信息化技术在内部审计风险管理中运用.docVIP

信息化技术在内部审计风险管理中运用 　　一、引言 　　美国安然事件促使其2002年出台了著名的《萨班斯法案》，随后我国也出台了一系列的风险管理和内部控制的指引。我国国务院国资委2006年发布《中央企业全面风险管理指引》；财政部等五部委2008年发布《企业内部控制基本规范》，并于2010年发布《企业内控应用指引》、《评价指引》、《审计指引》；财政部和国资委2012年又发布《关于加快构建中央企业内部控制体系有关事项的通知》。近两年，国务院国资委要求中央企业加强信息化建设和全面风险管理，并把信息化作为加强企业管理的必要手段密切结合 。本文章结合当前的热点问题，研究内部审计如何运用信息化的手段来发挥风险管理职能。 　　内部控制的实质是风险管理，作为内部控制的关键因素，内部审计在风险管理中起着重要作用。我国《内部审计具体准则第16号——风险管理审计》中，明确指出内部审计机构和人员应当审查和评价组织的风险管理过程的适当性和有效性，并提出改进建议。对于我国内部审计人员而言，树立风险意识，参与风险管理是十分必要的，风险管理是体现内部审计价值又一重要方式。内部审计既要检查企业内部控制的完整性和有效性，以便发挥内部控制的最大效用；同时还要加强与企业管理部门的合作，促进企业风险管理工作高效进行。 　　以前，很多企业并不重视内部审计，而现在，越来越多的企业认识到加强企业的内部审计，能够有效地防范企业的各类风险。因此，将优秀的职员放到内部审计岗位上，协助风险管理部门识别和评估重大风险，为管理层应对风险提供足够的信息，避免企业重大风险的发生，内部审计起着至关重要的作用。企业全面风险管理体系框架具体包括以下环节：内部环境管理；目标设定；风险事件管理；风险识别和评估；风险方案设计；体系手册发布；监控与预警；监督及改进（如表1）。 　　由上述分析可知，内部审计是内部环境的一部分，内部审计自身良好的运行对优良的内部环境的构建起到积极作用。但对内部环境的其他因素诸如公司治理状况等很难直接起作用。另外，对于目标设定、风险事件的管理持关注态度，特别要关注风险事件的管理，为评估风险提供信息；风险方案的设计，内部审计部门可以协助提供信息； 关于风险体系手册的发布，会涉及到内部审计的一些手册，因此内部审计部门要参与其中。而监控和预警，是内部审计部门发挥风险管理职能的重要手段，内部审计部门不但要重点关注，还要参与其中。最后的监督与改进，是风险管理机构和管理层的责任，内部审计部门只需要提供信息支持予以协助即可。综上所述，内部审计部门在企业全面风险管理中发挥作用的环节主要在于风险的识别和评估以及监控和预警，本文正是从这两个角度来展来论述。 　　二、信息化技术在内部审计风险管理职能中的运用 　　在信息化条件下，信息的高速发展与不断更新提高了企业内部审计的创新能力和应变能力，给内部审计带来技术上的支持，同时，信息化环境下，内部审计的环境更加复杂，企业的经营管理系统、财务系统与计算机技术 、数据库技术不可分割地交织在一起。风险管理包括三个环节：风险识别，风险评估和风险应对，内部审计的风险管理职能仅限于风险识别和风险评估，风险应对是管理层应尽的责任；同时，信息化手段更适合应用于风险识别和风险评估。因此本文的论述侧重于内部审计部门如何运用信息化技术进行风险识别和风险评估的。 　　（一）信息搜集的方式 内部审计人员要进行风险识别和评估，第一步就是要进行信息的搜集。所需的信息主要靠内部审计人员自己搜集，其搜集信息的途径有：（1）查阅内部资料。包括查阅内部控制手册、管理报告以及股东大会、董事会等高层管理的会议记录。（2）从外面搜集信息。可以从投资机构、证券分析师等关于企业的评价以及政府或者机构发布的行业统计数据，财经杂志等途径。三鹿奶粉等多家上市公司的风险管理案例证明，外部信息对企业风险的披露远远早于企业内部信息，外部搜集的信息可以给企业提供有关风险管理更为有效的数据。（3）实地观察主要生产经营场所，以了解和企业风险管理相关的信息。（4）询问管理层和员工。通过询问企业上下级两个层次的职员，来获取风险管理的信息。 　　另外，内部审计人员应该建立一个信息沟通的平台，该平台至少有两个重要作用，一方面内部审计人员把自己搜集的信息通过这个平台进行分类整理和汇总；另一方面，基于风险管理是全面参与的一个过程，企业的普通员工可以通过这个平台反馈信息。员工通过平台来反馈信息，可能比当面询问能收到更好的效果，员工反馈的信息是对内部审计人员自己搜集信息的有利补充，可能会对企业的风险管理起着至关重要的作用。下面介绍这个信息化沟通交流的平台的建立。 　　（二）信息化沟通交流平台的建立 内部审计部门在建立信息沟通交流的平台时，可以按照风险的分类来建立模块。风险类别可分为五种：战略风险、财务风险、法律风