崔 帆 佟明昌

(西京学院会计学院 陕西 西安 710123)

一、引言

伴随着社会经济不断向前的发展、社会信息技术水平的飞速提升，在生活环境中人们对信息技术的应用十分广泛，其中，在企业的内部审计工作中，合理有效地使用信息技术实现企业内部审计的信息化管理，一方面能很大程度上提高审计工作人员的工作效率，另一方面能进一步提高企业内部审计的准确性。当然，在实现企业内部审计的信息化管理的道路上，内部审计工作同时也面临着很多的风险，尤其是经济全球化程度的进一步加深，导致企业经营的内外部环境变得日益复杂，企业所面临的风险进一步加大，使企业风险管理内部审计成为企业经营的重要部分。在信息化环境下，及时发现企业内部管理存在的风险，合理有效地运用信息技术可以减少甚至可以将企业风险可能带来的不必要损失降低到最低。因此,研究信息化环境下如何开展企业风险管理内部审计具有重要的现实意义。

二、内部审计、风险管理及风险管理审计的相关概述

(一)内部审计的概念

《审计实务标准》给出的定义:内部审计是一种关于独立与客观的咨询活动和保证工作,它的目的是为了可以帮助组织增大其自身价值和提升组织的工作效率,运用现代化、系统化的方式进行对风险控制、管理和治理程序的改善和评价,从而协助组织实现既定目标。

(二)风险管理的概念

COSO对企业风险管理给出的定义:企业风险管理作为一个过程，它的实施相关人员为：一个主体的董事会、管理当局和其他人员，融入于企业之中，满足战略制定的需求，目的是为了识别出可能会影响主体的潜在风险，管理风险是为了让它在主体风险容量的范围之内，能为实现主体目标提供洽当合理的保证。以传统的风险管理作为比较，企业风险管理更加强调战略的导向性，包含了组织里全部的管理领域和管理当局，方法方式也变得更加的规范和富有结构。COSO表示企业风险管理包括遵守法则、客观报告、战略实现和高效运作四个重要的目标，也同时包括监控活动、目标设定、风险评估、控制活动、信息沟通、事件识别、内部环境和风险反应八个重要的要素，在分公司级、部门级、企业级和事业单位级企业的这四个层级中进行工作。

(三)风险管理内部审计的相关概述

2004年在IIA发布的《内部审计在企业风险管理中的角色》中指出企业风险管理内部审计的核心作用就是向董事会做出对组织风险管理有效性的客观保证，尽而可以帮助明确相信重要的企业风险已经被合理恰当的管理且内部控制系统良性有效的工作。因而，在企业风险管理的组织中，内部审计的最大角色是作为一名监督者，同时也包括一些其他服务：确保风险评估的准确性和评估重要的风险报告、风险管理流程及重要的风险管理。传统风险导向审计是指内部审计工作人员单项的对企业风险和目标做出非正式的确认和评估，与其相比，新形势的信息化环境下需要内部审计融入企业风险管理的各个细节工作中。

三、信息化环境下导致企业风险加大的影响因素

(一)系统自身风险增加对企业风险管理的影响

信息环境下，企业内部控制离不开人和软件，内部控制与企业风险管理内部审计系统软件融为一体，审计工作人员不能用传统的方法察觉，针对系统软件设计中存在的问题，较难发现。可能是因为设计系统软件时考虑不太全面，缺少对系统软件的控制力，也可能是因为系统软件自身无法判断部分数据的逻辑关系，对不合常规的数据不会实施异常处理，导致错误数据重复并连续的影响数据，尽而导致整个系统数据出错，增加风险。

(二)内部控制形式更加复杂对企业风险管理的影响

信息环境下，企业风险管理内部审计可能出现实时控制的失效，部分数据不能有效的进行实时同步，导致双方实时数据不一致的情况出现，这就会给内部审计工作带来困难，首先得把数据不一致的问题找出来，进行评估确认数据准确无误之后，再进行内部审计工作。无疑在时效性上，中途会产生较多数据误差，影响内部审计工作的正常进行，会使企业风险加大。

(三)数据的安全指数下降对企业风险管理的影响

信息环境下，电子数据的滥用、被人篡改和丢失成为可能。存储介质的更新，一定程度上帮助信息数据最大程度集中于计算机系统软件中，系统软件存在被恶意篡改、非法入侵的可能性，使企业内部审计的风险增加。一旦被不法分子，利用技术手段破解系统软件，数据被拷贝或恶意被且不留任何蛛丝马迹，后果不堪设想。当然，计算机病毒、非人为的电源故障、费恶意操作失误等，也会导致电子数据与真实数据不一致。

(四)内部控制制度控制力度弱对企业风险管理的影响

信息环境下，审计工作人员的责任范围不明确以及权限和密码的混乱的授权，板块的调理不明确，很容易使内部审计工作无法生效且内部控制失效。

四、信息化环境下企业风险管理内部审计的方法

(一)不断完善内部审计制度

企业应该根自身经营特点、财务结构和经营环境等因素与信息化环境下内部审计风险的相关特征相结合，制定出相对应的合理的内部审计制度。相关法律法规的制定，对企业审计制度的不断完善和优化起到重要的推动作用。最有效的审计证据莫过于每项经济业务的原始记录，所以，需要对这些原始记录制定相关的制度，来确保审计证据的原始性和真实性。信息化环境下的内部审计信息系统的正常运行，必须符合相关内部审计制度和法律法规的规定，需要做到“遵守制度，有法可依”。

(二)提升审计风险防范能力

企业需要培养内部审计工作人员自身的风险意识，提升审计风险防范能力，制定相应的预防风险措施。企业可以建立强制存档制度，定期抽查，这样可以有效的确保内部审计的原始数据合理披露，企业还要制定专用的风险防范制度，辐射审计信息系统软件的运行、软件开发和系统的安全保密。

(三)加大开发审计软件的力度

内部审计的信息化离不开计算机预先设定好的的内部审计程序，因此，必须保证内部审计程序自身的可靠性和精确性。内部审计工作量的加大，对内部审计系统的要求也更高，需要内部审计系统的功能不断优化，尽而覆盖更为广泛的内部审计信息。一般内部审计系统的功能：内部控制评价、数据转换、抽样审计、自动生成审计报告、审计计划管理和实质性测试等。伴随着社会经济不断向前的发展，这就需要加大内部审计信息系统的开发力度，以更好的适应经济发展。

(四)充分利用信息技术

信息系统具有数据集成的特点，内部审计工作人员需要充分利用这一特点。企业的经济业务流程很大程度上被信息化系统改变，例如ERP系统，它将采购、付款、开出发票等业务一体化，执行了多个部门的业务，而且ERP系统本身也带有分析功能和自身的重要数据库。所以，内部审计工作人员并不需要单从多个子系统中获取有效的信息数据，可以通过ERP这一个系统得到很多有效数据。充分利用信息技术，有助于内部审计工作人员更为方便的进行风险管理内部审计工作。

(五)打造学习型内部审计环境

信息化环境下，企业运营环境复杂化，企业风险管理内部审计工作任务也更加繁重，这就要求内部审计工作人员不断地提升自身的业务水平。审计工作人员有学习新知识的必要，原有的会计、审计、财务管理等知识已近不能满足企业当下信息化环境下的风险管理内部审计工作的新要求，需要审计工作人员学习一定的信息技术系统方面和现代企业管理技术的知识。所以，打造学习型内部审计环境，营造良好的学习氛围，使内部审计工作人员主动学习新形式下的企业风险管理内部审计的相关知识，并定期举办有奖知识竞赛，进一步调动工作人员的学习热情，有助于提高审计工作人员的风险管理水平，促进企业目标高效的完成。

(六)专家参与风险管理内部审计

风险管理内部审计工作面对复杂的信息系统，要想高效的完成此项工作，必须精通该企业全部经济业务的运营流程，但是对于风险管理内部审计系统全面了解的内部审计工作人员太少几乎没有，这无疑增加了企业风险存在的可能性，对于内部审计工作人员能达到这种技能水平的十分困难。因此，雇佣各类别的专家，运用其专业知识，给予风险管理内部审计准确的审计判断，尽而，共同推进企业风险管理内部审计的不断发展。