作者:张大雷
如何加强和改善公司内部控制状况,建立和完善公司内控体系呢?谈到这个问题,大多数人就很自然联想到了公司治理,而当前IT治理作为公司治理中必不可少的关键环节,通过加强企业的IT治理水平,就可以促进企业改善其内部控制水平。除此之外,还有其他什么现成的方法或途径可以帮助企业改善其内控水平么?那就是:信息系统审计。它可以通过专业的第三方咨询机构帮助企业发现公司内控体系的不足,加强和完善其内控体系。具体分析如下:
(一)确保IT能够支撑和拓展公司的战略和目标
信息系统审计是近几年非常热的一个话题,那么信息系统审计是审计什么呢,它是审计公司信息化对公司整体战略的支持程度、IT战略和公司总体战略的匹配程度、对公司业务发展的支持程度、对企业内部组织流程和业务流程所产生的影响、能否促进企业业务系统效率的提高等等。总之,企业的信息化建设是为公司的战略和业务发展服务的,因此可以通过信息系统审计发现企业信息化存在的问题,保持IT与业务目标一致,推动业务发展,促使收益最大化,以确保组织信息系统的发展能够始终沿着正确的方向进行,确保企业的总体战略目标的实现。
(二)借鉴公认的模型工具更全面和精细的管控企业的整个运营过程
当前国际上关于信息系统审计的模型虽然还没有一个比较通用的标准,但各种不同的信息化评估模型都采用了COBIT、ITIL(BS15000/ISO20000)、ISO/IEC17799、IT项目管理以及平衡记分卡等工具模型的精髓,因此,其评估模型的周衍性、权威性和合理性也得到了保证。其中,COBIT模型目前已成为国际上公认的IT管理与控制标准,其次和IT治理的相关管理标准还有ITIL(BS15000/ISO20000)、ISO/IEC17799、IT项目管理、信息系统工程监理等。其中COBIT覆盖整个信息系统的全部生命周期,其范围最大;ISO/IEC17799这套管理标准更侧重IT应用过程的信息安全;ITIL这套标准优势是在运营维护阶段;信息工程监理则是最具有中国特色的标准,它能够通过专业的、全过程的监督和管理来规范企业信息化工程的建设,达到增强企业对信息化工程建设内部控制的目的,其偏重于信息化建设阶段。这几种可以一起整合实施,来达到提升公司IT内控能力的目的。 (三)通过对企业信息系统审计来规避企业内部存在的风险
作为企业提升自身的内部控制能力,就是要对风险进行更有效的控制。信息系统审计能够对信息系统的应用状况和综合绩效状况进行全面的评估,因此,信息系统审计所包含的内容要大于信息系统治理所涵盖的内容。
由于信息系统审计所包括的范围非常的广泛和全面,如果我们只是想借助其促进企业内控水平的提升,那么我们应该加强其有关信息化风险控制方面的指标,适当弱化和删除其他方面的指标,以此来达到应用的目的。
由于信息系统审计本身更强调评估,是客观、真实地反映企业信息化当前的状况,暴露出其中存在的问题。如何更好的去解决这些问题,如何更有效的规避风险还是要靠人自身来想办法解决,则是我国信息化咨询行业下一步的着眼点。当然,任何一种方法或工具都不是万能的,有它的优势和局限性,我们只有抓住问题的实质,运用适当的方法和工具才能够有效的解决它。
对企业来说,改善其内部控制水平,就是借助这些大家公认的模型,通过设计、实施、维护和监控内部控制和风险管理体系,尤其是对IT 的控制,发现自身存在的不足,帮助企业建立起完善和细化相关的流程和制度,以确保公司所有业务策略、规程和业务流程都在自己的掌握之中,并且在合法合规的轨道上运行。
参考国家审计署2003年第5号令《审计机关内部控制测评准则》中第五条规定,进行内部控制的评测一般分为下列四个步骤:
1、对内部控制进行调查了解;
2、对内部控制进行初步评价,评估控制风险;
3、对内部控制的执行情况进行符合性测试;
4、提出内部控制测评结果,并利用测评结果确定实质性测试的范围、重点和方法。
在信息系统环境下,对信息系统内部控制的评测,即信息系统审计可以通过下列方法实现上述步骤:
(一)对内部控制情况进行调查了解
调阅被审单位关于计算机信息系统的各项管理制度和相关文件,对内部控制的健全性和合理性初步了解。
记录和描述信息系统内部控制制度的方法有三种:
1、书面说明法
书面说明法是将调查得到的内部控制制度记录下来,并用文字详细叙述的方法。运用这种方法时,审计人员往往是按着主要经济业务的运行顺序,或每一经济活动的流程环节向有关人员一一询问并予以记录,最后整理结合,形成文字说明材料。书面说明法的优点是可以根据实际情况灵活地选择内容,并且能做出较深入和具体的描述。但这种方法也有局限性,针对经济业务复杂、经济活动环节较多的企业,用书面说明难免冗长。
2、调查表法
调查表法是指审计人员将那些与保证信息的正确性和可靠性以及保证资产的完整性有密切关系的事项列作调查对象,设计成标准化的调查表,交由企业有关人员填写,再由审计人员收集调查结果,统一将问题归纳整理。调查表的优点是调查范围明确,省时省力,可以提高评审工作效率;审计人员通过调查表可以抓住企业内部控制中的强点和薄弱环节。但这种方法也有局限性,如果调查表的问题设置不当,就不能客观全面地反映内部控制制度的情况。
3、流程图法
流程图是指用特定的符号和图形来描述某项业务的整个处理过程,用图解的形式将主要经营环节和凭证,记录传递关系直观地表达出来的一种方法。流程图的优点是,可以把文字叙述减少到最低程度,形象直观,能帮助审计人员较快地发现控制系统的薄弱环节。其缺点是,绘制流程图技术不过关,就不能准确地反映被审单位的内部控制制度,就会影响审计工作质量。
(二)对内部控制进行初步评价
审计人员在完成内部控制制度的描述之后,通过与被审单位相关人员座谈和实地观察,了解硬件配置、软件运行及维护、相关人员操作经验等计算机信息系统使用环境,并根据取得的资料对被审单位的内部控制制度进行评价。
1、评价内部控制的健全性。
评价内部控制的健全性既要从总体的一般控制来评价,又要从具体的应用控制来评价。一般控制是信息系统有可能安全、可靠地运行和处理的前提。如果没有恰当的控制环境,没有强有利的制度保证,不管系统设计的如何好,程序和数据也会被篡改,整个系统的安全就没有保证。因此,一般控制如有缺陷,将对整个信息系统产生普遍的影响,即使应用控制很强,也难以发挥其功能。同样,如果应用控制有缺陷,则会直接影响到数据输入、处理和输出的正确性。
2、评价内部控制的合理性。
评价信息系统内部控制的合理性,主要考虑的布局是否合理,有没有不必要的控制,评价时要特别注意信息系统应用控制中的程序化控制。
(三)对内部控制的执行情况进行符合性测试
即使再健全的内部控制,在实际业务处理过程中也不一定被认真执行,因此,应检查被审单位内部控制过程中形成的文件和记录,包括各种操作日志、软件修改记录、灾难恢复记录等,并对其实际执行情况还要进行符合性测试。
符合性测试的几种方法:
1、检查证据法
审计人员通过对有关会计资料和文件的审查,来确定内部控制制度是否被遵循以及遵循的程度。
2、重新测试法
审计人员选择某一项经济业务,按照内部控制制度规定的业务处理程序重新实做一遍,来审查被审单位进行的业务处理程序是否达到理想的效果。
3、实地观察法
审计人员到业务处理现场实地观察,来考核内部控制的执行是否良好。
(四)提出内部控制测评结果
在实施完对信息系统内部控制评审后,审计人员要对内部控制作出评价,以确定内部控制是否真正发挥作用。如果认为内部控制没有得到执行,或执行表明内部控制存在重大隐患,此时,审计人员应提出评审中是否依赖已有的控制。
另外,审计人员应当提出一个概括反映信息系统内部控制弱点的属性和程度的总结报告,并将报告列入审计底稿。对报告可以从以下三个方面加以利用:一是确定实质性审计的范围、重点和措施。二是将信息系统的控制弱点纳入审计意见,以便其改进工作。三是为确定具体使用何种计算机辅助审计技术提供依据。
由此可见,对信息系统内部控制的评审则涉及到审计学、信息技术、企业管理、项目管理、服务管理、信息安全学等跨学科的知识领域,要求第三方咨询机构的审计人员素质很高,且国内尚无完整的标准规范可以遵循,这也是我们下一步亟待解决的问题之一。