解，企業(yè)是一系列有緊密聯(lián)系的契約的組合，契約在風險性較大的IT環(huán)境中履行時，就需要在企業(yè)內部存在一個以風險評估為基礎的控制機制，來彌補和糾正契約本身的不完備性，保證企業(yè)的正常運作和發(fā)展，于是風險導向型內部控制應運而生。

　　風險導向型內部控制的本質特征是以風險的評估為基礎。在IT環(huán)境下企業(yè)面臨的風險主要是信息被竊取、篡改后會使企業(yè)的財務風險、經營風險、控制風險和其他固有風險增大，以至于會使審計人員的審計風險也增大。因此，我們應該看到風險的危害確實是現實存在的，這就要求企業(yè)對所經營的項目進行風險的評價，評估出項目風險的種類、風險的級別，尋找風險產生的原因，并采取相應的風險防范或控制措施。高風險項目總是讓人望而生畏，企業(yè)要權衡自己的實力和項目的風險程度，再決定是否運作。巨人集團如果建立起科學的風險評估機制，就會合理的、恰當的評估出生物工程的風險性水平，就不會傾巨人所有資金于生物工程而慘遭失敗。當然也不能懼怕風險，只要能正確、合理的評價出風險，并有效的控制風險，管理當局就會運籌帷幄，既不去拼死冒險，也不要失去機會。

　　三、IT環(huán)境下風險導向型內部控制框架的構建設想

　　IT環(huán)境下風險導向型內部控制所要達到的目標是有效的控制企業(yè)的各種風險，保證財務報告的真實可靠，使企業(yè)合法經營，提高企業(yè)經營的效率、效果。

　?。ㄒ唬┩晟乒局卫斫Y構，加強網絡管理

　　IT環(huán)境下企業(yè)的內部控制應該從公司治理結構入手，整合組織結構、業(yè)務流程、資金運營和會計工作與審計體系。公司治理是股東、董事會、監(jiān)事會、經理層之間形成的權責分配、激勵與約束和權利制衡的關系?？茖W的公司治理結構包括民主、透明的決策程序和管理議事規(guī)則，高效、嚴謹的業(yè)務執(zhí)行系統(tǒng)以及健全、有效的內部監(jiān)督和反饋系統(tǒng)。實行公司治理的關鍵是實施相互制衡的共同治理，主要治理人有股東、董事會、監(jiān)事會、經理和銀行。各方治理人都應該在自己的職責、權限范圍內嚴格執(zhí)行公司的治理規(guī)定，不能容許個別治理人的越權治理，也不能容許個別治理人的缺位治理，從而進一步完善公司治理結構，為企業(yè)實施內部控制打下良好的基礎。

　　1.嚴格網絡系統(tǒng)的管理制度，加強安全控制。比如，明確操作權限，嚴格控制對會計數據的接觸，定期對系統(tǒng)進行安全檢查，提高系統(tǒng)性能，使系統(tǒng)在被破壞時，能夠緊急響應，強制備份，快速重構和快速恢復。

　　2.實行網上公證，避免信息被修改或偽造。利用互聯(lián)網實現原始交易憑證三方監(jiān)控，如每家企業(yè)都在互聯(lián)網上認證機構領取數字簽名和私有密碼，當交易發(fā)生時，交易雙方將認可的單據或有關證明傳到認證機構，由認證機構確認，進行數字簽名并予以加密，然后轉發(fā)給雙方，這樣就完成了一項雙方都認可的且由互聯(lián)網認證機構公證的交易。

　　這種情況下交易中的任何一方因為無法獲得另一方的數字簽名和密碼，很難篡改或偽造交易憑證。

　　3.建立良好的信息溝通系統(tǒng)，提高控制效果。風險導向型內部控制應滲透到企業(yè)的各個業(yè)務過程、各個經營環(huán)節(jié)，覆蓋企業(yè)所有的部門和崗位，不留任何“盲區(qū)”、“盲點”和“盲人”，使所有在崗人員充分利用網絡進行及時、全面的橫向和縱向信息溝通和交流，同時把競爭對手的相關信息提交分析決策部門，以便管理當局做出正確的決策。

　　4.對企業(yè)會計人員加強職業(yè)道德教育和能力培養(yǎng)，增強職業(yè)判斷能力，使他們能夠不斷提高對IT環(huán)境下風險的識別、判斷和評價能力。

　?。ǘ┙L險預警、評估和控制機制，實行風險管理

　　所謂風險管理是指對風險的識別、判斷、評估和及時處理。要實行風險管理就要求企業(yè)內部存在風險的預警、評估和控制機制。

　　1.建立風險預警體系，完善風險預警系統(tǒng)

　　風險預警是通過對一系列指標的分析，檢測是否有不正常反映并發(fā)出警戒信號的過程。風險預警系統(tǒng)應包括預警分析的組織機制、會計信息系統(tǒng)和財務信息收集、傳遞機制和風險分析機制，風險預警系統(tǒng)能夠利用收集到的各種信息，運用預警分析方法對企業(yè)即將或風險做出預警分析。

　　2.建立風險評估機制，正確評價經濟活動的風險水平

　　健全的風險評估機制應包括風險評估標準、風險評估規(guī)范、風險評估方法。

　　風險評估標準是企業(yè)自己設置的風險指標值，在設定時關鍵是確定好風險高低的分界點和分值范圍。比如應收賬款反映用戶占用企業(yè)資金的情況，占用時間越長，收回的可能性越小，風險越大。

　　風險評估規(guī)范是企業(yè)自己制定的用來約束和評價風險評估人員的規(guī)章制度。

　　風險評估方法從總體上講可以分為定性分析法和定量分析法。定性分析法有標準化調查法、“四階段癥狀分析法”、“三個月資金周轉表法”、流程圖分析法和管理評分法等方法；定量分析法有單變量分析法和多變量分析法。

　　3.建立內部風險咨詢管理機構，控制企業(yè)風險

　　企業(yè)可以在內部結構中成立一個風險咨詢機構，專門負責企業(yè)內部的風險咨詢業(yè)務，針對不同情況對風險采取不同的控制手段。可采取的控制手段有：風險分散制度，即通過風險的分散措施，如多方位、多元化經營來分散市場競爭的風險；風險轉嫁制度，即企業(yè)可以通過合法的途徑和手段把風險轉嫁給其他單位承擔，如簽訂遠期合同，實行承包經營，購買保險等將風險轉嫁出去；分類控制制度，根據風險產生的不同原因和類型，分門別類加以控制。

　　4.風險評估信息的披露

　　在IT環(huán)境下，由評估人員出據的評估報告在企業(yè)對外披露的信息中的地位不斷加強，一方面由于代理授權的存在，為了加強股東對經營者的監(jiān)督，弱化信息不對稱造成的影響，風險評估信息應該披露；另一方面風險信息是投資者迫切需要的信息，他們關心企業(yè)的運營成果、風險及風險評估信息，以期改善企業(yè)的抗風險能力，提高投資的效率和效果，因此風險評估信息需要披露。企業(yè)在披露風險評估信息時，應該以外部評估機構的評估結果為主，以內部評估信息為補充信息，對存在風險的項目、風險的級別以及企業(yè)為防范和控制風險采取了哪些措施等重要信息進行披露。

　?。ㄈ嵭酗L險管理審計，進行內部控制的監(jiān)督和再控制

　　風險管理審計是內部審計發(fā)展的必然趨勢。風險管理審計是立足于企業(yè)內部的一項特殊的咨詢和服務項目，它針對風險產生的原因和環(huán)節(jié)，評價和改進企業(yè)的風險管理，對企業(yè)的內部控制情況進行審查和再控制，提高企業(yè)經營的效率、效果，增加企業(yè)價值。實施風險管理審計，評價企業(yè)內部控制的模式有很多種，但在IT環(huán)境下我們可以將內部控制自評（CSA）和網絡信息動態(tài)評估結合起來運用。

　　1.CSA方法要求內部審計人員和被審計部門管理人員組成一個小組，使當局管理人員在審計人員的幫助下，對本部門內部控制的恰當性和有效性進行評估，然后依據評估出據審計報告。CSA的主要優(yōu)點是提供了一個評估并控制風險的工具，能使內部審計人員和管理人員共同控制風險，同時有助于企業(yè)各部門的合作和企業(yè)的整體發(fā)展；管理人員可以針對CSA反映出的管理控制中存在的問題，及時加以改進，還可以向企業(yè)評審機構展示他們對現存內部控制的態(tài)度，有利于風險導向型內部控制的完善。

　　2.網絡動態(tài)評估法是指內部審計人員收集充分的信息和資料，然后創(chuàng)建數據庫，利用風險評估指標再次測評企業(yè)面臨的風險及風險產生的環(huán)節(jié)，從而評價內部控制的執(zhí)行情況，同時提供風險防范、管理、控制的對策。內部審計人員通過訪問數據庫根據風險評估標準，就可以了解哪里存在風險，風險的水平，并可按重要性或風險高低排序， 了解總體情況，對企業(yè)的內部控制的執(zhí)行情況進行監(jiān)督。網絡動態(tài)評估法的主要優(yōu)點是只要第一次做好數據庫，以后評估時就可以通過更新變更的資料更新數據庫，然后直接測評，當然也要根據實際情況對風險評估標準作相應的調整。

　　3.風險導向型內部控制進行的風險管理審計應該將內部控制自評和網絡動態(tài)評估法有機結合起來，在網絡動態(tài)評估法的基礎上加強內部控制自評，即在充分利用信息系統(tǒng)的基礎上認真執(zhí)行內部控制自評，來評價企業(yè)的內部控制、評估企業(yè)的風險。通過兩者的優(yōu)勢互補，對內部控制進行綜合評價，進一步完善企業(yè)的風險導向型內部控制，保證和促進新世紀的企業(yè)在IT環(huán)境下持續(xù)健康發(fā)展。

　　[參考文獻]

　　[1]劉明輝，張宜霞。內部控制的經濟學思考[J].會計研究，2002，（8）

　　[2]楊有紅。內部控制框架———構建與運行[M].杭州：浙江人民出版社，2001-11

　　[3]閻達五，楊有紅。內部控制框架的構建[J].會計研究，2001，（2）

　　[4]閻肅。IT環(huán)境下的企業(yè)內部控制制度變革[J].特區(qū)會計，2000，（8）