it内部审计论文范文
时间:2023-09-15 18:32:07
it内部审计论文篇1
萨班斯法案从根本上改变了企业的经营环境和法律环境,其目的在于通过加强内部控制,来改进公司治理状况,并最终加强公司的责任。
当前IT系统越来越多地对业务经营活动进行自动化处理,这就需要IT提供必要数量的控制程序。因此,遵循萨班斯法案的程序需要包括基于IT系统的控制程序。对大多数企业而言,IT在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的ERP系统,或综合运用各种经营管理、财务管理方面的软件,IT系统将为有效的财务报告内部控制系统提供强有力的支持。
PCAOB第二号审计标准要求了解IT在内部控制环境中的重要性。它特别指出:公司在其信息系统中运用信息技术的状况,影响着公司财务报告的内部控制。
目前我国四大电信运营商全部在美国上市,他们现在正在构建法案要求的内控系统,IT内部控制系统构建及评审是无法绕过的工作。完善内控,特别是电信企业信息化水平很高、业务流程依赖于IT流程的背景下,重视IT内部控制,完善IT内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套IT内控系统, 并通过有效的IT内控评价活动保证其持续健全有效, 以支持CEO 和CFO 的承诺进行初步探讨。
一、萨班斯法案的要求
世通公司造假案件和安然、安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任 .综观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也在相续出台, 如SEC 于2003年6月5日根据法案的要求颁布了404条的细化条例, PCAOB于2004 年3月9日第2号审计准则, 对公司管理层提出了更明确的要求。
1、302条款的要求:
该条款要求由首席执行官和财务主管在内的企业管理层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):
对建立和维护与财务报告有关的内部控制负责。
设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;
与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。
在当前环境下,IT系统驱动着财务报告流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,IT系统和整个财务报告流程也是紧密联系的,为了遵循萨班斯法案,也要对IT内部控制的有效性予以评估。
为强调这一点,PCAOB第2号审计标准讨论了IT以及IT在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出:[部分]
…内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。
一般而言,这样的控制包括IT一般控制,以及其他控制所依赖的控制。
2、404条款管理要求
萨班斯法案的404条款要求,管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:
管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。
识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。
对从一上个会计年度未以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见
如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。
面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷,但管理层仍可能会报告“从最近一个会计年度未起(上个会计年度未起),与财务报告有关的内部控制是有效的”。如果要做出这样的结论,管理层必须在评估日前已经改进了内部控制,消除了已有的缺陷,并在运行和测试其有效性后得到了满意的结果,测试的时间足以让管理层认为,从本会计年度起,与财务报告有关的内部控制设计合理、运行有效。
审计师需要合理地确定管理层的认定目标或审计目的(从而依此来收集审计证据),以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述,PCAOB第二号审计标准接着指出:
公司在对财务报告做出确认时需要借助于企业的IT系统。为了识别管理层对财务报告所作的相关认定,审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。
PCAOB第2号审计标准还专门讲述了IT在期末财务报告中运用,它指出:…要了解期末财务报告的提供过程,审计师就应在每一会计期末评估IT在该过程中的应用范围。………[部分]
因此所有企业构建IT内部控制至少都应具备以下三层通用要素:企业管理层,业务流程和共享服务。
it内部审计论文篇2
[关键词] IT审计;挑战;策略
随着信息技术的兴起,信息系统已经渗透到社会生活的方方面面,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计(Information Technology Audit,以下简称IT审计),保证信息系统安全,摆在我们面前。本文拟对此进行探讨。
一、IT审计的定义及其特点
IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。由以上定义可知,IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性,最终达到强化企业内部控制的目的。
该审计过程具有以下特点:
1.IT审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
2.IT审计的对象综合且复杂。IT审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.IT审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但IT审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
4.IT审计是一种基于风险基础审计的理论和方法。IT审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、我国IT审计面对的挑战
IT审计和传统审计相比具有的上述特点是吸引我国众多企业引入IT审计的重要原因,但是这种方法的应用又会给企业提出巨大的挑战。
1.传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸张记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出,使用绕开计算机系统的审计方法,并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改,则其派生的记账凭证金额和账户余额及报表数据也一定会出错,打印出的数据也不能作为审计证据。因此即使打印出所有电子数据,传统审计线索也会在计算机信息系统下完全消失。
2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在IT审计的工作中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是IT审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。 转贴于
3.IT审计专业人才匮乏,适应IT审计事业发展的人才培养和管理机制还有待建立和健全。由于IT审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、我国IT审计应对策略
面对上述挑战,我们应当多方位、多角度制订措施,使IT审计工作更好地为我国企业发展做出贡献。具体措施如下:
1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段,另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
2.确保信息系统的信息安全。为了保证信息系统的信息安全,IT审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外IT审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。
3.建立一支完备的IT审计专业人才队伍。IT审计的发展必须有一大批专业化的IT审计人才,这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训,并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容,以及加强对从事信息化咨询的IT技术人员的会计与审计知识的培训。为了培养未来审计人员,应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容,也可以考虑在高校中开设信息系统审计专业,直接培养信息系统审计专业人才。
当前我国IT审计正处于起步阶段,和传统审计相比,IT审计的显著特点决定了其势在必行,但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战,面对种种挑战我们应采取积极措施,迎难而上,使IT审计工作不断发展完善。
主要参考文献
[1]张茂燕. 论我国的信息系统审计[D]. 厦门:厦门大学,2005.
[2]陈朝.我国信息化建设中信息系统审计问题研究[D].长春:东北师范大学, 2006. 转贴于
[3]邓少灵. 企业IT审计的框架[J].中国审计,2002(1).
[4]李健,朱锦淼,王晓兵. IT审计——人民银行内审面临的新挑战[J].金融理论与实践,2003(6).
[5]李朝阳,胡昌振. 计算机审计系统的防护方法[J].航空计算技术,2002(1).
[6]李辉,杨青峰. 商业银行IT审计的策略与方法 [J].信息空间,2004(7).
it内部审计论文篇3
[关键词] 商业银行it审计
随着计算机网络的发展,商业银行在处理业务时对计算机信息系统的应用程度越来越高。信息系统就像一把双刃剑,它在带来经济效益的同时,也使商业银行面临巨大的风险,因此对信息系统进行严格规范的控制尤为重要。为了保证信息系统的安全、可靠与有效,实施有效的it审计成为商业银行一项迫在眉睫的任务。
一、商业银行实施it审计的必要性
1.这是由商业银行业务高风险性的特点决定的
商业银行本身是一个高风险行业,在银行业务中的主要风险包括:战略性的,名誉性的,操作的,信用,货币兑换,利率,流动性。随着银行业务信息化程度的提高,特别是近年来网络银行和信用卡的兴起,银行的业务和信息系统之间的联系不断加强,信息系统需要不断的修改和完善以适应业务发展的要求。当信息系统跟不上业务发展的需要时,就会造成系统故障,系统错误等情况,导致一些业务不能正常开展,这使得商业银行面临的战略性,名誉性,操作性的风险越来越大。为减少这些风险,这就需要it审计对系统进行严格的规范控制,对信息系统进行综合的检查和评价以保证信息系统适应银行业务发展的需要。
2.这由信息系统本身的特点所决定的
信息系统的开发是一项长期而且庞大的工程,需要耗费大量的人力、物力以及财力,它具有投资大,风险高的特点,若开发不当,则可能会使信息系统无法投入使用,或即使能勉强投入使用,但在使用过程中也会错误不断,需要极高的成本来维护系统,因此需要it审计对信息系统的开发过程进行跟踪审计,及时发现并改正错误,保证信息系统的质量,降低系统后期的维护成本。同时,由于并不存在十全十美的信息系统,也不可能在系统开发过程中发现全部潜在的错误,这使得在系统运行过程中可能会出现系统故障,系统错误,黑客攻击漏洞等情况,这可能会使数据被破坏,客户隐私被泄露,经济效益遭受损失,对商业银行的声誉、经营造成影响。这就需要在信息系统运行维护阶段进行it审计找出系统的缺陷和不足,并提出改进和完善的意见,以保障系统安全、可靠以及有效的运行。
二、商业银行it审计的现状及改进措施
1.建立完善的商业银行it审计制度
在我国制度创新还跟不上it的发展,相关的it审计法规、准则存在着一定的滞后现象,目前存在相关法规、准则仅有审计署于1996年颁布的《审计机关计算机辅助审计办法》,1999年颁布的《独立审计具体准则第20号——计算机信息系统环境下的审计》等几个。而近年来it发展迅速,这些法规、准则不一定能适应新的系统环境,这将会给商业银行的it审计的实际操作带来一些困难和影响。为了促进商业银行的it审计的发展,应该完善相关的法规、准则,使之跟得上it的发展。同时,根据国际趋同的要求,我国也应根据国际it审计的国际标准——cobit(信息系统和技术控制标准)建立符合中国实际、顺应国际准则趋同化要求的内控、风险管理体系、it监审机制和制度。
2.加强it审计的连续性
由于商业银行信息系统的开发多采用外包方式,这使得在实施it审计时容易忽视信息系统开发阶段的it审计,使得it审计缺乏连续性。而系统开发阶段存在的一些潜在的问题可能会系统在运行维护阶段逐渐暴露出来,这个时候就需要去系统本身进行修正,与在系统开发阶段进行的修正相比,此时的花费的成本将更高。因此,需要加强在系统开发阶段的it审计,加强it审计的连续性,这将有助于保障高质量的信息系统的开发,减少系统存在的潜在问题,降低运行维护阶段的维护成本。
3.提高商业银行内部it审计的质量
商业银行一般都拥有自己的it部门,由于部分内审人员计算机知识与技能有限,这使得在进行内部审计时会在一定程度上依赖it部门的人员的帮助,诚然这些it部门的人员对于计算机知识以及相关的业务十分熟悉,有利于内部审计的实施,但是这却让他们拥有运动员和裁判员的双重身份,使得内部审计的独立性遭到质疑,内部审计的质量得不到保证。而高质量的内部审计能使信息系统安全、可靠以及有效的运行,同时也使信息系统容易通过外部审计。因此,需要在商业银行内部设立独立于it部门的it审计部门,实施有效的内部审计。
4.培养it审计专业人员
我国商业银行it审计起步较晚,it审计专业人员在数量上严重不足,同时在专业技能方面与国外相比也存在一定的差距,而这些因素也在一定程度上影响了商业银行it审计质量的提高,因此需要大力培养it审计专业人员。对此,我们可采取专家讲课、委托培训、公派交流学习等措施来培养it审计人员,提高it内审人员的素质。
5.借鉴国外的一些先进经验
我国it审计起步较晚,虽然在近年来取得了较快的进步,但相对于一些起步较早的国家而言,总体水平并不是很高。我们可以根据自身的实际情况,借鉴一些适合我国国情的先进经验,比如:挪威的数据获取自动化(tomas)系统,它能在提高效率保证质量的同时,使审计人员可以采集存储在财务管理会计系统中的基本数据而不增加被审计单位的安全风险;美国利用互联网实施联网审计,审计人员可以通过网络获取被审计单位的有关资料开展审计工作等。
参考文献:
[1]胡克瑾:it审计[m].北京:电子工业出版社,2004
[2]中国工商银行内部审计局课题组.关于商业银行it审计问题的研究[j].金融论坛,2005,11
it内部审计论文篇4
【关键词】 信息技术; 内部控制; 博弈; IT治理
一、引言
信心技术环境下的内部控制问题由来已久。伴随着信息技术(Information Technology,简称IT)在企业中的应用和发展,企业的经营环境和经营方式发生了巨大的变化,企业利用IT成为一种必然。但在解决了IT基础设施建设、满足了IT在业务处理和企业管理中的基本应用的同时,IT带来的问题与风险也会出现。在美国,早在1992年,并于1994年修订的《内部控制――整体框架》中,对IT的考虑分别在“控制活动”和“信息沟通”中涉及。而在完善1992年COSO报告的前提下,美国注册会计师协会(AICPA)的《美国审计准则第319节――在财务报表审计中对内部控制的考虑》的第16―20条、第30―32条和第77―79条着重讨论了IT对财务报告内部控制的影响。由于安然崩塌、世通丑闻等一系列突发事件带来的冲击,在世界范围内掀起了加强风险管理的热潮。2004年,美国防虚假财务报告委员会的《企业风险管理――整合框架》通过技术专栏的方式对一般控制和应用控制做了更加全面和深入的规范,并在“信息与沟通”中要求企业信息系统的构造必须足够灵活和敏捷,以便与外界相关方有效地整合或及时随企业内部环境的变化保持协调一致,而又不相互妨碍对方。
我国自20世纪80年代就对内部控制进行了理论探索,但近年来监管部门才对IT环境下内部控制问题提出明确要求。2008年5月财政部印发的《企业内部控制基本规范》中要求“企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。”但因缺乏强制性要求和明确的指南,很多企业并没有实际运用上述成果,IT环境下内部控制方法有限,对IT环境下内部控制的研究较为匮乏。
二、IT环境下内部控制的本质属性:持续一致的利益关系
IT的应用给企业的经营管理带来了效率的提高和管理的方便,但在享用IT应用给企业带来利益的同时,也给企业内部控制带来了新的挑战。许多学者对此进行了不少的论述,代表性的观点主要有三:IT使企业内外部环境发生了一定的变化,对企业内部控制提出了新的挑战(刘志远等,2001);IT对企业的整体内部控制产生根本性的影响,内部控制方式已经发生了根本性的变革(章铁生,2007);IT对内部控制的影响程度与整个社会、企业自身信息化程度以及IT的发展水平密切相关,并随后者的改变而变化(王海林,2008)。本文认为,IT与内部控制是相互影响并且共同促进的,IT的应用使企业经营的内外环境、面临的风险更为复杂多变,这成为内部控制理论和实务不断发展的源动力。而内部控制制度的存在恰恰是为了企业能够在激烈的竞争环境中自我调整,控制IT应用带来的风险,保障企业的各种经济活动能够顺利地进行,减少不确定性,降低成本。内部控制对IT应用的控制是激励和约束并行的。从这一意义上说,IT环境下内部控制的本质属性是持续一致的利益关系。
三、企业IT应用与企业内部控制之间的博弈
(一)模型假设
在本模型中,博弈双方是企业实施信息化与内部控制的构建,对于模型笔者做如下假设:(1)企业实施信息化的过程是理性的,即总是以追求企业价值最大化为目标;(2)企业实施信息化使得信息技术在横纵向嵌入改变了企业基本业务流程。同时假设企业实施信息化后企业的得益为V;(3)假设企业不实施信息化改造,则企业的得益将为0;(4)IT环境下内部控制现状:各类信息透明度不高,因而IT应用与内部控制处于信息不对称状态。同时假设企业实施信息化后企业面临更多的内部控制风险,损失为V2。
(二)模型的分析与求解
第一阶段,企业实施信息化,使得企业组织结构扁平化,风险评估得到优化,控制手段多样、高效、灵活,提高了信息的质量,增加了沟通的渠道。企业实施信息化后企业的得益为V1。有两种可能,如果未出现内部控制问题则得益为V1,博弈停止;反之出现了内部控制问题,例如利用计算机进行的舞弊的行为活动、信息资源使用中断对企业经营生产的负面影响、信息系统的扁平矩阵型组织不利于准确区分权责利等。则企业得益为V1-V2(V1>V2),进入下一阶段。
第二阶段,这一阶段由企业根据实施信息化后企业遇到的内部控制问题进行内部控制体系的构建与实施,本文认为,IT环境下内部控制的本质属性是持续一致的利益关系,IT环境下内部控制的构建可以为企业获益,假设得益为V3。
企业的得益:V=V1-V2+V3
企业实施信息化与企业IT环境下内部控制的构建都受企业努力程度(e)的影响,内部控制带来的损失受随机扰动项(w)影响。
所以本博弈中企业的得益:MAX{V}=MAX{V1+e-(V2+w)+(V3+e)}。
(三)博弈模型的建立
参与者:企业实现信息化与企业构建内部控制体系。将积极投入人力物力实现企业信息化定义为2,消极投入人力物力实现企业信息化为0。积极投入人力物力构建内部控制体系为1,消极投入人力物力构建内部控制体系为0。
博弈规则:信息不完全对称的条件下二者的策略集合分别是:S1={积极投入人力物力实现企业信息化,消极投入人力物力实现企业信息化},S2={积极投入人力物力构建内部控制体系,消极投入人力物力构建内部控制体系}。
博弈过程及收益如图1的博弈树,支付矩阵如表1所示。
如上所述,IT环境下内部控制的本质属性是持续一致的利益关系,那么,二者之间博弈的最后均衡结果应为{积极投入人力物力实现企业信息化,积极投入人力物力构建内部控制体系},其均衡收益为(2,1)。企业能否实现收益最大化受是否积极投入人力物力实现企业信息化、积极投入人力物力构建内部控制体系影响。
通过以上的博弈分析可见,一方面,如何构建IT环境下内部控制体系有效避免内部控制风险,减少内部控制漏洞将成为企业实现价值最大化的首要问题。第一,从系统控制考查IT风险与控制的基本框架。
表2列示了考查IT风险与控制的基本框架。其中一般控制适用于较宽范围的风险,这些风险威胁到IT环境中所有应用程序的合法性、信息可靠性、数据完整性、访问安全性、软硬件的维护、人的因素以及效率等。应用控制则是针对特定的系统的风险,如进销存系统、职工薪酬管理系统等。应用控制测试涉及到具体的审计目标,如检查应付账款完整性等。
第二,从管理控制上要完善企业内部治理制度。美国总统华盛顿说过:“人是靠不住的,只有制度才靠得住。”企业经济活动的顺利进行需要一个完善的企业内部治理制度来协调。制度一旦形成,任何人都不能超越制度的约束。内部控制制度是控制风险的“防火墙”,要求企业对IT的应用满足风险管理和制度的基本要求,必须接受企业高层和监管部门的充分监督,保证相关原则、政策和内部控制制度得到贯彻执行。
另一方面,IT应用与内部控制之间存在信息不对称问题,IT治理是解决信息不对称的良好途径,IT治理力求实现业务与信息的集成,这些不仅可使公司经营活动变得更透明,还可提高公司信息的质量,减少利益相关者之间的信息不对称问题。IT治理是提高内部控制的有效手段,IT治理将合理的制度安排、程序控制嵌入到IT系统中以及会计软件中,使得IT系统与会计软件具备内在的控制机制,减少了信息生成过程中错误与舞弊行为,确保企业运营满足相关法律法规的要求。
结合我国IT环境下内部控制实际,笔者认为构建IT环境下内部控制体系是一个以IT治理为基础,系统控制、管理控制为重点的“预防―风险评估―控制监督”的内部控制体系。早在系统开发阶段就应在IT系统以及会计软件中嵌入完善的内部控制,例如:更合理的权限分配、信息加密处理等,并从系统控制、管理控制出发全面评估现行业务过程和信息过程有关风险,利用信息作为资源进行风险控制。“一分预防顶上十分改正。”预防控制远比问题出现以后的检查和改正更划算。风险评估是内部控制的第二道防线,风险评估通过对实际发生或预计发生的情况与设定标准的比较来查出问题的出处。对风险评估查出的问题进行控制,这是风险评估与控制活动的一个重大区别,监督是为了弥补控制活动的缺陷,监督应该由独立的审计部门来完成,在公正的审计法规和先进的审计技术支持下,完善企业信息化环境下的监督管理机制。在分析系统控制、管理控制环节的实务工作,应充分借鉴COBIT等国外先进的IT内部控制模型,并在它们的基础上提出适合我国现状的IT内部控制模型,而如何利用IT进行控制,是我们未来需要着重研究的课题。
【主要参考文献】
[1] 章铁生.信息技术条件下的内部控制规范:国际实践与启示[J].会计研究,2007(7).
[2] 潘琰,郑仙萍.论内部控制理论之构建:关于内部控制基本假设的探讨[J].会计研究,2008(2).
[3] 骆良彬,张白.企业信息化过程中内部控制问题研究[J].会计研究,2008(5).
[4] 唐志豪,计春阳,胡克瑾.IT治理研究述评[J].会计研究,2008(5).
[5] 石爱中.从内部控制历史看内部控制发展[J].审计研究,2006(6).
[6] 陈志斌,陆瑶.内控规范制定机制研究[J].会计研究,2008(4).
[7] 刘志远,刘洁.信息技术条件下的内部控制[J].会计研究,2001(12).
[8] 张砚.内部控制历史发展的组织演化研究[J].会计研究,2005(5).
[9] 林钟高,郑军.基于契约视角的企业内部控制研究[J].会计研究,2007(10).
[10] 张金城.计算机信息系统控制与审计[M].北京大学出版社,2002.
[11] 詹姆斯・A・霍尔.信息系统审计与鉴证[M].中信出版社,2002:19-21.
it内部审计论文篇5
IT审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。
IT审计过程与一般审计过程一样,分为准备阶段、实施阶段和报告阶段。其中,准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大,而实施阶段所涉及的技术方法则具有信息技术的特色。在实施阶段,针对被审计的信息系统,审计人员所开展的工作可以分为三个层次,即了解、描述和测试。
计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比,相应增加了计算机技术的内容。对IT审计的方法既包括一般方法即手工方法,也包括应用计算机审计的方法。IT审计的一般方法主要用于对信息系统的了解和描述,包括:面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试,包括:测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。应用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用。但不能把计算机辅助审计技术与工具的使用过程与IT审计等同起来。在IT审计的过程中,仍然需要运用大量的手工审计技术。
二、国内IT审计现状及其未来发展
随着IT技术在企业业务和管理中的广泛运用,IT逐渐从传统的后台支持而步入前台,成为企业竞争的重要支撑,企业凭借信息系统的强大功能优势,完成其业务的自动化,但与此同时,从信息系统安全性、效率性、合规性方面都存在风险,传统的控制、管理、检查和审计技术都受到了巨大的挑战。
其次,从应用企业类型来看,目前IT审计主要集中在信息化程度要求较高、生产安全紧密相关的单位。
企业对于IT审计人才的培养也处于初级阶段,目前的状况是懂IT的人才不少,但是这些专业人才往往缺少对企业的业务、审计的相关知识。
基于COBIT的IT综合审计是目前IT审计界的一个技术新趋势,COBIT着眼于与企业业务密切相关的IT资源的审计与评估,通过对IT审计流程的分析解剖,确认IT事件审计风险点、控制目标,从业务效果、效率、保密性、完整性、可用性、合规性、可靠性多个维度给出IT审计评价。以COBIT为基础是IT审计的重要发展方向。
IT审计(IT审计)实施方法简单概括一下:
1)IT审计总体框架
以监管部门的监管要求为基础,并将其与COBIT的IT治理控制框架进行整合,IT审计范围可包括IT原则、IT架构、IT基础设施、IT应用、IT投入等方面的制度建设和执行情况。
2)制定IT审计方案
IT审计应在行业信息技术特点和监管部门要求的基础上,将信息技术审计过程控制表按照COBIT四个控制领域,即规划与组织、获取与实施、交付与支持、监控与评价,进行划分和完善,形成包含34个高级控制流程、438个详细控制活动的审计方案和审计指南。
3)IT审计实施
IT审计实施过程按照审计控制域与IT管理职能、IT系统进行交叉,通过现场访谈、问卷调查和IT相关控制测试等不同的方式展开,最终归纳和整理形成了不同专业领域的IT审计底稿。
4)审计报告
重点对IT审计发现的事项进行描述,并被审计方进行确认,以审慎的态度验证审计发现的准确性与合理性。在被审计方确认审计发现的基础上,对所有审计发现进行汇总,出具IT审计报告。
三、针对国内IT审计针对性问题的合理对策
(一)信息系统的设计和开发没考虑审计的需求
IT审计进入我国较晚,较长一段时间以来,人们对它的认识还不全面、系统,信息产业更是缺乏对IT审计思想及必要性的认识,使得系统审计职能一直没有真正进入信息系统工程领域,在信息系统建设过程中,在系统的设计、开发环节没有考虑系统审计的需求,导致目前常规的IT审计方法与技术在具体实施过程中屡屡碰壁,证据取得困难,程序追踪困难,审计过程效率低、效果差。
同时有相当一部分信息系统的设计者、开发者认为软件测试可以取代IT审计。其实,测试只要求功能的实现,而审计需要功能的规范实现,要考虑更多的企业内部控制的需求。另外,系统测试只在软件开发阶段有效,而审计是覆盖信息系统整个生命周期的,因此,信息系统测试不能代替IT审计。
(二)IT审计人才匮乏
IT审计归根结底是从传统财务审计衍生出来的一种新审计分支,从业人员多数也是从传统审计转化而来。但是,IT审计涉及审计学、信息科学、系统科学等学科,是一个多学科交叉的新领域,对从业人员提出了更高的要求,需要同时具备相关知识的复合型人才。
四、IT审计对策
(一)深化对IT审计的认识
通过培训和教育,使有关部门和单位明确IT审计对于信息化建设工作的重要性。IT审计工作应随着系统建设的开展而开展,应当落实好涵盖所有相关信息资源、信息系统声明周期、信息系统管理维护的全方位的IT审计。
进一步理顺和划清IT审计与计算机审计等相关概念的联系和区别,以主管部门正式文件的形式规定各自的职责目标、业务范围、适用准则与技术,为IT审计的研究和实践打好基础。
(二)推广和建设审计信息系统
信息系统是数据与业务逻辑的集合体,在支持企业内部控制及外部审计方面具有先天优势。例如,在信息系统中可以设置内部控制审计轨迹保留机制,用来记录用户、应用程序及系统的关键活动。同样在信息系统中也可以增加会计记录随机抽样功能,并将抽样保存于安全数据库中,这样就可以有效防范“反记账”和“反结账”。
统一财务软件的数据结构与数据接口,做好信息系统的规范工作,强制要求信息系统提供审计接口,将会计信息系统是否支持标准数据格式、是否具有审计线索保留功能作为评价其质量高低的评价标准。
在信息系统建设过程中推广和应用时间戳技术、电子签名技术、XBRL技术对于审计数据的规范共享、提高审计证据的真实性有重要作用。
(三)加强IT审计人才培养
针对IT审计人才匮乏的现状,可以多渠道开展IT审计人才培养,弥补人才的不足。
1.鼓励现有审计人员学习IT审计知识,扩展和充实职业技能,应对IT审计业务的快速增长。他们具备完备的审计专业知识,只要适当地补充与IT审计相关的信息技术,就可胜任IT审计的职业要求。
2.在高校开展IT审计专业人才培养。针对审计专业的学生或者信息系统专业的学生开展交叉教学,培养复合型人才。
3.鼓励从业人员、学生参加注册IT审计师考试。ISACA针对IT审计的职业技能要求,推出了国际注册IT审计师考试,目前在我国北京、上海、广州、南京四个城市设有考点。准备和参加考试不仅可以学习和检验专业技能,同时可以了解相关领域的最新发展。
(四)加紧制定IT审计标准与规范,促进行业规范发展
尽管从技术角度来看,ISACA的标准、指南和程序已经日臻完善和成熟,我国似乎没有必要发展自己的准则,但是由于我国企业种类繁多,信息化水平地区差异大,许多内外环境与国外存在较大差异,如果没有切合国情的准则、程序对IT审计加以指导,则可能影响这项新审计业务的发展。因此,需要在借鉴国外先进经验,追踪国际惯例的基础上,结合我国IT审计的现实状况,由主管部门分期相应规章与规范性文件,逐步规范我国的IT审计。
五、结论
it内部审计论文篇6
[关键词]信息化;信息系统审计;企业内部控制
[中图分类号]F270.7 [文献标识码]B [文章编号]2095-3283(2012)07-0159-02
随着信息技术在提高企业运行效率中的应用,使企业的信息系统更加庞大和复杂,这对企业有效地实施内部控制提出了挑战。网络经常掉线、服务器宕机、邮件发不出去、病毒肆虐、客户资料被盗等事件时有发生,影响着企业的日常经营活动。因此,在信息时代加强企业内部控制,保护信息资源的安全、完整、真实,保证信息系统有效实现企业目标日益成为现代企业关注的焦点。对于企业内部控制的加强改善,传统的做法是借助于公司治理,而IT治理作为公司治理中不可或缺的一环,通过加强企业的IT治理水平,就可以促进其改善内部控制水平。除此之外,还存在另一种提升企业内部控制水平的方法——信息系统审计。它可以通过专业的第三方咨询机构帮助企业发现内部控制体系的不足,并提供相应的完善措施。
一、信息系统审计的概念
信息系统审计(IS audit)目前还没有公认的通用定义,国际信息系统审计委员会(ISACA)将其定义为“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导层,提出问题与建议的一连串的活动”。国际信息系统审计领域的权威专家Ron Weber将它定义为“收集并评估证据,以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源”。具体而言,信息系统审计就是以被审计单位的信息系统为审计对象,通过现代审计理论和信息技术(IT)管理理论,从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等多方面出发,对信息系统从研发、运行到维护的整个生命周期的各个阶段进行审查,从而评价该信息系统能否满足企业研发之初提出的需求,是否有效地达到了企业的战略目标,并从信息系统审计师的专业角度为改善和健全企业信息系统的控制提出建议的过程。
二、基于信息系统审计的功能分析
(一)确保IT能够遵循并支撑企业的战略目标
《内部审计具体准则第28号——信息系统审计》中指出,审计人员在识别、评估组织层面、一般性控制层面的信息技术风险时需要关注业务关注度,即组织的信息技术战略与组织整体发展战略规划的契合度以及信息技术(包括硬件及软件环境)对业务和用户需求的支持度。其实本质上来说,信息系统审计主要是审计企业信息化对企业整体战略的支持程度、IT战略和企业总体战略的匹配程度、对其业务发展的支持程度、对企业内部组织流程和业务流程所产生的影响以及能否促进其业务系统效率的提高等。因此,可以通过信息系统审计发现并纠正企业信息化过程中存在的问题,以确保组织信息系统的发展始终沿着正确的方向进行,保持IT与业务目标一致,最终借助IT推进企业总体战略目标的实现。从这个层面上看,信息系统审计与企业内部控制可谓是殊途同归,都是为了更好地实现组织的战略目标。通过实施信息系统审计发现内部控制是否有效,是否真正服务于企业总体目标的实现。
(二)借鉴公认的模型标准更全面有效地管控企业的整个运营过程
当前国际上关于信息系统审计的模型虽然还没有一个比较通用的标准,但各种不同的信息化评估模型都采用了COBIT、ITIL(BS15000/ISO20000)、ISO/IEC17799、IT项目管理、信息系统工程监理以及平衡记分卡等工具模型的精髓。因此,其评估模型的周衍性、权威性和合理性都得到了保证。其中,COBIT模型目前已成为国际上公认的IT管理与控制标准,并且已升级到COBIT5.0。COBIT覆盖整个信息系统的全部生命周期,其范围最大。仔细研究COBIT中各项具体内容,不难发现,其本身就是企业信息化过程对内部控制的要求及如何评价这个要求的实现(也就是实际意义上的对信息化下内部控制的审计);ISO/IEC17799标准则侧重于IT应用过程的信息安全;ITIL标准主要运用在信息系统的运营维护阶段;信息工程监理则是最具有中国特色的标准,其标准偏重于信息化建设阶段。它能够通过专业的、全过程的监督和管理来规范企业信息化工程的建设,达到增强企业对信息化工程建设内部控制的目的。因此,可以将几种标准整合起来实施,从而达到提升企业IT内部控制能力的目的。
(三)通过对企业信息系统审计规避其内部存在的风险
企业提升自身的内部控制能力,就是要对风险进行更有效地控制。信息系统审计是风险导向的审计,能够对信息系统的应用状况和综合绩效状况进行全面的评估。因此,信息系统审计所包含的内容要大于信息系统治理所涵盖的内容。
由于信息系统审计的范畴相当广泛,包括信息安全、数据中心运营、技术支持服务、灾难恢复与业务持续、绩效与容量、基础设施、硬件管理、软件管理、数据库管理、系统开发、变更管理、问题管理等,随着信息技术的不断发展,其审计的外延还将不断扩展。如果只是想借助信息系统审计促进企业内部控制水平的提升,就应该加强其有关信息化风险控制方面的指标,适当弱化和删除其他方面的指标,以此达到应用的目的。
三、促进信息系统审计服务于内部控制的建议
(一)建立中国特色的信息系统审计准则体系
it内部审计论文篇7
2005年4月的火灾事故让范孝文至今想起来都觉得惊心动魄:当火灾来临时,重庆市农村信用联社的数据中心直接面临大火的威胁,好在数辆消防车对位于大厦六层的数据中心进行了重点补救,最后在下面几层楼房几乎被烧毁的情况下,数据中心得以幸存。
在数据中心幸免被毁之后,作为重庆市农村信用联社科技部总经理的范孝文开始思考火灾引出的风险问题。不同于以往考虑的信用风险、市场风险等传统风险问题,这次数据中心安危引发的是对信息科技风险的思考。这种思考直接导致了后来《重庆农村信用社信息系统风险管理方案》的制定与出台。
其实,像范孝文这样思考信息科技风险,并付诸实际行动的银行业人士并不在少数。事实上,在2006年11月,中国银监会先后出台了《银行业金融机构信息系统风险管理指引》(以下简称《指引》)和《关于开展2006年度信息科技风险内部和外部评价审计的通知》(以下简称《通知》),进一步强调了信息科技风险管理的必要性,并对银行业的信息科技风险管理作出了明确要求。
《指引》的起草人、中国银监会信息中心设备管理处处长陈文雄告诉记者:“《指引》一方面把信息科技风险提到了与银行的战略风险、法律风险密切相关的高度,让金融机构重视信息科技风险;另一方面,我们更希望银行机构能够运用信息科技来防范银行的风险,这才是最有意义的。”
随着银行业对信息技术不断增加的依赖程度,银行机构已经普遍对信息安全给予了重视,但《指引》和《通知》出台则让整个银行业开始直接、系统地面对信息科技风险。信息科技风险把传统的银行信息安全与IT治理、风险审计和风险评估结合在一起,产生了一个新的管理维度和应用维度,就此将引发一系列的连锁反应。例如,银行需要重新思考IT治理的层次,需要从信息资产的角度来看待信息科技风险、尝试科技风险的计量、筹划如何编织科技风险管理的大网,并通过IT手段来管理操作风险等。
从工具风险到全员风险
《指引》第一章第四条明确了对信息科技风险的定义:是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。
“信息科技风险的管理不仅是IT部门的事,还是银行全体部门的事,更是银行董事会要承担责任的。”这种“管法人”的观念无疑是《指引》对银行高管的一次洗脑,而《通知》则在时间安排上做了一个非常明确的要求:试点机构要在2007年1月31日之前完成内部审计,2007年6月30日之前完成外部审计。《通知》还将审计要点圈定为信息科技治理和组织结构、信息安全管理、项目开发和变更管理、信息系统运行和操作管理、业务持续性等五大领域。
“以前银行也重视IT,但只是把它当成一种工具,没有认识到IT其实也是一种资产。”陈文雄谈到,“《指引》中将信息系统生命周期中的几个重要环节,及其风险点单独拿出来,例如研发、运行维护、外包,这是一种与以往不同的价值观。”
陈文雄说:“《指引》结合了IT治理、ITIL、信息安全、风险审计和评估的内容,形成了全面的信息科技风险管理指引。”前几年,信息安全已经得到了银行高层的重视,而此次《指引》和《通知》的出台一方面丰富和完善了信息科技风险的内涵,同时把信息科技风险提到了前所未有的重视高度,“管法人、管风险”的原则对国内银行机构加强科技风险管理无疑是一支强心针。
中国民生银行科技开发部总经理助理贾凤军说:“如果说让银行的董事会和高管对科技风险负责,以前是不好提的,银监会的文件在例如业务连续性等多处提到需要银行董事会和高管明确职责,让银行高层更加了解科技风险的重要性。以前银行内很多人认为科技风险是科技部门的事,其实这是整个银行的事,银监会的文件明确了信息技术风险的高度,有利于改善银行界的认识。”
对于“管法人”的原则,陈文雄解释说:“这是企业IT治理必须解决的问题,没有高层的直接参与,IT治理就是句空话。与《指引》联动的是,我们将把对银行机构的科技风险评价纳入银行整体的评价体系当中去,与银行的整体风险评级挂钩。目前对银行评级的新标准正在制订过程中,科技风险会在整体评价中占有一定的权重,另外再加上对风险进行量化、价值化以后,会使银行对科技风险有更清晰的认识。”
陈文雄认为,以前人民银行曾经规定过银行机构需要将投资额的一定比例用于信息安全管理,但是实施的效果不明显,《指引》结合了IT治理、ITIL、信息安全、审计和评估的内容,令银行的科技风险管理目标更明确。
据介绍,《指引》共分为八章七十三条,前三章描述了总体原则和风险管理中的共性部分。第四章至第七章分别针对信息系统生命周期的几个重要环节进行风险控制,包括了研发风险控制、运行维护风险控制、外包风险控制、审计等。
对于《指引》和《通知》的出台,毕马威国际会计师事务所的朱恩良先生认为,银行机构应该通过审计活动来找到管理上的薄弱点,从审计的结果来改进,达到完善信息科技风险管理体制这样一个目的。
贾凤军说:“我觉得风险管理应该是全员的风险,跟每一个人都有关系,所以应该有一个全员风险管理的概念。银行需要制定总体的风险管理策略,具体到每一个人都应该有风险意识,然后每一个人都是控制风险点的一个环节。”
编织风险管理大网
《指引》和《通知》的出台为银行着手科技风险管理营造了良好的大环境,而实施科技风险管理如同编织一张风险管理的大网,银行的业务流程和风险点就是大网上的线和点,不同的银行会编出不同的网。
银行机构应该如何构建风险管理体系,朱恩良建议:“首先要根据银监会审计要点的范围,来制定本行科技风险管理目标,再依据管理目标建立起一整套控制措施,来达到对每个环节的管理。因此,银行就不可避免地要评估他自己的信息系统和科技工作。对不同的银行来说,科技风险的情况是不一样的,产生的风险点也不一样,那么当银行在设定控制体系的时候,要针对实质性的科技风险进行控制,同时要保证不影响正常的业务效率,我们审计公司也会评估这两个方面。”
中国民生银行在几年前就开始了科技风险的控制管理。贾凤军说:“《通知》中提到了许多控制点,但银行在实施过程中应该有自己的侧重点,我们实施的时候不会一项一项地按照文件去做,但文件中提到的风险控制的要点是可以供银行机构参照的,把这些要点管好,风险的关口就守住了。”
目前,国内的商业银行体系具有多个层次,从国有大型银行、全国性的股份制商业银行,到城市商业银行和农村信用社,不同类型银行的信息化水平以及对信息科技风险的管理程度差异巨大,《指引》和《通知》的出台一方面指出了全面的风险控制点,另一方面也督促了各家银行的实施的步骤,内部摸底――外部审计――评价――建立或完善风险管理体系。
显然,编织风险管理的大网是一个长期的工作,贾凤军对此的看法是:“目前银行业的做法还不够流程化、企业化、日常化,风险管理的很多内容应该放在日常工作里,让他自动去运作才是有效的。文件了就赶紧去做,做完就不管了,最后肯定是无效的,企业需要建立流程化的日常管理机制,而且风险的特点就是它是动态的,需要不断地评估它的变化。”
在计算机世界《新金融》举办的第三届农信系统高峰论坛上,来自德勤会计师事务所的辛彤先生专门谈到了他对风险管理的看法:“银行应该有专人专岗负责科技风险监控,不管这个人在内审部门也好,在IT部门也好,他会定期进行风险监控。如果我们把IT部门的操作者作为第一道岗,通过他来控制风险,那这个监控专岗就是第二道防线。然后是持续改进和科技信息审计,这是第三道防线。通过内审或者外审,审计部门会定期检查,同时向高层进行反馈。”
重庆市农村信用联社在今年年初制定并开始实施《重庆农村信用社信息系统风险管理方案》。回顾管理方案8个月的制定过程,重庆农村信用联社科技部总经理范孝文认为,合理评估自身的实力,制定出实用的方案才能落实科技风险管理。
“在制定自己的信息系统风险管理方案时,应该结合自己的技术实力、人力、管理水平、资金投入等综合因素,一些对投入要求过高的项目可以暂时不考虑。例如,网络流量分析系统建立在积累大量的网络管理日志的基础上,需要很大的投入,目前还不适合我们。”范孝文表示。
风险计量成管理软肋?
风险究竟是摸不着的概念,还是可以量化的数字?问题的答案在银行管理科技风险时是惟一的:不能准确计量的风险就不可能得到好的管理。而风险的计量却是目前科技风险管理中的软肋。
可惜的是,目前无论是国内还是国外,对于信息科技风险的计量还属于探索期。银行信息科技风险的发生究竟会产生多大的损失,国外的银行也没有积累足够的数据。《巴塞尔协议Ⅱ》中明确提出:业务中断和系统错误属于操作风险。但如果进一步追究,银行数据中心中断一小时会产生多大损失,用资金计量是多少?上午停机1小时与晚上停机1小时产生的损失显然是不同的,每家银行的损失也不相同,银行应该如何衡量这样的损失?这些问题目前还没有很好的答案。这只是科技风险计量中的一个简单例子,而如果发生银行客户数据失窃等事件,不仅仅会产生直接的损失,还会产生声誉风险和法律风险,这会使风险的计量更为复杂。
贾凤军说:“银行有哪些科技风险,大家都是知道的,但因为没有准确的风险计量,大家的看法不一样。就像打仗用兵一样,到底是这个山头重要,还是那个山头重要?如果看法不一样,结果也就不一样。本来应该布置两个团兵力的地方,布置了一个团就会不够用,应该布置一个营,结果你布置了一个团,那样就浪费了。风险管理也是同样的道理,没有计量就没法正确应对。”
对于风险的计量,陈文雄认为计量指标体系的建设将是目前的方向。他说:“信息化的东西,只有资产化、价值化才好计量,信息安全没有进行资产计量就是空谈。对于银行机构来讲,有一个信息资产权重的问题,不同的信息系统所占的风险权重是多少,这需要成熟的指标体系来衡量,在《指引》之后,我们正在研究出台后续的指标体系。”
善用双刃剑
“IT会给银行带来风险,但不能说不用IT系统就没有风险了,信息科技风险需要的是防范而不是逃避,IT双刃剑要看是否能运用得当。”陈文雄表示。
对于信息技术的作用,陈文雄看到的不仅是消极一面,更有积极的一面。他说:“信息科技的风险管理要去防范、要去预知,更重要的是利用它的正面作用,如果进行了风险防范,信息科技用于防范风险的作用远大于其本身潜在的风险,利用IT加强银行内控的潜力很大,但作为银行整体的风险管理,IT只是其中一部分,不可能依赖它防范所有的银行风险。”
贾凤军对信息技术的作用也有相似的观点。他说:“风险管理最有效的方法之一就是用IT系统去控制,减少人为的干扰,就是说业务流程化、流程IT化。”
陈文雄说:“风险管理的关键就是要把内控做到整个业务的每一环,出现有异常情况,系统会自动预警,这样的风险管理就已经非常到位了,现在银行发生的风险案件有很多事先不能预知,过了若干年后才发现,这是不应该的,这里面IT应该能起到更多的作用。”
针对当前中国银行业操作风险中的欺诈风险挑战,IBM公司结合银行业务的特点与风险管理战略,推出了《整合管理平台、规避欺诈风险――银行业全面提升操作风险管理水平》白皮书,提出了“建立统一的风险管理战略、加强运营实时监测、构建整合的欺诈风险管理平台、采用先进的反欺诈信息技术”的风险管理架构。
“能够提供部分银行风险管理产品的厂商很多,产品也不少,但目前还没有一个非常全面的厂商,而操作风险管理需要融入到每个应用系统和业务流程当中去,所以目前的操作风险管理是咨询做先导,IT跟进。”IBM大中华区金融服务事业部战略发展总经理黎江说。
目前,国内银行的大部分业务都可以通过信息系统实现电子化和流程化,这给IT支持操作风险管理提供了基础,但利用IT做好风险监测、事件模型预警、数据仓库分析首先需要理清业务流程,找准每个业务流程中的全部风险点,才能对症下药地利用IT工具来防治。这也给目前的IT厂商出了难题,毕竟利用IT系统全面防范操作风险是一个新领域,路才刚刚开始。
新维度下的新战场
中国银监会一系列加强银行信息科技风险管理文件的出台,除了会提升银行业对科技风险的重视程度,还将对传统的金融安全、金融风险管理市场带来深远影响。信息科技风险的管理维度涉及了几个IT产品的领域,打破了原有的信息安全、业务连续性、ITIL分疆而治的局面,换以信息科技风险的总体管理。这一方面会为很多IT厂商带来商机,同时也催生了市场格局重新划分的内在需求。
对于农村信用社、城市商业银行这类信息化基础相对薄弱的机构而言,信息科技风险的加强需要投入更多的资金和力量。而对于国有大型商业银行和股份制商业银行而言,银监会的高标准严要求仍然需要他们查漏补缺。其中涉及到信息安全领域的产品,业务连续性的产品,以及软件开发管理和系统运维的产品。但是,银行在需要上述产品和解决方案的同时,更需要对信息科技风险的计量。
目前,无论是为银行风险管理提供解决方案的厂商,还是针对信息系统提供安全服务、业务连续性的厂商都不在少数,但这两类厂商都缺乏对信息科技风险全面、有效的计量方法。分析这种现状产生的原因,一方面是因为计量信息科技风险是一个较新的领域,而风险的计量需要相当大的数据才能做出准确的判断,目前的积累还不足;另一方面,信息科技风险横跨了诸多IT产品的领域,这种跨领域的风险管理不仅对银行用户的综合能力提出了新挑战,也对IT服务厂商提出了很高的要求。
由于《巴塞尔协议Ⅱ》明确把业务中断作为操作风险之一,一些存储厂商能够帮助用户建立业务中断方面的损失计量,但在这之外的许多信息科技风险却存在计量缺失。对于银行而言,不仅要得出每一个细分领域的信息科技风险,还要把分散的风险进行加总和综合统计。
it内部审计论文篇8
2006年6月5日,上海证券交易所(下文简称上证所)率先了《上海证券交易所上市公司内部控制指引》(下文简称《指引》),对上市公司建立健全和有效实施内部控制制度提供了原则性指导,明确了公司董事会对公司内控制度所负的责任,并要求上市公司从2006年年度报告起披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见。
IT是内控的一部分
IT内控是公司内部控制的一部分,是审计的对象。《指引》第十条款规定了“公司使用计算机信息系统的,还应制定信息管理的内控制度”,并且列出信息管理的内控制度至少应涵盖的内容:
(一)信息处理部门与使用部门权责的划分。
分析:无论公司的信息处理部门组织结构如何,都必须与使用部门进行明确的权责划分,并且成文定义。明确定义的权责将加强信息处理部门与使用部门间的沟通和相互理解,避免推诿和责任不清造成的管理漏洞和效率低下。
(二)信息处理部门的功能及职责划分。
分析:由于信息系统的特性,信息处理部门本身的功能和职责划分是复杂的。因为功能和职责的复杂性增加了IT服务和运营的风险,所以必须建立相应机制加以管理。信息处理部门管理者首先必须明确本部门在整个公司中起到的作用和承担的角色,明确提供的服务和相应的责任,并且成文定义。
(三)系统开发及程序修改的控制。
分析:系统开发和程序修改主要包括两部分:新应用软件的开发和实施、现有应用软件的变更和维护。新应用软件获得和实施失败风险很高。为了降低这种风险,企业应该建立成体系的软件开发质量控制方法,比如标准软件开发工具和IT构件的选用。
(四)程序及资料的存取、数据处理的控制。
分析:程序和数据存取访问控制需要技术和管理两方面的共同保障。首先,信息和系统安全技术是防止非法访问的有效方法,比如各类密码保护、防火墙、数据加密存储、密钥技术等。其次,需要从管理和流程上保证程序和数据的访问安全,最重要的就是建立完善的系统用户管理制度。
(五)档案、设备、信息的安全控制。
分析:由于信息技术的广泛使用,信息安全一直是得到信息处理部门和信息使用部门极大关注的一个问题。信息资产安全的漏洞可能造成机密信息外泄、病毒入侵等问题,严重的信息安全问题可能危及整个公司的运营,造成财务和声誉上的重大损失。
(六)在网站上进行公开信息披露活动的控制。
分析:在网站上进行公开信息披露活动,需要信息处理部门与公司执行层和内部控制体系其他部门的紧密联系。为了保证信息披露的正确性和及时性,公司应该制定一套流程进行信息披露活动的管理,包括网站上的信息披露。
IT是内控的重要辅助
计算机应用系统不仅是整个企业业务的重要支撑,也是对公司运营活动进行控制的重要辅助手段。以具体运营流程为基础展开的IT控制,直接关系运营活动的实施。这类IT控制包括应用控制,即针对特定业务流程,以软件应用方案为依托进行控制活动。如对财务报表的编制和汇报进行控制,就需要对财务模块进行有效的控制。
以IT为基础和手段的控制方法,效率要明显高于传统手工或基于纸张的控制方式;利用IT固化内控流程可以简化企业的内控过程,降低内控成本,优化内控项目的成本效益比,并帮助企业达到内控效力持续性的要求。IT的规范化操作程序以及信息系统的信息备份功能,能够降低内控审计的难度。
IT管理者应该清晰地认识到IT在公司建立内部控制中的优势和承担的责任。由于信息技术的复杂性,IT部门有责任帮助和配合公司其他部门建立合适的“应用控制”。这不仅能帮助公司达到内部控制的要求,也有利于提升IT在公司中的价值。
IT内部控制不可孤立
IT内部控制应该满足第六条款所描述的“目标设定,内部环境,风险确认,风险评估,风险管理策略选择,控制活动,信息沟通,检查监督”这八个要素的要求。IT内部控制并不是孤立的,而是公司以业务目标为主导的整体内部控制项目的一部分。
简单来说,企业必须首先确定公司的主要经营活动以及与这些经营活动相关的业务流程和活动,划分内部控制的工作范围。其次,企业在工作范围内定义具体的控制对象。再次,针对控制对象,进行风险分析、评估,决定每项风险的管理策略,制定企业具体的控制程序、控制目标以及审计标准。然后,对现行的运作,实施变革以达到预定目标。最后,评价控制措施的实施后果,加以巩固或改进。
IT的内部控制必须遵循公司的内部控制机制策略,确保IT控制符合公司内部控制的基调。此外,IT控制还担当支持企业高层管理活动的责任,在企业内设定业务目标,确立企业政策,在组织资源配置及管理决策时,IT负责辅助企业制定政策方针并在组织内部传达交流。
通过上述三方面的分析,我们可以发现,IT控制可以归纳为三个层次:公司控制、应用控制和基础控制。公司层面的控制决定了IT内部控制的基调;应用层面的控制与业务流程相结合,体现在应用系统中,比如ERP和MRP;基础层面的控制则体现在IT服务过程中。
在现实中,由于IT运行环境和IT应用水平迥异,不同的公司在建立IT内部控制过程中的控制重点各不相同,复杂的局面可能会使许多企业一时无所适从。《指引》作为上证所的一份规范性文件,虽然给出了内部控制的框架,但是仍无法像管理手册或者行动指南那样说明IT如何才能达到《指引》所要求的水平。
面对已经到来的内控要求,上市公司急需一套普遍适用的IT内部控制方法论来弥补《指引》的这一缺憾:必须满足《指引》的要求,可以协助IT建立合适的内部控制机制;以IT控制为主要任务,考虑全面并被广泛认可;提供可操作的行动指南和评价体系,指导企业在进行IT控制的同时,方便审计机构制订评估标准,并利于双方就审计细节达成一致。
链接:为什么不能照搬美国萨班斯法案
首先,萨班斯法案关于内部控制的规定的操作成本太高,对规模较小的中国企业来说操作难度太大。大型美国公司仅在第一年建立内部控制系统的平均成本就高达430万美元,这对规模偏小的中国上市企业来说是不现实的……
其次,公司治理方面与国际或者美国的企业有差距,不能一蹴而就,如果照搬萨班斯法案,可能会带来水土不服;