一、内部审计、风险管理与风险管理审计 内部审计是现代管理的组成部分。《内部审计实务标准》将其定义为:内部审计是一种独立、客观的保证工作和咨询活动,其目的在于为组织增加价值并提高组织的运营效率,采用系统化、现代化的方法对风险管理、控制和治理程序进行评价和改善,从而帮助组织实现目标。 美国反虚假财务报告委员会(COSO)在《企业风险管理框架》中对企业风险管理的定义如下:企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。 内部审计在COSO这一框架中作为监控活动存在,由内部机构对企业风险管理进行独立评估。内部审计在企业风险管理框架中的首要角色是监督者,包括对风险管理流程的评估和保证服务,对风险评估准确性的保证服务,对关键风险报告的评估和对关键风险管理的评估。 二、风险识别的审查与评价应重点考虑的因素 1.信息化环境下系统风险加大。在信息化环境下,以磁性介质等作为信息载体,存储在计算机磁盘上的数据容易被修改,甚至能不留痕迹。由于系统的分布式、开放性甚至远程处理的特点,数据的一致性保障更难,系统恢复处理的成本更高。系统风险不仅与内部人员道德风险有关,还广泛受系统关联方道德风险甚至社会道德风险的影响。 企业使用信息化业务流程,拥有高度集成韵功能,并且系统用户无论在哪都可以访问系统,甚至控制或改变重要业务参数。信息化的这一特点虽能使企业员工以更大的灵活性去处理问题并提高效率,但如果对这种灵活性缺乏有效的控制,那么信息化的高度集成性和分布式的系统技术结构同样会为企业带来风险,信息化系统中高度集成的功能模块使得任何一点出现问题都会影响其他模块的正常运行。 2.内部控制方式更为复杂。信息化环境下内部控制的方式发生了很大的改变,除了人这个执行控制的主体,还有许多控制方法通过软件来实现,因而内部控制也由单一人工控制转为人工控制和程序控制相结合的方式。授权控制是信息化环境下主要的组织控制原则,经办人员利用授权输入口令,获得相应的权利处理授权范围内的业务,保证系统的正常工作。要达到企业管理的目标,必须重视应用程序和操作程序。总之,信息化环境下内部控制也由人工变为人和计算机共同控制,导致内部控制方式更为复杂。 3.数据的安全性降低。在信息化环境下,存储介质由纸张转变为磁性介质等,数据的共享程度大幅度提高,相应的,数据面临的风险随之增大。同时,由于信息来源渠道多样化,在原来单机系统中作为重点控制的输入控制就要扩展到所有数据收集和加工领域;由于数据传输的及时性,某个用户的一项数据错误可能在纠正之前已对其他用户产生了影响并进而形成了衍生错误。在这种情况下,数据的安全性必然降低。 4.内部控制制度有可能弱化。在信息化环境下,出现从事数据输入输出的人员随意修改数据的情况,会加大系统的风险。主要有以下几种表现: (1)职责分离原则执行不彻底。一些企业的程序员或系统的维护人员往往随意接触系统,甚至顶班操作,也有一部分企业常有同一人用不同的密码去完成数据输入与复核两项不兼容的工作,使应有的控制完全失效。 (2)系统的恢复控制薄弱。虽然大部分企业的数据文件都有备份,但对备份文件的保管并不完善,很多企业基本没有制定系统遇到毁损时的恢复计划。 (3)内部审计监督弱化。由于我国的内部审计制度不够完善,内部审计人员素质普遍不高,一般不熟悉信息化环境下企业的特点和风险,不了解信息化环境下应有的内部控制,更不熟悉信息化环境下如何开展风险管理审计。因此,高风险的信息化环境系统未能得到有效的内部审计监督。 5.系统资源多样化增加了管理的难度。由于信息化环境下系统的牵涉面很广,信息化环境下的软件、硬件、数据资源十分丰富,各自的内容和标准多种多样,对系统的检查难度加大,对系统管理的难度也随之增大。 6. 内部控制内容复杂化增加了控制的难度。信息化环境下数据的使用面扩展到整个网络,这就使得内部控制要关注的对象不仅仅是会计系统,而且要向业务管理信息系统及其供应链追溯;不仅仅局限于内部,而且还包括外部控制。信息化环境下出现了许多新的控制特点:网络规模不同,外部控制的范围也有很大的差别,当企业内联网成为互联网的组成部分时,外部控制就包括了周界控制、大众访问控制、电子商务控制、远程处理控制等,使得内部控制的难度增大。 7.无纸化交易加大了管理风险。在信息化环境下纸质记录减少了,取而代之的是存有数据处理资料的磁盘、光盘、移动硬盘等磁性介质。这些介质的数据处理都由计算机自动完成,因而产生了大量的无纸化交易,致使很难通过纸质文件直观跟踪业务的处理过程,也无法用传统的方法考查业务的安全性、完整性和准确性,从而加大了管理的风险。 三、风险评估方法的审查与评价应重点考虑的因素 1.信息化环境下系统风险加大的可能性和影响程度。内部审计人员要对信息化环境下系统风险加大的可能性和影响程度进行审查与评价。在信息化环境下,内部控制依赖于人和软件,由于内部控制融于系统软件之中,审计人员无法通过传统方法察觉,对系统设计中存在的缺陷也难以发现。如设计计算机信息系统时考虑不周,缺乏应用软件的控制能力,系统可能无法判断某类数据是否符合逻辑,对不合理的数据可能也会进行日常处理。并且对错误数据的处理还具有重复性和连续性,从而可能导致整个系统出现错误的数据,系统风险加大。