对企业的业务系统做过审计的同事一定曾经感受过:IT技术有着自动、高效的特点,所以很多依赖IT的通用控制(输入数据合规性检查、数据自动处理、输出数据校验等)应用得非常广泛,它们已成为业务系统中的重要组成。但IT同时也不可避免地给业务系统引入了风险:由于设计失误或自身存在缺陷,一些IT控制措施会导致系统中数据处理错误、报表信息出现错误。所以对IT的审核已经成为业务系统审计的重要内容。
在业务应用系统审计中,应基于审计目标及客户方对风险的可接受准则对IT控制机制进行相应的审核。而IT风险控制的范围则应由审核员和被审核方应共同评估、确定。
在确定IT风险控制范围的过程中,要考虑的重要因素之一是对IT控制机制的风险进行界定。虽然看似简单,但要适当界定范围却不是很容易,因为影响因素太多:IT应用范围广泛;即使是控制非常严格的组织/系统中也难免IT相关的潜在弱点;审核员由于对IT领域的知识及经验不足而对潜在问题做出主观且偏颇的判定;审核目的不纯(为了审核而审核;顾问为开展后续服务而在“特定”领域发现缺失)……
例如尽管有些IT问题对业务系统并不构成威胁,但那些对IT审核相对较“嫩”的人员也会“出于天性地”将所有这些IT“潜在问题”视为控制对象。事实上,在业务系统审计中很多IT弱点或风险源对业务系统输出物的质量并不构成威胁,没必要耗时费力地审计
本期及下期文章将介绍在业务系统审计中如何合理地规划IT审核过程的范围。我们将讨论以下内容:
- 评估客户IT环境的复杂度以对所必需的IT审核过程有总体的认识。
- 在对业务系统进行审计中至少要覆盖的五方面IT相关的内容。
对IT环境复杂性进行级别划分的作用
本期及下期文章都参考了以下SAS(Statement on Auditing Standards审核标准声明)文件:SAS 70、SAS 94、SAS 109。详见注释。
“IT环境复杂度”的概念源于SAS 94,它提出IT对于业务系统审计效果的影响不在于IT的规模,而在于IT的复杂度。一家小型公司的产品交付服务和财务报表流程可能在很大程度上依赖IT。通常将这样的实体视为处于中等水平的IT复杂度。例如,一家消费账户服务提供商负责将员工医疗报销费通过电子转账方式灵活地转入银行账户或员工借记卡,同时提供在线理财服务。虽然这家机构的员工数不到50人、办公室也较小,但是她的IT环境复杂度可能中等或高度复杂。同时,一家有几百员工的工厂所采购的业务应用软件跑在一台服务器,则她的IT环境复杂度属于低。
为简化问题,我们将IT环境复杂度划分为低、中、高三个级别。显然,企业不会“恰巧”完整地属于某个级别,而且这三个级别不是离散的,而是如光谱般连续的。但这并不妨碍我们使用这三级IT复杂度模型及相关的IT管控机制。 建立了模型,还需要基于IT环境的实际情况来确定IT复杂度的真实水平,继而确定必需的IT审核范围及过程。
一般说来,IT环境复杂度与所需的IT审核过程的数量及审核深度密切相关。也就是说,IT环境复杂度低的组织更适宜采用简化的过程、强度较弱的审核方式(例如通过询问、观察等),且审核过程数量也较少。同理,IT环境复杂度高的组织需要更多的审核过程。而且观察和询问的审核方式已经不够,需要更深入的审核方式,例如执行程序验证、详查等等。
虽然上述内容对IT审核员而言感觉上轻而易举,但其实不尽然。因为还有一个问题:IT审核员试图在业务系统审计中查到所有的IT弱点,但并没有采用整体策划流程以确保所查的IT弱点都是若不采用控制措施就很可能会导致重大错误的弱点。因此IT审核员还应认真评估每个IT弱点及其对业务系统的影响。
我们建立了IT环境复杂度评估模型以协助那些初涉IT领域的审核员。此模型还可用于判断业务系统审计中是否需要有相关业务经验的审核员、及负责对业务系统做日常检查的审核员能否有效地完成必要的审核过程。在低复杂度的IT环境中可以不一定必须有业务背景的审核员。
IT复杂度评估模型
若要判定组织在3个级别中所处的位置需要一些参数,模型中包括了一些可量化的参数举例。为简捷起见,在此以财务报表系统举例,选择了与其密切相关的技术与流程参数。
| 图1.IT环境复杂度模型 |
| IT环境复杂度 |
1.低 |
2.中 |
3.高 |
| 服务器数量 |
1台 |
2到3台 |
4台以上 |
| 网络/操作系统 |
商用标准 |
非标准,或网络数大于一个 |
多个网络/WAN
|
| 工作用电脑 |
1~15
|
15~30
|
30以上 |
| 应用系统 |
商用标准软件 |
做了少量客户化 |
ERP,或完全客户化定制 |
| 远程访问点 |
没有 |
1到2个 |
3个以上 |
| 系统内部数据的控制机制 |
商用标准软件内置,或很少 |
手工操作,或数量中等 |
大量 |
| 新兴的、先进的IT技术 |
没有到极少 |
极少到中等 |
中等到很多 |
| 在线交易 |
没有 |
较少 |
很多 |
第一级的IT环境复杂度较低。这样的组织通常具备以下特点:有一台服务器和几台PC用于财务报表处理;财务报表处理地点通常为一处;采用外部购买的标准基础架构及标准商用软件;系统中很少用到新兴的或先进的IT技术;在线交易也非常少。这个级别的财务报表系统的内部控制机制不太依赖IT,或者直接采用标准商用软件的内嵌机制或手工处理。很多中小型组织属于这一级别。
由于此级别的IT过程少且使用范围较小,审核方式采用询问和观察即可,所以只需由接受过一些IT专业知识培训的财务审核员担当审核任务即可。
处于第二级的系统:通常有2、3台财务报表服务器,网络操作系统更复杂一些(非标准、或有多个网络操作系统);有30台以内的PC机处理财务报表;有一些定制化的软件(或配置相对复杂的标准商用软件,例如中小型ERP);财务报表系统的内控机制比较依赖IT技术,采用了一些先进的或新兴IT技术。此级别的系统通常需要有一名专业背景的人员来设计并执行必要的IT审核流程。
处于第三级的系统:财务报表处理服务器达3台以上,有远程处理地点,处理财务报表的PC机超过30台;使用ERP或定制化的软件,系统中大量采用了IT新技术及先进技术;有大量的在线交易。这级组织的财务报表内部控制在很大程度上依靠IT,组织通常也需要多名有专业背景的人员来设计并执行必要的IT审核流程。
CONCLUSION 结论
本文中以财务报表系统举例陈述了业务系统中审计中的IT控制底线,关注点在于确定IT系统复杂度,因为IT系统复杂度与业务系统审计中IT过程的广度和深度密切相关。了解IT系统复杂度有助于确定IT审核过程的广度及深度。IT环境复杂度越高,所需要的IT审核过程就越多、深度也越深。
同时在策划IT审核时也要全盘策划,要关注对业务系统有影响的IT风险,而不是仅仅关注IT本身的风险。
在下一期文章中将讲述IT审核员在对业务系统进行审核中最少要验证的五方面IT通用控制机制,同时使用本文的IT环境复杂度模型来确定所需IT审核流程的适当范围、深度及使用时机。最终的输出物是在业务系统审核中所必需的IT审核流程范围。
注释:
1. SAS 70:《Service Organization》;
2. SAS 94:《The Effect of InformationTechnology on the Auditor’s Consideration of Internal Control in a FinancialStatement Audit》;
3. SAS 109: 《Understanding the Entity and Its Environment andAssessing the Risks of Material Misstatement》。
文:BSI IT治理服务中心运营总监/首席IT治理专家 李建民
