[摘要]如今以網(wǎng)絡(luò)、通訊、信息處理、人工智能和多媒體為核心的信息技術(shù)———IT已成為世界經(jīng)濟(jì)和科技發(fā)展的制高點(diǎn)。IT正在改變著企業(yè)的經(jīng)營環(huán)境，沖擊著企業(yè)的經(jīng)營管理，給企業(yè)的內(nèi)部控制帶來新的挑戰(zhàn)，并賦予它新的內(nèi)涵和任務(wù)。IT環(huán)境下風(fēng)險(xiǎn)導(dǎo)向型內(nèi)部控制是要達(dá)到有效控制風(fēng)險(xiǎn)，保證信息真實(shí)可靠，提高經(jīng)營效率的目的。

　　[關(guān)鍵詞]信息技術(shù)；風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評估；風(fēng)險(xiǎn)預(yù)警；風(fēng)險(xiǎn)管理審計(jì)

　　一、IT環(huán)境下企業(yè)內(nèi)部控制面臨的問題

　　隨著信息技術(shù)的發(fā)展，特別是網(wǎng)絡(luò)信息的傳遞和財(cái)務(wù)軟件的應(yīng)用，傳統(tǒng)的單機(jī)會計(jì)電算化系統(tǒng)正在向網(wǎng)絡(luò)會計(jì)系統(tǒng)發(fā)展，這是會計(jì)領(lǐng)域的重大變革，極大的促進(jìn)了會計(jì)工作效率的提高，同時給企業(yè)的內(nèi)部控制帶來新的問題和挑戰(zhàn)，主要體現(xiàn)在：

　?。ㄒ唬┚W(wǎng)絡(luò)環(huán)境的開放性使企業(yè)的固有風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)加大

　　在網(wǎng)絡(luò)時代，企業(yè)的信息都要在網(wǎng)絡(luò)上公布，企業(yè)人員需要定期或不定期的進(jìn)行信息交流，企業(yè)的各項(xiàng)數(shù)據(jù)都存儲在處于聯(lián)網(wǎng)狀態(tài)的客戶機(jī)的磁盤中，極易被篡改或惡意破壞，同時磁盤等軟硬件也可能由于質(zhì)量問題或病毒侵?jǐn)_而發(fā)生故障，破壞企業(yè)的數(shù)據(jù)和各種信息，這就使會計(jì)數(shù)據(jù)的安全性受到威脅，安全系數(shù)下降，加劇了會計(jì)信息的失真。同時競爭對手也可以通過互聯(lián)網(wǎng)登陸企業(yè)的網(wǎng)站，了解企業(yè)的信息，使企業(yè)數(shù)據(jù)信息的保密性難以保證。這就增大了企業(yè)的固有風(fēng)險(xiǎn)和財(cái)務(wù)風(fēng)險(xiǎn)。

　?。ǘ┦跈?quán)方式的改變，潛伏著更大的經(jīng)營風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)

　　授權(quán)批準(zhǔn)是傳統(tǒng)內(nèi)部控制的基本手段，通過嚴(yán)格控制相應(yīng)環(huán)節(jié)的負(fù)責(zé)人員的權(quán)限，使每一個崗位上的負(fù)責(zé)人只在本崗位上有權(quán)處理數(shù)據(jù)，能加強(qiáng)各環(huán)節(jié)的內(nèi)部牽制，有效的防止作弊。IT使權(quán)限分工成為口令形式，口令不像印章那樣便于保管，一旦被偷看或竊取，就會給企業(yè)帶來巨大損失。如果有人竊取口令，非法核銷企業(yè)的賣出產(chǎn)品數(shù)量和應(yīng)收賬款，然后收買銷售人員竊取到顧客訂單密碼開出假訂單，就會騙取企業(yè)的產(chǎn)品，這就增大了企業(yè)的控制風(fēng)險(xiǎn)和經(jīng)營風(fēng)險(xiǎn)。

　?。ㄈ徲?jì)人員面臨的審計(jì)風(fēng)險(xiǎn)加大

　　在IT環(huán)境下審計(jì)人員對本身具有不安全性的信息資料和數(shù)據(jù)進(jìn)行審計(jì)，加大了做出錯誤判斷的可能性，使審計(jì)的控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)增大。審計(jì)風(fēng)險(xiǎn)AR=IR CR DR（IR為固有風(fēng)險(xiǎn)，CR為控制風(fēng)險(xiǎn)，DR為檢查風(fēng)險(xiǎn)），IR、CR、DR都增大了，相應(yīng)的審計(jì)風(fēng)險(xiǎn)也就增大了，這對審計(jì)行業(yè)來講是一個嚴(yán)峻的挑戰(zhàn)。

　　二、IT環(huán)境下對風(fēng)險(xiǎn)導(dǎo)向型內(nèi)部控制的理解

　　企業(yè)內(nèi)部控制自產(chǎn)生以來經(jīng)歷了內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結(jié)構(gòu)和內(nèi)部控制整體框架四個階段。內(nèi)部控制是由企業(yè)董事會、經(jīng)理階層和其他員工實(shí)施的，為營運(yùn)的效率、效果，財(cái)務(wù)報(bào)告的可靠性，相關(guān)法令的遵循性等目標(biāo)的達(dá)成而提供合理保證的過程。其構(gòu)成要素有：控制環(huán)境、風(fēng)險(xiǎn)評估、控制活動、信息與溝通、監(jiān)督?？梢哉f這五個要素都是非常重要的，但在IT環(huán)境下各種不確定性因素急劇加大，使企業(yè)的風(fēng)險(xiǎn)更增強(qiáng)，這就突出了風(fēng)險(xiǎn)評估要素的重要性，如果企業(yè)對經(jīng)營項(xiàng)目本身的風(fēng)險(xiǎn)評估不夠恰當(dāng)，錯誤決策，就會功虧一簣。風(fēng)險(xiǎn)導(dǎo)向型內(nèi)部控制是伴隨著IT的發(fā)展而發(fā)展起來的，是指在IT環(huán)境下企業(yè)的經(jīng)營決策以風(fēng)險(xiǎn)評估為基礎(chǔ)，綜合分析企業(yè)經(jīng)濟(jì)活動的各因素的一種內(nèi)部控制方式。風(fēng)險(xiǎn)導(dǎo)向型內(nèi)部控制在風(fēng)險(xiǎn)較大的信息技術(shù)環(huán)境下既是出資者約束經(jīng)理人的工具，也是經(jīng)理人鎖定職業(yè)風(fēng)險(xiǎn)的“防火墻”。同時，從契約經(jīng)濟(jì)學(xué)的角度去理解，企業(yè)是一系列有緊密聯(lián)系的契約的組合，契約在風(fēng)險(xiǎn)性較大的IT環(huán)境中履行時，就需要在企業(yè)內(nèi)部存在一個以風(fēng)險(xiǎn)評估為基礎(chǔ)的控制機(jī)制，來彌補(bǔ)和糾正契約本身的不完備性，保證企業(yè)的正常運(yùn)作和發(fā)展，于是風(fēng)險(xiǎn)導(dǎo)向型內(nèi)部控制應(yīng)運(yùn)而生。

　　風(fēng)險(xiǎn)導(dǎo)向型內(nèi)部控制的本質(zhì)特征是以風(fēng)險(xiǎn)的評估為基礎(chǔ)。在IT環(huán)境下企業(yè)面臨的風(fēng)險(xiǎn)主要是信息被竊取、篡改后會使企業(yè)的財(cái)務(wù)風(fēng)險(xiǎn)、經(jīng)營風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和其他固有風(fēng)險(xiǎn)增大，以至于會使審計(jì)人員的審計(jì)風(fēng)險(xiǎn)也增大。因此，我們應(yīng)該看到風(fēng)險(xiǎn)的危害確實(shí)是現(xiàn)實(shí)存在的，這就要求企業(yè)對所經(jīng)營的項(xiàng)目進(jìn)行風(fēng)險(xiǎn)的評價，評估出項(xiàng)目風(fēng)險(xiǎn)的種類、風(fēng)險(xiǎn)的級別，尋找風(fēng)險(xiǎn)產(chǎn)生的原因，并采取相應(yīng)的風(fēng)險(xiǎn)防范或控制措施。高風(fēng)險(xiǎn)項(xiàng)目總是讓人望而生畏，企業(yè)要權(quán)衡自己的實(shí)力和項(xiàng)目的風(fēng)險(xiǎn)程度，再決定是否運(yùn)作。巨人集團(tuán)如果建立起科學(xué)的風(fēng)險(xiǎn)評估機(jī)制，就會合理的、恰當(dāng)?shù)脑u估出生物工程的風(fēng)險(xiǎn)性水平，就不會傾巨人所有資金于生物工程而慘遭失敗。當(dāng)然也不能懼怕風(fēng)險(xiǎn)，只要能正確、合理的評價出風(fēng)險(xiǎn)，并有效的控制風(fēng)險(xiǎn)，管理當(dāng)局就會運(yùn)籌帷幄，既不去拼死冒險(xiǎn)，也不要失去機(jī)會。

　　三、IT環(huán)境下風(fēng)險(xiǎn)導(dǎo)向型內(nèi)部控制框架的構(gòu)建設(shè)想

　　IT環(huán)境下風(fēng)險(xiǎn)導(dǎo)向型內(nèi)部控制所要達(dá)到的目標(biāo)是有效的控制企業(yè)的各種風(fēng)險(xiǎn)，保證財(cái)務(wù)報(bào)告的真實(shí)可靠，使企業(yè)合法經(jīng)營，提高企業(yè)經(jīng)營的效率、效果。

　?。ㄒ唬┩晟乒局卫斫Y(jié)構(gòu)，加強(qiáng)網(wǎng)絡(luò)管理

　　IT環(huán)境下企業(yè)的內(nèi)部控制應(yīng)該從公司治理結(jié)構(gòu)入手，整合組織結(jié)構(gòu)、業(yè)務(wù)流程、資金運(yùn)營和會計(jì)工作與審計(jì)體系。公司治理是股東、董事會、監(jiān)事會、經(jīng)理層之間形成的權(quán)責(zé)分配、激勵與約束和權(quán)利制衡的關(guān)系。科學(xué)的公司治理結(jié)構(gòu)包括民主、透明的決策程序和管理議事規(guī)則，高效、嚴(yán)謹(jǐn)?shù)臉I(yè)務(wù)執(zhí)行系統(tǒng)以及健全、有效的內(nèi)部監(jiān)督和反饋系統(tǒng)。實(shí)行公司治理的關(guān)鍵是實(shí)施相互制衡的共同治理，主要治理人有股東、董事會、監(jiān)事會、經(jīng)理和銀行。各方治理人都應(yīng)該在自己的職責(zé)、權(quán)限范圍內(nèi)嚴(yán)格執(zhí)行公司的治理規(guī)定，不能容許個別治理人的越權(quán)治理，也不能容許個別治理人的缺位治理，從而進(jìn)一步完善公司治理結(jié)構(gòu)，為企業(yè)實(shí)施內(nèi)部控制打下良好的基礎(chǔ)。

　　1.嚴(yán)格網(wǎng)絡(luò)系統(tǒng)的管理制度，加強(qiáng)安全控制。比如，明確操作權(quán)限，嚴(yán)格控制對會計(jì)數(shù)據(jù)的接觸，定期對系統(tǒng)進(jìn)行安全檢查，提高系統(tǒng)性能，使系統(tǒng)在被破壞時，能夠緊急響應(yīng)，強(qiáng)制備份，快速重構(gòu)和快速恢復(fù)。

　　2.實(shí)行網(wǎng)上公證，避免信息被修改或偽造。利用互聯(lián)網(wǎng)實(shí)現(xiàn)原始交易憑證三方監(jiān)控，如每家企業(yè)都在互聯(lián)網(wǎng)上認(rèn)證機(jī)構(gòu)領(lǐng)取數(shù)字簽名和私有密碼，當(dāng)交易發(fā)生時，交易雙方將認(rèn)可的單據(jù)或有關(guān)證明傳到認(rèn)證機(jī)構(gòu)，由認(rèn)證機(jī)構(gòu)確認(rèn)，進(jìn)行數(shù)字簽名并予以加密，然后轉(zhuǎn)發(fā)給雙方，這樣就完成了一項(xiàng)雙方都認(rèn)可的且由互聯(lián)網(wǎng)認(rèn)證機(jī)構(gòu)公證的交易。

　　這種情況下交易中的任何一方因?yàn)闊o法獲得另一方的數(shù)字簽名和密碼，很難篡改或偽造交易憑證。

　　3.建立良好的信息溝通系統(tǒng)，提高控制效果。風(fēng)險(xiǎn)導(dǎo)向型內(nèi)部控制應(yīng)滲透到企業(yè)的各個業(yè)務(wù)過程、各個經(jīng)營環(huán)節(jié)，覆蓋企業(yè)所有的部門和崗位，不留任何“盲區(qū)”、“盲點(diǎn)”和“盲人”，使所有在崗人員充分利用網(wǎng)絡(luò)進(jìn)行及時、全面的橫向和縱向信息溝通和交流，同時把競爭對手的相關(guān)信息提交分析決策部門，以便管理當(dāng)局做出正確的決策。

　　4.對企業(yè)會計(jì)人員加強(qiáng)職業(yè)道德教育和能力培養(yǎng)，增強(qiáng)職業(yè)判斷能力，使他們能夠不斷提高對IT環(huán)境下風(fēng)險(xiǎn)的識別、判斷和評價能力。

　?。ǘ┙L(fēng)險(xiǎn)預(yù)警、評估和控制機(jī)制，實(shí)行風(fēng)險(xiǎn)管理

　　所謂風(fēng)險(xiǎn)管理是指對風(fēng)險(xiǎn)的識別、判斷、評估和及時處理。要實(shí)行風(fēng)險(xiǎn)管理就要求企業(yè)內(nèi)部存在風(fēng)險(xiǎn)的預(yù)警、評估和控制機(jī)制。

　　1.建立風(fēng)險(xiǎn)預(yù)警體系，完善風(fēng)險(xiǎn)預(yù)警系統(tǒng)

　　風(fēng)險(xiǎn)預(yù)警是通過對一系列指標(biāo)的分析，檢測是否有不正常反映并發(fā)出警戒信號的過程。風(fēng)險(xiǎn)預(yù)警系統(tǒng)應(yīng)包括預(yù)警分析的組織機(jī)制、會計(jì)信息系統(tǒng)和財(cái)務(wù)信息收集、傳遞機(jī)制和風(fēng)險(xiǎn)分析機(jī)制，風(fēng)險(xiǎn)預(yù)警系統(tǒng)能夠利用收集到的各種信息，運(yùn)用預(yù)警分析方法對企業(yè)即將或風(fēng)險(xiǎn)做出預(yù)警分析。

　　2.建立風(fēng)險(xiǎn)評估機(jī)制，正確評價經(jīng)濟(jì)活動的風(fēng)險(xiǎn)水平

　　健全的風(fēng)險(xiǎn)評估機(jī)制應(yīng)包括風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)、風(fēng)險(xiǎn)評估規(guī)范、風(fēng)險(xiǎn)評估方法。

　　風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)是企業(yè)自己設(shè)置的風(fēng)險(xiǎn)指標(biāo)值，在設(shè)定時關(guān)鍵是確定好風(fēng)險(xiǎn)高低的分界點(diǎn)和分值范圍。比如應(yīng)收賬款反映用戶占用企業(yè)資金的情況，占用時間越長，收回的可能性越小，風(fēng)險(xiǎn)越大。

　　風(fēng)險(xiǎn)評估規(guī)范是企業(yè)自己制定的用來約束和評價風(fēng)險(xiǎn)評估人員的規(guī)章制度。

　　風(fēng)險(xiǎn)評估方法從總體上講可以分為定性分析法和定量分析法。定性分析法有標(biāo)準(zhǔn)化調(diào)查法、“四階段癥狀分析法”、“三個月資金周轉(zhuǎn)表法”、流程圖分析法和管理評分法等方法；定量分析法有單變量分析法和多變量分析法。

　　3.建立內(nèi)部風(fēng)險(xiǎn)咨詢管理機(jī)構(gòu)，控制企業(yè)風(fēng)險(xiǎn)

　　企業(yè)可以在內(nèi)部結(jié)構(gòu)中成立一個風(fēng)險(xiǎn)咨詢機(jī)構(gòu)，專門負(fù)責(zé)企業(yè)內(nèi)部的風(fēng)險(xiǎn)咨詢業(yè)務(wù)，針對不同情況對風(fēng)險(xiǎn)采取不同的控制手段。可采取的控制手段有：風(fēng)險(xiǎn)分散制度，即通過風(fēng)險(xiǎn)的分散措施，如多方位、多元化經(jīng)營來分散市場競爭的風(fēng)險(xiǎn)；風(fēng)險(xiǎn)轉(zhuǎn)嫁制度，即企業(yè)可以通過合法的途徑和手段把風(fēng)險(xiǎn)轉(zhuǎn)嫁給其他單位承擔(dān)，如簽訂遠(yuǎn)期合同，實(shí)行承包經(jīng)營，購買保險(xiǎn)等將風(fēng)險(xiǎn)轉(zhuǎn)嫁出去；分類控制制度，根據(jù)風(fēng)險(xiǎn)產(chǎn)生的不同原因和類型，分門別類加以控制。

　　4.風(fēng)險(xiǎn)評估信息的披露

　　在IT環(huán)境下，由評估人員出據(jù)的評估報(bào)告在企業(yè)對外披露的信息中的地位不斷加強(qiáng)，一方面由于代理授權(quán)的存在，為了加強(qiáng)股東對經(jīng)營者的監(jiān)督，弱化信息不對稱造成的影響，風(fēng)險(xiǎn)評估信息應(yīng)該披露；另一方面風(fēng)險(xiǎn)信息是投資者迫切需要的信息，他們關(guān)心企業(yè)的運(yùn)營成果、風(fēng)險(xiǎn)及風(fēng)險(xiǎn)評估信息，以期改善企業(yè)的抗風(fēng)險(xiǎn)能力，提高投資的效率和效果，因此風(fēng)險(xiǎn)評估信息需要披露。企業(yè)在披露風(fēng)險(xiǎn)評估信息時，應(yīng)該以外部評估機(jī)構(gòu)的評估結(jié)果為主，以內(nèi)部評估信息為補(bǔ)充信息，對存在風(fēng)險(xiǎn)的項(xiàng)目、風(fēng)險(xiǎn)的級別以及企業(yè)為防范和控制風(fēng)險(xiǎn)采取了哪些措施等重要信息進(jìn)行披露。

　　（三）實(shí)行風(fēng)險(xiǎn)管理審計(jì)，進(jìn)行內(nèi)部控制的監(jiān)督和再控制

　　風(fēng)險(xiǎn)管理審計(jì)是內(nèi)部審計(jì)發(fā)展的必然趨勢。風(fēng)險(xiǎn)管理審計(jì)是立足于企業(yè)內(nèi)部的一項(xiàng)特殊的咨詢和服務(wù)項(xiàng)目，它針對風(fēng)險(xiǎn)產(chǎn)生的原因和環(huán)節(jié)，評價和改進(jìn)企業(yè)的風(fēng)險(xiǎn)管理，對企業(yè)的內(nèi)部控制情況進(jìn)行審查和再控制，提高企業(yè)經(jīng)營的效率、效果，增加企業(yè)價值。實(shí)施風(fēng)險(xiǎn)管理審計(jì)，評價企業(yè)內(nèi)部控制的模式有很多種，但在IT環(huán)境下我們可以將內(nèi)部控制自評（CSA）和網(wǎng)絡(luò)信息動態(tài)評估結(jié)合起來運(yùn)用。

　　1.CSA方法要求內(nèi)部審計(jì)人員和被審計(jì)部門管理人員組成一個小組，使當(dāng)局管理人員在審計(jì)人員的幫助下，對本部門內(nèi)部控制的恰當(dāng)性和有效性進(jìn)行評估，然后依據(jù)評估出據(jù)審計(jì)報(bào)告。CSA的主要優(yōu)點(diǎn)是提供了一個評估并控制風(fēng)險(xiǎn)的工具，能使內(nèi)部審計(jì)人員和管理人員共同控制風(fēng)險(xiǎn)，同時有助于企業(yè)各部門的合作和企業(yè)的整體發(fā)展；管理人員可以針對CSA反映出的管理控制中存在的問題，及時加以改進(jìn)，還可以向企業(yè)評審機(jī)構(gòu)展示他們對現(xiàn)存內(nèi)部控制的態(tài)度，有利于風(fēng)險(xiǎn)導(dǎo)向型內(nèi)部控制的完善。

　　2.網(wǎng)絡(luò)動態(tài)評估法是指內(nèi)部審計(jì)人員收集充分的信息和資料，然后創(chuàng)建數(shù)據(jù)庫，利用風(fēng)險(xiǎn)評估指標(biāo)再次測評企業(yè)面臨的風(fēng)險(xiǎn)及風(fēng)險(xiǎn)產(chǎn)生的環(huán)節(jié)，從而評價內(nèi)部控制的執(zhí)行情況，同時提供風(fēng)險(xiǎn)防范、管理、控制的對策。內(nèi)部審計(jì)人員通過訪問數(shù)據(jù)庫根據(jù)風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)，就可以了解哪里存在風(fēng)險(xiǎn)，風(fēng)險(xiǎn)的水平，并可按重要性或風(fēng)險(xiǎn)高低排序， 了解總體情況，對企業(yè)的內(nèi)部控制的執(zhí)行情況進(jìn)行監(jiān)督。網(wǎng)絡(luò)動態(tài)評估法的主要優(yōu)點(diǎn)是只要第一次做好數(shù)據(jù)庫，以后評估時就可以通過更新變更的資料更新數(shù)據(jù)庫，然后直接測評，當(dāng)然也要根據(jù)實(shí)際情況對風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)作相應(yīng)的調(diào)整。

　　3.風(fēng)險(xiǎn)導(dǎo)向型內(nèi)部控制進(jìn)行的風(fēng)險(xiǎn)管理審計(jì)應(yīng)該將內(nèi)部控制自評和網(wǎng)絡(luò)動態(tài)評估法有機(jī)結(jié)合起來，在網(wǎng)絡(luò)動態(tài)評估法的基礎(chǔ)上加強(qiáng)內(nèi)部控制自評，即在充分利用信息系統(tǒng)的基礎(chǔ)上認(rèn)真執(zhí)行內(nèi)部控制自評，來評價企業(yè)的內(nèi)部控制、評估企業(yè)的風(fēng)險(xiǎn)。通過兩者的優(yōu)勢互補(bǔ)，對內(nèi)部控制進(jìn)行綜合評價，進(jìn)一步完善企業(yè)的風(fēng)險(xiǎn)導(dǎo)向型內(nèi)部控制，保證和促進(jìn)新世紀(jì)的企業(yè)在IT環(huán)境下持續(xù)健康發(fā)展。

　　[參考文獻(xiàn)]

　　[1]劉明輝，張宜霞。內(nèi)部控制的經(jīng)濟(jì)學(xué)思考[J].會計(jì)研究，2002，（8）

　　[2]楊有紅。內(nèi)部控制框架———構(gòu)建與運(yùn)行[M].杭州：浙江人民出版社，2001-11

　　[3]閻達(dá)五，楊有紅。內(nèi)部控制框架的構(gòu)建[J].會計(jì)研究，2001，（2）

　　[4]閻肅。IT環(huán)境下的企業(yè)內(nèi)部控制制度變革[J].特區(qū)會計(jì)，2000，（8）