关键词:IT审计;传统审计;比较
科技的迅猛发展已经给整个社会的经济管理活动造成了巨大影响。IT审计是在原来传统审计的财务审计和管理审计基础上,由于科学技术向经济管理领域的渗透而产生的。然而,到目前为止,IT审计在本质上并不是独立于财务审计和管理审计的第三大审计分支,而是其中的一类审计形态,其原因在于网络环境的复杂性、实际操作的复杂性、与传统审计的融合程度等因素都制约着IT审计的发展,本文旨通过比较,将两者有机结合,从而提高IT审计质量,拓展IT审计技术方法在企业审计中应用的深度和广度,促进企业在审计上的变革。
一、 IT审计与传统审计在重大方面上是一致的
(一)IT审计与传统审计在基本概念及程序上大体一致
“独立性与客观性”、“权威性与公正性”等传统审计的基本概念在IT审计中得到了很好的体现。另外,IT审计独立于信息系统本身、信息系统相关开发、使用人员,由IT审计师依据法律规定,采用客观标准独立行使审计监督权,这与审计的“独立性与客观性”完全相同。同时,国际信息系统审计和控制协会(ISACA)对实行审计制度、建立审计机关以及审计机构的地位和权力都做了明确规定,这样使审计组织具有法律的权威性,其与公正性相辅相成。
(二) IT审计体系与传统审计体系结构基本一致
传统审计体系在逻辑结构上具有较强的严密性,“基本准则―具体准则―实务指南”是由抽象到具体的逻辑规则,这是会计准则、注册会计师鉴证业务准则等专业标准规范的常用结构,这使审计后续的具体工作便于寻找相应的准则条款,为审计工作提供便捷之处。IT审计所表述的“标准―指南―程序”准则框架在字面上与传统审计体系没有太大差别。其标准反应了信息系统领域的纲领性问题,指南是标准的具体化,程序则是一些工作规范,这与传统审计体系的三个层次是一一对应的。
从审计体系涵盖的内容上来看,传统审计内容的绝大多部分都包含在了IT审计体系的范畴之内。但是,相对于ISACA系会下的准则部制定的IT系统审计准则而言,我国的IT系统审计准则体系还不够完整,尚有若干项准则没有涉及,这应该在我国IT审计未来项目计划中予以考虑。
二、 IT审计具体内容方面存在两点点创新
(一) 安全性审计
在传统审计中,对于被审计对象的安全问题鲜有涉及,而信息的安全性问题关系到企业的生存与发展,是保持企业健康可持续发展的重要保障。IT审计中对于安全性审计做了详细的规范。安全性审计的主要目的就是审查企业信息系统和电子数据的安全隐患。一个存在安全隐患的信息系统很难为审计人员提供真实可靠的信息,因此安全性审计也是真实性审计的前提。
(二) IT审计的软件测试方法与电子取证方法
审计方法贯穿于整个审计过程当中,而不只是存在于某一审计阶段或某个环节。随着IT审计系统实践的丰富与IT审计理论的发展,IT审计处理运用传统审计的方法外,还大量借鉴了计算机学科的一些方法为我所用。其中“软件测试方法”是IT系统审计的重要方法之一,较为经典的测试方法是黑盒测试与白盒测试。另外,某些会计数据和其他信息只能以电子形式存在,或只能在某一时点或期间得到①,在IT审计时对于这些电子数据的获取极为重要,需要确保IT审计人员发掘和收集充足可靠的电子证据,最终生成审计报告。
三、完善IT审计体系还应借鉴传统审计
(一)借鉴传统审计中的绩效审计,加强其实践可行性
传统审计将审计的真实性、合法性和效益性作为审计的目标。为适应建立市场经济的需要,审计机关从2001年以前主要从事的真实、合法性审计到90年代初期,审计机关对国有企业的审计开始向检查内部控制和经济效益两方面的延伸,绩效审计的重要性逐步凸显。②由于IT项目的功能复杂性、结构庞大性、周期延长性,使得IT绩效审计很难准确地评价如此综合性的IT项目效果,如何完善IT绩效审计在实践上的可行性是摆在我们面前的一项重要任务。
IT绩效审计应充分借鉴传统绩效审计中的经济性、效果性、效率性特征,围绕这“三性”进行展开。在“经济性”上,为了以最低的资源耗费获得一定数量和质量的产出,可以通过多方面的改良提高其节约程度。如美国Gartner Group Inc公司研发的ERP系统,其自动化程度很好,从而提高了IT绩效审计的科学性与可行性,避免不必要的开支。在“效果性”上,力图在IT项目上实现绩效监控动态化,为企业提供丰富的管理信息,并在企业管理和决策过程中发挥作用,动态监控管理绩效变化,及时反馈和纠正出现的问题。在“效率性”上,提高企业物流、资金流、信息流一体化管理的效率并且要善于管理信息系统,对信息系统应用价值的实现是IT绩效审计的最重要方面。
(二)借鉴传统审计的风险管理,发挥其制约性作用
《企业内部控制基本规范》把“应当关注研究开发、技术投入、信息技术运用等自主创新因素”列为企业识别内部风险时应当关注的六个因素之一。③伴随IT而来的风险、利益和机会使得IT风险管理成为企业管理的重要内容,也是IT审计中应该完善的部分。
借鉴传统审计对于企业风险管理中风险评估、控制与防范的流程,结合IT风险管理的环境特殊性,程序复杂性和数据多样性等特点,对IT审计中的风险管理应按照“识别信息资产―威胁的量化和定性―评估漏洞―改进控制差距―管理剩余风险”的流程进行。首先,识别组织业务职能并确定每个流程的信息敏感度。然后识别流程的每一个组成部分的现有控制措施,按严重程度将控制差距分类。最后,通过风险等级、成本和有效性的选择,创建风险基准线,以便日后定期重新评估风险所用。
四、 总结
通过对IT审计与传统审计的比较研究,我们发现:在基本内容、程序和体系结构等方面,传统审计与IT审计是协调的。在IT审计的软件测试方法与电子取证方法上,较传统审计来说有其先进性。但是IT审计的不完善性也是显而易见的,可以在绩效审计、风险管理等方面借鉴传统审计的优点,逐渐使IT审计广泛应用于我国的审计行业之中。通过传统审计带动IT审计的方式,使IT审计取其精华,去其糟粕,逐渐发展成为审计行业的新锐力量,是我国亟待努力的方向。
注解:
① 审计准则第1301号:审计证据
② 蔡春,刘学华.绩效审计论[M],北京:中国时代经济出版社,2006
③ 陈耿,韩志耕,卢孙中.信息系统审计、控制与管理[M],2014
参考文献:
[1] 肖杰浩著.Oracle 10g 数据库安全策略研究[M],计算机科学技术,2004.
[2] 陈耿,韩志耕,卢孙中著.信息系统审计、控制与管理[M],清华大学出版社,2014.
[3] 于海霞,我国IT审计面对的挑战[J],中国管理信息化,2011.
[4] 陈耿,网络环境下的信息系统审计职能与类型[J],南京审计学院学报,2012(1).
【关键词】信息科技 内部审计 信息化
2000年以来,继四大行成功完成数据大集中后,各股份制商业银行纷纷加入数据大集中的行列,“科技兴行”、“科技引领”等理念不断冲击人们对商业银行信息系统的固有认识,电子银行渠道持续拓展,商业银行的业务流转也越来越依赖于信息系统的支撑。这些变化一方面使得信息科技在商业银行中的作用不断凸显,另一方面也使得商业银行的信息科技风险进一步放大。
继2006年中国银监会《银行业金融机构信息系统风险管理指引》将信息科技风险纳入商业银行风险管理范畴后,2009年银监会又正式《商业银行信息科技风险管理指引》(下文简称《指引》),进一步加强商业银行信息科技风险管理。2012年银监会宣布设立信息科技监管部,负责银行业信息科技监管督导和风险防范,信息科技风险监管工作不断细化、深入。监管部门对信息科技风险管理的日趋重视,客观上提高了商业银行信息科技风险管理工作的重视程度。
一、信息科技内部审计范围
《指引》提出了商业银行IT风险管理的“三道防线”,即IT管理、IT风险管理和IT风险审计。IT风险审计作为第三道防线分为内部审计、外部审计两方面。按照《指引》要求,银行内部审计部门应当设立足够资源与具有专业能力的IT内部审计人员,并独立于银行的日常活动。商业银行IT内部审计应该包括以下三方面:
(一)专项审计
专项审计是指对IT安全事件进行的调查、分析和评估。涉及重要业务系统、信息安全或审计部门认为必要的特殊事件都有必要展开IT专项审计。
(二)全面审计
应定期实施全行范围内的IT内部审计,应充分考虑业务性质、规模及复杂度,区分总行信息部门(数据中心)、分行、支行等各个层级,制定全覆盖的IT内部审计计划。
(三)重要项目审计
在进行大规模系统开发时,内部审计部应对系统开发的整个生命周期进行控制。包括项目前期的可行性研究、需求分析,项目开发,项目正式上线后的业务及运维。实际操作中,可以根据项目情况,对各项目里程碑展开相应的审计工作。
可以看出,IT内部审计既有全面审计,也有专项审计,还包括重大项目审计,涵盖了银行IT的方方面面。
二、信息科技内部审计面临的困难
内部审计部门应当从上述三个方面入手,检查评估商业银行信息科技系统和内控机制的充分性和有效性,提出整改意见并检查整改意见的落实情况。近年来,商业银行根据《指引》做了大量工作,但是在信息科技内部审计方面仍然存在诸多困难。
(一)缺乏IT审计人才
银行普遍存在着IT审计岗位编制不足、IT审计人员招聘培养困难、IT审计人员专业技术能力不强等情况。IT审计力量的薄弱,极大地影响了IT内部审计的成效,甚至会出现IT内部审计过分依赖信息科技部门的尴尬局面。
(二)缺乏IT审计方法及规范
缺少规范的IT审计方法论,缺乏对整个银行信息系统的全局认识,在IT内部审计中会存在不知道审什么、不知道怎么审,不容易把握IT内部审计的重点,无法触及部分风险隐患。
(三)缺乏IT审计方向
现阶段银行的IT内部审计都是为了满足监管要求,没有站在业务驱动的角度,缺少为“科技引领”提供保驾护航的力度。
三、商业银行如何加强IT内部审计
面对上述困难与挑战,银行应当充分认识IT内部审计对银行的重要作用,内部审计部门主动加强与信息科技部门的共同协作,加强IT审计专业队伍的建设。
1.管理层及信息科技部应当认识到,IT内部审计作为IT风险审计的重要一环,是IT风险管理的重要组成部分,应当重视内部IT审计部门及岗位的建立,充分发挥其积极作用。对IT内部审计的有效管理,可及时评价IT整体风险管理的水平,可对开发项目进行事中控制,分析IT事件原因、提出整改意见并监督落实。信息科技部应该认识到,IT内部审计不是故意“挑错找茬”,它可以积极发现IT潜在的管理疏漏,有效降低IT风险发生概率,提高IT全员的风险意识和认知。
2.内部审计部门应当加强与信息科技部的沟通与协助,可以进行各种形式的、有益的探索与尝试。比如,在IT风险源的制定与风险库的建立方面充分发挥信息科技的能动性,甚至以信息科技部的意见为主。在此基础上,内部审计部通过各类IT事件的分析、IT专项审计等手段不断来丰富完善风险源。比如,加强与信息科技部的沟通,由其讲解IT最新技术发展、整体架构、变更管理与运行维护等,提高自身的专业技术水平及对本行IT工作的了解。比如,加强与信息科技部的沟通,从审计及监管的角度向管理层反映IT发展中亟待解决的难题,解决信息科技的实际困难。
3.银行应当加强IT审计队伍的建设。在内部审计部内设专门的IT审计岗,有条件的银行可以设立独立的IT审计部门。不仅要学习审计的方法论、沟通技巧,还要积极学习相关的信息技术,专业的IT审计人才应当掌握较为全面的信息技术,对银行IT的各方面都要有所涉猎。加强IT审计人才的培养和储备。
展望未来,银行信息科技内部审计不能局限于应对监管需求,而应立足于银行战略与业务需求,立足于解决信息科技的各种困难。银行应当将信息科技内部审计当成信息科技风险审计最重要的一环,建立完善的信息科技内部审计管理体系,并将之纳入银行整体风险管理体系中。银行应当充分认识信息科技内部审计的重要作用,有意识地引导与加强信息科技部门与内部审计部门的合作共赢,加强信息科技审计专业队伍建设,确保信息科技内部审计真正实现价值,为信息科技的发展提供保障,为银行的发展保驾护航。
[关键词] it审计;挑战;策略
随着信息技术的兴起,信息系统已经渗透到社会生活的方方面面,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计(information technology audit,以下简称it审计),保证信息系统安全,摆在我们面前。本文拟对此进行探讨。
一、it审计的定义及其特点
it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。由以上定义可知,it审计的目标是保证it系统的可用性、安全性、完整性和有效性,最终达到强化企业内部控制的目的。
该审计过程具有以下特点:
1.it审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
2.it审计的对象综合且复杂。it审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3.it审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但it审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
4.it审计是一种基于风险基础审计的理论和方法。it审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、我国it审计面对的挑战
it审计和传统审计相比具有的上述特点是吸引我国众多企业引入it审计的重要原因,但是这种方法的应用又会给企业提出巨大的挑战。
1.传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸张记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出,使用绕开计算机系统的审计方法,并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改,则其派生的记账凭证金额和账户余额及报表数据也一定会出错,打印出的数据也不能作为审计证据。因此即使打印出所有电子数据,传统审计线索也会在计算机信息系统下完全消失。
2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在it审计的工作中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是it审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。
3.it审计专业人才匮乏,适应it审计事业发展的人才培养和管理机制还有待建立和健全。由于it审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、我国it审计应对策略
面对上述挑战,我们应当多方位、多角度制订措施,使it审计工作更好地为我国企业发展做出贡献。具体措施如下:
1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段,另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
2.确保信息系统的信息安全。为了保证信息系统的信息安全,it审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外it审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。
3.建立一支完备的it审计专业人才队伍。it审计的发展必须有一大批专业化的it审计人才,这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训,并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容,以及加强对从事信息化咨询的it技术人员的会计与审计知识的培训。为了培养未来审计人员,应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容,也可以考虑在高校中开设信息系统审计专业,直接培养信息系统审计专业人才。
当前我国it审计正处于起步阶段,和传统审计相比,it审计的显著特点决定了其势在必行,但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战,面对种种挑战我们应采取积极措施,迎难而上,使it审计工作不断发展完善。
主要参考文献
[1]张茂燕. 论我国的信息系统审计[d]. 厦门:厦门大学,2005.
[2]陈朝.我国信息化建设中信息系统审计问题研究[d].长春:东北师范大学, 2006.
[3]邓少灵. 企业it审计的框架[j].中国审计,2002(1).
[4]李健,朱锦淼,王晓兵. it审计——人民银行内审面临的新挑战[j].金融理论与实践,2003(6).
[5]李朝阳,胡昌振. 计算机审计系统的防护方法[j].航空计算技术,2002(1).
关键词:电网企业 IT审计 IT 风险 信息技术
近年来,计算机与网络技术使当今世界进入信息经济时代。Internet与电子商务的迅速发展正使企业的经营环境、经营方式和管理模式发生重大变化。这种环境下,电网企业除了继续加强传统生产管理技术投入,对信息技术投入也越来越大,各种生产、经营管理信息系统的运用极大的满足了企业生产经营的需求,提高了电网企业优质供电服务的能力,也促进了企业经营管理水平的提高。随着企业对信息化运用和依赖程度越来越高,如何保证各种信息系统正确、高效的运行,使得审计面临着新的挑战和任务,引入IT审计技术可加强对信息系统的风险控制。
IT审计与信息技术的发展密不可分。现代化的IT技术已经应用于内部审计之中, 大幅度地提高了内部审计工作的效率, 而且在多个方面对审计的发展产生了广泛的影响[1]。
IT审计在国内外学术界有多种叫法,例如 EDP审计、电算化审计、信息系统审计等。尽管叫法不同,但其涵义基本相同。IT审计与一般审计一样,同样是执行经济监督、鉴证与评价职能。其特殊性主要在两方面:(1)对执行经济业务和会计信息处理的IT系统进行审计,即IT系统作为审计的对象;(2)利用计算机辅助审计,即计算机作为审计的工具。概括起来说,无论是对IT系统进行审计还是利用计算机进行审计,都统称IT审计[2]。
1.电网企业IT审计的目标
为能有效地、恰当地和高效率地开展IT审计,应该明确IT审计的目标。IT审计并不改变审计的目的和职能,只是审计的环境、对象、方法和工具发生变化。电网企业IT审计的目标可概括为通过对企业IT规划、建设、应用、服务以及安全等全方位的审计,评价信息化投入效益,充分识别与评估IT风险,促进完善IT控制措施,提升IT系统的可用性、安全性、完整性、效益性,以达到强化IT内部控制的目的。
2.IT审计的内容[3]
2.1研究、审查与评价IT系统的内部控制
由于应用了电子数据处理技术、网络技术、电子商务技术等等,电算化和网络化带来了许多新的风险。系统的安全、可靠性很大程度决定于系统的内部控制。没有健全的控制,系统的程序和数据可能随时被人篡改,机密的经济信息可能被人窃取,系统可能遭受计算机病毒和黑客的攻击和破坏,等等。为了提高计算机信息系统的合法性、正确性和安全性,研究计算机信息系统的特点和风险,研究应有怎样的控制才能有效地降低这些风险,对系统的内部控制进行审查和评价,审查系统的内部控制是否完善,监督内部控制的有效执行,对控制的弱点和缺陷提出改进的建议,确保计算机信息系统能合法、正确、安全、可靠地处理有关的经济业务,是IT审计的一项重要任务。在电算化和网络化条件下,系统的内部控制包括程序化的控制和要求员工执行的管理制度。程序化的控制编写在系统应用程序中,其审查可在系统功能审计中进行。对管理制度的完善性和有效性进行审计,则类似于传统的内部控制审查。
2.2 IT信息系统开发审计
在网络化条件下,为企业能正常经营、有效管理,必须建立合法、有效、安全的计算机信息系统与企业内部网。一个计算机信息系统,尤其是大型的网络系统,如果问题到正式投入运行后才发现并进行修改,要比在开发阶段发现、改进耗费更长的时间和更高的成本。因此,有必要对计算机信息系统 (如 ERP系统)的开发进行事前、事中的审计。这项审计工作一般由内部审计人员执行。系统开发审计的主要内容包括:①审查系统开发的可行性;②审查系统业务和信息处理功能的合法性和正确性;③审查系统程序控制与管理功能的恰当性与有效性;④审查系统的可审性(即是否留下了充分的审计线索);⑤审查系统测试的全面性和恰当性;⑥审查系统文档资料的完整性;⑦审查系统的可扩展性。
通过系统开发的事前与事中审计,尽早发现系统的问题,及时提出改进的建议,可以把好系统质量第一关,同时也为审计人员今后对系统的审计打下基础。此外,审计人员在系统分析阶段应根据网络化审计的特点对系统提出审计方面的需求:①在系统中建立监控程序 (又叫嵌入审计程序),以便计算机能对一些敏感和重要环节实行实时监控,发现异常的情况或例外事件自动向审计部门报警或自动记入审计文件,以便审计人员审查。②在信息系统中建立审计子系统或模块,提供审计程序、审计工具和审计档案库,以便审计人员进行网上审计。
2.3 IT信息系统功能审计
在电算化和网络化条件下,经济业务处理或会计核算由计算机系统执行,为了能对计算机信息系统的合法性、正确性和安全性实行有效的监督,IT审计的另一项重要任务就是要对计算机信息系统的功能进行审计。对信息系统功能审计的主要内容包括:①审查验证系统对业务与信息处理的合法性、正确性和可追索性。查明它们能否按现行的会计制度以及有关的财经法规和政策规定进行各项经济业务处理和会计核算,提供合法、正确的经济信息。②审查系统程序控制功能的恰当性和有效性。查明系统能否有效地防止或及时地发现在输入、处理、输出等过程中可能出现的各种差错和舞弊,达到预定的控制要求。计算机系统由硬件设备、系统软件和应用程序组成。只有三者的功能都正确可靠,系统的处理和控制功能才可能正确可靠。因为硬件设备和系统软件是由计算机厂商提供的,其中建立了不少控制,其功能一般来说比较可靠,一旦出现故障也较容易发现。会计核算或经济业务处理是根据系统的应用程序进行的,计算机系统的处理和控制功能是否合法、正确、可靠,很大程度决定于系统应用程序的正确性和安全性。因此,对计算机信息系统功能的审查,常着重于对系统应用程序的审查。对复杂的IT信息系统功能的审计,审计人员应聘请IT专家共同参加审查。
2.4 IT信息系统电子资料审计
审计都要对被审单位的证、账、表及其他反映经济活动的有关资料进行审查。在会计电算化条件下,证、账、表以数据文件的形式存储在电磁介质中,对它们的审计可以利用计算机辅助审计。计算机可以快速准确地完成各种繁复的计算,可以对大量的数据按指定要求进行各种审计处理,利用计算机辅助审计可以加快审查速度、提高审计效率和审计质量。
如果说仅在会计电算化条件下,审计人员还可以绕过计算机,只对打印输出的证、账、表和有关资料进行审计的话,那么,在网络经营与电子商务的条件下,因为没有纸性的审计线索,只有电磁化的电子资料,审计人员不可能绕过IT审计。对经济活动和会计信息的审查,必须利用计算机对有关的电子资料 (包括各种原始单据、合同、记账凭证、账簿、报表等)进行审查取证、汇总分析。对电子资料的审查,是IT审计的重要任务之一。
3.IT信息系统审计的程序
IT信息系统审计的程序与手工会计信息系统审计的程序基本相同,是指审计工作从开始到结束的整个过程,一般包括三个主要阶段,即计划准备阶段、实施阶段和审计完成阶段[4]。
3.1计划准备阶段
计划准备阶段的任务是:根据审计的目标对被审计单位的计算机会计信息系统进行初步调查、组织IT审计小组、发出审计通知书、编制审计计划等。初步调查,了解被审计单位的基本情况。包括:计算机会计信息系统的硬件、软件配置状况;系统总体结构、功能模块划分及各模块之间的关系;系统人员的配备、职责分工、相关规章制度及业务流程;初步评价内部控制制度的执行情况。
组织IT审计小组,根据被审计单位计算机会计信息系统的复杂程度、审计任务的难度及审计人员的素质选择适当的审计人员组成IT审计小组。小组成员可以由经过IT知识培训的审计人员和具有会计、审计知识的IT技术人员共同组成,各自发挥专长。相互配合完成审计工作。
发出审计通知书,执行内部审计时,要对被审计单位发出审计通知书,审计通知书是告知对被审单位进行审计的书面文件,包括:审计机关的名称,审计的目的、范围、重点,审计的时间和要求等。编制审计计划,审计计划由审计项目负责人于现场审计工作开始前起草,基本内容包括:被审计单位的基本情况、审计目的、审计范围及重点、工作进度、审计组人员组成及分工、审计程序、提出审计报告的时间等。
3.2实施阶段
实施阶段是审计全过程的中心环节,其任务是:对被审单位的内部控制的建立及遵守情况进行控制测试,对系统处理功能及处理结果的正确性进行实质性测试。
①控制测试。对内部控制措施的可靠性进行的测试,可分为一般控制测试和应用控制测试。一般控制测试的主要内容是:组织与管理控制、开发与维护控制、硬件和系统软件控制、系统安全控制、系统文档控制等方面的审查与测试。应用控制测试的主要内容是:输入控制、处理控制和输出控制的审查与测试。
②实质性测试。对被审计单位账户余额和发生额进行直接审核,以确认系统信息的正确、真实与可靠。在对会计资料所进行的实质性测试过程中,因为大量的信息都是以机器可读形式存放于一定的介质上,对这些数据文件的测试方法与手工截然不同。具体的测试方法包括以下三种:第一,不处理数据文件的实质性测试方法;第二,处理实际数据文件的实质性测试方法;第三,处理模拟数据文件的实质性测试方法。
上述三种方法与应用程序测试所叙述的方法基本一致。实际上,数据文件的测试可以与应用程序控制测试同时进行,也可以认为是计算机信息系统环境下的“双重测试”。
3.3审计完成阶段
审计完成阶段是实质性审计工作的结束,其任务是:整理、评价收集到的审计证据,复核审计工作底稿,编写审计报告。
①整理、评价收集到的审计证据。审计人员通过分类、计算、比较、综合等方法整理、分析审计证据。
②复核审计工作底稿。通过对审计工作底稿的复核,检验所引用的有关资料是否详实可靠,所获取的审计证据是否充分适当,审计判断是否合理,审计结论是否恰当。
③编写审计报告。审计人员必须正确运用职业判断、综合收集到的审计证据,根据审计准则,形成正确的审计意见,出具审计报告。审计报告除被审单位财务活动及文件编制的合法性、公允性,会计处理方法一贯性发表审计意见外,还应对被审单位计算机会计信息系统的内部控制和处理功能进行评价,并应提出改进建议。
4.IT审计技术及审计软件综述[5] [6]
4.1 IT嵌入式审计技术(一种在线审计技术)
嵌入式审计模块是集成于应用系统的各个环节的代码段, 或者说它是嵌入被审查的系统中的一个程序块, 应用它的主要目的是实现对交易处理等被审计事项的持续监控。嵌入式审计模块根据预先设定的规则对系统中每一项交易进行实时检查, 因此它尤其适用于需要处理大量数据的计算机系统中。嵌入式审计模块对满足预先设定规则的交易, 在该交易被进一步处理前作如下工作: 记录该交易的细节, 实现定期浏览和报告审计日志文件, 为后续审计作准备; 或者只是对交易作标记( tagging) 以便区分其他交易。
利用嵌入式审计采集审计证据有其独特的优点。其一, 它并不需要内部审计师连续地监控审计模块, 而是只要零星和偶然的监控即可获得有效的结果, 这就大大减少了内部审计师的工作量。实时审
计可以弥补事后审计线索不充分的缺陷。例如: 我们使用客户服务系统(CSS,Customer Service System )来管理客服功能。基于在线实时环境运行的CSS系统能保证客户服务数据直接由客户端传入系统数据库中, 对这种运行能够进行有效的实时监督的就是嵌入式审计过程。其二, 它可以采集审计所关心的关键数据。如对计算机非正常运行时间处理各项业务的记录, 或对非法调用数据文件处理的记录。嵌入的审计程序本身具有隐蔽性、安全性和稳定性。非审计人员不能看到这些审计程序和自动形成的审计数据。所以, 审计人员应用这些审计程序就能自动记载所要收集的审计证据, 同时还可随时调阅这些证据文件, 并利用这些审计证据适时判断系统运行情况和提出审计建议。
4.2通用IT审计软件(Generalized Audit Software,GAS)
GAS 是专门为审计人员设计的, 是能够直接访问各种数据库平台及平面文件(具有行和列的一维或二维数组的数据表)系统的标准软件。它可帮助审计人员完成基本的审计任务,尤其擅于测试计算机中存在的数据和信息。通用审计软件比较容易使用, 只需要审计人员具有有限的计算机知识, 并不要求有编程方面的专业知识,因此具有适用性强等优点, 是目前计算机审计中最广泛使用的审计工具。其基本结构图如图1所示。
国外著名的通用审计软件有审计命令语句ACL(Audit Command
Language)和IDEA(Interactive Data Extraction and Analysis)。国内的通用审计软件有: 中望软件公司的审易软件、中普软件公司的中岳软件、通审软件公司的通审2000、审计之星、金剑软件等。
在众多审计软件中,由ACL Services Ltd.()开发的审计命令语句ACL 是使用最广泛的通用审计软件。它允许审计师将个人笔记本电脑与客户机系统相联, 从而下载客户端数据到笔记本电脑中以供后期的处理。它可以针对覆盖所有交易事项的大数据集合进行符合性测试。值得一提的是, 它有审计追踪的功能, 从而审计师可以在任何时候观看他们的文档, 步骤和结论。ACL使用便利、适用范围广和可靠的优点使其在审计公司中非常流行。
4.3EXCEL中的审计工具
Excel是审计人员最常用的一种简单却非常易用的工具。可利用Excel辅助执行的审计工作有:利用Excel辅助审计程序表的编制,编制某些项目的审计表格,编制试算工作底稿与调整后会计报表, 编制集团公司的合并报表, 进行分析性复核。利用Excel辅助审计, 是一种成本低、效率高、灵活方便、实用有效的计算机审计技术。
5.结论
未来计算机审计工具与技术的发展更加要求内部控制制度的加强。传统记账方式下, 可以从字迹上辨认出登记人, 从而明确责任, 但是计算机环境下只能提供统一模式的输出资料。没有记录人的笔迹, 无法从记录上辨认登记人, 审计线索的痕迹不容易追踪,这就需要审计人员对会计部门的内部控制制度、职责的划分情况进行审查和评价。
随着电力行业快速发展,加强IT审计是建设国际一流电力企业的必然需要,也是国资委、工信部、国内外证监会等监管机构外部要求,更是践行“万家灯火、南网情深”企业理念的内生需求,必须通过加强IT审计来保证公司的信息技术应用对各级监管政策、法规的遵从性。因此,开展全面系统的IT审计是企业生存与发展的客观需要,具有重大的现实意义。需要我们以发展的眼光,与时俱进,坚持科学发展观,自主创新,深化研究,消化吸收国外IT审计先进方法、理论和技术,建立完整的、自主可控的信息系统事前、事中、事后多密级、多业务、多系统、多网络综合安全保障体系,为电网企业在各个领域的发展提供坚强后盾和有力保障。
参考文献:
[1]刘炳焕.我国计算机审计的现状与发展对策分析[J].审计文摘,2004(6)
[2]Larry E.Rittenberg,adley J.,Schwieger. Auditing:Concepts for a Changing Envioroment[M],Jointly published by Peking University Press,2003.
[3]薛鹏.如何在会计电算化环境下实施有效的审计[J].工业会计,2002 (11).
[4]中国内部审计协会.中国内部审计规定与中国内部审计准则[M]. 北京:中国石化出版社,2004.
[5]王宝庆.现代内部审计[M].上海:立信会计出版社,2007.
[6]理查得·L·莱特里夫等.内部审计原理与技术[M].北京:中国审计出版社,2008.
关键词:风险 IT审计 研究
随着科技信息的不断发展,各种信息技术的应用,在全国范围内以及各行各业都非常广泛,那么,在这种趋势下,IT的审计风险也就在日益增大。尤其是以企业为主的有关审计,对于如何认识IT的审计风险,又应该如何有效地化解IT风险,这已经成为目前整个行业越来越关注的话题。现在,这一问题的解决,在国际上所通行的作法,就是对IT进行审计,本文就来详细地谈一谈关于IT审计的一些问题。
一、企业IT审计的主要概念
提起审计,每个人可能都很了解,就是对企业里经济活动的一种独立的监督和审查。那IT审计又是什么呢?这可能就会使很多人费解,其实理解IT审计并不难,与上面所提到的审计差不多,就是针对具体的IT活动进行独立的监督和审查。在这里我们要明确几个关于IT的基本概念:首先,我们要掌握IT活动的含义。IT其实是信息技术英文单词的缩写,信息技术和经济属于不同的概念,经济是社会上的一种具体现象,它主要是利用社会规范对其进行调整;而本文前面提到的信息技术,它是一种技术,是用具体的技术规范对此进行调整的。其实IT审计不仅仅是依据技术规范的信息对IT活动来进行审计,如果只有技术规范对其进行审计的话,就完全缩小了关于IT审计的主要范围。IT活动其实就是人的活动,其具体目的也是为人服务的,IT审计的主要范围不只包括IT的具体活动,还包括一些与IT活动有关的其他活动,只有这样,才能够保证关于IT的审计符合IT相关活动的具体要求。
其次,IT审计具有独立性。这也是审计活动中的基本原则。独立性要求的是审计主体与审计对象的相互独立,由此才能够保证IT审计结果的一种客观性。
再次就是IT审计的监督和审查。监督是能够使审计活动达到一个预期目标而对活动进行督促和监督,审计就是对IT审计中的某项活动进行核实。那么,IT的监督和审查程序就是为了预防IT可能发生的风险,督促、监视各种与IT相关的活动,并核实其符合规范性的具体活动。
二、对IT审计风险的具体理解和IT的制度规范
首先,风险就是某一个事件产生了我们不希望发生的后果的一种可能性。IT风险不能将风险局限在只有IT的考虑范围,IT作为技术,它必须是为组织目标服务,其实IT风险并不是IT本身所具有的风险,它是一种在组织引入IT技术后产生的风险,也就是说,它是组织风险。
IT与组织资产有紧密的联系,这种资产对IT组织来说是具有一定价值的,引入IT后,在这种资产的保护上就出现了一种新的薄弱点,外部对组织造成一定的威胁时,那么,组织的资产所具有的价值就可能会受到损害,由此,IT风险就产生了。
其次,关于IT的制度规范。要有效地防范IT风险,就必须要有一套严格的相关制度规范要求。拥有一个合理完善的IT制度规范体系,是有效防范IT风险的主要依据。IT的制度规范是有所区分的,第一种应该是法律规范,也是IT制度规范中强制性的规范,不管任何人在任何情况下都必须严格遵守,同时,法律法规也是审计的依据。第二种就是各大企业内部自主制定的相关制度规范。这种IT制度规范所体现的是一种强制性的制度规范,还具有两方面的特点:一方面它是为各大企业的发展战略目标而服务的;另一方面它要与IT活动存在的客观规律相符合。所以,企业所制定的制度规范的完善程度要能够促进企业自身发展目标的实现,切实贯彻强制性的规范要求,还要反映企业IT活动的各种客观规律。
三、IT审计的具体思路
首先,要认真学习并深入理解规范制度的强制性要求。其次,要结合企业的IT制度是如何对强制性规范进行规定的。再次,要了解企业内部资产价值的评估,以及企业的发展战略目标是怎样将这一规范制度体现出来的。最后,根据其资产的不同重要程度,要从最重要的开始,检查一个企业内部对所制定的IT制度规范具体的执行情况。另外,为了能够有效实现IT审计的目标,并且合理地使用IT审计资源,在进行审计的过程中,要对重要的评估,运用专业判断知识。要根据审计工作人员的公用标准或者职业判断,内控审计的结果,一些重要性的判断是离不开一定的环境的,审计工作人员,要根据具体的系统环境来确定其信息的重要性。
四、结语
总之,IT风险的防范,是目前各大企业所面临的一个最严峻的新挑战,同时,这也是一个企业在激烈的市场竞争中能够占据良好地位的新机遇。企业要及时做好有关IT风险的防范措施,其关键因素就是要进一步深入地理解一个企业内部的发展战略,及时摸清企业发展的现状,并在此基础上,逐步加强IT的审计工作,规范企业中IT的相关活动,为企业在市场竞争中能够取得良好的地位创造前提条件。
参考文献:
[1]陈阳.试论基于风险的IT审计[J].现代经济信息,2013(3)
[2]康洪艳.IT审计的更新[J].审计与经济研究,2008(2)
[3]安广实,陶芸辉.IT审计风险成因极其防范对策思考[J].中国乡镇企业会计,2012(8)
[4]吴越,俞文萍.通过IT审计加强金融企业风险管控[J].上海国资,2008(8)
一、澳大利亚IT审计的特点
澳大利亚审计署(ANAO)分为联邦审计署和州审计署,在各自审计长的领导下,对管辖范围内的单位进行审计。其政府审计分为财务审计和绩效审计两部分,这两种审计中都涉及到以计算机为基础的IT审计,所占比例达到20%至30%。ANAO的IT审计发展经历了三个阶段:第一阶段是技术层面(Technical Level)的审计,如程序代码、数据输入输出控制、数据备份;第二是操作层面(Operational Level)的审计,如计算机核心操作、软件应用、物理安全与逻辑安全;第三是管理层面(Management/Governance Level)的审计,如操作结构、商业可持续性、风险管理、项目管理、服务传输、安全管理、资源管理、执行矩阵、信息管理等。经过多年的研究和发展,澳大利亚已形成了较为完善的国家审计体系,并长期处于世界领先地位,尤其在IT审计理论与技术领域,积累了丰富的经验和成果,目前已进入到注重管理层面审计的阶段,重在把握对IT项目经济、效率、效果的评价和项目开发的合规、安全上,标志着澳大利亚IT审计已经非常成熟。笔者发现澳大利亚IT审计存在如下特点:
特点一:IT审计各个方面均执行相对规范的标准
ANAO开展IT审计,执行相对规范的标准,如在IT项目管理方面,执行国际通用的Gateway、Prince2(Projects In a Controlled Environment2)、PMBOK(Project Management Body of Knowledge)等标准;在IT服务传输与服务管理方面,执行COBIT(Control Objectives for Information and related Technology)、MOF(Microsoft Operations Framework)、ITIL(IT Infrastructure Library)等标准;在IT安全方面,执行信息安全标准ISO17799;在IT风险管理方面,则执行澳大利亚国家标准:AS/NZ4360:2005风险管理标准,等等。各类标准具体规定了审计人员在审计某一类型项目时的方法、程序步骤、工作重点,具有很强的可操作性。它既为没有经验的审计人员提供了一个详实的可供参照的操作规程,又约束了审计人员的行为,减少和避免审计人员工作中的随意性。正是由于严格按照各类标准开展审计,ANAO的审计尤其是IT审计的质量都得到了可靠的保证。
特点二:IT审计综合运用各种信息技术
ANAO的审计人员在下列情况下,可应用计算机辅助审计技术:一种是在运用制度遵守性和数据真实性程序中缺少输入文件和缺乏可见的审计踪迹时;另一种是通过利用计算机辅助审计技术可以改进审计程序的效果和效率时。计算机辅助审计技术有多种,一是用于审计目的的审计软件和工具,用以处理来源于单位会计制度的重要审计数据。传统的CAAT(Computer Assisted Audit Techniques)工具有SQL(Structure Query Language,如MySQL)、Microsoft Access、Excel。其他一些风险分析与计划管理软件如Methodware、司法模式鉴定软件如Netmap、证据采集与镜像软件如Encase等,也被因地制宜地运用到审计中去。通过各种审计软件和工具,审计人员可以方便地对数据进行排序、求和、筛选等操作,并能生成审计人员需要的各类图表。二是数据测试技术,用以检验应用程序、控制程序和信息系统的可靠性。在执行审计程序时,将数据录入被审计单位的信息系统,跟踪某项业务直至数据输出,将获得结果同预期结果相比较,以检查访问权控制的有效性和输入有效性控制的执行情况。如对工资处理程序审计中,使用不同身份的人员登录,输入不同类型的数据测试。
特点三:IT审计围绕风险控制
ANAO一贯秉持。风险控制的理念,每年都对其风险管理计划的执行情况进行回顾,根据外部环境的变化,修改业务要求考虑战略层次和操作层次等不同层次的风险,开展了以识别和处理经营风险及舞弊风险为核心的风险导向审计,建立了全面的风险管理框架,规避与防范风险。这一框架既包括对ANAO整体的风险管理计划,也包括对每一工作领域的风险管理计划。它陈述了所有ANAO已识别的风险,从“确定风险存在的环境”、“识别风险”、“分析风险”、“评价风险”和“处理风险”等五个环节,合理地确定风险的控制措施,将风险减少到可以接受的水平。通过评估计算机设备、电子数据、信息通讯的安全性,以评估信息系统的固有风险;通过评估系统开发控制、内部管理控制、访问权限控制,以评估信息系统的控制风险;通过对数据输入控制的测试、数据通讯和数据处理控制的测试和数据输出控制的测试,以评估信息系统的检查风险。
特点四:IT审计统筹考虑成本与收益
ANAO开展IT审计,统筹考虑成本与收益,努力在审计时间、审计费用和审计质量三者之间寻求较好的平衡点,以求IT审计如同经济活动一样,达到效率性(Efficiency)、效果性(Effectiveness)与经济性(Economy)的完美结合。为此,他们对每一项IT审计工作都做出周密部署:在编制审计计划时,确定对信息系统控制的可信赖程度;制定关于何时、何处与如何检查信息系统功能的计划;制定关于利用IT审计技术进行的审计程序计划;分析IT审计技术的可行性、预期效果与效率;考虑时间因素。在实施审计时,收集与审计计划有关的信息系统环境的资料,包括信息系统的功能情况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置情况等;注意传统审计技术和IT审计技术相结合、IT审计人员与非IT审计人员相结合,考虑审计人员的资质与背景;考虑被审计单位在哪些重要方面应用了IT技术,其程度如何,及其对审计的影响,以确定合适而恰当的审计方法。
特点五:注重IT审计人才培养
ANAO始终把人才培养放在第一位,积极引进既有审计经验又具备高层次IT知识技能的复合型人才,同时对审计人员有计划、有步骤地进行IT知识后续教育,此外还在审计中积极吸收IT审计方面的专家为IT审计提供技术咨询与服务,保证了审计项目的顺利实施,也锻炼了该国的IT审计队伍。目前,该国已形成一支知识呈阶梯状的IT审计队伍:首先是普通IT审计人员,他们理解操作系统、系统软件、应用软件和网络环境等概念,并具备一些病毒防护、入侵侦测、授权管理等信息安全控制方面的知识;其次是IT审计管理者,他们除具备普通IT审计人员应具备的技能与知识外,还深刻理解IT审计的要点,以便于科学计划、测试、分析、报告、跟踪,并合理地组织项目实施;再高一层是IT审计专家,他们深刻理解信息系统底层技术,并熟悉与之有关的威胁和弱点,同时在数据库、网络技术等领域有较高造诣。
二、收获和体会
澳大利亚网络不如我国普及,但在IT审计理论与实践方面却是走在许多经济发达国家的前列。经过澳大利亚之行,笔者深有收获和体会:
(一)树立先进的IT审计理念。通过培训和考察,笔者发现目前我国计算机审计在技术方法层面上并不逊于澳大利亚。澳大利亚审计中使用了传统的SQL Server、Microsoft Access、Excel,为我国审计人员所熟知并熟练使用。我国审计人员使用的集项目管理、数据采集、统计抽样、经验利用、报告生成于一体的AO软件,甚至比ANAO所使用的许多软件更为先进;我国审计人员在OLAP(多维分析技术)、数据挖掘技术等尖端技术的研究方面,也丝毫不逊于澳大利亚。澳大利亚在IT审计方面取得令人瞩目的成绩,支撑其取得实效的并不在于技术方法,而是审计人员的IT审计理念。我们要充分认识到:如果不搞IT审计,审计内容就不全面,我们就无法实现融入世界审计主流的目标。更重要的是,开展IT审计是对“免疫系统”理论的积极回应,是对审计署认真践行科学发展观的体现。
(二)建立规范的IT审计程序。无论是授课老师,还是两州审计同行,无不强调“程序和政策”(Procedures & Policies)。面对我国IT审计指南缺失的现状,我国审计机关应当尽快将审计程序设计与审计技术方法的运用有机结合,规范和引导审计人员运用适当的审计技术和方法,把审计技术与方法融入到规范的审计程序之中,要求并指导审计人员合理运用审计技术;同时,顺应经济全球化的发展趋势,建立与国际审计准则接轨的中国IT审计准则,规范IT审计的工作。针对我国IT审计中存在审计人员在运用审计技术和方法缺少规范与约束的问题,建议将COBIT的IT治理思想和框架,引入审计业务支撑体系的质量控制中,科学、系统地对信息及相关技术进行管理,实现了审计战略与IT战略的互动,并形成持续改进的良性循环机制,这对于规范IT审计程序、提高IT审计质量具有重要的现实意义。
[论文摘要]现代风险导向审计是以被审单位的经营风险为出发点,将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,也并未考虑IT带来的影响。在IT环境下,审计风险判断应以流程(包括业务流程和IT流程)为中间环节,建立基于流程的审计风险判断方法。
现代风险导向审计以被审单位的经营风险为出发点,相关的风险评估结果是评估报表层次和认定层次重大错报风险的基础。审计风险虽源于重大错报风险,但审计人员最终都要通过对报表各项目的审计发表财务报表审计意见,因此风险评估必须与各类交易、账户余额、列报的认定相联系。将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,而且也未关注IT环境下如何将风险因素与认定层次可能发生的错误相联系。在IT环境下,业务流程及其支持流程——IT流程,都是链接风险因素和认定层次可能发生错报的中间环节。在高度自动化的企业环境下,审计证据的证明力依赖于IT相关风险的控制情况。因此,有必要改进IT环境下的审计风险判断方法。在IT环境下,审计风险判断应以流程(包括业务流程和IT流程)为中间环节,建立基于流程的审计风险判断方法。
一、流程对审计风险判断具有重要意义
流程的概念很多,ISO/IEC 9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,Kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在IT环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当IT逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的IT流程与业务流程需要实现动态整合,即IT活动被看作是业务,并执行与业务相同的方式。因此,IT环境下的企业业务流程应该是广义的,同时包含IT流程和业务流程。美国公众公司监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解IT如何影响公司的交易流程。
有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O'Donnell E和Jr Joseph J Schultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。
二、IT环境下基于流程的审计风险判断方法
为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计 [1]
2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。
3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。 然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。
5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。
6.评价IT控制、分析业务流程风险。结合对IT一般控制的评估结果和对业务流程中IT应用控制的评估结果,就可以分析关键业务流程的IT风险控制情况。此时的IT控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。
Visible Ops(Visible Outbreak Prevent Services,可视性中断预防服务)提供了相应的方法论。
对于那些需要增加服务水平、安全和审计能力的IT部门来说,Visible Ops是一种能够提高IT变更管理控制和流程改进的方法论,由四个说明性和自我提升的步骤组成。
Visible Ops手册,为公司提供了一步步的操作步骤和说明性指导,以便可以开始或继续他们的IT流程改进过程。
对于业务管理、安全和审计者来说,Visible Ops是容易实现的,因为它是基础控制部分。以控制为基础,不仅能发现调整的部分,而且能够帮助提供可靠的IT服务传递。Visible Ops能识别出破坏服务水平和安全的关键问题,并为解决他们提供说明性指导。
尽管IT操作、安全和审计扮演不同的角色,但是由于缺乏有效控制,这三个部门经常不一致。通过改进流程和控制,所有人能受益于一个更高效的工作关系,并允许这些部门更高效地成功完成共同的业务目标,最终实现以下目标:
遵从的状态:由于控制是可见的、可证实的和具有规律性的上报活动,因此IT操作和审计人员之间形成一种信任的工作关系;
形成一种“注重因果关系”的文化:通过控制和相关方法论的使用,这些团队能通过合理地利用“原因”和“结果”之间的关系,去识别并解决问题,形成一种“注重因果关系”的文化,而不是诸如“让我们看看它是否在正常工作”的带有主观性的文化氛围;
一种基于事实的管理:公司重视控制和相关的方法论,这不仅有助于有效地解决问题,而且能够帮助公司进行一种基于事实的决策的制定。
三类控制流程
流程遍及维护产品基础架构工作,其目的不仅是预防服务中断,而且能有效地传递IT服务。这可以通过变更管理和资产和配置管理来实现。BS15000把变更管理和资产与配置管理定义为最基本的控制。城市银行前CIO斯蒂芬.凯特曾经说过:“控制不会使业务慢下来,就像汽车的闸一样,控制允许你走得更快。”
审计人员经常通过风险和控制来观察世界。风险的确存在,你能通过预防或监测而减少风险;如果风险发生了,你应该能进行修正和恢复。为了更好地解释这一点,以下是三类控制的说明:
1. 阻止某些事情发生的预防性控制:例如政策、职责的分离和授权流程,都是预防性控制。
2. 监测分析控制:如果预防性控制失效了,或者某些事情没有遵从,就通过监测分析控制来监控活动和流程。例如,变更监测和认证就是监测控制。
3. 修正控制:它可以把糟糕的情况修复到所期望的状态。例如,由于一个失败的变更,系统突然瘫痪,作为一个修正控制,就是重新安装所有应用程序的过程,包括从最近可知的正常的映象,到把系统带回到在线服务状态。
这三类控制的结合能产生一个检查和平衡机制,以便确保流程、人员和技术在规定的范围类运作。
Visible Ops也创造性地提供了一种工具,审计人员可以在上面有效地回顾流程和控制,而不是必须通过“辩论分析”方式工作。这提供了一种更加高效的工作关系、更加平滑的审计,并且使他们在审计准备和辅导上花费更少的时间。
看看效果
职责分离可以确保,没有任何一个人能未经检查就访问没有授权的事情。由于缺乏职责分离而制造了大量犯罪、欺骗的机会,因此不允许开发者访问生产流程,因为他们有能力直接在管控环境中进行变更。相反,他们开发完代码,然后必须送到检测。这样,IT操作部门就能再次检查这个变更,评定风险,如果所有事情都是可接受的,再部署使用。
目前,许多审计所关注的是行业所必需的,或者是确保财务报告的完整性的遵从需求;同时,审计人员和核查员通过打开所有仓库并查看货物,以检查财务说明是否正确。按照这样做法,他们去审核财务说明是否与实际发现的相匹配。
然而,即使最好的审计人员的时间和资源也是有限的。实际上,他们不是进入仓库并检查货物,而是走到计算机旁,检查这些控制,然后决定其是否可信。在大多数案例中,最好把预防与监测控制合并为一;如果他们不存在或者不合适,审计人员就不相信这些计算机控制的成效。
这些做法减弱了审计员的能力并依靠机器去做任何事情。也就是说,没有确保合适的控制存在,以及需要更加详细的审查,因为那些都会导致巨大的成本。
“Visible Ops是一种方法论,对于我漫长的财务和技术审计职业生涯中不断出现的主要问题,它都有所启示,”技术审计员鲁比.克里斯汀娜说:“评估系统的可靠性,审计员需要看以下问题:控制到位,控制文档,控制沟通,和在实际操作中的控制证据。Visible Ops为IT管理者展示了如何建立操作流程的方法,能回答审计员没完没了的问题――我们怎样真正知道你的控制有效?”
通过顺利审计之路
为了与审计人员之间创造一种更高效的工作关系,公司需要能够清晰地描述――那些能够证明他们正按照期望工作的预防流程和检查控制。
“Visible Ops为任何层次的IT人员提供了一个改进操作流程的催化剂似的方法,”比尔・什恩,一个财富100强的金融机构的系统安全工程师说:“不管故障是多么困难,Visible Ops工具帮助公司找到了一个排除故障的方法。如果你正在打算开始或改善配置管理,支持一个可重复的服务器预防流程,并且制定一套实现高质量决策的方法,Visible Ops正是一个起点。我向任何信息系统的管理者、具有技术背景的高级管理者或具有管理目标的IT职员,推荐它。”
Visible Ops提供了一个框架,通过可重复的、可见的和可审计的IT流程,可以在IT运作者、安全和审计之间创造了高效的连接。
通过掌握IT控制点和接受点,安全部门和审计部门能在变更被执行之前,再查看这些变更,并探测到什么时候这些控制被废止,这些控制不仅能避免那些导致安全事故或无序运作的情况,也允许连续不断的监测并减少不一致的情况。
监测变更提供了一个重要的安全机制,就像带有棘齿的攀岩者。这些棘齿保证了绳子向一个方向移动,预防攀岩者坠落。监测变更以强制执行流程,可以防止公司滑向一种无法控制的变更状态。
“这不是说,我们不再犯错误了,而是说,对于导致错误的情况,我们能更加科学地控制,” 史蒂夫・达博,IP服务运营副总裁说,“更多时候,错误被看作经验,这样错误就变得越来越少。在寻找全球性IT管理方面,这些流程和监测控制已经帮助我们实现了许多目标。”
购物车(0)