信息风险管理在现代风险导向审计中的应用
随着计算机信息技术在经营管理、财务管理、会计核算等领域应用程度的不断提高,信息系统的安全性、可靠性与其所服务的组织所面临的经营风险的联系越来越紧密,直接或间接地影响到财务报表的真实、公允。虽然目前审计实务界正在进行计算机审计的探索和尝试,为此也开发了一些计算机审计软件,然而单纯对被审计单位的电子财务、业务数据进行处理的计算机审计手段和技术,已经无法满足评估被审计单位战略经营风险、测试与评价内部控制的需要,从而无法进行真正意义上的现代风险导向模式的审计业务。
本文以毕马威国际会计公司的“经营计量程序”审计方法体系下的四个财务审计基本流程为基础,对现代风险导向审计模式下如何将被审计单位的计算机信息系统纳入考虑范围、对与计算机信息系统的可用性、保密性、完整性、有效性等有关的风险因素如何进行了解和评估作一介绍。这些涉及被审计客户计算机信息系统的一系列步骤在毕马威被称之为“信息风险管理(Information Risk Management,简称IRM)”,由专门成立的专家小组负责实施,使用风险分析模块、IT资源管理评估问卷(ITCR)、IT风险管理基准程序(ITRMB)、系统综合与控制方法(SIC)、经营环节分析(BPA)等IRM工具。财务审计基本流程的阶段不同,IRM的介入方式、内容以及给审计增加的价值也有所不同。如下图所示:
一、项目说明阶段
由于IT在企业经营活动各个环节的广泛应用,为了了解并评估总体经营风险,审计组在项目说明阶段需要鉴别与IT相关的风险,通过预备会议的集体讨论和“头脑风暴”设定IRM的特定目标。主要涉及:更新审计组对IT系统和IT战略(包括对经营的影响)的了解;分析被审计单位与电子商务有关的情况,属于.com公司还是传统业务处于转换中的公司;考虑新系统的影响,包括对业务人员和内勤人员的影响;探索面临的IT问题和风险及其对审计的潜在影响;讨论在IT及电子信息相关的风险方面的发现;评价IT对经营环节的影响;制定IRM在战略分析阶段的参与计划;列出IRM在环节分析阶段的介入内容。
二、战略分析阶段
(一)了解企业经营情况
通过了解企业的运营环境和潜在的解决办法,IRM专家可以帮助审计组确定风险的性质和程度。
1.针对经营目标和相关战略:由于是否使用信息技术日渐成为企业经营驱动器的一个部分,例如很多物流企业越来越有必要对提供在线提货服务的竞争对手作出反应,因此,对由此可能导致的风险以及对财务报表的影响的理解显得尤为重要。
2.针对经营控制环境:为了达到了解计算机信息系统环境的目的,IRM专家需要了解并考虑的风险因素有:
IRM专家应该在了解并质询管理层对风险的评估后,根据企业的风险水平来评估经营控制,评价与计算机有关的环境,然后必须将与IT相关的经营控制环境方面的薄弱环节与对财务报表的潜在影响联系起来。
3.针对核心与资源管理过程:越来越多地使用具有相容功能的集成应用程序,为IRM专家提供了一个协助审计组了解核心与资源管理过程的机会。全球化组织正在利用这些应用程序带来的机会来开发和实施通用程序,这些程序经常借助IT在分布于几个国家或地区的数家企业之间实现信息分割。
(二)了解战略经营风险
IRM专家在此阶段的作用是帮助审计组描述在前一阶段收集到的信息。通过他们对技术环境和当前发展情况的了解,专家应该能鉴别:当企业对市场变化未作出反应时,附属于外部因素的风险;当对新技术的变化、依赖或使用失去监控,可能意味着放弃优势时的战略管理过程;当评估经营控制环境时要考虑的因素,如在电子商务环境下,有必要考虑企业的经营环节是否有能力提供充分的审计证据。
(三)鉴别财务报表寓意
IRM专家在审计组工作期间,可以帮助分析产生与IT有关的影响的情况。例如:系统实施失败,意味着可能发生会计记录丢失的情况,有必要调查是否引起持续经营问题;对市场新技术的使用未作出反应,导致资产贬值;合法性问题未得到充分解决,导致或有负债和索赔诉讼;由企业维护的用来公布财务报告的网站的正直性。
(四)选择主要经营环节并制定环节分析阶段的计划
IRM专家可以帮助确定主要环节并对其潜在的复杂性以及全球化管理提出建议确定最佳方法。
(五)IRM专家介入环节分析的触发器
下列“诊断表”的目的是帮助审计组确定被审计单位的经营环节中存在的问题。这些触发器有助于确定审计的范围和重点。审计组成员也可以在整个环节分析阶段紧记这些触发器,因为可能有必要修订最初的审计方案并采取后续措施。
三、环节分析阶段
IRM在环节分析中的潜在作用包括追踪在“诊断表”中确定的特定问题、关注系统设计和实施等。
(一)了解经营环节的实施
IRM专家将与审计组一起评估信息技术的使用可能带来的新的风险,以及作为经营环节层次的经营风险的控制手段,考虑诸如:使用电子贸易技术的程度;使用具有既定控制特征的著名的软件包。
(二)了解剩余经营风险
在电子商务环境里,IRM专家将帮助确定交易的完整性是如何通过数据记录来维持的。对于由复杂的IT软件包(例如SAP,JDEdwards)支持的环节,要考虑测试控制的最恰当的技术。通过将经营环节分析方法扩展应用于剩余风险阶段,IRM专家可以帮助审计组确定环节的有效性。通过运用详细的应用程序知识,专家不仅可以与审计组一起确定剩余经营风险,而且可以对改进潜在的控制提供增值意见。 [page]
(三)了解财务报表风险并测试控制
IRM专家将在确定控制测试最恰当和最有效的方法上提供支持和帮助,这将涉及再执行技术的运用或者嵌入式报告写作工具。他们可以利用对环节以及支持这些环节的计算机信息系统的了解,在对恰当和有效的审计程序制定计划时提供建议。
四、剩余审计程序和审计报告
剩余审计程序的执行一般不属于IRM介入的范围。审计组发现的对经营或审计具有重大影响的IT问题,将在管理层报告中向被审计单位报告。报告起草时,IRM专家组成员负责对有关内容的措词进行审查。
国际会计公司的信息风险管理与现代风险导向审计方法的结合,带给我们很多思考和启发。随着信息科技日趋复杂和多元化,尤其是互联网和电子商务的兴起,传统的控制、管理、检查和审计技术都将受到巨大的冲击。除了为财务审计提供支持和服务,IRM还将扩大到进行ERP系统实施审查、IT项目风险管理、网誉或系统认证、系统安全审查、IT治理和内控审计等领域,即全面的信息系统审计。可以预见,未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展。这一切将使审计人员面临新的挑战,迫切需要建设一支既具备全面的计算机软、硬件知识,对网络和系统安全有独特的敏感性,又能深刻理解被审计单位财务会计和内部控制的复合型人才队伍。为了适应审计信息化环境的不断变化,国家审计必须转变传统的审计思维方式和技术模式,提高自身的整体的信息化素质,实现计算机技术与审计业务的逐步“融合”。
