（会计学专业论文）it环境下内部审计参与企业风险管理研究.pdf

中文摘要 中文摘要 内部审计参与企业风险管理是企业提高经营管理效率的客观需要和追求自 身发展的必然结果。信息技术的日新月异使得企业在i t 下环境面临许多新课 题、新风险。由此导致内部审计在参与风险管理的过程中，运用传统的内部审 计方法已经远远不能达到现代审计的要求。i t 环境下，内部审计如何参与风险 管理来提高企业风险管理的有效性，并为组织增值，已成为目前理论界和实务 界亟待解决的问题。 本文的研究是以风险管理理论的最新框架裘国c o s o 颁布的e r m 框架为 理论指导，充分考虑i t 环境，并运用i t 技术，对传统的内部审计技术方法进 行创新，尝试建立与i t 环境相适应的基于信息结构的现代内部审计参与风险管 理的理论与方法体系。 从本文整体架构上看，全文分为五个部分：第一部分是绪论。介绍本文的研 究背景、研究意义，国内外研究现状，本文研究的内容和研究方法以及本文可 能的创新；第二部分内部审计和风险管理相关理论。根据c o s o e r m f 和i i a 对 内部审计的定义演进分析了内部审计与企业风险管理结合的意义，指出内部审 计在e r m f 中承担的角色和作用；并通过对3 6 家企业的问卷调查进一步说明了 内部审计参与企业风险管理的必要性；第三部分是i t 环境下内部审计参与风险 管理的考虑。i t 环境下内部审计参与风险管理主要考虑以下几个方面，一是i t 环境如何改变企业环境以及与之相伴的风险，二是i t 环境如何影响内部审计及 i t 环境下内部审计如何利用i t 来更有效的参与风险管理活动。第四部分是i t 环境下内部审计参与风险管理途径分析。主要以c o s o 颁布的最新风险管理框架 e r m f 为基础，重新构建了i t 环境下内部审计参与风险管理的途径；最后做 了案例分析；第五部分是完善i t 环境下内部审计和风险管理的对策建议。主要 针对前面几部分的分析提出了完善i t 环境下内部审计和风险管理建议；第六部 分是结束语。得出结论并指出本文的不足之处和研究展望。 关键词：i t 环境内部审计风险管理 a b a c a c t a b a t r a c t i no r d e rt oi m p r o v em a n a g e m e n te f f i c i e n c y a n dp u r s u i ts e l f - d e v e l o p m e n t ， e n t e r p r i s e si n t e r n a la u d i ts h o u l db e i n v o l v e di nt h er i s km a n a g e m e n t w i t ht h e d e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y , e n t e r p r i s e sa r ef a c i n gm a n yn e wp r o b l e m s a n dn e wr i s k si ni te n v i r o n m e n t s , w h i c hh a sl e a dt ot h ei n t e r n a la u d i tu s i n g t r a d i t i o n a lm e t h o d sh a sb e e nf a rf r o ma d e q u a t et om e e tt h er e q u i r e m e n t so fm o d e m a u d i tw h e ni ti n v o l v i n gi nt h er i s km a n a g e m e n t i th a sb e e nau r g e n tp r o b l e mb o t hi n t h e o r ya n di np r a c t i c en o w t h a th o wi n t e r n a la u d i ti n v o l v e di nt h er i s km a n a g e m e n tt o i m p r o v ev a l i d i t yo f i ta n dp r o m o t ev a l u eo fo r g a n i z a t i o n t h er e s e a r c ho ft h i sa r t i c l ei sb yt h en e w e s tt h e o r yo fr i s km a n a g e m e n t f r a m e w o r k - - - c o s o - e r m fi s s u e db yt h eu s a , a n dc o n s i d e r st h ei te n v i r o n m e n t f u l l ya n da p p l i e si tt e c h n o l o g y , c a r r i e so n t h ec o n f o r m i t ya n dt h eo p t i m i z a t i o nt ot h e t r a d i t i o n a le n t e r p r i s ei n t e r n a la u d i tt h e o r ya n dt h em e t h o d ，e s t a b l i s h e sai n t e r n a l a u d i t sn e wt h e o r e t i c a lm e t h o ds y s t e mt oa d a p tt h ei te n v i r o n m e n t t h ef u l lt e x ti sd i v i d e di n t os i xp a r t s ，t h em a i ns t r u c t u r ei sa sf o l l o w s ：i nc h a p t e r o n e ，t h ea u t h o ri n t r o d u c e st h eb a c k g r o u n da n ds i g n i f i c a n c eo f t h ed i s s e r t a t i o na n dt h e l i t e r a n 玎er e v i e wa th o m ea n da b r o a d ，c o n t e n t sa n dt h em e t h o d o l o g y ，a n dt h e c o r l 仃i b u t i o n sa n dl i m i t a t i o n si nt h ed i s s e r t a t i o n ；i nc h a p t e rt w o ，i n t e r n a la u d i ta n d e r mt h e o r y ，t h ea u t h o ri n t r o d u c e st h ec o n n o t a t i o no fi n t e r n a la u d i tf r o mt h e p e r s p e c t i v eo f i t sd e v e l o p m e n t ，t h ee r m fa n dt h ei n t e r n a la u d i t sr o l ei nt h ee r m f ； c h a p t e rt h r e ei st h ec o n s i d e r a t i o no f i n t e r n a la u d i ti n v o l v e di nr i s km a n a g e m e n tu n d e r i te n v i r o n m e n t i ni te n v i r o n m e n t ，i n t e m a la u d i ti n v o l v e di nt h er i s km a n a g e m e n t m a i n l yh a v et ob e c o n s i d e r a t ew i t ht h ef o l l o w i n ga r e a s ：t h ef i r s ti sh o w 廿1 ei t e n v i r o n m e n tc h a n g e st h eb u s i n e s s e s se n v i r o n m e n ta n dt h er i s k sa s s o c i a t e dw i t ht h e m ； t h es e c o n di sh o wt h ei te n v i r o n m e n tc a i li n f l u e n c et h ei n t e r n a la u d i t ，a n dh o w t h e i n t e r n a la u d i te f f e c t i v e l yu s ei tt op a r t i c i p a t ei nt h er i s km a n a g e m e n ta c t i v i t i e s ； c h a p t e rf o u ri s t h ew a yo fi n t e m a la u d i ti n v o l v e di nr i s km a n a g e m e n tu n d e ri t e n v i r o n m e n t o nt h eb a s eo fc o s o - e r m f , t h ep a p e rd i s c u s s e sd e e p l yt h ew a y i n h a b a c a c t w h i c hi n t e r n a la u d i ti n v o l v e di nt h er i s km a n a g e m e n t c h a p t e rf i v ei sa b o u tt h e s u g g e s t i o no ni m p r o v i n gi n t e r n a la u d i ti n v o l v e di nr i s km a n a g e m e n tu n d e ri t e n v i r o n m e n t ；i nc h a p t e rf o u r ，t h ea u t h o rs u mu pt o t h ew h o l ea r t i c l ea n dt h e n i l l u s t r a t et h el i m i t a t i o n sa n dp r o s p e c to ft h er e s e a r c ho nt h et h e s i s k e yw o r d s ：i te n v i r o n m e n t i n t e r n a la u d i tr i s km a n a g e m e n t m 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得云南财经大学或其他教育机构的学位或证明而使用过的材料。与 我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确 的说明并表达了谢意。 论文作者签名：仫铆边d 碱年i 纱月修日 关于论文使用和授权说明 本人完全了解云南财经大学有关保留、使用学位论文的规定，即： 学校有权保留并向国家有关部门或机构送交论文和论文电子版，允许 学位论文被查阅或借阅；学校可以公布学位论文的全部或部分内容， 可以采用影印、缩印或其它复制手段保存、汇编、发表学位论文；授 权学校将学位论文的全文或部分内容编入、提供有关数据库进行检 k 索。 ( 保密的学位论文在解密后应遵循此规定) 。 本人签名：趋聊砌 导师签名叫寸嘲 醐洲砂j ， 第一章绪论 一、研究背景及选题意义 ( 一) 研究背景 随着信息技术广泛应用于社会各个领域，信息技术对经济社会的影响越来越 大，无怪乎有人用“革命来形容信息技术对社会的冲击。它不但改变着人类社 会传统的工作方式、管理方式、生产方式、消费结构，而且撼动着整个社会经济 结构，极大地加速了社会、经济、科技、文化等领域内深层次的制度变革与创新， 而扎根于社会经济文化环境之中的现代内部审计也因此受到冲击和洗礼。 在现代内部审计理论中，内部审计参与风险管理理论是其重要组成部分。笔 者认为，对某一理论的研究必须是基于当前的环境，研究的成果才具有实践意义。 目前内部审计参与风险管理理论的研究大多是基于传统的社会环境，而忽视了现 代信息技术影响下的传统社会经济环境已经发生了深刻的变化。在新的经济形势 下，尤其是信息技术的广泛发展和普及，企业面临着许多新风险。防范、控制、 规避和化解企业经营风险已经成为企业实现目标的关键。因此，明确信息技术环 境下对内部审计参与企业风险管理的影响，站在i t 环境下探索内部审计参与企 业风险管理的方法和途径，是我们当前在企业风险管理中直接面对的和亟需解决 的课题。 ( 二) 选题意义 与起源于2 0 世纪8 0 年代并迅速发展的经营管理革命相比，在财务和会计领 域所发生的革新落后了一代。如果会计行业不按照i t 技术重新塑造自己的话， 它将有可能被推到一边，甚至被另个行业对提供信息、分析、鉴证服务有 着更加创新视角的行业所代替 。纵观国内外相关文献，研究i t 环境下内 。t h o m a sw a l t h e r , h e n r yj o h a n s s o n ，j o h nd u n l e a v y , a n de l i z a b e t hh j c l m 19 9 7 r e i n v e n t i n gt h ec f o ：m o v i n g f r o mf i n a n c i a lm a n a g e m e n tt os t r a t e g i cm a n a g e m e n t , n e wy o r k ：m c g r a w - h i l l ：e 3 当r o b e r t m e d n i c k 1 9 8 8 ，o u r p r o f e s s i o n i n t h e y e a r 2 0 0 0 ：a b l u e p r i n t o f t h e f u t u r e j o u r n a lo f a c c o u n t a n c y , a u g u s t 绪论 部审计参与企业风险管理的相关研究还很少，但随着现代信息技术的飞速发展， 传统的内部审计参与风险管理理论和做法已经暴露出其不足之处，越来越不能适 应现代信息技术发展的需要。因此深入研究i t 环境下内部审计参与风险管理的 途径和方法，找到世界先进的内部审计理论、风险管理理论与i t 理论的契合点 将是一件很有意义的工作。 从理论的角度来看，以i t 环境作为基础，解决内部审计参与风险管理问题 的研究成果还非常少，影响了企业内部审计和风险管理完善体系的建立，削弱了 内部审计对企业风险的控制力。本文的研究是以美国最新的c o s o 报告企 业风险管理一整合框架( e n t e r p r i s er i s km a n a g e m e n t i n t e g r a t e df r a m e w o r k ) ( 以下简称e r m f ) 为基础研究i t 环境下的内部审计参与风险管理的理论和方 法，通过对现有的内部审计参与风险管理相关理论与方法进行整合和优化，建立 起一套适合现代企业信息化建设发展需要的内部审计参与风险管理理论框架体 系，因此它具有一定的理论探索意义。 从现实需求来看，随着企业管理信息化和会计信息化建设的不断深入，迫切 希望理论界能够从i t 技术的角度探讨在新的信息技术环境下内部审计参与风险 管理的方法和途径，提出i t 环境下内部审计参与风险管理的新理论、新方法， 并指导企业从传统管理向信息化管理转变的实践活动。与此具有佐证意义的是审 计署正在加紧规划和大力发展信息系统审计。由此可见，这个课题的研究具有重 要的现实意义，不仅能提高我国内部审计信息化的应用水平，而且能够为其他审 计类型提供借鉴。 二、国内外的研究综述和研究现状 随着经济全球化不断深入，社会不确定因素增加，企业面临的风险越来越大， 而信息技术的广泛应用更使企业在面对风险时顾此失彼，迫使企业管理层不得不 考虑风险管理，制定一系列有关风险控制、防范的政策和措施。但是企业风险管 理部门制定的防范风险的政策、程序、评估是否合理，是否得到执行以及执行的 怎么样，就落在企业内部审计部门身上。近年来，关于风险管理和内部审计的研 究有很多，笔者进行简单分类和归纳。 2 ( 一) 国外研究综述 1 9 7 7 年，国际电子数据处理( e d p ) 审计委员会( 后来更名为高等技术委员会) 编纂和出版了与e d p 审计相关的职业最佳实务，该文件的标题为“系统可审计性 和控制”( s y s t e m sa s s u r a n c ea n dc o n t r o l ，s a c ) 。这份报告界定了内部审计师 的作用，其责任包括确认内部控制系统的适当性、数据的可靠性和组织资源的有 效利用。内部审计师也参与预防和检测舞弊以及与外部审计师的协调活动。对内 部审计师来说，将审计和信息系统技巧相结合以及理解i t 对审计过程的冲击都 是必要的。内部审计专业人员现在已经在从事财务审计运营审计和信息系统审 计。 2 0 0 3 年，为了适应日新月异发展的信息技术环境，i i a 制定了技术审计战略， 信息技术指南，出版了与新技术有关的技术审计系列刊物。i i a 编制了全球技术 审计指南( g t a g ) 系列，旨在帮助内部审计人员及时解决信息技术管理与审计有关 的问题。 国际审计准则1 5 号电子数据处理环境下的审计在引言中指出，在 电子数据处理的环境下，并不改变审计的总体目标和范围。但是，计算机的使用 改变了财务资料的处理和存储，并可能影响这个单位为达到适当的内部控制而采 取的组织和程序。它对注册会计师从技术和能力、其他人员执行的工作、计划、 会计制度和内部控制、审计证据几个方面进行了约束和规范。国际审计准则1 6 号计算机辅助审计技术对利用计算机辅助审计技术提供指导。它适用于 利用计算机辅助审计技术的所有方面。它包括审计软件、测试数据、计算机辅助 审计技术的利用、利用计算机辅助审计技术需要考虑的问题、审计人员的计算机 知识、计算机辅助审计技术的可用性和合适的计算机设备、不能实行手工测试、 效果和效率、时间、利用计算机辅助审计技术、控制计算机辅助审计技术的应用、 记录、在小企业计算机环境下利用计算机辅助审计技术几个部分。 2 0 0 4 年，美国c 0 s o 制定发布的企业风险管理一整合框架是本文写作的 一个基础。著名的t r e a d w a y 委员会的发起组织委员会( c o m m i t t e eo f s p o n s o r i n g o r a g a n i z a t i o n s ，以下简称c o s o ) 经过三年的努力，在2 0 0 4 年1 0 月正式出台了企 业风险管理一整合框架，该框架从企业风险管理的定义出发，以企业风险管理包 含的八个要素( 内部环境、目标设定、事项识别、风险评估、风险应对、控制活 3 绪论 动、信息与沟通以及监控) 为主线，为企业和其他组织中的各级管理人员提供用 来评价和增进企业风险管理有效性的指导，帮助组织建立有效的程序，确认、计 量、分级和回应风险。另外该框架通过技术专栏的方式分析了i t 对风险管理的 影响，并要求企业信息系统的构造必须足够灵活和敏捷，以便与外界向官方有效 地整合或及时随企业内外部环境的变化保持协调一致，而又不相互妨碍对方。 e r m 框架给我们认识内部审计参与企业风险管理带来了新的启示。企业在风 险状态下运作，内部审计参与风险管理的目标就在于降低企业风险，强化企业风 险管理。内部审计参与风险管理的目标是固定不变的，而风险不是一成不变的， 是随控制环境、信息技术等变化的。因此，内部审计在参与风险管理时，应把注 意力集中于识别特定环境和技术下的特定风险。 从国外对内部审计参与风险管理的贡献可以看出，国外内部审计参与风险管 理理论的研究是与社会和经济发展同步进行，是随着企业内部管理的不断需求而 产生，内部审计参与风险管理的内容也随之不断充实和完善。 ( 二) 国内研究综述 1 9 9 5 年审计署又制定发布了关于内部审计工作的规定，对哪些单位应设 立独立的内部审计机构、内部审计的职责权限、审计工作的程序等都作了具体规 定。审计法和关于内部审计工作的规定为各部门单位建立健全内部审计 制度与内部审计机构和人员从事内部审计工作提供了法律依据和制度保障。不少 企业加强了对内部审计人员的培训，充实了内部审计队伍，调整了队伍结构并制 定了有关内部审计工作制度。 1 9 9 6 年1 2 月审计署发布了审计机关计算机辅助审计办法，对审计机关 将计算机作为辅助审计工具进行审计的相关问题做了规定。中国注册会计师 也开辟“i t 时代 专栏，对计算机审计所涉及的理论和实务问题开展深入研究。 随后，计算机审计的实务工作和理论研究工作开始展开。 2 0 0 4 年8 月，国资委颁布并实施了中央企业内部审计管理暂行办法，要 求国有控股公司和国有独资公司逐步建立相对独立的内部审计机构，并配备相应 的专职工作人员；依据完善公司治理结构和完备内部控制机制的要求，在董事会 下设立独立的审计委员会。所以，内部审计作为企业组织结构的一部分，对企业风 4 绪论 险管理的介入，将成为促进企业风险管理制度与政策的贯彻执行的有力保证。 2 0 0 5 年3 月，我国内部审计及协会发布了内部审计具体准则第1 6 号风 险管理审计，于2 0 0 5 年5 月1 日起施行。不足的是，该准则仅阐述了风险管理 审计的一般原则及对风险管理进行审查和评价的具体准则，怎么施行，如何施 行均未给出详细指导。这对于想实施风险管理审计的企业来说，没有较强的指导 作用，也不利于其推行。 2 0 0 6 年6 月2 0 日国务院国资委公布了中央企业全面风险管理指引。上 证所和深交所与2 0 0 6 年6 月及9 月份分别公布了上市公司内部控制指引， 从而明确了内部控制在公司治理中的地位。从规章制度出台的紧凑程度看，我国 在制度的层面上已经开始重视风险管理对企业的作用。但是目前的情况是大多数 企业未设专门的风险管理机构及人员：企业内部审计主要属于财务导向内部审 计，管理审计包括风险管理审计尚未与公司治理相结合，成为公司治理的有机 部分。 国内学者从以下几个方面进行了分析，( 1 ) 张金城从审计环境、审计重要 程度、审计风险、审计线索、审计内容、审计方法与技术、审计方式、审计人员 素质等方面分析了会计系统网络化对审计的影响。随后他又从六个方面迸一步对 会计电算化环境下的审计问题做了分析。分析了网络环境下会计系统的安全审计 程序和主要测试，并且主张要建立内部安全审计制度。他们认为，网络系统内部 安全审计是一种实时地发现漏洞的机制，安全审计人员的日常审计工作将为会计 信息系统的安全提供有效的保障。( 2 ) 从电子商务的风险与控制、电子商务环境 下的审计理论与技术两个方面探讨了面向电子商务的审计问题。分析了网络化后 计算机审计将面临的问题，包括审计软件与会计软件配合、网络化审计风险加大、 审计主体知识结构不完整、网络化审计缺乏法律依据等问题并提出了相应的对 策。( 3 ) 就远程计算机审计及实现远程计算机审计的前提条件做了研究，包括建 立与远程计算机审计相关的法律、法规，加大审计人员培训力度，提高计算机审 计的技术，保证计算机系统的良性运行状态。( 4 ) 从审计理论、审计实践两方面 论述了信息技术对审计理论的影响，并指出这种影响在理论上的表现主要是基础 的延展、体系的扩张、目标的多元和内容的发展等，从而提出信息技术对传统理 。张金城会计系统网络化对审计工作的影响，审计理论与实践1 9 9 9 年0 9 期 5 绪论 论的涤荡；而这种影响表现在审计实践中则更为明显和直接，审计程序中将增加 系统连接、系统测试环节，审计工作方式中会出现在线实时审计，审计方法由手 工转为电算化，审计管理模式在审计组织形式、专职管理机构职能等方面发生变 革，并且审计风险的系数将大大提高。从这个基础上，该文从审计制度创新方面 论述了体制创新的必要，并提出了体制改革的设想和建议，接着提出，审计程序 创新的重点应该放在系统测试、模拟数据实验、建立审计黑匣子、电子函证等， 在此基础上提出审计法律环境构建、建设审计信息技术支持、营造审计信息技术 人才工程、建立风险规避机制等系列设想。( 5 ) 从论证电子证据的法律地位出发， 重点阐述审计中规范电子证据采集的标准和方法，最终提出了电子证据立法的一 系列构想。针对目前计算机审计中电子数据采集的现状，分析了数据清理在电子 数据采集中的重要性，研究了解决电子数据采集中常见问题的数据清理方法。( 6 ) 探讨了审计过程中电子数据的特点和规律。从信息形成与传递对审计的影响入 手，探讨了相应的审计策略，指出审计师面临一个多样化集成的信息系统，随着 网络环境、信息新技术的发展明细信息将是未来审计的重点。( 7 ) 认为信息技术 将成为内部审计高效履新其职责，实现其职能的关键影响因素。 上述国内外有关的文献分别从多个角度探讨了内部审计在企业风险管理中 的作用。但是，从以上的文献我们可以看出，尽管对企业风险管理研究的兴趣很高， 但很少有丰富的研究来对这一问题进行引导。这些研究大多在以下方面存在缺 陷：( 1 ) 将企业的内部审计、风险管理与所处管理环境有机结合的研究很少。在 信息技术飞速发展的今天，应将内部审计、风险管理理论的研究置于这个大环境 下，积极探讨i t 环境下内部审计参与风险管理的新特点、新模式；( 2 ) 以前学 者对内部审计在企业风险管理中的作用的研究是基于当时对风险管理进行研究 的基础上进行的，并不是在c o s o 一一e r m 框架下进行的研究。本论文的研究目 标是试图通过对企业风险管理框架和内部审计的研究，结合目前的i t 环境，得 出一套i t 环境下内部审计参与风险管理的新理论方法体系，以指导内部审计在 企业风险管理中的活动，为利益相关者增加价值。 三、本文的研究方法和研究内容 6 绪论 ( 一) 研究方法 本文的思路是基于内部审计和风险管理的现有研究成果，以c o s o 颁布的企 业风险管理整合一框架为理论指导，从研究内部审计在企业风险管理所发挥作 用的指导思想出发，并结合i t 理论，尝试对i t 环境下内部审计参与企业风险 管理的问题作出系统、深入的研究分析和有意义的实践探索。主要采用规范研究 的方法。为了更好的论证，本文在具体研究方法上采用了： ( 1 ) 调查研究，采用网络调查的方法对全国3 8 家企业的内部审计部门进行 调查，就有关内部审计和实旌现状进行研究分析，为进行i t 环境下内部审计参与 风险管理的研究提供现实前提。 ( 2 ) 定性分析法，通过对e r m f 的结构流程和内部审计工作方法进行定性分 析，总结出i t 环境下内部审计参与企业风险管理的具体方法和途径。 ( 二) 本文的研究内容 全文共分为六章。 第一章绪论。介绍了论文的选题背景、国内外权威机构和学者关于内部审 计参与风险管理相关问题的文献综述、本文研究的内容和研究方法。 第二章内部审计和风险管理相关理论。根据c o s o - - e r m f 和i i a 对内部审计 的定义演进分析了内部审计与企业风险管理结合的意义，指出内部审计在e r m f 中承担的角色和作用；并通过对3 6 家企业的问卷调查进一步说明了内部审计参 与企业风险管理的必要性。 第三章i t 环境下内部审计参与风险管理的考虑。i t 环境下内部审计参与风 险管理主要考虑以下几个方面，一是i t 环境如何改变企业环境以及与之相伴的 风险，二是i t 环境如何影响内部审计及i t 环境下内部审计如何利用i t 来更有 效的参与风险管理活动。 第四章i t 环境下内部审计参与风险管理途径分析。主要以e r m f 为基础建 立了i t 环境下基于信息机构的内部审计参与风险管理的途径。 第五章完善i t 环境下内部审计和风险管理的对策建议。针对i t 环境下内 部审计在参与风险管理的过程中可能遇到的问题，提出了相应的完善对策和建 议。 7 绪论 第六章结束语。对全文的概括和总结。 四、本文可能的创新 1 国内关于内部审计参与风险管理的研究很少考虑在i t 这一环境下进行 相关的分析，即使考虑到i t 因素，也只是简单指出了应该考虑i t 作用，也没有 指出i t 如何发挥作用，本文突破了以往研究忽视i t 环境因素的局限，深入的分 析了在i t 环境下，内部审计如何利用i t 技术来更加有效的参与风险管理，以 提高内部审计的质量效率，从而为企业增值。 2 详细分析了i t 环境下的企业风险，i t 环境对传统内部审计造成的影响 和i t 技术对内部审计参与风险管理的作用。本文从网络、硬件和软件这三个构 成i t 环境的要素出发，较详细的分析了i t 环境下企业存在的风险；同时分析 了i t 环境下的内部审计与传统内部审计的区别。正是由于i t 环境下企业面临 的新风险，才使得具有对风险管理进行监控职能的内部审计，在i t 环境下参与 企业风险管理时，必须考虑i t 的影响因素，将i t 理念应用到内部审计的工作中 去。 3 将c o s o 的最新研究结果e r m f 置于i t 环境下予以整合，并结合内部审 计进行实施。i t 环境下，e r m f 的各个构建要素及其相互关系虽然并未发生实质 性的变化，但是由于网络业已极大地影响了企业的经营管理活动，相应地，e r i d f 的各个构成要素也出现了一些新的特征。这些新特征启示我们应用i t 技术去改 进和发展内部审计参与风险管理的理论、方法和技术，在风险管理理念的指导下， 更加有效的开发和利用企业的的各种资源，促进企业的可持续发展。 8 内部审计与风险管理相关理论 第二章内部审计与风险管理相关理论 一、从内部审计概念的演进看内部审计的内涵 1 4 7 1 年，国际内部审计师协会( i i a ) 在首次公布的内部审计师职责说明 书中，将内部审计第一次定义为：“内部审计是建立在审查财务、会计和其他 经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务，处理财 务与会计问题，有时经营管理中的问题。”从这个定义可以看出，内部审计已经 从财务会计分离出来，成为一个独立的职业，但它仍然以财务、会计为基础，还 停留在财务审计的阶段。 1 9 5 7 年，内部审计师职责说明书将内部审计定义修订为：“内部审计是 建立在审查财务、会计和经营活动基础上的独立评价活动。它为管理提供服务， 是一种衡量、评价其他控制有效性的管理控制。”内部审计的内涵得到扩展，首 次提出内部审计“衡量、评价其他控制有效性”的作用，标志着内部审计由财务 审计向经营审计的迈进。虽然在定义中依然强调财务审计的主要地位，点至少表 鑫 明经营审计也将成为内部审计的重要内容。 1 9 7 1 年，内部审计师职责说明书对内部审计重新定义为：“内部审计是 建立在审查经营活动基础上的独立评价活动，并为管理提供服务，是一种衡量、 评价其他控制有效性的管理控制 。本次定义最突出的一点，不在“建立在财务 会计基础上 ，而是强调“建立在审查经营活动基础上”，表明内部审计已经完谚 从财务审计到经营审计的成功转型。内部痕迹目标由差错防弊走向兴利，由防， 性走向建设性。 1 9 7 8 年，国际内部审计师协会正式批准的内部审计从业标准中继! 展内部审计概念：“内部审计是建立在以检查、评价组织为基础的独立评价? 并为组织提供服务。 这条定义最引人注目的变化，是内部审计从“为管珂 向“为组织服务”拓展，强调内部审计要站在整个组织的立场上观察和评 为组织的长远的和全局的利益服务。内部审计由从简单、直观的兴利发f 次、综合性的兴利，在技术上强调“人性化 和“参与式审计”。 9 i t 环境下内部审计参与风险管理途径分析 1 9 9 0 年，内部审计职责说明书中把内部审计定义为“建立在一个组织内 部 的服务工作，以此与外部审计相区别，提出“内部审计工作是在一个组织内 部建立的一种独立评价职能，目的是作为对该组织的一种服务工作，对其活动进 行审查和评价”。 1 9 9 3 年国际内部审计师协会继续将内部审计定义发展为：“内部审计是一个 组织内部为检查和评价其活动和为组织服务而建立的一种独立评价活动，它要提 供所检查的有关活动的分析、评价、建议、咨询意见和信息，以协助本组组成员 有效地履行其责任。 此次定义明确了内部审计为组织服务的具体含义，即“分 析、评价、建议、咨询意见和信息，以协助本组组成员有效地履行其责任 。 2 0 0 2 年，国际内部审计师协会新的国际内部审计职业实物框架实施，内部 审计概念得到革命性的发展，即“内部审计是一种独立、客观的保证和咨询活动。 其目的在于增加价值和改善组织的经营。它通过系统化和规范化的方法，评价和 改进风险管理、控制和治理过程的效果，帮助组织实现其目标。” 最新定义的重大变化在于：( 1 ) 删去了“组织内部 一词，使内部审计主体 不再处于封闭状态。这主要是考虑到“组织内部 审计人员不可能通晓、解决众 多技术难题，内部审计需要很多专业领域的外部专家来协助工作。在美国、加拿 大等发达国家，由外部审计机构或咨询组织代替内部审计工作职能的外部化努 力，已引起广泛关注。( 2 ) 将“评价 职能发展为“保证和咨询”的职能。保证 职能不仅包括了评价职能，还包括以其他方式所进行的服务活动，如对信息的可 靠性和完整性提供保证、对内部控制的有效性提出保证、对风险控制的有效性和 充分性做出保证等。咨询职能是指内部审计部门针对组织所遇到的来自内外各方 的挑战，向管理当局提供诸如经营管理、内部控制、风险管理与控制等咨询增加 组织价值。( 3 ) 第一次以“增加价值 作为内部审计的目标。实际上，内部审计 几乎从诞生之日就开始为组织直接、间接地产生价值了，只不过近十几年产生的 价值日益明显和重要，这也是内部审计发展的动力。( 4 ) 重视“风险管理 。对 树立内部审计师的风险管理理念、明确内部审计职能和开阔内部审计视野，赋予 了更广阔的空间，有力推动内部审计实现由管理审计向风险导向审计的转变，由 被动查出问题向主动解决问题的建议转变。 二、企业风险管理框架( e r m f ) 1 0 i t 环境下内部审计参与风险管理途径分析 企业风险无处不在，故必须分别从总体和局部上进行风险管理。c o s o 颁布 的企业风险管理整合框架中定义企业风险管理是由企业的董事会、管理层 和其他人员实施的，从战略层面开始的、并贯穿整个企业的一个过程。这个过程 的设计是为了即使失败可能影响企业的潜在事件并按企业接受风险的态度管理 风险，为实现企业目标提供合理的保证。 这个定义强调了e o $ o 对内部控制定义的扩展，内部控制的定义已被e 脚 所涵盖。因而，e r m f 范围非常广，包括了传统的交易事项、资产及营运的内部 控制。 根据c o s o ( 2 0 0 4 ) 的要求，e r m 应向董事会提供最重要的组织风险以及风险 管理效果等风险信息，包括风险调整后的业绩指标。董事会负责监督管理层设计 与推行e r m 。管理层负责组织的e r m 设计与运作，而所有员工都对e r m 的成功执 行负一定的责任。内部审计要特别负责对e r m 有效性进行评价。 如图2 1 所示，e r m 非常广泛，除了企业目标与战略的决策，以及e p 4 v l 监 控要素中提到的对例外情况的后续措施外，e r m 包括了其他所有的管理活动。 4 梭照c o s o ，“e r m 扩展并详细阐述了与企业风险管理相关的那些内部控制要素。” 1 l 内部审计与风险管理相关理论 管理层和董事会确定目标和战略，以及针对例外情况的后续措施 j l 环境，目标( 战略、风险“偏好”、经营计划广 i j 事件识别( 既定目标、战略的计划) j 风险评估( 量化可能性以及影响量值) 0 风险反应 内 部 接受风规避减少 审 险回报风险风险 计 上 控制活动 1r1 ， 上 信息与沟通 图2 1 企业风险管理、管理决策与内部审计 e r m f 由内部环境、目标设定、事件鉴别、风险评估、风险回应、控制活动、 信息与沟通、监控这八个相互关联的要素构成，各要素贯穿在企业的管理过程之 中，组成有效e r m 过程。 内部环境内部环境包含组织的基调，它为主体内的人员如何认识和对 待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观， 以及他们所处的经营环境。 目标设定必须先有目标，管理当局才能识别影响目标实现的潜在事项。 企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目 标支持和切合该主体的使命，并且与它的风险容量相符。 事项识别必须识别影响主体目标实现的内部和外部事项，区分风险和 机会。机会被反馈到管理当局的战略或目标制订过程中。 风险评估通过考虑风险的可能性和影响来对其加以分析，并以此作为 决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。 1 2 内部审计与风险管理相关理论 风险应对管理当局选择风险应对回避、承受、降低或者分担风 险一一采取一系列行动以便把风险控制在主体的风险容限( r i s k t o l e r a n c e ) 和风险容量以内。 控制活动制订和执行政策与程序以帮助确保风险应对得以有效实施。 信息与沟通相关的信息以确保员工履行其职责的方式和时机予以识 别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、 平行和向上流动。 监控二一对企业风险管理进行全面监控，必要时加以修正。监控可以通过 持续的管理活动、个别评价或者两者结合来完成。 企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接 下来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一 个构成要素都能够、也得确会影响其他构成要素。e r m f 各要素的具体构成如下 图： 1 3 内部审计与风险管理相关理论 内 部 环 境 目 标 设 定 事 项 识 别 评估固 估计有 技可风 术能险 性和 事和剩 项影余 之响风 间险 的数 关据 系来 源 图2 - 2e r 腼要素构成 风 险 应 对 选评 定价 的可 直能 对的 应 组对 合措 观施 三、企业风险管理框架( e r m f ) 下内部审计的角色 ( 一) e r m f 下内部审计的角色 控 制 活 动 信 息 与 沟 通 - 信 息 沟 通 2 l 世纪以来，风险成为企业经营活动中不可忽视的因素。根据c o s o ( 2 0 0 4 ) 的定义，e r m 是一个过程，它受到企业董事会、管理层和其他职员的影响，应 用于战略制定和企业的各个层面，识别潜在可能影响企业的事件，并在企业风险 偏好内管理风险，为完成企业目标提供合理的保证。企业风险管理( e r m ) 由以 下8 个层面的要素构成：内部环境、目标设定、事件识别、评估风险、风险反应、 控制活动、信息与沟通和监控。这八个方面组成要素是一个有机的整体，体现的 1 4 监 控 风险评估 持续监控活动个别评价报告缺陷与风险应对相结合控制活动的类型 政策和程序对信息系统的控制主体的特殊性 事项影响因素事项识别技术 事项相互依赖性事项类别 区分风险和机会 战略目标相关目标选定的目标 风险容量风险容限 风险管理理念风险容量董事会诚信和道德价值 对胜任能力的要求组织结构 权利和职责的分配人力资源准则 i t 环境下内部审计参与风险管理途径分析 是一个动态的过程。在企业风险管理框架中，内部审计将扮演非常重要的角色。 风险管理框架( e r m f ) 下的内部审计关注的核心是企业的风险管理过程和剩余风 险的水平。因此，风险管理框架下的内部审计是一种综合审计类型，不同于单纯 的财务审计、业务审计及管理审计，是融风险管理、公司治理和内部控制审查于 一体，更关注企业在整个治理过程中的决策风险和经营风险。内部审计的职能从 监督和评价转变为确认和咨询，有利于促进公司治理与现代内部控制的协同与整 合，也有利于各类企业外部受托责任与内部受托责任的统一。 在企业风险管理框架( e r m f ) 下，内部审计是风险管理的函数，是对风险管 理的再管理，有利于促进组织风险管理制度与政策的贯彻执行( 王光远，2 0 0 5 ) 。 虽然，风险管理是管理层一项关键责任。但由于内部审计处于企业的董事会、总 经理和各职能部门之间的位置，能够客观地、从全局的角度，识别和评价风险， 因此内部审计必将成为企业风险管理不可缺少的重要组成部分。风险管理框架 ( e r m f ) 下的内部审计职责在于定期评价并协助其他部门进行风险管理，对企业 风险管理过程的效果和效率方面进行检查、评价、报告和提出审计建议，以提高 企业风险管理的效率和效果； c o s o 的e r m f 为应对妨害组织目标实现的威胁因素提供了一个概念性框架， 内部审计部门通过对e r m 的有效性进行实时的独立评价，来协助监督工作。c o s o 的e r m 报告针对每个要素说明了内部审计在企业风险管理过程中的作用。如下表 所示： 表2 1 风险“声明”和内部审计师对e r m “独立评价”的监控程序 。该图表转引自刘春花硕士毕业论文，增值型内部审计研究叼，厦门大学硕博论文库。 1 5 内部审计与风险管理相关理论 e 对订要素 风险声明内审鉴证 内部环境目标、战略和计划是合理的，评价e r m 前的固有风险水平 并考虑了基本的风险事