集美大學誠毅學院 陳建紅 中國人民銀行泉州中心支行 何雪韻

基于信息系統(tǒng)的風險管理審計

集美大學誠毅學院 陳建紅 中國人民銀行泉州中心支行 何雪韻

一、信息技術(shù)革新對企業(yè)信息系統(tǒng)及內(nèi)部審計的影響

（一）信息技術(shù)革新對信息系統(tǒng)的影響 信息技術(shù)革新正在改變?nèi)蚍秶鷥?nèi)的溝通的性質(zhì)與范圍，消除傳統(tǒng)的組織界限（包括部門之間的內(nèi)部界限以及供應(yīng)商和客戶之間的外部界限），并促進了企業(yè)流程再造。信息技術(shù)的進步和互聯(lián)網(wǎng)的發(fā)展，促進了信息系統(tǒng)的不斷發(fā)展，并被廣泛的運用于企業(yè)的各項經(jīng)濟管理活動，促進了企業(yè)信息的互聯(lián)互通和信息的共享。這樣，信息系統(tǒng)所提供的信息的決策有用性不斷增強。但是，信息技術(shù)的革新也為信息系統(tǒng)帶來巨大的風險：如系統(tǒng)運行錯誤可能迅速導(dǎo)致多種文件、賬簿甚至系統(tǒng)失真，數(shù)據(jù)容易被盜或毀損，程序易被非法調(diào)動甚至篡改。據(jù)美國的一項研究表明，計算機系統(tǒng)的銀行舞弊案造成的損失是手工系統(tǒng)的6倍以上。而且，隨著互聯(lián)網(wǎng)技術(shù)和電子商務(wù)的興起，信息系統(tǒng)更加復(fù)雜化和多樣化。信息系統(tǒng)的風險控制點數(shù)量激增，且監(jiān)控的難度更大。信息和信息系統(tǒng)已經(jīng)成為了企業(yè)的重要資產(chǎn)，是企業(yè)獲得市場競爭力與可持續(xù)發(fā)展能力的重要因素。它們像企業(yè)的其他資產(chǎn)一樣需要對信息系統(tǒng)加以控制和審計，控制信息系統(tǒng)運行的安全和穩(wěn)定，變成了企業(yè)的必然需要。這需要審計人員從企業(yè)組織層面、一般管理層面、業(yè)務(wù)流程層面來識別和分析信息系統(tǒng)風險。這樣基于信息系統(tǒng)的風險管理審計顯得尤為重要。

（二）信息技術(shù)革新對內(nèi)部審計的影響 對于內(nèi)部審計而言，信息技術(shù)革新既帶來了功能強大的工具和方法，又對內(nèi)部審計識別、評估、監(jiān)控企業(yè)風險的活動產(chǎn)生深遠影響。根據(jù)IIA在2002年的調(diào)查，將近49%的內(nèi)部審計人員已將IT結(jié)合到他們所有的檢查中，有83%的內(nèi)部審計人員使用通用審計軟件獲取和分析數(shù)據(jù)（McCollum和Salierno，2003），將近38%和29%的內(nèi)部審計人員分別使用持續(xù)監(jiān)控和連續(xù)審計技術(shù)（IIA，2002，AICPA/CICA，1999）。在很多國家，信息系統(tǒng)審計師（CISA）已發(fā)展成為一種專門的職業(yè)。并且，基于信息技術(shù)的內(nèi)部審計工具與技術(shù)也層出不窮，包括對控制進行測試的測試板技術(shù)、集成測試工具、嵌入式審計模塊和神經(jīng)網(wǎng)絡(luò)等。這從根本上提高了內(nèi)部審計的效率，也為信息系統(tǒng)審計奠定了重要基礎(chǔ)。

從另一角度來說，信息化環(huán)境擴大了內(nèi)部審計需識別、評估和監(jiān)控的風險范圍，并且可能放大源于控制缺陷和其他漏洞的企業(yè)風險。我國2008年頒布的《企業(yè)內(nèi)部控制基本規(guī)范》中明確規(guī)定企業(yè)應(yīng)當運用信息技術(shù)加強內(nèi)部控制，建立與經(jīng)營管理相適應(yīng)的信息系統(tǒng)，促進內(nèi)部控制流程與信息系統(tǒng)的有機結(jié)合，實現(xiàn)對業(yè)務(wù)和事項的自動控制，減少或消除人為操縱因素。這就要求內(nèi)部審計人員加強與會計專業(yè)人員、信息技術(shù)人員和有關(guān)管理人員的交流與融合，通過信息化手段全面提高信息系統(tǒng)運行的效果和效率，滿足組織的戰(zhàn)略目標。

二、信息系統(tǒng)在企業(yè)風險管理中的作用

（一）提供高效的信息溝通渠道 信息與溝通是風險管理框架中的一個要素，其內(nèi)涵是“風險以及風險管理相關(guān)的信息必須以恰當?shù)男问皆谝欢ㄆ陂g內(nèi)傳遞，使得員工、管理層、董事會能夠履行各自的職責?！逼髽I(yè)信息系統(tǒng)作為信息與溝通的載體，能夠有效地追蹤企業(yè)當前正在發(fā)生的風險事項以及已經(jīng)避免的風險事項，并及時將企業(yè)各層面的風險管理情況報告給信息使者，實現(xiàn)較好的上傳下達。如企業(yè)信息系統(tǒng)應(yīng)保證企業(yè)所有員工都能夠收到高層管理人員發(fā)布的風險管理目標、操作指南等信息，并通過適當培訓使其對企業(yè)風險管理的原則形成共同認識，明確自身在風險管理中所扮演的角色、地位；企業(yè)能夠通過建立正常的或者“綠色”通道，便于組織成員與管理層溝通，報告風險管理職責的完成情況、出現(xiàn)的錯誤、例外狀況等；通過信息系統(tǒng)，企業(yè)還能記錄風險管理的全過程，包括管理和控制狀況，生成報告以滿足組織治理的需要。

（二）為整體風險評估提供信息支持 風險評估是做出恰當風險反應(yīng)的依據(jù)，也是將企業(yè)風險管理與企業(yè)戰(zhàn)略相結(jié)合的關(guān)鍵點之一。從某種程度上說，風險評估是一個綜合利用和分析企業(yè)戰(zhàn)略、經(jīng)營環(huán)境、運營活動及其相關(guān)風險等信息的過程。因而，風險評估離不開企業(yè)信息系統(tǒng)的支持：自上而下的信息流，將企業(yè)目標、管理層的風險偏好傳遞到負責風險評估的部門，確定了風險評估的范圍和衡量標準；自下而上的信息流，傳遞匯總了企業(yè)操作層、執(zhí)行層、戰(zhàn)略層面臨的現(xiàn)實風險與潛在風險，形成涵蓋企業(yè)各個業(yè)務(wù)領(lǐng)域、層次的風險全景圖；橫向信息流促進職能部門突破單一視角，對風險的影響范圍與程度形成更為準確地認識與評估。

（三）促進風險管理在各部門間的整合 實施企業(yè)風險管理的一個巨大障礙源于企業(yè)各個職能部門的風險管理活動缺乏整合。例如，人力資源部門僅負責評估人員管理風險——如技能缺乏或者人才流失；生產(chǎn)部門專注于管理產(chǎn)品質(zhì)量缺陷、生產(chǎn)技術(shù)落后導(dǎo)致的風險；銷售部門關(guān)注于管理顧客需求變化、營銷渠道競爭等所帶來的風險；而財會人員則致力于改進財務(wù)報告程序、提高財務(wù)信息質(zhì)量。按照信息系統(tǒng)審計理論中關(guān)于信息系統(tǒng)分解的論述，企業(yè)風險管理人員可以從高層管理、信息系統(tǒng)管理、系統(tǒng)開發(fā)管理、程序設(shè)計管理等幾個方面分析由企業(yè)內(nèi)部管理產(chǎn)生的信息系統(tǒng)風險，結(jié)合企業(yè)具體業(yè)務(wù)進一步分析由信息系統(tǒng)本身產(chǎn)生的風險。信息系統(tǒng)的風險分析，便于風險以及風險的影響信息在不同職能部門間實現(xiàn)傳遞和共享，風險管理人員可以識別不同類型風險存在的內(nèi)在聯(lián)系，區(qū)分重要程度，并與各部門協(xié)作控制與開發(fā)管理風險的方法。

三、風險管理審計對信息系統(tǒng)的審查與評價

（一）評估信息系統(tǒng)的固有風險 信息系統(tǒng)的固有風險通常與信息系統(tǒng)自身的特征以及組織基于戰(zhàn)略目標所選擇的信息技術(shù)水平有關(guān)。信息環(huán)境下的信息系統(tǒng)存在的固有風險包括：信息系統(tǒng)程序容易被非法調(diào)用甚至篡改、信息處理過程和處理權(quán)責的集中化、微縮存儲的數(shù)據(jù)與信息易于被竊取以及計算機設(shè)備的脆弱性等。同時，組織選擇的信息技術(shù)水平也會影響信息系統(tǒng)的固有風險：組織的運行越依賴于系統(tǒng)，固有風險就越高；信息系統(tǒng)為組織創(chuàng)造的競爭優(yōu)勢越大、系統(tǒng)采用的技術(shù)越先進，存在的固有風險越高；企業(yè)員工對信息系統(tǒng)處理結(jié)果的準確性缺乏必要的懷疑也會導(dǎo)致利用信息系統(tǒng)進行舞弊的風險加大。

（二）加強信息系統(tǒng)的控制與評估控制風險（1）加強信息系統(tǒng)的控制。信息系統(tǒng)的控制可以分為一般控制與應(yīng)用控制。一般控制是指由那些在信息系統(tǒng)活動和用戶環(huán)境中對大部分應(yīng)用具有普遍作用的控制組成，具體包括不相容職務(wù)相分離、數(shù)據(jù)安全保護和管理層介入信息系統(tǒng)開發(fā)的控制等。應(yīng)用控制是對信息系統(tǒng)中具體的數(shù)據(jù)處理活動所進行的控制，用于保證特定的處理活動（如工資、應(yīng)收賬款處理）按照管理層制定的規(guī)范運行，且其處理過程準確、及時、完整并得到授權(quán)，具體包括輸入控制、處理控制和輸出控制。（2）評估信息系統(tǒng)的控制風險。內(nèi)部審計人員可以對信息系統(tǒng)面臨的風險及其相對應(yīng)的控制活動進行確認，進而評價控制活動是否足以將風險控制在可接受水平以內(nèi)。表1列示了“非法獲取數(shù)據(jù)與資料”這一風險因素的內(nèi)容及其相應(yīng)的主要控制活動。在信息系統(tǒng)中，常常采用多層次的內(nèi)部控制來降低控制風險。內(nèi)部審計人員應(yīng)綜合考慮這些控制活動是否能夠降低風險的水平。

表1 非法獲取數(shù)據(jù)與資料的風險及其主要控制活動

此外，內(nèi)部審計人員還可以通過矩陣分析法對信息系統(tǒng)控制活動的深度和效率進行檢查。顯然，通過對信息系統(tǒng)控制的持續(xù)測試與審查，風險管理審計能夠盡早發(fā)現(xiàn)信息系統(tǒng)中存在的問題，從而由傳統(tǒng)的事后評價轉(zhuǎn)向事前防范、事中控制，并為降低信息系統(tǒng)風險、改進信息系統(tǒng)控制提供有價值的建議。

（三）為信息系統(tǒng)的安全與控制提供確認 信息系統(tǒng)對企業(yè)運營流程、決策效率和信息質(zhì)量等的深遠影響使得企業(yè)管理層、董事會等利益相關(guān)方迫切地尋求對組織信息系統(tǒng)存在適當?shù)陌踩c控制的確認，而風險管理審計正可以擔當此任。值得注意的是，和在企業(yè)的所有其他領(lǐng)域一樣，信息系統(tǒng)的風險可以加以管理與控制，但是它們無法被徹底消除，因而風險管理審計對信息系統(tǒng)安全與控制的評價必須考慮企業(yè)對風險的容忍程度，控制措施與程序降低風險的程度，并衡量實施的控制是否符合企業(yè)的目標和需求、是否符合成本——效益原則。進一步地，還可以將目前國際公認的最先進、最權(quán)威的安全與信息技術(shù)管理和控制標準COBIT模型做為評價信息系統(tǒng)安全與控制的標準。

四、結(jié)論與展望

信息技術(shù)的發(fā)展與創(chuàng)新極大改變了企業(yè)信息系統(tǒng)的運行模式。其重要價值在于支持組織的業(yè)務(wù)并幫助組織完成總體使命。對內(nèi)部審計而言，信息技術(shù)的應(yīng)用一方面有助于提高內(nèi)部審計的效率，另一方面又擴大了內(nèi)部審計需要識別與監(jiān)控的信息系統(tǒng)相關(guān)風險的范圍?；谛畔⑾到y(tǒng)風險管理審計的任務(wù)就是在信息系統(tǒng)風險管理受控情況評估分析的基礎(chǔ)上，內(nèi)部審計人員綜合考慮企業(yè)整體組織目標和信息系統(tǒng)的風險可接受水平，收集并評估證據(jù)，對現(xiàn)有信息系統(tǒng)整個流程設(shè)計的有效性、運行效果的好壞作出整體評價，進而對于幫助組織目標的實現(xiàn)程度上進行審查和評估，并最終報告相關(guān)的信息使用者。此外，風險管理審計還強調(diào)監(jiān)控的即時性、連續(xù)性和互動性，與企業(yè)風險管理過程同步進行，并伴隨信息系統(tǒng)生命周期的始終。對于需要改進的問題，審計人員應(yīng)追溯根源，圍繞風險管理策略、風險管理流程、風險管理人員、風險管理技術(shù)和風險相關(guān)信息五個基礎(chǔ)方面發(fā)現(xiàn)問題，解決問題，從深層次厘清信息系統(tǒng)風險管理存在的問題。這一方面可幫助風險管理人員更好地制定風險應(yīng)對策略，另一方面可促進企業(yè)根據(jù)個性化要求進行企業(yè)信息系統(tǒng)的開發(fā)、升級，將信息系統(tǒng)的風險管理由傳統(tǒng)的消極避讓轉(zhuǎn)向積極應(yīng)對。最終，采用風險管理的理念，全面認識和把握信息系統(tǒng)風險和信息系統(tǒng)審計內(nèi)容，才能發(fā)揮信息系統(tǒng)的風險管理審計促進IS為組織實現(xiàn)更好的“價值增值”。

［1］孫強：《信息系統(tǒng)審計：安全、風險管理和控制》，機械工業(yè)出版社2003年版。

（編輯 袁露芬）