时间:2023-03-24 15:49:13
课题组组长:史可山,人行南平市中心支行行长;
课题组成员:陈崇跃,徐克勋,朱燕涛,张杏英;
执笔:陈崇跃,朱燕涛。
摘要:随着信息科技的发展,人民银行系统对IT的依存度日增,信息系统风险也接踵而至,内部审计面临新的挑战,IT治理势在必行。为此,本课题组在分析了人行传统的内审已不能适应IT时代审计使命要求的基础上,提出了改革人行内部审计并以此深化央行IT治理的若干建议。
关键词:中央银行;内部审计;IT治理
中图分类号:F830文献标识码:A文章编号:1006-1428(2007)12-0088-02
随着人民银行各项业务与管理活动对IT依存度的日益提高,IT风险渐露端倪,人民银行内审从体制、手段和方式等均面临与IT发展程度相对应的新挑战,央行内审呼唤与IT治理相适应的改革。
一、加强人民银行IT审计促进央行IT治理的必要性。
IT治理大意指合理利用IT资源与适当管理IT相关风险的一种管理模式与机制。IT治理最重要的任务就是保证信息技术与各项业务的有效结合,促进组织收益最大化与风险的最有效控制。如同企业(公司)治理包括了内控管理及其内部审计等制度安排,“IT治理”也涵盖IT审计、信息安全审计、IT服务管理等内容。“IT审计”既是IT治理的组成部分,也是IT治理的促进因素。“IT审计”不仅对信息系统(IS)及其管理制度,还包括对内审自身的IT化建设行使“监督、评价与咨询”职责。
人民银行具有类似商业银行等现代企业的组织架构与业务体系,在管理上同样适用和更需引入“企业治理”与“IT治理”机制。人民银行在组织架构上设立了分支行机构,在业务上也有“存贷款”、“中间业务”、“黄金外汇储备与买卖”等经营性品种。因此人民银行的“业务”系统及其“应用系统”也更为庞大与复杂,日常运营越来越依赖于信息技术的支撑。在这种背景下,人民银行信息系统运行的有效性与潜藏的风险更加不容忽视,建立健全人民银行系统的IT治理及其IT内审机制十分迫切。
二、人民银行系统IT治理与IT审计的现状
在IT治理方面,人民银行表现明显滞后:一是尚未编制出一套适应我国国情的央行IT治理蓝图或规划;二是尚未建立与人民银行组织结构和业务体系及IT应用水平相适应的IT治理组织框架和制度体系;三是尚未建设和培育一支既掌握IT知识又谙熟央行业务的IT治理复合型或“两栖”的人才队伍;四是作为IT治理重要组成部分的IT审计、IT风险控制等监督与保障机制尚不成熟和健全,影响了人民银行IT治理的深化。
在IT审计方面,人民银行信息系统仍没有突破传统内审的窠臼。具体问题与原因:
一是IT审计的理论缺失。IT审计是审计理论的新兴领域,当前有关它的研究尚不够深入,阐述与定义尚不统一,也给IT审计制度的建设和IT审计的实践带来一定程度的混乱。
二是IT审计的制度缺失。人民银行内审司虽制定了《计算机信息系统监督检查工作暂行规定》、《计算机信息系统内部审计规程》等制度,但不是真正意义上的“IT审计”,仅处于信息系统(IS)审计层次,属于一般内控操作制度范畴。
三是IT审计的标准缺失。目前却仍未规划与制定出一套能与国际接轨的抑或有中国特色的IT审计标准与具体行业准则,使目前的IT审计没有明确的方向与标准的轨道。
四是IT审计的队伍缺失。首先,在组织体系上IT审计人员配置不足与结构不合理。其次,人员综合素质不高,既掌握IT知识又熟悉央行业务、懂得金融法律的人力资源十分匮乏。第三,未建立IT审计复合型人才培育机制,使现有人员IT审计素质不能得到应有的提高。
五是IT审计的手段缺失。即IT审计本身缺少信息技术硬件与软件的武装与支持。首先是内审部门计算机及其网络工具与设施配备不足,使目前所开展的IT审计仍停留于现场的、被动的、事后的传统审计形式。其次是业务审计的IT辅助审计应用软件缺乏,内审人员面对全面“数字化”的审计对象,只能望洋兴叹。第三是当前的业务应用系统在设计、开发之初就未考虑接受审计因素,内审人员实施IT审计时没有“合法”接口与取证手段。这些均极大地困扰与制约着IT审计的开展与发展。
三、改革央行内审深化IT治理的政策建议
1、加强IT审计及IT治理的理论研究,为新形势下的央行内审改革提供理论基础。2004年,人行内审司同ITGov(中国IT治理研究中心)合作开展了“IT治理与IS审计模型研究”,对国际通用的IT治理框架和信息系统审计标准“信息与相关技术控制目标”(COBIT)进行了研究,取得初步成果。但是,近年来类似的内审科研仍然偏少,成果不多。当前,国外在这方面的研究与探索均较深入,硕果累累,可以很好借鉴。
2、改革传统的人行内审体制,架构与IT治理相适应的新型内审模式。IT审计的目标是通过实施审计,维护、促进或增强人民银行计算机信息系统合规性、安全性、可靠性、有效性。人民银行已构建了强大的信息传输网络,作为内部审计主要对象的央行业务系统实现了数据大集中,人民银行分支机构业务运营与管理的内涵与外延也发生重大变化,不同层次的央行机构IS更存在鲜明的差异。这就要求央行对传统的内部审计架构进行新的设计,如构建“重心上移、机构下派”的内审新体系。借鉴西方中央银行组织治理模式并与央行IT治理机制相适应,在强调内部审计独立性的同时,注意与IS开发、应用部门的协调一致。采用更灵活的内审方式,如引入市场经济国家“内审社会化”或“内审外包”做法,对人民银行的部分IT审计项目可委托有资质的社会组织开展;提升手段,改革传统的现场审计与人力审计模式,利用计算机网络系统和审计辅助系统实施以“信息技术对抗信息技术”的“非现场审计”和“机器审计”,等等。
3、树立现代内部审计理念,实现内审由合规性监督向评价与咨询服务转变。审计的目的是确保整个组织活动的有效性、效率性、合规性、安全性,使组织“价值增值”。内审由于IT手段的利用及对IS的审计,使内审目标的实现更加可能。因此,人民银行的IT审计不应停滞在查错纠弊的监督阶段,而应要求审计人员树立服务意识,为被审对象提供咨询服务,当好参谋。
4、加快编制我国央行IT治理规划,建立适应人民银行体制的IT审计标准体系和框架。“信息系统审计和控制联合会”(ISACA)已制定了“面向过程的信息系统审计和评价的标准”(COBIT),国际内部审计师协会(IIA)将其作为国际通用的IT审计标准。作为我国央行的人民银行内审也应积极借鉴标准,制定一套适合我国央行特色的IT审计标准与规范,为IT审计开展评价、咨询等活动提供尺度与准绳。
5、开展对新系统开发的审计,实现IS事后审计向全过程审计转变。即在新系统的立项、开发、测试和验收阶段,内审人员就参与其中,对程序开发到应用的全过程从审计的角度进行审慎监督;对系统的审计由事后转变为全过程监督。同时各业务部门在正式培训、推广使用新系统时,应邀请同级审计部门参加培训学习。对新系统开发审计时,应对新系统的今后可审计操作性提出要求,防止系统出现“拒审”等情况的发生。
6、加强IT审计队伍建设,提高央行内审从业人员综合素质。一是吸收计算机专业人员,把他们培养成审计人员;二是对现有审计人员开展IT知识培训和继续教育,培养成IT审计师;三是建立激励机制,推行IT审计师持证上岗制度,鼓励内审人员学习和钻研计算机知识,考取国家计算机资格等级证书,有条件的通过国际IT审计师资格认证。
(七)加强计算机辅助审计软件开发与应用,推进IT审计信息化建设。
参考文献:
[1]《内部审计思想》 (美)Andrew D.Bailey, (美)Audrey A.Gramling, (美)Sridnar Ramamoorti著;王光远等译,中国时代经济出版社,2006;1
[2]仲安妮.IT审计直面差距找准定位促跨跃.金融时报,2006-8-22
关键词:IT审计;传统审计;比较
科技的迅猛发展已经给整个社会的经济管理活动造成了巨大影响。IT审计是在原来传统审计的财务审计和管理审计基础上,由于科学技术向经济管理领域的渗透而产生的。然而,到目前为止,IT审计在本质上并不是独立于财务审计和管理审计的第三大审计分支,而是其中的一类审计形态,其原因在于网络环境的复杂性、实际操作的复杂性、与传统审计的融合程度等因素都制约着IT审计的发展,本文旨通过比较,将两者有机结合,从而提高IT审计质量,拓展IT审计技术方法在企业审计中应用的深度和广度,促进企业在审计上的变革。
一、 IT审计与传统审计在重大方面上是一致的
(一)IT审计与传统审计在基本概念及程序上大体一致
“独立性与客观性”、“权威性与公正性”等传统审计的基本概念在IT审计中得到了很好的体现。另外,IT审计独立于信息系统本身、信息系统相关开发、使用人员,由IT审计师依据法律规定,采用客观标准独立行使审计监督权,这与审计的“独立性与客观性”完全相同。同时,国际信息系统审计和控制协会(ISACA)对实行审计制度、建立审计机关以及审计机构的地位和权力都做了明确规定,这样使审计组织具有法律的权威性,其与公正性相辅相成。
(二) IT审计体系与传统审计体系结构基本一致
传统审计体系在逻辑结构上具有较强的严密性,“基本准则―具体准则―实务指南”是由抽象到具体的逻辑规则,这是会计准则、注册会计师鉴证业务准则等专业标准规范的常用结构,这使审计后续的具体工作便于寻找相应的准则条款,为审计工作提供便捷之处。IT审计所表述的“标准―指南―程序”准则框架在字面上与传统审计体系没有太大差别。其标准反应了信息系统领域的纲领性问题,指南是标准的具体化,程序则是一些工作规范,这与传统审计体系的三个层次是一一对应的。
从审计体系涵盖的内容上来看,传统审计内容的绝大多部分都包含在了IT审计体系的范畴之内。但是,相对于ISACA系会下的准则部制定的IT系统审计准则而言,我国的IT系统审计准则体系还不够完整,尚有若干项准则没有涉及,这应该在我国IT审计未来项目计划中予以考虑。
二、 IT审计具体内容方面存在两点点创新
(一) 安全性审计
在传统审计中,对于被审计对象的安全问题鲜有涉及,而信息的安全性问题关系到企业的生存与发展,是保持企业健康可持续发展的重要保障。IT审计中对于安全性审计做了详细的规范。安全性审计的主要目的就是审查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实可靠的信息,因此安全性审计也是真实性审计的前提。
(二) IT审计的软件测试方法与电子取证方法
审计方法贯穿于整个审计过程当中,而不只是存在于某一审计阶段或某个环节。随着IT审计系统实践的丰富与IT审计理论的发展,IT审计处理运用传统审计的方法外,还大量借鉴了计算机学科的一些方法为我所用。其中“软件测试方法”是IT系统审计的重要方法之一,较为经典的测试方法是黑盒测试与白盒测试。另外,某些会计数据和其他信息只能以电子形式存在,或只能在某一时点或期间得到①,在IT审计时对于这些电子数据的获取极为重要,需要确保IT审计人员发掘和收集充足可靠的电子证据,最终生成审计报告。
三、完善IT审计体系还应借鉴传统审计
(一)借鉴传统审计中的绩效审计,加强其实践可行性
传统审计将审计的真实性、合法性和效益性作为审计的目标。为适应建立市场经济的需要,审计机关从2001年以前主要从事的真实、合法性审计到90年代初期,审计机关对国有企业的审计开始向检查内部控制和经济效益两方面的延伸,绩效审计的重要性逐步凸显。②由于IT项目的功能复杂性、结构庞大性、周期延长性,使得IT绩效审计很难准确地评价如此综合性的IT项目效果,如何完善IT绩效审计在实践上的可行性是摆在我们面前的一项重要任务。
IT绩效审计应充分借鉴传统绩效审计中的经济性、效果性、效率性特征,围绕这“三性”进行展开。在“经济性”上,为了以最低的资源耗费获得一定数量和质量的产出,可以通过多方面的改良提高其节约程度。如美国Gartner Group Inc公司研发的ERP系统,其自动化程度很好,从而提高了IT绩效审计的科学性与可行性,避免不必要的开支。在“效果性”上,力图在IT项目上实现绩效监控动态化,为企业提供丰富的管理信息,并在企业管理和决策过程中发挥作用,动态监控管理绩效变化,及时反馈和纠正出现的问题。在“效率性”上,提高企业物流、资金流、信息流一体化管理的效率并且要善于管理信息系统,对信息系统应用价值的实现是IT绩效审计的最重要方面。
(二)借鉴传统审计的风险管理,发挥其制约性作用
《企业内部控制基本规范》把“应当关注研究开发、技术投入、信息技术运用等自主创新因素”列为企业识别内部风险时应当关注的六个因素之一。③伴随IT而来的风险、利益和机会使得IT风险管理成为企业管理的重要内容,也是IT审计中应该完善的部分。
借鉴传统审计对于企业风险管理中风险评估、控制与防范的流程,结合IT风险管理的环境特殊性,程序复杂性和数据多样性等特点,对IT审计中的风险管理应按照“识别信息资产―威胁的量化和定性―评估漏洞―改进控制差距―管理剩余风险”的流程进行。首先,识别组织业务职能并确定每个流程的信息敏感度。然后识别流程的每一个组成部分的现有控制措施,按严重程度将控制差距分类。最后,通过风险等级、成本和有效性的选择,创建风险基准线,以便日后定期重新评估风险所用。
四、 总结
通过对IT审计与传统审计的比较研究,我们发现:在基本内容、程序和体系结构等方面,传统审计与IT审计是协调的。在IT审计的软件测试方法与电子取证方法上,较传统审计来说有其先进性。但是IT审计的不完善性也是显而易见的,可以在绩效审计、风险管理等方面借鉴传统审计的优点,逐渐使IT审计广泛应用于我国的审计行业之中。通过传统审计带动IT审计的方式,使IT审计取其精华,去其糟粕,逐渐发展成为审计行业的新锐力量,是我国亟待努力的方向。
注解:
① 审计准则第1301号:审计证据
② 蔡春,刘学华.绩效审计论[M],北京:中国时代经济出版社,2006
③ 陈耿,韩志耕,卢孙中.信息系统审计、控制与管理[M],2014
参考文献:
[1] 肖杰浩著.Oracle 10g 数据库安全策略研究[M],计算机科学技术,2004.
[2] 陈耿,韩志耕,卢孙中著.信息系统审计、控制与管理[M],清华大学出版社,2014.
[3] 于海霞,我国IT审计面对的挑战[J],中国管理信息化,2011.
[4] 陈耿,网络环境下的信息系统审计职能与类型[J],南京审计学院学报,2012(1).
一、证券公司开展信息系统内部审计面临的问题和难点
(一)中小券商IT审计环境有待改善。
《证券期货经营机构信息技术治理工作指引》要求“证券公司应建立内部IT 审计制度,至少每两年进行一次IT 审计”,但一些中小券商的IT内部审计业务开展还不够深入。首先表现为公司高层对IT内部审计认识不足、信心不足:一是对内部审计的认识依然停留在传统的财务审计领域;二是认为内部审计难以胜任,信息系统专业性强而内部审计根本不具备专业能力。其次,作为被审部门的信息技术部门因其专业性强的特点,从未接受过内部审计,因此,工作上存在抵触情绪。再次,内审部门的人员也有畏难情绪,一旦IT审计不到位,必将加大审计风险。上述情况导致其内部审计很难在该领域有效开展。
(二)信息系统审计资源限制。
IT审计人员与审计技术工具是影响信息系统审计的两个重要资源因素。内部审计准则第28号要求,IT审计人员应当通晓IT技术并掌握内控、管理和审计技能。而实际工作中,在企业具有多年IT从业经验又具备审计技能的复合型人才较为缺乏。2002年中国大陆引入注册信息系统审计师(CISA)考试培训以来,截止目前获得CISA资格的人也仅1000余人,专业人才资源的缺乏制约了券商有效开展专业的信息技术审计。
审计技术工具是影响IT审计系统质量与效果的另一个关键因素。鉴于IT审计技术性和专业性极强的特点,内部审计部门配备访问控制分析软件、系统配置分析软件、测试数据生成器、固件监测器等技术工具往往又受制于企业的财务预算限制和公司对信息技术的安排。
(三)信息系统审计标准缺乏。
COSO-ERM框架提出企业的风险管理应建立在一系列指标或标杆基础上实施事项识别、风险评估与应对。证监会2011年12月以行业标准(JR/T 0060-2010)形式颁发的《证券期货业信息系统安全等级保护基本要求》也对证券公司设置了五个等级的安全保护能力标准,券商应根据业务发展和风险控制能力制定适合本企业的风险控制等级标准。但实际工作中,还存在券商并未建立IT控制基准或基准建立没有涵盖所有系统的现象,这就造成了IT审计中缺乏标准和依据。
(四)信息系统风险的识别与评估的体系尚未建立。
在证券公司日常业务中出现的服务器宕机、通信中断、网络病毒等方方面面的风险事件,会给证券公司带来巨大损失。很多情况下,证券公司对IT风险的管理仍然停留在风险发生之后的分析与补救,没有形成一套对潜在风险开展系统化的识别与评估的方法,定期的风险识别评估机制的缺乏、审计环境基础薄弱成为开展风险导向型信息系统审计所面临的一个难点。
二、证券公司开展信息系统审计的对策
中国内部审计协会2009年1月1日正式施行的《内部审计具体准则第28号——信息系统审计》也标志着国内在内部审计领域开展的IT审计走向成熟,准则的颁布对证券公司信息系统内部审计工作具有重要的指导意义。针对证券公司信息系统审计所面临的问题和难点,本文从以下方面探讨其解决方案。
(一) 促进内部审计环境的不断改善。
内部审计效能发挥的关键取决于公司高层对内部审计的态度,为营造良好的内部审计环境应从以下三个方面入手:
1.加强内部审计准则和风险导向审计理念的宣传。证券公司高层对现代内部审计在企业全面风险管理(包括IT治理)中作用正确认识,才能使内部审计能够从公司高层获得信心支持、立项支持与财务支持,IT审计才能有效地开展。
2.内部审计应该树立主动服务意识与沟通意识。开展IT审计不只是对IT系统的检查和问题的揭示,更应该是协助公司高层,帮助信息技术部门把控IT风险,防范证券业务风险。因此沟通技巧也是有效开展IT审计的重要影响因素。内部审计部门在沟通方面,应积极主动与公司高层加强沟通以获取支持,与IT管理部门平等、协作取得IT部门的理解、配合,目的在于维护IT系统的安全运行。
3.内部审计人员不断加强信息系统学习。IT审计人员应该积极掌握和熟悉内部审计业务,具备必要的信息技术及信息系统审计的专业知识,克服畏难情绪,知难而进,树立“有为才有位”的观念。
(二) 建立并实施内部审计发展规划,化解IT资源稀缺的矛盾。
证券公司应该结合行业的发展、业务的开展和管理的需要,重新定位内部审计,建立内部审计发展规划,将审计资源稀缺问题纳入到证券公司的整体发展规划之中。
1.内部审计部门应该结合业务的发展,配备适当的IT审计人员。通过内部培养、外部引进相结合的方式发展IT审计人员,鼓励审计人员取得注册信息系统审计师职业资格,通过人员选聘、培训、技术设施配备等措施化解IT审计资源不足的矛盾。在审计部门暂时不具备IT审计能力的情况下,内部审计部门可以聘用外部专家或内审业务外包的形式开展IT审计,通过审计成果,提高内部审计的履职效能。
2.证券公司应结合业务发展和审计的需要给予必要的支持,在系统权限、专业审计工具引入、财务预算分配等方面放宽限制,确保IT审计质量和审计效果。
(三) 推动证券公司建立明确的IT控制标准。
建立并应用明确的IT控制标准作为审计依据可以提高审计的质量与效果。鉴于证券监管机构已推出《证券期货业信息系统安全等级保护基本要求(试行)》等行业规范,在物理安全、网络安全、主机系统安全、应用安全和数据安全等技术上的五个层面以及安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面已做了明确的要求,IT审计人员应在审计过程中推动公司建立适合公司自身的IT控制标准。
在企业尚未建立全面、明确的IT控制标准情况下,审计人员应当根据实际情况,结合企业战略、目标、风险偏好及成本效益等因素,采用国际通用标准与成熟实践(如COSO、COBIT、ISO27001等)作为审计的依据,同时推动IT治理层对这些标准的认可和采用。
(四) 积极探索IT审计方式,促进IT治理不断完善。
内部审计部门应结合本公司的实际,在IT审计开展初期,审计部门应加强内部审计准则和证券行业的IT监管要求的宣传,使公司从董事会、经营层到业务部充分了解IT控制规范,认识IT治理、防范IT风险的重要性。审计部门通过选派审计人员深入IT业务部门蹲点学习,开展系统的IT调研和IT自查活动等,帮助IT部门发现问题,共同探讨解决方案,提出富有成效的建议。通过转变IT审计方式与成果运用,引领、促进IT控制标准的建立,IT自我评价标准机制、IT监测机制的改进,促进IT治理的不断完善,从而为IT内部审计的有效开展创造良好的环境条件,以达到相互促进,共同发展的目的。
(五) 建立完善的信息系统审计策略。
1.建立系统化的审计实施流程。实施信息系统审计的首要任务是找出证券公司所面临的各类信息系统风险,对所有的信息系统风险进行系统地分类与识别。内部审计部门对风险的识别和评估有别于IT部门的定期风险自查式识别、评估,它是建立在IT风险评估基础上的再评估,审计中不仅关注对识别风险的控制恰当与否,还要从第三方角度发现未识别和未控制的风险,评价风险识别机制,这也正是IT审计的核心所在。
2.建立系统化的风险识别标准。我们在进行风险识别过程中,采用中国内审协会《内部审计具体准则第28号——信息系统审计》,它对信息技术风险的分类进行了规定,将各类IT风险归类为组织层面的IT风险、一般性控制层面的IT风险及业务流程层面的IT风险3个层面。
其中,组织层面风险是指IT治理、控制环境与组织框架等方面的风险;一般性控制层面的风险主要指IT基础设施与运行风险;业务流程层面风险指应用系统在业务数据输入、处理与输出过程中所产生的风险。各层面风险既有独立特征,又相互关联。
我们在对IT风险识别过程中,可以借鉴国际通用的IT风险控制的分类方法,如COSO框架的5项要素(内部环境、风险评估、控制活动、信息与沟通、监控)或是COBIT框架的4个领域(计划与组织、获取与实施、提供与支持、监控与评价)。尤其是通过将现行内部审计具体准则与COBIT相结合的方式,可以更加系统与清晰地对IT风险进行有效识别。
3.设计并运用适当的风险评估模型。风险评估过程是对已经识别的证券公司IT风险进行风险度、重要度的测量与排序。风险评估的技术与方法有很多种类,不同的风险评估方法也有不同的优势与缺陷。我们根据证券公司IT风险特点设计了“综合矩阵”评估方法,即主要针对信息系统的技术复杂性、控制水平以及可能造成的财务损害等因素在规定的范围(如根据风险高低取值10-0分)内以定性与定量相结合方式进行风险评分,并对累计分值排序,决定审计的优先级。
[关键词] COBIT IT外包 风险管理
一、COBIT标准综述
COBIT(Control Objectives for Information and related Technology)是美国信息系统审计和控制协会ISACA(Information Systems Audit and Control Association)基于其原有的控制目标体系(Control Objectives),结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,是国际上最先进、最权威的安全与信息技术管理和控制的标准。COBIT控制目标体系是一个较完整的信息系统管理和控制的参考模型,它将政府和企业的信息化归纳为34个IT处理过程,并逐个提出指导意见。通过将COBIT应用到信息系统的开发和实施环境,可以为管理人员、开发人员和审计人员来强化和评估信息技术外包风险的管理和控制提供依据。
二、IT外包的风险分析
企业IT外包处于IT战略中的资源管理层面,是帮助企业将注意力更多地投入到商业管理而非信息技术管理,进而更专注地追求核心竞争力的一条途径。尽管IT外包愈来愈普及,但外包失败的案例并未因此而减少。IT外包风险的表现就是外包失控。由于把部分或全部IT资源外包给企业外部的服务商,企业对服务商的管理就要比管理自己的IT部门复杂得多,时刻会面临失控,主要表现在以下三个方面:
风险一:IT外包可能会在服务的及时提供和服务的质量方面达不到预期效果。
风险二:企业对承包商的依赖度高反而降低了企业的灵活性,企业成本不降反升。
风险三:企业的商业机密可能会被泄露,知识产权可能会被盗用。
三、基于COBIT的IT外包风险管控体系
COBIT的控制目标主要是针对信息系统的管理控制和运行控制,COBIT提出的控制目标可以应用到所有的信息系统。因此,它的控制目标对IT外包系统来说大部分是适用的,但因其业务特殊性,必须结合发包企业的具体环境和承包商的实际情况,加以修改、补充和完善。
1.组织与规划
系统规划是IT外包项目建设的第一步,包括发包企业的战略目标、政策和约束、计划和指标分析;发包企业原有的建设目标、建设模式;企业信息的功能结构、组织、人员管理;IT外包的效益分析和实施计划。规划的好坏对IT外包项目的建设的成败有至关重要的影响。
整个信息系统的建设要以优化企业的核心业务流程,提高工作效率,更好地发挥企业综合协调与服务的职能为总体目标。规划必须满足:规划本身应当明确无误而且易于理解,应当是一个可以为大多数人所理解和认同的概念。规划必须得到领导小组的认可;规划目标应当是可衡量的;规划必须建立在对内外信息调查的基础上制定。
2.获取与实施
系统分析是在充分的调查的基础上对企业内部的整体管理状况和信息处理过程进行分析。系统分析的工作量非常大,所涉及的业务、人、数据和信息非常多。而且在实际情况中,企业信息化的需求难以一次确定,并且会不断发生变化;另一方面,承包商对政府的具体业务业并不熟悉,常常会发生理解上的偏差,从而导致建模的错误。因此,完成的系统分析必须满足以下一致性、完整性、现实性和有效性这四方面的要求。然后在系统分析的基础上,研究承包商外包方案的可行性,制定相关技术标准、实施规范。
3.服务与支持
发包企业的需求是不断变化的,商业目标也是随着企业的发展而逐步更新的,承包商要做好完善的数据跟踪,在可行范围内满足发包企业的需求,不断改进和修正开发计划中遇到的问题和缺憾。
4.审计
IT外包项目在发包企业实施以后,系统的可靠性、安全性和有效性是非常重要的,系统中的信息成为政府最宝贵的资源。内部审计是在政府内部建立信息系统审计组织,由内部信息系统审计人员对电子政务系统的可靠性、安全性、有效性进行检查与评价,将结果报告给政府管理层。内部信息系统审计部门,从组织地位上来讲必须独立于政府的IT职能部门和最终用户部门。
构建基于COBIT的信息系统管理、控制与审计模型,将便于人们对信息系统建设与应用过程的理解与分析,指导人们建立相应的机制,将信息系统建设与应用的全部过程置于有效的管理与控制之下。对信息系统的投资者和管理者,将帮助他们在通常不可预测的IT环境下平衡风险与投资。对信息系统的使用者,将通过管理、控制和审计为他们提供安全保障和一定的服务水平。对审计师而言,将帮助他们明确审计轨迹,使他们做出的鉴定和劝告更具说服力。
四、总结
通过构建基于COBIT标准的信息技术过程集,我们可以把对IT外包的风险管理细化到各个过程,构建过程的风险管理模型,从而化繁为简,使复杂的IT外包业务管理、控制和审计结构化。对IT外包拥有正确的风险管理思想为指导,能够促进健全的管理机制建立,便于技术与工具的应用,使风险管理过程更加规范化。
[关键词]IT审计;挑战;策略
随着信息技术的兴起,信息系统已经渗透到社会生活的方方面面,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计(InformationTechnologyAudit,以下简称IT审计),保证信息系统安全,摆在我们面前。本文拟对此进行探讨。
一、IT审计的定义及其特点
IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。由以上定义可知,IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性,最终达到强化企业内部控制的目的。
该审计过程具有以下特点:
1.IT审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
2.IT审计的对象综合且复杂。IT审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.IT审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但IT审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
4.IT审计是一种基于风险基础审计的理论和方法。IT审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、我国IT审计面对的挑战
IT审计和传统审计相比具有的上述特点是吸引我国众多企业引入IT审计的重要原因,但是这种方法的应用又会给企业提出巨大的挑战。
1.传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸张记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出,使用绕开计算机系统的审计方法,并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改,则其派生的记账凭证金额和账户余额及报表数据也一定会出错,打印出的数据也不能作为审计证据。因此即使打印出所有电子数据,传统审计线索也会在计算机信息系统下完全消失。
2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在IT审计的工作中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是IT审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。
3.IT审计专业人才匮乏,适应IT审计事业发展的人才培养和管理机制还有待建立和健全。由于IT审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、我国IT审计应对策略
面对上述挑战,我们应当多方位、多角度制订措施,使IT审计工作更好地为我国企业发展做出贡献。具体措施如下:
1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段,另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
2.确保信息系统的信息安全。为了保证信息系统的信息安全,IT审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外IT审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。
国际IT审计已有公认标准
商业银行是IT应用最广泛和深入的行业,鉴于信息系统对业务及运营管理的支撑作用,发达国家的商业银行非常重视IT审计,多数在内审部门设立专门的IT审计机构,其工作量约占内审工作的1/3。在审计内容安排上,其范围基本覆盖了信息系统生命周期中的所有IT活动,包括基础设施和应用软件的开发、上线、运行、维护等过程;将IT审计与业务审计结合起来开展综合审计;一些大型银行还针对系统特殊事件开展专项审计,评价IT项目风险。
目前,国际上最为IT审计界广为接受的标准是“信息及相关技术控制目标”(COBIT),它是美国信息系统审计与控制协会(ISACA)的IT治理及审计标准。COBIT从体系化、标准化的高度,构建了关于信息系统投资、建设、控制、评价、审计的知识体系和方法论,在业务风险、控制需求和技术问题之间架起了一座桥梁,以满足管理的多方面需要。COBIT是当前国际上公认最先进、最成熟的IT控制和审计高层框架,已在100多个国家的重要组织与企业中得到应用。
COBIT的主要目标是面向业务,其框架设计基于以下原理:提供实现业务目标所需的企业信息,企业需要采用一系列结构化的IT流程来投资、管理和控制IT资源,提供服务以交付所需的企业信息。管理并控制信息是COBIT框架的核心,这有助于确保IT与业务需求保持一致。COBIT将IT流程、IT资源和业务需求(信息标准)联系起来,构成一个三维体系结构。其中,“信息标准”维集中反映了企业的战略目标,包括信息及信息系统的质量、安全性和可用(信)性;“IT资源”维主要包括人、应用系统、技术、设施及数据在内的信息相关资源,这是IT治理过程的主要对象;“IT流程”维则是对信息及相关资源进行运作的一系列IT活动,涵盖了信息技术规划与组织、获取与实施、交付与支持、监控4个领域、34个过程、318个活动及其控制目标。该标准之所以广受认可是基于如下四个特点:
―COBIT为美国信息系统控制与审计协会(ISACA协会,下同)所推出,而ISACA本身就是一个审计师和控制师的组织,其主要目的和动机就是评估IT控制和实施IT审计。依托COBIT实施审计,有其先天的合理性。
―COBIT实现了组织的总体战略与IT战略之间的互动,依据COBIT实施审计,有利于IT审计工作保持与组织战略目标的高度一致而不至于发生审计目标的偏离。
―COBIT可以帮助审计部门与管理层、IT部门达成共识,并提供了彼此之间有效沟通的共同语言。
―COBIT将IT工作分解为一系列细化的过程和目标,使得IT管理工作简易并量化,减轻对信息系统管理工作的复杂性,同时,也为IT审计的实施提供了一个细化的系统化框架,使得IT审计易于操作实施。另外,还可以利用COBIT提供的责任矩阵分解框架,做到基于角色的IT审计。
我国商业银行IT审计任重道远
相较于以上公认的IT审计国际标准,当前国内多数商业银行的IT审计尚有较大差距,尤其是在以下几个方面还存在明显不足。
专业人力资源匮乏。各银行虽然近年来引入了一些IT人员。但受多年以来惯性和存量的影响,内审人员绝大多数都是财会、经济专业出身,IT技术专业出身的审计人员数量很少,一般占比在4%以下,与需要承担的IT审计工作量和工作难度相比,数量和专业能力缺口很大。
经验不足。多年来我们对财会、信贷等传统业务审计已积累了丰富经验,基本有成例可循,而IT审计刚刚起步,处处都需要研究、探索。而且,作为被审计对象的财会、信贷等传统业务本身已经相对成熟稳定,而IT技术进步日新月异,新产品层出不穷,银行应用系统更迭频繁,即便是已有的审计经验也往往不过两年就会过时。
工作负荷和工作难度大。大型商业银行在用系统往往达近百个,且新系统上线不断,加之银行应用系统规模庞大、技术架构复杂,IT专业分工又日趋细致,要对其实施全面、深入、定期的审计困难极大。
审计规范体系有待建立。虽然个别银行制定了IT审计规程、IT审计方案,但是或者比较粗略,或者尚不够全面,完备、细致的IT审计规范体系有待建立。
审计内容有待深化和扩充。目前国内银行内审部门所实施的IT审计一般都局限于系统开发、系统运行的操作控制和流程控制层面,而缺少从IT治理高度针对银行IT组织架构、运行机制的高层次的审计,缺少对信息系统绩效的审计,缺乏更复杂、更为专业的信息系统应用控制审计等。
我国IT审计改进要点
对照上述国际IT审计标准,目前国内商业银行IT审计工作的重点应当是围绕业务这个中心,制订一套开放的IT审计规范体系,明确审计领域及目标,确定业务、IT和审计人员共同接受的审计标准,并遵从一致的方法和程序组织实施。建议主要采用以下步骤来实现。
以业务为中心规划IT审计领域
商业银行的IT因业务而存在,离开业务需求IT也就失去了在商业银行的存在价值。IT技术能力在使用IT资源的同时也创造了新的IT资源,作为一个资源整体为运营能力提供支持,通过提高业务能力实现业务收益。业务对IT的需求是自上而下的,始于增加银行收益的业务目标,终于技术能力的实现;反之,IT价值的实现则是自下而上的。因此,IT审计的首要目标是确保IT能合理保证业务目标的实现,以业务为中心,以风险为导向规划IT审计领域,确定IT审计内容。主要包括规划与组织、获取与实施、交付与支持、监督与评价是IT审计的四大领域。
以流程为组件确定IT审计范围
审计领域为IT审计指明了方向,确立了以业务为中心的总体审计目标,在具体实施中,还应进一步细分,以识别相对独立的IT流程,归纳出4个领域的33个流程,主要包括:在规划与组织领域分为战略规划、信息架构、技术方针、组织架构、财务管理、管理目标贯彻、人力资源管理、质量管理、风险评估与管理和项目管理等流程。在获取与实施领域分为可行性研究和需求分析、应用系统开发与维护、基础设施、运营知识保障、IT资源采购、变更管理、系统测试与等流程。在交付与支持领域分为服务水平管理、供应商管理、容量和性能管理、业务持续性计划、信息安全管理、IT成本确认与分摊、用户培训、服务台管理、配置管理、问题管理、数据管理、物理环境管理和运营管理等流程。在监督与评价领域分为IT业绩评价、内部控制评价和IT合规性等环节。
在不同审计项目中,可根据流程相关性及风险评估结果选择关键IT流程作为具体审计内容;每个流程又细分为若干项活动,对应于IT流程内的工作阶段或子流程,每项活动在流程内按顺序编号,审计人员可据此确定详细的审计范围及审计程序。
以控制为基础设计IT审计程序
控制是指为合理保证IT目标的实现,预防、检查和纠正非预期事件的发生所制定的一系列政策、规程、实务和组织架构。一旦设定了流程的控制目标,内部控制系统应持续检查流程结果等控制信息,并在出现偏差时及时采取纠正措施。控制目标为IT流程提供了一系列完整的高层需求,在用于管理层对流程进行有效控制的同时,也可用于审计人员检查流程的运行效果及效率。商业银行的内部控制系统在以下三个层次上影响IT:首先,高级管理层设定银行业务目标、制定政策,对如何部署和管理资源做出战略决策。IT控制环境受控于这些高层目标和政策。其次,业务流程层控制具体的业务活动。许多业务流程与IT应用系统进行了整合,这些流程中的控制也多数嵌入到业务应用系统中,称为应用控制,如:信息完整性、准确性、有效性、授权、职责分离等。虽然应用控制需要IT职能予以支持进行设计和开发,但其建立和管理都是业务部门的职责。再次,为支持业务流程,IT通常采用共享服务的方式为多个业务流程提供IT服务。这些嵌入IT流程、应用于所有IT服务的控制措施称为一般控制,如:系统开发、变更管理、信息安全、计算机运行等。一般控制的可靠运行是应用控制可靠性的必备条件。
以风险为导向组织IT审计实施
xIT审计工作组是世界审计组织的重要专业课题研究机构,其目标是促进世界审计组织各成员国之间在IT审计领域的知识共享。
近年来,该工作组在历届委员会、工作组主席的领导和各成员国的共同努力下,致力于研究IT审计的发展、交流IT审计的经验、制定IT审计指南和培训教材、举办效益审计研讨会,开展了卓有成效的工作,发挥了重要作用,有力推进了世界各国最高审计机关IT审计工作的开展,受到广泛好评。
作为IT审计工作组的成员,中国审计署一直以积极开放的姿态参与工作组的活动,多次派出代表团参加IT审计工作组会议。我本人曾于2003年9月参加了在挪威奥斯陆举行的IT审计委员会第12次会议,并作了《中国电子政务与审计信息化》的专题发言。
此外,中国审计署还派专家参与IT审计课题研究,组织撰写国家论文,在与国外同行分享中国审计经验的同时,也学习和借鉴了各国最高审计机关的先进做法,从而使我们能够立足本国实际,更好地推动IT审计的发展。中国审计署相信,在各成员国的共同努力下,IT审计工作组将取得更大的成绩。
2008年以来,国际金融危机在全球蔓延,严重威胁着世界各国的发展进步。中国政府统揽全局,果断决策,全面实施了包括四项政策措施在内的“一揽子计划”,统筹做好保增长、调结构、促改革、惠民生的各项工作,积极应对国际金融危机。一是大规模增加政府投资,实行结构性减税,扩大国内需求,全面促进经济平稳较快发展;二是大范围实施调整振兴产业规划,提高整体竞争力;三是大力推进自主创新,增强发展后劲;四是大幅度提高社会保障水平,扩大就业,促进社会事业发展。经过中国政府近两年的工作,中国经济回升向好的趋势不断巩固,社会经济发展取得显著成效,稳定了经济,稳定了就业,稳定了社会。
其间,中国的审计工作紧紧围绕经济社会发展这个中心,紧紧围绕应对国际金融危机、保持经济平稳较快发展这条主线,集中力量开展卓有成效的全过程跟踪审计,保障了应对国际金融危机各项措施的落实,保证了财政资金使用的安全、合理和有效。审计作为维护国家经济安全的有力工具,主动为国家建设服务,依法查处违法违规问题,推进反腐倡廉建设,并立足于从体制机制和制度层面揭示和反映问题,促进完善法制,充分发挥审计保障国家经济社会健康运行的“免疫系统”功能,审计工作的层次和水平不断提高。
近年来,中国的IT审计也取得了较快的发展。我的前任――现任全国政协副主席李金华先生曾经说过,中国审计取得很大的成绩,计算机技术功不可没,没有计算机技术,很多重大问题是查不出来的。
从中国近些年的实践看,国民经济主要领域进入信息化发展阶段之后,作为监督部门的审计机关,其工作手段、技术方法、组织方式乃至工作思维都要与之相适应并充满信息化色彩。当前,IT审计还面临着如何应对新的形势、如何深入发展的问题。本次研讨会所讨论的“衡量IT项目有效性和投资成功的效益指标”就是一个很好的主题。中国审计署已经确定,到2012年,所有的审计项目都要开展绩效审计,绩效评价指标体系必不可少。建立一个适用的、能得到业界广泛认同的衡量指标体系,促进IT项目绩效审计的规范化,正是世界审计组织IT审计工作组能够发挥作用之处。可以想象,世界各国最高审计机关对我们充满期待。
审计监督是一个国家政治制度不可缺少的组成部分,是民主法治的产物和推进民主法治的手段,是维护国家经济安全的重要工具,是保障国家经济社会健康运行的一个“免疫系统”。
作为最高审计机关,我们责任重大,而信息化环境又给古老的审计职业以崭新的挑战。当今世界经济一体化速度正在日益加快,世界各国和地区间的沟通和联系正在日益加深,IT审计的成果和经验需要传播和分享。
中国审计署愿意借助IT审计工作组这个平台,不断加强与世界各国最高审计机关的交流与合作,在为世界IT审计的发展做出自己应有贡献的同时,学习、借鉴世界各国的做法和经验,不断完善中国特色社会主义审计监督制度。
然而――
7月5日,中国第一家海外上市公司――华晨中国汽车控股有限公司从美国纽约证券交易所退市了!
一位在美国上市的中国公司的财务管理人员告诉记者,让华晨不堪重负的,正是为了遵循《萨班斯―奥克斯利法案》(简称萨班斯法案)而不得不向审计公司支付的巨额咨询、审计费用,以及高昂的内部遵循成本。与这笔支出相比,华晨在纽约交易所融到的资金却非常有限。
这边是退市,那边却是欢庆通过萨班斯法案。仅今年上半年,就先后有华能国际电力股份有限公司、中国网通集团(香港)有限公司、中国人寿保险股份有限公司、中国石油天然气股份有限公司等大型企业通过了萨班斯法案。
然而,同样是通过萨班斯法案,各公司不仅实施的成本不同,对IT手段的依赖程度也各不相同。有的企业除了已有的IT系统外,并没有为萨班斯法案采购新的IT设备,而是通过人工的手段完成控制点的文档收集和整理;有的企业则采用了一些基本的协同工具,分担一部分人力工作。
慧点科技商业流程与控制事业部总经理吴大军指出,如何利用IT系统来帮助企业符合萨班斯法案的要求,也正是企业头疼的问题。“第一年法规遵循的时候,首先解决的是从0到1的问题,企业为了通过萨班斯法,甚至直接让咨询公司采用手工的方式先把报告交出来。如今,企业已经有时间来思考,到底怎么利用IT工具提高效率。”这位人士表示。
渐显IT“智障”
缺乏内控的IT系统,是中国企业在遵循萨班斯法案过程中所遇到的最大挑战。中国企业IT系统重建设、轻维护的老传统,使得IT系统不能完整实现其管理功能,在业务与IT密不可分的趋势下,传统IT系统渐显“弱智”。
如果有人告诉你,中国企业在遵循萨班斯法案过程中,遇到最大的挑战是IT系统,你是否会非常惊讶?
2002 年7 月通过的萨班斯法案本意是促使在美国上市的公司通过加强内部控制,来改进自己的治理状况,提高治理水平,恢复投资者对美国资本市场的信心。一般来说,萨班斯法案会涉及公司层面、业务流程及IT管理3大方面。
“信息化投资占企业整体投资的比例越来越大,企业中越来越多的业务流程都建立在IT系统之上,管理业务就是管理IT,两者不可割裂。”ITGov中国IT治理研究中心专家孟秀转表示。但她同时指出,在任何一家公司里,财务控制都是管理的重头,相关的规章制度也非常严格,而IT内控更是很缺乏,面临的挑战也要大得多。
2005年初,在美国纽约证券交易所上市的中国人寿保险股份有限公司启动了萨班斯法案遵循工作。“当时的现状很不乐观。”中国人寿萨班斯法案404项目组的一位负责人这样评价。中国人寿2005年的年度报告显示,根据香港准则与美国公认会计准则统计的数字出现了重大差异,作为外审机构的普华道,也指出了中国人寿与信息系统相关联的实质性漏洞。
导致这个漏洞的主要原因,就是IT系统的集中管理程度不够。中国人寿信息技术部项目管理处的一位负责人解释说,这与中国人寿总部信息技术部一直立足于服务的角色定位有关,而按照萨班斯法案的要求,信息技术部更应侧重于管理,包括加大对分公司信息系统、系统建设、运维、数据等集中管理的力度,降低分散管理隐含的风险。
2005年,中国人寿制定了一份《信息技术管理制度》。“这是一件开历史先河的事情。”404项目组的负责人表示。以往,中国人寿并不是没有IT方面的制度,但是相关的制度很零散,如分别面向防火墙、IT采购、安全备份等方面的。而这套新制度涵盖了IT的各方面,梳理出了公司应该具备的流程和控制点。这个管理制度解决了管控范围、管控思路以及管控标准的问题,只要达到这些控制点,至少能保证不会出错。
“外审公司披露的漏洞对中国人寿的帮助还是很大的,我们试图从中理解外审做出这样评价的意图,从而分析外审会更注意哪些问题,这些经验也为公司2006年年报的顺利过关提供了经验。”该负责人表示。
当然,从理论上来说,全国数据大集中的实现是这个漏洞的终极解决方案。因为一旦大集中,公司总部就能从数据层面掌控所有资源,把管理风险从分散的地方完全集中到总部。据了解,中国人寿计划在全国建立南北两大数据中心,目前选址已经完成,正在进行前期筹备工作。
今年3月底通过萨班斯法案的中海油,同样面临着IT治理和IT控制这个新问题的挑战。“我们刚开始做萨班斯法案遵从的时候,并没有把IT当成非常复杂的工作,做了以后才发现,萨班斯对国企IT的管控架构产生了很大影响。”中国海洋石油有限公司萨班斯法案404实施项目组的一位负责人如是说。
让他印象最深的有一点:过去IT系统往往重建设、轻维护。过去员工使用IT系统的时候,往往认为,“谁建的系统谁负责”,而一些系统管理员拥有超乎一切的权限,成为IT系统里的“领导”;实际上,根据职责不相容的原则,IT系统的应用层和后台管理必须严格分开。
以前,中国人寿的IT人员较欠缺,尤其在分公司层面,往往会出现一个人兼数岗的情况,从开发、应用,到运维、硬件管理都要负责。根据萨班斯法案404内控的要求,数据库、操作系统可以是一个人负责,但是应用系统与数据库管理员这样的前台操作和后台管理一定不能是同一个人。否则应用系统维护人员修改数据时,又能从后台数据库的行为日志里清除数据,从而增加了很多风险。
搬走“绊脚石”
根据萨班斯法案的要求,参照COSO模型和COBIT框架进行整改,是在美上市企业无法回避的选择。中海油和中国人寿搬走“绊脚石”的方法不尽相同,但殊途同归,借助IT系统的强制性,来规范管理。
虽然萨班斯法案直指的是财务报告的真实、准确,但是很多公司的财务报告流程都是由IT系统驱动的。可以说,IT是保证财务报告内部控制的有效性的基础,IT的控制至关重要。
这也是很多在美上市公司根据萨班斯法案的要求进行整改时,参照COSO模型和COBIT框架的原因。参照COSO框架很好理解,因为它包括控制环境、风险评估、控制活动、信息交流、监督等5项要素,已经成为世界通用的内部控制权威文献。
而COBIT(Control Objectives for Information and related Technology,信息及相关技术的控制目标)很明显是一个IT治理的框架。问世11年的COBIT,从规划与组织、采集与实施、交付与支持、监控4个方面确定了34个处理过程以及318个详细控制目标,并能将IT流程、IT资源及信息与企业的策略与目标联系起来,在企业业务战略指导下,对信息及相关资源进行规划与处理。
我们从中可以看出,COSO与COBIT的映射关系。这些现成的流程和框架有助于中国公司初步梳理出流程,外审公司会帮助做一个控制矩阵。中国人寿把这个控制矩阵与公司的制度做了映射,明确指出一个控制点应该对应制度的哪些条款,并从2006年初开始在全国大力扩展。
中海油为了萨班斯法案的遵循工作,采用了IBM的WBCR系统。这个2005年开始建的系统,于去年7月通过验收。项目小组把它当做一个文档管理、数据管理、测试结果集中的平台,能够对一个项目组的工作起到协同的作用。“我们可以把控制、风险都放在同一个系统中,比如哪些控制点需要测试、什么时间测试的、测试的结果如何。否则,我们可能还在用EXCEL表格,那样至少需要1~2个人专门进行文档更新等工作。”其项目组的一位负责人表示。
目前中国人寿还没有进行额外的IT采购以应对萨班斯法案,但这并不表明中国人寿没有考虑这个问题。
“从2005年开始,我们就有了这样的想法,即最好是通过一个IT管理平台实现流程的自动化管理,覆盖发起、办理、审批、评估、定期抽样检查这样一个工单处理的全过程,这与纸质管理将完全是两个概念。”中国人寿404项目小组的某位负责人表示。这个自动化管理,被中国人寿称为ITI,也就是IT系统自己的信息化,已从今年开始正式启动。
当然,美国企业在IT采购上行动得更早,比如购买Movaris公司的Certainty法规遵从工具。AMR研究公司的分析师John Hagerty说,购买404条款法规遵从跟踪工具平均需要花费10万~15万美元。
那么,类似的IT工具和IT系统能够给企业带来什么好处呢?
首先,公司的管理将更加规范。一项管理的内容,从公司的总部传达到各省分公司,再到各地市级公司,最后落实到一个个具体的人,中间将跨越众多环节,也很容易发生管理的失效。采用信息系统则能把所有的管理都固化下来,如果下一级机构不按照这个流程去做,就没有办法进行下去。在IT系统的强制下,管理会更加规范。
其次,公司的效率将得到提高。“中国人寿全国35个省级分公司,加上总部一共是36个点,每个点需要2~3人。这些人需要检测每个控制点是否都具有支撑性文档、控制是否有效,一次管理层测试就要耗时2~4周。”中国人寿404小组的某位负责人表示。
如果没有IT工具做支撑,工作人员必须用手工翻阅的原始的纸质文档。上了信息系统之后,信息可以分门别类地在信息系统中管理起来,能够方便地查询和调用。企业还可以对不同人的权限加以区分,有效地提升企业的管理效率。
第三,有利于公司的整改。企业在遵循萨班斯法案的过程中,首先要将公司内部控制的现状和外审公司给出的目标进行对比,并从有问题的流程入手进行整改。然而,导致公司某个流程出现问题的原因有两方面,一是公司原来流程的设计有问题,二是员工的执行力过弱,导致控制结果没有达到预期。
在过去,一个问题从它发生的节点反馈到业务部门,至少需要一个月的时间,而采用信息系统以后,管理人员只要拥有权限,就能随时查看,到底是哪里出现了缺陷,并针对性地采取措施。
关键在“人”
遵循萨班斯法案的内控要求,即使采用了IT系统和IT工具,相关的文档、日志也在系统里保留下来,但最后还需要人去对这些信息进行深层次的挖掘。因此在企业内控的人、技术、流程3大因素中,核心因素在“人”。
“很多企业第一年做萨班斯,往往关注硬性指标,如定制度、买设备、定流程,甚至寄希望于一套设备帮忙固化流程。然而,如果人没有风险意识,这些东西都是白搭。”ITGov中国IT治理研究中心专家孟秀转说。
因此,她格外强调控制环境的重要性。中海油的思路与她的观点不谋而合。“其实404的实施标准并不是审计师来制定的,而是取决于公司管理层的认识。”中海油萨班斯法案404实施项目组的一位负责人说。比如一项工作应该由谁来审批,这些内容都是公司决定的,一般外审会给出建议,如果这么做,可能存在怎样的风险,但是最终对风险进行认定和分析的还是公司。
中国人寿萨班斯法案404项目组的某位负责人认为,萨班斯法案带来的最大改变,就是很多工作都需要审批。这使得以前那种以工作内容为中心的工作流程,变成了规范而一致的办公流程。以往,领导安排一项工作可能只需要口头通知或者EMAIL通知,如今却必须按照相关的流程,说明布置这项工作的理由,受理该工作者必须签字确认。
记者在采访过程中,深刻地感觉到萨班斯法案改变了公司员工遵守内控制度的态度。一位受访者要求记者的稿件发表之前,必须接受公司相关部门的确认,“这个流程是我们项目组提出来的,如果不这么做,就是在这个控制点上出现了内控失效。”
这也正是孟秀转反复强调的,“在企业内部控制中,在人、技术、流程三大因素中,人是最主要的因素。”即使采用了一些IT系统和IT工具,相关的文档、日志也在系统里保留下来了,最后还需要人去对这些信息进行深层次的挖掘,包括问题在哪里,是流程的问题还是执行的问题,这些都只有人才能判断。
专家们认为,遵循萨班斯法案的巨额资金投入中,比例最大的其实是支付给咨询公司和审计公司的费用,而不是IT投资和IT内控上的费用。在这些投入中,除了资金、人力成本外,还包括公司上上下下的工作人员为配合404项目的工作而付出的工时,这些潜在的成本会更大。
“其中一部分成本投入,如备份体系的建立、安全措施的整改、人员补充等,是有利于企业发展的,我们叫良性增长。但是还有一些属于现有工作外的额外工作,如整改、流程明确、管理层测试等带来的人员、成本投入,数量也相当大。”中国人寿404项目组的某位负责人表示。
而这部分不属于“良性增长”的成本投入,正成为很多公司抵触萨班斯法案的原因。在吸取了上市公司和审计公司的意见之后,今年上半年,美国证券交易委员会(SEC)通过了一份新的财务报告内部控制管理层评估指南,美国公众公司会计监督委员会(PCAOB)也通过了审计准则第五号,以替代原来的审计准则第二号文件。
这两个调整,也被业界认为是萨班斯法案的有利变化。具体来说,新的第五号准则要求审计师采用从上到下的、风险导向的方法,引导上市公司将精力集中于那些可能导致重大错报的领域。而新的评估指南则指出,审计师不一定需要对管理层内部控制评价程序的恰当性发表意见。
[论文摘要]现代风险导向审计是以被审单位的经营风险为出发点,将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,也并未考虑IT带来的影响。在IT环境下,审计风险判断应以流程(包括业务流程和IT流程)为中间环节,建立基于流程的审计风险判断方法。
现代风险导向审计以被审单位的经营风险为出发点,相关的风险评估结果是评估报表层次和认定层次重大错报风险的基础。审计风险虽源于重大错报风险,但审计人员最终都要通过对报表各项目的审计发表财务报表审计意见,因此风险评估必须与各类交易、账户余额、列报的认定相联系。将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,而且也未关注IT环境下如何将风险因素与认定层次可能发生的错误相联系。在IT环境下,业务流程及其支持流程——IT流程,都是链接风险因素和认定层次可能发生错报的中间环节。在高度自动化的企业环境下,审计证据的证明力依赖于IT相关风险的控制情况。因此,有必要改进IT环境下的审计风险判断方法。在IT环境下,审计风险判断应以流程(包括业务流程和IT流程)为中间环节,建立基于流程的审计风险判断方法。
一、流程对审计风险判断具有重要意义
流程的概念很多,ISO/IEC 9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,Kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在IT环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当IT逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的IT流程与业务流程需要实现动态整合,即IT活动被看作是业务,并执行与业务相同的方式。因此,IT环境下的企业业务流程应该是广义的,同时包含IT流程和业务流程。美国公众公司监督委员会发布的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解IT如何影响公司的交易流程。
有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O'Donnell E和Jr Joseph J Schultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。
二、IT环境下基于流程的审计风险判断方法
为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计 [1]
2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。
3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。 然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。
5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。
6.评价IT控制、分析业务流程风险。结合对IT一般控制的评估结果和对业务流程中IT应用控制的评估结果,就可以分析关键业务流程的IT风险控制情况。此时的IT控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。
IT治理是随着信息技术的快速发展,根据企业对有效加强内部控制和全面风险控制的实际要求而发展起来。IT项目治理,重点是将IT资源作为企业的有限资源,有效平衡业务发展、IT项目的关系、利益,形成管理层的治理体系,奠定IT项目的组织结构基础。
【关键词】IT治理 IT项目治理 IT项目治理管理模型
当今,企业对IT系统的依赖、重视程度越来越高,企业发展与IT系统建设息息相关。IT系统是否可靠、有效直接影响到企业经营,IT系统建设不仅成为企业存在、发展的重要基础,而且成为企业发展战略的重要组成部分。
IT系统建设的重要驱动力是IT项目。IT项目作为比较特殊的项目,关系着企业IT系统的建设成败,如何有效管理IT项目不仅需要IT部门更需要企业管理层的深入思考。通过依靠传统项目的项目管理套路对IT项目进行管理,不能取得长久的运用效果,因为IT项目与传统项目存在巨大差异,比如需求的不确定性、项目质量检验难等。
IT项目治理,重点是将IT资源作为企业的有限资源,有效平衡业务发展、IT项目的关系、利益,形成管理层的治理体系,奠定IT项目的组织结构基础。IT项目治理不但将企业IT治理原则运用到项目的管理,而且通过建立IT项目治理体系,企业可以更有效、更紧密地将高管层、信息沟通管理和项目实施团队联系,这将使得公司相关业务与IT部门共同肩负IT项目的交付责任,提高IT项目的成功率,有效保护企业的信息技术投资。
1 IT项目治理的概念和理论
1.1 公司治理和IT治理
公司治理是一种对公司管理和运营进行监督和控制的体系。有效解决公司重要信息的真实性、准确性、及时性,通过有效的传递、鉴别和处理,协调高管层、董事会、股东及公司其他相关利益者的相互作用所产生的具体问题,并通过获得信息的监督者与决策者的沟通与决定实施有效的控制,是完善公司治理的一个重要方面和手段。
IT治理是随着信息技术的快速发展,根据企业对加强有效地内部控制和风险控制的实际要求而发展起来。2002年美国颁布的萨班斯法案开始要求IT与业务战略从治理到管理至到执行层面始终保持精确校准,还要在完善内部控制和全面风险管理体系中发展作用。2008年国家财政部、证监会、审计署、银监会、保监会联合我国第一部《企业内部控制基本规范》,明确提出了构建以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。
1.2 IT项目治理
IT项目治理,重点是将IT资源作为企业的有限资源,有效平衡业务发展、IT项目的关系、利益,形成管理层的治理体系,奠定IT项目的组织结构基础。IT项目的管理与IT治理、项目管理有着密切的关系。作为庞大、成熟的体系,IT治理从治理的角度考虑信息技术的管理,其中包括IT项目的管理;项目管理的体系有着更悠久的历史,其建立起的管理体系被广泛运用于IT与非IT的项目管理。
IT项目治理的根源来自于集团管理层、信息管理部门、业务部门知识结构上的差异。信息技术的快速发展更加剧了这种差异的存在。对于IT项目,集团管理层、信息管理部门、业务部门都需要做重要的决定,有效地联系三者,解决这种信息鸿沟,首先需要纠正三方对IT项目不完整的理解,并且通过合理的IT项目治理结构加强三者的信息交流,确保三方能对IT项目有全面合理的理解,并作出科学的决策。
2 集团公司IT项目治理管理模型
2.1 治理框架的治理目标
集团的IT项目治理首先确立治理目标,统一对IT项目治理的认识。作为信息规划落实的重要环节,信息项目治理需要确保通过信息项目的整体治理,有效管理信息技术投资并支持业务发展战略。集团战略作为企业发展的总体目标、整体规划,是根据集团内部、外部环境制定;IT战略则是企业信息化建设的目标、计划。
2.2 治理框架的治理组织
集团的IT项目治理着重定义权利和职责并对IT项目的整体管控、科学决策。因此,IT项目中的权利、职责的定义关乎于IT项目治理的成败。权责的定义一方面是要约束业务部门、信息管理部门在项目治理中的关系外,更重要的是推动业务部门并提高其对IT项目的参与度以及认同度,从而提供IT项目的资源保障,提高IT项目的成功率。
2.3 治理框架的治理流程
治理流程解决的是项目在具体运作过程中需要遵循的主题流程,确保项目审批、执行和评估的整体一致性。IT项目治理流程建立在PRINCE2管理模型上。IT治理定义的项目执行流程层面,充分参考PRINCE2基于过程的IT治理体系。作为基于流程的项目管理方法,PRINCE2体系定义了项目中的重要阶段:指导项目、开始项目、启动项目、项目计划、阶段边界管理、阶段控制、产品交付管理。
3 项目实施中实现IT治理模型的整体途径
信息技术成为加强集团经营控制、加强风险管理控制的重要手段。集团依照相关的法规、参照相关的IT治理体系,在集团信息化建设过程中,特别在集团ERP系统建设、运维中,正在逐步建立起有效的治理体系,对IT技术原则、IT技术架构、IT技术设施、IT业务应用、IT技术投资进行规范和管理。作为信息化建设的重要表现形式,IT项目的治理作为IT管理的重要内容,集团尝试建立IT项目治理体系:从风险管理、信息化规划等方面确定IT项目的治理目标;从IT治理层级、项目管理层级、项目执行层级,明确组织相关利益相干者的权责;从项目开始、项目启动、项目运作、项目收尾提出具体要求,从严治理IT项目的生命周期。
3.1 完善治理的组织
IT治理层面的完善,为了实现信息部门、业务部门在业务决策过程的平衡、公平、透明,采用“集团集中管控模式”的项目治理机制。
项目管理层面的完善,项目管理是核心执行层通过整合、分派任务,同时项目管理层担任IT项目实施监督、反馈的责任。通过制度,将IT项目的进展、事宜、问题进行汇报,将IT项目的执行状态进行汇报。
项目执行层面的完善指的是负责IT项目执行具体事宜的各个部门、职能的具体用户代表、项目实施团队,他们有机配合,负责需求准备、需求分析、系统设计、系统开发、系统测试、系统上线等具体工作。作为项目交付的主要力量,项目执行层面主要肩负IT项目的最终实现。
3.2 完善治理的流程
3.2.1 商业论证环节
商业论证是PRINCE2项目管理流程的重要因素之一,是作为一个项目投资效益的有效评估。为确保IT项目于公司战略的一致性,商业论证提供良好的途径让IT部门、业务部门审视项目启动的原因:为什么实施IT项目。通过商业论证,挖掘项目的收益:可量化的对生产效率、对销售业绩、对成本节约等的作用;可定性的对公司战略、服务水平、客户感受等的作用。通过商业论证,挖掘项目的影响:对项目成功构成影响的主要影响因素;对项目成果需要的主要基本假设。
3.2.2 项目实现环节
项目实现环节是指项目组成员落实、项目资源审批后,项目经理开始召集项目执行小组,根据拟定的项目计划,有计划、按步骤安排IT系统的开发、测试以及上线工作。整体来说,该环节华谊集团采用瀑布式的软件开发生命周期管理,指导IT项目的实现阶段。
3.2.3 项目回顾环节
项目上线后,从项目价值评估的角度,项目经理要组织项目回顾。通过《IT项目回顾》,总结项目的交付物、经验以及验证投资成果,报备信息化领导小组进行审核。有集团IT部门结合商务论证中的预想,对项目结果进行综合评定。项目小组正式解散,信息系统进入维护周期。
4 小结
本文结合国内集团公司建立IT项目治理体系的实际情况,通过分析,以点带面,对IT项目治理的重要性、建立方式进行探讨和研究。然而,本文讨论的IT项目治理模型在每个企业具体应用,需要根据企业的特点进行调整,才能很好的达到IT项目治理的目的。
实现有效的IT项目治理体系,除了从目标角度、组织角度、流程角度构造可执行元素,结合集团公司的实现过程,可以归纳出IT项目治理体系一些核心的问题,这些问题必须妥善解决才能提高IT项目治理的有效性。
4.1 确保高层管理参与
高层管理参与从治理文化构建、权责明确外,需要落实到具体的IT项目管理控制环节,包括明确并强化高层管理对项目启动、项目开始、阶段控制、项目结束环节的参与。
4.2 加强IT与非IT协作
IT项目主要以技术实施为主。由于IT技术的复杂性导致IT项目质量较难衡量,对非IT的群体(高层管理人员、业务部门人员)来说,参与其中进行决策,具有一定的壁垒。彼此的隔阂对于IT项目治理产生不利因素。
4.3 协调治理组织公司架构
IT项目治理组织不是独立于公司组织、行政汇报关系的特殊组织,其建立需要构建在已有组织结构、流程上。通过沿用现有公司架构,我们可以更有效地组建IT项目治理的IT治理层、项目管理层以及项目实施层。实际上,本文研究的例子中,组织结构实际上沿用现有公司管理委员会、IT项目经理部、相关部门代表三个层次建立IT项目治理的核心组织。
参考文献
[1]吕芸,徐爱华.论信息系统项目沟通管理[J].中国西部科技,2012(03).
[2]方安儒.面向中国企业ERP系统应用的实证研究[D].哈尔滨工业大学,2010.
[3]杨莉.软件项目风险管理方法与模型研究[D].南京航空航天大学,2010.
在信息化时代,我们拥有极大的信息系统审计需求市场,信息系统审计已成为审计发展的新动力和新方向。然而我国信息系统审计的发展现状还不能适应时势的需要,尤其是在推行基于国际性的标准cobit 上的研究和实践缺乏。为此,我们应在全面把握我国信息系统存在问题的前提下,采取有效的对策,以适应大规模的信息化建设的需要。
一、问题的提出信息及相关技术控制目标标准(control ob2jectives for information and related technology , co2bit) 是美国信息系统审计与控制协会( informationsystem audit and control association , isaca) 的信息技术治理学会( information technology governanceinstitute ,itgi) 基于其原有的控制目标体系,结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,为it 的治理、安全与控制提供了一个一般适用的公认标准。自1996 年问世以来,目前已经更新至第四版,是国际上最先进、最权威的安全与信息技术管理和控制的标准,已在全世界100 多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效管理与信息相关的风险。最新版本cobit 4. 0 更注重帮助董事会和员工应对不断增加的职责,包括面向公司董事会和各级管理层适用的指引,由四部分组成,即管理人员概述、框架、核心内容(控制目标、管理方针和成熟模式) 和附录(图表、前后参照和术语表) 。核心内容依据34 项it 流程来划分,全面介绍了如何控制、管理和测量每个流程。另外,cobit 4. 0 分析如何将具体的控制目标划入五项it 管理领域,以识别潜在缺口; 令cobit 标准与其他标准( itil 、cmm、coso、pmbok、isf 和iso17799) 协调一致;阐述关键目标指标(key goal indicator ,kgi)和关键绩效指标(key performance indicator ,kpi) 之间的关系,说明kpi 如何推动实现kgi ;结合业务目标、it 目标和it 流程。cobit 标准不仅为人们提供了信息系统控制目标和it 标准,而且提供了信息系统的审计指南。它为信息系统审计师提供了较为系统的评估指标,从而规范信息系统审计师的审计思路,而且它提供的控制矩阵、管理明确诊断表和风险评估表等科学的手段,让信息系统审计师合理评估审计风险,从而大大降低审计风险,提高审计质量。cobit 标准对我国开展信息系统审计有很好的启示和指导作用,我国应大力推行基于cobit 标准的信息系统审计。
二、我国信息系统审计存在的问题
1. 审计人才缺乏信息系统审计是会计、审计、信息系统、网络技术与计算机应用的交叉学科。开展信息系统审计,要求审计人员具有复合型的知识结构,既要掌握财会、审计知识,又要掌握信息系统、计算机与网络技术。但我国现在大部分审计人员并不熟悉计算机是如何进行经济与会计业务处理的,不知道计算机处理与网络技术的运用有什么风险、怎么样的控制才能有效降低这些风险,也不掌握如何对计算机信息系统进行审计或利用计算机和网络技术进行审计。计算机技术人员虽然对计算机和网络技术比较熟悉,但他们又不熟悉会计、审计知识,不知道要审什么、该怎样审。而开发实用性和通用性较强的审计软件所需要的高层次、高水平的人员也很缺乏。
2. 法律法规不完备在信息化条件下,审计方法、对象、技术都发生了很大的变化,传统的审计准则体系、法律法规体系已不能完全适应、指导和规范信息系统审计的实践,而新的关于信息系统审计的程序标准、准则和法律还没有出台或并不完备,有些甚至还是完全空白。例如,电子凭证、电子合同、数字签名等的法律效力和保存要求;数字认证机构的认定及其法律责任;计算机犯罪适用的法律;在信息系统审计中审计机构的权力、责任和被审计单位的义务等。从近年情况看,我国的信息系统审计制度建设工作才刚起步,尽管国务院办公厅、审计署、注册会计师协会等机关和组织颁布或制定了一些准则和规范,但是,这些准则和规范还不完善,没有形成系统性和结构性。不仅缺乏对信息系统开发和系统功能审计方面的规范,还比较概括、笼统,没有相应的实施细则。对信息系统审计尚处于摸索阶段的我国审计人员来说,显然还缺乏具体的指南。
3. 技术水平落后信息技术的高速发展与广泛应用使企业交易事项的大部分内容由系统自动运作完成,人工轨迹遗留较少,传统审计线索荡然无存。这就要求信息系统审计必须参与和融入信息系统的设计过程,在执行测试时必须穿越信息系统,以确保对连续监督程序和输出结果的控制。在我国信息系统的设计与开发中,尚不具备充分的保留和提供审计线索的功能。审计人员完全处于被动地位,难以获取充足的审计证据支持其审计结论,难以保证信息系统环境下的审计质量。
三、发展我国信息系统审计的对策从上述对我国信息系统审计存在的问题的概要分析中,作者认为,响应国际发展趋势,在信息系统控制和审计领域推行cobit 标准无疑具有美好的发展前景。具体实施时可针对以下几个方面进行改进。
1. 注重专业人才的培养cobit 标准具有系统的和完备的框架体系,它的运用首先定位于信息及其相关技术的控制和管理,因此,它在整体上表现出it 业的大量相关技术。这就意味着运用cobit 标准实施信息系统审计的审计人员应具有复合型的知识结构,既要掌握现代审计理论与实务,又要掌握信息系统、计算机与网络技术。目前,审计署干部培训中心开展的注册信息系统审计师培养及与之相关的在审计人员中进行计算机知识的培训工作,正是为了适应这一现实需要。在人员培训上,要求对低层次人员培训与高层次人才的培养、在职人员的培训与未来人才的培养进行统筹规划。对较高层次的人才培养,重点可放在信息系统的开发审计、系统的功能或应用程序审计、网络安全审计和审计软件的开发等方面;对未来审计人才的培养,应在高校会计专业教学计划中增加it 和电子商务等内容,不仅要把信息系统审计列为必修课,而且应对这门课的要求或大纲达成共识。审计机构的管理人员也应意识到,信息系统审计人才的培养不仅仅是对审计人员的培养。我们可以培训审计师成为掌握必要it 技能的人员,但很难要求他们成为计算机、信息系统和网络技术方面的专家。因此,审计机构要改变以往由会计师独唱主角的情况,计算机与网络专家、信息系统与电子商务专家将在审计组织中担任越来越重要的角色。审计机构应注意吸收这方面的人才,并进行审计知识和技能培训,使他们能与会计师良好合作,更好地执行信息系统审计任务。
2. 完善审计准则从国际同业的实践看,cobit 标准已经逐步成为通行准则。我国应遵循国际标准或规范,把cobit 标准作为核心标准, 同时, 借鉴isopiec17799、itil 、prince2、coso、sox 法案等其他国际标准和原则,进而确立适合自己的信息系统审计目标、对象、范围、方法、流程等。进一步完善与信息系统审计有关的法规和准则,要在法律法规上,确定审计机构和审计人员有权审查被审计算机的信息系统的功能与安全措施,有权利用网络和审计软件进行审计,被审单位应对审计人员的信息系统审计给予积极的协助。在建设信息系统审计准则体系时,可以借鉴isaca 的做法,也采用三个层次体系结构,以基本准则为核心,统领具体准则和执业指南,从而使整个准则体系不断扩展、完善。内容划分方式可分为审计的权利、义务与责任,审计人员和审计工作三大类,并按这些类别来制定准则。信息系统审计准则作为一个完整的准则体系,各项具体准则要相互依存、相互配合。在准则的制定、上,应当遵循务实原则、接轨原则、配套原则和科学原则。isaca 的做法是,先规划出基本准则的内容,在此基础上,有计划、有步骤、按照现实需要出台各项具体准则、指南和程序。准则采用分项制定,完成一项,一项,实施一项。这有利于信息系统审计准则的全面顺利的实施,也有利于信息系统审计人员循序渐进地正确掌握这一系列准则,从而促进信息系统审计准则在实务中迅速发挥作用。我们在信息系统审计准则的制定、上,可参照isaca 做法。同时,对国际上已有的成文准则、习惯做法、专业术语,应当尽可能与国际惯例保持一致,尽量做到与国际惯例接轨。
3. 加强审计方面的it 技术对于审计领域来说,cobit 只是一套成文的信息技术控制标准,它只是向信息系统审计人员指明了前进的道路,但究竟如何才能成功通向胜利的彼岸,却有待审计人员自身去开发高效快捷的通向目标的方式,尤其是在信息系统审计这样一个高专业化、高技术性的审计业务领域。首先,应注重软件的开发,如开发数据采集软件,建立一种能够容易访问被审计单位不同介质、不同编码、不同类型的数据库,以便打通采集信息系统所需原始数据的瓶颈;在软件的研制方面,还要考虑审计作业发展趋势,如在现有审计软件基础上开发、研制新的适用信息系统审计的分析工具。其次,联网审计的加强,它是方便快捷地运用cobit 标准的有力举措。这种审计方式成功实现的关键是被审计单位的信息系统提供标准化的审计接口,因此,信息化的管理部门和审计部门应加强宣传,提倡甚至是严令监督企业提供数据接口,以便联网审计的展开。最后,就是专家系统的构建,它能将基于cobit 标准的成功案例进行积累和专业化,更好地为我们的信息系统审计工作服务。放眼未来之路,如何借鉴cobit 标准开展适应国际趋势的而又探索有中国特色的信息系统审计道路,需要新时代的审计人员的不懈努力。我们只有充分认识存在的问题的基础上,才能有针对性地改进。中国审计人员将以倍增的热情,迎接新技术革命的挑战,充满豪情地投入到审计技术创新的洪流中。
[参考文献]
[1 ]李 丹. 信息系统审计———传统审计的一场革命[j ] .中国审计,2002 (1) :57 - 58.
[2 ] 钱 艳. 信息系统审计———网络架构、测试与评价[d] . 重庆大学硕士学位论文,2003.
[3 ]管亚梅. 信息系统审计———一种全新的审计模式的构建思路[j ] . 科技进步与对策,2005 (12) :78 - 80.
[4 ]陈婉玲,杨文杰. isaca 信息系统管理准则及其启示[j ] . 审计研究,2006 (增刊) .
[5 ]董 霞. 会计信息系统审计研究[d] . 天津财经大学硕士学位论文,2006.
一、加强金融IT审计的重要性、紧迫性
随着信息技术的快速发展,我国的金融信息化已经走过了“金融电子化”,正向“金融信息化”深层次迈进。在数据大集中之后,各家金融机构通过数据仓库、数据挖掘(DM)等日渐成熟的技术,加强客户和市场分析,努力构建以金融信息化和信息网络化为基础的先进网络化金融机构。但信息技术在物理上、操作上和管理上存在的漏洞,构成了IT系统安全的脆弱性,给银行带来了一系列新的不安全因素,计算机犯罪和舞弊、会计信息的失真,都将给银行的的资金、信誉造成重大的损失。因此,如何确保IT战略目标与银行总体发展目标的一致性,最大限度地规避战略风险、投资风险和运行风险,保证银行的可持续发展,是银行面临的必须优先解决的难题。
当前,风险管理是银行经营活动的主旋律。在银行界越来越依赖于信息技术的情况下,加强金融IT治理审计将成为银行化解风险、获得可持续发展的重要保证。首先,伴随着我国商业银行信息化建设的不断深入和飞速发展,信息已经成为商业银行可持续发展的重要基础性资源。信息技术已不再是单纯的业务实现手段和支持方式,而逐渐成为商业银行战略规划、投资决策所必须考虑的重要因素之一。其次,信息技术本身具有不可抗拒的风险。主要是由于机器设备的自然损耗、制造缺陷和不可预测的自然环境因素。第三,由于技术发展的局限和人类的能力限制,在设计之时人们的失误在所难免。第四,虽然各金融机构都有自己的信息安全部门,他们是信息安全的建设者、维护者,对信息安全有着丰富的现场经验与专业经验,但在他们身兼运动员和裁判员双重身份的同时,已不足以向最高管理层保证信息安全的有效性。同时,IT作为一种工具并不万能,其必须通过有效的应用才能体现价值。要想让IT得到有效的应用,并让信息系统绩效最优,最根本是管理。所以,加强对金融IT策略、安全、效益的审查与评估,为管理层战略规划、投资决策、化解风险提供重要依据,就显得尤为迫切和重要。
二、依托IT技术平台,加快在金融审计领域的变革
由于信息技术的发展与运用,传统的审计对象账务、管理数据的生成、存储和传递的模式发生了根本性的转变,传统的纸质账簿和文字记录日渐被磁性介质取代,审计人员越来越难以得到传统的有形的审计线索,传统的以查账为主要手段的审计遇到了来自IT技术的挑战,客观上要求金融部门进行一场深刻的审计领域的革新,对审计人员、审计方式、审计内容等方面,及时做出相应的调整,以“四要”建设为核心,突破IT技术审计这一重点和难点。
要在思想认识上突破。要提高认识,转变观念,正确认识计算机审计的重要性。必须充分认识到随着信息技术的应用在银行界的不断推广,传统的审计方式已不适应信息时代的要求,以计算机技术作审计手段是时展的必然选择。审计人员不掌握计算机知识和技能,将面临进不了门、打不开账的危险,将处于“失去审计资格”的尴尬境地。只有利用计算机知识,学习和掌握被审计单位计算机系统的设计思想,梳理其主要的核算流程,经过艰苦而细致的研究与实践,才能准确地、相对完整地剖析各种由IT技术支持的业务系统与核算系统,综合评定应用核算数据和业务数据,然后选定必要的、适宜的审计程序和方法,进行分析与审核。
要在审计方式、方法上创新。依托信息技术平台,积极开展计算机审计。首先,在审计方式上,由于金融领域信息技术的广范应用及数据仓库的建立,为开展计算机辅助审计提供了技术平台和数据源。通过计算机审计软件或在应用系统中的预置、嵌入审计程序,实现数据的直接获取、账簿凭证浏览查询、异常项目筛选、日常会计资料及财务指标趋势分析、变动分析、抽样列表等多种审计事务;实现审计事项的事前、事中、事后的全过程审计,并进而实现审计系统信息资源共享,促进审计项目的规范化,提高审计工作效率和质量,降低审计风险。其次,在审计方法上,对IT系统的审计可通过询问、观察、审阅系统文档、审查系统日志、系统配置文件有关参数、设置电子文档等来评价计算机数据处理系统的基础情况、各种性能和技术指标、潜在的风险和控制措施;及内部控制执行情况,以确定对系统的依赖程度,进而确定详细测试中审计资源分配的策略。
同时,对计算机审计软件的开发实现市场化外包。因为,审计软件的外包符合社会发展的历史潮流,是社会分工和科技水平进一步发展的必然选择;利用市场的整合力,集中一批既懂财务、统计、审计业务,又熟悉计算机应用技术有经验的专业人员,组建开发和营销审计软件的专业公司,专门从事审计软件的开发和营销,不仅会促进审计软件水平的不断提高,进而推动计算机审计工作的迅猛发展。所以,开展计算机辅助审计,实现计算机软件的外包,是推动我国审计信息化的有效途径,同时也是形势发展的客观要求。
要在IT审计的内容上求实、求全。一方面,银行IT审计的范围应该覆盖了银行所有系统的应用领域,以及信息系统整个生命周期中的所有活动和所有资源。其主要内容包括:银行IT战略规划审计、银行信息系统需求获取和开发过程审计、系统交付后技术支持和运行维护审计、对整个系统生命周期中相关管理活动的审计、对相关过程中文档管理的审计、对相关人员的审计、对灾难恢复和业务持续性计划的审计等内容。另一方面,加强IT策略和绩效审查与评估。审查银行管理者的IT投资策略,是否是由业务需求的驱动,而不是由信息技术的推进,是否造成IT投资泡沫;审查IT作为一种工具,在实际工作中是否得到有效的应用,价值是否得到体现,绩效是否优化。从而为确保IT战略目标、有效管理与银行总体发展目标的一致。
要加快复合型审计队伍的建立。随着信息技术的迅猛发展,银行信息化程度越来越高,已经进入“无账本”环境。目前,我国金融界审计队伍中,主要由财经类专业人员构成,严重缺乏既掌握现代审计理论与技术又精通计算机知识与技能的新型复合型人才。由于财经类专业人员缺少计算机审计所要求计算机的知识与技能,已成为制约金融IT审计的“瓶颈”。迅速补充计算机、信息工程等方面的专业人才,并实现与财经类专业人员的资源整合,充分实现资源优势互补,是有效开展金融IT治理审计前提。
从长远目标来看,要锻造出一支披坚执锐、无往不胜的数字化金融审计队伍,离不开以下三个环节:第一,要着力培养一支精通计算机系统审计和电子数据审计的专家队伍;第二,形成一支审计业务娴熟、又掌握信息技术、能独立开展计算机审计工作的复合型审计骨干力量;第三,培养广大审计人员掌握计算机知识,在审计工作中能熟练地运用计算机技术,以提升审计工作质量和水平。
