信息化技术在内部审计风险管理中的运用

1、信息化技术在内部审计风险管理中的运用一、引言美国安然事件促使其2002年出台了著名的萨班斯法案，随后我国也出台了一系列的风险管理和内部控制的指引。我国国务院国资委2006年中央企业全面风险管理指引；财政部等五部委2008年企业内部控制基本规范，并于2010年企业内控应用指引、评价指引、审计指引；财政部和国资委2012年又关于加快构建中央企业内部控制体系有关事项的通知。近两年，国务院国资委要求中央企业加强信息化建设和全面风险管理，并把信息化作为加强企业管理的必要手段密切结合 。本文章结合当前的热点问题，研究内部审计如何运用信息化的手段来发挥风险管理职能。内部控制的实质是风险管理，作为内部控制的关

2、键因素，内部审计在风险管理中起着重要作用。我国内部审计具体准则第16号风险管理审计中，明确指出内部审计机构和人员应当审查和评价组织的风险管理过程的适当性和有效性，并提出改进建议。对于我国内部审计人员而言，树立风险意识，参与风险管理是十分必要的，风险管理是体现内部审计价值又一重要方式。内部审计既要检查企业内部控制的完整性和有效性，以便发挥内部控制的最大效用；同时还要加强与企业管理部门的合作，促进企业风险管理工作高效进行。以前，很多企业并不重视内部审计，而现在，越来越多的企业认识到加强企业的内部审计，能够有效地防范企业的各类风险。因此，将优秀的职员放到内部审计岗位上，协助风险管理部门识别和评估重大

3、风险，为管理层应对风险提供足够的信息，避免企业重大风险的发生，内部审计起着至关重要的作用。企业全面风险管理体系框架具体包括以下环节：内部环境管理；目标设定；风险事件管理；风险识别和评估；风险方案设计；体系手册；监控与预警；监督及改进（如表1）。由上述分析可知，内部审计是内部环境的一部分，内部审计自身良好的运行对优良的内部环境的构建起到积极作用。但对内部环境的其他因素诸如公司治理状况等很难直接起作用。另外，对于目标设定、风险事件的管理持关注态度，特别要关注风险事件的管理，为评估风险提供信息；风险方案的设计，内部审计部门可以协助提供信息； 关于风险体系手册的，会涉及到内部审计的一些手册，因此内部审

4、计部门要参与其中。而监控和预警，是内部审计部门发挥风险管理职能的重要手段，内部审计部门不但要重点关注，还要参与其中。最后的监督与改进，是风险管理机构和管理层的责任，内部审计部门只需要提供信息支持予以协助即可。综上所述，内部审计部门在企业全面风险管理中发挥作用的环节主要在于风险的识别和评估以及监控和预警，本文正是从这两个角度来展来论述。二、信息化技术在内部审计风险管理职能中的运用在信息化条件下，信息的高速发展与不断更新提高了企业内部审计的创新能力和应变能力，给内部审计带来技术上的支持，同时，信息化环境下，内部审计的环境更加复杂，企业的经营管理系统、财务系统与计算机技术 、数据库技术不可分割地交织

5、在一起。风险管理包括三个环节：风险识别，风险评估和风险应对，内部审计的风险管理职能仅限于风险识别和风险评估，风险应对是管理层应尽的责任；同时，信息化手段更适合应用于风险识别和风险评估。因此本文的论述侧重于内部审计部门如何运用信息化技术进行风险识别和风险评估的。（一）信息搜集的方式 内部审计人员要进行风险识别和评估，第一步就是要进行信息的搜集。所需的信息主要靠内部审计人员自己搜集，其搜集信息的途径有：（1）查阅内部资料。包括查阅内部控制手册、管理报告以及股东大会、董事会等高层管理的会议记录。（2）从外面搜集信息。可以从投资机构、证券分析师等关于企业的评价以及政府或者机构的行业统计数据，财经杂志等

6、途径。三鹿奶粉等多家上市公司的风险管理案例证明，外部信息对企业风险的披露远远早于企业内部信息，外部搜集的信息可以给企业提供有关风险管理更为有效的数据。（3）实地观察主要生产经营场所，以了解和企业风险管理相关的信息。（4）询问管理层和员工。通过询问企业上下级两个层次的职员，来获取风险管理的信息。另外，内部审计人员应该建立一个信息沟通的平台，该平台至少有两个重要作用，一方面内部审计人员把自己搜集的信息通过这个平台进行分类整理和汇总；另一方面，基于风险管理是全面参与的一个过程，企业的普通员工可以通过这个平台反馈信息。员工通过平台来反馈信息，可能比当面询问能收到更好的效果，员工反馈的信息是对内部审计人

7、员自己搜集信息的有利补充，可能会对企业的风险管理起着至关重要的作用。下面介绍这个信息化沟通交流的平台的建立。（二）信息化沟通交流平台的建立 内部审计部门在建立信息沟通交流的平台时，可以按照风险的分类来建立模块。风险类别可分为五种：战略风险、财务风险、法律风险、市场风险、运营风险。根据这五种风险的性质不同，内部审计部门可以对它们分别设立日常监督和特别监督。战略风险和法律风险只有公司在实施重大战略时或者政府出台与企业经营关系密切有重大影响的法律法规时，内部审计部门要对这种风险加以特别的关注。同时这两种风险具有突发性的特点，一旦风险发生而企业没有采取较好的应对措施，对企业生存可能产生致命的威胁。因此

8、内部审计部门要做的就是平时要对公司战略和法律环境的重大变化实施密切观察，一旦这种重大变化出现，特别是法律方面不利的重大变化，内部审计部门要做到特别监督，予以特别的评估。此外，做为内部审计部门，还需要关注企业是否存在重大的研发失败、业务拓展失败、未决诉讼、政府管制放松或者加紧等这些偶发事件。而财务风险、市场风险和运营风险和上述的两种风险不同，这三种风险属于常规风险，需要日常监督来完成。这类风险的发生是一个日常积累的过程，如果管理部门平时不注意对这类风险进行疏导和应对的话，该类风险积累到一定程度，也会对企业产生致命性的威胁。因此，对于这类风险内部审计部门工作的重点是评估，并及时的把评估的结果提交给

9、管理部门。（三）通过信息化沟通交流平台对各种风险进行监控 按照上述构建的各种风险模块，对各类风险监控的内容和方式如表2：如上所述，战略风险和法律风险需要的是特别监督，所以日常要做的是进行风险识别，识别出这种风险存在才进行评估；而财务风险、市场风险和运营风险则需要日常的监督，日常都要对这三种风险进行评估，并提交管理部门处理，以防止其累积为重大风险。除了上述的五个模块五种风险之外，内部审计部门还要关注对单位环境的评估，包括诸如：（1）管理层是否由一个或几个人所控制，而董事会、审计委员会或类似机构对其是否实施有效监督；（2）管理层在承担和监控经营风险方面是风险偏好者上还是风险规避者；（3）关键管理人

10、员变动；（4）内部控制薄弱等。其实，企业的每种风险都不是孤立的，要把各种风险的识别和评估结合在一起进行分析，可能会得出更为有用的结论。因此，要把内部环境的评估和上述的五种风险的识别评估结合在一起，得出企业整体风险评估的结论。（四）风险预警指标的构建 为了更好的量化评估的风险，还需要加入风险预警指标，如下表3：其中战略风险和法律风险属于定性指标，内部审计部门首先要关注此类事件是否发生，如果发生，才进行风险评估；而财务风险、市场风险和运营风险则属于定量指标，内部审计部门需定期对这些指标进行检测。这些指标既需要结合企业的实际情况来筛选，同时还需要多个指标结合使用来判定企业的风险。另外，还要把这些指标

11、做如下分析，以判定企业的某项或者综合风险是否达到了警戒线。（1）趋势分析。也就是和企业自身以前年度指标做比较，比如行业排名；（2）同行业比较。比如主营业务利润率、业务增长率还有技术革新这些指标都适合与同行业做比较来判定风险；（3）与竞争对手的业绩比较。这种分析也颇为关键，特别对于行业排名比较靠前的企业，要时时刻刻关注竞争对手的情况，如利润率、市场占有率、技术革新等，稍有疏忽就有可能被竞争对手超越，从而处于不利地位。（4）与监管部门的要求相比较。特别是准备在资本市场上募集资金的企业，监管部门是有诸多要求的，如果不能达到这些要求，意味着不能从资本市场募集资金，会不会导致企业资金流动性方面出现困难，需要内部审计部门重要点关注。三、审计人才准备从根本上说，内部审计人员知识结构单一，缺乏复合型审计人才，人才的匮乏是制约内部审计信息化技术手段应用的根源所在。内部审计发展的关键是人才的培养和完善审计人员的知识结构。在信息技术环境下，审计人员一方面要熟悉相关法律法规 ，具备丰富的财务审计知识及实践经验；还应熟练掌握网络技术、企业经营管理等方面的技能与方法。现实中，虽然内部审计人员掌握一定的计算机知识，但仅仅掌握了较浅层次的计算机基础知识和运用技能，缺乏深层次的计算机系统设计、程序编译检测技能，不能有效地分析系统结