近年，随着信息系统内部控制制度得到越来越多的企业管理者的重视，信息系统内部控制制度得到了长足的发展，内部审计机构也加强了对它的审查力度，测评信息系统内部控制制度的科学性和有效性，并对它存在的风险进行全方位的评估，特别是注意对它潜在风险的评估，以期把制度的风险降低到最低限度，从制度上加强管理，保证经营管理的需要。

一、企业信息系统内部控制审计测评及风险评估的主要要求

内部控制是组织内部为实现经营目标，保护资产安全完整，保证遵循国家法律法规，提高组织运营的效率与效果，而采取的各种政策和程序。内部控制制度是社会经济发展到一定阶段的产物，其内容是随着企业的发展对内部强化管理，一方面能够监督制度执行者的行为，另一方面能有效防范风险，保护投资者的利益。内部控制可以涉及社会的方方面面，只有具有了一整套完整、科学、经济和实用的内部控制制度，社会的发展、企业的运营和组织的目标才能健康有序的得到保证。近年来，信息系统的发展和普及为内部控制的延伸提供了很大的空间，信息系统环境下的内部控制受到越来越多的关注。信息系统是以为人们提供信息服务为主要目的的数据密集型、资源共享的计算机应用系统。它具有数据量大、数据持久、资源共享和服务功能多等特点。正因为信息系统具有以上的特点，组织必须针对它的特性去研究和制定信息系统内部控制制度，保证内部控制制度适应信息系统，为信息系统的运用发挥自己的监督和防范作用。内部审计人员在对信息系统内部控制进行测评和风险的评估时，要充分考虑它的特点，围绕它的特点去进行科学合理的审查，才能把信息系统内部控制的表现风险和潜在风险降到管理层可以接受的范围，保证组织低成本高效率地实现其经营目标。

《内部审计具体准则第5号——内部控制审计》第四条规定：内部控制审计的目的是合理地保证组织实现以下目标：遵守国家有关法律法规和组织内部规章制度；信息的真实、可靠；资产的安全、完整；经济有效地使用资源；提高经营效率和效果。内部审计对信息系统内部控制的测评和评估要在这个前提下进行，要保证被审计单位的信息系统满足以上目标要求。合理地保证被审计单位的信息系统所包含的各种权利和相关内容等方面，是在国家有关法律法规和组织内部规章制度允许的范围内存在的，脱离了各级法律法规规章制度的控制，在此基础上建立起来的各种内部控制制度从源头上都是不合法不合规的，这是内部审计对信息系统内部控制的测评和评估的前提条件。
保证信息的真实性可靠性是对信息系统内部控制的质量要求，信息系统是企业各种信息的载体，是信息循环运转的一个有机整体，离开这个系统，信息只是单个的符号，不能把信息所反映的真实内容整体性地呈现在信息使用者的面前。只有把一个个的信息符号真实完整的放进企业信息系统的这个循环环境，保证信息的连续性和可靠性，信息系统才有其存在的必要性。同样以这样的信息系统建立起来的信息系统内部控制才能反过来控制信息的真实性和可靠性，才能为信息使用者所接受。

信息系统内部控制要保证企业资产的安全完整，这是企业制定信息系统内部控制的初衷和目的。内部审计人员在对信息系统内部控制审查时，要获取充分证据来证明在被审计的信息系统内部控制的作用下，企业的各项资产是否是安全完整的，并且是在内部控制的制约下表现出来的。任何制度的制定都要考虑在执行过程中是否经济有效，相对于没有这个制度前是否能够提高企业的经营效率。如果制度制定得有根有据很完美，但是在执行过程中如果发现需要花费高昂的成本来迎合制度，或者不能明显的提高企业的经营效率，甚至反而降低了工作效率，那这种内部控制制度就失去了其存在的必要性。

二、企业信息系统内部控制审计测评及风险评估的主要内容

内部审计人员对信息系统内部控制的测评和风险评估要从以下几个具体方面来进行：

1、信息系统的开发研制和维护升级方面
被审计单位作为信息系统的使用者，要明确自己在信息系统的开发研制和维护升级方面具有哪些自主的权利。现在的企业一般不具有研制开发信息系统的功能，他们只是信息系统的被动使用者，所以被审计单位要针对这一现状制定切实可行的内部控制制度，保证所使用的信息系统能够有效科学的存在。内部审计人员在审计过程中要审查被审计单位在以下方面是否有控制制度：
信息系统的取得途径。应在制度上明确取得的途径和程序，是上级部门统一安排的还是本单位自己采购获得的，如果是上级部门统一安排的，本单位的在这方面的风险就相对较低，相反如果是本单位自己获得的，那一定要制定严格的审查制度去规避这种源头风险，避免非法的和不合理的系统进入组织，给组织带来灾难性不能挽回的后果。
本单位对信息系统拥有的权限。由于信息系统的复杂性和技术性，使用单位不可能对它拥有所有的权限，但是这并非意味着不具有任何权限。其实权限的所有权的拥有是一个矛盾体，被审计单位工作的性质决定了它不可能拥有完全的权限，它不是专业的信息系统研究开发的部门，不具备这样的人力、物资和技术资源。这些现实的原因决定了在获取权限方面的局限性，但是这不意味着放弃了权限的获得。内部控制制度要能保证本单位在操作和维护方面的权限，系统的所有操作权是要完全拥有的，这是基本的权利，没有这个权利也就没有了信息系统存在的必要性。在维护上，要保证本单位现有人员能够对信息系统的一般性日常维护的进行，同时，信息系统的研发单位有提供必要的系统参数和维护技术的义务。总之，如果信息系统使用单位的对系统所拥有的权限大了，虽然能够更好的提高工作效率但同时会增加系统运营的成本，相反如果没有一定的足够的权限，就不能很好的体现信息系统高效率工作的特点，日常的工作会为了一些很小的故障影响系统的运转。在对信息系统内部控制进行测评的过程中，就要测试它在这方面所发挥的控制作用，保证信息系统能够低成本高效率地为组织实现其经营目标。

2、信息系统的操作运行方面
一套信息系统的优劣在操作运行过程中可以得到最大程度的体现，只有操作便捷科学、运行稳定可靠的系统，才可能为用户接受，并充分发挥信息系统的优越性。不相容职能相分离的控制制度。不相容职务设置是信息系统设置的基础，在内部控制制度建设处于比较核心和重要的地位。所谓不相容职务是指那些如果由一个人担任，有可能发生舞弊行为和掩盖其错误行为的职务。不相容职务相分离的关键点是内部人员的相互监督和牵制，相同的一项业务经过多个部门或人员的处理，使得单个人或部门的业务必须与其他人或部门的工作相互联系相互沟通，并受其监督和制约，不能由某个人或者某个单位对一项经济业务的全部过程实施操作和管理。其实一项经济业务由多个人员或者部门来完成，虽然可能相应的影响了工作的效率，在特定条件下会在一定程度上影响工作进度，但是那样做的好处不但能在一定程度上避免错误和舞弊的发生，而且还能广泛聚集多方面的意见和建议，保证了这项经济业务在最科学最安全的范围内进行。不相容职务对于解决舞弊的作用是也是受到限制和制约的，内部审计人员在对信息系统内部控制制度的审计过程中要着重对不相容职务的相关制度进行审查，要明确被审查单位存不存在不相容职务方面的内部控制制度，如果有，那么相关控制制度是否健全，各个相关制度是否互相衔接，在制度上是否能最大限度的涵盖整个可能发生错误的环节，更深入的就是要审查相关制度的合理性、经济性、科学性和有效性。
但是我们不得不承认，任何控制制度都是有漏洞和弊端的，内部控制制度的作用是在制度上最低限度的把风险降低，不可能彻底绝对的根除错误避免风险。既然不存在完美的一劳永逸的内部控制制度，作为内部控制制的一方面的不相容职务相分离制度也就不可能完全控制和避免错误和舞弊。不相容职务相分离制度其实就是管理层对人的不信任和担忧，这种不信任和担忧当然不是针对某个人或者某类人，而是基于人的本性，虽然人之初性本善，但是在经济社会强大的形形色色的诱惑下，人性也出现了分化。如果担任职务的人本来就是可以相信的话，那么不相容职务相分离制度的存在对这类人而言是可有可无的和多余的，相反如果担任相关职务的人本性就不值得别人的信任，那么再完善科学有效的内部控制制度都是显得无力和不够的。内部审计人员在对信息系统内部控制制度进行审查时，在明确相关制度存在并且理论上有效时，还要对相关职务的相关人员的性格特点和人格魅力进行了解，避免理论上很科学很完美的内部控制制度在他（们）身上完全失去或者相对失去控制监督作用。
访问授权控制措施。访问授权控制措施的目的是确保只有被授权的用户才能实现对特定数据和资源的访问，内部审计人员主要审查信息系统是否设有操作日志，能否完整直观地记录系统操作情况，操作日志能否被删除，如果能被删除，要明确是在什么情况下经过怎么样的程序才能被删除，还要明确什么记录是永远被删除什么记录是暂时删除，遇到特殊情况暂时被删除的记录通过什么样的方式能够被找回或者恢复。对数据库的访问是否有严格的授权限制，是不是不需要经过一定程序一般人员就可以轻易访问数据。系统管理员、操作人员的口令、密码是否定期更换，相关口令密码是否存在相同情况，有不有生日型电话号码型姓名的拼音缩写型或者简单的六个零六个一等等太过大众化简单化的账号密码。

3、信息系统的数据和资源的管理方面
内部审计人员在测评相关信息系统内部控制制度时，在完成了上述方面的工作后，还要特别注意被审查单位的内部控制制度在对系统数据和资源的管理方面的相关内容，保证系统数据和资源的安全性和可靠性。信息系统储存的数据资源不同于传统的一般意义上的数据，它是基于电子手段的，一旦信息系统在程序上崩溃，如果信息系统相关的内部控制制度没有严格的控制措施，那么很可能导致数据资源永久的消失，这种灾难性的后果的发生会给企业带来无法挽回的损失，这种后果是我们不愿意看到和无法接受的。所以信息系统数据资源的定期和不定期备份显得尤其重要，我们不能保证系统是绝对稳定和安全的，就算系统的稳定性和安全性很高，定期和不定期备份也是很有必要的，并且备份后的资源要分开在不同的媒介存放，以防备份数据的丢失。系统的安全稳定性和灾难恢复控制措施可以说是内部审计人员评价信息系统内部控制制度的重点。
随着信息系统的发展和普及，人们普遍有依赖它的思维惯性，总是认为信息系统很可靠，只要操作了输入了就不管它了，对系统资源的管理缺乏认识或者根本就懒得管理，由此造成的数据资源的丢失是灾难性的不可挽回的，也是非常不值得的。
信息系统内部控制制度由于信息系统的复杂性和数据资源的庞大性决定了它在建立和健全上是由一定难度的，也决定了它风险性的存在，内部审计人员要运用相关知识和技巧去评价风险，把可能因制度的风险所带来的企业损失降低，以期帮助企业管理者经济、科学地实现本组织的经营目标。

三、企业信息系统内部控制审计测评的主要方法

为了及时有效的发现信息系统的异常情况，把企业的风险和损失降低到最低限度，企业可以根据实际情况建立一套信息系统的监控系统。这套监控系统可以由审计部门控制，所监控的对象要包括企业所有的在运行中的各种信息系统，也即子系统和母系统的关系。母系统对异常的大额的非常规的数据的发生要有报警提示功能，以便监控人员通过监控系统可以第一时间获取子系统的异常情况，也即企业的风险信号，并根据监控系统所提示的异常情况去进行相应的审查。

例如某公司本来年度大修计划资金仅为58万元，但到年底监控系统显示该公司对大修计划资金追加了115.63万元。审计人员根据子系统这一异常数据的出现进行深入调查，从该公司大修项目计划入手，发现追补计划金额将近为年度计划的两倍，与上年度计划相比，增长幅度极为不正常，追补工程施工单位为所属多经公司，结算金额与计划金额一致，施工合同为包工包料方式，计划审批和工程施工周期短，工程成本在年底结转等疑点，制定了从工程管理、工程竣工结算、多经公司该工程施工成本的真实性和现场勘测等方面为工作重点的审计方案，通过现场核实工程量，详查凭证重点查看该工程物资出入库及核算方面的真实性，通过多方调查发现了其中的违规行为。该公司将XX大修工程项目通过追加计划方式向上级公司审批资金115.63万元，以假施工合同将该工程包工包料115.63万元的形式转移到该公司所属的多经单位，所属多经单位将115.63万元工程款列支主业人员缺口工资及超额招待费等费用。
从上述案例可以看出，这个企业的内部控制制度不健全，上级公司相关管理部门对大修项目的审批和跟踪管理缺乏有效的手段，工程验收环节严重失控，该公司主业和多经企业关系未完全理顺，企业领导人片面强调局部利益，依法经营意识淡薄，成本管理和控制存在薄弱环节。只有企业有一套完整科学的信息系统，并且使企业的信息系统严格按照内部控制制度来执行，监管部门就能及时有效的监测到企业潜在的风险信号。

我们还可以从一个企业信息系统的最末端着手，通过分析信息系统末端数据资料的蛛丝马迹，并凭借执行者个人经验的职业判断能力，来发现问题获取风险信息，从而检查企业的信息系统和相对应的内部控制制度是否健全和有效，更重要的是看两者是否是有机的有效的结合在一起。在对XX公司审计中，我们对其二级单位的财务信息系统进行检查，这个公司的二级单位的信息系统在整个组织机构中属于末端系统，其信息系统也只延伸到这一级。我们在审查“应付工资”方面，发现明细帐中频繁出现违约责任提成奖这一业务。这一二级单位下面还设有若干个派出机构，这些派出机构没有建立相应的信息系统，只是简单的实行报帐制。其中有一派出机构在某年从二级单位领到的违约责任提成奖共16.37万，且都是由一个人通过现金支票的方式领取。我们通过多方面的调查取证并与相关人员反复沟通，终于查清，这笔款项领取后下级单位没有作为奖项规定发放给相关人员，而是由一人临时保管作为这一机构的日常开支，支出项目包括招待费、电话费、差旅费等，仅有很小一部分用作奖励职工。这一作法明显存在二个问题：首先不是工资奖金性质的支出却列入“应付工资”科目，在整个企业各项考核精细化的环境下，无辜的增加了企业的应付工资总额，不利于有效地完成降低工资赤字的任务，增加考核风险。其次，容易滋生小金库的违法违规行为，为少数人员犯错误提供了便利。

综上所述，一个企业首先要有完善科学有效的信息系统和相对应的内部控制制度，并且信息系统要与内部控制制度容为一体相辅相存，再加上科学的有效的测评方法和管理人员丰富的职业判断能力，才可能把企业潜在的风险水平降低到最低限度，为企业的发展壮大保驾护航。

来源:中内协网-“信息化环境下的内部审计”专题 作者:黄石供电公司审计部

迪奕结语：企业法务部管理系统( 简称“警犬”)，由DE中国子公司迪奕网络科技(上海)有限公司根据法务部在企业中主要的职责和工作内容，融合了众多资深中美律师事务所担任常年法律顾问的执业经验，结合企业的管理模式，研制的完全基于网络操作的行业管理系统。针对企业的日常事务设置了法律事务管理、合同管理、文档管理、法务人员及外聘律师管理。通过系统管理，加强了法务部与领导层、法务部与外聘律师、各部门与法务部、各分公司法务部之间的信息沟通及资源共享。规范管理企业法律事务，项目合同，有效地监测及预防法律风险。http://www.de1000.com/jqglxt/index.asp