[摘要]如今以網(wǎng)絡(luò)、通訊、信息處理、人工智能和多媒體為核心的信息技術(shù)———IT已成為世界經(jīng)濟和科技發(fā)展的制高點。IT正在改變著企業(yè)的經(jīng)營環(huán)境，沖擊著企業(yè)的經(jīng)營管理，給企業(yè)的內(nèi)部控制帶來新的挑戰(zhàn)，并賦予它新的內(nèi)涵和任務(wù)。IT環(huán)境下風(fēng)險導(dǎo)向型內(nèi)部控制是要達到有效控制風(fēng)險，保證信息真實可靠，提高經(jīng)營效率的目的。

　　[關(guān)鍵詞]信息技術(shù)；風(fēng)險；風(fēng)險評估；風(fēng)險預(yù)警；風(fēng)險管理審計

　　一、IT環(huán)境下企業(yè)內(nèi)部控制面臨的問題

　　隨著信息技術(shù)的發(fā)展，特別是網(wǎng)絡(luò)信息的傳遞和財務(wù)軟件的應(yīng)用，傳統(tǒng)的單機會計電算化系統(tǒng)正在向網(wǎng)絡(luò)會計系統(tǒng)發(fā)展，這是會計領(lǐng)域的重大變革，極大的促進了會計工作效率的提高，同時給企業(yè)的內(nèi)部控制帶來新的問題和挑戰(zhàn)，主要體現(xiàn)在：

　　（一）網(wǎng)絡(luò)環(huán)境的開放性使企業(yè)的固有風(fēng)險、財務(wù)風(fēng)險加大

　　在網(wǎng)絡(luò)時代，企業(yè)的信息都要在網(wǎng)絡(luò)上公布，企業(yè)人員需要定期或不定期的進行信息交流，企業(yè)的各項數(shù)據(jù)都存儲在處于聯(lián)網(wǎng)狀態(tài)的客戶機的磁盤中，極易被篡改或惡意破壞，同時磁盤等軟硬件也可能由于質(zhì)量問題或病毒侵擾而發(fā)生故障，破壞企業(yè)的數(shù)據(jù)和各種信息，這就使會計數(shù)據(jù)的安全性受到威脅，安全系數(shù)下降，加劇了會計信息的失真。同時競爭對手也可以通過互聯(lián)網(wǎng)登陸企業(yè)的網(wǎng)站，了解企業(yè)的信息，使企業(yè)數(shù)據(jù)信息的保密性難以保證。這就增大了企業(yè)的固有風(fēng)險和財務(wù)風(fēng)險。

　?。ǘ┦跈?quán)方式的改變，潛伏著更大的經(jīng)營風(fēng)險和控制風(fēng)險

　　授權(quán)批準是傳統(tǒng)內(nèi)部控制的基本手段，通過嚴格控制相應(yīng)環(huán)節(jié)的負責(zé)人員的權(quán)限，使每一個崗位上的負責(zé)人只在本崗位上有權(quán)處理數(shù)據(jù)，能加強各環(huán)節(jié)的內(nèi)部牽制，有效的防止作弊。IT使權(quán)限分工成為口令形式，口令不像印章那樣便于保管，一旦被偷看或竊取，就會給企業(yè)帶來巨大損失。如果有人竊取口令，非法核銷企業(yè)的賣出產(chǎn)品數(shù)量和應(yīng)收賬款，然后收買銷售人員竊取到顧客訂單密碼開出假訂單，就會騙取企業(yè)的產(chǎn)品，這就增大了企業(yè)的控制風(fēng)險和經(jīng)營風(fēng)險。

　?。ㄈ徲嬋藛T面臨的審計風(fēng)險加大

　　在IT環(huán)境下審計人員對本身具有不安全性的信息資料和數(shù)據(jù)進行審計，加大了做出錯誤判斷的可能性，使審計的控制風(fēng)險和檢查風(fēng)險增大。審計風(fēng)險AR=IR CR DR（IR為固有風(fēng)險，CR為控制風(fēng)險，DR為檢查風(fēng)險），IR、CR、DR都增大了，相應(yīng)的審計風(fēng)險也就增大了，這對審計行業(yè)來講是一個嚴峻的挑戰(zhàn)。

　　二、IT環(huán)境下對風(fēng)險導(dǎo)向型內(nèi)部控制的理解

　　企業(yè)內(nèi)部控制自產(chǎn)生以來經(jīng)歷了內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結(jié)構(gòu)和內(nèi)部控制整體框架四個階段。內(nèi)部控制是由企業(yè)董事會、經(jīng)理階層和其他員工實施的，為營運的效率、效果，財務(wù)報告的可靠性，相關(guān)法令的遵循性等目標的達成而提供合理保證的過程。其構(gòu)成要素有：控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)督?？梢哉f這五個要素都是非常重要的，但在IT環(huán)境下各種不確定性因素急劇加大，使企業(yè)的風(fēng)險更增強，這就突出了風(fēng)險評估要素的重要性，如果企業(yè)對經(jīng)營項目本身的風(fēng)險評估不夠恰當，錯誤決策，就會功虧一簣。風(fēng)險導(dǎo)向型內(nèi)部控制是伴隨著IT的發(fā)展而發(fā)展起來的，是指在IT環(huán)境下企業(yè)的經(jīng)營決策以風(fēng)險評估為基礎(chǔ)，綜合分析企業(yè)經(jīng)濟活動的各因素的一種內(nèi)部控制方式。風(fēng)險導(dǎo)向型內(nèi)部控制在風(fēng)險較大的信息技術(shù)環(huán)境下既是出資者約束經(jīng)理人的工具，也是經(jīng)理人鎖定職業(yè)風(fēng)險的“防火墻”。同時，從契約經(jīng)濟學(xué)的角度去理解，企業(yè)是一系列有緊密聯(lián)系的契約的組合，契約在風(fēng)險性較大的IT環(huán)境中履行時，就需要在企業(yè)內(nèi)部存在一個以風(fēng)險評估為基礎(chǔ)的控制機制，來彌補和糾正契約本身的不完備性，保證企業(yè)的正常運作和發(fā)展，于是風(fēng)險導(dǎo)向型內(nèi)部控制應(yīng)運而生。

　　風(fēng)險導(dǎo)向型內(nèi)部控制的本質(zhì)特征是以風(fēng)險的評估為基礎(chǔ)。在IT環(huán)境下企業(yè)面臨的風(fēng)險主要是信息被竊取、篡改后會使企業(yè)的財務(wù)風(fēng)險、經(jīng)營風(fēng)險、控制風(fēng)險和其他固有風(fēng)險增大，以至于會使審計人員的審計風(fēng)險也增大。因此，我們應(yīng)該看到風(fēng)險的危害確實是現(xiàn)實存在的，這就要求企業(yè)對所經(jīng)營的項目進行風(fēng)險的評價，評估出項目風(fēng)險的種類、風(fēng)險的級別，尋找風(fēng)險產(chǎn)生的原因，并采取相應(yīng)的風(fēng)險防范或控制措施。高風(fēng)險項目總是讓人望而生畏，企業(yè)要權(quán)衡自己的實力和項目的風(fēng)險程度，再決定是否運作。巨人集團如果建立起科學(xué)的風(fēng)險評估機制，就會合理的、恰當?shù)脑u估出生物工程的風(fēng)險性水平，就不會傾巨人所有資金于生物工程而慘遭失敗。當然也不能懼怕風(fēng)險，只要能正確、合理的評價出風(fēng)險，并有效的控制風(fēng)險，管理當局就會運籌帷幄，既不去拼死冒險，也不要失去機會。

　　三、IT環(huán)境下風(fēng)險導(dǎo)向型內(nèi)部控制框架的構(gòu)建設(shè)想

　　IT環(huán)境下風(fēng)險導(dǎo)向型內(nèi)部控制所要達到的目標是有效的控制企業(yè)的各種風(fēng)險，保證財務(wù)報告的真實可靠，使企業(yè)合法經(jīng)營，提高企業(yè)經(jīng)營的效率、效果。

　?。ㄒ唬┩晟乒局卫斫Y(jié)構(gòu)，加強網(wǎng)絡(luò)管理

　　IT環(huán)境下企業(yè)的內(nèi)部控制應(yīng)該從公司治理結(jié)構(gòu)入手，整合組織結(jié)構(gòu)、業(yè)務(wù)流程、資金運營和會計工作與審計體系。公司治理是股東、董事會、監(jiān)事會、經(jīng)理層之間形成的權(quán)責(zé)分配、激勵與約束和權(quán)利制衡的關(guān)系。科學(xué)的公司治理結(jié)構(gòu)包括民主、透明的決策程序和管理議事規(guī)則，高效、嚴謹?shù)臉I(yè)務(wù)執(zhí)行系統(tǒng)以及健全、有效的內(nèi)部監(jiān)督和反饋系統(tǒng)。實行公司治理的關(guān)鍵是實施相互制衡的共同治理，主要治理人有股東、董事會、監(jiān)事會、經(jīng)理和銀行。各方治理人都應(yīng)該在自己的職責(zé)、權(quán)限范圍內(nèi)嚴格執(zhí)行公司的治理規(guī)定，不能容許個別治理人的越權(quán)治理，也不能容許個別治理人的缺位治理，從而進一步完善公司治理結(jié)構(gòu)，為企業(yè)實施內(nèi)部控制打下良好的基礎(chǔ)。

　　1.嚴格網(wǎng)絡(luò)系統(tǒng)的管理制度，加強安全控制。比如，明確操作權(quán)限，嚴格控制對會計數(shù)據(jù)的接觸，定期對系統(tǒng)進行安全檢查，提高系統(tǒng)性能，使系統(tǒng)在被破壞時，能夠緊急響應(yīng)，強制備份，快速重構(gòu)和快速恢復(fù)。

　　2.實行網(wǎng)上公證，避免信息被修改或偽造。利用互聯(lián)網(wǎng)實現(xiàn)原始交易憑證三方監(jiān)控，如每家企業(yè)都在互聯(lián)網(wǎng)上認證機構(gòu)領(lǐng)取數(shù)字簽名和私有密碼，當交易發(fā)生時，交易雙方將認可的單據(jù)或有關(guān)證明傳到認證機構(gòu)，由認證機構(gòu)確認，進行數(shù)字簽名并予以加密，然后轉(zhuǎn)發(fā)給雙方，這樣就完成了一項雙方都認可的且由互聯(lián)網(wǎng)認證機構(gòu)公證的交易。

　　這種情況下交易中的任何一方因為無法獲得另一方的數(shù)字簽名和密碼，很難篡改或偽造交易憑證。

　　3.建立良好的信息溝通系統(tǒng)，提高控制效果。風(fēng)險導(dǎo)向型內(nèi)部控制應(yīng)滲透到企業(yè)的各個業(yè)務(wù)過程、各個經(jīng)營環(huán)節(jié)，覆蓋企業(yè)所有的部門和崗位，不留任何“盲區(qū)”、“盲點”和“盲人”，使所有在崗人員充分利用網(wǎng)絡(luò)進行及時、全面的橫向和縱向信息溝通和交流，同時把競爭對手的相關(guān)信息提交分析決策部門，以便管理當局做出正確的決策。

　　4.對企業(yè)會計人員加強職業(yè)道德教育和能力培養(yǎng)，增強職業(yè)判斷能力，使他們能夠不斷提高對IT環(huán)境下風(fēng)險的識別、判斷和評價能力。

　?。ǘ┙L(fēng)險預(yù)警、評估和控制機制，實行風(fēng)險管理

　　所謂風(fēng)險管理是指對風(fēng)險的識別、判斷、評估和及時處理。要實行風(fēng)險管理就要求企業(yè)內(nèi)部存在風(fēng)險的預(yù)警、評估和控制機制。

　　1.建立風(fēng)險預(yù)警體系，完善風(fēng)險預(yù)警系統(tǒng)

　　風(fēng)險預(yù)警是通過對一系列指標的分析，檢測是否有不正常反映并發(fā)出警戒信號的過程。風(fēng)險預(yù)警系統(tǒng)應(yīng)包括預(yù)警分析的組織機制、會計信息系統(tǒng)和財務(wù)信息收集、傳遞機制和風(fēng)險分析機制，風(fēng)險預(yù)警系統(tǒng)能夠利用收集到的各種信息，運用預(yù)警分析方法對企業(yè)即將或風(fēng)險做出預(yù)警分析。

　　2.建立風(fēng)險評估機制，正確評價經(jīng)濟活動的風(fēng)險水平

　　健全的風(fēng)險評估機制應(yīng)包括風(fēng)險評估標準、風(fēng)險評估規(guī)范、風(fēng)險評估方法。

　　風(fēng)險評估標準是企業(yè)自己設(shè)置的風(fēng)險指標值，在設(shè)定時關(guān)鍵是確定好風(fēng)險高低的分界點和分值范圍。比如應(yīng)收賬款反映用戶占用企業(yè)資金的情況，占用時間越長，收回的可能性越小，風(fēng)險越大。

　　風(fēng)險評估規(guī)范是企業(yè)自己制定的用來約束和評價風(fēng)險評估人員的規(guī)章制度。

　　風(fēng)險評估方法從總體上講可以分為定性分析法和定量分析法。定性分析法有標準化調(diào)查法、“四階段癥狀分析法”、“三個月資金周轉(zhuǎn)表法”、流程圖分析法和管理評分法等方法；定量分析法有單變量分析法和多變量分析法。

　　3.建立內(nèi)部風(fēng)險咨詢管理機構(gòu)，控制企業(yè)風(fēng)險

　　企業(yè)可以在內(nèi)部結(jié)構(gòu)中成立一個風(fēng)險咨詢機構(gòu)，專門負責(zé)企業(yè)內(nèi)部的風(fēng)險咨詢業(yè)務(wù)，針對不同情況對風(fēng)險采取不同的控制手段。可采取的控制手段有：風(fēng)險分散制度，即通過風(fēng)險的分散措施，如多方位、多元化經(jīng)營來分散市場競爭的風(fēng)險；風(fēng)險轉(zhuǎn)嫁制度，即企業(yè)可以通過合法的途徑和手段把風(fēng)險轉(zhuǎn)嫁給其他單位承擔(dān)，如簽訂遠期合同，實行承包經(jīng)營，購買保險等將風(fēng)險轉(zhuǎn)嫁出去；分類控制制度，根據(jù)風(fēng)險產(chǎn)生的不同原因和類型，分門別類加以控制。

　　4.風(fēng)險評估信息的披露

　　在IT環(huán)境下，由評估人員出據(jù)的評估報告在企業(yè)對外披露的信息中的地位不斷加強，一方面由于代理授權(quán)的存在，為了加強股東對經(jīng)營者的監(jiān)督，弱化信息不對稱造成的影響，風(fēng)險評估信息應(yīng)該披露；另一方面風(fēng)險信息是投資者迫切需要的信息，他們關(guān)心企業(yè)的運營成果、風(fēng)險及風(fēng)險評估信息，以期改善企業(yè)的抗風(fēng)險能力，提高投資的效率和效果，因此風(fēng)險評估信息需要披露。企業(yè)在披露風(fēng)險評估信息時，應(yīng)該以外部評估機構(gòu)的評估結(jié)果為主，以內(nèi)部評估信息為補充信息，對存在風(fēng)險的項目、風(fēng)險的級別以及企業(yè)為防范和控制風(fēng)險采取了哪些措施等重要信息進行披露。

　　（三）實行風(fēng)險管理審計，進行內(nèi)部控制的監(jiān)督和再控制

　　風(fēng)險管理審計是內(nèi)部審計發(fā)展的必然趨勢。風(fēng)險管理審計是立足于企業(yè)內(nèi)部的一項特殊的咨詢和服務(wù)項目，它針對風(fēng)險產(chǎn)生的原因和環(huán)節(jié)，評價和改進企業(yè)的風(fēng)險管理，對企業(yè)的內(nèi)部控制情況進行審查和再控制，提高企業(yè)經(jīng)營的效率、效果，增加企業(yè)價值。實施風(fēng)險管理審計，評價企業(yè)內(nèi)部控制的模式有很多種，但在IT環(huán)境下我們可以將內(nèi)部控制自評（CSA）和網(wǎng)絡(luò)信息動態(tài)評估結(jié)合起來運用。

　　1.CSA方法要求內(nèi)部審計人員和被審計部門管理人員組成一個小組，使當局管理人員在審計人員的幫助下，對本部門內(nèi)部控制的恰當性和有效性進行評估，然后依據(jù)評估出據(jù)審計報告。CSA的主要優(yōu)點是提供了一個評估并控制風(fēng)險的工具，能使內(nèi)部審計人員和管理人員共同控制風(fēng)險，同時有助于企業(yè)各部門的合作和企業(yè)的整體發(fā)展；管理人員可以針對CSA反映出的管理控制中存在的問題，及時加以改進，還可以向企業(yè)評審機構(gòu)展示他們對現(xiàn)存內(nèi)部控制的態(tài)度，有利于風(fēng)險導(dǎo)向型內(nèi)部控制的完善。

　　2.網(wǎng)絡(luò)動態(tài)評估法是指內(nèi)部審計人員收集充分的信息和資料，然后創(chuàng)建數(shù)據(jù)庫，利用風(fēng)險評估指標再次測評企業(yè)面臨的風(fēng)險及風(fēng)險產(chǎn)生的環(huán)節(jié)，從而評價內(nèi)部控制的執(zhí)行情況，同時提供風(fēng)險防范、管理、控制的對策。內(nèi)部審計人員通過訪問數(shù)據(jù)庫根據(jù)風(fēng)險評估標準，就可以了解哪里存在風(fēng)險，風(fēng)險的水平，并可按重要性或風(fēng)險高低排序， 了解總體情況，對企業(yè)的內(nèi)部控制的執(zhí)行情況進行監(jiān)督。網(wǎng)絡(luò)動態(tài)評估法的主要優(yōu)點是只要第一次做好數(shù)據(jù)庫，以后評估時就可以通過更新變更的資料更新數(shù)據(jù)庫，然后直接測評，當然也要根據(jù)實際情況對風(fēng)險評估標準作相應(yīng)的調(diào)整。

　　3.風(fēng)險導(dǎo)向型內(nèi)部控制進行的風(fēng)險管理審計應(yīng)該將內(nèi)部控制自評和網(wǎng)絡(luò)動態(tài)評估法有機結(jié)合起來，在網(wǎng)絡(luò)動態(tài)評估法的基礎(chǔ)上加強內(nèi)部控制自評，即在充分利用信息系統(tǒng)的基礎(chǔ)上認真執(zhí)行內(nèi)部控制自評，來評價企業(yè)的內(nèi)部控制、評估企業(yè)的風(fēng)險。通過兩者的優(yōu)勢互補，對內(nèi)部控制進行綜合評價，進一步完善企業(yè)的風(fēng)險導(dǎo)向型內(nèi)部控制，保證和促進新世紀的企業(yè)在IT環(huán)境下持續(xù)健康發(fā)展。

　　[參考文獻]

　　[1]劉明輝，張宜霞。內(nèi)部控制的經(jīng)濟學(xué)思考[J].會計研究，2002，（8）

　　[2]楊有紅。內(nèi)部控制框架———構(gòu)建與運行[M].杭州：浙江人民出版社，2001-11

　　[3]閻達五，楊有紅。內(nèi)部控制框架的構(gòu)建[J].會計研究，2001，（2）

　　[4]閻肅。IT環(huán)境下的企業(yè)內(nèi)部控制制度變革[J].特區(qū)會計，2000，（8）