內控背景下 CIO如何做好IT審計

2014-11-08 22:14:39 大云網　點擊量：評論 (0)

隨著市場經濟的迅速推進，信息系統成為不少被企業內部管理與控制的關鍵工具。而同時，現階段的《企業內部控制基本規范》以下簡稱內控已經開始正式實施，它將給CIO建設基于內控環境的信息系統帶來新的機遇和挑戰。

隨著市場經濟的迅速推進，信息系統成為不少被企業內部管理與控制的關鍵工具。而同時，現階段的《企業內部控制基本規范》以下簡稱內控已經開始正式實施，它將給CIO建設基于內控環境的信息系統帶來新的機遇和挑戰。有觀點稱，未來幾年中，內控大大推動企業核心競爭力的現象也將逐步出現，或許這將幫助企業內控更好的落地，開始新一輪發展的過程中發揮出無法估量的作用。

　　信息系統面臨的風險分析

　　內控中曾指出，要以信息系統來輔助整內控的執行和落地，那么企業內部控制信息系統的應用主要來源哪些方面的推動? 業內著名的內控專家曾指出：“企業內部控制信息系統的應用主要來自于兩方面力量的推動。首先是外部需求特別是SOX法案頒布后加強企業內控對外報告需求的推動；其次是內部需求特別是企業加強風險管理、提高內控管理與整體流程管理水平需求的推動。” 現階段，國內現階段基于內控背景下的信息系統不是很成熟，同時，因信息系統審計在國內起步比較晚，造成信息系統中企業存在許多的不足。主要分為：

　　1、主觀不足

　　我們知道信息系統分按應用來劃分分為兩種類型一種關注企業的生產如MES，PDM等，另外一種如CRM等管理型的系統，信息系統最主要的功能是實現自動化，幫助管理者提高企業的效率，因此在人員方面，是信息系統存在的主要風險。如從信息部門的角度來看，數據庫管理人員因操作把企業的數據丟失，企業CIO因失誤導致信息系統崩潰等等一系列的因素，造成信息系統存在主觀上的風險。內控的的主要根本是風險管控，而風險管控又側重于人的管理，信息系統又起到管理監督的重要工具，因此，如果管理層于信息系統不是很重視，那么對于CIO來講做內控將非常困難，同時，因人為的阻礙將使信息系統的利用率降到最低。

　　2、客觀不足

　　在企業中CIO購買的軟件或者硬件，任何產品都有它的缺點，這就造成企業無時無刻的存在著來自于IT方面的風險，比如企業的ERP系統、OA系統，因對于管理理解的不同，許多的ERP開發者更多的體現只是為了完成軟件的的某種功能去開發，而沒有完全去考慮軟件設計開發的結構，這樣導致整個產品存在著設計上漏洞，使企業的核心數據遭受具大的損失。除了在軟件應用層方面，其它涉及到硬件、網絡方面同樣也存在安合隱患。這些客觀的風險必然要需要CIO及外部人員加強對于信息系統的審計。

　　內控環境下加強信息系統審計的必要性

　　內控是為了提升企業的管理、效益、控制企業風險的重要規范指引。很多的企業認為，做內控給企業增加了負擔、加大了企業開支，從短期的利益來看，做內控需要投入一定的成本，但是從長期的角度來析做企業內控是為了企業更有利更加健康的發展。換個角度來看，如果沒有內控美國的安然事件、中國的安然事件將會再次上演，對于整個發展環境也會形成惡劣的影響，使企業在未來的運營中不能一個穩定、良好的環境。企業做內控是為了規范自己的風險管理，正如人的健康一樣。如果“人”就是企業，那么內控就是“醫生”，“醫生”是幫助“人”檢查身體，而不是去謀害“人”，而檢查身體的一個重要工具——就是信息系統。“醫生”只有借助工具，才能更好的查出病因。

　　內控信息化的真實性、可靠性，保證信息的真實性可靠性是對信息系統內部控制的質量要求，信息系統是企業各種信息的載體，是信息循環運轉的一個有機整體，離開這個系統，信息只是單個的符號，不能把信息所反映的真實內容整體性地呈現在信息使用者的面前。只有把一個個的信息符號真實完整的放進企業信息系統的這個循環環境，保證信息的連續性和可靠性，信息系統才有其存在的必要性。同樣以這樣的信息系統建立起來的信息系統內部控制才能反過來控制信息的真實性和可靠性，才能為信息使用者所接受。

　　企業做內控，如果沒有工具的支撐，首先在流程無法進行優化。內控的一個重要指標是對于企業不規范的流程變為優化的流程，但優化流程的過程當中需要信息系統來支撐，沒有信息系統，強大的流程得不到有效的監督和管理，每走一步流程都很困難，甚至有可能要中斷。因此，沒有信息系統的內控在企業中很難做，同時也不符合內控的規定。

　　CIO如何做好信息系統的審計

　　信息系統審計是一個通過收集和評價審計證據，對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面作出判斷的過程。從該定義可以看出，其審計內容及方法是通過對系統內部控制的審計，來判斷和評價系統的安全性、完整性、效果和效率等方面。那么在內控背景下CIO應該如何做好基于內控的信息系統呢？

　　1、明確信息系統的審計目標

　　做內控不是CIO一個人的事情，但信息系統的建設還需要CIO來落實，那么企業的CIO如何來做好信息系統的審計呢？在內控的背景下一定要確定信息系統的審計目標，要達到什么樣的效果，怎么來做，信息化前期要有一個總體的規劃藍圖，遵照內功的要求結合企業自身的特點，制定出一套符合內控要求及企業自身戰略的目標體系，只有明確了信息系統要做的目標，做出的內控信息系統符合標準。

　　2、根據目標選擇重點區域及確定信息系統審計的具體范圍；

　　當信息系統的目標建立以后，CIO所要做的工作就是分解目標，選擇企業目前最為關注的區域如企業的業務流程管理,做內控的根本目上的之一就是優化企業的流程管理，而IT的入手點，將從流程管理入手更為切實。那么， CIO的重點在流程控制系統上下“功夫”，做出一套符合內控要求的業務流程管理系統。

　　3、借鑒跨國公司經驗，遵循COBIT，加強信息系統優化；

　　CIO在做信息系統時，可多參照跨國公司信息系統建設的經驗，同時也可以參考國內的上市企業，參觀并學習他們的基于內控的信息系統是如何來做的，同時，在做信息系統時也要參照國際上的COBIT，從信息系統的建立初期如是規劃、實施、治理等方面做好，將IT過程，IT資源與企業的策略與目標（準則）聯系起來，形成一個三維的體系結構。用以把信息系統更好的在企業內控中發揮作用。

　　4、整合內部控制相關的IT系統并進行流程優化。

　　經過近幾年企業對于法規的認知，企業開始考慮如何將各種與內部控制相關的IT系統進行整合，而整合的關鍵仍然是流程的整合。絕大多數的企業級IT應用系統均是基于流程的需求而開發，但是每套IT系統所對應的業務流程由于當初系統實施的各自為戰，缺乏良好的接口整合與描述標準化。企業內控管理部門為了更好的管理眾多的基于流程的風險與控制，必須尋找一個統一的平臺實現與各個IT系統所對應流程描述的銜接。因此，信息系統的設計階段一定要符合企業的業務流程。

　　同時，如何在發現風險控制缺陷的基礎上進行業務流程改進，如何監控新建IT系統的流程合規與流程績效，如何滿足企業日益增長的流程優化需要，都需要企業管理層在統一的信息系統管理流程平臺層面進行規劃與管理。

　　通過實踐我們發現建立基于內控要求的信息系統，為企業高管層（CEO、CFO）、內控管理者、內控測試人員、審計人員、其他業務人員提供一個簡單易用的內部控制活動管理平臺。系統不僅能夠在現階段使公司在薩班斯法案及國內內控法規遵從過程中更好地達到對內部控制、記錄、測試、整改、報告、披露和歸檔等方面的要求，減少手工操作，提高工作效率和工作質量，同時使各項工作有機地聯系起來，在公司長期戰略上改進內部控制和風險管理。