集美大学诚毅学院 陈建红 中国人民银行泉州中心支行 何雪韵
基于信息系统的风险管理审计
集美大学诚毅学院 陈建红 中国人民银行泉州中心支行 何雪韵
(一)信息技术革新对信息系统的影响 信息技术革新正在改变全球范围内的沟通的性质与范围,消除传统的组织界限(包括部门之间的内部界限以及供应商和客户之间的外部界限),并促进了企业流程再造。信息技术的进步和互联网的发展,促进了信息系统的不断发展,并被广泛的运用于企业的各项经济管理活动,促进了企业信息的互联互通和信息的共享。这样,信息系统所提供的信息的决策有用性不断增强。但是,信息技术的革新也为信息系统带来巨大的风险:如系统运行错误可能迅速导致多种文件、账簿甚至系统失真,数据容易被盗或毁损,程序易被非法调动甚至篡改。据美国的一项研究表明,计算机系统的银行舞弊案造成的损失是手工系统的6倍以上。而且,随着互联网技术和电子商务的兴起,信息系统更加复杂化和多样化。信息系统的风险控制点数量激增,且监控的难度更大。信息和信息系统已经成为了企业的重要资产,是企业获得市场竞争力与可持续发展能力的重要因素。它们像企业的其他资产一样需要对信息系统加以控制和审计,控制信息系统运行的安全和稳定,变成了企业的必然需要。这需要审计人员从企业组织层面、一般管理层面、业务流程层面来识别和分析信息系统风险。这样基于信息系统的风险管理审计显得尤为重要。
(二)信息技术革新对内部审计的影响 对于内部审计而言,信息技术革新既带来了功能强大的工具和方法,又对内部审计识别、评估、监控企业风险的活动产生深远影响。根据IIA在2002年的调查,将近49%的内部审计人员已将IT结合到他们所有的检查中,有83%的内部审计人员使用通用审计软件获取和分析数据(McCollum和Salierno,2003),将近38%和29%的内部审计人员分别使用持续监控和连续审计技术(IIA,2002,AICPA/CICA,1999)。在很多国家,信息系统审计师(CISA)已发展成为一种专门的职业。并且,基于信息技术的内部审计工具与技术也层出不穷,包括对控制进行测试的测试板技术、集成测试工具、嵌入式审计模块和神经网络等。这从根本上提高了内部审计的效率,也为信息系统审计奠定了重要基础。
从另一角度来说,信息化环境扩大了内部审计需识别、评估和监控的风险范围,并且可能放大源于控制缺陷和其他漏洞的企业风险。我国2008年颁布的《企业内部控制基本规范》中明确规定企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。这就要求内部审计人员加强与会计专业人员、信息技术人员和有关管理人员的交流与融合,通过信息化手段全面提高信息系统运行的效果和效率,满足组织的战略目标。
(一)提供高效的信息沟通渠道 信息与沟通是风险管理框架中的一个要素,其内涵是“风险以及风险管理相关的信息必须以恰当的形式在一定期间内传递,使得员工、管理层、董事会能够履行各自的职责。”企业信息系统作为信息与沟通的载体,能够有效地追踪企业当前正在发生的风险事项以及已经避免的风险事项,并及时将企业各层面的风险管理情况报告给信息使者,实现较好的上传下达。如企业信息系统应保证企业所有员工都能够收到高层管理人员发布的风险管理目标、操作指南等信息,并通过适当培训使其对企业风险管理的原则形成共同认识,明确自身在风险管理中所扮演的角色、地位;企业能够通过建立正常的或者“绿色”通道,便于组织成员与管理层沟通,报告风险管理职责的完成情况、出现的错误、例外状况等;通过信息系统,企业还能记录风险管理的全过程,包括管理和控制状况,生成报告以满足组织治理的需要。
(二)为整体风险评估提供信息支持 风险评估是做出恰当风险反应的依据,也是将企业风险管理与企业战略相结合的关键点之一。从某种程度上说,风险评估是一个综合利用和分析企业战略、经营环境、运营活动及其相关风险等信息的过程。因而,风险评估离不开企业信息系统的支持:自上而下的信息流,将企业目标、管理层的风险偏好传递到负责风险评估的部门,确定了风险评估的范围和衡量标准;自下而上的信息流,传递汇总了企业操作层、执行层、战略层面临的现实风险与潜在风险,形成涵盖企业各个业务领域、层次的风险全景图;横向信息流促进职能部门突破单一视角,对风险的影响范围与程度形成更为准确地认识与评估。
(三)促进风险管理在各部门间的整合 实施企业风险管理的一个巨大障碍源于企业各个职能部门的风险管理活动缺乏整合。例如,人力资源部门仅负责评估人员管理风险——如技能缺乏或者人才流失;生产部门专注于管理产品质量缺陷、生产技术落后导致的风险;销售部门关注于管理顾客需求变化、营销渠道竞争等所带来的风险;而财会人员则致力于改进财务报告程序、提高财务信息质量。按照信息系统审计理论中关于信息系统分解的论述,企业风险管理人员可以从高层管理、信息系统管理、系统开发管理、程序设计管理等几个方面分析由企业内部管理产生的信息系统风险,结合企业具体业务进一步分析由信息系统本身产生的风险。信息系统的风险分析,便于风险以及风险的影响信息在不同职能部门间实现传递和共享,风险管理人员可以识别不同类型风险存在的内在联系,区分重要程度,并与各部门协作控制与开发管理风险的方法。
(一)评估信息系统的固有风险 信息系统的固有风险通常与信息系统自身的特征以及组织基于战略目标所选择的信息技术水平有关。信息环境下的信息系统存在的固有风险包括:信息系统程序容易被非法调用甚至篡改、信息处理过程和处理权责的集中化、微缩存储的数据与信息易于被窃取以及计算机设备的脆弱性等。同时,组织选择的信息技术水平也会影响信息系统的固有风险:组织的运行越依赖于系统,固有风险就越高;信息系统为组织创造的竞争优势越大、系统采用的技术越先进,存在的固有风险越高;企业员工对信息系统处理结果的准确性缺乏必要的怀疑也会导致利用信息系统进行舞弊的风险加大。
(二)加强信息系统的控制与评估控制风险(1)加强信息系统的控制。信息系统的控制可以分为一般控制与应用控制。一般控制是指由那些在信息系统活动和用户环境中对大部分应用具有普遍作用的控制组成,具体包括不相容职务相分离、数据安全保护和管理层介入信息系统开发的控制等。应用控制是对信息系统中具体的数据处理活动所进行的控制,用于保证特定的处理活动(如工资、应收账款处理)按照管理层制定的规范运行,且其处理过程准确、及时、完整并得到授权,具体包括输入控制、处理控制和输出控制。(2)评估信息系统的控制风险。内部审计人员可以对信息系统面临的风险及其相对应的控制活动进行确认,进而评价控制活动是否足以将风险控制在可接受水平以内。表1列示了“非法获取数据与资料”这一风险因素的内容及其相应的主要控制活动。在信息系统中,常常采用多层次的内部控制来降低控制风险。内部审计人员应综合考虑这些控制活动是否能够降低风险的水平。
表1 非法获取数据与资料的风险及其主要控制活动
此外,内部审计人员还可以通过矩阵分析法对信息系统控制活动的深度和效率进行检查。显然,通过对信息系统控制的持续测试与审查,风险管理审计能够尽早发现信息系统中存在的问题,从而由传统的事后评价转向事前防范、事中控制,并为降低信息系统风险、改进信息系统控制提供有价值的建议。
(三)为信息系统的安全与控制提供确认 信息系统对企业运营流程、决策效率和信息质量等的深远影响使得企业管理层、董事会等利益相关方迫切地寻求对组织信息系统存在适当的安全与控制的确认,而风险管理审计正可以担当此任。值得注意的是,和在企业的所有其他领域一样,信息系统的风险可以加以管理与控制,但是它们无法被彻底消除,因而风险管理审计对信息系统安全与控制的评价必须考虑企业对风险的容忍程度,控制措施与程序降低风险的程度,并衡量实施的控制是否符合企业的目标和需求、是否符合成本——效益原则。进一步地,还可以将目前国际公认的最先进、最权威的安全与信息技术管理和控制标准COBIT模型做为评价信息系统安全与控制的标准。
信息技术的发展与创新极大改变了企业信息系统的运行模式。其重要价值在于支持组织的业务并帮助组织完成总体使命。对内部审计而言,信息技术的应用一方面有助于提高内部审计的效率,另一方面又扩大了内部审计需要识别与监控的信息系统相关风险的范围。基于信息系统风险管理审计的任务就是在信息系统风险管理受控情况评估分析的基础上,内部审计人员综合考虑企业整体组织目标和信息系统的风险可接受水平,收集并评估证据,对现有信息系统整个流程设计的有效性、运行效果的好坏作出整体评价,进而对于帮助组织目标的实现程度上进行审查和评估,并最终报告相关的信息使用者。此外,风险管理审计还强调监控的即时性、连续性和互动性,与企业风险管理过程同步进行,并伴随信息系统生命周期的始终。对于需要改进的问题,审计人员应追溯根源,围绕风险管理策略、风险管理流程、风险管理人员、风险管理技术和风险相关信息五个基础方面发现问题,解决问题,从深层次厘清信息系统风险管理存在的问题。这一方面可帮助风险管理人员更好地制定风险应对策略,另一方面可促进企业根据个性化要求进行企业信息系统的开发、升级,将信息系统的风险管理由传统的消极避让转向积极应对。最终,采用风险管理的理念,全面认识和把握信息系统风险和信息系统审计内容,才能发挥信息系统的风险管理审计促进IS为组织实现更好的“价值增值”。
[1]孙强:《信息系统审计:安全、风险管理和控制》,机械工业出版社2003年版。
(编辑 袁露芬)