基于信息系統的風險管理審計

來源:用戶上傳      作者: 陳建紅 何雪韻

　　一、信息技術革新對企業信息系統及內部審計的影響
　　
　　(一)信息技術革新對信息系統的影響　信息技術革新正在改變全球范圍內的溝通的性質與范圍，消除傳統的組織界限(包括部門之間的內部界限以及供應商和客戶之間的外部界限)，并促進了企業流程再造。信息技術的進步和互聯網的發展，促進了信息系統的不斷發展，并被廣泛的運用于企業的各項經濟管理活動，促進了企業信息的互聯互通和信息的共享。這樣，信息系統所提供的信息的決策有用性不斷增強。但是，信息技術的革新也為信息系統帶來巨大的風險：如系統運行錯誤可能迅速導致多種文件、賬簿甚至系統失真，數據容易被盜或毀損，程序易被非法調動甚至篡改。據美國的一項研究表明，計算機系統的銀行舞弊案造成的損失是手工系統的6倍以上。而且，隨著互聯網技術和電子商務的興起，信息系統更加復雜化和多樣化。信息系統的風險控制點數量激增，且監控的難度更大。信息和信息系統已經成為了企業的重要資產，是企業獲得市場競爭力與可持續發展能力的重要因素。它們像企業的其他資產一樣需要對信息系統加以控制和審計，控制信息系統運行的安全和穩定，變成了企業的必然需要。這需要審計人員從企業組織層面、一般管理層面、業務流程層面來識別和分析信息系統風險。這樣基于信息系統的風險管理審計顯得尤為重要。
　　
　　(二)信息技術革新對內部審計的影響　對于內部審計而言，信息技術革新既帶來了功能強大的工具和方法，又對內部審計識別、評估、監控企業風險的活動產生深遠影響。根據UA在2002年的調查，將近49％的內部審計人員已將IT結合到他們所有的檢查中，有83％的內部審計人員使用通用審計軟件獲取和分析數據(McConum和Salierno，2003)，將近38％和29％的內部審計人員分別使用持續監控和連續審計技術(IIA，2002，AICPA／CICA，1999)。在很多國家，信息系統審計師(CISA)已發展成為一種專門的職業。并且，基于信息技術的內部審計工具與技術也層出不窮，包括對控制進行測試的測試板技術、集成測試工具、嵌入式審計模塊和神經網絡等。這從根本上提高了內部審計的效率，也為信息系統審計奠定了重要基礎。
　　從另一角度來說，信息化環境擴大了內部審計需識別、評估和監控的風險范圍，并且可能放大源于控制缺陷和其他漏洞的企業風險。我國2008年頒布的《企業內部控制基本規范》中明確規定企業應當運用信息技術加強內部控制，建立與經營管理相適應的信息系統，促進內部控制流程與信息系統的有機結合，實現對業務和事項的自動控制，減少或消除人為操縱因素。這就要求內部審計人員加強與會計專業人員、信息技術人員和有關管理人員的交流與融合，通過信息化手段全面提高信息系統運行的效果和效率，滿足組織的戰略目標。
　　
　　二、信息系統在企業風險管理中的作用
　　
　　(一)提供高效的信息溝通渠道　信息與溝通是風險管理框架中的一個要素，其內涵是“風險以及風險管理相關的信息必須以恰當的形式在一定期間內傳遞，使得員工、管理層、董事會能夠履行各自的職責?！逼髽I信息系統作為信息與溝通的載體，能夠有效地追蹤企業當前正在發生的風險事項以及已經避免的風險事項，并及時將企業各層面的風險管理情況報告給信息使者，實現較好的上傳下達。如企業信息系統應保證企業所有員工都能夠收到高層管理人員發布的風險管理目標、操作指南等信息，并通過適當培訓使其對企業風險管理的原則形成共同認識，明確自身在風險管理中所扮演的角色、地位；企業能夠通過建立正常的或者“綠色”通道，便于組織成員與管理層溝通，報告風險管理職責的完成情況、出現的錯誤、例外狀況等；通過信息系統，企業還能記錄風險管理的全過程，包括管理和控制狀況，生成報告以滿足組織治理的需要。
　　
　　(二)為整體風險評估提供信息支持　風險評估是做出恰當風險反應的依據，也是將企業風險管理與企業戰略相結合的關鍵點之一。從某種程度上說，風險評估是一個綜合利用和分析企業戰略、經營環境、運營活動及其相關風險等信息的過程。因而，風險評估離不開企業信息系統的支持：自上而下的信息流，將企業目標、管理層的風險偏好傳遞到負責風險評估的部門，確定了風險評估的范圍和衡量標準；自下而上的信息流，傳遞匯總了企業操作層、執行層、戰略層面臨的現實風險與潛在風險，形成涵蓋企業各個業務領域、層次的風險全景圖；橫向信息流促進職能部門突破單一視角，對風險的影響范圍與程度形成更為準確地認識與評估。
　　
　　(三)促進風險管理在各部門間的整合　實施企業風險管理的一個巨大障礙源于企業各個職能部門的風險管理活動缺乏整合。例如，人力資源部門僅負責評估人員管理風險――如技能缺乏或者人才流失；生產部門專注于管理產品質量缺陷、生產技術落后導致的風險；銷售部門關注于管理顧客需求變化、營銷渠道競爭等所帶來的風險；而財會人員則致力于改進財務報告程序、提高財務信息質量。按照信息系統審計理論中關于信息系統分解的論述，企業風險管理人員可以從高層管理、信息系統管理、系統開發管理、程序設計管理等幾個方面分析由企業內部管理產生的信息系統風險，結合企業具體業務進一步分析由信息系統本身產生的風險。信息系統的風險分析，便于風險以及風險的影響信息在不同職能部門間實現傳遞和共享，風險管理人員可以識別不同類型風險存在的內在聯系，區分重要程度，并與各部門協作控制與開發管理風險的方法。
　　
　　三、風險管理審計對信息系統的審查與評價
　　
　　(一)評估信息系統的固有風險　信息系統的固有風險通常與信息系統自身的特征以及組織基于戰略目標所選擇的信息技術水平有關。信息環境下的信息系統存在的固有風險包括：信息系統程序容易被非法調用甚至篡改、信息處理過程和處理權責的集中化、微縮存儲的數據與信息易于被竊取以及計算機設備的脆弱性等。同時，組織選擇的信息技術水平也會影響信息系統的固有風險：組織的運行越依賴于系統，固有風險就越高；信息系統為組織創造的競爭優勢越大、系統采用的技術越先進，存在的固有風險越高；企業員工對信息系統處理結果的準確性缺乏必要的懷疑也會導致利用信息系統進行舞弊的風險加大。
　　
　　(二)加強信息系統的控制與評估控制風險　(1)加強信息系統的控制。信息系統的控制可以分為一般控制與應用控制。一般控制是指由那些在信息系統活動和用戶環境中對大部分應用具有普遍作用的控制組成，具體包括不相容職務相分離、數據安全保護和管理層介入信息系統開發的控制等。應用控制是對信息系統中具體的數據處理活動所進行的控制，用于保證特定的處理活動(如工資、應收賬款處理)按照管理層制定的規范運行，且其處理過程準確、及時、完整并得到授權，具體包括輸入控制、處理控制和輸出控制。(2)評估信息系統的控制風險。內部審計人員可以對信息系統面臨的風險及其相對應的控制活動進行確認，進而評價控制活動

是否足以將風險控制在可接受水平以內。表1列示了“非法獲取數據與資料”這一風險因素的內容及其相應的主要控制活動。在信息系統中，常常采用多層次的內部控制來降低控制風險。內部審計人員應綜合考慮這些控制活動是否能夠降低風險的水平。
　　此外，內部審計人員還可以通過矩陣分析法對信息系統控制活動的深度和效率進行檢查。顯然，通過對信息系統控制的持續測試與審查，風險管理審計能夠盡早發現信息系統中存在的問題，從而由傳統的事后評價轉向事前防范、事中控制，并為降低信息系統風險、改進信息系統控制提供有價值的建議。
　　
　　(三)為信息系統的安全與控制提供確認　信息系統對企業運營流程、決策效率和信息質量等的深遠影響使得企業管理層、董事會等利益相關方迫切地尋求對組織信息系統存在適當的安全與控制的確認，而風險管理審計正可以擔當此任。值得注意的是。和在企業的所有其他領域一樣，信息系統的風險可以加以管理與控制，但是它們無法被徹底消除，因而風險管理審計對信息系統安全與控制的評價必須考慮企業對風險的容忍程度，控制措施與程序降低風險的程度，并衡量實施的控制是否符合企業的目標和需求、是否符合成本――效益原則。進一步地，還可以將目前國際公認的最先進、最權威的安全與信息技術管理和控制標準COBIT模型做為評價信息系統安全與控制的標準。
　　
　　四、結論與展望
　　
　　信息技術的發展與創新極大改變了企業信息系統的運行模式。其重要價值在于支持組織的業務并幫助組織完成總體使命。對內部審計而言，信息技術的應用一方面有助于提高內部審計的效率，另一方面又擴大了內部審計需要識別與監控的信息系統相關風險的范圍?；谛畔⑾到y風險管理審計的任務就是在信息系統風險管理受控情況評估分析的基礎上，內部審計人員綜合考慮企業整體組織目標和信息系統的風險可接受水平，收集并評估證據，對現有信息系統整個流程設計的有效性、運行效果的好壞作出整體評價，進而對于幫助組織目標的實現程度上進行審查和評估，并最終報告相關的信息使用者。此外，風險管理審計還強調監控的即時性、連續性和互動性，與企業風險管理過程同步進行，并伴隨信息系統生命周期的始終。對于需要改進的問題，審計人員應追溯根源，圍繞風險管理策略、風險管理流程、風險管理人員、風險管理技術和風險相關信息五個基礎方面發現問題，解決問題，從深層次厘清信息系統風險管理存在的問題。這一方面可幫助風險管理人員更好地制定風險應對策略，另一方面可促進企業根據個性化要求進行企業信息系統的開發、升級，將信息系統的風險管理由傳統的消極避讓轉向積極應對。最終，采用風險管理的理念，全面認識和把握信息系統風險和信息系統審計內容，才能發揮信息系統的風險管理審計促進IS為組織實現更好的“價值增值”。
　　
　　參考文獻：
　　[1]孫強：《信息系統審計：安全、風險管理和控制》，機械工業出版社2003年版。
　　
　　(編輯　袁露芬)

轉載注明來源:http://www.hailuomaifang.com/3/view-795614.htm