关键词:IT投资;审计决策;审计意见;审计收费
一、引言
随着信息化浪潮推动市场经济主体快速步入大数据时代,企业日益注重信息技术(informationtechnology,IT)的投资与运用,其中企业资源管理计划(enterprise resource planning,ERP)是企业重要的IT投资之一。ERP技术融合了先进的IT技术与管理思想,针对企业管理中存在的问题对企业业务流程进行再造,运用IT技术整合协调贯穿于企业经营过程中的信息流以提高管理水平。企业ERP类IT投资不但改变了企业经营管理方式,还使得审计环境发生了显著变化。IT审计环境可能对审计人员面临的审计风险产生影响,其采取的审计方法、审计范围也随之发生变化,从而对其审计决策产生影响。对于事务所而言,最重要的外部审计决策表现在审计收费与审计意见两个方面。IT投资对外部审计决策产生了什么影响?究竟会通过何种路径影响审计收费与审计意见?本文对此展开研究。已有审计理论主要从企业和审计师特征这两个层面来构建审计费用和审计意见模型,而在企业特征层面很少有研究将企业信息技术因素纳入其中。本文把企业IT投资作为企业层面的信息技术特征,将其纳入审计费用和审计意见的模型中,能够丰富IT审计环境下的审计理论研究,拓展对审计师决策影响因素的研究。此外,在风险导向审计模式下,审计师的风险识别能力以及决策行为会对审计质量产生重要影响,通过研究我国企业IT投资对审计师决策的影响,有助于了解我国审计师在面对IT审计环境时的风险识别能力与风险管理战略。本文的后续内容安排如下:第二部分是文献回顾与研究假设,第三部分是研究设计与数据来源,第四部分是实证检验与分析,最后是研究结论与启示。
二、文献综述和研究假设
(一)文献综述现有关于IT投资对企业运营管理影响的研究文献较多,一方面主要考察IT投资达到预期效果的重要影响因素,另一方面则主要考察IT投资对公司业绩的影响。较多证据表明企业IT投资不仅能够改善经营业绩与加强成本管理,而且能够改善管理层经营决策所需要依赖的信息环境,提高企业信息透明度和精确性,增强高级经理人投资决策行为的科学性[1]。Morris和Laksmana(2011)发现IT投资企业报告了更少的内控缺陷[2]。IT投资会提高企业日常管理业务活动所需信息的及时性、完整性和透明度[3],改善管理层对未来的盈余预测质量[1]。然而,关于IT投资对上市公司会计审计活动影响的研究仍然较少。Brazel和Dang(2008)发现实施ERP类IT投资企业的会计盈余信息质量下降[4],但Morris和Laksmana(2010)在研究设计中控制了内生性问题后,发现IT投资企业盈余信息质量有所提高[5]。张子余等(2016)在控制内生性问题后,发现没有任何证据反映我国企业IT投资会降低会计盈余信息质量,有微弱证据表明盈余信息质量有所提高[6]。关于ERP系统对审计费用与审计意见的影响,Han等(2015)认为IT投资增加了审计风险,提高了风险溢价;以CI(computer intelligence)数据库2000~2009年的美国公司为样本,他们发现企业IT投资与审计费用正相关,在IT审计环境下持续经营审计意见的概率降低[7]。综上,我国企业IT投资对外部审计决策影响的实证研究较为匮乏,不利于理解IT投资对我国企业外部审计决策的影响路径与机理,不利于理解我国会计师事务所在面临IT审计环境时所采取的风险管理策略。为此本文展开相应研究,本文与以往研究的显著不同之处在于:国外相关研究认为IT投资会增加审计风险,从而提高风险溢价与审计收费;而本文则揭示了我国企业IT投资对审计决策行为的影响路径与影响机理在于:IT审计环境下外部审计收费的提高不是由于重大错报风险变化引起的,而是由于追加审计程序以及学习成本增加,造成审计效率降低引起的。
(二)研究假设如果外部审计的重大错报风险加大,出于法律与自身信誉风险的考虑,审计师在出具审计意见时会更加谨慎,出具非标准审计意见的概率会提高[8];反之,审计人员出具清洁审计意见的概率不会降低。因此,在风险导向型审计模式下,审计师要审慎评估企业的重大错报风险,需要对审计的固有风险与控制风险分别进行识别与评估。首先,需要对控制风险进行识别和评估。如果在业务流程再造过程中,IT系统中恰当植入关键控制点,会降低外部审计的控制风险;反之,如果ERP系统没有较好整合系统与植入关键控制点,IT投资企业存在较多内控缺陷,外部审计控制风险将可能提高。Morris(2011)发现ERP类IT投资企业报告更少的内控缺陷[2];曾建光(2012)发现IT投资能降低两种内部控制实施成本———企业管理层与员工之间以及股东与管理层之间的监督成本[9];张子余等(2016)认为我国企业IT投资能提高财务报告内控有效性[6]。据此我们倾向于认为IT投资并没有提高我国上市公司的控制风险。其次,评估重大错报风险还需要对固有风险进行识别和评估。企业IT投资能通过对被审计单位的经营环境以及舞弊动机产生影响,从而影响审计固有风险。第一,当被审计单位的经营成果和财务状况较差时,其固有风险水平较高;反之,当IT投资改善了企业经营业绩时,其固有风险会随之降低。而有较多经验证据表明企业IT投资会对其经营业绩改善产生积极影响[10][11]。第二,当被审计单位存在有提供虚假会计报表动机时,固有风险相对较大。企业IT系统投资不仅为财务报告编制提供基础,还为各部门业绩考核与评价提供重要业绩数字,数字篡改会引发企业内部业绩评价部门相关人员的激烈争议。此外黄志忠和张娟(2012)还认为IT系统中数据更改需要高层授权,不精心设计容易导致系统崩溃[12],对系统崩溃的担忧以及业绩考核相关部门对业绩数字的高度关注,这两种力量有利于制约被审计单位提供虚假报表的动机。因此,我们倾向于认为企业IT投资不会提高审计的固有风险。最后,如果IT系统本身存在明显系统缺陷,在ERP系统设计与运行过程中,操作者有意或无意造成的缺陷所产生的安全漏洞会增加外部审计的固有风险,某一环节问题可能波及其他相关联的诸多环节,此时被审计单位的固有风险可能增加。但我们不倾向于认为现在较为成熟的ERP类IT投资会存在明显安全漏洞与系统缺陷。尽管如此,基于上述诸多方面的分析,我们谨慎提出下列竞争性假设:假设1:在其他条件不变情况下,对于实施ERP类IT投资企业,审计师出具清洁审计意见的概率会降低(不会降低)。外部审计的审计收费首先会受到审计人员可接受的检查风险变化的影响。当其他条件不变时,如果IT投资使得企业的重大错报风险增加,此时审计人员可接受的检查风险程度降低,需要增加审计程序,审计费用增加。反之,如果IT投资使得企业的重大错报风险减少,此时审计人员可接受的检查风险程度提高,不需要增加审计程序与审计费用。外部审计的审计收费还会受到审计效率的影响。当IT系统提高了数据输入的及时性,降低了数据输入错误率时,审计工作效率提高,审计费用降低。然而,当企业进行IT投资时,审计师需要扩大审计范围,增加新的审计程序,这将降低审计效率,增加审计费用;审计师在面对IT审计环境时需要学习新的IT审计知识,学习在IT审计环境下专业审计判断的能力,增加的学习成本降低了审计效率,提高了审计费用。基于以上分析,我们提出下列竞争性假设:假设2:在其他条件不变情况下,我国企业IT投资会提高(不会提高)审计收费。
三、研究设计、数据来源与模型设定
(一)研究设计与数据来源为控制其他不可观测因素对被解释变量的影响,我们采用对照组方法进行研究,给IT投资企业寻找配对样本,将没有进行IT投资的配对样本与进行IT投资的上市公司样本混合在一起进行检验,对照组研究方法能够解决遗漏重要变量带来的内生性问题以及估计偏误问题。譬如,近十几年来审计监管逐渐加强,对事务所审计决策产生了影响,如果只运用IT投资样本进行检验,很容易将审计监管变化因素与企业IT投资带来的变化混为一谈。运用对照组方法进行研究,首先选取2003年1月1日至2010年12月31日在年报中首次公开披露实施ERP类IT投资的非金融类上市公司,然后给每家当年实施IT投资的企业寻找没有进行IT投资的配对样本。本文按照不放回抽样方法抽取配对样本,给IT投资企业按照行业相同、年度相同、总资产规模最接近原则寻找配对样本,每个配对样本的总资产在IT投资企业资产规模的正负20%以内。表1列示了成功配对的361组IT投资公司与配对样本的描述统计量,IT投资公司与配对公司资产规模的描述统计量非常接近。我们保留IT投资企业与配对样本在IT投资企业投资前三年与后三年的数据,研究样本时间的跨度是2000~2013年。其中,年报来源于巨潮资讯网以及新浪财经公告,内部控制指数来源于迪博内部控制与风险管理数据库,其他变量数据均来自CSMAR数据库。本文使用的统计软件是sta-ta12.0。为了避免极端值的影响,对连续型变量在上下1%水平上进行了Winsorize处理。
(二)模型设定我们采用如下logit回归模型对研究假设1进行检验。模型(1)中被解释变量是表示清洁审计意见的哑变量CleanOpin,变量定义见表2。CleanOpin=k1IT_post×ERP+k2IT_post+k3control+εit(1)为了检验假设2,本文在Simunic(1980)、Ke等(2014)的研究基础上构建了如下固定效应模型[13][14]。模型(2)中被解释变量是审计费用Ln(AF)。Ln(AF)=β1IT_post×ERP+β2IT_post+β3control+εit(2)另外,本文参考Simunic(1980)与Ke等(2014)的相关研究[13][14],控制了影响审计收费与审计意见的其他因素,最终将上市公司规模(SIZE)、业务复杂程度(ARINV、FOROPS)、财务风险(LIQ、LEV)、盈利能力(ROE、LOSS、CFO)、审计师特征(BIG4)等作为控制变量,各变量定义见表2。四、实证检验与分析(一)描述性统计表3列示了主要变量的描述统计量。与已有研究一致,将审计费用取对数,取对数后的均值为13.213,标准差是0.646。审计意见的平均值为0.953,说明绝大多数公司被出具了清洁审计意见(不附加任何说明段的无保留审计意见)。内部控制指数得分的最小值是0,最大值是999.75,均值是679.66,符合得分分布特征。应收账款存货与总资产的比值(ARINV)的最小值为1.4%,最大值为73%,样本间差异较大。流动比率(LIQ)的平均值为1.743,表明样本公司短期偿债能力较好。资产负债率(LEV)的平均值为0.485,表明样本公司资本结构整体合理。聘请国际“四大”事务所的样本企业仅占6.7%。净资产收益率(ROE)的均值为6.2%,表明样本公司净资产收益水平一般。
(二)回归分析表4列示了我国企业IT投资对清洁审计意见影响的logit模型的回归结果,(Ⅰ)为不考虑控制变量的logit模型估计结果,交叉项IT_post×ERP的系数为0.387,在10%显著性水平上大于0,意味着我国企业在IT投资后被出具清洁审计意见的概率提高。(Ⅱ)为考虑控制变量的logit模型混合回归结果,(Ⅲ)为考虑控制变量的面板logit随机效应模型估计结果,这两种情况下交叉项IT_post×ERP的系数虽然都大于0但并不显著,表明我国企业在IT投资前后被出具清洁审计意见的概率无显著变化。控制变量LEV与LOSS的系数在1%水平上显著小于0,与现有研究结果一致,资产负债率越高的企业以及亏损企业获取清洁审计意见的概率显著降低。总之,表4表明在其他因素保持不变时,我国上市公司在IT投资前后被出具清洁审计意见的概率并没有显著变化。接下来利用模型(2)来检验我国企业IT投资对外部审计收费的影响。Hausman检验发现固定效应模型优于随机效应模型,因此采用固定效应模型来控制与被解释变量相关的不可观测的公司层面因素。表5列出了相应的检验结果。(Ⅳ)为不考虑控制变量时的估计结果,交叉项IT_post×ERP的系数为0.072,在1%显著性水平上大于0,意味着我国企业在IT投资后审计费用显著提高。(Ⅴ)为考虑控制变量时固定效应模型的估计结果,交叉项IT_post×ERP的系数为0.052,仍然在1%显著性水平上大于0。另外,表5两种回归中IT_post的估计系数都在1%水平上显著大于0,意味着对应的非IT投资企业审计费用也随时间显著提高。原因可能在于,对于没有进行IT投资的配对企业,逐年的通货膨胀物价因素也使得事务所审计收费显著提高。在控制变量中,SIZE、BIG4的系数在1%水平上都显著大于0,这表明被审计单位规模越大以及由四大会计师事务所进行审计时,审计费用显著提高。
(三)稳健性检验在稳健性检验中,我们将来源于迪博内部控制与风险管理数据库的内部控制指数作为被解释变量,考察企业IT投资对内控有效性的影响,检验结果见表6。表6采用随机效应模型进行检验,是因为Hausman检验发现随机效应模型优于固定效应模型。(Ⅵ)列示了不考虑控制变量时的回归结果,交叉项IT_post×ERP的系数为11.951,在5%显著性水平上大于0,我国企业IT投资后内控有效性显著提高。(Ⅶ)列示了考虑控制变量的回归结果,交叉项IT_post×ERP的系数不显著,这表明当其他因素保持不变时,我国上市公司在IT投资前后内控有效性水平无显著变化。除此之外,我们重新定义审计意见,设置变量OPINION:当审计意见为标准无保留意见时O-PINION取值为4,审计意见为无保留意见加事项段时OPINION取值为3,审计意见为保留意见或保留意见加事项段时OPINION取值为2,审计意见为无法发表意见时OPINION取值为1,审计意见为否定意见时OPINION取值为0。然后运用ordinal logit模型进行检验,结论与表4保持一致,这说明我国企业IT投资后被出具更好审计意见的概率无显著变化。另外,在前面本文是按照年度相同、行业相同、资产接近的原则进行配对,其中行业是根据字母行业编码选择相同行业,现在我们根据更加细分的字母加两位数字行业编码进行行业配对,为227个IT投资公司成功配对了227个没有进行IT投资的上市公司。运用新的样本,我们按照表4~6的分析顺序再次进行相关检验,研究结论保持不变。
(四)对重大错报风险的分析根据上述检验结论我们对重大错报风险展开进一步分析,重大错报风险分为财务报告层次的重大错报风险与认定层次的重大错报风险。首先,考察我国企业IT投资是否会影响财务报告整体层次的重大错报风险。通常,如果企业财务报告整体层次的重大错报风险显著增加,此时出具清洁审计意见的概率会降低。该命题的逆否命题为“如果企业出具清洁审计意见的概率没有显著降低,则企业财务报告整体层次的重大错报风险没有显著增加”。由于原命题和逆否命题是等价命题,逆否命题也应当为真命题。根据本文发现的“企业IT投资后被出具清洁审计意见的概率没有显著降低”,可推断我国企业IT投资后财务报告整体层次的重大错报风险无显著增加,这与张子余等(2016)发现的盈余信息质量无显著变化的证据保持一致[6]。其次,还需要考察我国企业IT投资是否会影响认定层次的重大错报风险。认定层次的重大错报风险细分为控制风险与固有风险。控制风险取决于内部控制设计与运行的有效性,根据本文的分析结果———我国企业IT投资后的内控有效性水平无显著变化,可知我国上市公司IT投资后的控制风险无显著变化。王立彦等(2007)、张露等(2013)均发现企业ERP投资对经营业绩改善有积极作用[10][11]。当ERP类IT投资改善了企业经营业绩时,其固有风险会随之降低。因此,我们认为IT投资没有提高控制风险与固有风险,没有提高我国上市公司认定层次的重大错报风险。综上,本文认为我国上市公司的IT投资不会提高财务报告层次的重大错报风险,也不会提高认定层次的重大错报风险。我国企业IT投资没有影响重大错报风险,意味着我国企业IT投资后外部审计费用显著提高的原因不在于重大错报风险增加。外部审计面对企业新的IT审计环境时需要重新设计或追加审计程序以及增加IT审计学习成本,这会降低审计效率、提高审计费用。
四、研究结论与启示
本文实证检验了我国企业IT投资与外部审计决策之间的关系,研究发现:(1)我国企业在IT投资后被出具清洁审计意见的概率无显著变化,与张子余等(2016)发现的我国企业IT投资后盈余信息质量没有显著变化的证据相吻合[6]。(2)我国企业IT投资后外部审计的内部控制有效性水平没有降低,与曾建光(2012)发现的内部成本降低的逻辑保持一致[9]。(3)我国上市企业在IT投资后的外部审计费用有显著提高。根据上述研究结论可理解会计师事务所在面对新的IT审计环境时的风险管理策略包括:提高审计收费,调整审计程序,客观出具审计意见。从对影响路径的深入分析中可知,我国企业IT投资对外部审计的影响机理在于:首先,我国上市公司的IT投资没有降低内控有效性水平,没有提高外部审计的控制风险,重大错报风险无显著变化,企业在IT投资后被出具清洁审计意见的概率没有显著变化;其次,外部审计费用显著提高的原因不在于重大错报风险所带来的审计风险提高,而在于追加审计程序以及IT审计学习成本的增加,两者降低了审计效率,提高了审计费用。关于进一步的研究,我们认为可以运用调查问卷等形式,深入考察事务所对IT审计环境下重大错报风险的分析检查判断过程。基于本文分析可得出以下启示:第一,企业IT投资后在流程再造过程中需要合理设置内控关键控制点,将内部控制关键控制点合理嵌入ERP系统运行中,以进一步提高内控有效性,降低外部审计的控制风险。第二,与系统供应商保持紧密联系,加强对IT系统缺陷的后期维护。系统供应商作为系统的生产者,对该系统的缺陷以及运作流程了解较多,系统使用者应该与供应商加强沟通,以降低IT系统的固有风险。第三,会计事务所需要不断加强对IT审计人员的培训学习,学习与研究如何运用大数据背景下的IT审计技术,提高审计效率,降低审计收费,以提高事务所的核心竞争力。
参考文献:
[1]Dorantes,C.A.,Li,C.,Peters,G.F.,Richardson,V.J.The Effect of Enterprise Systems Implementation on theFirm Information Environment[J].Contemporary Accounting Research,2013,30(4):1427—1461.
[2]Morris,J.J.The Impact of Enterprise Resource Planning(ERP)Systems on the Effectiveness of Internal Con-trols over Financial Reporting[J].Journal of Information Systems,2011,25(1):129—157.
[3]Klaus,H.,Rosemann,M.,Gable,G.G.What Is ERP?[J].Information Systems Frontiers,2000,2(2):141—162.
[4]Brazel,J.F.,Dang,L.The Effect of ERP System Implementations on the Management of Earnings andEarnings Release Dates[J].Journal of Information Systems,2008,22(2):1—21.
[5]Morris,J.J.,Laksmana,I.Measuring the Impact of Enterprise Resource Planning(ERP)Systems on EarningsManagement[J].Journal of Emerging Technologies in Accounting,2010,7(1):47—71.
[6]张子余,杨慧,李常安.我国企业IT投资对财务报告内控实施成本与盈余信息质量的影响研究[J].审计研究,2016,(5):98—103.
[7]Han,S.,Rezaee,Z.,Xue,L.,et al.The Association between Information Technology Investments and AuditRisk[J].Journal of Information Systems,2015,30(1):93—116.
[8]Lennox,C.S.Audit Quality and Auditor Size:An Evaluation of Reputation and Deep Pockets Hypotheses[J].Journal of Business Finance &Accounting,1999,26(7—8):779—805.
[9]曾建光,王立彦,徐海乐.ERP系统的实施与成本———基于中国ERP导入期的证据[J].南开管理评论,2012,(3):131—138.
[10]王立彦,张继东.ERP系统实施与公司业绩增长之关系———基于中国上市公司数据的实证分析[J].管理世界,2007,(3):116—121.
[11]张露,黄京华,黎波.ERP实施对企业绩效影响的实证研究———基于倾向得分匹配法[J].清华大学学报(自然科学版),2013,(1):117—121.
[12]黄志忠,张娟.ERP实施、信息质量与公司绩效———基于中国上市公司的经验证据[J].当代会计评论,2012,3(2):1—13.
[13]Simunic,D.A.The Pricing of Audit Services:Theory and Evidence[J].Journal of Accounting Research,1980,18(1):161—190.
目前,现代企业经营越来越依赖信息系统,信息系统管理信息、处理业务以及存储大量的数据。也迫切需要对信息化管理现状进行全面的审计,以分析评估存在的问题,提出解决方案,完善IT风险控制,保障各信息系统的规范运作,降低信息化风险,提高业务运营的经济性和有效性。IT审计虽然区别于财务审计,运营审计等常规审计,但其审计方法论仍不可能脱离常规审计所用的方法论。也就是必须对审计目标,审计范围,审计计划等等均需进行清晰阐述,并在实施IT审计后,出具具有充分、适当的审计证据支持的IT审计报告。
一般来说,实现全面的IT审计,应当从审计对象的整个生命周期领域、审计对象及组织层次来开展。
一.IT审计范围
进行IT审计的对象包括但不限于以下领域:1.管理组织与制度;2.项目管理流程规范性 ,包括应用系统的开发、测试与上线管理;3.基础设施及运维管理;4.信息安全管理;
IT审计涉及的应用系统包括但不限于以下领域:1.生产系统;2.营销系统;3.办公自动化系统;
IT审计涉及的组织层次包括但不限于以下领域:1.高层决策者;2.中层管理者;3.技术部门员工;4.业务部门员工。
二.IT审计具体实施
ELC(entity level control)控制。关注客户在IT治理方面的相关组织架构是否合理,管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。
系统开发和变更。关注系统开发和系统后续变更实施中的控制,具体的审计程序首先就是获取系统开发及变更相关的管理制度,该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http://总第522期2013年第39期-----转载须注名来源如调阅《系统开发制度》《系统变更管理制度》,二是关注系统开发过程的合理性,如是否经过了需求提出、可行性研究、领导层审批,系统上线之前是否经过了充分的测试,获取一些内控痕迹和表单,如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》,《变更审批单》,采取抽样后穿行测试。
操作系统及数据库控制。关注操作系统和数据库的控制,如登录时密码控制强度、敏感操作的权限分配、日志的保存。
应用系统控制。关注应用系统控制的合理性。如银行使用的综合业务系统(有的叫核心业务系统)、国际结算系统、大小额系统、信贷管理系统等等,关注其安全配置和用户权限。
接口控制与信息安全。关注其数据准确性、完整性、以及组织级的网络管理的相关制度,如防火墙的架构,内外网分离程度等。
三.IT审计依据
IT审计依据的来源基本上业界都有很充分的理论依据以及最佳实践,以下IT控制标准、法律法规、行业最佳实践都可作为IT审计的依据。
IT标准、规范及最佳实践; 企业内控框架-COSO;IT治理-COBIT、ISO 38500;IT规划与架构设计-Zachman、TOGAF、FEA;IT应用系统开发与运维-软件开发规范、CMMI、ISO9126;IT基础设施生命周期管理-网络、主机、安全等设备管理规范;IT服务管理-ITIL、ISO20000;IT项目控制-PMP、Prince2、项目监理规范;信息安全管理-ISO27001、ISO27002;业务连续性计划-BS25999、ANSI/NFPA 1600;IT应用控制-输入控制、处理控制及输出控制;IT资源协同-EAI、SOA、共享中心等……
目前,信息系统的正常运行已经成为银行业务正常运营的最基本条件之一,信息科技在有力提升银行核心竞争力的同时,信息科技风险也愈发突出和集中,信息科技风险控制已成为银行业风险管理的重要内容,而IT审计作为银行业风险管理体系的重要组成部分,其重要性和必要性已经日益得到银行业管理层的关注。
IT与其他如财务审计等不同之处,主要在于审计框架是否全面。审计过程仍遵循常规审计步骤,包括审计策划、审计准备、审计对象调查、实施审计、审计发现复核及沟通、审计报告六大步骤。
课题组组长:史可山,人行南平市中心支行行长;
课题组成员:陈崇跃,徐克勋,朱燕涛,张杏英;
执笔:陈崇跃,朱燕涛。
摘要:随着信息科技的发展,人民银行系统对IT的依存度日增,信息系统风险也接踵而至,内部审计面临新的挑战,IT治理势在必行。为此,本课题组在分析了人行传统的内审已不能适应IT时代审计使命要求的基础上,提出了改革人行内部审计并以此深化央行IT治理的若干建议。
关键词:中央银行;内部审计;IT治理
中图分类号:F830文献标识码:A文章编号:1006-1428(2007)12-0088-02
随着人民银行各项业务与管理活动对IT依存度的日益提高,IT风险渐露端倪,人民银行内审从体制、手段和方式等均面临与IT发展程度相对应的新挑战,央行内审呼唤与IT治理相适应的改革。
一、加强人民银行IT审计促进央行IT治理的必要性。
IT治理大意指合理利用IT资源与适当管理IT相关风险的一种管理模式与机制。IT治理最重要的任务就是保证信息技术与各项业务的有效结合,促进组织收益最大化与风险的最有效控制。如同企业(公司)治理包括了内控管理及其内部审计等制度安排,“IT治理”也涵盖IT审计、信息安全审计、IT服务管理等内容。“IT审计”既是IT治理的组成部分,也是IT治理的促进因素。“IT审计”不仅对信息系统(IS)及其管理制度,还包括对内审自身的IT化建设行使“监督、评价与咨询”职责。
人民银行具有类似商业银行等现代企业的组织架构与业务体系,在管理上同样适用和更需引入“企业治理”与“IT治理”机制。人民银行在组织架构上设立了分支行机构,在业务上也有“存贷款”、“中间业务”、“黄金外汇储备与买卖”等经营性品种。因此人民银行的“业务”系统及其“应用系统”也更为庞大与复杂,日常运营越来越依赖于信息技术的支撑。在这种背景下,人民银行信息系统运行的有效性与潜藏的风险更加不容忽视,建立健全人民银行系统的IT治理及其IT内审机制十分迫切。
二、人民银行系统IT治理与IT审计的现状
在IT治理方面,人民银行表现明显滞后:一是尚未编制出一套适应我国国情的央行IT治理蓝图或规划;二是尚未建立与人民银行组织结构和业务体系及IT应用水平相适应的IT治理组织框架和制度体系;三是尚未建设和培育一支既掌握IT知识又谙熟央行业务的IT治理复合型或“两栖”的人才队伍;四是作为IT治理重要组成部分的IT审计、IT风险控制等监督与保障机制尚不成熟和健全,影响了人民银行IT治理的深化。
在IT审计方面,人民银行信息系统仍没有突破传统内审的窠臼。具体问题与原因:
一是IT审计的理论缺失。IT审计是审计理论的新兴领域,当前有关它的研究尚不够深入,阐述与定义尚不统一,也给IT审计制度的建设和IT审计的实践带来一定程度的混乱。
二是IT审计的制度缺失。人民银行内审司虽制定了《计算机信息系统监督检查工作暂行规定》、《计算机信息系统内部审计规程》等制度,但不是真正意义上的“IT审计”,仅处于信息系统(IS)审计层次,属于一般内控操作制度范畴。
三是IT审计的标准缺失。目前却仍未规划与制定出一套能与国际接轨的抑或有中国特色的IT审计标准与具体行业准则,使目前的IT审计没有明确的方向与标准的轨道。
四是IT审计的队伍缺失。首先,在组织体系上IT审计人员配置不足与结构不合理。其次,人员综合素质不高,既掌握IT知识又熟悉央行业务、懂得金融法律的人力资源十分匮乏。第三,未建立IT审计复合型人才培育机制,使现有人员IT审计素质不能得到应有的提高。
五是IT审计的手段缺失。即IT审计本身缺少信息技术硬件与软件的武装与支持。首先是内审部门计算机及其网络工具与设施配备不足,使目前所开展的IT审计仍停留于现场的、被动的、事后的传统审计形式。其次是业务审计的IT辅助审计应用软件缺乏,内审人员面对全面“数字化”的审计对象,只能望洋兴叹。第三是当前的业务应用系统在设计、开发之初就未考虑接受审计因素,内审人员实施IT审计时没有“合法”接口与取证手段。这些均极大地困扰与制约着IT审计的开展与发展。
三、改革央行内审深化IT治理的政策建议
1、加强IT审计及IT治理的理论研究,为新形势下的央行内审改革提供理论基础。2004年,人行内审司同ITGov(中国IT治理研究中心)合作开展了“IT治理与IS审计模型研究”,对国际通用的IT治理框架和信息系统审计标准“信息与相关技术控制目标”(COBIT)进行了研究,取得初步成果。但是,近年来类似的内审科研仍然偏少,成果不多。当前,国外在这方面的研究与探索均较深入,硕果累累,可以很好借鉴。
2、改革传统的人行内审体制,架构与IT治理相适应的新型内审模式。IT审计的目标是通过实施审计,维护、促进或增强人民银行计算机信息系统合规性、安全性、可靠性、有效性。人民银行已构建了强大的信息传输网络,作为内部审计主要对象的央行业务系统实现了数据大集中,人民银行分支机构业务运营与管理的内涵与外延也发生重大变化,不同层次的央行机构IS更存在鲜明的差异。这就要求央行对传统的内部审计架构进行新的设计,如构建“重心上移、机构下派”的内审新体系。借鉴西方中央银行组织治理模式并与央行IT治理机制相适应,在强调内部审计独立性的同时,注意与IS开发、应用部门的协调一致。采用更灵活的内审方式,如引入市场经济国家“内审社会化”或“内审外包”做法,对人民银行的部分IT审计项目可委托有资质的社会组织开展;提升手段,改革传统的现场审计与人力审计模式,利用计算机网络系统和审计辅助系统实施以“信息技术对抗信息技术”的“非现场审计”和“机器审计”,等等。
3、树立现代内部审计理念,实现内审由合规性监督向评价与咨询服务转变。审计的目的是确保整个组织活动的有效性、效率性、合规性、安全性,使组织“价值增值”。内审由于IT手段的利用及对IS的审计,使内审目标的实现更加可能。因此,人民银行的IT审计不应停滞在查错纠弊的监督阶段,而应要求审计人员树立服务意识,为被审对象提供咨询服务,当好参谋。
4、加快编制我国央行IT治理规划,建立适应人民银行体制的IT审计标准体系和框架。“信息系统审计和控制联合会”(ISACA)已制定了“面向过程的信息系统审计和评价的标准”(COBIT),国际内部审计师协会(IIA)将其作为国际通用的IT审计标准。作为我国央行的人民银行内审也应积极借鉴标准,制定一套适合我国央行特色的IT审计标准与规范,为IT审计开展评价、咨询等活动提供尺度与准绳。
5、开展对新系统开发的审计,实现IS事后审计向全过程审计转变。即在新系统的立项、开发、测试和验收阶段,内审人员就参与其中,对程序开发到应用的全过程从审计的角度进行审慎监督;对系统的审计由事后转变为全过程监督。同时各业务部门在正式培训、推广使用新系统时,应邀请同级审计部门参加培训学习。对新系统开发审计时,应对新系统的今后可审计操作性提出要求,防止系统出现“拒审”等情况的发生。
6、加强IT审计队伍建设,提高央行内审从业人员综合素质。一是吸收计算机专业人员,把他们培养成审计人员;二是对现有审计人员开展IT知识培训和继续教育,培养成IT审计师;三是建立激励机制,推行IT审计师持证上岗制度,鼓励内审人员学习和钻研计算机知识,考取国家计算机资格等级证书,有条件的通过国际IT审计师资格认证。
(七)加强计算机辅助审计软件开发与应用,推进IT审计信息化建设。
参考文献:
[1]《内部审计思想》 (美)Andrew D.Bailey, (美)Audrey A.Gramling, (美)Sridnar Ramamoorti著;王光远等译,中国时代经济出版社,2006;1
[2]仲安妮.IT审计直面差距找准定位促跨跃.金融时报,2006-8-22
【关键词】 IT审计; 财务共享服务模式; 大数据; 云会计
【中图分类号】 F232 【文献标识码】 A 【文章编号】 1004-5937(2016)24-0128-04
一、引言
财务共享服务模式是依托大数据、云计算等信息新技术以财务业务流程再造为基础的分布式管理模式,目的是优化组织结构、提升核算流程效率、降低财务核算成本以及为企业创造价值,其站在市场视角为内外部客户提供专业化财务服务。在财务共享服务模式下,集团企业将日常的、共同的、分散的、大量的、重复的、可标准化的财务会计流程从下属分公司剥离出来,统一交给财务共享中心进行处理[1],实现了业务处理、数据存储的集中,同时也增加了IT风险。IT风险[2]已经成为企业的“经营风险”,包含IT环境风险、IT管理风险、IT技术风险和IT平台风险等。大数据时代基于财务共享服务模式的IT审计目的是为了找出并解决财务共享的IT风险,依托大数据、云计算等信息新技术,通过对大数据进行采集、处理、分析以发现问题。
IT审计一直受到诸多学者的重视,曹立明[3]分析了IT审计本质、目标与方法,认为IT审计是会计信息化的内在要求,并对会计信息化IT审计的目标、内容和实施条件进行分析,最后对会计信息化IT审计面临的问题进行了阐述。覃宪姬等[4]以广州地铁IT审计为例,在分析了广州地铁信息系统审计现状的基础上,构建了广州地铁IT审计框架并对其具体内容、实施步骤、审计策略以及审计方法进行了阐述。柳芳[5]从ERP系统安全性风险、业务流程风险和ERP系统管理风险入手,对ERP固有风险进行了分析并提出了相应的IT审计对策。李有华[6]将企业IT风险分为IT战略风险、IT项目风险、IT安全风险、IT服务风险、IT合规风险,并在此基础上对IT审计的内容、标准、范围、方法和制度进行了分析。
综观上述文献,大多数文献都基于传统信息系统,并从传统审计手段的角度出发对IT审计的框架、发展与实施进行研究。在大数据时代,财务共享服务模式成为大型集团企业的首要选择,其IT架构更多地运用到云计算技术,并需要大数据进行技术支撑。审计人员在财务共享服务模式下进行IT审计时将更多地运用大数据审计[7]手段进行IT审计,从数据的角度发现疑点,以减轻审计工作量,提高审计工作效率。有鉴于此,本文从大数据的角度对财务共享服务模式下IT审计的特点进行分析,梳理其数据流程,在此基础上构建IT审计框架模型,并对其实施流程进行阐述。
二、大数据时代基于财务共享服务模式的IT审计框架
(一)财务共享服务模式下IT审计的特征分析
一般认为IT内部控制包含组织层面的IT控制、一般控制和应用控制三个层面[6],审计人员通常以此为基础展开IT审计工作。财务共享服务模式下的IT审计需要充分结合财务共享IT架构特征,其IT审计范围如图1所示。同时,三个层面的IT审计在财务共享服务模式下也出现了有别于传统企业IT审计的特点。
1.组织层面的IT审计
组织层面的IT审计主要检查财务共享IT架构的设计是否合理,以及是否得到有效实施,其核心内容是管理层控制。集团企业建立财务共享服务模式的战略目标清晰,即降低财务核算成本,其IT战略规划应当以实现该目标为前提,并以此为基础进行IT部门与职能的设置。财务共享服务模式下组织层面IT审计应当对财务共享IT战略规划、IT部门与职能的设置是否符合财务共享战略目标进行检查,并对其实施的有效性进行审计。
2.一般控制层面的IT审计
一般控制层面的IT审计是为了确保IT系统运行的可持续性,能够为应用控制提供支撑,审计对象包含软硬件平台、网络等。财务共享服务模式下集团企业将财务核算业务集中,借助移动互联网、云计算等信息新技术实现了财务核算流程再造和数据的集中存储,其IT技术风险应当得到审计人员的重视。财务共享服务模式下一般控制层面的IT审计应当对数据安全、基础设施更新、访问安全和网络安全等主要风险点进行审计。
3.应用控制层面的IT审计
应用控制层面的IT审计主要检查业务系统层面所设计、执行的IT控制是否能够确保整个系统具有可信性,以及是否能够完成相关数据的产生、记录、传递、处理、分析和报告等功能。财务共享服务模式下集团公司、各分子公司的ERP、HR、OA等其他业务系统需要和财务共享中心实现数据对接与共享,为财务核算系统提供数据支撑,其间数据的产生、记录、传递、处理、分析和报告都是IT审计的关键风险点。财务共享服务模式下应用控制层面的IT审计应当对财务核算流程的设计与实施、业务系统与财务共享中心的数据对接、登录权限等内容进行重点关注。
(二)IT审计程序流程框架
COBIT(Control Objectives for Information and related Technology)即信息系统和技术控制目标,是一种用于“IT审计”的知识体系,由美国信息系统审计与控制协会(ISACA)于1996年首次提出并于2005年更新到COBIT 5.0。目前COBIT已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。由于COBIT 5.0具有普适性,因此财务共享服务模式下的IT审计可以此为基础构建IT审计流程框架。在大数据技术背景下基于财务共享服务模式的IT架构与传统IT架构有所区别,在构建IT审计流程框架时应当充分考虑到这一点。
财务共享服务模式下的IT审计流程框架包含IT审计指南和IT审计流程两部分。其中IT指南是参考COBIT 5.0得出的IT审计标准,在IT审计过程中起着指导作用,包含关键审计因素、流程能力模型、风险控制模型、IT技术可信评估和IT审计知识库等内容。IT审计流程则包含制定审计目标、风险评估、制定审计计划、设计审计程序、执行审计程序和出具审计报告六个流程,如图2所示。
(三)IT审计数据流程框架
在财务共享服务模式的IT审计中,审计大数据的产生、传递、处理和分析贯穿整个审计过程。为了充分利用大数据技术提高审计效率,审计机构可以历史数据、互联网数据等组成的大数据为基础构建审计数据中心,并建立IT审计知识库,帮助审计人员进行高效的IT审计。在审计过程中,审计人员可以通过IT审计知识库中的IT审计知识对审计对象的关键风险点进行重点关注,通过大数据审计方式对审计对象提供的相关大数据进行审计。待审计人员出具审计报告后,可将该审计项目的主要风险点、测试方式以及实质性程序等相关审计数据反馈到审计数据中心以完善IT审计知识库,形成IT审计的数据闭环,如图3所示。
三、大数据时代基于财务共享服务模式的IT审计流程
大数据时代基于财务共享服务模式的IT审计应当是一个包含审计大数据产生、传递、归集和使用的闭环系统,在审计过程中应当由IT审计指南对IT审计的计划、实施进行指导。
(一)制定审计目标
审计人员在进行财务共享服务模式下的IT审计时,应当充分考虑该模式下的特点,结合财务共享的IT战略规划,明确审计的时间、目标和范围。集团企业建立财务共享服务模式的战略目标为降低财务核算成本,为了实现该目标,其IT架构应当满足技术可信、内部控制有效、数据平台安全等基本要求,也是财务共享服务模式下IT审计的主要目标。在不同性质的IT审计中,审计人员可以按照实际的审计需求选择不同的侧重点来制定满足实际需要的审计目标。例如内部审计中,审计人员进行IT审计时更多地关心财务共享服务模式下的应用控制制度建设是否合理、是否得到有效实施;社会审计中,审计人员进行IT审计时则更加在意通过财务共享服务模式是否能够提供真实可靠的财务信息。
(二)风险评估
财务共享服务模式的IT架构相较于传统IT更多地使用了大数据、云计算等技术,因此财务共享服务模式下IT审计的审计风险与以往所有差别,例如审计人员在IT技术层面可能无法对IT技术风险有足够的了解,可以通过权威的第三方IT咨询机构获取该审计项目中财务共享下IT技术的评估报告,即IT审计指南中的IT技术可信评估。除了IT技术风险外,审计人员还应当充分考虑财务共享服务模式下独特的审计环境,结合财务共享服务模式下的业务流程再造,对财务共享中心内部控制制度建设情况进行评估,得出可能的其他审计风险以及风险发生的可能性,通过建立二维风险矩阵的方式对风险进行定性和定量的评估。
(三)制定审计计划
根据风险评估的结果,在考虑企业IT管理框架、人力资源配置等因素的基础上,审计人员应当充分结合财务共享服务模式下财务处理流程标准化程度高、业务量饱和以及财务核算成本低等特点,分别制定总体审计计划和具体审计计划,包括确定审计目的、审计范围、人力调配以及审计策略等内容。需要注意的是,财务共享服务模式下运用了大数据技术,传统审计手段很难进行有效的IT审计,应当在审计计划中明确使用大数据审计等审计手段。
(四)设计审计程序
财务共享服务模式下的IT审计程序包含IT管理层控制、IT一般控制和IT应用控制三部分。大数据技术在该步骤得到广泛运用,审计人员可以通过大数据爬虫获取互联网数据,从财务共享数据中心获取集团大数据,然后使用数据驱动测试、数据挖掘、数据多维分析等方法对大数据进行分析,实施审计程序。同时,审计人员也可以使用IT审计知识库比对其他财务共享IT审计项目,辅助确定IT审计中的主要风险点。
1.IT管理层控制
审计人员在进行IT管理层控制时可以结合COSO内部控制框架与财务共享实施情况设计调查问卷,向分子公司总经理、集团财务部员工、财务共享中心负责人等发放。然后可以根据问卷结果与财务共享负责人或IT管理层进行访谈,以评价集团企业在财务共享服务模式下IT管理层控制的有效性。
2.IT一般控制
审计人员在进行IT一般控制时可以采取问卷调查、访谈、穿行测试等方式,也可以直接通过第三方IT咨询机构获取企业IT技术评估报告,以确认该审计项目中财务共享服务模式数据安全、基础设施更新、访问安全和网络安全等主要风险处于可接受范围内,不需要整改。
3.IT应用控制
审计人员在进行IT应用控制时可能更多地会运用大数据审计的方法获取审计证据,例如对采集到的大数据进行清洗后通过SQL查询、大数据挖掘和多维分析等方法寻找审计疑点,或通过黑盒测试法进行数据驱动测试以发现IT系统运行中存在的问题。除了大数据审计的方法外,穿行测试与控制测试也能帮助审计人员找出应用控制设计与执行中存在的问题。
(五)执行审计程序
按照设计好的审计程序进行下一步工作,审计人员需要结合风险评估结果对财务共享服务模式三个层面进行控制测试,根据实际需求实施实质性程序,通过大数据审计、穿行测试等审计手段得出审计证据,并将从中得出的主要控制风险告之相关人员,记录测试和交流沟通的结果。
(六)形成审计意见,出具管理层建议
按照得到的审计证据,结合最初制定的审计目标得出最后的审计结果,并根据审计结果当中的所发现的问题向管理层出具审计意见和提供建议,在与管理层进行沟通后取得其对管理建议的相关回复。
出具审计结果后审计人员应当将相关数据反馈到IT审计知识库以形成新的IT审计知识,完成审计大数据闭环。
四、结语
财务共享服务模式的建设需要大数据、云计算等技术支撑,但同时也改变了其IT审计的审计环境。本文基于财务共享服务模式的特点构建了该模式下IT审计的审计流程框架并对其具体流程进行了分析,以期对财务共享服务模式下的IT审计提供理论指导,帮助集团企业降低或规避其财务共享服务模式下的IT风险。
【参考文献】
[1] 王德宇.财务共享服务与企业管理研究[J].山东社会科学,2015(5):160-163.
[2] 周常兰.IT风险控制整合框架的构建――风险控制四维整合框架的引入与扩展[J].经济体制改革,2014(2):102-106.
[3] 曹立明.论IT审计与会计信息化[J].中国注册会计师,2012(12):108-113.
[4] 覃宪姬,陈瑜,佟柱.信息系统审计的透视与思考――基于广州地铁审计案例的分析[J].中国内部审计,2014(8):62-69.
[5] 柳芳.基于ERP系统固有风险的IT审计对策[J].中国内部审计,2013(12):67-69.
[6] 李有华.企业IT审计方法研究及应用[J].中国内部审计,2013(10):63-65.
关键词:IT审计;传统审计;比较
科技的迅猛发展已经给整个社会的经济管理活动造成了巨大影响。IT审计是在原来传统审计的财务审计和管理审计基础上,由于科学技术向经济管理领域的渗透而产生的。然而,到目前为止,IT审计在本质上并不是独立于财务审计和管理审计的第三大审计分支,而是其中的一类审计形态,其原因在于网络环境的复杂性、实际操作的复杂性、与传统审计的融合程度等因素都制约着IT审计的发展,本文旨通过比较,将两者有机结合,从而提高IT审计质量,拓展IT审计技术方法在企业审计中应用的深度和广度,促进企业在审计上的变革。
一、 IT审计与传统审计在重大方面上是一致的
(一)IT审计与传统审计在基本概念及程序上大体一致
“独立性与客观性”、“权威性与公正性”等传统审计的基本概念在IT审计中得到了很好的体现。另外,IT审计独立于信息系统本身、信息系统相关开发、使用人员,由IT审计师依据法律规定,采用客观标准独立行使审计监督权,这与审计的“独立性与客观性”完全相同。同时,国际信息系统审计和控制协会(ISACA)对实行审计制度、建立审计机关以及审计机构的地位和权力都做了明确规定,这样使审计组织具有法律的权威性,其与公正性相辅相成。
(二) IT审计体系与传统审计体系结构基本一致
传统审计体系在逻辑结构上具有较强的严密性,“基本准则―具体准则―实务指南”是由抽象到具体的逻辑规则,这是会计准则、注册会计师鉴证业务准则等专业标准规范的常用结构,这使审计后续的具体工作便于寻找相应的准则条款,为审计工作提供便捷之处。IT审计所表述的“标准―指南―程序”准则框架在字面上与传统审计体系没有太大差别。其标准反应了信息系统领域的纲领性问题,指南是标准的具体化,程序则是一些工作规范,这与传统审计体系的三个层次是一一对应的。
从审计体系涵盖的内容上来看,传统审计内容的绝大多部分都包含在了IT审计体系的范畴之内。但是,相对于ISACA系会下的准则部制定的IT系统审计准则而言,我国的IT系统审计准则体系还不够完整,尚有若干项准则没有涉及,这应该在我国IT审计未来项目计划中予以考虑。
二、 IT审计具体内容方面存在两点点创新
(一) 安全性审计
在传统审计中,对于被审计对象的安全问题鲜有涉及,而信息的安全性问题关系到企业的生存与发展,是保持企业健康可持续发展的重要保障。IT审计中对于安全性审计做了详细的规范。安全性审计的主要目的就是审查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实可靠的信息,因此安全性审计也是真实性审计的前提。
(二) IT审计的软件测试方法与电子取证方法
审计方法贯穿于整个审计过程当中,而不只是存在于某一审计阶段或某个环节。随着IT审计系统实践的丰富与IT审计理论的发展,IT审计处理运用传统审计的方法外,还大量借鉴了计算机学科的一些方法为我所用。其中“软件测试方法”是IT系统审计的重要方法之一,较为经典的测试方法是黑盒测试与白盒测试。另外,某些会计数据和其他信息只能以电子形式存在,或只能在某一时点或期间得到①,在IT审计时对于这些电子数据的获取极为重要,需要确保IT审计人员发掘和收集充足可靠的电子证据,最终生成审计报告。
三、完善IT审计体系还应借鉴传统审计
(一)借鉴传统审计中的绩效审计,加强其实践可行性
传统审计将审计的真实性、合法性和效益性作为审计的目标。为适应建立市场经济的需要,审计机关从2001年以前主要从事的真实、合法性审计到90年代初期,审计机关对国有企业的审计开始向检查内部控制和经济效益两方面的延伸,绩效审计的重要性逐步凸显。②由于IT项目的功能复杂性、结构庞大性、周期延长性,使得IT绩效审计很难准确地评价如此综合性的IT项目效果,如何完善IT绩效审计在实践上的可行性是摆在我们面前的一项重要任务。
IT绩效审计应充分借鉴传统绩效审计中的经济性、效果性、效率性特征,围绕这“三性”进行展开。在“经济性”上,为了以最低的资源耗费获得一定数量和质量的产出,可以通过多方面的改良提高其节约程度。如美国Gartner Group Inc公司研发的ERP系统,其自动化程度很好,从而提高了IT绩效审计的科学性与可行性,避免不必要的开支。在“效果性”上,力图在IT项目上实现绩效监控动态化,为企业提供丰富的管理信息,并在企业管理和决策过程中发挥作用,动态监控管理绩效变化,及时反馈和纠正出现的问题。在“效率性”上,提高企业物流、资金流、信息流一体化管理的效率并且要善于管理信息系统,对信息系统应用价值的实现是IT绩效审计的最重要方面。
(二)借鉴传统审计的风险管理,发挥其制约性作用
《企业内部控制基本规范》把“应当关注研究开发、技术投入、信息技术运用等自主创新因素”列为企业识别内部风险时应当关注的六个因素之一。③伴随IT而来的风险、利益和机会使得IT风险管理成为企业管理的重要内容,也是IT审计中应该完善的部分。
借鉴传统审计对于企业风险管理中风险评估、控制与防范的流程,结合IT风险管理的环境特殊性,程序复杂性和数据多样性等特点,对IT审计中的风险管理应按照“识别信息资产―威胁的量化和定性―评估漏洞―改进控制差距―管理剩余风险”的流程进行。首先,识别组织业务职能并确定每个流程的信息敏感度。然后识别流程的每一个组成部分的现有控制措施,按严重程度将控制差距分类。最后,通过风险等级、成本和有效性的选择,创建风险基准线,以便日后定期重新评估风险所用。
四、 总结
通过对IT审计与传统审计的比较研究,我们发现:在基本内容、程序和体系结构等方面,传统审计与IT审计是协调的。在IT审计的软件测试方法与电子取证方法上,较传统审计来说有其先进性。但是IT审计的不完善性也是显而易见的,可以在绩效审计、风险管理等方面借鉴传统审计的优点,逐渐使IT审计广泛应用于我国的审计行业之中。通过传统审计带动IT审计的方式,使IT审计取其精华,去其糟粕,逐渐发展成为审计行业的新锐力量,是我国亟待努力的方向。
注解:
① 审计准则第1301号:审计证据
② 蔡春,刘学华.绩效审计论[M],北京:中国时代经济出版社,2006
③ 陈耿,韩志耕,卢孙中.信息系统审计、控制与管理[M],2014
参考文献:
[1] 肖杰浩著.Oracle 10g 数据库安全策略研究[M],计算机科学技术,2004.
[2] 陈耿,韩志耕,卢孙中著.信息系统审计、控制与管理[M],清华大学出版社,2014.
[3] 于海霞,我国IT审计面对的挑战[J],中国管理信息化,2011.
[4] 陈耿,网络环境下的信息系统审计职能与类型[J],南京审计学院学报,2012(1).
【关键词】信息科技 内部审计 信息化
2000年以来,继四大行成功完成数据大集中后,各股份制商业银行纷纷加入数据大集中的行列,“科技兴行”、“科技引领”等理念不断冲击人们对商业银行信息系统的固有认识,电子银行渠道持续拓展,商业银行的业务流转也越来越依赖于信息系统的支撑。这些变化一方面使得信息科技在商业银行中的作用不断凸显,另一方面也使得商业银行的信息科技风险进一步放大。
继2006年中国银监会《银行业金融机构信息系统风险管理指引》将信息科技风险纳入商业银行风险管理范畴后,2009年银监会又正式《商业银行信息科技风险管理指引》(下文简称《指引》),进一步加强商业银行信息科技风险管理。2012年银监会宣布设立信息科技监管部,负责银行业信息科技监管督导和风险防范,信息科技风险监管工作不断细化、深入。监管部门对信息科技风险管理的日趋重视,客观上提高了商业银行信息科技风险管理工作的重视程度。
一、信息科技内部审计范围
《指引》提出了商业银行IT风险管理的“三道防线”,即IT管理、IT风险管理和IT风险审计。IT风险审计作为第三道防线分为内部审计、外部审计两方面。按照《指引》要求,银行内部审计部门应当设立足够资源与具有专业能力的IT内部审计人员,并独立于银行的日常活动。商业银行IT内部审计应该包括以下三方面:
(一)专项审计
专项审计是指对IT安全事件进行的调查、分析和评估。涉及重要业务系统、信息安全或审计部门认为必要的特殊事件都有必要展开IT专项审计。
(二)全面审计
应定期实施全行范围内的IT内部审计,应充分考虑业务性质、规模及复杂度,区分总行信息部门(数据中心)、分行、支行等各个层级,制定全覆盖的IT内部审计计划。
(三)重要项目审计
在进行大规模系统开发时,内部审计部应对系统开发的整个生命周期进行控制。包括项目前期的可行性研究、需求分析,项目开发,项目正式上线后的业务及运维。实际操作中,可以根据项目情况,对各项目里程碑展开相应的审计工作。
可以看出,IT内部审计既有全面审计,也有专项审计,还包括重大项目审计,涵盖了银行IT的方方面面。
二、信息科技内部审计面临的困难
内部审计部门应当从上述三个方面入手,检查评估商业银行信息科技系统和内控机制的充分性和有效性,提出整改意见并检查整改意见的落实情况。近年来,商业银行根据《指引》做了大量工作,但是在信息科技内部审计方面仍然存在诸多困难。
(一)缺乏IT审计人才
银行普遍存在着IT审计岗位编制不足、IT审计人员招聘培养困难、IT审计人员专业技术能力不强等情况。IT审计力量的薄弱,极大地影响了IT内部审计的成效,甚至会出现IT内部审计过分依赖信息科技部门的尴尬局面。
(二)缺乏IT审计方法及规范
缺少规范的IT审计方法论,缺乏对整个银行信息系统的全局认识,在IT内部审计中会存在不知道审什么、不知道怎么审,不容易把握IT内部审计的重点,无法触及部分风险隐患。
(三)缺乏IT审计方向
现阶段银行的IT内部审计都是为了满足监管要求,没有站在业务驱动的角度,缺少为“科技引领”提供保驾护航的力度。
三、商业银行如何加强IT内部审计
面对上述困难与挑战,银行应当充分认识IT内部审计对银行的重要作用,内部审计部门主动加强与信息科技部门的共同协作,加强IT审计专业队伍的建设。
1.管理层及信息科技部应当认识到,IT内部审计作为IT风险审计的重要一环,是IT风险管理的重要组成部分,应当重视内部IT审计部门及岗位的建立,充分发挥其积极作用。对IT内部审计的有效管理,可及时评价IT整体风险管理的水平,可对开发项目进行事中控制,分析IT事件原因、提出整改意见并监督落实。信息科技部应该认识到,IT内部审计不是故意“挑错找茬”,它可以积极发现IT潜在的管理疏漏,有效降低IT风险发生概率,提高IT全员的风险意识和认知。
2.内部审计部门应当加强与信息科技部的沟通与协助,可以进行各种形式的、有益的探索与尝试。比如,在IT风险源的制定与风险库的建立方面充分发挥信息科技的能动性,甚至以信息科技部的意见为主。在此基础上,内部审计部通过各类IT事件的分析、IT专项审计等手段不断来丰富完善风险源。比如,加强与信息科技部的沟通,由其讲解IT最新技术发展、整体架构、变更管理与运行维护等,提高自身的专业技术水平及对本行IT工作的了解。比如,加强与信息科技部的沟通,从审计及监管的角度向管理层反映IT发展中亟待解决的难题,解决信息科技的实际困难。
3.银行应当加强IT审计队伍的建设。在内部审计部内设专门的IT审计岗,有条件的银行可以设立独立的IT审计部门。不仅要学习审计的方法论、沟通技巧,还要积极学习相关的信息技术,专业的IT审计人才应当掌握较为全面的信息技术,对银行IT的各方面都要有所涉猎。加强IT审计人才的培养和储备。
展望未来,银行信息科技内部审计不能局限于应对监管需求,而应立足于银行战略与业务需求,立足于解决信息科技的各种困难。银行应当将信息科技内部审计当成信息科技风险审计最重要的一环,建立完善的信息科技内部审计管理体系,并将之纳入银行整体风险管理体系中。银行应当充分认识信息科技内部审计的重要作用,有意识地引导与加强信息科技部门与内部审计部门的合作共赢,加强信息科技审计专业队伍建设,确保信息科技内部审计真正实现价值,为信息科技的发展提供保障,为银行的发展保驾护航。
[关键词] it审计;挑战;策略
随着信息技术的兴起,信息系统已经渗透到社会生活的方方面面,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计(information technology audit,以下简称it审计),保证信息系统安全,摆在我们面前。本文拟对此进行探讨。
一、it审计的定义及其特点
it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。由以上定义可知,it审计的目标是保证it系统的可用性、安全性、完整性和有效性,最终达到强化企业内部控制的目的。
该审计过程具有以下特点:
1.it审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
2.it审计的对象综合且复杂。it审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.it审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但it审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
4.it审计是一种基于风险基础审计的理论和方法。it审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、我国it审计面对的挑战
it审计和传统审计相比具有的上述特点是吸引我国众多企业引入it审计的重要原因,但是这种方法的应用又会给企业提出巨大的挑战。
1.传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸张记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出,使用绕开计算机系统的审计方法,并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改,则其派生的记账凭证金额和账户余额及报表数据也一定会出错,打印出的数据也不能作为审计证据。因此即使打印出所有电子数据,传统审计线索也会在计算机信息系统下完全消失。
2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在it审计的工作中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是it审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。
3.it审计专业人才匮乏,适应it审计事业发展的人才培养和管理机制还有待建立和健全。由于it审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、我国it审计应对策略
面对上述挑战,我们应当多方位、多角度制订措施,使it审计工作更好地为我国企业发展做出贡献。具体措施如下:
1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段,另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
2.确保信息系统的信息安全。为了保证信息系统的信息安全,it审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外it审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。
3.建立一支完备的it审计专业人才队伍。it审计的发展必须有一大批专业化的it审计人才,这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训,并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容,以及加强对从事信息化咨询的it技术人员的会计与审计知识的培训。为了培养未来审计人员,应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容,也可以考虑在高校中开设信息系统审计专业,直接培养信息系统审计专业人才。
当前我国it审计正处于起步阶段,和传统审计相比,it审计的显著特点决定了其势在必行,但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战,面对种种挑战我们应采取积极措施,迎难而上,使it审计工作不断发展完善。
主要参考文献
[1]张茂燕. 论我国的信息系统审计[d]. 厦门:厦门大学,2005.
[2]陈朝.我国信息化建设中信息系统审计问题研究[d].长春:东北师范大学, 2006.
[3]邓少灵. 企业it审计的框架[j].中国审计,2002(1).
[4]李健,朱锦淼,王晓兵. it审计——人民银行内审面临的新挑战[j].金融理论与实践,2003(6).
[5]李朝阳,胡昌振. 计算机审计系统的防护方法[j].航空计算技术,2002(1).
