时间:2023-08-17 18:04:50
在电子商务环境下,越来越多的企业通过互联网产品信息,确定产品交易,传递产品发货单,划账结汇等。客户也从网上了解所需产品的相关信息,与厂方签订合同,发送订单。经济业务产生的原始凭证由传统的纸质凭证演变为电磁信息的形式在网上传递并存储于磁性介质中;由于网络账务系统具有共享性的特点,会计信息的相关使用者可以随时通过授权,上网查询企业的财务状况和经营成果,信息的及时性大大提高,作为事后反映的会计报表对于会计信息使用者的重要性大大降低;网络财务的兴起使得企业从采购,销售,支付及到资金回笼这一系列烦琐的处理过程变成网上的瞬间实现,这些都使得在手工会计系统环境下进行的传统审计模式受到极大的冲击。由此,IT审计这一新兴审计模式应运而生。
一、IT审计与传统审计相比较之优势
1、使审计时效性大大提高。传统审计一般是在企业的会计报表完成后进行,审计人员经过调查取证等一系列工作后再经过一段时间的整理形成审计书面报告,这期间往往要耗用几个月的时间,其时效性不强。而在网络环境中,审计部门可随时对被审计企业进行审查,及时收集其最新的会计信息,并向有关各方,从而使审计的时效性得到保障。
2、收集审计证据的成本大大降低。传统审计通过实物盘点,审查大量的凭证,账簿和报表,口头询问及函询等来获取证据,耗费了大量的人力物力。而在IT审计中,所有的现金,存货及各项固定资产等实物由计算机进行实时动态管理,所有凭证等书面文件都已成为网络中的电磁信息,口头询问及函询可通过发送邮件和网上实时交谈的形式来获取。这必将大大减少审计证据的收集成本。
3、减轻了审计人员的工作量。传统审计中,审计人员要进行大量的调查取证工作。而在IT审计中,在获得必要的权限下,审计人员利用审计接口软件便可轻松、便捷、完整的获得被审计企业的会计信息和经济数据,大大减少了工作量。
二、IT审计应用中存在的问题
1、由于在网络环境中,经济业务产生的原始凭证是以电磁信息的形式传递并存储于磁性介质中,具有能被无痕修改,容易丢失不利于永久保存等缺点,审计面对的是企业的电算化会计信息系统和网络账务系统,它们的合理有效性,安全程度直接影响到审计工作的质量和效率,而这些又受到技术和人为的诸多因素影响,审计环境中的不确定因素增加。
2、在IT审计中,审计人员对于计算机网络的依赖性大大增强。主要的审计证据来自于系统网络,属间接证据,其可靠性依赖于网络内控制度的健全有效性,且由于计算机病毒和黑客攻击都可以通过网络威胁到会计信息系统的安全,使得审计人员对网络的安全可靠产生依赖。
三、IT审计发展现状
美国等先进国家开展IT审计始于20世纪六十年代,国际上唯一的信息系统控制与审计协会ISACA总部就设在美国,目前已经在世界上100多个国家设立了160多个分会,现有会员两万多人。在发达国家,IT审计已经得到了普及。
在我国,信息化事业已发展到一个新的阶段。各级政府正在推进“电子政务”,并认真落实“以信息化带动工业化”的战略。广大企业也开始着手整合与升级各自的信息化应用系统。可以预计,全国将有更大更多的信息系统上马。但是在信息化推进的过程中,至今不同程度上存在一些问题,主要表现在规划制定不够深思熟虑;项目管理不够严格;系统运行效益不够明显。究其原因是相当普遍的对信息化风险认识不足,规避风险的措施不力。中国加入WTO后,为了保证我国经济社会与科技方面的稳步发展,保证与经济安全,社会安全,国家安全紧密相连的信息系统的安全,在我国发展IT审计已经势在必行!
四、对我国IT审计工作未来开展的几点思考
1、规范电算化会计信息系统模块,规范会计信息系统的数据结构。开展IT审计工作要求企业的计算机信息系统留有审计接口,以便通过接口取得被审系统的电子信息,进行有关的审计处理。虽然我国软件协会财务及管理软件分会曾对财务软件的数据接口提出了标准要求,但许多财务与管理软件都没有执行。我国现有的计算机信息系统大部分没有设置审计接口,有些系统的数据库还加了密,使审计软件无法访问系统的资料,电子资料的获取成了利用计算机辅助审计的瓶颈。
2、加快审计网络建设。在网络环境中,审计人员所面临的不再是传统的交易模式和经营管理理念,而是实时动态的网络信息资源。审计人员只有通过互联网才能完成审计线索的收集,审计信息的输出及传送,因此需要加强审计网络建设。
3、迫切需要培育一批既懂得审计知识,又懂得计算机网络知识的复合型人才。目前,我国国内的审计人员无论在数量上还是质量上仍有较大不足。传统的审计人员虽在财会审计领域经验丰富,但对计算机网络技术了解不多,这使得他们难以对复杂的网络会计系统进行有效的评审,难以应付电子商务环境下的审计风险。因此要保障IT审计工作的顺利开展,必须培育出一批高素质合格的IT审计师队伍。
【关键词】 IT审计; 财务共享服务模式; 大数据; 云会计
【中图分类号】 F232 【文献标识码】 A 【文章编号】 1004-5937(2016)24-0128-04
一、引言
财务共享服务模式是依托大数据、云计算等信息新技术以财务业务流程再造为基础的分布式管理模式,目的是优化组织结构、提升核算流程效率、降低财务核算成本以及为企业创造价值,其站在市场视角为内外部客户提供专业化财务服务。在财务共享服务模式下,集团企业将日常的、共同的、分散的、大量的、重复的、可标准化的财务会计流程从下属分公司剥离出来,统一交给财务共享中心进行处理[1],实现了业务处理、数据存储的集中,同时也增加了IT风险。IT风险[2]已经成为企业的“经营风险”,包含IT环境风险、IT管理风险、IT技术风险和IT平台风险等。大数据时代基于财务共享服务模式的IT审计目的是为了找出并解决财务共享的IT风险,依托大数据、云计算等信息新技术,通过对大数据进行采集、处理、分析以发现问题。
IT审计一直受到诸多学者的重视,曹立明[3]分析了IT审计本质、目标与方法,认为IT审计是会计信息化的内在要求,并对会计信息化IT审计的目标、内容和实施条件进行分析,最后对会计信息化IT审计面临的问题进行了阐述。覃宪姬等[4]以广州地铁IT审计为例,在分析了广州地铁信息系统审计现状的基础上,构建了广州地铁IT审计框架并对其具体内容、实施步骤、审计策略以及审计方法进行了阐述。柳芳[5]从ERP系统安全性风险、业务流程风险和ERP系统管理风险入手,对ERP固有风险进行了分析并提出了相应的IT审计对策。李有华[6]将企业IT风险分为IT战略风险、IT项目风险、IT安全风险、IT服务风险、IT合规风险,并在此基础上对IT审计的内容、标准、范围、方法和制度进行了分析。
综观上述文献,大多数文献都基于传统信息系统,并从传统审计手段的角度出发对IT审计的框架、发展与实施进行研究。在大数据时代,财务共享服务模式成为大型集团企业的首要选择,其IT架构更多地运用到云计算技术,并需要大数据进行技术支撑。审计人员在财务共享服务模式下进行IT审计时将更多地运用大数据审计[7]手段进行IT审计,从数据的角度发现疑点,以减轻审计工作量,提高审计工作效率。有鉴于此,本文从大数据的角度对财务共享服务模式下IT审计的特点进行分析,梳理其数据流程,在此基础上构建IT审计框架模型,并对其实施流程进行阐述。
二、大数据时代基于财务共享服务模式的IT审计框架
(一)财务共享服务模式下IT审计的特征分析
一般认为IT内部控制包含组织层面的IT控制、一般控制和应用控制三个层面[6],审计人员通常以此为基础展开IT审计工作。财务共享服务模式下的IT审计需要充分结合财务共享IT架构特征,其IT审计范围如图1所示。同时,三个层面的IT审计在财务共享服务模式下也出现了有别于传统企业IT审计的特点。
1.组织层面的IT审计
组织层面的IT审计主要检查财务共享IT架构的设计是否合理,以及是否得到有效实施,其核心内容是管理层控制。集团企业建立财务共享服务模式的战略目标清晰,即降低财务核算成本,其IT战略规划应当以实现该目标为前提,并以此为基础进行IT部门与职能的设置。财务共享服务模式下组织层面IT审计应当对财务共享IT战略规划、IT部门与职能的设置是否符合财务共享战略目标进行检查,并对其实施的有效性进行审计。
2.一般控制层面的IT审计
一般控制层面的IT审计是为了确保IT系统运行的可持续性,能够为应用控制提供支撑,审计对象包含软硬件平台、网络等。财务共享服务模式下集团企业将财务核算业务集中,借助移动互联网、云计算等信息新技术实现了财务核算流程再造和数据的集中存储,其IT技术风险应当得到审计人员的重视。财务共享服务模式下一般控制层面的IT审计应当对数据安全、基础设施更新、访问安全和网络安全等主要风险点进行审计。
3.应用控制层面的IT审计
应用控制层面的IT审计主要检查业务系统层面所设计、执行的IT控制是否能够确保整个系统具有可信性,以及是否能够完成相关数据的产生、记录、传递、处理、分析和报告等功能。财务共享服务模式下集团公司、各分子公司的ERP、HR、OA等其他业务系统需要和财务共享中心实现数据对接与共享,为财务核算系统提供数据支撑,其间数据的产生、记录、传递、处理、分析和报告都是IT审计的关键风险点。财务共享服务模式下应用控制层面的IT审计应当对财务核算流程的设计与实施、业务系统与财务共享中心的数据对接、登录权限等内容进行重点关注。
(二)IT审计程序流程框架
COBIT(Control Objectives for Information and related Technology)即信息系统和技术控制目标,是一种用于“IT审计”的知识体系,由美国信息系统审计与控制协会(ISACA)于1996年首次提出并于2005年更新到COBIT 5.0。目前COBIT已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。由于COBIT 5.0具有普适性,因此财务共享服务模式下的IT审计可以此为基础构建IT审计流程框架。在大数据技术背景下基于财务共享服务模式的IT架构与传统IT架构有所区别,在构建IT审计流程框架时应当充分考虑到这一点。
财务共享服务模式下的IT审计流程框架包含IT审计指南和IT审计流程两部分。其中IT指南是参考COBIT 5.0得出的IT审计标准,在IT审计过程中起着指导作用,包含关键审计因素、流程能力模型、风险控制模型、IT技术可信评估和IT审计知识库等内容。IT审计流程则包含制定审计目标、风险评估、制定审计计划、设计审计程序、执行审计程序和出具审计报告六个流程,如图2所示。
(三)IT审计数据流程框架
在财务共享服务模式的IT审计中,审计大数据的产生、传递、处理和分析贯穿整个审计过程。为了充分利用大数据技术提高审计效率,审计机构可以历史数据、互联网数据等组成的大数据为基础构建审计数据中心,并建立IT审计知识库,帮助审计人员进行高效的IT审计。在审计过程中,审计人员可以通过IT审计知识库中的IT审计知识对审计对象的关键风险点进行重点关注,通过大数据审计方式对审计对象提供的相关大数据进行审计。待审计人员出具审计报告后,可将该审计项目的主要风险点、测试方式以及实质性程序等相关审计数据反馈到审计数据中心以完善IT审计知识库,形成IT审计的数据闭环,如图3所示。
三、大数据时代基于财务共享服务模式的IT审计流程
大数据时代基于财务共享服务模式的IT审计应当是一个包含审计大数据产生、传递、归集和使用的闭环系统,在审计过程中应当由IT审计指南对IT审计的计划、实施进行指导。
(一)制定审计目标
审计人员在进行财务共享服务模式下的IT审计时,应当充分考虑该模式下的特点,结合财务共享的IT战略规划,明确审计的时间、目标和范围。集团企业建立财务共享服务模式的战略目标为降低财务核算成本,为了实现该目标,其IT架构应当满足技术可信、内部控制有效、数据平台安全等基本要求,也是财务共享服务模式下IT审计的主要目标。在不同性质的IT审计中,审计人员可以按照实际的审计需求选择不同的侧重点来制定满足实际需要的审计目标。例如内部审计中,审计人员进行IT审计时更多地关心财务共享服务模式下的应用控制制度建设是否合理、是否得到有效实施;社会审计中,审计人员进行IT审计时则更加在意通过财务共享服务模式是否能够提供真实可靠的财务信息。
(二)风险评估
财务共享服务模式的IT架构相较于传统IT更多地使用了大数据、云计算等技术,因此财务共享服务模式下IT审计的审计风险与以往所有差别,例如审计人员在IT技术层面可能无法对IT技术风险有足够的了解,可以通过权威的第三方IT咨询机构获取该审计项目中财务共享下IT技术的评估报告,即IT审计指南中的IT技术可信评估。除了IT技术风险外,审计人员还应当充分考虑财务共享服务模式下独特的审计环境,结合财务共享服务模式下的业务流程再造,对财务共享中心内部控制制度建设情况进行评估,得出可能的其他审计风险以及风险发生的可能性,通过建立二维风险矩阵的方式对风险进行定性和定量的评估。
(三)制定审计计划
根据风险评估的结果,在考虑企业IT管理框架、人力资源配置等因素的基础上,审计人员应当充分结合财务共享服务模式下财务处理流程标准化程度高、业务量饱和以及财务核算成本低等特点,分别制定总体审计计划和具体审计计划,包括确定审计目的、审计范围、人力调配以及审计策略等内容。需要注意的是,财务共享服务模式下运用了大数据技术,传统审计手段很难进行有效的IT审计,应当在审计计划中明确使用大数据审计等审计手段。
(四)设计审计程序
财务共享服务模式下的IT审计程序包含IT管理层控制、IT一般控制和IT应用控制三部分。大数据技术在该步骤得到广泛运用,审计人员可以通过大数据爬虫获取互联网数据,从财务共享数据中心获取集团大数据,然后使用数据驱动测试、数据挖掘、数据多维分析等方法对大数据进行分析,实施审计程序。同时,审计人员也可以使用IT审计知识库比对其他财务共享IT审计项目,辅助确定IT审计中的主要风险点。
1.IT管理层控制
审计人员在进行IT管理层控制时可以结合COSO内部控制框架与财务共享实施情况设计调查问卷,向分子公司总经理、集团财务部员工、财务共享中心负责人等发放。然后可以根据问卷结果与财务共享负责人或IT管理层进行访谈,以评价集团企业在财务共享服务模式下IT管理层控制的有效性。
2.IT一般控制
审计人员在进行IT一般控制时可以采取问卷调查、访谈、穿行测试等方式,也可以直接通过第三方IT咨询机构获取企业IT技术评估报告,以确认该审计项目中财务共享服务模式数据安全、基础设施更新、访问安全和网络安全等主要风险处于可接受范围内,不需要整改。
3.IT应用控制
审计人员在进行IT应用控制时可能更多地会运用大数据审计的方法获取审计证据,例如对采集到的大数据进行清洗后通过SQL查询、大数据挖掘和多维分析等方法寻找审计疑点,或通过黑盒测试法进行数据驱动测试以发现IT系统运行中存在的问题。除了大数据审计的方法外,穿行测试与控制测试也能帮助审计人员找出应用控制设计与执行中存在的问题。
(五)执行审计程序
按照设计好的审计程序进行下一步工作,审计人员需要结合风险评估结果对财务共享服务模式三个层面进行控制测试,根据实际需求实施实质性程序,通过大数据审计、穿行测试等审计手段得出审计证据,并将从中得出的主要控制风险告之相关人员,记录测试和交流沟通的结果。
(六)形成审计意见,出具管理层建议
按照得到的审计证据,结合最初制定的审计目标得出最后的审计结果,并根据审计结果当中的所发现的问题向管理层出具审计意见和提供建议,在与管理层进行沟通后取得其对管理建议的相关回复。
出具审计结果后审计人员应当将相关数据反馈到IT审计知识库以形成新的IT审计知识,完成审计大数据闭环。
四、结语
财务共享服务模式的建设需要大数据、云计算等技术支撑,但同时也改变了其IT审计的审计环境。本文基于财务共享服务模式的特点构建了该模式下IT审计的审计流程框架并对其具体流程进行了分析,以期对财务共享服务模式下的IT审计提供理论指导,帮助集团企业降低或规避其财务共享服务模式下的IT风险。
【参考文献】
[1] 王德宇.财务共享服务与企业管理研究[J].山东社会科学,2015(5):160-163.
[2] 周常兰.IT风险控制整合框架的构建――风险控制四维整合框架的引入与扩展[J].经济体制改革,2014(2):102-106.
[3] 曹立明.论IT审计与会计信息化[J].中国注册会计师,2012(12):108-113.
[4] 覃宪姬,陈瑜,佟柱.信息系统审计的透视与思考――基于广州地铁审计案例的分析[J].中国内部审计,2014(8):62-69.
[5] 柳芳.基于ERP系统固有风险的IT审计对策[J].中国内部审计,2013(12):67-69.
[6] 李有华.企业IT审计方法研究及应用[J].中国内部审计,2013(10):63-65.
IS审计是指审计内容中包含了对自动化信息处理系统、相关手工流程及两者间接口进行全部或部分检查及评价的任何审计。IS审计与传统的财务审计、绩效审计一样,称为审计的一个重要分支,这三类审计的交集即为综合审计。业务流程对信息技术的依赖,使得传统的财务审计和运营审计必须理解IT控制结构,IS审计师也必须理解业务控制结构。综合审计关注风险。风险分析的目标是理解和识别由企业及其环境引起的风险和相关的内部控制。在这个阶段,IS审计师的职责是理解和识别信息管理、IS基础设施、Ⅱ治理和IS运营等领域的风险,其他专业审计师则要了解组织环境、业务风险和业务控制。详细审计工作关注已存在的管理这些风险的相关控制。IS审计通常是预防和检查性控制的第一道防线,综合审计则合理评估其效果和效率。实务界通常把IS审计当作一个专项审计对待,采用规范的项目管理方法和技术来实施。IS审计的通用流程一般为获取、评价、符合性测试和证明。
COBIT(信息及相关技术控制目标,Control Objectives forInformation andRelatedTechnology)提供了一个IT治理框架,以确保IS与业务保持一致,IS促使业务实现利益最大化,IT资源得到有效使用以及IS风险得到适当管理。COBIT框架通过域和流程控制来提供最佳实践,并采用易于管理的逻辑结构描述活动。COBIT最佳实践代表了专家意见。COBIT4.1把34个IT控制流程组合到四个控制域中:计划与组织(PO)、获取与实施(AI)、交付与支持(DS)、监督与评价(ME)。这34个控制流程又可进一步细分为310多个详细控制目标,这些详细的控制目标为应当实施何种具体的控制措施提供了参考。在“计划与组织(PO)”过程域的控制流程有13个,第一个是POl,即定义组织IT战略计划。以下为P01为例,详述IS审计流程的实现。
PO1的高级控制目标是控制Ⅱl过程――定义IT战略计划,以满足信息技术机会与IT业务需求的最佳平衡,同时确保其将来能实现。P01的控制目标均可通过以下四个流程来进行审计:
一、获取对业务需求有关的风险以及对相应控制措施的理解
IS审计师通过调研,将控制目标下的相关活动用文档记录下来,对组织声称已实施的控制措施与程序进行识别,并且确认其存在。与相关的管理者和员工进行会晤,以理解业务需求和相关的风险、组织结构、角色和职务、政策和程序、法律和法规、已有的控制措施和管理报告(状态、性能、行动项目)等。
在PO1中,IS审计师通常用文档记录与过程相关的IT资源,特别是那些被审计的IT过程所影响到的IT资源。确认理解了待审核的过程,过程的关键性能指标KPI、实际的控制情况。例如:(1)会见组织的CEO\COO\CFO\CIO\IT 策划、指导委员会成员。IT自身管理人员和人力资源部门的职员;(2)搜集与策划过程有关的政策与程序,执行管理层的指导角色与职责;组织目标、长期计划与短期计划;IT的目标、长期计划与短期计划,状态报告、策划、指导委员会会议累计用时等信息。
二、评价组织已有控制的适宜性
IS审计师通过考虑IT或业务政策和程序是否使用了结构化的计划编制方法,对组织采取的控制进行评价。这种方法用来明确的表达和修改计划,并且计划中最少要包含组织使命与目标、支持组织使命与目标的IT初始阶段、IT初始阶段的时机、对IT初始阶段的可行性研究、对IT初始阶段的风险评估、最佳的当前与将来的IT投资、对IT初始阶段进行再工程,以适应企业使命与目标的变化、对可选的数据应用,技术和组织战略的评价等。在PO1中具体的评价内容包括:(1)组织变革、技术进步、需求调整、业务流程重组,人员配置,内部的外包项目等在计划制定过程中是否得到了考虑和充分的表述。(2)IT项目是否有合适的文档支持,这些文档在IT计划编制方法中有规定;安排有检查点,以确保IT目标、长期和近期计划持续满足组织的目标、长期和近期计划。(3)过程所有者与资深管理层是否评审和签署IT计划。书面评审文件中是否存在IT计划评估现有信息系统,使用业务自动化程度、功能性、稳定性、复杂性、成本、优势和不足的术语。(4)组织是否存在信息系统和其支撑基础的长期计划的缺乏,导致不能支持企业目标和业务过程,或者无法保证合适的完整性、安全性和控制。
三、通过符合性测试,评估规定的控制是否一致地、持续地起作用
对组织符合规定的控制程序的程度进行分析,把实际的控制程序及补偿性控制缺失与规定的程序进行对比,并进行文档检查、会无相关人员,以判断控制是否被正确地、持续地实施。只对被证明有效的控制程序进行符合性测试。在POI中,IS审计师通过测试IT(策划)指导委员会会议的分钟数,以反映策划的过程;计划编制方法中的输出是存在的,并且符合规定;IT长期和近期计划包含相应的IT始阶段(即硬件计划、容量计划、信息体系结构、新系统开发和采购,灾难恢复计划,新的处理平台的安装等);IT初始阶段支持长期和近期计划,并考虑了研究、培训、人员、配备、硬件和软件的要求;已经识别到IT初始阶段的技术含量;考虑到了优化目前与未来的IT投资;IT的长期和短期计划与组织的长期和近期计划。组织需求一致;计划得到了修订以反应条件的变化;IT长期计划定期被转化为短期计划;存在执行计划的任务,得到所选项目和阶段的直接或间接的证据,使用直接或间接的证据,来保证待审核的项目和阶段一直遵守相关控制程序的要求。对过程或结果的充分性进行有限的审核。
四、证明未满足控制目标的风险确实存在
通过分析技术和可选的信息资产进行实质性测试,证实控制目标没有被实现时所带来的风险。该阶段实质性测试的目标是支持其审计判断,并敦促管理者采取行动。IS审计师要创造性地寻找和提出通常是敏感的机密的信息,用文档记录下控制弱点及其引起的威胁和漏洞,识别并记录实际的影响和潜在的影响,例如利用因果分析的方法,提供比较信息,例如,通过基准比较的方法来完成具体的实质性测试目标。在POI中,ls审计师通常通过执行和识别两个步骤来实现。(1)执行。执行战略IT计划的基准测试,参照类似的组织作为国际标准、已被认可的工业最佳实践。对IT计划的详细评审,以确保IT初始阶段反映了组织的使命与目标。对IT计划的详细评审,已决定组织已知的薄弱环节,是否已被计划中的解决方案作为一部分进行改进。(2)识别。识别组织IS中不满足组织使命和目标之处,IS中短期计划与长期计划不一致之处,不符合近期计划的IS项目,IS项目中不符合成本和时间指导方针之处,错失的商业机会以及错失的IT机会等。
综上所述,IS审计师通过获取、评价、符合性测试和实质性测试四个流程阶段,对组织的IT战略规划过程做出评估,并据此提出管理建议,以确保IT作为组织长期计划与短期计划的一部分,并从根本上始终保持与企业业务战略的高度一致性。
参考文献:
一、IT环境下,审计理论基础的特点
(一)多元网络性
作为审计理论的根基,审计理论基础在IT环境下得到了不断的增强和加固。信息技术学、信息经济学、信息博弈论以及与审计相关的其他学科领域共同组成了一个动态的、多元性的审计理论基础网络组织。而构成审计理论基础的各个学科的具体内容则是这张网上的各个结点。审计理论基础的不断扩张、膨胀,意味着审计理论获得了更充足的理论养分,得到了更充分、更完善的发展。
(二)动态性
随着时代的变迁、客观条件的变化、社会经济环境的完善,审计理论基础也在不断的发展完善,在充分汲取新的学科理论养分的同时,也掘弃了一部分不适合于IT环境下的陈乏的、过时的理论。并且,审计理论基础的发展变化决定着审计理论的发展方向、趋势,同时审计理论的不断发展、完善,也进一步加强和巩固了审计理论基础,二者的关系是辨证统一的。
(三)质量性
IT环境下,质量非常重要,可以毫不夸张地说,质量是IT的生命。审计理论基础作为审计理论的根基,其质量性尤为重要。其质量性主要表现在:稳定性、安全性、品质性。尽管是审计理论基础在审计理论发展的历史长河中呈现出动态、发展性,但是,就某一时间段、期间而言,审计理论基础还是具有相对稳定性的。另外,作为根基、支撑点,其安全性、品质性也是非常重要的,不安全的、缺乏品质性的根基不具备支撑审计理论大厦的能力。
(四)交互渗透性
审计理论基础的内涵非常广泛,几乎涉及各个学科、领域,而这些学科、领域的理论并非简单的叠加构成审计理论基础,它们是按照一定的秩序、规则进行有效的组合而形成的有机整体。在IT环境下,社会生活的空间相对缩小,各学科间的渗透也日益频繁、紧密,它们通过移植、借用、感染三种方式共同组成一个有序的、交互渗透的、相互关联的动态网络,服务于审计理论。
(五)虚拟性
审计理论基础,并不象有型的建筑物建造时挖地基所形成的有型的根基,它是从多个相互关联的学科中抽象出来的、客观存在的无形的根基。在IT环境下,这一特性更加明显,虚拟的审计理论基础具有抽象性、概括性、逻辑性三个特性。
二、IT环境下审计理论基础的认定标准
审计理论基础的认定,一直都是一个比较困难的问题,尤其是IT环境下,高科技信息技术充分应用于审计领域,加速了审计理论基础的更新换代,使得审计理论基础从广度和深度上均有了较大的扩张,笔者认为,IT环境下,审计理论基础的认定标准为:
(一)作为审计理论基础,必须为审计理论的发展服务
审计理论基础与审计理论之间的关系是辨证统一的关系。即审计理论基础为审计理论服务,审计理论基础决定着审计理论发展的方向、趋势,审计理论基础的每一次变革都会引起审计理论发生相应的变化。反过来,当审计理论的发展适合于审计理论基础的客观要求时,则加强和巩固审计理论基础,反之则削弱审计理论基础。因此,判断某一理论、学科是否是审计理论基础,首先要看它是否为审计理论的发展服务,是否与审计理论呈辨证统一的关系。
(二)作为审计理论基础,必须与审计环境互动性
审计环境是审计理论乃至审计理论基础发生变迁的外在动因。在IT环境下,IT应用于审计理论中即审计电算化或网络审计。IT一方面刺激了审计理论基础的变革,将先进的IT理论植根于审计理论基础,将先进的IT技术应用于审计测试工作中,加速了审计理论的发展;另一方面,审计理论基础发生了变化,也会在一定程序上刺激审计环境进一步完善,使得审计理论基础更好的为审计理论服务。二者的关系呈互动性。
(三)作为审计理论基础,它必须是沟通审计理论与其他相关学科的桥梁
审计理论基础为审计理论与其他学科理论提供了一个公共区域,在此领域内,各学科理论知识相互交叉、渗透、融合,共同为审计理论服务。因而审计理论基础是审计理论科学体系的研究内容,但它本身并不是审计理论,它是连接审计理论与其他学科体系的桥梁与纽带,是审计理论与其他学科的交叉渗透区。
三、IT环境下,审计理论基础的具体内容
(一)信息技术理论
信息技术理论是IT理论的核心,其在审计理论中具体应用,也是审计电算化充分发展的标志之一。当代信息技术理论包括:网络技术理论,信息技术理论,数据挖掘理论、系统集成理论、多媒体理论技术、人工智能技术等等。这些理论、技术在审计中的应用,大大提高了审计测试效率、审计监督质量,为审计理论的发展提供了前所未有的机遇,使得审计理论基础从深度和广度上得到不断地扩张。
(二)经济学理论
经济学理论是审计理论基础的重要组成部分,它可以开阔我们的视野,转变我们的思维方式,为我们提供可供选择的理论依据和方法。它将一些西方经济学思想、观点引入审计理论中,从经济学视角分析审计理论的发展,寻求提高审计工作效率的途径,革新审计测试手段的策略,如:西方制度经济学、产权经济学、交易费用学说、信息博弈论等等,都大大地加深了审计理论知识,丰富了审计理论基础的营养,使我们从更深层次的角度探求审计理论的内涵、外延,深化了审计理论知识,为审计人员提高审计工作效率、降低审计交易费用、进行理性审计提供了新的思路。
(三)司法诉讼学
司法诉讼学与审计理论相结合是现代审计理论的发展趋势。一方面,审计证据的获得需要审计人员运用大量的司法刑侦手段、方法去检查、判断、排除伪证,以取得真实可靠的审计证据;另一方面,面对审计诉讼爆炸的时代,审计人员如何进行合法审计、避免审计诉讼,也是他们面临的现实问题。因此,将司法诉讼学注入审计理论基础,可以提高审计人员守法、学法意识,在法律允许的范围内开展有效的审计,同时掌握各国间法律的差异,审计豁免的范围、程度,为开展跨国审计作好准备。
(四)管理心理学
管理心理学又称行为管理学,是研究人的行为心理活动规律的科学,它是用管理学、行为学、社会学、生理学、伦理学、人类学等学科的原理,以研究人的心理行为和人际关系、人的积极性为对象的一门综合性科学。它主要研究人的行为激励问题,探索人的心理活动,提高激励人的心理和行为的各种途径和技巧,以达到最大限度提高工作效率为目的。它作为审计理论基础,对于开发审计人员思维、激发审计人员开展有效审计的积极性,提高审计工作效率有很大的意义。管理心理学作为审计理论基础,既 满足了管理审计的客观要求,也为审计人员进行有效审计提供了理论依据和方法。
(五)会计、统计理论
会计理论是企业提供财务报告的基础,也是审计人员查错防弊所必备的基本知识,它与审计学理论有着很深的血缘关系。审计人员接受被审单位委托后,必须大量的分析和评价财务信息和非财务信息,检查被审单位会计报告的真实性,而所有这一些必须是在一定的财务理论和会计理论的指导下进行。统计理论成为审计理论基础,可以将有关经济计量模型应用于具体审计实践中,对审计结果、审计证据进行线性回归分析,测试各变量间的拟合度,大大地提高了审计测试手段的先进性和审计结论的准确性。同时,通过将一些审计问题定量化,也有助于审计人员作出准确的决策判断,并相应的化解日益复杂的审计风险。
公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量,也包括系统对契约的监督以及对外部投资者的保护能力等。例如,在逆向选择的框架下,我们可以看到:一个更好的标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称,从而便利了融资,降低了风险。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而IT技术在实时披露、实现透明度原则和体现监控力度上正日益成为有效的工具。2002年美国颁布的《萨班斯法案》对公众公司提出了更高的要求,法案的409条款要求上市公司必须向投资者实时披露必要的信息,包括图片、表格等信息,302、404条款要求公司应定期评价其信息系统及其内部控制的充分性来保证提供给投资者信息的准确和完整,强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任。因此,IT治理,加强IT控制,降低风险,有效地实现公司治理,成为全球关注的问题。
公司治理是建立组织各利益相关者之间的相互制衡机制,管理风险,有效实现组织目标的一系列过程及制度。内部控制制度是实现善治的制度安排之一。IT治理是实现公司治理的工具。IT治理不等于治理IT技术,它是一个信息背景下的制度安排,包括内部控制、审计以及公司信息的披露等。IT内控是内控的一个组成部分,信息时代,企业管理信息化水平日益提高,信息资产成为企业的核心价值资产,IT在给企业带来竞争力的同时,也带来了极大的风险。因此利用IT技术加强内部控制,并对信息系统自身加强管理控制,成为公司治理及IT治理必不可少的组成部分。IT内控是强化风险管理,完善信息时代公司治理的必要手段。IT治理、内部控制、审计、风险管理体系等都是促进公司治理的有效工具。
SOX法案的出台,对企业的公司治理、IT治理及IT内控提出了更严格的要求。
一、SOX法案的要求:
1.对公司治理的要求:
(1)要求上市公司必须建立审计委员会,并对审计委员会的人员组成做出了规定,保证审计委员会的独立性,同时赋予审计委员会更多的责任:《萨班斯-奥克斯莱法》,及其紧接着全美证券交易商协会和纽约证券交易所于2003年11月又的新的公司治理最终规则详细地界定了审计委员会的职责, 具体来说应包括:1)每年获取并审查独立董事提交的报告。2)与管理当局、独立审计师一起讨论经审计的公司年度财务报表和季度财务报表,包括公司在“管理当局对财务状况和经营结果的讨论和”项目中进行公告的财务事项。3)讨论公司收入公告及向分析师和评估机构的财务信息、收益指南。4)讨论风险评价、风险管理政策。5)分别与管理当局、内部审计师(或其他负责内部审计机构的人员)和独立审计师定期会面。6)与独立审计师讨论所有的审计难题以及管理当局的反应。7)制定清晰的关于聘用现任或前任独立审计师的政策。8)定期向董事会报告
(2)增加高管人员及董事会的责任:CEOs and CFOs必须保证财务报告真实,要求发行人的CEO和CFO保证定期报告没有对重大事件的不真实表述,也没有遗漏必须披露的重大事件,并保证财务报告在所有重大方面都公允反映了发行人的财务状况和经营成果。在此基础上,法案单独规定了对管理人员证明财务报告时失职的刑事处罚。CEO和CFO如果知道定期报告不符合上述要求但仍然做出保证的,将判处不超过100万美元的罚款,或是不超过10年的监禁,或是二者同罚;如果是蓄意做出书面保证的,将判处不超过500万的罚款,或是不超过20年的监禁,或是二者同罚。
2.萨班斯法案对内控的要求:
(1)法案302要求:公司管理层设计所需的内部控制,并保证首席官员能知道该公司及其合并报表子公司的所有重大信息,尤其是报告期内的重大信息;评价公司的内部控制在签署报告前90天内的有效性;在该定期报告中他们上述评价的结论。
(2)法案404节要求:编制的年度报告中包括内部控制报告,包括:强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价
3.萨班斯对审计师的要求:增加了审计师对信息系统的审计,要求审计师必须了解业务如何穿过系统,而不是绕过系统。审计师必须了解业务流程,评价IT 控制与一般控制的设计及效果。评价 IT 控制设计效果,确定这些控制设计是否适当地实现相关目标。实施IT控制执行效果测试。
二、对上市电信运营商的挑战
萨班斯法案对高管严格的法律处罚令其中许多公司的最高管理层都如坐针毡、夜不能寐。美国有多达5000家大中型公众公司在2004年11月15日后结束的财政年度中紧张异常,这而对于公司治理尚不完善的电信企业领导来说,更是意味着要承担重大国际法律责任的风险。公司治理决定企业的兴衰,企业的兴衰决定国家的兴衰,因此公司治理建设不能出现任何重大失误。
我国电信企业在公司治理制度在股份制改造过程逐步,中国网通借美国上市契机建立了新型的公司治理结构,董事长与CEO分离,在董事会下设4个委员会:审计委员会、战略规划委员会、公司治理委员会和薪酬委员会。2005年3月7日,在京召开的中国电信集团实业工作会议明确:经过3年左右的时间,逐步规范法人治理结构。由于我们的企业处于转型的特定时期,公司治理水平与日、美等发达国家有一定的差距。信息产业部电信研究院公布的《中国电信业国际竞争力发展报告(2004年)》显示,我国电信业国际竞争力在全世界主要国家和地区中(共33个国家和地区)排名第14位,然而细细看来,却发现了很多隐忧。报告将国际竞争力解析为3大竞争力:环境竞争力、市场竞争力和企业竞争力,其中企业竞争力排名27,企业竞争力指数包括“技术创新”、“生产率”和“公司治理结构”,排名分别为18、28和21.不难看出,目前我国电信企业的公司治理水平。要成为电信强国,环境竞争力、市场竞争力和企业竞争力三者缺一不可,因此,我国目前距离电信强国还有较大差距。从分析要素来看,法律和制度框架、政府效率,以及企业技术创新、公司治理结构等 “软件”能力偏弱,单条腿走路。我国几大运营商中虽然已经有中国移动和中国电信进入了财富500强,虽然几大运营商均已上市实现了公司化治理,但由于脱胎于老的国有企业,因此公司管理能力和治理结构仍有待提高。因此,提高企业竞争力,就应该从改善公司治理结构做起。
三、运用信息化手段,完善公司治理
1.完善公司治理机制。我国电信运营商需要健全公司内部治理的规则和程序、建立公司的合法守规管理、完善约束与激励机制、加强公司的内部控制体系以及建立公司的风险管理与控制机制。虽然在现有的公司治理结构中,有些公司也有审计委员会、独立董事等监督机制,但这些人员的任职资格、发挥作用的程度、以及职责定位等都需要进一步改进。
2、利用信息技术,完善公司治理的监控体系。公司治理是一种对公司管理和运营进行监督和控制的体系。其核心是在所有权和经营权分离的条件下,解决好所有者和经营者的利益不一致而产生的委托-关系。由于委托人(所有者)和人(经营者)是不同的利益主体,委托人(所有者)与人(经营者)相比处于信息劣势的情况下,必然有成本或激励问题的产生。为完善公司治理,必须重视委托与之间的信息不对称问题,通过对公司重要信息有效的传递、鉴别和处理,使成本最小化,提高企业的经营绩效。萨班斯法案强化公司治理要求的目的也是提高上市公司透明度,提高公布信息的质量,加强信息披露,从而保护投资者的利益。
在市场中,信息交换是否充分,是否对称,直接关系到市场经济是否公平、是否有效。为了保证信息公平、公开,人们设立了一系列内外部机制。独立董事担任的审计委员会,公司聘请的会计师事务所都层层对公司财务信息的真实性、准确性、及时性进行审核、这些约束与激励机制的有效性取决于公司信息真实与准确性和处理与传递效率的问题。在这点上,IT技术正成为日益有效的工具。
萨班斯302、404、以及409等条款对公司的要求,使得IT在公司治理机制中的作用日益凸现。由于信息技术不以人们的意志为转移地在各类组织中的普遍,IT在各类组织中的多层次、横纵向嵌入,正在改变着组织的业务流程,进而改变组织的结构、组织的管理及公司治理;特别是电信对IT的依赖性非常大,没有相应IT治理机制的公司治理,使无法满足萨班斯的严格要求的。由于IT治理已成为完善公司治理的重要手段,成为实现 IT与业务的匹配管理、IT价值贡献管理、IT风险管理、IT绩效管理等的重要保证,花旗银行等美国大企业已经引进或正在引进IT治理机制。
国资委连续举办的旨在推动企业建立全面风险管理系统,进一步完善公司治理机制的企业全面风险管理培训上,也提到在公司董事会层面建立IT治理委员会,建立IT治理机制,完善信息的公司治理,促进现有公司治理制度安排的有效执行。但由于信息技术在治理方面所具有的复杂性,完善IT治理机制,构建符合萨班斯要求、适应时代的公司治理机制任重道远。
构建IT内控系统的思路
(1)不能因耗时且成本高昂就摒弃原有的IT控制而另搞一套。SEC管制条款复杂,为了满足萨班斯法案的要求,大多数企业需要调整其员工观念和企业文化,通常也需要对IT系统和其处理流程作一些改进,改进的内容包括其控制设计、控制文件、控制文件的保留,以及IT控制的评估等方面。这是一个循序渐进的过程,不能将原有的一切推倒重来。
(2)要选择好内控框架。法案并没有规定公司必须选择什么样的内控框架, 需要企业自己抉择。国际上比较有名的内控模式有英国的Cadbury、美国的COSO 和加拿大的COCO , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列的趋于一致的政策和建议。第2号审计标准依据COSO制定的内部控制框架制订,在“管理层用于开展其评估的框架”一节中,明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架,来评估公司财务报告内部控制的有效性。SEC对该标准的认同等于从另外一个侧面承认COSO框架。COSO 认为内控是由企业董事会、经理层和其他员工实施的, 为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成提供合理保证的过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统, 我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。
但是很明显,SEC所推荐的COSO控制框架有助于遵循萨班斯法案,虽然它针对的是内部控制,但没有对IT控制目标和相关控制活动提出具体的要求与限制。由于COSO框架缺少对IT内部控制的内容,所以单独以COSO为构建IT内部控制的框架显然是不合适的。COBIT为管理IT风险与IT控制提供了一个综合性的框架,是另外一个被国际认可的业内标准,由4大部分、34个IT处理流程、318个详细控制目标组成。COBIT也涉及企业经营、萨班斯法案遵循等方面的控制。但在萨班斯法案要求下,我们只考虑应用COBIT中与财务报告相关的控制。
因此Cobit与COSO结合作为构建IT内部控制框架,将是两种国际标准优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时,也可以BS15000以及ISO17799等一些国际标准,这些标准都是IT运营、安全方面可审计的一套标准管理控制体系。
(3)要建立一套自评估机制,确保内部控制系统的持续有效
从来看, 企业的发展阶段和管理状况,以及外部环境的变化都是决定企业内控系统建立和运行有效的前提。任何内部控制系统都只是在一个特定的历史阶段有效,管理层对内部控制有效性的声明,要求公司必须建立一套自我评价机制,评价内部控制系统设计、执行是否有效,以支持管理层的声明。同时自我评估机制也可以帮助公司发现控制弱的区域,以及控制漏洞,及时审势度势,弥补内控系统的缺陷,确保内部控制系统持续有效。这也是萨班斯法案所要求的。
控制自我评估(CSA)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的。国际内部审计师协会(IIA)在1996年的报告中了CSA的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理,高层经营理念与管理风格,职业道德,诚实品质,胜任能力,风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,CSA得到了普遍的信赖。
图1 自评估流程(略)
如图1所示,自评人员首先选择要评审的内控流程, 然后对其设计的健全性进行评价, 如果健全, 则测试其运行的有效性, 最后综合设计测试和运行测试, 评价内控系统的健全性和有效性。如果设计测试结果为不健全, 则直接进行内控系统的评价, 而不再进行运行的有效性测试。
内控系统设计测试是指为了确定被审计单位内控政策和程序设计是否合理、恰当和完善进行的测试。健全的标准即设计合理、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指, 为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。
为了帮助评估控制设计,图2(略)提供了一个IT控制设计与运行有效性模型,它将依赖于企业所达到的状态、阶段,我们认为有必要花时间来改进控制程序的设计和有效性。
图2显示了企业中存在的控制可靠性的各种等级。就建立内部控制目标而言,一些企业可能愿意接受等级不高于3的IT内部控制。然而,考虑到萨班斯法案要求的“外部审计师应就控制出具独立的证据”这一要求,对一些关键性的控制活动,控制的可靠性则不能低于3等级。
控制运行的有效性评估。一旦控制设计的评估结果认为内部控制设计适当,就需要对其和以后的运行是否有效予以测试,而该测试由控制负责人及内部控制程序管理团队来进行。
一般而言,有些控制(如一般控制)程序是其他控制程序(如应用控制)的基础,企业组织对这些控制的测试范围应更广、频率更高。判断测试范围是否恰当时,组织应该考虑IT控制是如何财务信息披露与报告过程的。
一些企业利用外部服务机构所提供的外包服务,这也应该视为企业整个经营职责的一部分,在整个IT内部控制程序中应予以考虑。
[关键词] IT;风险管理;责任主体;合规
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 06. 022
[中图分类号] F272.35 [文献标识码] A [文章编号] 1673 - 0194(2012)06- 0045- 03
1 问题的提出
信息技术迅猛发展和深入应用使得企业的日常运营越来越依赖于IT系统,企业信息化的规划、实施、运行维护等各阶段都存在着各种风险,IT相关风险正成为管理层、监管部门重点关注的对象,IT内部控制与风险管理也逐渐成为企业内部控制与风险管理的重要组成部分。对于当前我国企业而言,谁应该成为IT风险管理的责任主体,董事会、IT战略委员会、IT监管部门、内部审计部门、外部审计、风险管理部门、IT日常管理部门等在IT风险管理中各承担哪些责任,我国企业在当前IT风险管理相关部门设置情况如何,为了弄清上述我国企业IT及其风险管理的责任主体的相关问题,笔者在理论分析和问卷调查的基础上,整理了相关的调查数据,统计并分析了我国企业在责任主体设置方面的分布特征。
2 IT风险管理责任主体的最新理论框架
与IT风险管理责任主体研究有关的最新的综合性理论框架为国际信息系统审计与控制协会(ISACA)于2009年12月颁布的IT风险管理框架。ISACA在IT风险管理框架中,定义了IT相关风险管理的一系列主体,并指出了各主体应在某一方面或某几个方面负责或承担责任。就某一特定方面而言,只有一个主体为负责部门,其他主体或承担部分责任,或没有责任。当然,该框架也说明由于每个企业的组织机构与职能部门设置情况并不完全相同,作为理论框架,只是提供原则性的指导,没有必要与某一具体企业的组织机构与职能部门完全一致,因此,在该框架中,对每个责任主体的定义只是进行了简洁描述。IT风险管理框架下的IT风险管理责任主体及承担的责任如表1所示。
资料来源:ISACA,Risk IT Framework,USA,2009.12.
3 我国企业IT风险管理相关的主要责任部门及责任探讨
如上述框架所述,不同企业的组织机构与职能部门设置情况并不完全相同,就我国而言,近年来,各方面的监管层出台了大量的规范,如《企业内部控制基本规范》、《中央企业全面风险管理指引》、《信息技术服务运维通用要求》、《商业银行信息科技风险管理指引》、《证券公司信息技术管理规范》等等,都对IT的相关风险做出了明确的规定及要求,企业已经进入了“合规年代”。当前我国企业的IT风险管理的责任部门主要包括:IT战略委员会、IT监管部门、IT日常管理部门、内部审计部门和风险管理部门。
其中,IT战略委员会应由企业的最高管理层及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成,定期召开会议,就企业的企业战略与IT战略的驱动与设置等议题进行讨论并做出决策,为企业IT及其风险管理提供导向与支持。IT监管部门分为企业外部和企业内部。
企业外部监管部门主要包括工业与信息化部、财政部、审计署、证监会、银监会等政府机构,从各自负责的领域对企业信息技术的相关方面提出监管标准和要求。企业内部的IT监管部门主要负责公司信息技术方面的评价、监督以及合规方面的检查。
“建立有效、健全的信息系统内部控制制度”这一责任的主要承担部门是IT日常管理部门。外部审计员对董事会负责的,协助董事会的专业委员会来确认和分析技术风险的程度,包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统。
内部审计员协助董事会的专业委员会执行IT实务和系统的控制检查,并向委员会推荐合适的改进措施用于参考和实施。IT风险是企业风险管理体系至关重要的组成部分,与企业其他风险管理程序类似,需要运用企业风险管理的相关原则与方法,结合IT活动的特点,执行风险管理程序。
风险管理部门需要指导并参与IT相关风险管理,即识别风险、分析风险、制订IT风险工作计划、跟踪风险、应对风险,并借助于定期、不定期的检查风险防范措施的落实情况,通报检查结果,将风险管理过程纳入到日常管理中。
4 对我国企业IT风险管理相关责任部门设置的现状调查与分析
笔者于2010年7月-2010年9月进行了多次调查,调查形式分为现场纸质问卷以及远程网络问卷,其中,在2010年用友技术大会、2010年国资企业IT能力建设高峰论坛、2010年中国信息安全年会上共发放现场纸质问卷165份,回收114份,有效问卷数为97份,现场纸质问卷的有效回收率为58.79%,在线发送远程网络问卷调查邀请60次,在线回收数据14份,剔除不完整问卷2份,有效问卷数为12份,远程网络问卷的有效回收率为20%,最终用于数据分析的有效样本数为109份。
4.1 样本企业IT风险管理责任部门设置的总体情况
如表2所示,从企业来看,IT日常管理部门的设置最为普遍,有97%的企业设置了IT日常管理部门;内部审计部门设置情况较好,有82%的企业设置了内部审计部门;风险管理部门的设置情况一般,有不到七成的企业具有风险管理部门;IT战略委员会的设置情况最差,仅有不到六成的企业具有IT战略委员会。这一结果表明:我国部分企业还没有把IT纳入战略层面考虑的范畴,还停留在操作层面的IT日常管理工作上,作为传统的内部控制监督与检查部门,内部审计部门已成为绝大多数企业的常设机构,一半多的企业具有了较强的风险管理意识并将风险管理部门作为常设机构。
4.2 不同类别企业IT风险管理相关部门设置的情况
笔者按照不同经济成分企业、不同规模企业、不同上市状况企业进行了分组统计和比较,结果如表3所示。
表4表明,总体上看,三资企业类的企业IT风险管理相关部门设置情况最好,比重均为第一。其次为中央国有企业,民营企业与集体企业部门设置情况较差。具体来看,除了个别民营企业外,样本企业均有IT日常管理部门。地方国有企业最不重视IT战略委员会的职能,民营企业最不重视内部审计部门、风险管理部门的设置。无论是企业还是子公司,规模大的企业IT风险管理相关部门设置比例明显高于中小规模的企业。总体上看,无论是企业还是子公司,有香港或海外上市公司的企业IT风险管理相关部门设置比例都是最高的,除IT监管部门外,仅有大陆上市公司的企业IT风险管理相关部门设置比例第二,无上市公司的企业设置比例最低。
4.3 被调查者对企业高层应讨论IT哪些风险的看法
为了了解被调查者对企业高层应讨论IT哪些风险的看法,笔者在问卷中设计了一道多项选择题“IT的哪类风险应由企业高层会议讨论”,列出了IT投资风险、系统建设风险、系统运行维护风险三类风险,以及“都不是”与“不确定”两个选项。调查结果如表4所示。
结果表明,选择“都不是”的仅有15%,选择“不确定”的仅有8%,两者相加的比重为23%,即有将近八成的被调查者认为高层应讨论IT相关风险,这一结果说明绝大多数被调查者均认识到IT相关风险不仅是公司操作层、战术层应关注的,还应上升到战略层进行讨论。在三类风险中,被调查者认为高层应讨论IT系统建设风险的比重最大(为40%),认为应讨论IT投资风险的接近40%,说明投资风险与系统建设风险是应上升到战略层考虑的风险,而系统运行维护风险往往是战术层或操作层考虑的风险。
5 结论与建议
当前我国企业的IT风险管理的主要责任部门包括:IT战略委员会、IT监管部门、IT日常管理部门、内部审计部门和风险管理部门。我国企业IT日常管理部门的设置最为普遍,但当前我国部分企业还没有把IT纳入战略层面考虑的范畴,还停留在操作层面的IT日常管理工作上,作为传统的内部控制监督与检查部门,内部审计部门已成为绝大多数企业的常设机构。从规模特性来看,特大型企业IT风险管理相关部门设置比例明显高于非特大型的企业。从上市情况来看,有香港或海外上市公司的企业IT风险管理相关部门设置比例都是最高。被调查者认为投资风险与系统建设风险是应上升到战略层考虑的风险,而系统运行维护风险往往是战术层或操作层考虑的风险。
由此,笔者提出如下建议:
(1)要建立健全IT风险管理的组织机构,其中的重点是建立IT战略委员会,发挥IT战略委员会在战略层面IT风险管理中的作用。此外,还应重视建立风险管理部门,把全面风险管理作为专业职能部门的职责,在指导全部关键资产的风险治理机制方面发挥指导作用。
(2)做好相关人员的培训工作,风险管理意识方面,要加强对相关人员风险意识的培养,树立IT投资的成本效益观念。提高各部门负责人的战略风险意识。知识能力方面,要加强企业内部的复合型人才培养和队伍建设工作,企业自身才是IT风险管理的主体,应该注意培养自己的人才队伍,学习如何识别、收集、评估、主动控制IT风险方面的系统化知识和专业化的方法。
主要参考文献
【关键词】COBIT;会计信息系统;内部控制
一 、COBIT简介与浅析
COBIT(Control Objectives for Information and related Technology,信息及相关技术控制目标)是目前国际公认的最先进、最权威的安全和信息技术管理和控制的标准。普华永道的《2006年全球信息安全状况报告》中统计,全世界63%的公司采用了COBIT控制框架标准,这一比率是IT控制框架采用率最高的。COBIT是由信息系统审计和控制协会(Information System Audit and Control Association,ISACA)( isaca. org)下属的IT治理研究院(ITGI,Information Technology Governance Institute)(itgi.org)开发和的,旨在为IT 的治理、安全和控制提供一个普遍适用的公认的标准,以辅助企业管理层进行IT治理。自COBIT 问世以来,先后经历了1998年、2000年和2006年的修改补充,2007年5月,ITGI了COBIT 4.1,它从IT治理的角度,从更高的层面上来指导管理层进行IT控制和信息系统管理。由于一方面全球信息化的加剧和我国信息化的发展,另一方面COBIT对信息系统控制与审计又有着很好的指导作用,所以当前介绍和引进COBIT对于推动我国信息化的健康发展有重要的意义。
COBIT 4.1主要是由4部分组成:框架、控制目标、管理指南和成熟度模型。其相互关系如图1所示。
COBIT是由相互关联的各组成部分有机结合在一起的,能够为不同的顾客群提供有关治理、管理、控制和保证方面的需要。下面对其组成部分逐一介绍分析。
1. 框架(Framework)
COBIT将IT过程、IT资源、与业务要求相适应的IT目标结合起来,形成一个三维的体系结构,如图2所示。与业务要求相适应的COBIT的IT总体控制目标具体是有效性(Effectiveness)、高效性(Efficiency)、机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、符合性(Compliance)、可靠性(Reliability);IT资源主要包括应用系统(Applications)、信息(Information)、基础设施(Infrastructure)和人(People);IT过程则是在与业务要求相适应的COBIT的IT总体控制目标的导向下,对信息及相关资源进行规划和处理,从信息技术的计划与组织、获取与实施、交付与支持、监控与评价等4个方面确定了34个信息技术处理过程。实际上, COBIT的IT控制目标的实现就是在IT过程中管理IT资源来完成的。图3详细地描述了完整的COBIT框架,显示了COBIT的处理模式是如何根据业务和治理要求来管理IT资源并使之给业务传递信息的,该模式由4个领域构成,包括34个一般过程。
2. 控制目标(Control Objectives)
从领域、过程和活动3个层面对总体目标进行分解,通过对特定的活动实施控制,以实现预定的系统目标。为有效地进行IT治理,在COBIT框架内部通常将需要进行管理的活动和风险分为4个领域,即计划与组织(Planning and Arrangement)、获取与实施(Acquisition and Implementation)、交付与支持(Delivery and Support)和监测与评价(Monitoring and Evaluation),领域目标按34个过程进行细分,根据每一个信息技术过程所涉及的系统资源,确定出相应的控制目标;针对每一个信息技术处理过程进一步细分为若干任务,确定出210个具体的控制目标。针对这些具体的控制目标,COBIT提供了详细的系统管理策略,包括具体要采取的措施以及要考虑的问题等。这3个层次的控制目标体系使系统管理目标更清楚、更明确,更有操作性。COBIT覆盖了整个信息系统的全部生命周期,涵盖了战略、战术与操作的所有层次,处于各个阶段的信息系统都可以参照使用,它所带来的益处是十分明显的,它使IT战略与组织战略紧密联系,在业务目标、信息系统、业务绩效目标之间维持平衡。
3. 管理指南(Management Guidelines)
管理指南是控制目标在企业的具体应用准则,以进行自我评价与选择,进而实施并完善对信息及相关技术的控制,其目的是对IT业务活动进行有效控制,使IT与业务活动保持高度一致,并通过传递组织所需要的信息使业务活动得以进行。管理指南给出了度量信息系统生命周期各个IT控制过程的安全、可靠与有效的指标体系。
4. 成熟度模型(Maturity Models)
对IT过程进行管理和控制的成熟度模型是评价组织的一种方法。它划定6个成熟等级,如图4所示。每一个成熟度等级都规定相应特征,企业可以结合自身的特点,界定出本企业的当前状态。该方法来自于软件工程研究所(Software Engineering Institute,SEI)为软件开发能力所定义的成熟度模型,但COBIT只是借助于能力成熟度模型(CMM)的形式来为其IT管理过程的性质界定出成熟度等级。在COBIT 4.1中,34个IT治理过程都规定了自己的具体模型。
二、IT环境下,加强会计信息系统内部控制的必要性
1. 会计信息系统的演进
会计信息系统的产生和发展是社会经济、技术发展的必然产物。从会计数据处理工具与处理模式来看,会计信息系统的发展可分为3个阶段:一是手工会计信息系统阶段,二是机械会计信息系统阶段,三是计算机会计信息系统阶段。杨周南教授认为计算机会计信息系统阶段又可分为3个阶段:一是电子数据处理阶段,二是综合数据处理阶段,三是决策支持与专家系统阶段。
2. 会计信息系统的定义和特征
会计信息系统(Accounting Information System,AIS)是一种面向价值信息和基于会计管理活动的系统,是在计算机软件和网络环境下,采用现代信息处理技术的一个人机交互的管理信息系统。其基本特征如下:
(1)AIS以符合会计管理工作和会计变更的需求为主要目标。
(2)AIS以解决企业会计核算和管理所面临的问题为主要功能。
(3)AIS以现代计算机硬软件和网络平台为处理环境,由人(含会计人员)、信息技术设备(含数据文件)和运行规程三要素组成,其核心部分是功能完备的会计软件。
(4)AIS能充分利用现代信息处理技术,自动(或半自动)采集、存贮、处理、分析、传递和反馈会计信息。
3. 会计信息系统所面临的风险
在IT环境下,由于与传统的手工操作环境有了很大的差别,会计信息系统面临着前所未有的风险。主要有以下几类:
(1)疏忽差错(Unintended Errors)。系统操作员或交易执行员在经济业务资料的输入与处理过程中,由于缺乏必要的上岗作业培训或身体状况欠佳等原因造成的非故意差错。
(2)蓄意差错(Deliberated Errors)。蓄意差错也就是故意性差错,实质就是舞弊,是不正当的或违法的。在信息的输入—处理—输出的流程中,甚至在软件的开发与研制过程中,都可能产生这种差错。它不仅对有关数据或输出信息的正确性与可信性造成影响,而且还可能导致企业资源的短缺损失和掩饰有关盗窃行为。
(3)疏忽性资产毁损(Unintended Asset Damages)。企业数据资料记录可能承受非故意的毁损,比如存储于硬盘中的应收账款记录未作备份,可能因偶然的断电故障这类偶发事件而消失。
(4)安全措施破坏(Breaches of Securities)。未经授权许可的人员可能非法接近企业的交易资料与其他记录。电脑“黑客”通过互联网擅自进入企业的计算机系统窃取、篡改或恶意破坏交易资料或记录,以及未经授权员工私自偷阅未设定密码或口令保护的企业员工薪金报告等。这种风险可能在被竞争对手窃取本单位的重要资料时造成极为严重的后果。
(5)暴力(Forces)。暴力的存在来源于外界人士(如恐怖分子)和怀有怨气的现有员工或已遭解雇员工的报复行为。如损坏会计信息系统或销毁企业的客户往来档案记录等。其后果可能是毁损企业的资产和资料,甚至导致经营过程中断以及企业的破产倒闭。
基于以上风险,IT环境下的会计信息系统加强内部控制具有前所未有的必要性,具体如下:
(1)IT环境下电脑操作隐形化和无纸化存储介质的缺陷。
(2)IT环境下内部稽核削弱。
(3)IT环境下会计工作质量有赖于计算机硬软件系统自身的可靠性及会计人员本身的操作水平。
(4)管理型会计软件的发展对内部控制提出了新要求。
(5)网络财务是IT环境下的新型管理模式,其安全性和保密性有赖于建立健全有效的内部控制。
三、借鉴跨国公司经验,运用COBIT,加强我国企业会计信息系统的内部控制
1. 保诚公司的经验分析简介
保诚公司于1848年在英国成立,它是目前全球领先的金融服务大鳄和在亚洲领先的欧洲寿险公司。随着其资产管理业务的快速增长,保诚公司(亚洲)在亚太地区的12个国家里拥有了9 000多位员工,除了在新加坡有一个区域分中心之外,它还有两个关键的区域IT中心,其中一个在马来西亚,另一个在中国大陆。
保诚公司亚洲地区的资讯科技部长罗德里格斯在2005年首次引进COBIT。他在香港领导着一个区域IT小组,该小组拥有6名成员。由于得到这个区域IT小组的支持, 保诚的CEO及其委员会成员同意采用COBIT的倡议,他们强烈地支持采用更好的IT框架、系统和程序以在整个地区给公司提供更好的竞争优势。“COBIT是一个非常简单而强有力的管理工具,它让我们实现我们的目标”,罗德里格斯说。
罗德里格斯还认为,“一个好医生是一位能够清楚地向她或他的病人解释如何保持健康的人,同样,一个好的IT专业人员是能够使该项目对一个公司观众来说容易得到理解的人。毫无疑问,我认为COBIT是允许我获得这种能力的工具,利用COBIT,我相信我们能为保诚建立一个更好的IT和公司责任的文化。”
虽然保诚实施COBIT仍在进行之中,但是,很显然,罗德里格斯已经获得了一些经验,具体如下:
(1)IT治理:泛区域战略构成、一致性;
(2)削减成本:减少重复;
(3)安全:区域客户资料管理;
(4)外包:为外包业务伙伴提供适当债务;
(5)沟通:让广大的公司员工易于理解各种术语;
(6)业务增长:为领导者提供了一个更安全、更一致的全面IT环境,以使其把精力集中在可增加企业价值的解决方案上。
上述这些经验显然是对整个保诚公司(亚洲)的IT治理而言的,但是可以看到其中一些经验对会计信息系统的内部控制和审计具有指导意义。
2. 勇于开拓,争取早日构建基于我国实际情况并与国际接轨的COBIT框架
随着我国经济的迅速发展和经济全球化的突飞猛进,近年来我国已逐渐重视企业内部控制,特别是2006年,被业界称为中国的“内部控制年”。财政部牵头联合发起成立了企业内部控制标准委员会,并邀请行政机关、高校、社会团体以及大中型企业的专家兼职咨询。该委员会了《企业内部控制规范》(征求意见稿),包括基本规范和一系列具体规范,并专门针对信息系统内部控制制定了《企业内部控制规范第××号——计算机信息系统》(征求意见稿),包括总则、岗位分工和授权批准、信息系统开发、变更与维护控制、信息系统访问安全和会计电算化及其控制等6部分。另外,财政部还于2006年颁布了新审计准则《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》,针对电子商务环境下的信息系统审计进行了规范,其中第5章“对内部控制的考虑”里,提到了“注册会计师应当按照《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》的规定,考虑被审计单位在电子商务中运用的与审计相关的内部控制”。这些标准或规范只是为本专业的内部控制提供了一个应用指导,在一定程度上为进行IT治理环境下的内部控制发挥了一定的作用。但是,从综合的 IT治理或IT内部控制来看,还没有形成一个能够满足各方面要求,适应各种需要的综合的、完整的、系统的框架。目前虽然有些在国际上有显著影响力的IT服务公司使用自己制定的标准或框架,如IBM公司使用IBM IT Process Model( IBM流程模型);HP公司使用HO ITSM Reference Model(HP服务管理参考模型);微软使用Microsoft Operational Framework(MOF,微软运营框架),但是国际上绝大多数公司都使用主流的像COBIT这样的IT治理标准。因此,有必要建立我国自己的COBIT框架,一方面是提升我国公司的管理能力,提高其经济效益,使其不断发展的需要;另一方面,也是我国企业走出国门融入经济全球化大潮中去的需要 。
主要参考文献
[1] 杨周南等. 会计信息系统[M]. 北京: 经济科学出版社,2004.
[2] 杨宝刚. 会计信息系统[M]. 北京:高等教育出版社,2001.
[3] 蔡传勋. 会计信息系统[M]. 大连:东北财经大学出版社,2004.
[关键词] Excel;管控; IT控制
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 17. 015
[中图分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194(2012)17- 0026- 04
2006年我国新审计准则,要求审计师对企业的内部控制设计和执行进行评价。2008年财政部了《企业内部控制基本规范》,要求企业逐步实施。无论出于外部合规的要求还是内部管理改进的需要,目前很多企业正在建设和完善内控体系。本文所探讨的是内控体系中的一个容易被忽视却非常重要的部分,即关于Excel应用的管控策略问题。由于管控策略设计与管控目标的设定有密切关系,本文以财务报告可靠性为目标设计Excel应用管控策略,这一项研究内容无论对于审计师或是内部管理者都具有很好的应用价值。
1 Excel应用及其分类
Excel是微软开发的Office办公软件套件中的一个产品,它和其他类似的软件都属于电子表格计算软件(Spreadsheet),例如Lotus1-2-3。“电子表格计算软件”是以表格方式进行数据编辑,具有分类、排序、筛选、汇总以及公式、函数、宏等运算功能的IT工具软件。从IT发展的演进过程看,最初IT应用软件的设计和使用都由IT工程师来完成,业务部门将信息处理需求(包括数据的自动运算)连同数据提交给IT部门来处理,IT部门处理完成后反馈给业务部门使用,由此造成IT使用效率低,甚至成为业务运营的瓶颈。但是当PC普及到个人以后,很多IT工具被开发出来,这些工具软件可以由非IT专业的用户自行进行简单开发和运行,这就大大提高了IT效率和灵活性。这种思想及其成果被称为最终用户计算(EUC,End-User Computing),Excel工具就是成果之一,它被运用到各种具体的企业业务场景和流程中,由用户自行进行数据归集和处理,形成各种各样具有特定功能的具体应用。这种应用的具体形式可能是单个Excel表,也可能是由一组关联表构成的一个工作簿,例如报价单就是一项Excel应用。本文关注的正是这些具体的Excel应用。
Excel应用可以根据用途分为业务文件编制和数据归集、业务跟踪和监控、分析决策等。还可以根据其复杂性分为以下3类。
(1)复杂度低:执行记录功能,例如发票执行状况记录表、库存台账等。
(2)复杂度中:执行简单计算功能。进行简单分类、汇总、排序和简单运算,或者进行标准化格式转化以用于合并或者系统输入接口。例如销售收入月趋势分析表、收入地区分布表、标准记账凭证等。
(3)复杂度高:支持复杂计算功能,其典型特点就是运用复杂公式、函数、宏、规划求解等高级计算功能,并涉及表格内单元格和多个表间引用、嵌套和链接,通过输入区域、加工区域和输出区域的标准格式化定义,将Excel设计成一个小的信息系统。这种类型的应用一般具有特殊目标,例如投资决策模型、银行付息还款模型等,还可以作为确定交易金额的支持性文件或将会计分录登入总账或财务报表披露时的复杂基础文件。对于Excel进行复杂度归类是风险分析手段之一,复杂度越高则Excel应用的风险越大。
2 Excel应用与财务报告可靠性关系的分析
Excel应用与财务报告可靠性关系的分析涉及以下两个层次。
2.1 日常业务操作层次
(1)业务数据的编制和归集。例如在Excel表中编制报价单、订单、生产计划、订货计划,编制商销售返点计算单、销售人员绩效工资计算单,在财务工作中编制预算、凭证,在合并会计报表时处理抵消分录等。在Excel表中记录了进入总账或者财务报表的数量和金额,包括交易层次的发生金额和账户层次的余额数据等。
(2)交易的跟踪和监督。Excel可用来跟踪和监督日常工作以便支持业务操作流程,包括流水记录和日志。例如登记发票的开列和结算状况的列表,记录合同的基本信息和执行状态的列表,记录项目立项和执行状态的列表等,它替代了传统的纸质书面记录方式。聚焦于财务报告循环来看,Excel可用于记录与财务有关的数据监督和控制。
2.2 分析决策层次
Excel的亮点是便于用户自己进行灵活的数据加工处理分析工作,而不需要时时求助于IT开发人员。例如应用于内审的分析性工作,为问题或者舞弊的发现提供线索,为问题解决提供思路;应用于决策模型的编制,为管理决策提供支持。在财务领域则用于财务分析和决策支持,评价财务数据的合理性。
从上述分析可以看出,在财务报告循环中Excel应用可能直接构成财务报告系统输入的源文件(Source Document)数据,也可能构成凭证输入的支持性文件数据(Support Document),因此其正确性将直接影响财务报告可靠性;Excel编制的日志文件可能构成从交易到报告整个链条的审计线索,或者在评估财务数据合理性过程中发现舞弊线索,从而间接影响财务报告可靠性。
一、IT环境下传统企业内部会计控制的缺陷
随着IT技术,特别是以Internet为代表的网络技术的发展和,以提供财务信息为主的会计,正由传统的手工会计系统向电算化会计系统、网络会计系统方向发展,这无疑是企业管理手段的巨大进步,极大地促进了会计工作效率的提高,但同时也给企业内部会计控制带来了新的和挑战,具体表现在:
(一)授权方式的改变,潜伏着巨大的控制风险
授权、批准,乃是一种常见的内部控制手段。在手工会计系统中,一项经济业务由发生到形成相应的会计信息,其经历的每一个环节都应由具有相应管理权限的有关人员签章,方可办理。这种传统管理方式的效率虽不高,但可有效地防止作弊。然而,在电算化会计信息系统中,权限分工的主要形式是口令授权。口令存放于机系统内而不像印章那样由专人保管,一旦口令被人偷看或窃取,便会带来巨大隐患,此种案例已发生多起。如:会计人员被客户收买,窃取口令,非法核销客户的应收款及相关资料;销货人员窃得顾客订单密码,开出假订单,骗走公司产品等等。
(二)内部控制的程序化,有可能使同一种差错反复发生
电算化会计、网络会计的内部控制,在很大程度上取决于这些会计信息系统中运行的应用程序的质量。一旦这些应用程序中存在严重的BUG或恶意的“后门”,便会严重危害系统安全。毕竟,会计人员对计算机专业知识知之有限,很难及时发现这些漏洞。这样在专业人员找到或堵上这些程序漏洞之前,系统便会多次重复同一错误,扩大损失,这也是手工会计系统不会遇到的问题。
(三)原始凭证数字化,使得会计信息易于被篡改或伪造
在手工会计系统中,原始凭证是以纸张为载体,很难不露痕迹地加以修改或伪造。但随着商务的发展,一些单位的原始凭证也如同记账凭证、会计账簿或报表一样,已实现数字化、电子化,即以数字形式存储在磁(光)性介质上,这种无纸凭证极易被篡改或伪造而不留任何痕迹,它弱化了纸质原始凭证所具有的较强的控制功能,给内部会计控制带来了新的难题。另外,磁(光)性介质容易损坏,一旦受损则很难修复,这更使数字化的会计信息丢失或毁坏的风险加大。
(四)网络环境的开放性加剧了会计信息失真的风险
网络技术无疑是IT发展的方向,特别是Internet在财务软件中的应用对电算化会计信息系统的将是革命性的。但网络环境具有开放性的特点,这就给会计信息系统的内部控制带来了许多新问题。如在网络环境下,信息来源的多样性,有可能导致审计线索紊乱;大量会计信息通过网络通讯线路传输,有可能被非法拦截、窃取甚至篡改;网络会计信息系统遭受“病毒”入侵或“黑客”攻击的可能性更大,等等。总之,网络环境的开放性和动态性,加剧了网络会计信息失真的风险,加大了网络会计内部控制的难度。
二、IT环境下企业会计信息系统内部控制的完善
IT技术在会计信息系统中的运用加大了企业内部会计控制潜在的风险,但同时,IT技术与业务流程的结合,也给企业带来了控制风险的机会与工具。
(一)网上公证的形成可有效地预防数字化的原始凭证被修改或伪造
所谓网上公证,就是利用网络的实时传输功能和日益丰富的互联网服务项目,实现原始交易凭证的第三方监控。比如,每一家企业都在互联网认证机构申领数字签名和私有密钥,当交易发生时,交易双方将单据或有关证明均传到认证机构,由认证机构核对确认、进行数字签名并予以加密,然后将已加密凭证和未加密凭证同时转发给双方,这样就完成了一笔交易双方认可并经互联网认证机构公证的交易。在这种交易中,交易一方因无法获得另一方的数字签名和私有密钥,很难伪造或篡改交易凭证。主管人员或审计人员一旦对某笔业务产生怀疑,只需将加密凭证提交客户和认证机构解密,将其结果与未加密凭证相对照,问题便迎刃而解。
(二)在线测试的实现可及时地解决应用软件自身存在的问题
IT环境下,会计信息系统使用的应用软件存在这样或那样的问题有时是难免的,解决问题的办法无非这样两个:一是在软件开发过程中加强交流、充分测试;二是在软件运用过程中注意监控、及时发现问题并予以解决。但在单机系统下,用户与软件供应商之间因空间的阻隔往往很难充分交流,发现并解决问题费时费力。到了网络,情况就大不一样了,互联网提供的实时高质的通讯传输手段,可使用户和软件商之间在几秒钟内建立连接,这就给解决上述问题带来了方便。比如,在软件开发过程中,用户可通过网络随时向开发商提出要求或建议,开发商也可以把已开发完成的软件及时传送给用户进行测试;在软件使用过程中,开发商可通过网络对用户的系统进行定期的在线测试,一旦发现问题可及时通知用户并进行在线升级,把BUG的存在时间控制在最短,提高系统的安全性。
(三)监控与操作的职责分离可进一步强化系统内部的相互牵制
职责分离是内部控制的一个重要组成部分。在手工会计系统中,企业通过把不相容的工作分派给不同的人员担当以达到相互牵制。但在电算化会计系统中,由于计算机的自动高效的特点,许多不相容的工作(如制单与审核)都已合并到一起由计算机统一执行,这就形成内控隐患。为了强化系统的内部控制,一个比较有效的办法是在电算化系统内分设操作与监控两个岗位,对每一笔业务同时进行多方备份。当会计人员利用电算化系统进行账务处理时,其操作和数据也被同步记录在监控人员的机器上,并由监控人员进行及时备份、定期审查。一旦主管部门或审计人员对某些数据产生怀疑时,可利用监控人员备份的原始记录进行调查、辨明真伪,这样就强化了电算化系统内部的相互牵制,有效地预防作弊。
(四)采用加密码的签名,可增强电子化原始数据的防伪功能
在无纸化的信息系统环境中,如果软件正确无误,系统传输安全可靠,则会计信息系统中派生数据(包括电子化的记账凭证、账簿数据和会计报表)的正确性、真实性和完整性完全取决于电子原始数据。反之,如果不精确、不完整、不合法的原始数据被记录和维护,将会以后所有的会计处理,导致一系列派生数据的失真。因此,电子化的原始数据的审核和确认显得尤为重要。在手工会计系统中,原始凭证的审核是通过对纸质原始凭证上有关责任人签名的辨别和相关凭证的相互核对来完成的。电子化原始数据的审核可采取类似的:一要注意相关业务不同数据记录之间的相互核对;二要关注经办人、批准人等相关人员的电子签名。电子签名不同于手工签章,会计如何确认这种电子签名的有效性是一个不容忽视的。的多数会计核算软件中,电子签名广泛采用普通汉字或字母代码填写,很容易被摹仿或伪造。为了克服这一缺点,增强电子原始数据的防伪功能,宜采用加密码进行电子签名,使其不容易被篡改或伪造。
(五)充分利用IT技术,增强会计系统的安全控制
网络技术在会计信息系统中的应用,极大地丰富了会计信息系统的功能,促进了会计工作效率的提高。但网络安全问题若不能有效地得到解决,必将限制网络会计系统的与应用。网络会计系统安全控制的途径主要包括:
1.系统软件安全控制。要按操作权限严格控制系统软件的安装与修改,按操作规程定期对系统软件进行安全性检查。当系统被破坏时,要求系统软件具备紧急响应、强制备份、快速重构和快速恢复等功能。
2.数据资源安全控制。数据库系统是整个网络会计系统安全控制的核心,数据库的安全威胁主要来自两个方面:一是系统内外人员对数据库的非法访问;二是系统故障、误操作或人为破坏造成数据库的物理损毁。为此,可采取以下措施:(1)合理定义、应用数据子模式。即根据不同类别的用户或应用项目分别定义不同的数据子集,针对特定类型的用户开放,以限制合法用户或非法访问者轻易获取全部会计数据资源;(2)建立数据备份和恢复制度。数据备份是数据恢复与重建的基础,是一种常见的数据控制手段,网络中利用两个服务器进行双机镜像映射备份是数据备份的先进形式。
3.系统入侵防范控制。为了防止非法用户对网络会计系统的入侵,可采取以下措施:(1)设置外部访问区域。访问区域是系统接待外界(关联方、公众)网上访问、与外界进行会计数据交换的逻辑区域。在建立内联网时,要对网络的服务功能和结构布局进行详细,通过专用软件、硬件和管理措施,实现会计应用系统与外部访问区域之间的严密的数据隔离。(2)建立防火墙。防火墙是建立在被保护网络周边的、分隔被保护网络与外部网络的一种技术系统。为了有效地防范非法用户对网络会计系统的入侵,可设置内外两层防火墙,外层防火墙主要用来限制外界对主机操作系统的访问,内层防火墙主要用来逻辑隔离会计应用系统与外部访问区域之间的联系,限制外界穿过访问区域对内联网,尤其是对会计数据库系统的非法访问。
三、IT环境下会计信息系统内部控制面临的新问题
高速发展的IT技术,在给企业会计信息系统增强内部控制提供手段的同时,也给其安全带来了许多新问题,应当引起重视。
(一)网络会计系统的开放性,使之很难避免非法侵扰
网络是一个开放的环境,置于该环境中的各种服务器上的信息在上都是可以被访问到的,除非它们在物理上断开连接、脱离网络环境。因此,网络会计信息系统很难完全避免非法访问者的侵扰。尤其是当系统程序存在严重的BUG、系统安全控制能力较差而系统管理人员尚不自知时,很难保证系统的信息资源不会被窃取或篡改。这种情况一旦发生,将会给单位造成巨大的损失。为此,企业需根据IT技术的最新发展,定期评估系统的安全性和内部控制能力,努力把新技术给老系统带来的风险降到最低。
(二)网络会计系统的复杂性,使得稽核与审计的难度加大
网络是一个由机硬件、软件、操作人员和各种规程构成的复杂的系统,该系统将许多不相容职责相对集中,加大了舞弊的风险;系统信息以电子数据的形式存储,易被修改、删除、隐匿或伪造且不留痕迹;系统对错误的处理具有重复性和连续性;系统设计主要强调会计核算的要求,很少考虑审计工作的需要,这些往往导致系统留下的审计线索很少,稽核与审计必须运用更复杂的查核技术,且要花费更多的时间和更高的代价。会计师必须经过专业培训、具备复杂电脑资料的处理能力,方能胜任此项工作,这无疑将加大稽核与审计的难度和成本。
互联网和信息技术正在以前所未有的速度将经济社会和各行各业带入信息化浪潮中。内部审计依托于经济社会改革发展并与之同步发展。本文在分析企业互联网化转型对内部审计提出的新任务、新要求以及互联网对内部审计资源和技术带来影响的基础上,就内部审计如何适应这种要求和影响以及未来内部审计如何转型发展进行了思考与展望。
[关键字]
互联网;内部审计;转型发展
当前,互联网正在以前所未有的速度全方位地引发经济社会各行业生产关系、生产方式、生产要素的重新组合与构建,并推动着企业在组织架构、客户关系、盈利模式、管理流程等方面的重大变革。互联网技术的发展也消除了内部审计与被审计单位之间在时间和空间上的距离,降低了内部审计获取各类数据信息的成本,突破了审计人员手工分析处理海量数据的能力上限,以前束缚内部审计的资源、技术、人力障碍已经被互联网技术弥补了。纵观现代审计100多年来的发展历史,其基本脉络就是在资源、技术不断发展的前提下达到更好地揭示风险的目的。沿着这条脉络,可以从企业互联网化转型对内部审计的影响以及互联网对内部审计资源、技术的改变这两个维度观察互联网时代企业内部审计转型的方向和未来。
一、企业互联网转型对内部审计的新要求
互联网对经济社会的影响是全方位的。从广度上,互联网自信息通信业开始已经全面应用到第三产业,并正在向第一和第二产业快速渗透,推动传统企业进行互联网化转型。从深度上,互联网正在从信息传输向销售、设计、运营、生产、服务等全产业链延伸,推动企业建立新型的组织方式和商业模式。从内部审计的视角来看,企业互联网化转型对内部审计提出的要求主要体现在以下几个方面:
(一)体制机制改革与责权利重新分配如何实现规范有序
互联网去中心化、扁平化、自组织的特性,要求企业的组织方式和组织形态与其相适应。未来,平台型企业将得到快速发展。华为公司提出“班长的战争”、海尔公司推行“人人都是CEO”以及“倒三角管理”,都是向平台型企业转型的尝试。传统企业互联网化转型关键是做好体制机制改革以及责权利的重新分配。如何在改革过程中做好顶层设计,如何实现“集”、“放”有序,如何在激发基层单元活力的同时又能有效防控潜在的重大风险?需要内部审计站在公司治理和内部控制的高度以独立客观的视角提出意见。
(二)消费者时代如何配置资源实现价值最大化
互联网打破了企业与用户之间的信息不对称,消费者比较各种产品信息的渠道多、速度快、成本低,企业生产成本更加透明和显性化。在消费者时代,如何站在消费者角度配置企业资源,最大限度地压缩和避免不必要的流程环节,采取更加高效的方法手段为消费者创造更大的价值,是每一个企业必须要面对和解决好的重要问题。这也是内部审计深度参与企业经营管理,通过审计推动流程优化、管理提升、价值增值的一个重要领域。
(三)商业模式发生颠覆性变革时如何评价经营业绩
互联网时代“免费”成为主流。企业通过免费吸引用户,迅速扩大用户基础,之后再围绕产品形成丰富的生态圈并寻找新的盈利点。基于这种商业模式,企业前期大量的资源投入以及快速迭代开发而形成的沉没成本并不能立即带来相应的现金流入和盈利空间。这时,如何从审计角度对一家互联网企业的价值进行合理判断,如何评价管理层的经营业绩,如何评判公司的盈利水平,都是未来内部审计面对的重要挑战。
(四)管理流程实现全数字化后如何动态实时监控风险
互联网时代,企业产品设计、开发、采购、生产、销售、服务等全流程实现了IT化和数字化。国外一些企业已经实现了对整个生产流程进行IT实时自动监控。内部审计如何进一步从事后向事中事前转变,通过在关键流程设置预警装置实现对整个生产过程的在线监控,更加迅速地防范和揭示风险。此外,如何在网络环境下做好企业信息安全防护以及资金安全保护,也是企业互联网化转型对内部审计提出的新要求。
二、互联网对审计资源和技术的影响
(一)互联网消除了内部审计与被审计单位之间的距离
彼得•德鲁克指出,“互联网的最大影响在于消除了距离”。一方面,审计人员通过互联网可以实时获取并查看被审计单位的数据信息,对于建立了SSC(财务共享服务中心)的企业还可以调取有关影像资料等非结构化数据信息,消除了内部审计与被审计单位时间上的距离;另一方面,审计人员通过互联网可以远程对被审计单位的信息进行分析核查,对于存在疑点的事项可以交给被审计单位所在地的审计人员协助进行现场核查并反馈核查结果,消除了内部审计与被审计单位空间上的距离。
(二)互联网降低了内部审计获取各类数据信息的成本
随着互联网、大数据、云计算的发展,经济社会各行各业的数据信息得到了爆发式的增长。在保证数据安全及用户隐私的前提下,各类数据信息开放共享将成为必然。通过互联网,内部审计可以轻松获取与被审计事项相关的数据信息,包括政府部门公开的政务数据、企业按照法律要求公开的经营数据、同行业其他企业的历史参照数据、各类生产要素的价格信息等,为审计人员从不同层次和角度对被审计单位做出更加准确、客观的评价提供了强大支撑。
(三)互联网突破了审计人员手工处理数据的能力上限
随着互联网技术的发展,内部审计的相当一部分工作,甚至一部分职业判断都可以交给互联网来完成,从而突破了审计人员手工处理数据的能力上限。通过互联网技术,审计人员在IT软件平台的帮助下能够在较短的时间内把被审计单位的整体数据梳理甄别一遍。因此,审计覆盖面将越来越大,对审计结论的支撑将更为充分。
三、企业内部审计未来的演进与展望
从以上分析可以看出,企业互联网化转型对内部审计提出了新要求、新任务,而互联网技术也弥补了以前束缚内部审计的人力和技术障碍。未来内部审计的舞台空间将更为广阔,前瞻性和及时性将更加突出,价值创造作用将更加重要。
(一)内部审计对数据信息处理能力将大大提升
未来内部审计自身的信息化建设和数据信息处理能力将快速提高。越来越多的优秀审计人员将来自“企业财务或审计专业中IT最好的人”以及“IT专业中财务或审计最好的人”。通过IT系统平台集中调配资源、联动开展审计项目、共享审计经验方法,内部审计整体的工作效率效果将得到大幅提升。而随着大数据、云计算的普及应用,基于企业生产经营实时数据同步基础上构建起来的“审计数据集市”将在大型企业集团出现,审计大数据分析平台将在各类审计项目中发挥越来越重要的作用。
(二)远程审计乃至全流程监控将逐渐成为主流
互联网消除了内部审计与被审计单位之间的距离,而远程审计的经济性、及时性又远远超过现场审计。因此,远程审计、风险预警将发展成为内部审计一项重要的工作任务和关键审核流程,远程审计与现场审计相结合的审计模式也将成为主流方式。未来,内部审计通过在企业的IT系统平台固化和完善审计模型,对生产经营关键领域和重点环节的异常变化进行实时监控,快速查找并化解风险,将成为内部审计履职的一项重要内容。
(三)内部审计将走向前台更多地发挥评价咨询职能
如前所述,在互联网与经济社会迅速融合的过程中,企业的商业模式、组织架构、客户关系、业务流程、资源配置都在发生着巨大的改变。在这个变革的过程中,需要内部审计与其他风险管理部门、财务部门、业务部门联手,运用互联网思维对企业的公司治理、内部控制、经营政策、资源配置、新产品研发等方面进行审视,提供更多前瞻性意见和建议,以独立、客观的视角发挥评价咨询作用。
(四)建立宽容的内部审计文化及新的审计评判标准
互联网是开放、包容的,是鼓励创新、宽容失败的。在企业互联网化转型时,内部审计需要建立起宽容的审计文化,在企业内部营造鼓励创新、允许试错的宽松环境。此外,由于企业商业模式、运营方式、建设标准、盈利模式等发生了重大变化,沿用传统审计评判标准会造成对互联网企业运营状况、盈利水平的错判。因此,建立起适应企业互联网化转型的新的审计评判标准,也是随着内部审计发展而需要重点讨论的问题。
(五)防范网络、资金、信息安全将成为新的重点
引言
会计信息化是指企业利用计算机、网络通信等现代信息技术手段开展会计核算,以及利用上述技术手段将会计核算与其他经营管理活动有机结合的过程。会计信息化相关课程主要包括“会计信息系统研究”、“会计信息系统”、“计算机审计”、“erp原理与应用”、“excel在会计中的应用”、“初级会计电算化”6门课程,此外,根据会计信息化的发展与企业的人才需求,未来高校有必要开设《xbrl应用实验》课程(或将其本文由收集整理整合到现有课程的实验内容中去)。笔者根据10多年的教学经验与体会,对当前还没有引起大家重视的几个问题进行了梳理,对相关课程的课堂教学与实验教学进行了总结和思考,并提出了建议。
1 对相关课程课堂教学的思考与建议
1.1 关于“会计信息系统研究”课程的教学内容
目前,高校对会计专业硕士研究生的会计信息化教学内容差异较大,而且普遍对硕士研究生层次会计信息化方面的教学还没有引起应有的重视,从已经开设会计信息化相关研究生课程的高校来看,将“会计信息系统研究”作为课程名称的居多。开设了该门课程的高校虽然在教学内容的安排上大相径庭,但是总体上看,大致可分为两类,一类是以会计信息系统的分析设计为主要教学内容,另一类是以会计信息系统的高级应用与管理为主要教学内容。
笔者认为,“会计信息系统研究”课程应通过介绍国内外会计信息系统最新理论发展和实践动态,使会计专业研究生在了解会计信息化发展历史的基础上,深刻理解信息技术对会计的深远影响,掌握会计信息系统的开发、应用、管理控制、绩效评价的理论及其研究方法,为进一步的研究与发展奠定基础。
建议教学内容主要涵盖如下6个专题:①会计信息化的历史发展:会计信息化的产生背景与发展历程、学科内容及知识结构;②会计信息系统开发全生命周期的理论与方法:会计信息系统规划、分析、设计、实施、运行维护;③集团财务与成本控制系统:信息技术在集团财务与成本控制中的应用;④网络财务报告的xbrl技术、标准及应用:xbrl的产生与发展、xbrl在中国的应用与未来的趋势;⑤it治理、it环境下的内部控制、风险管理与审计:国际国内的相关标准、规范、理论框架;⑥it价值管理及绩效评价:理论框架、绩效评价方法的应用。
1.2 关于“计算机审计”课程的定位与教学内容
“计算机审计”不同于信息系统审计,信息系统审计关注的核心问题是信息系统的可用性、安全性、完整性和有效性。国际信息系统审计与控制协会即isaca (information systems audit and control association)是信息系统审计、控制与安全等专业领域唯一公认的全球性组织,自1978年以来,由isaca发起的国际注册信息系统审计师(cisa)认证已经成为涵盖信息系统审计、控制与安全等专业领域的全球公认的标准,它的信息系统审计和信息系统控制标准为全球执业者所遵从。从cisa的执业内容来看,与人们理解和所熟知的常规审计存在很大差异。cisa主要对组织的it治理与管理、信息系统的获取、开发与实施、信息系统的运行、维护与支持、信息资产的保护等进行审计,对组织信息系统的风险控制与安全管理提供评价与建议。
而常规审计主要是注册会计师(cpa)对组织的财务信息进行鉴证。“计算机审计”课程应主要关注常规审计中cpa在计算机信息系统环境下要求具备的知识和能力,关注的是财务信息在计算机信息系统环境下的鉴证及其相关的内部控制与风险管理,遵循的执业准则是审计职业界所的计算机环境下的审计准则,这类审计准则是在cpa所具备的知识结构体系下开发的准则。当组织采用大型化和复杂化的信息系统时,财务系统内部控制与风险评价过程中超过cpa知识范围的那一部分,就转为cisa的业务范围,这也是cisa的一部分执业内容。
笔者认为,随着信息化的普及与发展,信息系统在企业经营与管理中的地位越来越重要,信息资产已成为企业的重点保护资产,企业越来越重视信息系统相关的内部控制与风险管理,因此,应面向高校会计专业的本科生单独开设“计算机审计”课程,而不是在“会计信息系统”课程中简单介绍一下。建议“计算机审计”课程的教学内容主要涵盖如下4个方面:①计算机及网络环境对传统审计的影响;②计算机及网络技术条件下的内部控制审计、系统开发审计;③计算机辅助审计技术即caat(computer-assisted audit technique),包括审计人员如何利用计算机对财务数据或管理数据进行获取和检查,以及利用审计信息化工作平台开展审计各个阶段的工作;④网络审计、世界计算机审计及其发展趋势。
2 对相关课程实验教学的思考与建议
2.1 关于“会计信息系统”与“计算机审计”课程的实验教学
笔者认为,“会计信息系统”课程是会计专业本科生必修的专业方向课,“会计信息系统”课程的实验教学环节,应主要配合课程课堂教学内容,通过学生上机实验,使其理解会计信息系统开发方法,理解主要计算机会计应用子系统的基本结构,掌握计算机会计应用子系统的使用和日常维护,最终使学生形成科学的会计信息系统分析和设计理念,对it环境下会计业务流程有一个完整的认识,使学生能比较熟练地综合应用企业管理软件中涉及财务会计及管理会计的部分,并能将先进的管理方法与计算机结合起来,提出应用解决方案,最终目标是将学生培养成为适应社会信息化发展需要的新型会计人才。
随着审计对象与审计手段的信息化,“计算机审计”的实验教学环节对于会计专业的本科生而言,将会越来越重要。笔者认为,“计算机审计”课程的实验教学环节,其主要目的应是使学生对计算机辅助审计技术有一个比较全面的概括了解和掌握,使学生基本掌握计算机审计的基本原理和基本方法,熟悉计算机审计业务活动的具体运作方式、规则,掌握计算机审计信息化管理的方法,培育使用审计软件及相关软件工具的习惯,从而为今后从事计算机审计的理论研究与实际工作打下较为坚实的专业基础。
2.2 配合实验教学的实验室建设
2.2.1 建立“xbrl应用实验室”
2010年10月,财政部正式了企业会计准则通用分类标准和xbrl技术规范,成为中国会计信息化领域的重要里程碑;2011年财政部组织了通用分类标准首批实施工作,各实施单位为通用分类标准的实施积累了宝贵经验,取得了良好效果。财政部决定自2012年1月1日起,在14个省(自治区、直辖市)的部分地方国有大中型企业中实施通用分类标准,并鼓励其他省(区、市)在自愿的基础上组织本地区国有大中型企业参加实施。可见,从xbrl的应用实践来看,xbrl的普及指日可待。
在这种现实背景下,高校迫切需要将xbrl的内容纳入会计信息化相关课程的课堂教学与实验室建设中去。2012年12月17日,财政部颁发了财办会[2012]47号——《企业会计信息化工作规范(征求意见稿)》,征求意见稿的第二章第十二条明确规定:“会计软件应当能够生成符合国家标准的可扩展商业报告语言(xbrl)财务报告”,并在工作规范起草说明中指出,对工作规范新规定的会计软件必备功能(如生成可扩展商业报告语言财务报告),软件供应商不承担免费为客户提供软件更新的义务。因此,从目前的情况来看,高校会计信息化相关课程配备的教学软件一般无法通过更新或升级的途径来获得与xbrl相关的功能模块,需要相关管理软件供应商考虑教育领域的需求,为高校xbrl实验室的建立与推广提供良好的技术平台。
2.2.2 建立并完善“集团财务实验室”
1、安全技术人员
每个IT公司都需要安全技术人员应对可能发生的网络攻击。上个月,互联网巨头谷歌遭受黑客攻击更加坚定了在维护公司数据安全方面的决心。
如果你的简历里有CTIA发售的安全认证,想必获得一份工作会变得轻松许多。
2、虚拟系统管理员
虚拟化和自动化技术搭乘Cloud云计算获得飞速发展,今后系统管理员也要与之接轨。
3、网络工程师
网络工程师作为传统的一项职位依然十分强势。Gartner预计,由于资讯和竞争的需要,未来几年中社会交往和协作会更加密切。这一切要求网络技术和网络工程师发挥更多的作用。
4、开源技术人员
免费、开源产品越来越受到人们的欢迎,公司依靠此类产品能迅速占领用户市场,然后形成一系列付费功能维持运营体系。这一切都需要熟悉开源程序的开发人员才能实现。
5、质量保障工程师
一个成功的产品或服务,除了技术开发以外,还需要服务保障人员的努力才能完善。IBM惠普等大公司都在部门内部建立类似确保产品生命周期正常运转的职位。
6、电子商务经理
CTIA预计在今年12个月内将新增7万个IT职位,才能满足政府对公民健康体系带来的空缺。因为电子商务的日益发展,使企业的经营形态发生了根本改变,经营形态改变以后,电子商务的份额不断扩大,电子交易经营人员就显得尤其重要。其主要职能是选择供应商,联系客户并与之建立有效的联系。
7、项目管理人员
这个行当要求你具备整体管理项目的能力,包括做计划、项目实施、日程管理、预算、资源分配和商品交付质量管理等。所需技能:有管理大型、复杂与并行项目的能力,包括计划开发、项目实施和客户管理的经验,最好有较强的Internet技术应用和软件开发背景。
8、IT审计师
IT审计师目前已成为全球范围最抢手的高级人才。这些人才一般都具备全面的计算机软硬件知识、对网络和系统安全有独特的敏感性,并且对财务会计和单位内部控制有深刻的理解。随着计算机技术在管理中的广泛应用,传统的控制、管理、检查和审计技术都受到巨大的挑战。国际会计公司、专业咨询公司的高级管理顾问都将控制风险,特别是将控制计算机环境风险和信息系统运行风险作为管理资咨询和服务的重点。
9、储备技术员
不一定要求某些权威认证和精通的领域,但要具备较高的接受新事物的能力、敏锐的洞察力,反应迅速且善于合作。
