总第 678 期
【作 者】
阳 杰
【作者单位】
(温州大学城市学院 浙江温州 325035)
【摘 要】
【摘要】本文对信息系统内部控制与IT治理,持续监控、持续审计和持续认证这两组意思接近的概念进行了辨析,并对信息系统内部控制的持续监控进行了重新定义。
【关键词】IT治理 持续审计 持续监控 信息系统 内部控制 持续认证
在针对持续监控的研究中,信息系统内部控制与IT治理、持续监控、持续审计和持续认证是两组意思接近的概念,在许多研究中并未对它们进行严格的概念区分,以致混用。为此,本文在对西方权威文献进行梳理的基础上,对这几个概念进行初步的辨析。
一、信息系统内部控制与IT治理
我国《企业内部控制应用指引第18号——信息系统》将信息系统定义为:企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。而内部控制是由企业董事会成员、经理层和其他人员设计用来对经营的效果和效率、财务报告的可靠性、法律和条规的遵守情况等三个目标的实现提供合理保证的一个流程。信息系统的基本功能就是进行信息采集、加工、报告和管理。在信息化环境下,企业将具有既定控制目标的内部控制与信息系统相融合,实现内部控制的集成、转化和提升,使信息系统具有目的性。
当前西方准则制定机构普遍使用IT控制来替代信息系统内部控制,并由此衍生出了IT审计和IT治理等概念。这里的IT并非我们通常所指的信息技术,而是“信息及相关技术”。IT控制的概念最初是由IT治理协会(ITGI)在其信息及相关技术控制目标(COBIT)框架中提出来的,该框架中的IT是由“Information”中的“I”和“related Technology”中的“T”组合成的,它首先强调的是信息,然后才是技术。这里的IT其实就是信息系统。因此可以说,ITGI提出的IT控制、IT治理和国际信息系统审计与控制协会(ISACA)提出的IT审计概念,其实都是针对信息系统的。本文采用的是信息系统内部控制概念,它等同于ITGI提出的IT控制。
IT治理是企业治理的组成部分,也是控制环境的构成要素。企业治理是指导和控制企业的系统,主要由董事会和经理层为履行职责所采取的一系列举措而构成,其目标是为企业运作提供战略指导,控制企业风险,合理使用企业资源,确保企业战略目标的实现(ITGI,2003)。一致性和绩效是企业治理的两个主要的维度。一致性指的是与企业的控制和认证安排相符合,绩效是驱动企业前进的价值创造(IFAC,2004)。一致性和绩效之间的平衡形成了良好的企业治理。IT治理关注的是企业治理中与IT相关的问题,它侧重的是制度的构建,通过合理配置IT决策权来激励和约束IT管理者来做出使IT投资价值最大化、风险最小化的决策。
战略融合、价值交付、资源管理、风险管理和绩效测评是IT治理的五个领域,其最终目标是保持IT与业务的一致性,IT支持业务运行并实现收益最大化和IT资源的有效使用及IT风险管理(ISACA,2007)。IT治理定位于高层指导和控制,关注的是“做什么”和“由谁做”,它是内部控制环境的重要组成部分。而信息系统内部控制是企业范围内全体人员的责任,它关注的是“做什么”,它是支撑、促进和加强IT治理的必要手段。信息系统内部控制一旦失效,信息系统所产生的信息质量就难以保证,IT治理决策也只能是“垃圾进,垃圾出”。
二、持续监控、持续审计和持续认证
1992年的COSO在《内部控制整合框架》中首次引入了监控要素。在该框架中,监控是作为整个内部控制系统的一种反馈机制,目的在于确保内部控制能够根据环境的变化及时进行自身调整,以保证它持续有效。监控包括持续监控和专项评价(又称专项监督)两种互补方式。
在COSO和PCAOB制定的规范中,通常使用的是“ongoing monitoring”的概念,IIA的《持续审计:对认证、监控和风险评估的意义》和ISACA的第42号信息系统审计指南《持续认证》中都是使用“continuous monitoring”的概念,不过,ISACA在《内部控制系统和IT监控指南》中也使用的是“ongoing monitoring”的概念,但它对“ongoing monitoring”和“continuous monitoring”作了区分,并认为,后者是前者的一个子集,是一种自动化的监控形式,也就是说,两者的区别主要在于是否依靠IT来自动运行,依靠IT自动运行的,则属于“continuous monitoring”。我们认为两者运行手段的差异,并没有改变其自身的特征,所以本文对此不作区分。
持续监控是“嵌入”企业日常性的、反复发生的活动之中的,对内部控制系统进行连续的、全面的、系统的、动态的检查,以评估内部控制的充分性和有效性。它包括一般性的管理和监督活动、同行比较和利用内外部数据进行趋势分析,也可能包括利用自动化工具评估控制、交易和流程。专项评价指企业对内部控制建立与实施的某一方面(包括持续监控)或者某些方面的情况所进行的不定期的、有针对性的检查。由于持续监控与企业的经营活动水乳交融、并行共进、密切监视、精准把控、及时反馈,能够及早识别并纠正控制缺陷,且能实时、动态地应对环境的变化,所以它的效率更高,效果更好。可见,持续监控是一种主要的监控方式,它提供了经理层用来支持其断言的大部分证据(COSO,2009)。持续监控的程度和有效性越强,专项评价的需求就越少。
COSO的《内部控制整体框架》认为内部审计是内部控制的重要组成部分。内部审计是控制的确认者,监督、评价和改善内部控制是内部审计的基本职责。内部审计是作为组织的控制职能来考核、评价组织的其他控制的职能部门(王光远,2007)。因此内部审计职能开展的持续审计(也称连续审计)或持续认证和经理层所开展的持续监控活动在技术和目标上是一致的(IIA,2005)。
Coderre在比较持续监控和持续审计时,将持续审计和持续控制评估视为两种互补的方法,而将持续风险评估视为持续审计和持续监控的区别。笔者认为,由于内部控制缺陷可分为设计缺陷和运行缺陷,因而以持续风险评估作为持续审计和持续监控的区别有失偏颇。具体说,设计缺陷是指缺少为实现控制目标所必需的控制设计。运行缺陷是指现存设计完好的控制没有按设计意图运行,以有效地实施控制。持续控制评估的目的是评估内部控制是否存在运行缺陷,这是一种静态的风险观念,它隐含的前提就是当前的内部控制在设计方面是有效的。持续风险评估的目的是评估内部控制是否存在设计缺陷,这是一种动态的风险观念,它所隐含的前提就是当前的内部控制在运行方面是有效的。所以,持续控制评估和持续风险评估技术对于持续监控而言都是必要的。
我们注意到,Coderre对持续审计的定义已经不仅仅局限在传统的“审计”范畴,其落脚点不是对“经济活动和经济事项”提供认证,而是通过这些相关的数据来评估内部控制的有效性和企业面临的风险水平,因而Coderre对持续审计的定义实质上是持续认证。
当前,在持续审计领域,人们更多的是应用持续认证的概念。严格来说,两者也存在区别。1973年,美国会计学会下属的基本审计概念委员会将审计定义为:“一种采用客观的方式来获取并评价关于经济活动和经济事件认定的证据,来查明该认定与既定的标准之间的一致性,并将结果传递给利益相关方的一个系统化的流程”。认证服务在我国也被译作“保证服务”或“确认性服务。1997年美国注册会计师协会(AICPA)下属的Elliott委员会对认证的定义是:“一种用来改善决策者使用的信息质量或信息环境的独立专业服务”。认证服务的范围很广,它包括传统审计、WebTrust、SysTrust和审计服务扩展的集合。ITGI在 2007发布的《IT认证指南》中开始用IT认证(IT Assurance)来代替传统的信息系统审计或IT审计的概念。
Vasarhelyi等(2010)从三个方面划分了持续监控与持续审计(亦称持续认证或持续数据认证)的区别,并指出这些区别是相关的:①持续监控包含了一组用于监控内部控制功能的程序,如对访问控制和授权、系统配置和业务流程设计的监控;②持续审计是对持续数据信息系统中数据的真实性、完整性进行验证;③持续风险监控和评估用于动态地评估风险,并提供用于审计计划的输入。
与Vasarhelyi等(2010)持续审计的观点相类似,KPMG(2009)将持续监控划分为三个要素:①包括对一个系统的全局设计,用于定义一个事项或者交易如何生成、处理和记录的访问控制和规则的监控;②包括建立规则,根据实际交易流进行测试,以识别例外、异常的模式和趋势,或者识别与期望的绩效指标相违背的因素;③对宏观趋势和结果进行监控,要求在确定的风险和绩效领域中对衡量的历史或者新兴趋势进行评价,从而促使经理层将业务绩效与组织中的人员、流程和技术的变革相联系。这种划分虽然与Vasarhelyi等(2010)对持续认证的划分类似,但持续认证各要素的内涵明显地体现出了审计的基本目的——查错防弊,而持续监控的各要素更加体现了对控制、风险和绩效方面的关注。
三、持续监控和持续认证的区别
1. 运行主体不同。持续监控是一项管理职能,执行主体是经理层,由经理层组织实施。而持续认证是一项鉴证职能,执行主体是审计人员,由审计部门组织实施。
2. 覆盖面不同。持续监控的目的是实施和维护一个有效的内部控制系统,它覆盖了内部控制系统中所有的关键控制点。而持续认证的目的是收集充分的审计证据,作为对某个审计主题发表意见的基础,它所覆盖的关键控制点的数量与认证主题息息相关。
3. 目的不同。持续监控同时关注绩效、控制和风险,目的是对内部控制系统持续改进。而持续认证提供的是一种确认性服务,只要内部控制系统能够合理地控制风险,审计师就会发表无保留意见。经理层实施持续监控是为了发现改进的空间,以寻求持续改进的途径。
4. 作用不同。持续监控实施的过程是对内部控制系统进行查漏补缺的过程,在已经存在控制的地方,它的功能是对现有控制进行监控和修补,在不存在控制的地方,它本身又可以作为一种控制活动(ISACA,2010)。而持续审计出于审计独立性的考虑,它只能对内部控制系统发表意见,而难以行使完善内部控制系统的职能,因此,持续审计的直接对象就是企业中现有的内部控制。
5. 频率不同。持续监控作为经理层的一种日常管理工具,它的执行更加频繁(例如,每小时、每天、每周);而内部审计部门可能更加关注不同时间(例如,每月、每季、每年)的趋势,其执行具有一定的周期性。
综合上述五个方面的差别,我们认为,持续监控是内部控制系统的必要组成部分,虽然持续认证和持续监控在功能上存在互补(IIA,2005),但它们之间存在的差异,使得持续认证难以全面地履行持续监控的职能。企业在实施持续监控时,最好与持续认证同时进行。这一方面可以避免两种职能工作的重复,另一方面还可以发挥内部审计的咨询作用,以帮助经理层更好地实施持续监控。
结合上面对IT治理、信息系统内部控制、持续监控、持续审计、持续认证概念的分析,笔者认为,可将信息系统内部控制的持续监控定义为:在IT治理的制度安排下,嵌入在信息系统中能够对信息系统中的控制参数和业务规则进行实时监测,并在一个合乎企业风险管理要求的某个频率上周期性地对信息系统中的业务数据进行分析,以便发现控制运行方面存在的缺陷、风险程度和运行绩效,并将相关发现以“警报”或者“例外报告”的形式发送给相关责任人员,让他们及时采取补救措施,并跟踪和反馈这些补救措施的执行,以实现对内部控制系统的持续改进,确保内部控制持续有效的一个管理流程。
【注】本文系浙江省自然科学基金项目(项目编号:LQ13G020011),教育部人文社科规划项目(项目编号:13YJAZH082)的阶段性研究成果。
主要参考文献
1. 牛艳芳,阳杰.会计信息系统研究的边界与范式.东疆学刊,2012;2
2. 阳杰,庄明来.内部控制持续监控系统研究的理论框架.江西社会科学,2012;5
