基于信息系统风险管理审计.docVIP

基于信息系统风险管理审计一、信息技术革新对企业信息系统及内部审计的影响 (一)信息技术革新对信息系统的影响　信息技术革新正在改变全球范围内的沟通的性质与范围，消除传统的组织界限(包括部门之间的内部界限以及供应商和客户之间的外部界限)，并促进了企业流程再造。信息技术的进步和互联网的发展，促进了信息系统的不断发展，并被广泛的运用于企业的各项经济管理活动，促进了企业信息的互联互通和信息的共享。这样，信息系统所提供的信息的决策有用性不断增强。但是，信息技术的革新也为信息系统带来巨大的风险：如系统运行错误可能迅速导致多种文件、账簿甚至系统失真，数据容易被盗或毁损，程序易被非法调动甚至篡改。据美国的一项研究表明，计算机系统的银行舞弊案造成的损失是手工系统的6倍以上。而且，随着互联网技术和电子商务的兴起，信息系统更加复杂化和多样化。信息系统的风险控制点数量激增，且监控的难度更大。信息和信息系统已经成为了企业的重要资产，是企业获得市场竞争力与可持续发展能力的重要因素。它们像企业的其他资产一样需要对信息系统加以控制和审计，控制信息系统运行的安全和稳定，变成了企业的必然需要。这需要审计人员从企业组织层面、一般管理层面、业务流程层面来识别和分析信息系统风险。这样基于信息系统的风险管理审计显得尤为重要。 (二)信息技术革新对内部审计的影响　对于内部审计而言，信息技术革新既带来了功能强大的工具和方法，又对内部审计识别、评估、监控企业风险的活动产生深远影响。根据UA在2002年的调查，将近49％的内部审计人员已将IT结合到他们所有的检查中，有83％的内部审计人员使用通用审计软件获取和分析数据(McConum和Salierno，2003)，将近38％和29％的内部审计人员分别使用持续监控和连续审计技术(IIA，2002，AICPA／CICA，1999)。在很多国家，信息系统审计师(CISA)已发展成为一种专门的职业。并且，基于信息技术的内部审计工具与技术也层出不穷，包括对控制进行测试的测试板技术、集成测试工具、嵌入式审计模块和神经网络等。这从根本上提高了内部审计的效率，也为信息系统审计奠定了重要基础。 从另一角度来说，信息化环境扩大了内部审计需识别、评估和监控的风险范围，并且可能放大源于控制缺陷和其他漏洞的企业风险。我国2008年颁布的《企业内部控制基本规范》中明确规定企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。这就要求内部审计人员加强与会计专业人员、信息技术人员和有关管理人员的交流与融合，通过信息化手段全面提高信息系统运行的效果和效率，满足组织的战略目标。 二、信息系统在企业风险管理中的作用 (一)提供高效的信息沟通渠道　信息与沟通是风险管理框架中的一个要素，其内涵是“风险以及风险管理相关的信息必须以恰当的形式在一定期间内传递，使得员工、管理层、董事会能够履行各自的职责。”企业信息系统作为信息与沟通的载体，能够有效地追踪企业当前正在发生的风险事项以及已经避免的风险事项，并及时将企业各层面的风险管理情况报告给信息使者，实现较好的上传下达。如企业信息系统应保证企业所有员工都能够收到高层管理人员发布的风险管理目标、操作指南等信息，并通过适当培训使其对企业风险管理的原则形成共同认识，明确自身在风险管理中所扮演的角色、地位；企业能够通过建立正常的或者“绿色”通道，便于组织成员与管理层沟通，报告风险管理职责的完成情况、出现的错误、例外状况等；通过信息系统，企业还能记录风险管理的全过程，包括管理和控制状况，生成报告以满足组织治理的需要。 (二)为整体风险评估提供信息支持　风险评估是做出恰当风险反应的依据，也是将企业风险管理与企业战略相结合的关键点之一。从某种程度上说，风险评估是一个综合利用和分析企业战略、经营环境、运营活动及其相关风险等信息的过程。因而，风险评估离不开企业信息系统的支持：自上而下的信息流，将企业目标、管理层的风险偏好传递到负责风险评估的部门，确定了风险评估的范围和衡量标准；自下而上的信息流，传递汇总了企业操作层、执行层、战略层面临的现实风险与潜在风险，形成涵盖企业各个业务领域、层次的风险全景图；横向信息流促进职能部门突破单一视角，对风险的影响范围与程度形成更为准确地认识与评估。 (三)促进风险管理在各部门间的整合　实施企业风险管理的一个巨大障碍源于企业各个职能部门的风险管理活动缺乏整合。例如，人力资源部门仅负责评估人员管理风险――如技能缺乏或者人才流失；生产部门专注于管理产品质量缺陷、生产技术落后导致的风险；销售部门关注于管理顾客需求变化、营销渠道竞争等所带来的风险；而财会人员则致力于改进财务报告