中铁大桥局集团有限公司 范经华
[摘要]信息化给企业带来了深层次变革,也对企业的风险管理产生了深刻影响,如何开展信息化环境下企业风险管理审计,在理论和实践方面都是亟待研究和解决的一项重要课题。本文主要从信息化对企业风险管理和风险管理审计的影响,以及开展信息化环境下企业风险管理审计的对策两个方面,展开了理论探讨。
[关键词]信息化 企业风险管理审计
一、引言
当前,我国以信息化带动工业化的战略已经取得了明显成果,信息化已成为经济与社会发展的重要推动力。以提供信息服务为主的数据密集型、人机交互的计算机应用系统,即信息系统已广泛渗透到企业管理当中,并已开始从传统的后台支持转变为新业务开展的直接驱动力,企业对信息化的依赖程度日益增强。信息化对企业的内外环境、风险管理、控制及审计等方面的影响日趋深刻,企业内部审计正面临着新的挑战和机遇。本文在阐明信息化对企业风险管理及风险管理审计的影响的基础上,进一步就当前企业开展风险管理审计所应采取的对策进行了理论探讨。
二、信息化对企业风险管理及风险管理审计的影响
在信息化环境下,以计算机、网络为代表的现代信息技术广泛应用于企业经营管理的各个角落,其直接形式是信息系统的开发、构建及运行。信息化是一把“双刃剑”:一方面可以优化企业内部控制流程和提高经营管理效率,另一方面除了其自身固有的风险外,也给企业带来了新的风险。所以说,企业信息化对企业风险管理及风险管理审计都产生了持续而深刻的影响。
(一)信息化对企业风险管理的影响
自从英国巴林银行,美国安然公司、世通公司等相继暴露出严重的财务丑闻以来,企业风险管理已成为国际上十分关注的一个热点问题。在我国,随着中行、建行等国有银行发生多起重大贷款舞弊案件以及中航油、中储棉等风险事件,如何强化企业风险管理更是在短时间内成为人们共同关注的焦点。因此,企业从传统内部控制走向现代全面风险管理已成为必然趋势。
2001年,美国COSO委员会委托美国普华永道公司组织编写《企业风险管理—整合框架》(Enterprise Risk Management—Integrated Framework),该框架于2004年9月正式发布,用以指导企业的全面风险管理过程,它将内部控制纳入到企业风险管理体系中,并明确指出企业全面风险管理体系包括内部环境、目标制定、风险识别、风险评估、风险反应、控制活动、信息与沟通、监控和持续改进八个相互联系的构成要素。由于信息化推动了企业资源整合和流程再造,所以对企业风险管理的各方面都产生了深刻影响,主要表现在:
1、对企业风险管理环境的影响。企业信息化自身作为企业内部环境的一个重要组成部分,使得企业的各类环境信息高度集中,这有助于董事会、监事会和管理层高效地进行决策,从而达到企业治理的目标。信息化也促使企业组织结构趋向扁平化、网络化,管理层次减少,企业的整体风险、经营风险及技术风险等各类风险更为集中,原有的风险管理流程及重要控制环节发生了变化,这些都增加了企业风险管理环境中的不确定性因素。
2、对企业风险管理范围的影响。企业信息系统具有特定控制功能,它会促使部分风险的重要性程度发生变化,从而改变企业原有各类风险的分布。例如在人工条件下,如果业务量非常大,则数据计算汇总出现偏差的风险就比较高,但在信息化环境下,若非出现人工舞弊或系统失灵现象,该项风险会大为降低。企业信息系统具有高风险性,若未加控制或控制不当,就会影响企业经营和战略目标的实现。因此,企业理所当然地要把信息系统风险纳入风险管理的范围。企业信息系统固有的风险主要表现在:
(1)管理变革风险。企业信息化不仅仅是使用一个系统或买一套软件的问题,而是管理理念上的一场变革,信息化成功与否存在着诸多不确定因素。比如近年来国内热火朝天的ERP(实施企业资源规划)系统,它表面上是一种技术支撑手段,深层次的却是企业管理变革,企业管理变革若以ERP为助推器,则ERP的实施水到渠成,若视ERP为“万金油”,则信息化失败的风险就大为增加。
(2)业务流程重组风险。在企业信息化过程中,必然要对业务流程进行重组,其中的人员变动、权力重新分配等会触动某些人的既得利益,从而产生阻力,可能使得企业管理绕开信息系统控制,仍保留原有低效而运作平稳的业务流程。
(3)技术风险。信息技术发展速度快,其中不确定性的因素颇多,严格来说,企业对这些不确定性的认识和控制能力还十分有限,有些经过反复论证的良好的信息系统,在实施中出现出乎预料或失败的情形并非偶然。
(4)系统安全风险。有的企业对信息系统的安全性缺乏重视,控制措施不当甚至缺失,诸如存在用户口令泄密、超级用户授权过多等现象,这些都直接导致系统在安全控制方面出现漏洞和缺陷,系统的安全性受到威胁。
(5)完全依靠信息系统风险。再好的信息系统也是辅助于管理决策的,信息技术永远是一种支撑手段。若使用人员认为系统是万能的,盲目相信系统,不认真地去检查、分析数据和信息,就可能产生一些明显或重大的错弊。
3、对风险控制活动的影响。企业信息化通过流程重组和系统优化,深刻影响着企业和员工的工作习惯、思维方式、信息载体和控制手段等。风险控制活动作为企业风险控制框架的重要内容,应当建立更为明确的控制目标,并坚持与信息系统保持一致和同步,开展对企业风险的实时、动态监控。
4、对风险管理技术的影响。在信息化环境下,企业的许多风险都隐藏于信息系统日常运行之中,风险识别及评估、控制活动、监控及持续改进等,大都需要依靠计算机信息系统的支持来进行。因此在企业风险管理过程中,除了要依靠传统的技术方法外,还须充分开发、运用计算机信息技术,从而有效地提高风险管理质量和工作效率。
5、对风险应对策略的影响。企业管理层根据其风险偏好程度,一般都需要对各类风险采取回避、接受、降低和分担的不同应对策略。但随着企业信息化程度的日益升高,从某种意义上来说,信息系统具有了内部控制之“纲”的作用,信息系统运行过程中的风险,即使其风险程度较低,但一旦反馈到企业的物质、资金等控制层面时,其风险程度就会大为增高,因此企业对信息系统的运行风险,一般都是采取控制和降低风险的策略。
(二)信息化对企业风险管理审计的影响
企业风险管理审计是企业内部审计部门运用系统化、规范化的方法,以审查和评价企业风险管理信息系统、各业务循环和相关部门的风险识别、评估、处理及控制等为基础的一系列审计活动。简而言之,风险管理审计就是对风险管理过程的审计,信息化对企业风险管理有着广泛影响,同样对以风险管理为载体的风险管理审计也具有深刻的影响。主要表现在:
1、对审计环境的影响。信息化使企业的经济环境、组织结构、经营方式、业务重心和管理模式等都发生了重大变化。审计人员所面对的是无形的电子数据及处理这些数据的信息系统,而信息系统的硬、软件形式各异,它们通过各自的管理权限和影响力直接或间接地对审计标准和准则,审计活动执行及其结果施加影响,从而使审计环境变得更为复杂。
2、对审计内容的影响。信息化环境下企业风险管理审计的职能和目标并没有改变,但是审计内容发生了变化。由于信息系统的处理是否真实、合法、安全可靠,都与系统的处理和控制功能有直接关系,所以针对信息系统的安全性审计必须成为审计的重要内容。在信息化环境下,企业各部门需要共享同一数据库的信息,如果信息录入的某一环节出现错漏,就会产生一系列连锁反应,所以原始数据资料成为审计的重点,其中包括经济业务的真实性和合法性、原始数据录入的准确性等,这就迫切要求内部审计及时由事后评价向事前防范和事中监控转变,由合规性审计向风险管理审计转变。
3、对审计线索的影响。在传统审计模式下,审计人员调阅纸质信息并加上专业判断,就可获取和追索审计线索。而在信息化环境下,传统的纸质信息大为减少甚至消失,取而代之的是存储电子数据的磁性介质,数据处理均由计算机按程序指令自动完成,审计人员不能通过肉眼追踪业务的处理过程,也无法按传统审计方法审查和评价系统数据的安全性、完整性和准确性,审计线索更为隐蔽,获取也更为困难。
4、对审计技术的影响。在信息化环境下,审计人员面对的是单机、网络等平台下的信息系统,除了传统的人工审查技术外,审计人员还必须利用计算机技术和网络技术进行取证。在信息系统的持续运行过程中,审计人员需要运用整体检测法、受控处理法等系统测试审计方法和在线实时审计技术,并要及时更新和发展企业风险管理审计技术。
5、对审计风险的影响。在信息化环境下,由于企业运行环境的改变,审计线索和审计证据的可靠性主要取决于信息系统的相关控制是否健全、有效。而企业信息系统的开放性和共享性、外部环境的不安全性,都会使得计算机病毒和黑客对信息的真实性和可靠性产生威胁,并且其破坏性巨大,这些都加大了信息化环境下企业风险管理审计的风险。
6、对审计人员素质的影响。李金华审计长指出:审计人员不掌握计算机技术将失去审计的资格。不懂得计算机技术的审计人员,会因审计线索的改变而无法达到预期的审计目标,不懂得信息系统的特点,也就难以审查其内部控制和识别其潜在风险。因此,开展信息化环境下的风险管理审计,要求审计人员不仅要具备风险管理、审计、会计、管理、法律等方面的理论和实务素养,而且要掌握计算机、网络、信息技术等多方面的专业知识和技能。
三、开展信息化环境下企业风险管理审计的对策
中国内部审计协会在2006至2010年工作规划中,确定其工作总目标为:推进内部审计工作基本实现从真实性、合规性为导向的财务审计为主向以内部控制和风险管理为导向的管理审计为主的全面转型与发展。当前开展风险管理审计不仅是保证企业“又好又快”发展的重要手段,更是促进企业战略目标实现的必然要求。信息化环境给企业风险管理审计提出了更新更高的要求,这就需要审计人员在审计时,必须采取相应的对策来保证实现审计目标。
(一)着力突出风险管理审计重点
开展信息化环境下的企业风险管理审计,应当突出以下重点内容:
1、加强对企业风险管理机制的审计。通过对风险管理机制的审计,审查企业及其下属单位是否建立了风险管理机制,风险的识别、评估、应对机制和措施是否适应和有效,其实际运行效果如何。其中包括评审企业管理层对可能影响企业战略和目标的主要风险是否均已识别,并找出未被识别的主要风险;评审管理层对已识别风险的评估是否恰当,并对不恰当的评估予以纠正;评审企业管理层对已评估风险所采取的应对措施是否充分、得当,并提出改进措施和建议,协助企业完善风险应对方案,以及监控企业的风险管理是否持续执行和不断完善。
2、加强对业务流程的审计。信息系统是在对业务流程进行优化重组的基础之上构建的,本身嵌入了许多内部控制程序,它能否按既定的模式运行以及运行效果如何,关系到企业管理的成败。通过深入开展对企业业务流程的风险管理审计,审计人员能够判断原有流程的控制目标是否恰当、通过信息系统控制能否实现原有流程的控制目标等,从而发表客观公正的审计意见。
3、加强对关键风险控制点的审计。通过开展对关键风险控制点的审计,着重审查和评价企业是否对关键风险控制点进行了识别,识别是否全面;是否建立了关键风险控制点的风险评价体系;是否建立了关键风险控制点的预警机制和应对机制;关键风险控制点的识别、评价、预警和应对机制的适应性和有效性如何;控制方法和手段是否可进一步优化;有无控制不严或失控的现象与可能性等。
4、加强对信息系统监控的审计。通过对信息系统监控的审计,着重审查和评价企业是否利用信息系统进行了关键业务的动态监控,监控点及其风险如何识别和评价,监控的权威性及其效果如何,发现问题的处理方式以及应对风险的效果如何,有无监控盲区或监控不力的区域,监控结果的利用情况如何等。
5、加强对信息系统人员的审计。任何信息系统都是通过人来操作和维护的,为了保证系统正常运行,必须要有与系统相适应的操作和维和人员,这些人员除了要具备相应的专业技能外,还要有完成本岗位工作的责任心。通过对信息系统人员的审计,着重审查和评价系统人员是否经过培训并取得相应资格,是否具有识别和应对本岗位风险的能力,在本岗位控制和管理风险的实际效果如何等。对关键风险控制点和系统监控岗位上的人员,以及关键的系统维护人员还应该实施系统责任审计。
(二)充分利用计算机审计技术
1、广泛运用计算机辅助审计技术。在信息化环境下,所有数据都是在线、实时处理,计算机辅助审计技术对企业风险管理审计工作而言,是必不可少的一项技能。审计人员应当充分运用计算机审计软件、数据库、电子表格及会计信息系统等各种计算机辅助审计技术,大力开展实时、动态审计,以降低审计成本,提高风险管理审计的工作效率。例如利用并行模拟技术测试系统运行程序的控制功能;利用嵌入式审计技术监控数据处理业务;利用数据分类复核技术审查数据库等。
2、要将风险管理审计技术和计算机辅助审计技术紧密结合。在我国目前的企业风险管理审计实践中,风险量化仍为一个弱项,审计人员要将风险管理审计的具体方法,如趋势分析法、风险坐标图、蒙特卡罗法、关键风险指标法等等,与计算机辅助审计技术紧密结合起来,尽快改进风险计量的技术、方法和手段,利用计算机辅助审计工具的强大筛选、分析等功能,寻找审计疑点,发现审计线索,有效提高信息化环境下企业风险管理审计的工作质量。
3、注重对计算机审计业务技术的运用。2005年,国家“863”计划审计署课题组完成了“计算机审计数据采集与处理技术”的研究,总结和开发了一套完整的计算机审计业务技术。例如联网审计组网模式技术、数据采集和转换技术、数据存储与处理技术、应用示范环境技术和应用示范软件技术等。企业在开展信息化环境下的风险管理审计时,应当逐步尝试并充分运用这些业务技术,并在实践中不断改进,总结出与企业自身信息化环境相适应的计算机审计技术。
(三)大力实施远程联网审计
企业风险管理审计,必须以事前、事中审计为重点,以便及时发现问题并予以纠正,强化对企业各类风险的实时、动态监控和提前防范。在信息化环境下,远程联网审计是事前、事中审计的主要表现形式,它有两个特点:一是可以实施远距离审计操作,实现实质意义上的送达审计;二是可以在被审计单位的配合下,实现实时审计和动态监控。实施远程联网审计,一方面可以大大减少现场审计时间,提高企业风险管理审计工作效率,满足经常性审计监督的需要,另一方面可以更好地挖掘项目审计的深度,拓展数据资料的审计覆盖面,提高企业风险管理审计工作质量。远程联网审计主要有三种方法:
1、联网采集数据进行审计。在开展企业风险管理审计中,主要运用该方法进行合规合法性的审查。比如对某企业二级单位的数据进行联网采集和分析后,发现其管理费用超出预算值,经进一步审查和核实,认定被审计单位的费用支出存在控制风险。
2、联网远程登录被审计端进行审计。通过与被审计单位的信息系统联网,审计人员作为一个远程用户登录到被审计单位的服务器,进入到财务或运营系统,利用被审计单位信息系统自身的控制功能进行审计。
3、联网进行实时监控。通过远程联网,在审计端与被审计端分别运行监控程序,审计人员在审计端经被审计端授权后,可以实时查看、收集被审计单位的数据和资料,实现对信息系统的监控、风险预警和辅助决策。
实施远程联网审计应注意与现场审计相结合,如果在远程联网审计中发现了重大的风险因素或疑点问题,审计人员应及时到现场察看,对该事项作进一步的审查核实,并根据有关法律法规及自身的职业经验来进行辨析,以确保风险评估的科学性和风险应对的及时性。
(四)逐步开展信息系统审计
当前,国内许多企业开始采用ERP来管理所有的内部流程,并通过信息系统实现数据分析和共享,同时也出现了建立在电子文档管理系统、数据仓库和局域网基础之上的管理信息系统(MIS)和决策支撑系统(BSS)。企业信息化程度越高,信息系统自身固有的风险越大,错误的代价也使得企业更加难以承受。在美国上市公司各项业务流程中存在的控制缺陷、显著缺陷和实质性漏洞所占的比例中,信息技术控制缺陷占控制缺陷的36%,占显著缺陷的22%,占实质性漏洞的21%,均为各类缺陷的首位。美国《2002年萨班斯—奥克斯利法案》(SOX法案)对美国上市企业的信息系统审计产生了重大影响,在企业风险管理审计中,对信息系统实施审计将是必然趋势。信息系统审计的主要内容包括:
1、审查和评价被审计单位信息系统的背景信息。包括评审信息系统的规模、硬件和网络的技术复杂性、会计系统和业务系统等应用软件取得的方式、系统的管理情况、信息系统处理业务流程等。
2、审查和评价被审计单位信息系统的控制环境。包括评审软件控制措施,不相容职能分离控制措施,访问控制措施,系统的安全性和灾难性恢复控制措施等。
3、审查和评价被审计单位信息系统的应用控制。包括评审输入控制能否保证由人工直接输入的数据合法、准确和完整,输出控制能否确保系统的输出没有被丢失、误导、破坏以及数据不被非法侵犯,处理控制能否确保合法的输入经过准确无误的系统处理后,输出符合要求的结果。
开展信息系统审计,一个亟需解决的重要问题就是选择什么样的信息化控制评价标准。当前国际上公认的最先进、最具权威性的安全与信息技术管理和控制标准是COBIT模型(信息化建设、审计及治理框架),作为信息化治理的一个开放性标准,它已在世界100多个国家的企业与组织中运用,指导其有效地管理和控制与信息系统相关的风险。我国企业的审计人员可以逐步了解、学习该标准,并在审计实践中予以参照。
(五)不断提高审计人员的素质
审计人员的专业综合素质是做好信息化环境下企业风险管理审计的决定性因素。目前企业开展信息化环境下风险管理审计面临的最大问题,就是缺乏既掌握计算机技术又熟悉审计业务的复合型人才。为了解决这个问题,需要通过以下三种途径:
1、积极开展培训和研讨。通过业务培训和理论研讨,提高审计人员的风险管理审计技能、计算机业务水平和职业道德水准。在当前形势下,企业要着重加强对审计人员信息系统操作、网络安全、计算机辅助审计技术和计算机审计软件应用等方面的培训,提高审计人员利用信息技术实施企业风险管理审计的能力。
2、广泛引进专业人才到审计部门工作。在信息化条件下,企业内部审计要逐步改变审计师独唱主角的情况,计算机与网络专家、信息系统与电子商务专家等都要在审计中担任越来越重要的角色。企业要通过引进人才来优化审计队伍结构,为全面、高质量地开展信息化环境下的风险管理审计储备人力和智力资源。
3、审计人员要加强学习。第一要以实践带动学习,通过多开展信息化环境下企业风险管理审计,不断总结经验,提高业务技能,逐步适应审计需要;第二要以考试促进学习,例如通过考取CISA(国际信息系统审计师)和CERM(注册企业风险管理师)等专业资格,大力提升审计执业水平。
企业在开展信息化环境下的风险管理审计时,若受人员技能等客观条件所限,审计部门不能独立完成任务时,聘请外部专家的支持或将部分审计业务外包不失为一个较好的现实选择。
四、结束语
在全球经济一体化的进程中,我国企业正在逐步向产业高端化方向发展,为了增强国际竞争力,实行IT(信息技术)治理是一个必然趋势,企业信息化程度将越来越高,由此推动的企业深层次变革也会使企业的风险管理和风险管理审计面临更多的挑战。企业内部审计人员必须加强学习,全面掌握计算机审计的技术和方法,不断探索,适应信息化的要求,大力开展信息化环境下的企业风险管理审计,促进企业实现经营和战略目标。
主要参考文献:
[1] 美国COSO制定发布,方红星、王宏译.企业风险管理—整合框架[M] .大连:东北财经大学出版社,2005.9.
[2] 卓继民.现代企业风险管理审计[M].北京:中国财政经济出版社,2005.8.
[3]刘汝焯.计算机审计概念、框架与规则[M].北京:清华大学出版社,2007.1.
[4]董化礼.计算机审计数据采集与分析技术[M].北京:清华大学出版社,2006.10.
[5] 国家863计划审计署课题组.计算机审计数据采集与处理技术研究报告[M].北京:清华大学出版社,2006.7.
[6] 郭宗文.计算机审计[M].北京:清华大学出版社,2005.4. |
