處於信息時代的企業🐭,業務經營活動、各種數據傳遞以及財務報告的產生與傳遞越來越多地依賴IT系統的自動化處理。自動化過程給企業帶來效率的同時也帶來控製風險。為了防範這些風險🖍,現代企業的內部控製體系亟需包含基於IT系統的內部控製政策與程序🫗。
在PCAOB(美國公眾會計監管委員會)審計標準Ⅱ中也特別指出9️⃣,IT控製設計很重要,不可低估控製設計在整個IT控製環境中的重要性,並強調IT控製能有力地支持整個內部控製環境👰。該標準又進一步指出👍🏻:公司整體內部控製系統的有效性依賴於“其他控製是否有效”(指的是控製環境或IT一般控製的有效性)🫲。 因此🤲🏽,理解IT控製與IT控製體系設計的相關理念,成為企業必備的重要能力😯。
首先🧑🏻🎤,我們定義IT控製是由期望達到的(IT控製目標)和達到這些目標的方法(控製程序)構成。IT控製目標是指通過對具體的IT活動實施控製程序,以達到期望結果或目的的總體描述★。可見,事實上,有效的IT控製設計與實施指明了一個組織將信息技術條件下的風險降至可接受水平的途徑🤾。這裏IT風險指的是IT使企業不能實現其經營目標的風險🧄👩🏼🍼。
然後,我們從人員職責、IT控製的構成和IT控製對象這三個角度來理解IT控製的外延🔘:
1.從人員職責角度看:首先是以下三類人員的職責🧑🏻🚀:
管理層——主要職責是確保控製存在並有效運行,為運營目標和控製目標的實現提供合理保證;
低層管理者與員工——主要職責是執行控製👩🏿🦲;
審計師——主要職責是對控製的正確性進行評估🙋🏽♂️、提供改進建議及保證聲明🤹🏼♂️。
2.從IT控製的構成角度看:IT控製包括IT控製環境⛵️🧙🏼♀️、IT一般控製🪘📣、IT應用控製。
3.從IT控製對象與範圍看:IT控製對象包括企業IT生命周期的所有流程🧗♀️。
實現IT控製👨🏽🏭,中國企業需要應對三大挑戰
國內企業信息化建設速度越來越快,信息化水平越來越高,業務與財務報告流程對IT的依賴程度也隨之越來越高🙆🏼♀️。對大多數企業而言🚰🟨,運用整合的ERP系統,或綜合運用各種經營管理、財務管理方面的軟件,已經成為財務報告系統強有力的支持🥉🚙。
隨著薩班斯法案的出臺,財務報告的內部控製幾乎離不開IT控製,即使業務層面的管理控製也是IT支撐環境下的控製💅🏼。但是,信息技術是一把雙刃劍,其潛在風險也越來越大😧,企業在建立有效的IT控製✌🏽,以保證財務報告的有效性方面正面臨著巨大的挑戰。
但是,目前國內企業的內部控製體系多為傳統的會計控製及管理控製,對IT控製缺少系統的考慮,企業的IT控製面臨三大挑戰。
挑戰之一✏️:CIO缺乏內部控製理論與實踐。
以薩班斯法案的要求來說明🦸🏿♀️,404條款的遵照執行有四個階段:1.公司應製定內部控製詳細目錄,確定內部控製是否足夠🌲🤸🏻♂️,然後將這些控製與諸如COSO之類的內部控製框架進行對照; 2.公司被要求記錄控製措施評估方式🧚🏼♀️💟,以及未來將用來彌補控製缺陷的政策和流程(如果有的話); 3.公司必須進行測試工作👍,以確保控製措施和補救手段起到預期作用; 4.管理層必須將前述三個階段的各項活動情況匯總成一份正式的評估報告。
法案的要求使很多人認為,IT專業人士應該對其負責的IT系統所產生的信息質量及完整性負責,但問題在於👰🏿♀️,大多數IT專業人士對復雜的內部控製並不精通或了解,因此難負其責。盡管不能說IT人員沒有參與風險管理,但至少IT管理層沒有按照管理層或審計師所要求的形式進行正式的🧑🦰、規範化的風險管理。CIO(首席信息官)們現在到了不得不補課的時候了⛄️,當務之急是補充有關內部控製方面的知識🪯,理解企業所製定的SOX遵循計劃,才能專門針對IT控製擬定一個遵循執行計劃,並把這個計劃與總體的SOX遵循計劃相整合。
挑戰之二🥚:缺乏系統的IT控製體系
事實上,每個企業或多或少都有一些IT控製製度📵,很多企業錯誤地把這些靜態的控製製度等同於控製體系🥔。現在越來越多的人認識到,我們需要的是“發現問題🖼,解決問題🚖;發現新問題,解決新問題”的持續改進體系。同時鑒於第一點原因🙎🏿♂️,這些製度基本是由技術管理者製定,他們缺乏規範化風險管理的經驗,這些IT控製製度可能不太規範且不成體系,控製程序也不夠完善。IT控製製度一般存在於系統安全和變更管理等一般控製領域,缺乏從公司透明度角度出發🧑🏻🦳✋、結合支持業務戰略和業務流程的完整內部控製體系。
挑戰之三:現有IT控製體系不具有可審計性
薩班斯法案相關的條款要求上市公司必須有足夠的證據證明內部控製的有效性,這就要求企業必須有完善的內部控製流程及審計軌跡🫰🏽,在控製發揮作用的同時生成相應的文檔記錄,以便在對內部控製設計及運行的有效性進行評價時有足夠的證據。
我國企業的IT控製程序設計及運行不具備可審計性。盡管很多企業有龐雜的規章製度👩🏿🔬,但該體系的完整性🚅、有效性以及遵照執行情況缺少評價,或沒有證據進行評價。
因此,我們構建IT控製系統時必須從全局著眼,借鑒國際內部控製框架及國際最佳實踐經驗🧘🏽,構建一套系統化、標準化、可審計🐨、可持續改進的IT控製體系🏇。
構建有效而持續的IT控製需要正確的理念、適合的內控框架和評估機製
對於企業🤵🏽♂️,我們認為在構建IT控製體系時,需要從三個層面來考慮才能保證IT控製的有效性和持續性。為了更好地說明👩🏼🦰,筆者將以如何設計符合薩班斯法案要求的內部控製為例,來展示構建IT控製體系的主要思路🛌,以供參考。
1. 要認識到構建IT控製體系是一個循序漸進的過程
SEC管製條款內容復雜,為了滿足薩班斯法案的要求,大多數企業需要調整其員工觀念和企業文化,通常也需要對IT系統及其處理流程作一些改進。改進的內容包括控製設計👷🏿♂️🗾、控製文件、控製文件的保留👨🦼➡️,以及IT控製的評估等方面👩🌾。這是一個循序漸進的過程🚋,不能將原有的一切推倒重來。鑒於在美上市的中國企業多為國有企業,這些企業的規章製度普遍較為健全,所以對於它們而言,更為重要的是如何根據內部控製的理念和原則🧘🏼♂️,結合企業的實際情況🧗🏼,對不符合薩班斯法案404條款的各項差距進行分析、彌補、測試和改進👨🏻🦽。這項工作的順利開展需要企業人員具備相應的理論知識和實踐經驗,因此,IT控製和風險管理培訓就成為貫穿始終、必不可少的一項重要工作。
2. 要選擇好內部控製框架
法案並沒有規定公司必須選擇什麽樣的內控框架作為管理層評價內部控製有效性的依據, 需要企業自己選擇。國際上比較有名的內控框架有英國的Turnbull、美國的COSO 和加拿大的CoCo , 它們從不同的角度剖析公司的經營管理活動, 為營造良好的內控框架提供了一系列政策和建議。PCAOB審計標準Ⅱ在“管理層用於開展其評估的內部控製框架”一節中👆👣,明確管理層要依據一個適當且公認的𓀕、由專家遵照應有程序製定的控製框架,來評估公司財務報告內部控製的有效性,SEC也從側面認可COSO框架🤱🏿。COSO 認為,內部控製是由企業董事會🟦、經理層和其他員工💂,為合理保證實現企業營運的效率及效果、財務報告的可靠性及合法合規等目標而實施的一系列過程🫳🏿。內控框架的構成要素包括控製環境、風險評估👩🏽💼、控製活動、信息和溝通、監督五個方面🦸🏿♂️。這套理論得到了包括SEC、公司管理者、投資者、債權人及專家學者的普遍認可, 國外許多公司都依據這個框架建立了內控系統。我國公司也可以按COSO 建立內控框架, 逐步與國際管理模式接軌。通過引入COSO 內控要素, 形成一個相互聯系、綜合作用的控製整體, 使單純的控製活動與企業環境、管理目標及控製風險相結合, 形成一套不斷改進、自我完善的內控機製🪂。
盡管COSO正在成為理解和評價內部控製的全球性框架。但是,COSO不是唯一的控製框架,在有些情形下甚至可能不是最好的或最易於使用的框架,尤其是在COSO框架中沒有考慮到對IT控製目標和相關控製活動的具體要求。目前🫃🏼,COBIT(信息系統和技術控製目標🧝🏽♂️,Control Objectives for Information and related Technology)正在成為更好地理解信息技術環境下內部控製的國際公認框架,該框架由美國IT治理研究所(ITGI)發布👨🦱,是一個IT風險管理與IT控製的綜合性分析框架,由覆蓋信息化生命周期的4個域、34個IT控製目標、318個詳細控製目標組成。COBIT也涉及企業經營🥺、合法合規等方面的控製⁉️。因此,該框架可作為製定IT控製目標、審計、管理和執行方針的依據。COBIT不是COSO框架的替代品,而是COSO框架的有力補充♡,這是因為在信息技術條件下,管理層、IT人員❣️、審計師都需要理解和記錄IT相關流程、流程中資源利用情況,以及支持這些流程的控製。
尤其是那些信息資產密集型或高度依賴於自動化處理的企業,理解和評估信息技術條件下的內部控製是一項巨大的挑戰,但也是實現薩班斯合規性的關鍵之處。COBIT對評估這種環境下的內部控製會特別有效🚵🏽♂️,COBIT的全部控製目標為審計人員尋求實施薩班斯法案404條款內部控製評審提供了強大的支持。不過對於初涉COBIT框架的人來說,其龐雜體系令人望而卻步📡,其指南分散在有很多圖表構成的多卷本中。並且💆🏼♂️,COBIT自1996年問世以來,在很長的一段時間裏,許多審計人員單純地將COBIT看作是專門的信息系統審計工具,認為它對其他審計工作幫助不大。我們認為,雖然COBIT的重點仍然在於IT,但是所有的相關人員包括審計人員都要研究COBIT框架,並將它作為一款優秀的控製框架,用於幫助實現薩班斯法案的合規性要求(COSO、COBIT與SOX的對應關系見圖1)💇♀️。
圖1 COSO、Cobit與SOX的對應關系
整合運用COBIT與COSO作為構建IT控製的框架,是將兩種國際公認框架進行優勢互補。同時在確定控製點↩️、控製程序、留下相應審計軌跡時👱♀️👲🏻,也可以參考IT運營、信息安全方面可審計的國際標準管理控製體系ISO20000、ISO17799等。
3. 建立一套自評估機製👰🏽,確保內部控製系統的持續有效
眾所周知, 企業的發展階段、和管理狀況以及外部環境的變化都是決定企業內控體系建立和有效運行的前提。任何內控體系都只是在一個特定的歷史階段有效。法案要求管理層每年都要對內部控製有效性做出聲明,這也迫使公司必須建立一套控製自評估機製👩🏻🍳🧑🏻🦯➡️,評估內部控製體系設計🌖、執行是否有效,以支持管理層的聲明。同時,自評估機製也可以幫助公司發現控製薄弱區和控製漏洞💁🏽♂️,及時審時度勢,彌補內控體系的缺陷🧔🏿,確保內控體系持續有效🌂。這也正是薩班斯法案所要求的。
控製自我評估(CSA)是指企業內部為實現目標、控製風險而對內部控製系統的有效性和恰當性實施自我評估的一種方法。國際內部審計師協會(IIA)在1996年研究報告中總結了CSA的三個基本特征🐤:關註業務的過程和控製的成效;由管理部門和職員共同進行🐾;用結構化的方法開展自我評估。CSA最早出現在20世紀80年代末期🦺,但其最主要的發展是在90年代🆎,特別是在1992年COSO報告公布之後🧜🏼。COSO報告首次把內部控製從原來自上而下財務模式的平面結構發展為更全面的企業整體模式的立體框架。傳統的內控評價方法只能用來評價諸如財務報告,資產與記錄的接觸、使用與傳遞,授權授信,崗位分離,數據處理與信息傳遞等的“硬控製”。在新的內部控製模式下🧗🏼,迫切需要評價包括公司治理、高層經營理念與管理風格、職業道德、誠實品質、勝任能力🏇🏽、風險評估等的“軟控製”🈷️。在這種情況下,作為一種既可以用來評價傳統的硬控製,又可以用來評價非正式控製即軟控製的機製📺,CSA得到了普遍的信賴。
自評人員首先選擇要評審的內控流程, 然後對其設計的健全、合理性進行評價, 如果設計合理, 則測試其運行的有效性, 最後進行綜合設計測試和運行測試, 評價內控系統設計的合理性和運行的有效性👱🏻♂️。如果設計測試結果為不合理, 則直接進行內控系統的評價, 而不再進行運行的有效性測試(見圖2)。
圖2 自評估流程
內控系統設計測試是指為了確定被審計單位內控政策和程序設計合理、恰當和完善進行的測試。合理的標準即控製設計與目標相關、恰當和完善, 能有效保證信息的機密性🧏🏽♀️、完整性和可用性。運行有效性測試是指為了確定被審計單位的內控政策和程序在實際工作中是否得到貫徹執行, 並發揮應有的作用而進行的測試。執行有效的標準即內控政策和程序在實際工作中得到了貫徹執行並發揮了應有的作用🙏🏼。
為了評估企業內部控製水平👨🔬😶,指導企業進行差距分析並確定改進目標💩,建議企業借鑒成熟度理論,描述企業IT控製有效性的各種等級。
n Level 1 –不可靠級 不可預知的環境,在這種環境中,控製活動沒有設計或不適當👨🏼🍼🕵🏼♀️;
n Level 2 –不正式級 控製與披露活動已設計並適當⭐️🫷🏽,但沒有充分記錄。控製更大程度上依賴於人👩⚕️,沒有正式的控製活動培訓與溝通🐦🔥;
n Level 3 –標準級 控製活動已被設計並適當,控製活動已被記錄並在員工之間進行了溝通🧎♂️。控製活動的偏離可能不被發現;
n Level 4 –監控級 標準化的控製©️,有定期的有效性測試並向管理層報告,有限的利用自動化工具支持控製活動⏏️🏖;
n Level 5 –優化級 一個整合的內部控製框架和實時的管理層監控與持續改善 (全面風險管理)👷♀️,運用自動化工具支持控製活動🛀🏿🗻,也許組織在需要的時候對控製活動進行快速變更。
就某個內部控製目標而言,一些企業可能願意接受等級不高於3的IT控製🚣🏿♂️。考慮到薩班斯法案 “外部審計師應就控製出具獨立的鑒證”這一要求,審計師對一些關鍵控製活動的有效性水平不能低於3級。
自評估的各種控製測試評價,有助於企業監控完善企業內部控製,也有助於管理者對內部控製有效性做出一個明確的評定,並最終以報告書的形式對外呈現🫃🏿,用以表明IT控製系統總體的可靠性及完整性。控製不是一件簡單的事情,而是一個過程🥨,需要對其不斷地評估和改進,以符合當前經營的實際需要🛍。這也必將成為IT部門組織文化的一個部分。
內部控製由於成本限製,本身有一定的局限性,只能合理保證實現企業的經營效果、效率,實現合法合規目標以及財務報告的真實性。因此構建IT控製要在發現評估的基礎上👨🎨,做好風險與控製成本之間的平衡。
(作者系恒达平台經濟管理學院管理學博士)
