时间:2023-08-17 18:04:50
在电子商务环境下,越来越多的企业通过互联网产品信息,确定产品交易,传递产品发货单,划账结汇等。客户也从网上了解所需产品的相关信息,与厂方签订合同,发送订单。经济业务产生的原始凭证由传统的纸质凭证演变为电磁信息的形式在网上传递并存储于磁性介质中;由于网络账务系统具有共享性的特点,会计信息的相关使用者可以随时通过授权,上网查询企业的财务状况和经营成果,信息的及时性大大提高,作为事后反映的会计报表对于会计信息使用者的重要性大大降低;网络财务的兴起使得企业从采购,销售,支付及到资金回笼这一系列烦琐的处理过程变成网上的瞬间实现,这些都使得在手工会计系统环境下进行的传统审计模式受到极大的冲击。由此,IT审计这一新兴审计模式应运而生。
一、IT审计与传统审计相比较之优势
1、使审计时效性大大提高。传统审计一般是在企业的会计报表完成后进行,审计人员经过调查取证等一系列工作后再经过一段时间的整理形成审计书面报告,这期间往往要耗用几个月的时间,其时效性不强。而在网络环境中,审计部门可随时对被审计企业进行审查,及时收集其最新的会计信息,并向有关各方,从而使审计的时效性得到保障。
2、收集审计证据的成本大大降低。传统审计通过实物盘点,审查大量的凭证,账簿和报表,口头询问及函询等来获取证据,耗费了大量的人力物力。而在IT审计中,所有的现金,存货及各项固定资产等实物由计算机进行实时动态管理,所有凭证等书面文件都已成为网络中的电磁信息,口头询问及函询可通过发送邮件和网上实时交谈的形式来获取。这必将大大减少审计证据的收集成本。
3、减轻了审计人员的工作量。传统审计中,审计人员要进行大量的调查取证工作。而在IT审计中,在获得必要的权限下,审计人员利用审计接口软件便可轻松、便捷、完整的获得被审计企业的会计信息和经济数据,大大减少了工作量。
二、IT审计应用中存在的问题
1、由于在网络环境中,经济业务产生的原始凭证是以电磁信息的形式传递并存储于磁性介质中,具有能被无痕修改,容易丢失不利于永久保存等缺点,审计面对的是企业的电算化会计信息系统和网络账务系统,它们的合理有效性,安全程度直接影响到审计工作的质量和效率,而这些又受到技术和人为的诸多因素影响,审计环境中的不确定因素增加。
2、在IT审计中,审计人员对于计算机网络的依赖性大大增强。主要的审计证据来自于系统网络,属间接证据,其可靠性依赖于网络内控制度的健全有效性,且由于计算机病毒和黑客攻击都可以通过网络威胁到会计信息系统的安全,使得审计人员对网络的安全可靠产生依赖。
三、IT审计发展现状
美国等先进国家开展IT审计始于20世纪六十年代,国际上唯一的信息系统控制与审计协会ISACA总部就设在美国,目前已经在世界上100多个国家设立了160多个分会,现有会员两万多人。在发达国家,IT审计已经得到了普及。
在我国,信息化事业已发展到一个新的阶段。各级政府正在推进“电子政务”,并认真落实“以信息化带动工业化”的战略。广大企业也开始着手整合与升级各自的信息化应用系统。可以预计,全国将有更大更多的信息系统上马。但是在信息化推进的过程中,至今不同程度上存在一些问题,主要表现在规划制定不够深思熟虑;项目管理不够严格;系统运行效益不够明显。究其原因是相当普遍的对信息化风险认识不足,规避风险的措施不力。中国加入WTO后,为了保证我国经济社会与科技方面的稳步发展,保证与经济安全,社会安全,国家安全紧密相连的信息系统的安全,在我国发展IT审计已经势在必行!
四、对我国IT审计工作未来开展的几点思考
1、规范电算化会计信息系统模块,规范会计信息系统的数据结构。开展IT审计工作要求企业的计算机信息系统留有审计接口,以便通过接口取得被审系统的电子信息,进行有关的审计处理。虽然我国软件协会财务及管理软件分会曾对财务软件的数据接口提出了标准要求,但许多财务与管理软件都没有执行。我国现有的计算机信息系统大部分没有设置审计接口,有些系统的数据库还加了密,使审计软件无法访问系统的资料,电子资料的获取成了利用计算机辅助审计的瓶颈。
2、加快审计网络建设。在网络环境中,审计人员所面临的不再是传统的交易模式和经营管理理念,而是实时动态的网络信息资源。审计人员只有通过互联网才能完成审计线索的收集,审计信息的输出及传送,因此需要加强审计网络建设。
3、迫切需要培育一批既懂得审计知识,又懂得计算机网络知识的复合型人才。目前,我国国内的审计人员无论在数量上还是质量上仍有较大不足。传统的审计人员虽在财会审计领域经验丰富,但对计算机网络技术了解不多,这使得他们难以对复杂的网络会计系统进行有效的评审,难以应付电子商务环境下的审计风险。因此要保障IT审计工作的顺利开展,必须培育出一批高素质合格的IT审计师队伍。
【关键词】 IT审计; 财务共享服务模式; 大数据; 云会计
【中图分类号】 F232 【文献标识码】 A 【文章编号】 1004-5937(2016)24-0128-04
一、引言
财务共享服务模式是依托大数据、云计算等信息新技术以财务业务流程再造为基础的分布式管理模式,目的是优化组织结构、提升核算流程效率、降低财务核算成本以及为企业创造价值,其站在市场视角为内外部客户提供专业化财务服务。在财务共享服务模式下,集团企业将日常的、共同的、分散的、大量的、重复的、可标准化的财务会计流程从下属分公司剥离出来,统一交给财务共享中心进行处理[1],实现了业务处理、数据存储的集中,同时也增加了IT风险。IT风险[2]已经成为企业的“经营风险”,包含IT环境风险、IT管理风险、IT技术风险和IT平台风险等。大数据时代基于财务共享服务模式的IT审计目的是为了找出并解决财务共享的IT风险,依托大数据、云计算等信息新技术,通过对大数据进行采集、处理、分析以发现问题。
IT审计一直受到诸多学者的重视,曹立明[3]分析了IT审计本质、目标与方法,认为IT审计是会计信息化的内在要求,并对会计信息化IT审计的目标、内容和实施条件进行分析,最后对会计信息化IT审计面临的问题进行了阐述。覃宪姬等[4]以广州地铁IT审计为例,在分析了广州地铁信息系统审计现状的基础上,构建了广州地铁IT审计框架并对其具体内容、实施步骤、审计策略以及审计方法进行了阐述。柳芳[5]从ERP系统安全性风险、业务流程风险和ERP系统管理风险入手,对ERP固有风险进行了分析并提出了相应的IT审计对策。李有华[6]将企业IT风险分为IT战略风险、IT项目风险、IT安全风险、IT服务风险、IT合规风险,并在此基础上对IT审计的内容、标准、范围、方法和制度进行了分析。
综观上述文献,大多数文献都基于传统信息系统,并从传统审计手段的角度出发对IT审计的框架、发展与实施进行研究。在大数据时代,财务共享服务模式成为大型集团企业的首要选择,其IT架构更多地运用到云计算技术,并需要大数据进行技术支撑。审计人员在财务共享服务模式下进行IT审计时将更多地运用大数据审计[7]手段进行IT审计,从数据的角度发现疑点,以减轻审计工作量,提高审计工作效率。有鉴于此,本文从大数据的角度对财务共享服务模式下IT审计的特点进行分析,梳理其数据流程,在此基础上构建IT审计框架模型,并对其实施流程进行阐述。
二、大数据时代基于财务共享服务模式的IT审计框架
(一)财务共享服务模式下IT审计的特征分析
一般认为IT内部控制包含组织层面的IT控制、一般控制和应用控制三个层面[6],审计人员通常以此为基础展开IT审计工作。财务共享服务模式下的IT审计需要充分结合财务共享IT架构特征,其IT审计范围如图1所示。同时,三个层面的IT审计在财务共享服务模式下也出现了有别于传统企业IT审计的特点。
1.组织层面的IT审计
组织层面的IT审计主要检查财务共享IT架构的设计是否合理,以及是否得到有效实施,其核心内容是管理层控制。集团企业建立财务共享服务模式的战略目标清晰,即降低财务核算成本,其IT战略规划应当以实现该目标为前提,并以此为基础进行IT部门与职能的设置。财务共享服务模式下组织层面IT审计应当对财务共享IT战略规划、IT部门与职能的设置是否符合财务共享战略目标进行检查,并对其实施的有效性进行审计。
2.一般控制层面的IT审计
一般控制层面的IT审计是为了确保IT系统运行的可持续性,能够为应用控制提供支撑,审计对象包含软硬件平台、网络等。财务共享服务模式下集团企业将财务核算业务集中,借助移动互联网、云计算等信息新技术实现了财务核算流程再造和数据的集中存储,其IT技术风险应当得到审计人员的重视。财务共享服务模式下一般控制层面的IT审计应当对数据安全、基础设施更新、访问安全和网络安全等主要风险点进行审计。
3.应用控制层面的IT审计
应用控制层面的IT审计主要检查业务系统层面所设计、执行的IT控制是否能够确保整个系统具有可信性,以及是否能够完成相关数据的产生、记录、传递、处理、分析和报告等功能。财务共享服务模式下集团公司、各分子公司的ERP、HR、OA等其他业务系统需要和财务共享中心实现数据对接与共享,为财务核算系统提供数据支撑,其间数据的产生、记录、传递、处理、分析和报告都是IT审计的关键风险点。财务共享服务模式下应用控制层面的IT审计应当对财务核算流程的设计与实施、业务系统与财务共享中心的数据对接、登录权限等内容进行重点关注。
(二)IT审计程序流程框架
COBIT(Control Objectives for Information and related Technology)即信息系统和技术控制目标,是一种用于“IT审计”的知识体系,由美国信息系统审计与控制协会(ISACA)于1996年首次提出并于2005年更新到COBIT 5.0。目前COBIT已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。由于COBIT 5.0具有普适性,因此财务共享服务模式下的IT审计可以此为基础构建IT审计流程框架。在大数据技术背景下基于财务共享服务模式的IT架构与传统IT架构有所区别,在构建IT审计流程框架时应当充分考虑到这一点。
财务共享服务模式下的IT审计流程框架包含IT审计指南和IT审计流程两部分。其中IT指南是参考COBIT 5.0得出的IT审计标准,在IT审计过程中起着指导作用,包含关键审计因素、流程能力模型、风险控制模型、IT技术可信评估和IT审计知识库等内容。IT审计流程则包含制定审计目标、风险评估、制定审计计划、设计审计程序、执行审计程序和出具审计报告六个流程,如图2所示。
(三)IT审计数据流程框架
在财务共享服务模式的IT审计中,审计大数据的产生、传递、处理和分析贯穿整个审计过程。为了充分利用大数据技术提高审计效率,审计机构可以历史数据、互联网数据等组成的大数据为基础构建审计数据中心,并建立IT审计知识库,帮助审计人员进行高效的IT审计。在审计过程中,审计人员可以通过IT审计知识库中的IT审计知识对审计对象的关键风险点进行重点关注,通过大数据审计方式对审计对象提供的相关大数据进行审计。待审计人员出具审计报告后,可将该审计项目的主要风险点、测试方式以及实质性程序等相关审计数据反馈到审计数据中心以完善IT审计知识库,形成IT审计的数据闭环,如图3所示。
三、大数据时代基于财务共享服务模式的IT审计流程
大数据时代基于财务共享服务模式的IT审计应当是一个包含审计大数据产生、传递、归集和使用的闭环系统,在审计过程中应当由IT审计指南对IT审计的计划、实施进行指导。
(一)制定审计目标
审计人员在进行财务共享服务模式下的IT审计时,应当充分考虑该模式下的特点,结合财务共享的IT战略规划,明确审计的时间、目标和范围。集团企业建立财务共享服务模式的战略目标为降低财务核算成本,为了实现该目标,其IT架构应当满足技术可信、内部控制有效、数据平台安全等基本要求,也是财务共享服务模式下IT审计的主要目标。在不同性质的IT审计中,审计人员可以按照实际的审计需求选择不同的侧重点来制定满足实际需要的审计目标。例如内部审计中,审计人员进行IT审计时更多地关心财务共享服务模式下的应用控制制度建设是否合理、是否得到有效实施;社会审计中,审计人员进行IT审计时则更加在意通过财务共享服务模式是否能够提供真实可靠的财务信息。
(二)风险评估
财务共享服务模式的IT架构相较于传统IT更多地使用了大数据、云计算等技术,因此财务共享服务模式下IT审计的审计风险与以往所有差别,例如审计人员在IT技术层面可能无法对IT技术风险有足够的了解,可以通过权威的第三方IT咨询机构获取该审计项目中财务共享下IT技术的评估报告,即IT审计指南中的IT技术可信评估。除了IT技术风险外,审计人员还应当充分考虑财务共享服务模式下独特的审计环境,结合财务共享服务模式下的业务流程再造,对财务共享中心内部控制制度建设情况进行评估,得出可能的其他审计风险以及风险发生的可能性,通过建立二维风险矩阵的方式对风险进行定性和定量的评估。
(三)制定审计计划
根据风险评估的结果,在考虑企业IT管理框架、人力资源配置等因素的基础上,审计人员应当充分结合财务共享服务模式下财务处理流程标准化程度高、业务量饱和以及财务核算成本低等特点,分别制定总体审计计划和具体审计计划,包括确定审计目的、审计范围、人力调配以及审计策略等内容。需要注意的是,财务共享服务模式下运用了大数据技术,传统审计手段很难进行有效的IT审计,应当在审计计划中明确使用大数据审计等审计手段。
(四)设计审计程序
财务共享服务模式下的IT审计程序包含IT管理层控制、IT一般控制和IT应用控制三部分。大数据技术在该步骤得到广泛运用,审计人员可以通过大数据爬虫获取互联网数据,从财务共享数据中心获取集团大数据,然后使用数据驱动测试、数据挖掘、数据多维分析等方法对大数据进行分析,实施审计程序。同时,审计人员也可以使用IT审计知识库比对其他财务共享IT审计项目,辅助确定IT审计中的主要风险点。
1.IT管理层控制
审计人员在进行IT管理层控制时可以结合COSO内部控制框架与财务共享实施情况设计调查问卷,向分子公司总经理、集团财务部员工、财务共享中心负责人等发放。然后可以根据问卷结果与财务共享负责人或IT管理层进行访谈,以评价集团企业在财务共享服务模式下IT管理层控制的有效性。
2.IT一般控制
审计人员在进行IT一般控制时可以采取问卷调查、访谈、穿行测试等方式,也可以直接通过第三方IT咨询机构获取企业IT技术评估报告,以确认该审计项目中财务共享服务模式数据安全、基础设施更新、访问安全和网络安全等主要风险处于可接受范围内,不需要整改。
3.IT应用控制
审计人员在进行IT应用控制时可能更多地会运用大数据审计的方法获取审计证据,例如对采集到的大数据进行清洗后通过SQL查询、大数据挖掘和多维分析等方法寻找审计疑点,或通过黑盒测试法进行数据驱动测试以发现IT系统运行中存在的问题。除了大数据审计的方法外,穿行测试与控制测试也能帮助审计人员找出应用控制设计与执行中存在的问题。
(五)执行审计程序
按照设计好的审计程序进行下一步工作,审计人员需要结合风险评估结果对财务共享服务模式三个层面进行控制测试,根据实际需求实施实质性程序,通过大数据审计、穿行测试等审计手段得出审计证据,并将从中得出的主要控制风险告之相关人员,记录测试和交流沟通的结果。
(六)形成审计意见,出具管理层建议
按照得到的审计证据,结合最初制定的审计目标得出最后的审计结果,并根据审计结果当中的所发现的问题向管理层出具审计意见和提供建议,在与管理层进行沟通后取得其对管理建议的相关回复。
出具审计结果后审计人员应当将相关数据反馈到IT审计知识库以形成新的IT审计知识,完成审计大数据闭环。
四、结语
财务共享服务模式的建设需要大数据、云计算等技术支撑,但同时也改变了其IT审计的审计环境。本文基于财务共享服务模式的特点构建了该模式下IT审计的审计流程框架并对其具体流程进行了分析,以期对财务共享服务模式下的IT审计提供理论指导,帮助集团企业降低或规避其财务共享服务模式下的IT风险。
【参考文献】
[1] 王德宇.财务共享服务与企业管理研究[J].山东社会科学,2015(5):160-163.
[2] 周常兰.IT风险控制整合框架的构建――风险控制四维整合框架的引入与扩展[J].经济体制改革,2014(2):102-106.
[3] 曹立明.论IT审计与会计信息化[J].中国注册会计师,2012(12):108-113.
[4] 覃宪姬,陈瑜,佟柱.信息系统审计的透视与思考――基于广州地铁审计案例的分析[J].中国内部审计,2014(8):62-69.
[5] 柳芳.基于ERP系统固有风险的IT审计对策[J].中国内部审计,2013(12):67-69.
[6] 李有华.企业IT审计方法研究及应用[J].中国内部审计,2013(10):63-65.
IS审计是指审计内容中包含了对自动化信息处理系统、相关手工流程及两者间接口进行全部或部分检查及评价的任何审计。IS审计与传统的财务审计、绩效审计一样,称为审计的一个重要分支,这三类审计的交集即为综合审计。业务流程对信息技术的依赖,使得传统的财务审计和运营审计必须理解IT控制结构,IS审计师也必须理解业务控制结构。综合审计关注风险。风险分析的目标是理解和识别由企业及其环境引起的风险和相关的内部控制。在这个阶段,IS审计师的职责是理解和识别信息管理、IS基础设施、Ⅱ治理和IS运营等领域的风险,其他专业审计师则要了解组织环境、业务风险和业务控制。详细审计工作关注已存在的管理这些风险的相关控制。IS审计通常是预防和检查性控制的第一道防线,综合审计则合理评估其效果和效率。实务界通常把IS审计当作一个专项审计对待,采用规范的项目管理方法和技术来实施。IS审计的通用流程一般为获取、评价、符合性测试和证明。
COBIT(信息及相关技术控制目标,Control Objectives forInformation andRelatedTechnology)提供了一个IT治理框架,以确保IS与业务保持一致,IS促使业务实现利益最大化,IT资源得到有效使用以及IS风险得到适当管理。COBIT框架通过域和流程控制来提供最佳实践,并采用易于管理的逻辑结构描述活动。COBIT最佳实践代表了专家意见。COBIT4.1把34个IT控制流程组合到四个控制域中:计划与组织(PO)、获取与实施(AI)、交付与支持(DS)、监督与评价(ME)。这34个控制流程又可进一步细分为310多个详细控制目标,这些详细的控制目标为应当实施何种具体的控制措施提供了参考。在“计划与组织(PO)”过程域的控制流程有13个,第一个是POl,即定义组织IT战略计划。以下为P01为例,详述IS审计流程的实现。
PO1的高级控制目标是控制Ⅱl过程――定义IT战略计划,以满足信息技术机会与IT业务需求的最佳平衡,同时确保其将来能实现。P01的控制目标均可通过以下四个流程来进行审计:
一、获取对业务需求有关的风险以及对相应控制措施的理解
IS审计师通过调研,将控制目标下的相关活动用文档记录下来,对组织声称已实施的控制措施与程序进行识别,并且确认其存在。与相关的管理者和员工进行会晤,以理解业务需求和相关的风险、组织结构、角色和职务、政策和程序、法律和法规、已有的控制措施和管理报告(状态、性能、行动项目)等。
在PO1中,IS审计师通常用文档记录与过程相关的IT资源,特别是那些被审计的IT过程所影响到的IT资源。确认理解了待审核的过程,过程的关键性能指标KPI、实际的控制情况。例如:(1)会见组织的CEO\COO\CFO\CIO\IT 策划、指导委员会成员。IT自身管理人员和人力资源部门的职员;(2)搜集与策划过程有关的政策与程序,执行管理层的指导角色与职责;组织目标、长期计划与短期计划;IT的目标、长期计划与短期计划,状态报告、策划、指导委员会会议累计用时等信息。
二、评价组织已有控制的适宜性
IS审计师通过考虑IT或业务政策和程序是否使用了结构化的计划编制方法,对组织采取的控制进行评价。这种方法用来明确的表达和修改计划,并且计划中最少要包含组织使命与目标、支持组织使命与目标的IT初始阶段、IT初始阶段的时机、对IT初始阶段的可行性研究、对IT初始阶段的风险评估、最佳的当前与将来的IT投资、对IT初始阶段进行再工程,以适应企业使命与目标的变化、对可选的数据应用,技术和组织战略的评价等。在PO1中具体的评价内容包括:(1)组织变革、技术进步、需求调整、业务流程重组,人员配置,内部的外包项目等在计划制定过程中是否得到了考虑和充分的表述。(2)IT项目是否有合适的文档支持,这些文档在IT计划编制方法中有规定;安排有检查点,以确保IT目标、长期和近期计划持续满足组织的目标、长期和近期计划。(3)过程所有者与资深管理层是否评审和签署IT计划。书面评审文件中是否存在IT计划评估现有信息系统,使用业务自动化程度、功能性、稳定性、复杂性、成本、优势和不足的术语。(4)组织是否存在信息系统和其支撑基础的长期计划的缺乏,导致不能支持企业目标和业务过程,或者无法保证合适的完整性、安全性和控制。
三、通过符合性测试,评估规定的控制是否一致地、持续地起作用
对组织符合规定的控制程序的程度进行分析,把实际的控制程序及补偿性控制缺失与规定的程序进行对比,并进行文档检查、会无相关人员,以判断控制是否被正确地、持续地实施。只对被证明有效的控制程序进行符合性测试。在POI中,IS审计师通过测试IT(策划)指导委员会会议的分钟数,以反映策划的过程;计划编制方法中的输出是存在的,并且符合规定;IT长期和近期计划包含相应的IT始阶段(即硬件计划、容量计划、信息体系结构、新系统开发和采购,灾难恢复计划,新的处理平台的安装等);IT初始阶段支持长期和近期计划,并考虑了研究、培训、人员、配备、硬件和软件的要求;已经识别到IT初始阶段的技术含量;考虑到了优化目前与未来的IT投资;IT的长期和短期计划与组织的长期和近期计划。组织需求一致;计划得到了修订以反应条件的变化;IT长期计划定期被转化为短期计划;存在执行计划的任务,得到所选项目和阶段的直接或间接的证据,使用直接或间接的证据,来保证待审核的项目和阶段一直遵守相关控制程序的要求。对过程或结果的充分性进行有限的审核。
四、证明未满足控制目标的风险确实存在
通过分析技术和可选的信息资产进行实质性测试,证实控制目标没有被实现时所带来的风险。该阶段实质性测试的目标是支持其审计判断,并敦促管理者采取行动。IS审计师要创造性地寻找和提出通常是敏感的机密的信息,用文档记录下控制弱点及其引起的威胁和漏洞,识别并记录实际的影响和潜在的影响,例如利用因果分析的方法,提供比较信息,例如,通过基准比较的方法来完成具体的实质性测试目标。在POI中,ls审计师通常通过执行和识别两个步骤来实现。(1)执行。执行战略IT计划的基准测试,参照类似的组织作为国际标准、已被认可的工业最佳实践。对IT计划的详细评审,以确保IT初始阶段反映了组织的使命与目标。对IT计划的详细评审,已决定组织已知的薄弱环节,是否已被计划中的解决方案作为一部分进行改进。(2)识别。识别组织IS中不满足组织使命和目标之处,IS中短期计划与长期计划不一致之处,不符合近期计划的IS项目,IS项目中不符合成本和时间指导方针之处,错失的商业机会以及错失的IT机会等。
综上所述,IS审计师通过获取、评价、符合性测试和实质性测试四个流程阶段,对组织的IT战略规划过程做出评估,并据此提出管理建议,以确保IT作为组织长期计划与短期计划的一部分,并从根本上始终保持与企业业务战略的高度一致性。
参考文献:
一、IT环境下,审计理论基础的特点
(一)多元网络性
作为审计理论的根基,审计理论基础在IT环境下得到了不断的增强和加固。信息技术学、信息经济学、信息博弈论以及与审计相关的其他学科领域共同组成了一个动态的、多元性的审计理论基础网络组织。而构成审计理论基础的各个学科的具体内容则是这张网上的各个结点。审计理论基础的不断扩张、膨胀,意味着审计理论获得了更充足的理论养分,得到了更充分、更完善的发展。
(二)动态性
随着时代的变迁、客观条件的变化、社会经济环境的完善,审计理论基础也在不断的发展完善,在充分汲取新的学科理论养分的同时,也掘弃了一部分不适合于IT环境下的陈乏的、过时的理论。并且,审计理论基础的发展变化决定着审计理论的发展方向、趋势,同时审计理论的不断发展、完善,也进一步加强和巩固了审计理论基础,二者的关系是辨证统一的。
(三)质量性
IT环境下,质量非常重要,可以毫不夸张地说,质量是IT的生命。审计理论基础作为审计理论的根基,其质量性尤为重要。其质量性主要表现在:稳定性、安全性、品质性。尽管是审计理论基础在审计理论发展的历史长河中呈现出动态、发展性,但是,就某一时间段、期间而言,审计理论基础还是具有相对稳定性的。另外,作为根基、支撑点,其安全性、品质性也是非常重要的,不安全的、缺乏品质性的根基不具备支撑审计理论大厦的能力。
(四)交互渗透性
审计理论基础的内涵非常广泛,几乎涉及各个学科、领域,而这些学科、领域的理论并非简单的叠加构成审计理论基础,它们是按照一定的秩序、规则进行有效的组合而形成的有机整体。在IT环境下,社会生活的空间相对缩小,各学科间的渗透也日益频繁、紧密,它们通过移植、借用、感染三种方式共同组成一个有序的、交互渗透的、相互关联的动态网络,服务于审计理论。
(五)虚拟性
审计理论基础,并不象有型的建筑物建造时挖地基所形成的有型的根基,它是从多个相互关联的学科中抽象出来的、客观存在的无形的根基。在IT环境下,这一特性更加明显,虚拟的审计理论基础具有抽象性、概括性、逻辑性三个特性。
二、IT环境下审计理论基础的认定标准
审计理论基础的认定,一直都是一个比较困难的问题,尤其是IT环境下,高科技信息技术充分应用于审计领域,加速了审计理论基础的更新换代,使得审计理论基础从广度和深度上均有了较大的扩张,笔者认为,IT环境下,审计理论基础的认定标准为:
(一)作为审计理论基础,必须为审计理论的发展服务
审计理论基础与审计理论之间的关系是辨证统一的关系。即审计理论基础为审计理论服务,审计理论基础决定着审计理论发展的方向、趋势,审计理论基础的每一次变革都会引起审计理论发生相应的变化。反过来,当审计理论的发展适合于审计理论基础的客观要求时,则加强和巩固审计理论基础,反之则削弱审计理论基础。因此,判断某一理论、学科是否是审计理论基础,首先要看它是否为审计理论的发展服务,是否与审计理论呈辨证统一的关系。
(二)作为审计理论基础,必须与审计环境互动性
审计环境是审计理论乃至审计理论基础发生变迁的外在动因。在IT环境下,IT应用于审计理论中即审计电算化或网络审计。IT一方面刺激了审计理论基础的变革,将先进的IT理论植根于审计理论基础,将先进的IT技术应用于审计测试工作中,加速了审计理论的发展;另一方面,审计理论基础发生了变化,也会在一定程序上刺激审计环境进一步完善,使得审计理论基础更好的为审计理论服务。二者的关系呈互动性。
(三)作为审计理论基础,它必须是沟通审计理论与其他相关学科的桥梁
审计理论基础为审计理论与其他学科理论提供了一个公共区域,在此领域内,各学科理论知识相互交叉、渗透、融合,共同为审计理论服务。因而审计理论基础是审计理论科学体系的研究内容,但它本身并不是审计理论,它是连接审计理论与其他学科体系的桥梁与纽带,是审计理论与其他学科的交叉渗透区。
三、IT环境下,审计理论基础的具体内容
(一)信息技术理论
信息技术理论是IT理论的核心,其在审计理论中具体应用,也是审计电算化充分发展的标志之一。当代信息技术理论包括:网络技术理论,信息技术理论,数据挖掘理论、系统集成理论、多媒体理论技术、人工智能技术等等。这些理论、技术在审计中的应用,大大提高了审计测试效率、审计监督质量,为审计理论的发展提供了前所未有的机遇,使得审计理论基础从深度和广度上得到不断地扩张。
(二)经济学理论
经济学理论是审计理论基础的重要组成部分,它可以开阔我们的视野,转变我们的思维方式,为我们提供可供选择的理论依据和方法。它将一些西方经济学思想、观点引入审计理论中,从经济学视角分析审计理论的发展,寻求提高审计工作效率的途径,革新审计测试手段的策略,如:西方制度经济学、产权经济学、交易费用学说、信息博弈论等等,都大大地加深了审计理论知识,丰富了审计理论基础的营养,使我们从更深层次的角度探求审计理论的内涵、外延,深化了审计理论知识,为审计人员提高审计工作效率、降低审计交易费用、进行理性审计提供了新的思路。
(三)司法诉讼学
司法诉讼学与审计理论相结合是现代审计理论的发展趋势。一方面,审计证据的获得需要审计人员运用大量的司法刑侦手段、方法去检查、判断、排除伪证,以取得真实可靠的审计证据;另一方面,面对审计诉讼爆炸的时代,审计人员如何进行合法审计、避免审计诉讼,也是他们面临的现实问题。因此,将司法诉讼学注入审计理论基础,可以提高审计人员守法、学法意识,在法律允许的范围内开展有效的审计,同时掌握各国间法律的差异,审计豁免的范围、程度,为开展跨国审计作好准备。
(四)管理心理学
管理心理学又称行为管理学,是研究人的行为心理活动规律的科学,它是用管理学、行为学、社会学、生理学、伦理学、人类学等学科的原理,以研究人的心理行为和人际关系、人的积极性为对象的一门综合性科学。它主要研究人的行为激励问题,探索人的心理活动,提高激励人的心理和行为的各种途径和技巧,以达到最大限度提高工作效率为目的。它作为审计理论基础,对于开发审计人员思维、激发审计人员开展有效审计的积极性,提高审计工作效率有很大的意义。管理心理学作为审计理论基础,既 满足了管理审计的客观要求,也为审计人员进行有效审计提供了理论依据和方法。
(五)会计、统计理论
会计理论是企业提供财务报告的基础,也是审计人员查错防弊所必备的基本知识,它与审计学理论有着很深的血缘关系。审计人员接受被审单位委托后,必须大量的分析和评价财务信息和非财务信息,检查被审单位会计报告的真实性,而所有这一些必须是在一定的财务理论和会计理论的指导下进行。统计理论成为审计理论基础,可以将有关经济计量模型应用于具体审计实践中,对审计结果、审计证据进行线性回归分析,测试各变量间的拟合度,大大地提高了审计测试手段的先进性和审计结论的准确性。同时,通过将一些审计问题定量化,也有助于审计人员作出准确的决策判断,并相应的化解日益复杂的审计风险。
公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量,也包括系统对契约的监督以及对外部投资者的保护能力等。例如,在逆向选择的框架下,我们可以看到:一个更好的标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称,从而便利了融资,降低了风险。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而IT技术在实时披露、实现透明度原则和体现监控力度上正日益成为有效的工具。2002年美国颁布的《萨班斯法案》对公众公司提出了更高的要求,法案的409条款要求上市公司必须向投资者实时披露必要的信息,包括图片、表格等信息,302、404条款要求公司应定期评价其信息系统及其内部控制的充分性来保证提供给投资者信息的准确和完整,强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任。因此,IT治理,加强IT控制,降低风险,有效地实现公司治理,成为全球关注的问题。
公司治理是建立组织各利益相关者之间的相互制衡机制,管理风险,有效实现组织目标的一系列过程及制度。内部控制制度是实现善治的制度安排之一。IT治理是实现公司治理的工具。IT治理不等于治理IT技术,它是一个信息背景下的制度安排,包括内部控制、审计以及公司信息的披露等。IT内控是内控的一个组成部分,信息时代,企业管理信息化水平日益提高,信息资产成为企业的核心价值资产,IT在给企业带来竞争力的同时,也带来了极大的风险。因此利用IT技术加强内部控制,并对信息系统自身加强管理控制,成为公司治理及IT治理必不可少的组成部分。IT内控是强化风险管理,完善信息时代公司治理的必要手段。IT治理、内部控制、审计、风险管理体系等都是促进公司治理的有效工具。
SOX法案的出台,对企业的公司治理、IT治理及IT内控提出了更严格的要求。
一、SOX法案的要求:
1.对公司治理的要求:
(1)要求上市公司必须建立审计委员会,并对审计委员会的人员组成做出了规定,保证审计委员会的独立性,同时赋予审计委员会更多的责任:《萨班斯-奥克斯莱法》,及其紧接着全美证券交易商协会和纽约证券交易所于2003年11月又的新的公司治理最终规则详细地界定了审计委员会的职责, 具体来说应包括:1)每年获取并审查独立董事提交的报告。2)与管理当局、独立审计师一起讨论经审计的公司年度财务报表和季度财务报表,包括公司在“管理当局对财务状况和经营结果的讨论和”项目中进行公告的财务事项。3)讨论公司收入公告及向分析师和评估机构的财务信息、收益指南。4)讨论风险评价、风险管理政策。5)分别与管理当局、内部审计师(或其他负责内部审计机构的人员)和独立审计师定期会面。6)与独立审计师讨论所有的审计难题以及管理当局的反应。7)制定清晰的关于聘用现任或前任独立审计师的政策。8)定期向董事会报告
(2)增加高管人员及董事会的责任:CEOs and CFOs必须保证财务报告真实,要求发行人的CEO和CFO保证定期报告没有对重大事件的不真实表述,也没有遗漏必须披露的重大事件,并保证财务报告在所有重大方面都公允反映了发行人的财务状况和经营成果。在此基础上,法案单独规定了对管理人员证明财务报告时失职的刑事处罚。CEO和CFO如果知道定期报告不符合上述要求但仍然做出保证的,将判处不超过100万美元的罚款,或是不超过10年的监禁,或是二者同罚;如果是蓄意做出书面保证的,将判处不超过500万的罚款,或是不超过20年的监禁,或是二者同罚。
2.萨班斯法案对内控的要求:
(1)法案302要求:公司管理层设计所需的内部控制,并保证首席官员能知道该公司及其合并报表子公司的所有重大信息,尤其是报告期内的重大信息;评价公司的内部控制在签署报告前90天内的有效性;在该定期报告中他们上述评价的结论。
(2)法案404节要求:编制的年度报告中包括内部控制报告,包括:强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价
3.萨班斯对审计师的要求:增加了审计师对信息系统的审计,要求审计师必须了解业务如何穿过系统,而不是绕过系统。审计师必须了解业务流程,评价IT 控制与一般控制的设计及效果。评价 IT 控制设计效果,确定这些控制设计是否适当地实现相关目标。实施IT控制执行效果测试。
二、对上市电信运营商的挑战
萨班斯法案对高管严格的法律处罚令其中许多公司的最高管理层都如坐针毡、夜不能寐。美国有多达5000家大中型公众公司在2004年11月15日后结束的财政年度中紧张异常,这而对于公司治理尚不完善的电信企业领导来说,更是意味着要承担重大国际法律责任的风险。公司治理决定企业的兴衰,企业的兴衰决定国家的兴衰,因此公司治理建设不能出现任何重大失误。
我国电信企业在公司治理制度在股份制改造过程逐步,中国网通借美国上市契机建立了新型的公司治理结构,董事长与CEO分离,在董事会下设4个委员会:审计委员会、战略规划委员会、公司治理委员会和薪酬委员会。2005年3月7日,在京召开的中国电信集团实业工作会议明确:经过3年左右的时间,逐步规范法人治理结构。由于我们的企业处于转型的特定时期,公司治理水平与日、美等发达国家有一定的差距。信息产业部电信研究院公布的《中国电信业国际竞争力发展报告(2004年)》显示,我国电信业国际竞争力在全世界主要国家和地区中(共33个国家和地区)排名第14位,然而细细看来,却发现了很多隐忧。报告将国际竞争力解析为3大竞争力:环境竞争力、市场竞争力和企业竞争力,其中企业竞争力排名27,企业竞争力指数包括“技术创新”、“生产率”和“公司治理结构”,排名分别为18、28和21.不难看出,目前我国电信企业的公司治理水平。要成为电信强国,环境竞争力、市场竞争力和企业竞争力三者缺一不可,因此,我国目前距离电信强国还有较大差距。从分析要素来看,法律和制度框架、政府效率,以及企业技术创新、公司治理结构等 “软件”能力偏弱,单条腿走路。我国几大运营商中虽然已经有中国移动和中国电信进入了财富500强,虽然几大运营商均已上市实现了公司化治理,但由于脱胎于老的国有企业,因此公司管理能力和治理结构仍有待提高。因此,提高企业竞争力,就应该从改善公司治理结构做起。
三、运用信息化手段,完善公司治理
1.完善公司治理机制。我国电信运营商需要健全公司内部治理的规则和程序、建立公司的合法守规管理、完善约束与激励机制、加强公司的内部控制体系以及建立公司的风险管理与控制机制。虽然在现有的公司治理结构中,有些公司也有审计委员会、独立董事等监督机制,但这些人员的任职资格、发挥作用的程度、以及职责定位等都需要进一步改进。
2、利用信息技术,完善公司治理的监控体系。公司治理是一种对公司管理和运营进行监督和控制的体系。其核心是在所有权和经营权分离的条件下,解决好所有者和经营者的利益不一致而产生的委托-关系。由于委托人(所有者)和人(经营者)是不同的利益主体,委托人(所有者)与人(经营者)相比处于信息劣势的情况下,必然有成本或激励问题的产生。为完善公司治理,必须重视委托与之间的信息不对称问题,通过对公司重要信息有效的传递、鉴别和处理,使成本最小化,提高企业的经营绩效。萨班斯法案强化公司治理要求的目的也是提高上市公司透明度,提高公布信息的质量,加强信息披露,从而保护投资者的利益。
在市场中,信息交换是否充分,是否对称,直接关系到市场经济是否公平、是否有效。为了保证信息公平、公开,人们设立了一系列内外部机制。独立董事担任的审计委员会,公司聘请的会计师事务所都层层对公司财务信息的真实性、准确性、及时性进行审核、这些约束与激励机制的有效性取决于公司信息真实与准确性和处理与传递效率的问题。在这点上,IT技术正成为日益有效的工具。
萨班斯302、404、以及409等条款对公司的要求,使得IT在公司治理机制中的作用日益凸现。由于信息技术不以人们的意志为转移地在各类组织中的普遍,IT在各类组织中的多层次、横纵向嵌入,正在改变着组织的业务流程,进而改变组织的结构、组织的管理及公司治理;特别是电信对IT的依赖性非常大,没有相应IT治理机制的公司治理,使无法满足萨班斯的严格要求的。由于IT治理已成为完善公司治理的重要手段,成为实现 IT与业务的匹配管理、IT价值贡献管理、IT风险管理、IT绩效管理等的重要保证,花旗银行等美国大企业已经引进或正在引进IT治理机制。
国资委连续举办的旨在推动企业建立全面风险管理系统,进一步完善公司治理机制的企业全面风险管理培训上,也提到在公司董事会层面建立IT治理委员会,建立IT治理机制,完善信息的公司治理,促进现有公司治理制度安排的有效执行。但由于信息技术在治理方面所具有的复杂性,完善IT治理机制,构建符合萨班斯要求、适应时代的公司治理机制任重道远。
构建IT内控系统的思路
(1)不能因耗时且成本高昂就摒弃原有的IT控制而另搞一套。SEC管制条款复杂,为了满足萨班斯法案的要求,大多数企业需要调整其员工观念和企业文化,通常也需要对IT系统和其处理流程作一些改进,改进的内容包括其控制设计、控制文件、控制文件的保留,以及IT控制的评估等方面。这是一个循序渐进的过程,不能将原有的一切推倒重来。
(2)要选择好内控框架。法案并没有规定公司必须选择什么样的内控框架, 需要企业自己抉择。国际上比较有名的内控模式有英国的Cadbury、美国的COSO 和加拿大的COCO , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列的趋于一致的政策和建议。第2号审计标准依据COSO制定的内部控制框架制订,在“管理层用于开展其评估的框架”一节中,明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架,来评估公司财务报告内部控制的有效性。SEC对该标准的认同等于从另外一个侧面承认COSO框架。COSO 认为内控是由企业董事会、经理层和其他员工实施的, 为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成提供合理保证的过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统, 我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。
但是很明显,SEC所推荐的COSO控制框架有助于遵循萨班斯法案,虽然它针对的是内部控制,但没有对IT控制目标和相关控制活动提出具体的要求与限制。由于COSO框架缺少对IT内部控制的内容,所以单独以COSO为构建IT内部控制的框架显然是不合适的。COBIT为管理IT风险与IT控制提供了一个综合性的框架,是另外一个被国际认可的业内标准,由4大部分、34个IT处理流程、318个详细控制目标组成。COBIT也涉及企业经营、萨班斯法案遵循等方面的控制。但在萨班斯法案要求下,我们只考虑应用COBIT中与财务报告相关的控制。
因此Cobit与COSO结合作为构建IT内部控制框架,将是两种国际标准优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时,也可以BS15000以及ISO17799等一些国际标准,这些标准都是IT运营、安全方面可审计的一套标准管理控制体系。
(3)要建立一套自评估机制,确保内部控制系统的持续有效
从来看, 企业的发展阶段和管理状况,以及外部环境的变化都是决定企业内控系统建立和运行有效的前提。任何内部控制系统都只是在一个特定的历史阶段有效,管理层对内部控制有效性的声明,要求公司必须建立一套自我评价机制,评价内部控制系统设计、执行是否有效,以支持管理层的声明。同时自我评估机制也可以帮助公司发现控制弱的区域,以及控制漏洞,及时审势度势,弥补内控系统的缺陷,确保内部控制系统持续有效。这也是萨班斯法案所要求的。
控制自我评估(CSA)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的。国际内部审计师协会(IIA)在1996年的报告中了CSA的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理,高层经营理念与管理风格,职业道德,诚实品质,胜任能力,风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,CSA得到了普遍的信赖。
图1 自评估流程(略)
如图1所示,自评人员首先选择要评审的内控流程, 然后对其设计的健全性进行评价, 如果健全, 则测试其运行的有效性, 最后综合设计测试和运行测试, 评价内控系统的健全性和有效性。如果设计测试结果为不健全, 则直接进行内控系统的评价, 而不再进行运行的有效性测试。
内控系统设计测试是指为了确定被审计单位内控政策和程序设计是否合理、恰当和完善进行的测试。健全的标准即设计合理、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指, 为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。
为了帮助评估控制设计,图2(略)提供了一个IT控制设计与运行有效性模型,它将依赖于企业所达到的状态、阶段,我们认为有必要花时间来改进控制程序的设计和有效性。
图2显示了企业中存在的控制可靠性的各种等级。就建立内部控制目标而言,一些企业可能愿意接受等级不高于3的IT内部控制。然而,考虑到萨班斯法案要求的“外部审计师应就控制出具独立的证据”这一要求,对一些关键性的控制活动,控制的可靠性则不能低于3等级。
控制运行的有效性评估。一旦控制设计的评估结果认为内部控制设计适当,就需要对其和以后的运行是否有效予以测试,而该测试由控制负责人及内部控制程序管理团队来进行。
一般而言,有些控制(如一般控制)程序是其他控制程序(如应用控制)的基础,企业组织对这些控制的测试范围应更广、频率更高。判断测试范围是否恰当时,组织应该考虑IT控制是如何财务信息披露与报告过程的。
一些企业利用外部服务机构所提供的外包服务,这也应该视为企业整个经营职责的一部分,在整个IT内部控制程序中应予以考虑。
[关键词] IT;风险管理;责任主体;合规
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 06. 022
[中图分类号] F272.35 [文献标识码] A [文章编号] 1673 - 0194(2012)06- 0045- 03
1 问题的提出
信息技术迅猛发展和深入应用使得企业的日常运营越来越依赖于IT系统,企业信息化的规划、实施、运行维护等各阶段都存在着各种风险,IT相关风险正成为管理层、监管部门重点关注的对象,IT内部控制与风险管理也逐渐成为企业内部控制与风险管理的重要组成部分。对于当前我国企业而言,谁应该成为IT风险管理的责任主体,董事会、IT战略委员会、IT监管部门、内部审计部门、外部审计、风险管理部门、IT日常管理部门等在IT风险管理中各承担哪些责任,我国企业在当前IT风险管理相关部门设置情况如何,为了弄清上述我国企业IT及其风险管理的责任主体的相关问题,笔者在理论分析和问卷调查的基础上,整理了相关的调查数据,统计并分析了我国企业在责任主体设置方面的分布特征。
2 IT风险管理责任主体的最新理论框架
与IT风险管理责任主体研究有关的最新的综合性理论框架为国际信息系统审计与控制协会(ISACA)于2009年12月颁布的IT风险管理框架。ISACA在IT风险管理框架中,定义了IT相关风险管理的一系列主体,并指出了各主体应在某一方面或某几个方面负责或承担责任。就某一特定方面而言,只有一个主体为负责部门,其他主体或承担部分责任,或没有责任。当然,该框架也说明由于每个企业的组织机构与职能部门设置情况并不完全相同,作为理论框架,只是提供原则性的指导,没有必要与某一具体企业的组织机构与职能部门完全一致,因此,在该框架中,对每个责任主体的定义只是进行了简洁描述。IT风险管理框架下的IT风险管理责任主体及承担的责任如表1所示。
资料来源:ISACA,Risk IT Framework,USA,2009.12.
3 我国企业IT风险管理相关的主要责任部门及责任探讨
如上述框架所述,不同企业的组织机构与职能部门设置情况并不完全相同,就我国而言,近年来,各方面的监管层出台了大量的规范,如《企业内部控制基本规范》、《中央企业全面风险管理指引》、《信息技术服务运维通用要求》、《商业银行信息科技风险管理指引》、《证券公司信息技术管理规范》等等,都对IT的相关风险做出了明确的规定及要求,企业已经进入了“合规年代”。当前我国企业的IT风险管理的责任部门主要包括:IT战略委员会、IT监管部门、IT日常管理部门、内部审计部门和风险管理部门。
其中,IT战略委员会应由企业的最高管理层及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成,定期召开会议,就企业的企业战略与IT战略的驱动与设置等议题进行讨论并做出决策,为企业IT及其风险管理提供导向与支持。IT监管部门分为企业外部和企业内部。
企业外部监管部门主要包括工业与信息化部、财政部、审计署、证监会、银监会等政府机构,从各自负责的领域对企业信息技术的相关方面提出监管标准和要求。企业内部的IT监管部门主要负责公司信息技术方面的评价、监督以及合规方面的检查。
“建立有效、健全的信息系统内部控制制度”这一责任的主要承担部门是IT日常管理部门。外部审计员对董事会负责的,协助董事会的专业委员会来确认和分析技术风险的程度,包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统。
内部审计员协助董事会的专业委员会执行IT实务和系统的控制检查,并向委员会推荐合适的改进措施用于参考和实施。IT风险是企业风险管理体系至关重要的组成部分,与企业其他风险管理程序类似,需要运用企业风险管理的相关原则与方法,结合IT活动的特点,执行风险管理程序。
风险管理部门需要指导并参与IT相关风险管理,即识别风险、分析风险、制订IT风险工作计划、跟踪风险、应对风险,并借助于定期、不定期的检查风险防范措施的落实情况,通报检查结果,将风险管理过程纳入到日常管理中。
4 对我国企业IT风险管理相关责任部门设置的现状调查与分析
笔者于2010年7月-2010年9月进行了多次调查,调查形式分为现场纸质问卷以及远程网络问卷,其中,在2010年用友技术大会、2010年国资企业IT能力建设高峰论坛、2010年中国信息安全年会上共发放现场纸质问卷165份,回收114份,有效问卷数为97份,现场纸质问卷的有效回收率为58.79%,在线发送远程网络问卷调查邀请60次,在线回收数据14份,剔除不完整问卷2份,有效问卷数为12份,远程网络问卷的有效回收率为20%,最终用于数据分析的有效样本数为109份。
4.1 样本企业IT风险管理责任部门设置的总体情况
如表2所示,从企业来看,IT日常管理部门的设置最为普遍,有97%的企业设置了IT日常管理部门;内部审计部门设置情况较好,有82%的企业设置了内部审计部门;风险管理部门的设置情况一般,有不到七成的企业具有风险管理部门;IT战略委员会的设置情况最差,仅有不到六成的企业具有IT战略委员会。这一结果表明:我国部分企业还没有把IT纳入战略层面考虑的范畴,还停留在操作层面的IT日常管理工作上,作为传统的内部控制监督与检查部门,内部审计部门已成为绝大多数企业的常设机构,一半多的企业具有了较强的风险管理意识并将风险管理部门作为常设机构。
4.2 不同类别企业IT风险管理相关部门设置的情况
笔者按照不同经济成分企业、不同规模企业、不同上市状况企业进行了分组统计和比较,结果如表3所示。
表4表明,总体上看,三资企业类的企业IT风险管理相关部门设置情况最好,比重均为第一。其次为中央国有企业,民营企业与集体企业部门设置情况较差。具体来看,除了个别民营企业外,样本企业均有IT日常管理部门。地方国有企业最不重视IT战略委员会的职能,民营企业最不重视内部审计部门、风险管理部门的设置。无论是企业还是子公司,规模大的企业IT风险管理相关部门设置比例明显高于中小规模的企业。总体上看,无论是企业还是子公司,有香港或海外上市公司的企业IT风险管理相关部门设置比例都是最高的,除IT监管部门外,仅有大陆上市公司的企业IT风险管理相关部门设置比例第二,无上市公司的企业设置比例最低。
4.3 被调查者对企业高层应讨论IT哪些风险的看法
为了了解被调查者对企业高层应讨论IT哪些风险的看法,笔者在问卷中设计了一道多项选择题“IT的哪类风险应由企业高层会议讨论”,列出了IT投资风险、系统建设风险、系统运行维护风险三类风险,以及“都不是”与“不确定”两个选项。调查结果如表4所示。
结果表明,选择“都不是”的仅有15%,选择“不确定”的仅有8%,两者相加的比重为23%,即有将近八成的被调查者认为高层应讨论IT相关风险,这一结果说明绝大多数被调查者均认识到IT相关风险不仅是公司操作层、战术层应关注的,还应上升到战略层进行讨论。在三类风险中,被调查者认为高层应讨论IT系统建设风险的比重最大(为40%),认为应讨论IT投资风险的接近40%,说明投资风险与系统建设风险是应上升到战略层考虑的风险,而系统运行维护风险往往是战术层或操作层考虑的风险。
5 结论与建议
当前我国企业的IT风险管理的主要责任部门包括:IT战略委员会、IT监管部门、IT日常管理部门、内部审计部门和风险管理部门。我国企业IT日常管理部门的设置最为普遍,但当前我国部分企业还没有把IT纳入战略层面考虑的范畴,还停留在操作层面的IT日常管理工作上,作为传统的内部控制监督与检查部门,内部审计部门已成为绝大多数企业的常设机构。从规模特性来看,特大型企业IT风险管理相关部门设置比例明显高于非特大型的企业。从上市情况来看,有香港或海外上市公司的企业IT风险管理相关部门设置比例都是最高。被调查者认为投资风险与系统建设风险是应上升到战略层考虑的风险,而系统运行维护风险往往是战术层或操作层考虑的风险。
由此,笔者提出如下建议:
(1)要建立健全IT风险管理的组织机构,其中的重点是建立IT战略委员会,发挥IT战略委员会在战略层面IT风险管理中的作用。此外,还应重视建立风险管理部门,把全面风险管理作为专业职能部门的职责,在指导全部关键资产的风险治理机制方面发挥指导作用。
(2)做好相关人员的培训工作,风险管理意识方面,要加强对相关人员风险意识的培养,树立IT投资的成本效益观念。提高各部门负责人的战略风险意识。知识能力方面,要加强企业内部的复合型人才培养和队伍建设工作,企业自身才是IT风险管理的主体,应该注意培养自己的人才队伍,学习如何识别、收集、评估、主动控制IT风险方面的系统化知识和专业化的方法。
主要参考文献
免责声明:以上文章内容均来源于本站老师原创或网友上传,不代表本站观点,与本站立场无关,仅供学习和参考。本站不是任何杂志的官方网站,直投稿件和出版请联系出版社。
