企业内部控制审计信息化风险与应对策略研究,本文主要内容关键词为:内部控制论文,风险论文,应对策略论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
我国企业实施内部控制审计信息化是经济全球化和国际化的发展趋势,企业内部控制审计信息化是完善审计体系的内在要求,是企业适应新形势下外部竞争的必然选择。信息化是决定企业成败的关键因素,也是企业实现跨行业、跨所有制、跨地区乃至跨国拓展业务的重要基础。信息化技术在减少人工工作量、提升工作效率的同时,也蕴含了诸多风险。企业内部审计作为公司治理的四大基石之一,在内部控制审计领域将发挥巨大作用。企业如何迎接这一信息化浪潮所带来的机遇和挑战,将对社会经济、公司治理和企业竞争力等方面产生广泛而深远的影响,对企业内部审计信息化问题展开研究,具有重要的现实意义。曹燕、常京萍(2010)对企业内部审计信息化战略进行了研究,提出应制定内部审计信息化发展规划,提升内部审计信息化在企业信息化管理框架中的层次,构建个性化的内部审计网络系统,培养满足审计信息化要求的复合型人才,为我国推进内部审计信息化提供了实践参考。随着我国企业内部控制规范体系的实施,自2012年开始,上市公司必须对内部控制进行评价披露,并聘请注册会计师对内部控制进行审计,企业内部控制审计信息化成为难点和热点问题。 企业实施内部控制审计信息化,重点在于对信息系统进行审计。这里的信息系统,是指企业利用计算机技术和通讯技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。审计人员对企业特定基准日信息化环境下的内部控制设计与运行的有效性进行审计,并对其有效性发表意见。内部控制审计信息化是审计信息化的一个重要组成部分,所谓审计信息化就是在运用以电子计算机为代表的现代化数据处理工具时,被审计对象进行财务工作和经营时,审计人员为了实现其审计目的,收集必要的审计证据,采取必要的审计程序,对企业运营的合规性以及利用计算机以及网络生成的财务信息进行审计的工作。广义的信息化环境下的内部控制审计业务包括计算机内部审计所涉及的所有内容,即计算机系统内部控制制度审计、计算机系统程序审计、计算机系统数据文件审计、计算机系统开发审计、计算机辅助内部审计、网络系统审计、计算机舞弊的控制和审计。狭义的信息化环境下的内部控制审计业务主要包括计算机系统内部控制制度审计、计算机舞弊的控制与审计。本文基于信息化视角,分析企业实施内部控制审计信息化所面临的风险,并从内部控制制度、系统建设、人员素质和风险评估体系等多维度对风险因子进行思考,并提出相应的风险应对策略。 二、企业实施内部控制审计信息化存在的风险 企业实现内部控制审计信息化后,提升了企业信息系统的运行效率,减少了运营成本,提高了企业人员的综合素质,顺应了时代发展的趋势。然而,事物都有两面性。内审信息化的实施也给企业带来了更多更大的新问题,只有充分认识和解决这些问题,企业的信息化才能健康、快速带动企业的全面发展。 (一)企业战略目标在信息系统的传达过程中可能产生偏移风险 企业战略目标已经成为决定企业竞争成败的关键与核心问题之一。面对复杂多变的经营环境和风险价值网络,以及信息技术自身的安全性问题,企业战略目标在信息系统传达过程中可能产生偏移风险。会计信息系统、人力资源信息系统、社会责任信息系统、采购信息系统、生产加工信息系统、销售及售后信息系统、客户关系管理系统、投融资信息系统、内部审计信息系统等各子系统错综复杂,相互牵涉。一旦某个环节出现重大缺陷或舞弊,会波及其他相关系统,信息化条件下的内部控制风险被放大。因此,企业内部控制及其审计由以前的“内部控制导向”向“风险导向”转变与发展(李晋蓉,2002),风险成为企业实施内部控制审计必须考虑的问题。内部控制信息化水平越高,人对系统的依赖性就越大,一旦系统与企业战略不匹配,或者企业战略发生调整,而系统没有及时更新,那么,企业战略目标在信息系统的传达过程中就容易产生偏移风险。 (二)审计人员在信息化条件下的能力表现不足 内部控制审计信息化对审计人员的独立性和专业能力要求很高,但实际情况是,对于注册会计师审计而言,由于审计委托关系的错位,审计独立性受到严重影响,审计结果不客观、不公允的情况时有发生。对于内部审计而言,许多单位的内部控制和审计隶属于财务部门,独立性差,审计人员也是兼职的,职业胜任能力欠缺。无论是注册会计师还是内部审计师,大部分都是财会专业出身,也就是比较擅长于财务报表审计和与财务报表相关的内部控制审计,对于非财务内部控制审计和信息系统审计,缺乏从事信息化内部控制审计所需的知识、技能和经验,审计人员在信息化条件下的能力表现不足,审计风险巨大。 (三)企业内部控制系统的信息化增加了内部控制审计难度 企业内部控制的信息化必将带来内部控制审计的信息化。我国企业内部控制审计信息化增加了内部控制审计的难度,主要体现为以下五个方面: 1.控制环境的突变。虽然信息技术使企业内部控制管理层级明显减少,岗位更加精简,不仅改变了传统手工数据处理方式,而且触发了企业管理模式、生产方式、交易方式、作业流程的重大变革,但是信息化对企业管理者的素质提出了更高的要求。从实际操作来看,从内部控制审计人员到管理者,短期内员工必然对信息化的应用不太适应,有些老一辈领导甚至不太重视企业内部控制信息化。信息化推动企业组织架构的扁平化变革,人与人之间的当面交流减少,大量的业务处理都在系统内完成,信息化的控制环境下,道德风险和逆向选择行为发生的概率增大。 2.风险评估过程的系统危害。在企业信息化环境下,企业各项事务对计算机系统的依赖与日俱增,一旦某个环节出现问题,该类错误将会被无限次复制和传播,从而带来更大的危害。信息系统越复杂,发生系统性风险的可能性越大。业务流程的自动化虽然降低了业务处理过程中人员疏漏或单独舞弊的风险,但是如果信息化系统失灵或崩溃,重要信息被窃取,都将给企业带来不可估量的损失。因此,信息化环境下,风险变得更加复杂,相应的危害性也更为严重。 3.控制活动的难度加大。控制活动是企业为了保证各项指令得到实施而制定并执行的控制政策和程序,是针对实现组织目标所涉及的风险而采取的必要防范或减少损失的措施。随着计算机使用范围的扩大,利用计算机越权参与企业生产经营活动,从而导致贪污、舞弊、诈骗等犯罪活动有所增加,各种木马程序、病毒都对信息化内部控制审计构成挑战。控制活动涉及面更宽,包括计算机系统、人机交互系统、手工操作系统,控制活动难度加大。 4.信息与沟通的多向性。一个良好的信息沟通系统不仅要有向下的沟通管道,还应有向上的、横向的以及与外界的信息沟通管道。企业应建立多方向信息沟通机制,利用多方的工作成果,减少重复性的工作,节约资源;同时,沟通的过程也是不断交流学习的过程,可以提高工作效率。因此,要让企业全体人员尽快从手工状态下的单一沟通机制转到信息化条件下的多向沟通机制中来。信息化手段在提高沟通效率的同时,也带来沟通风险。其一,信息化所生成的海量数据,使得信息冗余也可能掩盖重要信息,不利于决策参考;其二,如果信息与沟通环节控制不当,或者控制被突破,重要信息泄密后立即大范围扩散,可能对企业造成重大不利影响。 5.内部控制监督机构形同虚设。我国内部控制起步较晚,发展较为缓慢。内部控制形式重于实质,公司治理不良,风险意识薄弱,导致弊端丛生。于是,很多设计精良的控制系统往往会流于形式。信息化在减少人为操作风险、提高效率的同时,对流程进行了固化,对权力进行了制约。企业领导层一旦绕过信息化系统进行审批执行,信息系统内嵌的监督功能将会被搁浅,监督机构由于权限和独立性不高,也难以对管理层权力进行有效约束。 (四)内部控制审计信息化下面临的风险存在行业差异 不同行业对信息资源的应用层次是不一样的,第一层次是最基本的数据数字化,这一层渗透率比较高,基本囊括了所有的行业,从小微企业到大中型企业,无不享受着信息化带来的方便,但是,这一层次基本停留在用机器替代手工,以此来提高效率。第二个层次是数据联网化,这一层次主要是一些金融企业、商务网络平台,以及社交网站等,他们有能力去应用和维护。第三个层次是智能化。处于这一层次的一般都是走在科技前沿的行业,如通信、软件、手机行业等,他们拥有人、财、物等资源,有实力去开发和推广,并引领时代潮流。由于不同行业的不同生产环节、不同的生活领域,信息化渗透程度都不一样,因此,不同行业在实施内部控制审计信息化时应充分考虑行业整体应用层次,以此来匹配和适应行业信息化的大发展。可见,在信息化条件下,不同行业面临的内部控制审计风险也存在差异。 三、内部控制审计信息化风险的应对策略 企业内部控制审计信息化降低了一些传统风险,例如信息口径不统一、信息手工处理错误及效率低下等,但同时也增加了许多新的风险,例如安全性风险、信息系统依赖性风险。换言之,也就是信息化导致内部控制审计风险从一种形态演化为另一种形态。如何应对?本文拟从制度建设、设计研发、信息系统改进、人员胜任能力提升和夯实审计防线等方面进行论述。 (一)相关法律规范及企业内部控制制度体系的完善 国家层面,组织力量进一步完善《企业内部控制基本规范》,以及应用指引、评价指引和审计指引,出台分行业操作指南,积极推动企业开展内部控制信息化和内部控制审计信息化。基于信息化的中长期规划,支持大型企业研发内部控制审计软件及构建网络平台。财政部2013年12月印发了我国首个分行业的内部控制操作指南——《石油石化行业内部控制操作指南》(财会[2013]31号)(以下简称“指南”),要求加强信息沟通与信息化建设,建立与经营管理相适应的信息系统,逐步运用于内部控制活动的各业务流程中。“指南”第五章“信息系统内部控制的应用与保障”涉及信息系统的开发与应用、安全与保障,对信息系统的“监督检查”进行了规定,为推进我国石油石化行业内部控制信息化及内部控制审计信息化工作提供了依据和参考。目前,除了石油石化和电力行业外,其他行业的内部控制操作指南尚未出台,建议选取一批典型行业加以研发,例如医疗行业、食品行业、汽车行业等,逐步推出分行业内部控制操作指南试行版,为社会提供一个讨论、参考的范本,通过政策引导、理论研究和实践应用等方式,加快我国企业内部控制审计信息化进程。 企业层面,密切配合国家政策及法制导向,结合行业特点、企业实际情况和未来发展战略,建立信息化内部控制及其审计制度,完善风险管理机制,为应对内部控制审计信息化风险提供制度支持。我国大多数企业还没有形成统一高效的信息系统,业务上线水平低,存在大量信息孤岛,不能发挥信息化在管理上的支持作用。世界一流企业基本实现了信息化,我国企业要向世界一流企业“取经”,汲取成功经验,总结失败教训,发挥内部控制审计信息化建设的后发优势,努力提高我国企业管理经营的信息化水平。从事跨国经营企业,更应着眼世界,尽早实现全球一体联网运行,运用信息化手段提升内部控制质量和内部控制审计效率,降低营运成本。吕敏康等(2012)初步设计出一个基于知识库的内部控制专家系统模型,建立了一套基于工作分解结构方法、XML/XBRL和知识库技术的系统构建方法,为内部控制信息化落地提供了一个可行的方案。 (二)特别强调在信息系统的研发阶段对内部控制健全性进行审计 计算机系统的内部控制大部分和系统程序密切结合,内部控制功能被植入到计算机程序之中,构成数据处理的有机组成部分,一旦系统程序投入使用,其内部控制功能随即被确定,而且不容易得到纠正(贺志东,2014)。因此,信息化环境下对内部控制的审计,特别强调在系统的设计和开发阶段就对内部控制的健全性进行检查和评估。内部控制一旦被固化到信息化流程,就会被锁死,除非有授权可以对其进行修改。但增加控制环节,无疑就增加了控制风险。因此,信息系统在设计和开发的阶段,应该对重要控制节点是否需要固化,以及修改非固化控制所需的授权策略等给予充分考虑,如果某些控制节点风险过大,或使用信息化控制成本很高,或控制修改情况变化过于频繁,可以考虑手工控制形式,而不必使用信息化控制手段。 此外,必须明确,企业不可能完全依靠信息化来解决一切问题。单一的信息化内部控制系统本身就是不健全的,内部控制自身有诸多局限性,也可能失效,因为总有些例外情况游离在信息系统之外,而系统缺乏回应,需要启动应急预案或例外控制机制。信息化必须融合人本战略、人本文化和人本控制,方能起到事半功倍的作用。计算机不能代替人对突发事件进行全面判断,因此,企业如果仅仅实施单一的信息化策略,必然会为企业日后遭遇重大风险埋下伏笔。企业内部控制框架由风险治理向人本治理演进是必然趋势(王海兵,2011),企业需要利用信息化,但不能完全依赖信息化,信息化只是控制的手段和形式,围绕人的利益和诉求才是控制的实质内容。要在信息系统中嵌入人本控制,把最终的控制重心落实到人,而不是完全交给机器。 (三)提升内部控制审计信息系统的风险防范能力 当今,企业所面临的环境十分严峻,传统的只考虑企业内部经营环境的时代已不复存在,企业要想在竞争中胜出,就要充分识别诸多外部因素,如社会整体经济走势、行业涉及领域的宽泛性、市场的供求关系均衡性、自然灾害等,推行全面风险管理,为内部控制审计信息化的实施创造良好的环境(吴寿元,2012)。 1.实施基于环境风险评估的企业战略内部控制审计。传统内部控制审计对环境的分析是基于风险评估的需要,体现风险导向,而不能体现价值导向,不够全面,全面内控审计的未来发展方向应该是包含防范和化解风险的价值导向的全面内控审计(李明辉,2004)。战略是为了应对环境变化所带来的机会(价值)或威胁(风险)而采取的策略,战略内部控制是内部控制窗口向战略层次延伸所形成的内部控制体系,能够体现内部控制的战略意图。因此,实施基于环境风险评估的企业战略内部控制审计,包含了内部控制风险审计和内部控制价值审计。企业面临的内外部环境风险很多,对内部控制系统造成重大影响的风险包括战略风险、财务风险、市场风险、运营风险、法律风险,以及信息化本身所蕴含的安全风险。战略风险对信息化内部控制审计产生重大影响,内部审计需要对内部控制及其信息化与企业战略的耦合性进行评价,即在实施信息化审计时,必须考虑战略管理审计。在充分识别企业所面临的内外部环境后,便需对环境进行客观的评价。首先运用大环境分析法(PESTEL)、态势分析法(SWOT)等方法科学设置企业战略目标,然后运用平衡计分卡(BSC)、戴明环(PDCA)循环等将目标细分和具体化,再对其进行深入分析,从而确定环境风险程度以及企业在竞争中所处的优劣势,进而指导企业下一步的工作部署。 信息化不只是单纯的技术,而是融入了战略思维的平台,是战略推进的利器。战略问题确定了,才能明确内部控制审计信息化当中的“主要矛盾”和“矛盾的主要方面”,风险管控才可能有的放矢。对于关键的能够体现战略意图的控制节点,需要在信息化的内部控制系统中加以考虑,以参数和授权等形式来设置“战略阀门”。例如实施差异化战略的企业,需要强化其研发内部控制审计模块,这是“主要矛盾”和核心问题,其他环节甚至可以通过外包、战略联盟等形式去实现。研发投入占收入比、研发人员数量和质量、研发成功率、研发成果转化率等都是关键的参数,这是“矛盾的主要方面”和关键因素,对这些参数进行密切监控,能够有效控制重大研发风险,从而为差异化战略提供支持。同理,实施成本领先战略的企业,更重视采购和生产成本的降低,信息化内部控制审计的重心和差异化战略显著不同。因此,战略的微小调整都应该导入到信息系统,通过修改或调节“战略阀门”来实现。因此,企业实施内部控制审计信息化必须先行制定科学合理的战略,以战略来引领和推动内部控制审计信息化。 2.加强内部控制系统的安全性监视。内部控制信息化在提高信息生成和传播速度、扩大信息共享面、提高信息利用效能方面表现优异,但如果安全防护措施不当,也可能带来被删除、篡改和非法利用的风险。内部控制信息化带来的安全风险源于信息生成、加工、分析、整合、传播和应用的快捷性、多元性和无形性,因此,要求信息系统在设计过程中必须合理设置数据防火墙和功能安全密钥,并提供数据的应急管理方案和自动备份策略,保留数据修改和下载痕迹(杨蓉,2012),一方面可以减少内部控制舞弊,同时为信息化内部控制审计取证提供支持。因此,加强信息化内部控制系统的安全性监视能够提升内部控制审计系统的风险防范能力。 信息化环境下的内部控制系统(ICS)是以COSO风险管理框架和相关内部控制基本规范与配套指引为理论基础的内部控制信息化管理系统。企业建立了内部控制体系,设计了规范的内部控制流程,如果在实际工作中得不到执行,那么设计的内部控制制度也将是一纸空文。作为内部控制审计管理者,更应该熟知内部控制系统的整个流程,识别系统中的安全隐患,实现内部控制体系的规范化与精益化监督和管理。 信息化环境下,加强内部控制系统安全性监测的具体措施,一是内部控制测试,将测试程序及方法转换为监控规则,通过系统实现自动取证,使内部控制测试工作日常化,自动生成统一格式的测试工作底稿,规范测试工作过程。二是内部控制评价,基于评价指标以项目的形式制定评价工作方案,利用多种测评方法开展评价工作,自动生成统一格式的评价工作底稿与评价报告,规范内部控制评价流程。三是缺陷管理,通过对内部控制设计缺陷和运行缺陷的识别、分析、报告,建立闭环的内部控制改进机制,持续跟踪优化内部控制管理体系。四是流程监控,通过ICS与相关业务系统的高度集成,以内部控制流程为标准,对业务流程进行实时监控,自动报告问题,触发异常问题处理机制,大大减少手工测试工作量。五是内部控制地图,提供多角度、多形式的内部控制地图,根据需要快速、直观地显示内部控制运行实况,帮助管理者全面及时掌握企业内部控制动态。企业实施内部控制审计信息化的风险存在于整个流程中,要对其进行事前、事中、事后的全程审计监督。具体案例中,审计人员需根据实际情况选择一种或多种测试方法,对内部控制系统中的安全性进行全程监控,为企业内部控制审计信息化的有序实施提供保障。 (四)采取预防性的总体应对措施 总体应对措施能够有效降低企业内部控制审计信息化风险,主要包括建立与信息化环境相适应的组织架构、提高内部控制审计人员的专业胜任能力等方面。 1.建立与信息化环境相适应的组织架构。组织架构是内部控制的重要环境因素之一,而且对风险评估、控制活动、信息与沟通、内部监督等具有重要影响。建立与信息化环境相适应的组织架构,要求企业基于信息化需求,对治理结构、岗位设置、业务流程等进行革新或优化。企业应当具有明晰的组织结构,并合理设置职能部门,考虑信息化技术优势,精简治理层级,提升监督效能。通过信息化手段,充分发挥内部控制的监督机制,这样才有利于科学决策和规范运行(郑洁、贺正楚,2005)。 2.相关人员执行能力的有效评价。优秀的员工素质是良好的内部控制环境的构成要素,评价内部审计人员、内部控制评价人员和其他相关人员的专业胜任能力和客观性,可以有效地降低内部控制审计风险。在评价他人的专业胜任能力时,外部审计人员应当考虑其专业资格、职业经验与技能等相关因素。在评价他人的客观性时,外部审计人员应当考虑是否存在削弱或者增强其客观性的因素(吴水澎,2000)。 实施信息化内部控制审计过程中,强化人机整合可以加强对企业业务流程、管理和决策的控制(王智玉,2011)。对审计人员自身执行能力而言,由于其面对的是相互关联的一系列复杂程序和海量数据,穿行测试和分析程序将是诊断风险、发现控制缺陷的有效审计方法,能否熟练运用这些方法是影响审计效率和效果的重要因素。 3.相关人员专业技能的再深造。加强对在职审计人员信息化应用水平的培训,提高内部控制人员的专业胜任能力,同时加快与财经类高校的合作与交流,培养社会所需的复合型知识结构的审计系统开发人员,使他们成为信息化条件下内部控制审计的专业技术人员。对企业所面临的内外部环境如行业、经营状况以及市场等进行全面风险评估,不断提高执业人员信息化内部控制审计的知识、技能和经验,重点掌握战略与风险管理、信息化技术、内部控制、云审计、COBIT审计标准等。 还可以考虑引入激励与约束机制对相关人员的执业风险进行控制,从而倒逼相关人员不断改进自身职业水准,将其所提供服务的质量维持在一定水平之上,将风险控制在一定水平下。由于对EDI及ERP等信息系统的依赖性加重,全球都积极建立了更多有关信息系统审计的规定,以国际性银行为例,员工的激励性薪酬是很高的,但若因不良备份及复原程序而无法提供适当的服务水准,公司及员工将受到严重的处罚(陈朝,2006)。对于审计人员而言,内部控制审计的价值和风险就是两条无形的标准,它能有效地保护审计人员及相关各方的利益,监督企业管理层和员工积极有效地开展内部控制活动。 (五)构筑并夯实信息化环境下风险防控的三道防线 企业风险防控有三道防线:业务层面风险防控为第一道防线,管理层面风险防控为第二道防线,内部审计是第三道防线。著名的巴林银行倒闭案,既有用人不当(人力资源控制失效)的原因,也与信息系统内部审计成果未得到重视和利用有关。操作员里森违规操盘掩盖失误,没有从业务层面降低风险,此为第一道风险防线失控;总部分配给里森的记录错误的账号“88888”只有授权,在通知里森启用总部账号“99905”之际,并没有冻结“88888”,而且里森身兼交易与清算二职,这就给里森利用这个不受监控的账户进行舞弊以可乘之机,总部的决策授权存在很大问题,里森这一执行层面也严重违背内部控制的制衡性原则,风险管理存在重大漏洞,此为第二道风险防线失控;撇开里森个人的职业道德和职业胜任能力不说,更可悲的是,内部审计报告中记录了里森前台交易和后台清算两职合一的情形,但未得到总部重视,由此,巴林银行一路畅通无阻地走向了破产的深渊。内部审计成果的有效利用可以改进内部控制。对内部控制审计成果的不重视、不利用,必然形成内部控制审计信息化的重大风险,甚至摧毁一个企业。惨痛的教训警示我们,构筑并夯实信息化环境下风险防控的三道防线,是维系企业正常运转的基石。 企业实行内部控制审计信息化是企业顺应大数据时代发展的需要,也是企业内部控制审计走上规范化、信息化的需要。审计信息化会导致对审计组织方式的触动和对审计机构调整的需求,应在需要和可能之间寻求适度妥协,以足够的耐心,等待酝酿中的突破和外部环境的演变(骆良彬、张白.2008)。目前,我国企业内部控制审计信息化虽正处在初级阶段,但财政部等五部委颁布并在上市公司实施的《企业内部控制基本规范》和包括审计指引在内的配套指引,以及目前正在积极开发和征求意见的分行业操作指南,为企业内部控制建设注入了强大的推动力,企业内部控制及其审计从幕后走向前台。随着社会经济的快速发展以及企业参与国际国内市场竞争的加剧,许多大型跨国企业和上市集团公司开始实施ERP和SAP工程,这将为企业实施内部控制审计信息化提供平台支持。在政府的政策引导和积极推动下,在社会各界的关注和支持下,以及在企业自身战略目标驱动和风险管理协同下,企业内部控制审计信息化建设一定会迎来春天。标签:内部控制论文; 内部审计论文; 企业内部控制评价指引论文; 风险应对策略论文; 审计软件论文; 信息化管理论文; 控制环境论文; 信息化规划论文; 风险评价论文; 内部控制缺陷论文; 国家信息化发展战略论文; 审计质量论文; 战略控制论文; 审计方法论文; 沟通管理论文; 系统评价论文; 过程能力论文; 审计目的论文; 审计流程论文; 信息系统规划论文;