IT审计与业务审计的融合,本文主要内容关键词为:业务论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
企业信息化的普及和深化,对企业生产经营、管理决策乃至组织结构产生越来越重大的影响,对企业的内部审计也同样如此。一方面是业务审计(传统的企业管理审计)在企业信息化环境下面临新问题、新挑战;另一方面是IT审计在大型企业的探索和推广。从理论上看,业务审计与IT审计有着天然的联系,但是在审计实践中,这种关联性往往容易被忽视。在企业内部审计中,简单地划分业务审计项目与IT审计项目,使得对有些关联性审计领域,业务审计人员和IT审计人员都无暇顾及或有心无力,造成这些领域的审计脱节。国际内部审计师协会(IIA)近年来对IT审计越来越重视,在2009召开的IT审计研讨会上,IIA把IT审计与业务审计的集成作为主题之一。因此,有必要研究和探索IT审计与业务审计的关系和融合问题。
一、内部IT审计的范围
一是社会审计服务机构。他们是从外部审计的角度,立足于合规性审计,例如SOX404等上市公司的内控合规性审计。他们从事的IT审计内容涉及企业IT控制环境、IT一般性控制和业务流程层面的应用控制,侧重后两方面,关注IT控制合理与有效,对于IT治理与规划、IT投资项目、IT绩效评估监控等较少涉及。
二是政府审计部门。近年来国家审计署开始重视并探索IT审计工作,政府审计部门把IT审计看做是以前计算机审计的延伸。计算机审计主要关注对被审对象业务电子数据的取得、分析、计算等数据处理业务。因此,他们探索IT审计的重点在于围绕业务信息系统及其业务数据处理完整有效、系统使用效率、系统对业务的支持等,暂时不太多关注企业IT治理和一般性管理与控制。
三是大型企业内部审计机构。IT审计被看做是企业内部审计的组成部分,包括IT组织、规划与治理、业务层面的信息系统以及信息化绩效等方面的审计,相对来说,覆盖了IT审计体系的全范围。
本文是基于内部审计的IT审计,以非IT行业的综合性集团化企业为对象,来讨论IT审计与业务审计的融合。
二、IT审计与业务审计的关系
(一)企业信息化与业务管理工作的关联
要讨论IT审计与业务审计的关系,不妨看一看企业信息化与其他业务管理工作的关联(表1)。
表1 信息化与业务管理的关联
表中第1-5、10-11项中,信息化工作的内容完全包含在企业整体业务管理范畴中。其中IT治理与公司治理的关系往往被忽视,因为大多数企业IT治理还不健全,甚至是空白,在公司治理中没有考虑IT治理的内容。其实IT治理是公司治理的内容之一,对于大型企业尤为重要。例如应该在公司治理架构中明确信息化的职责和责任机制,包括董事会与管理层、信息管理部门与业务部门、上级单位与下级控股、参股企业之间的关系及信息化管控模式,这些问题不明晰、有偏差,是造成信息化建设达不到预期目标甚至失败的根本原因。
表中第6-7项,信息化项目是企业各种投资建设项目之一,但是由于信息化项目的技术特点,其管理与工程项目和科研项目有所不同,相对来说自成体系、较为封闭。大型综合性企业中信息化投资项目资金绝对值不低,但相对于工程建设项目,投资资金较少,往往在信息化投资项目管理和监督上,不如工程项目严格,容易产生薄弱环节。
表中第8-9项,IT日常运行与信息系统安全,对于企业安全管理关系越来越密切,影响越来越大。例如信息系统正常运行与业务持续性,IT应急相应与企业应急指挥与管理等。
表中第12项,随着企业信息化的深入应用,业务系统已经覆盖企业业务管理的各个环节,业务系统的正确、有效、可用,对于业务管理尤其是业务流程的支持关系颇大了。
(二)IT审计与业务审计的交叉
根据以上分析,我们可以得出从审计的内容上IT审计与业务审计的关联之处。我们还需要根据审计工作的实际情况分析两者之间的交叉(表2)。
所谓“交叉”指以下两种情况:
一是IT审计与业务审计区分不明晰可能重复工作,如表中4、6、7项。IT审计包括对信息化投资预算、建设项目及其采办的审计,业务审计中实际上也包括了这部分内容,容易造成重复工作。
二是IT审计与业务审计区分明晰但审计内容有相关,如表中1、2、11、12项。对于IT治理、信息化组织与规划及信息化绩效评价的审计,往往与企业整个公司治理、组织架构、战略目标和绩效指标密切相关;对于业务系统的审计与相关业务管理环节及流程的审计密不可分。
(三)业务系统审计中IT审计与业务审计的界限
业务系统审计包括三方面内容:一般控制审计、应用控制审计和使用效果审计,其中业务系统的一般控制是指业务系统运维管理和技术支持,这是IT审计的内容,但后两项就不一定了,需要分析。
表2 IT审计与业务审计的交叉
从理论上看,业务系统的应用控制分为两个部分:操作控制和业务配置。操作控制指的是业务系统处理数据的完整和准确,包括数据的输入、处理和输出。业务配置控制指的是业务系统中实现业务流程关键控制的参数设置。这两种控制是不同的,但又是密切相关的。无论是ISACA还是IIA对于在业务系统的应用控制方面的审计,把IT审计只界定到操作控制,业务配置审计没有列入IT审计的范围。ISACA在《信息系统应用控制审计指南》中,确定的IT审计内容如表3。其中第4项测试内容“处理的完整性和有效性”是指测试业务数据进入系统后是否按照预定的计算逻辑被完全正确地处理,这是IT审计的内容,而对于计算逻辑本身是否正确、是否符合业务管理和流程的要求,这不是IT审计的内容,而是业务审计的内容。因此,对业务系统操作控制的审计属于IT审计,对业务系统业务配置的审计属于业务审计。
表3 信息系统应用控制审计
业务系统使用效果是指系统的功能和实际使用是否实现了预期的支撑业务管理的目标。对它的审计不能仅从信息化的角度看,还要从业务管理的视角来评价,需要IT审计人员与业务审计人员共同审查评价,才全面和客观。
三、IT审计与业务审计融合
从以上分析可以看出,总的来说在企业内部审计中,IT审计与业务审计有关联、交叉,有些领域有点界限不清。因此,在实际审计工作中,不能简单割裂,各自为战,有必要研究和考虑两者之间的融合。
(一)IT审计与业务审计融合是信息化环境下内部审计工作的必然要求
所谓融合是指相互渗透和结合。一方面,从IT审计的角度,凡是与业务审计有交叉的审计领域,如果不与业务审计结合起来进行,审计将难以深入和有效。例如对IT治理的审计是IT审计中的难点之一,IT治理是与公司治理结构相对应的,对于大型综合性企业,股权多元化、集团与控股公司、经营板块不同等特点,公司治理本身就很复杂,IT治理的审计不结合公司治理审计,是难以深入的;再如对业务系统的审计,无论是对其应用控制还是使用效果的审计,都离不开对各种业务管理及其内控环节的深入理解和把握,IT审计人员由于业务知识和经验的局限,如果不与业务审计人员配合,无法全面深入进行审计分析,找准问题和缺陷。
另一方面,从业务审计的角度,有些审计领域如果不与IT审计结合,也难以深入分析和准确判断,最明显的领域是信息化环境下对业务流程及内控、对业务数据处理的分析与复核,也就是对业务系统的审计。业务审计人员精通业务内控和数据分析,但是对于业务信息系统了解和掌握不足,尤其像大型ERP这样的复杂系统,难以深入到系统内,检查测试业务控制,进行数据分析复核;加上其他业务审计内容繁重,有意无意忽略了对业务系统的审计。
以ERP系统分析,ERP系统是通过对关键控制点的控制来降低业务流程的风险,在SAP中系统是由采购、库存、生产、销售、财务、工厂维护、成本控制等多个模块高度集成起来的,每一模块都有相应的关键控制点,对企业的生产经营起着至关重要的作用。如供应商主数据中的付款条件和付款方式、价格主数据的价格有效期、各项业务的审批级次、审批权限和容差范围、销售环节的三单匹配、信用控制等,在SAP系统的后台业务配置(SPRO)中有上千个这样的配置参数,既包括了业务控制,也包括前台操作控制(数据输入校验,有效性检查等)。对于这样的复杂业务系统审计,业务审计人员精业务不懂系统,IT审计人员懂系统,不精业务,两者不融合,是无法深入审计的。
在SOX404的内控合规中,已经考虑到IT与业务的融合。对业务系统的应用控制测试(ITAC),不仅融合了业务审计和IT审计内容(表4),而且由业务审计人员和IT审计人员共同完成。
表4 采购系统应用控制审计(部分)
(二)在内部审计中探索和加强IT审计与业务审计融合
基于以上分析,在企业内部审计中可以考虑从如下几方面探索和加强IT审计与业务审计的融合。
1.在制定内部审计计划时协调IT审计和业务审计计划
在制定内控审计、大型生产投资项目审计等业务审计计划时,如果被审对象涉及较多的信息化内容如信息化投资及信息系统等,可同时考虑列入IT审计计划;反过来在制定IT审计计划时,除了IT专项审计项目外,应尽可能在业务审计计划的审计对象中,选定审计立项,使IT审计计划与业务审计计划相匹配。
2.在实施审计项目时业务审计与IT审计协同工作
对于已经同时立项的关联性审计项目,业务审计和IT审计同时同步实施,或组成联合审计组,或者两个审计组协同工作;对于分别立项的审计项目,可以统筹调配审计资源,在业务审计项目组中吸收IT审计人员,在IT审计项目组中吸收业务审计人员,保证审计资源的合理配备。
在现场审计中业务审计与IT审计协同工作。一是合理分配审计任务,提高审计效率。对于IT审计与业务审计有交叉的领域,如信息化投资、项目、采办等内容由IT审计人员完成,业务审计人员不再做重复工作;二是IT审计人员主动关注相关业务审计领域的情况,对于IT审计与业务审计有关联性的领域,如IT治理、信息化组织与规划、信息资产与安全及信息化绩效评估等,IT审计人员要与业务审计人员密切沟通相关业务领域的被审计对象的情况和业务审计关注点,把这部分IT审计的内容放到公司企业管理和内控的大范围中来分析,才能提高IT审计的质量;三是对于业务系统应用控制审计,IT审计与业务审计人员合作完成。业务审计人员负责分析业务管理和流程的状态,在评价业务流程合理性的基础上,列出业务流程中的关键控制点,形成控制测试清单。IT审计人员负责按照系统设计蓝图和功能操作说明,理解和操作业务系统,按照控制测试清单,在系统中找到控制配置或者功能,两者共同分析这些配置或功能,评价其设计的合理性和有效性,然后通过测试数据或检查历史数据,来评价业务系统应用控制执行的有效性。
(三)加强复合型审计人才培养
目前大多数业务审计人员对信息技术和IT审计不太熟悉,IT审计人员对企业经营管理和业务审计知之甚少。对于大型企业来说,内部审计任务重,内部审计人力资源紧缺。在审计项目中,业务审计工作相当繁重,要求业务审计人员专门关注业务系统审计或者参与IT审计,有时有一定困难。因此,培养复合型的审计人才是解决问题的根本办法。
国际内部审计师协会(IIA)在对注册内部审计师(CIA)的资格考试和要求中增加了越来越多的信息技术内容,实际上就是在培养业务审计人员具备必要的信息技术知识和审计能力。同样,我们可以通过培训IT审计人员在企业经营管理、风险和内控管理方面的知识,提高IT审计人员的业务素质和能力。鼓励业务审计人员获得IT审计师资格、IT审计人员获得注册内部审计师资格。通过培养复合型人才,实现IT审计与业务审计的有效融合,不断提高内部审计质量。
总之,企业信息化环境下内部审计工作面临新课题、新挑战,IT审计与业务审计的融合是必然趋势。我们在探索IT审计的同时,要研究IT审计与业务审计融合的领域和方式,加强两者协同和配合,以丰富和深化审计领域,促进内部审计事业的发展。
标签:内部审计论文; 审计计划论文; 业务管理论文; 信息化规划论文; 审计质量论文; 信息化管理论文; 管理审计论文; 审计流程论文; 审计目标论文; 项目分析论文; it审计论文; it治理论文;