企业内部审计信息化建设中风险控制的相关理论分析

徐正民 金银凤

国网浙江省电力有限公司嘉兴供电公司

一、引言

近年来，随着企业对内部审计信息化建设的不断推进，管理人员更加重视信息化建设的发展，内部审计信息化建设也取得了一定的成绩。企业要想追赶时代发展的潮流，同时完善自身审计相关工作，则审计信息化建设是必要途径。而审计信息化建设中难以避免地会存在一定的风险，如何正确识别并有效控制风险，是企业在信息化建设中应当解决的重要问题。因此，对企业内部审计信息化建设中风险控制的相关理论进行研究具有重要意义，不仅可以有效控制企业风险，而且可以有序推进企业内部审计信息化建设。

二、企业内部审计信息化的内涵

审计信息化是指在开展审计工作的过程中，利用信息技术，搭建审计信息化平台，实现审计信息的共享和自动处理，从而提升审计工作效率和质量，保证审计健康发展的过程[1]。

内部审计信息化主要包括管理的信息化和监督的信息化。审计管理信息化主要是指对审计项目的实施、审计人员的安排以及相关工作进行管理，从而保证审计工作顺利进行。审计监督信息化主要是指借助信息技术，对审计的全流程进行监督，从审计的实施过程到人员的相关操作都进行监督，从而最大程度地保证审计质量。

传统的审计主要是对账、证、表进行核对，从而发现财务问题和风险，并促使企业及时改正。而内部审计信息化则通过信息化技术手段，实现了审计的自动化，大大提高了审计效率，同时也便于查找问题，追根溯源。

三、企业内部审计信息化建设中风险控制的相关理论

（一）风险控制的内涵

企业风险控制是一种科学的管理方法，通过对潜在风险的识别、分析和评估，采用多种手段对风险进行控制，从而实现降低风险的目的[2]。企业内部审计信息化建设中的风险控制主要是指在审计过程中，对可能存在的信息安全风险、人员操作风险等风险进行控制，力求保证审计质量。

（二）风险控制的意义

随着经济的发展和社会的进步，企业之间的竞争愈加激烈，企业面临的风险也不断提升。所以，企业内部审计的范围不断扩大，审计对象不断增加，对审计信息化的水平提出了更高的要求，同时企业也面临更多的审计风险。企业对风险进行控制具有重要意义。第一，风险控制能够帮助企业识别风险，保证审计信息化建设顺利进行。第二，风险控制为企业全面风险管理提供基础，保证企业健康有序发展。第三，通过风险控制，企业能够纠正自身问题，从而建立审计信息化标准。

（三）风险控制的流程

为应对企业内部审计信息化建设中的风险，风险控制流程主要包括三个部分：风险识别、风险评估和风险处置（见表1）。

表1 企业风险控制流程[3]

（四）风险控制的目标

一方面，搭建完备的内部审计信息化平台[4]。通过对风险的识别和评估，发现企业内部审计信息化建设中存在的问题，通过风险处理解决相关问题，从而建立完备的信息化平台。信息化平台的建设将为企业的审计工作提供便利条件，有利于内部审计信息化的发展。

另一方面，建立完善的企业内部审计信息化风险控制体系。首先，企业应当建立风险预警系统，对内部审计信息化的风险进行事前防范。其次，在识别出风险时，企业应当及时对问题进行处理，保证内部审计信息化的推进。最后，对风险进行处理后，企业要启动相应的处理机制，划分责任，明确惩罚措施。同时，对风险控制的过程进行分析和总结，为今后工作奠定基础。

四、企业内部审计信息化建设中的主要风险

（一）审计信息化建设的固有风险

传统审计中，更多使用报表等纸质数据信息，而内部审计信息化背景下，企业的审计工作通过电子化的方式进行数据的传输和测算，因此面临网络安全风险[5]。例如，计算机病毒传播可以对企业现有数据进行破坏，黑客攻击可能导致企业财务数据信息泄露，这些都属于审计信息化建设的固有风险。数据信息的风险是由信息化的固有属性所决定的，一旦企业未建立牢固的防火墙系统等安全防护机制，就可能会面临信息泄露、数据损毁等风险。

（二）审计准则缺失引发的风险

审计信息化背景下，企业的内部审计工作基本上都是依据企业会计准则、审计准则等标准，而专门的企业内部审计信息化标准则缺失。审计信息化准则的缺失，不仅会为企业的审计工作带来风险，而且会影响企业内部审计的质量和效果。例如，审计信息化准则的缺失会为造成审计行为的偏差，导致徇私舞弊问题的发生，因为缺乏相应准则的约束，审计人员可能会产生得过且过的思想，从而影响审计的公正性。

（三）审计范围扩大引发的风险

一方面，审计的目标扩大化增加了企业风险。传统的审计中，审计人员只要核对账目、凭证和报表，保证财务不发生问题即可。而审计信息化背景下，还需要对数据安全、审计信息化软件的操作等内容进行审计，目标进一步扩大化，因此面临的风险也逐渐增加[6]。

另一方面，审计的对象扩大化引发了新的风险。随着信息技术的发展和相关财务准则的出台，企业的财务核算内容划分更加细致，审计的对象也逐渐增加，这样企业就面临更多的风险。随着财务的多元化发展和技术的更新换代，企业还会面临更多的审计风险。

（四）审计信息化的操作风险

一方面，对审计信息化软件不熟悉容易引发操作风险。由于信息化技术更新换代速度较快，企业内部审计信息化软件也需要及时更新，这样如果操作人员对软件如果不熟悉则极易引发操作风险。由于审计信息化背景下，很多数据的测算都是自动生成的，一旦发生操作失误那么直接会影响审计结果。

另一方面，由于审计人员的专业性不足也会引发操作风险。企业内部审计信息化建设不仅需要审计人员具备基本的电算化技能，更重要的是需要具备高度的专业水平。如果审计人员专业性缺乏，则在审计过程中企业将会面临人员的操作风险。

五、企业内部审计信息化建设中风险控制的应对策略

（一）建立风险防护系统保证审计信息安全

首先，企业应当建立安全的防火墙系统，保证数据安全。防火墙系统可以有效阻挡网络黑客攻击，同时对计算机病毒也具有防护作用，从而降低审计信息化的固有风险。

其次，企业应当对审计相关的软硬件设备进行及时更新，从而保证审计信息的安全。例如，对防病毒软件进行及时更新，可以预防病毒的入侵和传播，防止企业信息的泄露。

最后，建立风险预警系统，一旦发现风险，系统可以自动识别并预警，企业可以及时采取措施进行应对，避免信息安全问题的发生。

（二）健全内部审计信息化准则

随着审计信息化建设的不断推进，国家会出台相应的法律，用以规范审计行为。企业应当根据相关的法律，并结合自身实际情况，制定严格的内部审计信息化准则，从而规范内部审计行为。企业的内部审计信息化准则应当对审计信息化的全流程进行规定，明确审计责任，对于不合规的审计行为要制定严厉的罚则。内部审计信息化准则是企业内部审计的标准和依据，是提高审计质量的重要保证，是审计信息化建设的重要依据。

（三）提升审计信息化系统的风险防范能力

随着企业内部审计信息化的进一步发展，审计的对象和目标呈现扩大化趋势，因此面临的风险也逐渐增加。要想实现风险控制的目的，就应当不断优化审计信息化系统，提升其风险防范能力。企业可以在审计信息化系统中设置风险节点，对审计的各个步骤进行风险提示，从而实现对风险的有效把控。同时，企业管理人员应当在审计信息化系统中设置相应的权限，便于及时对审计人员的相关工作进行监督和检查，从而达到控制风险的目的。

（四）多措并举规避操作风险

一方面，企业应当加强对审计信息化软件的培训，无论是管理人员还是操作人员，都应当熟练掌握软件的操作规程。只有对内部审计信息化软件熟悉后，审计人员才能顺利开展审计工作，管理人员才能实现审计监督职能。

另一方面，企业审计人员应当加强学习，提升自主学习能力，不断提高专业性。对审计对象和目标的更新，审计人员应当及时了解，并及时调整审计工作内容，避免出现操作风险。