[摘要]如今以網絡、通訊、信息處理、人工智能和多媒體為核心的信息技術———IT已成為世界經濟和科技發展的制高點。IT正在改變著企業的經營環境，沖擊著企業的經營管理，給企業的內部控制帶來新的挑戰，并賦予它新的內涵和任務。IT環境下風險導向型內部控制是要達到有效控制風險，保證信息真實可靠，提高經營效率的目的。

　　[關鍵詞]信息技術；風險；風險評估；風險預警；風險管理審計

　　一、IT環境下企業內部控制面臨的問題

　　隨著信息技術的發展，特別是網絡信息的傳遞和財務軟件的應用，傳統的單機會計電算化系統正在向網絡會計系統發展，這是會計領域的重大變革，極大的促進了會計工作效率的提高，同時給企業的內部控制帶來新的問題和挑戰，主要體現在：

　　（一）網絡環境的開放性使企業的固有風險、財務風險加大

　　在網絡時代，企業的信息都要在網絡上公布，企業人員需要定期或不定期的進行信息交流，企業的各項數據都存儲在處于聯網狀態的客戶機的磁盤中，極易被篡改或惡意破壞，同時磁盤等軟硬件也可能由于質量問題或病毒侵擾而發生故障，破壞企業的數據和各種信息，這就使會計數據的安全性受到威脅，安全系數下降，加劇了會計信息的失真。同時競爭對手也可以通過互聯網登陸企業的網站，了解企業的信息，使企業數據信息的保密性難以保證。這就增大了企業的固有風險和財務風險。

　　（二）授權方式的改變，潛伏著更大的經營風險和控制風險

　　授權批準是傳統內部控制的基本手段，通過嚴格控制相應環節的負責人員的權限，使每一個崗位上的負責人只在本崗位上有權處理數據，能加強各環節的內部牽制，有效的防止作弊。IT使權限分工成為口令形式，口令不像印章那樣便于保管，一旦被偷看或竊取，就會給企業帶來巨大損失。如果有人竊取口令，非法核銷企業的賣出產品數量和應收賬款，然后收買銷售人員竊取到顧客訂單密碼開出假訂單，就會騙取企業的產品，這就增大了企業的控制風險和經營風險。

　　（三）審計人員面臨的審計風險加大

　　在IT環境下審計人員對本身具有不安全性的信息資料和數據進行審計，加大了做出錯誤判斷的可能性，使審計的控制風險和檢查風險增大。審計風險AR=IR CR DR（IR為固有風險，CR為控制風險，DR為檢查風險），IR、CR、DR都增大了，相應的審計風險也就增大了，這對審計行業來講是一個嚴峻的挑戰。

　　二、IT環境下對風險導向型內部控制的理解

　　企業內部控制自產生以來經歷了內部牽制、內部控制制度、內部控制結構和內部控制整體框架四個階段。內部控制是由企業董事會、經理階層和其他員工實施的，為營運的效率、效果，財務報告的可靠性，相關法令的遵循性等目標的達成而提供合理保證的過程。其構成要素有：控制環境、風險評估、控制活動、信息與溝通、監督。可以說這五個要素都是非常重要的，但在IT環境下各種不確定性因素急劇加大，使企業的風險更增強，這就突出了風險評估要素的重要性，如果企業對經營項目本身的風險評估不夠恰當，錯誤決策，就會功虧一簣。風險導向型內部控制是伴隨著IT的發展而發展起來的，是指在IT環境下企業的經營決策以風險評估為基礎，綜合分析企業經濟活動的各因素的一種內部控制方式。風險導向型內部控制在風險較大的信息技術環境下既是出資者約束經理人的工具，也是經理人鎖定職業風險的“防火墻”。同時，從契約經濟學的角度去理解，企業是一系列有緊密聯系的契約的組合，契約在風險性較大的IT環境中履行時，就需要在企業內部存在一個以風險評估為基礎的控制機制，來彌補和糾正契約本身的不完備性，保證企業的正常運作和發展，于是風險導向型內部控制應運而生。

　　風險導向型內部控制的本質特征是以風險的評估為基礎。在IT環境下企業面臨的風險主要是信息被竊取、篡改后會使企業的財務風險、經營風險、控制風險和其他固有風險增大，以至于會使審計人員的審計風險也增大。因此，我們應該看到風險的危害確實是現實存在的，這就要求企業對所經營的項目進行風險的評價，評估出項目風險的種類、風險的級別，尋找風險產生的原因，并采取相應的風險防范或控制措施。高風險項目總是讓人望而生畏，企業要權衡自己的實力和項目的風險程度，再決定是否運作。巨人集團如果建立起科學的風險評估機制，就會合理的、恰當的評估出生物工程的風險性水平，就不會傾巨人所有資金于生物工程而慘遭失敗。當然也不能懼怕風險，只要能正確、合理的評價出風險，并有效的控制風險，管理當局就會運籌帷幄，既不去拼死冒險，也不要失去機會。

　　三、IT環境下風險導向型內部控制框架的構建設想

　　IT環境下風險導向型內部控制所要達到的目標是有效的控制企業的各種風險，保證財務報告的真實可靠，使企業合法經營，提高企業經營的效率、效果。

　　（一）完善公司治理結構，加強網絡管理

　　IT環境下企業的內部控制應該從公司治理結構入手，整合組織結構、業務流程、資金運營和會計工作與審計體系。公司治理是股東、董事會、監事會、經理層之間形成的權責分配、激勵與約束和權利制衡的關系。科學的公司治理結構包括民主、透明的決策程序和管理議事規則，高效、嚴謹的業務執行系統以及健全、有效的內部監督和反饋系統。實行公司治理的關鍵是實施相互制衡的共同治理，主要治理人有股東、董事會、監事會、經理和銀行。各方治理人都應該在自己的職責、權限范圍內嚴格執行公司的治理規定，不能容許個別治理人的越權治理，也不能容許個別治理人的缺位治理，從而進一步完善公司治理結構，為企業實施內部控制打下良好的基礎。

　　1.嚴格網絡系統的管理制度，加強安全控制。比如，明確操作權限，嚴格控制對會計數據的接觸，定期對系統進行安全檢查，提高系統性能，使系統在被破壞時，能夠緊急響應，強制備份，快速重構和快速恢復。

　　2.實行網上公證，避免信息被修改或偽造。利用互聯網實現原始交易憑證三方監控，如每家企業都在互聯網上認證機構領取數字簽名和私有密碼，當交易發生時，交易雙方將認可的單據或有關證明傳到認證機構，由認證機構確認，進行數字簽名并予以加密，然后轉發給雙方，這樣就完成了一項雙方都認可的且由互聯網認證機構公證的交易。

　　這種情況下交易中的任何一方因為無法獲得另一方的數字簽名和密碼，很難篡改或偽造交易憑證。

　　3.建立良好的信息溝通系統，提高控制效果。風險導向型內部控制應滲透到企業的各個業務過程、各個經營環節，覆蓋企業所有的部門和崗位，不留任何“盲區”、“盲點”和“盲人”，使所有在崗人員充分利用網絡進行及時、全面的橫向和縱向信息溝通和交流，同時把競爭對手的相關信息提交分析決策部門，以便管理當局做出正確的決策。

　　4.對企業會計人員加強職業道德教育和能力培養，增強職業判斷能力，使他們能夠不斷提高對IT環境下風險的識別、判斷和評價能力。

　　（二）建立風險預警、評估和控制機制，實行風險管理

　　所謂風險管理是指對風險的識別、判斷、評估和及時處理。要實行風險管理就要求企業內部存在風險的預警、評估和控制機制。

　　1.建立風險預警體系，完善風險預警系統

　　風險預警是通過對一系列指標的分析，檢測是否有不正常反映并發出警戒信號的過程。風險預警系統應包括預警分析的組織機制、會計信息系統和財務信息收集、傳遞機制和風險分析機制，風險預警系統能夠利用收集到的各種信息，運用預警分析方法對企業即將或風險做出預警分析。

　　2.建立風險評估機制，正確評價經濟活動的風險水平

　　健全的風險評估機制應包括風險評估標準、風險評估規范、風險評估方法。

　　風險評估標準是企業自己設置的風險指標值，在設定時關鍵是確定好風險高低的分界點和分值范圍。比如應收賬款反映用戶占用企業資金的情況，占用時間越長，收回的可能性越小，風險越大。

　　風險評估規范是企業自己制定的用來約束和評價風險評估人員的規章制度。

　　風險評估方法從總體上講可以分為定性分析法和定量分析法。定性分析法有標準化調查法、“四階段癥狀分析法”、“三個月資金周轉表法”、流程圖分析法和管理評分法等方法；定量分析法有單變量分析法和多變量分析法。

　　3.建立內部風險咨詢管理機構，控制企業風險

　　企業可以在內部結構中成立一個風險咨詢機構，專門負責企業內部的風險咨詢業務，針對不同情況對風險采取不同的控制手段。可采取的控制手段有：風險分散制度，即通過風險的分散措施，如多方位、多元化經營來分散市場競爭的風險；風險轉嫁制度，即企業可以通過合法的途徑和手段把風險轉嫁給其他單位承擔，如簽訂遠期合同，實行承包經營，購買保險等將風險轉嫁出去；分類控制制度，根據風險產生的不同原因和類型，分門別類加以控制。

　　4.風險評估信息的披露

　　在IT環境下，由評估人員出據的評估報告在企業對外披露的信息中的地位不斷加強，一方面由于代理授權的存在，為了加強股東對經營者的監督，弱化信息不對稱造成的影響，風險評估信息應該披露；另一方面風險信息是投資者迫切需要的信息，他們關心企業的運營成果、風險及風險評估信息，以期改善企業的抗風險能力，提高投資的效率和效果，因此風險評估信息需要披露。企業在披露風險評估信息時，應該以外部評估機構的評估結果為主，以內部評估信息為補充信息，對存在風險的項目、風險的級別以及企業為防范和控制風險采取了哪些措施等重要信息進行披露。

　　（三）實行風險管理審計，進行內部控制的監督和再控制

　　風險管理審計是內部審計發展的必然趨勢。風險管理審計是立足于企業內部的一項特殊的咨詢和服務項目，它針對風險產生的原因和環節，評價和改進企業的風險管理，對企業的內部控制情況進行審查和再控制，提高企業經營的效率、效果，增加企業價值。實施風險管理審計，評價企業內部控制的模式有很多種，但在IT環境下我們可以將內部控制自評（CSA）和網絡信息動態評估結合起來運用。

　　1.CSA方法要求內部審計人員和被審計部門管理人員組成一個小組，使當局管理人員在審計人員的幫助下，對本部門內部控制的恰當性和有效性進行評估，然后依據評估出據審計報告。CSA的主要優點是提供了一個評估并控制風險的工具，能使內部審計人員和管理人員共同控制風險，同時有助于企業各部門的合作和企業的整體發展；管理人員可以針對CSA反映出的管理控制中存在的問題，及時加以改進，還可以向企業評審機構展示他們對現存內部控制的態度，有利于風險導向型內部控制的完善。

　　2.網絡動態評估法是指內部審計人員收集充分的信息和資料，然后創建數據庫，利用風險評估指標再次測評企業面臨的風險及風險產生的環節，從而評價內部控制的執行情況，同時提供風險防范、管理、控制的對策。內部審計人員通過訪問數據庫根據風險評估標準，就可以了解哪里存在風險，風險的水平，并可按重要性或風險高低排序， 了解總體情況，對企業的內部控制的執行情況進行監督。網絡動態評估法的主要優點是只要第一次做好數據庫，以后評估時就可以通過更新變更的資料更新數據庫，然后直接測評，當然也要根據實際情況對風險評估標準作相應的調整。

　　3.風險導向型內部控制進行的風險管理審計應該將內部控制自評和網絡動態評估法有機結合起來，在網絡動態評估法的基礎上加強內部控制自評，即在充分利用信息系統的基礎上認真執行內部控制自評，來評價企業的內部控制、評估企業的風險。通過兩者的優勢互補，對內部控制進行綜合評價，進一步完善企業的風險導向型內部控制，保證和促進新世紀的企業在IT環境下持續健康發展。

　　[參考文獻]

　　[1]劉明輝，張宜霞。內部控制的經濟學思考[J].會計研究，2002，（8）

　　[2]楊有紅。內部控制框架———構建與運行[M].杭州：浙江人民出版社，2001-11

　　[3]閻達五，楊有紅。內部控制框架的構建[J].會計研究，2001，（2）

　　[4]閻肅。IT環境下的企業內部控制制度變革[J].特區會計，2000，（8）