[摘要]如今以网络、通讯、信息处理、人工智能和多媒体为核心的信息技术———IT已成为世界经济和科技发展的制高点。IT正在改变着企业的经营环境,冲击着企业的经营管理,给企业的内部控制带来新的挑战,并赋予它新的内涵和任务。IT环境下风险导向型内部控制是要达到有效控制风险,保证信息真实可靠,提高经营效率的目的。
[关键词]信息技术;风险;风险评估;风险预警;风险管理审计
一、IT环境下企业内部控制面临的问题
随着信息技术的发展,特别是网络信息的传递和财务软件的应用,传统的单机会计电算化系统正在向网络会计系统发展,这是会计领域的重大变革,极大的促进了会计工作效率的提高,同时给企业的内部控制带来新的问题和挑战,主要体现在:
(一)网络环境的开放性使企业的固有风险、财务风险加大
在网络时代,企业的信息都要在网络上公布,企业人员需要定期或不定期的进行信息交流,企业的各项数据都存储在处于联网状态的客户机的磁盘中,极易被篡改或恶意破坏,同时磁盘等软硬件也可能由于质量问题或病毒侵扰而发生故障,破坏企业的数据和各种信息,这就使会计数据的安全性受到威胁,安全系数下降,加剧了会计信息的失真。同时竞争对手也可以通过互联网登陆企业的网站,了解企业的信息,使企业数据信息的保密性难以保证。这就增大了企业的固有风险和财务风险。
(二)授权方式的改变,潜伏着更大的经营风险和控制风险
授权批准是传统内部控制的基本手段,通过严格控制相应环节的负责人员的权限,使每一个岗位上的负责人只在本岗位上有权处理数据,能加强各环节的内部牵制,有效的防止作弊。IT使权限分工成为口令形式,口令不像印章那样便于保管,一旦被偷看或窃取,就会给企业带来巨大损失。如果有人窃取口令,非法核销企业的卖出产品数量和应收账款,然后收买销售人员窃取到顾客订单密码开出假订单,就会骗取企业的产品,这就增大了企业的控制风险和经营风险。
(三)审计人员面临的审计风险加大
在IT环境下审计人员对本身具有不安全性的信息资料和数据进行审计,加大了做出错误判断的可能性,使审计的控制风险和检查风险增大。审计风险AR=IR CR DR(IR为固有风险,CR为控制风险,DR为检查风险),IR、CR、DR都增大了,相应的审计风险也就增大了,这对审计行业来讲是一个严峻的挑战。
二、IT环境下对风险导向型内部控制的理解
企业内部控制自产生以来经历了内部牵制、内部控制制度、内部控制结构和内部控制整体框架四个阶段。内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率、效果,财务报告的可靠性,相关法令的遵循性等目标的达成而提供合理保证的过程。其构成要素有:控制环境、风险评估、控制活动、信息与沟通、监督。可以说这五个要素都是非常重要的,但在IT环境下各种不确定性因素急剧加大,使企业的风险更增强,这就突出了风险评估要素的重要性,如果企业对经营项目本身的风险评估不够恰当,错误决策,就会功亏一篑。风险导向型内部控制是伴随着IT的发展而发展起来的,是指在IT环境下企业的经营决策以风险评估为基础,综合分析企业经济活动的各因素的一种内部控制方式。风险导向型内部控制在风险较大的信息技术环境下既是出资者约束经理人的工具,也是经理人锁定职业风险的“防火墙”。同时,从契约经济学的角度去理解,企业是一系列有紧密联系的契约的组合,契约在风险性较大的IT环境中履行时,就需要在企业内部存在一个以风险评估为基础的控制机制,来弥补和纠正契约本身的不完备性,保证企业的正常运作和发展,于是风险导向型内部控制应运而生。
风险导向型内部控制的本质特征是以风险的评估为基础。在IT环境下企业面临的风险主要是信息被窃取、篡改后会使企业的财务风险、经营风险、控制风险和其他固有风险增大,以至于会使审计人员的审计风险也增大。因此,我们应该看到风险的危害确实是现实存在的,这就要求企业对所经营的项目进行风险的评价,评估出项目风险的种类、风险的级别,寻找风险产生的原因,并采取相应的风险防范或控制措施。高风险项目总是让人望而生畏,企业要权衡自己的实力和项目的风险程度,再决定是否运作。巨人集团如果建立起科学的风险评估机制,就会合理的、恰当的评估出生物工程的风险性水平,就不会倾巨人所有资金于生物工程而惨遭失败。当然也不能惧怕风险,只要能正确、合理的评价出风险,并有效的控制风险,管理当局就会运筹帷幄,既不去拼死冒险,也不要失去机会。
三、IT环境下风险导向型内部控制框架的构建设想
IT环境下风险导向型内部控制所要达到的目标是有效的控制企业的各种风险,保证财务报告的真实可靠,使企业合法经营,提高企业经营的效率、效果。
(一)完善公司治理结构,加强网络管理
IT环境下企业的内部控制应该从公司治理结构入手,整合组织结构、业务流程、资金运营和会计工作与审计体系。公司治理是股东、董事会、监事会、经理层之间形成的权责分配、激励与约束和权利制衡的关系。科学的公司治理结构包括民主、透明的决策程序和管理议事规则,高效、严谨的业务执行系统以及健全、有效的内部监督和反馈系统。实行公司治理的关键是实施相互制衡的共同治理,主要治理人有股东、董事会、监事会、经理和银行。各方治理人都应该在自己的职责、权限范围内严格执行公司的治理规定,不能容许个别治理人的越权治理,也不能容许个别治理人的缺位治理,从而进一步完善公司治理结构,为企业实施内部控制打下良好的基础。
1.严格网络系统的管理制度,加强安全控制。比如,明确操作权限,严格控制对会计数据的接触,定期对系统进行安全检查,提高系统性能,使系统在被破坏时,能够紧急响应,强制备份,快速重构和快速恢复。
2.实行网上公证,避免信息被修改或伪造。利用互联网实现原始交易凭证三方监控,如每家企业都在互联网上认证机构领取数字签名和私有密码,当交易发生时,交易双方将认可的单据或有关证明传到认证机构,由认证机构确认,进行数字签名并予以加密,然后转发给双方,这样就完成了一项双方都认可的且由互联网认证机构公证的交易。