处于信息时代的企业,业务经营活动、各种数据传递以及财务报告的产生与传递越来越多地依赖IT系统的自动化处理。自动化过程给企业带来效率的同时也带来控制风险。为了防范这些风险,现代企业的内部控制体系亟需包含基于IT系统的内部控制政策与程序。
在PCAOB(美国公众会计监管委员会)审计标准Ⅱ中也特别指出,IT控制设计很重要,不可低估控制设计在整个IT控制环境中的重要性,并强调IT控制能有力地支持整个内部控制环境。该标准又进一步指出:公司整体内部控制系统的有效性依赖于“其他控制是否有效”(指的是控制环境或IT一般控制的有效性)。 因此,理解IT控制与IT控制体系设计的相关理念,成为企业必备的重要能力。
首先,我们定义IT控制是由期望达到的(IT控制目标)和达到这些目标的方法(控制程序)构成。IT控制目标是指通过对具体的IT活动实施控制程序,以达到期望结果或目的的总体描述。可见,事实上,有效的IT控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径。这里IT风险指的是IT使企业不能实现其经营目标的风险。
然后,我们从人员职责、IT控制的构成和IT控制对象这三个角度来理解IT控制的外延:
1.从人员职责角度看:首先是以下三类人员的职责:
管理层——主要职责是确保控制存在并有效运行,为运营目标和控制目标的实现提供合理保证;
低层管理者与员工——主要职责是执行控制;
审计师——主要职责是对控制的正确性进行评估、提供改进建议及保证声明。
2.从IT控制的构成角度看:IT控制包括IT控制环境、IT一般控制、IT应用控制。
3.从IT控制对象与范围看:IT控制对象包括企业IT生命周期的所有流程。
实现IT控制,中国企业需要应对三大挑战
国内企业信息化建设速度越来越快,信息化水平越来越高,业务与财务报告流程对IT的依赖程度也随之越来越高。对大多数企业而言,运用整合的ERP系统,或综合运用各种经营管理、财务管理方面的软件,已经成为财务报告系统强有力的支持。
随着萨班斯法案的出台,财务报告的内部控制几乎离不开IT控制,即使业务层面的管理控制也是IT支撑环境下的控制。但是,信息技术是一把双刃剑,其潜在风险也越来越大,企业在建立有效的IT控制,以保证财务报告的有效性方面正面临着巨大的挑战。
但是,目前国内企业的内部控制体系多为传统的会计控制及管理控制,对IT控制缺少系统的考虑,企业的IT控制面临三大挑战。
挑战之一:CIO缺乏内部控制理论与实践。
以萨班斯法案的要求来说明,404条款的遵照执行有四个阶段:1.公司应制定内部控制详细目录,确定内部控制是否足够,然后将这些控制与诸如COSO之类的内部控制框架进行对照; 2.公司被要求记录控制措施评估方式,以及未来将用来弥补控制缺陷的政策和流程(如果有的话); 3.公司必须进行测试工作,以确保控制措施和补救手段起到预期作用; 4.管理层必须将前述三个阶段的各项活动情况汇总成一份正式的评估报告。
法案的要求使很多人认为,IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责,但问题在于,大多数IT专业人士对复杂的内部控制并不精通或了解,因此难负其责。尽管不能说IT人员没有参与风险管理,但至少IT管理层没有按照管理层或审计师所要求的形式进行正式的、规范化的风险管理。CIO(首席信息官)们现在到了不得不补课的时候了,当务之急是补充有关内部控制方面的知识,理解企业所制定的SOX遵循计划,才能专门针对IT控制拟定一个遵循执行计划,并把这个计划与总体的SOX遵循计划相整合。
挑战之二:缺乏系统的IT控制体系
事实上,每个企业或多或少都有一些IT控制制度,很多企业错误地把这些静态的控制制度等同于控制体系。现在越来越多的人认识到,我们需要的是“发现问题,解决问题;发现新问题,解决新问题”的持续改进体系。同时鉴于第一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些IT控制制度可能不太规范且不成体系,控制程序也不够完善。IT控制制度一般存在于系统安全和变更管理等一般控制领域,缺乏从公司透明度角度出发、结合支持业务战略和业务流程的完整内部控制体系。
挑战之三:现有IT控制体系不具有可审计性
萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性,这就要求企业必须有完善的内部控制流程及审计轨迹,在控制发挥作用的同时生成相应的文档记录,以便在对内部控制设计及运行的有效性进行评价时有足够的证据。
我国企业的IT控制程序设计及运行不具备可审计性。尽管很多企业有庞杂的规章制度,但该体系的完整性、有效性以及遵照执行情况缺少评价,或没有证据进行评价。
因此,我们构建IT控制系统时必须从全局着眼,借鉴国际内部控制框架及国际最佳实践经验,构建一套系统化、标准化、可审计、可持续改进的IT控制体系。
构建有效而持续的IT控制需要正确的理念、适合的内控框架和评估机制
对于企业,我们认为在构建IT控制体系时,需要从三个层面来考虑才能保证IT控制的有效性和持续性。为了更好地说明,笔者将以如何设计符合萨班斯法案要求的内部控制为例,来展示构建IT控制体系的主要思路,以供参考。
1. 要认识到构建IT控制体系是一个循序渐进的过程
SEC管制条款内容复杂,为了满足萨班斯法案的要求,大多数企业需要调整其员工观念和企业文化,通常也需要对IT系统及其处理流程作一些改进。改进的内容包括控制设计、控制文件、控制文件的保留,以及IT控制的评估等方面。这是一个循序渐进的过程,不能将原有的一切推倒重来。鉴于在美上市的中国企业多为国有企业,这些企业的规章制度普遍较为健全,所以对于它们而言,更为重要的是如何根据内部控制的理念和原则,结合企业的实际情况,对不符合萨班斯法案404条款的各项差距进行分析、弥补、测试和改进。这项工作的顺利开展需要企业人员具备相应的理论知识和实践经验,因此,IT控制和风险管理培训就成为贯穿始终、必不可少的一项重要工作。
2. 要选择好内部控制框架
法案并没有规定公司必须选择什么样的内控框架作为管理层评价内部控制有效性的依据, 需要企业自己选择。国际上比较有名的内控框架有英国的Turnbull、美国的COSO 和加拿大的CoCo , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列政策和建议。PCAOB审计标准Ⅱ在“管理层用于开展其评估的内部控制框架”一节中,明确管理层要依据一个适当且公认的、由专家遵照应有程序制定的控制框架,来评估公司财务报告内部控制的有效性,SEC也从侧面认可COSO框架。COSO 认为,内部控制是由企业董事会、经理层和其他员工,为合理保证实现企业营运的效率及效果、财务报告的可靠性及合法合规等目标而实施的一系列过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套理论得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统。我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。
尽管COSO正在成为理解和评价内部控制的全球性框架。但是,COSO不是唯一的控制框架,在有些情形下甚至可能不是最好的或最易于使用的框架,尤其是在COSO框架中没有考虑到对IT控制目标和相关控制活动的具体要求。目前,COBIT(信息系统和技术控制目标,Control Objectives for Information and related Technology)正在成为更好地理解信息技术环境下内部控制的国际公认框架,该框架由美国IT治理研究所(ITGI)发布,是一个IT风险管理与IT控制的综合性分析框架,由覆盖信息化生命周期的4个域、34个IT控制目标、318个详细控制目标组成。COBIT也涉及企业经营、合法合规等方面的控制。因此,该框架可作为制定IT控制目标、审计、管理和执行方针的依据。COBIT不是COSO框架的替代品,而是COSO框架的有力补充,这是因为在信息技术条件下,管理层、IT人员、审计师都需要理解和记录IT相关流程、流程中资源利用情况,以及支持这些流程的控制。
尤其是那些信息资产密集型或高度依赖于自动化处理的企业,理解和评估信息技术条件下的内部控制是一项巨大的挑战,但也是实现萨班斯合规性的关键之处。COBIT对评估这种环境下的内部控制会特别有效,COBIT的全部控制目标为审计人员寻求实施萨班斯法案404条款内部控制评审提供了强大的支持。不过对于初涉COBIT框架的人来说,其庞杂体系令人望而却步,其指南分散在有很多图表构成的多卷本中。并且,COBIT自1996年问世以来,在很长的一段时间里,许多审计人员单纯地将COBIT看作是专门的信息系统审计工具,认为它对其他审计工作帮助不大。我们认为,虽然COBIT的重点仍然在于IT,但是所有的相关人员包括审计人员都要研究COBIT框架,并将它作为一款优秀的控制框架,用于帮助实现萨班斯法案的合规性要求(COSO、COBIT与SOX的对应关系见图:略)。
整合运用COBIT与COSO作为构建IT控制的框架,是将两种国际公认框架进行优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时,也可以参考IT运营、信息安全方面可审计的国际标准管理控制体系ISO20000、ISO17799等。
3. 建立一套自评估机制,确保内部控制系统的持续有效
众所周知, 企业的发展阶段、和管理状况以及外部环境的变化都是决定企业内控体系建立和有效运行的前提。任何内控体系都只是在一个特定的历史阶段有效。法案要求管理层每年都要对内部控制有效性做出声明,这也迫使公司必须建立一套控制自评估机制,评估内部控制体系设计、执行是否有效,以支持管理层的声明。同时,自评估机制也可以帮助公司发现控制薄弱区和控制漏洞,及时审时度势,弥补内控体系的缺陷,确保内控体系持续有效。这也正是萨班斯法案所要求的。
控制自我评估(CSA)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的一种方法。国际内部审计师协会(IIA)在1996年研究报告中总结了CSA的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更全面的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理、高层经营理念与管理风格、职业道德、诚实品质、胜任能力、风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,CSA得到了普遍的信赖。
自评人员首先选择要评审的内控流程, 然后对其设计的健全、合理性进行评价, 如果设计合理, 则测试其运行的有效性, 最后进行综合设计测试和运行测试, 评价内控系统设计的合理性和运行的有效性。如果设计测试结果为不合理, 则直接进行内控系统的评价, 而不再进行运行的有效性测试(见图:略)。
内控系统设计测试是指为了确定被审计单位内控政策和程序设计合理、恰当和完善进行的测试。合理的标准即控制设计与目标相关、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。执行有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。
为了评估企业内部控制水平,指导企业进行差距分析并确定改进目标,建议企业借鉴成熟度理论,描述企业IT控制有效性的各种等级。
Level 1 -不可靠级 不可预知的环境,在这种环境中,控制活动没有设计或不适当;
Level 2 -不正式级 控制与披露活动已设计并适当,但没有充分记录。控制更大程度上依赖于人,没有正式的控制活动培训与沟通;
Level 3 -标准级 控制活动已被设计并适当,控制活动已被记录并在员工之间进行了沟通。控制活动的偏离可能不被发现;
Level 4 -监控级 标准化的控制,有定期的有效性测试并向管理层报告,有限的利用自动化工具支持控制活动;
Level 5 -优化级 一个整合的内部控制框架和实时的管理层监控与持续改善 (全面风险管理),运用自动化工具支持控制活动,也许组织在需要的时候对控制活动进行快速变更。
就某个内部控制目标而言,一些企业可能愿意接受等级不高于3的IT控制。考虑到萨班斯法案 “外部审计师应就控制出具独立的鉴证”这一要求,审计师对一些关键控制活动的有效性水平不能低于3级。
自评估的各种控制测试评价,有助于企业监控完善企业内部控制,也有助于管理者对内部控制有效性做出一个明确的评定,并最终以报告书的形式对外呈现,用以表明IT控制系统总体的可靠性及完整性。控制不是一件简单的事情,而是一个过程,需要对其不断地评估和改进,以符合当前经营的实际需要。这也必将成为IT部门组织文化的一个部分。
内部控制由于成本限制,本身有一定的局限性,只能合理保证实现企业的经营效果、效率,实现合法合规目标以及财务报告的真实性。因此构建IT控制要在发现评估的基础上,做好风险与控制成本之间的平衡。