【摘要】本文對信息系統內部控制與IT治理,持續監控、持續審計和持續認證這兩組意思接近的概念進行了辨析,并對信息系統內部控制的持續監控進行了重新定義。
【關鍵詞】IT治理 持續審計 持續監控 信息系統 內部控制 持續認證
在針對持續監控的研究中,信息系統內部控制與IT治理、持續監控、持續審計和持續認證是兩組意思接近的概念,在許多研究中并未對它們進行嚴格的概念區分,以致混用。為此,本文在對西方權威文獻進行梳理的基礎上,對這幾個概念進行初步的辨析。
一、信息系統內部控制與IT治理
我國《企業內部控制應用指引第18號——信息系統》將信息系統定義為:企業利用計算機和通信技術,對內部控制進行集成、轉化和提升所形成的信息化管理平臺。而內部控制是由企業董事會成員、經理層和其他人員設計用來對經營的效果和效率、財務報告的可靠性、法律和條規的遵守情況等三個目標的實現提供合理保證的一個流程。信息系統的基本功能就是進行信息采集、加工、報告和管理。在信息化環境下,企業將具有既定控制目標的內部控制與信息系統相融合,實現內部控制的集成、轉化和提升,使信息系統具有目的性。
當前西方準則制定機構普遍使用IT控制來替代信息系統內部控制,并由此衍生出了IT審計和IT治理等概念。這里的IT并非我們通常所指的信息技術,而是“信息及相關技術”。IT控制的概念最初是由IT治理協會(ITGI)在其信息及相關技術控制目標(COBIT)框架中提出來的,該框架中的IT是由“Information”中的“I”和“related Technology”中的“T”組合成的,它首先強調的是信息,然后才是技術。這里的IT其實就是信息系統。因此可以說,ITGI提出的IT控制、IT治理和國際信息系統審計與控制協會(ISACA)提出的IT審計概念,其實都是針對信息系統的。本文采用的是信息系統內部控制概念,它等同于ITGI提出的IT控制。
IT治理是企業治理的組成部分,也是控制環境的構成要素。企業治理是指導和控制企業的系統,主要由董事會和經理層為履行職責所采取的一系列舉措而構成,其目標是為企業運作提供戰略指導,控制企業風險,合理使用企業資源,確保企業戰略目標的實現(ITGI,2003)。一致性和績效是企業治理的兩個主要的維度。一致性指的是與企業的控制和認證安排相符合,績效是驅動企業前進的價值創造(IFAC,2004)。一致性和績效之間的平衡形成了良好的企業治理。IT治理關注的是企業治理中與IT相關的問題,它側重的是制度的構建,通過合理配置IT決策權來激勵和約束IT管理者來做出使IT投資價值最大化、風險最小化的決策。
戰略融合、價值交付、資源管理、風險管理和績效測評是IT治理的五個領域,其最終目標是保持IT與業務的一致性,IT支持業務運行并實現收益最大化和IT資源的有效使用及IT風險管理(ISACA,2007)。IT治理定位于高層指導和控制,關注的是“做什么”和“由誰做”,它是內部控制環境的重要組成部分。而信息系統內部控制是企業范圍內全體人員的責任,它關注的是“做什么”,它是支撐、促進和加強IT治理的必要手段。信息系統內部控制一旦失效,信息系統所產生的信息質量就難以保證,IT治理決策也只能是“垃圾進,垃圾出”。
二、持續監控、持續審計和持續認證
1992年的COSO在《內部控制整合框架》中首次引入了監控要素。在該框架中,監控是作為整個內部控制系統的一種反饋機制,目的在于確保內部控制能夠根據環境的變化及時進行自身調整,以保證它持續有效。監控包括持續監控和專項評價(又稱專項監督)兩種互補方式。
在COSO和PCAOB制定的規范中,通常使用的是“ongoing monitoring”的概念,IIA的《持續審計:對認證、監控和風險評估的意義》和ISACA的第42號信息系統審計指南《持續認證》中都是使用“continuous monitoring”的概念,不過,ISACA在《內部控制系統和IT監控指南》中也使用的是“ongoing monitoring”的概念,但它對“ongoing monitoring”和“continuous monitoring”作了區分,并認為,后者是前者的一個子集,是一種自動化的監控形式,也就是說,兩者的區別主要在于是否依靠IT來自動運行,依靠IT自動運行的,則屬于“continuous monitoring”。我們認為兩者運行手段的差異,并沒有改變其自身的特征,所以本文對此不作區分。
持續監控是“嵌入”企業日常性的、反復發生的活動之中的,對內部控制系統進行連續的、全面的、系統的、動態的檢查,以評估內部控制的充分性和有效性。它包括一般性的管理和監督活動、同行比較和利用內外部數據進行趨勢分析,也可能包括利用自動化工具評估控制、交易和流程。專項評價指企業對內部控制建立與實施的某一方面(包括持續監控)或者某些方面的情況所進行的不定期的、有針對性的檢查。由于持續監控與企業的經營活動水乳交融、并行共進、密切監視、精準把控、及時反饋,能夠及早識別并糾正控制缺陷,且能實時、動態地應對環境的變化,所以它的效率更高,效果更好。可見,持續監控是一種主要的監控方式,它提供了經理層用來支持其斷言的大部分證據(COSO,2009)。持續監控的程度和有效性越強,專項評價的需求就越少。
COSO的《內部控制整體框架》認為內部審計是內部控制的重要組成部分。內部審計是控制的確認者,監督、評價和改善內部控制是內部審計的基本職責。內部審計是作為組織的控制職能來考核、評價組織的其他控制的職能部門(王光遠,2007)。因此內部審計職能開展的持續審計(也稱連續審計)或持續認證和經理層所開展的持續監控活動在技術和目標上是一致的(IIA,2005)。
Coderre在比較持續監控和持續審計時,將持續審計和持續控制評估視為兩種互補的方法,而將持續風險評估視為持續審計和持續監控的區別。筆者認為,由于內部控制缺陷可分為設計缺陷和運行缺陷,因而以持續風險評估作為持續審計和持續監控的區別有失偏頗。具體說,設計缺陷是指缺少為實現控制目標所必需的控制設計。運行缺陷是指現存設計完好的控制沒有按設計意圖運行,以有效地實施控制。持續控制評估的目的是評估內部控制是否存在運行缺陷,這是一種靜態的風險觀念,它隱含的前提就是當前的內部控制在設計方面是有效的。持續風險評估的目的是評估內部控制是否存在設計缺陷,這是一種動態的風險觀念,它所隱含的前提就是當前的內部控制在運行方面是有效的。所以,持續控制評估和持續風險評估技術對于持續監控而言都是必要的。
我們注意到,Coderre對持續審計的定義已經不僅僅局限在傳統的“審計”范疇,其落腳點不是對“經濟活動和經濟事項”提供認證,而是通過這些相關的數據來評估內部控制的有效性和企業面臨的風險水平,因而Coderre對持續審計的定義實質上是持續認證。
當前,在持續審計領域,人們更多的是應用持續認證的概念。嚴格來說,兩者也存在區別。1973年,美國會計學會下屬的基本審計概念委員會將審計定義為:“一種采用客觀的方式來獲取并評價關于經濟活動和經濟事件認定的證據,來查明該認定與既定的標準之間的一致性,并將結果傳遞給利益相關方的一個系統化的流程”。認證服務在我國也被譯作“保證服務”或“確認性服務。1997年美國注冊會計師協會(AICPA)下屬的Elliott委員會對認證的定義是:“一種用來改善決策者使用的信息質量或信息環境的獨立專業服務”。認證服務的范圍很廣,它包括傳統審計、WebTrust、SysTrust和審計服務擴展的集合。ITGI在 2007發布的《IT認證指南》中開始用IT認證(IT Assurance)來代替傳統的信息系統審計或IT審計的概念。
Vasarhelyi等(2010)從三個方面劃分了持續監控與持續審計(亦稱持續認證或持續數據認證)的區別,并指出這些區別是相關的:①持續監控包含了一組用于監控內部控制功能的程序,如對訪問控制和授權、系統配置和業務流程設計的監控;②持續審計是對持續數據信息系統中數據的真實性、完整性進行驗證;③持續風險監控和評估用于動態地評估風險,并提供用于審計計劃的輸入。
與Vasarhelyi等(2010)持續審計的觀點相類似,KPMG(2009)將持續監控劃分為三個要素:①包括對一個系統的全局設計,用于定義一個事項或者交易如何生成、處理和記錄的訪問控制和規則的監控;②包括建立規則,根據實際交易流進行測試,以識別例外、異常的模式和趨勢,或者識別與期望的績效指標相違背的因素;③對宏觀趨勢和結果進行監控,要求在確定的風險和績效領域中對衡量的歷史或者新興趨勢進行評價,從而促使經理層將業務績效與組織中的人員、流程和技術的變革相聯系。這種劃分雖然與Vasarhelyi等(2010)對持續認證的劃分類似,但持續認證各要素的內涵明顯地體現出了審計的基本目的——查錯防弊,而持續監控的各要素更加體現了對控制、風險和績效方面的關注。
三、持續監控和持續認證的區別
1. 運行主體不同。持續監控是一項管理職能,執行主體是經理層,由經理層組織實施。而持續認證是一項鑒證職能,執行主體是審計人員,由審計部門組織實施。
2. 覆蓋面不同。持續監控的目的是實施和維護一個有效的內部控制系統,它覆蓋了內部控制系統中所有的關鍵控制點。而持續認證的目的是收集充分的審計證據,作為對某個審計主題發表意見的基礎,它所覆蓋的關鍵控制點的數量與認證主題息息相關。
3. 目的不同。持續監控同時關注績效、控制和風險,目的是對內部控制系統持續改進。而持續認證提供的是一種確認性服務,只要內部控制系統能夠合理地控制風險,審計師就會發表無保留意見。經理層實施持續監控是為了發現改進的空間,以尋求持續改進的途徑。
4. 作用不同。持續監控實施的過程是對內部控制系統進行查漏補缺的過程,在已經存在控制的地方,它的功能是對現有控制進行監控和修補,在不存在控制的地方,它本身又可以作為一種控制活動(ISACA,2010)。而持續審計出于審計獨立性的考慮,它只能對內部控制系統發表意見,而難以行使完善內部控制系統的職能,因此,持續審計的直接對象就是企業中現有的內部控制。
5. 頻率不同。持續監控作為經理層的一種日常管理工具,它的執行更加頻繁(例如,每小時、每天、每周);而內部審計部門可能更加關注不同時間(例如,每月、每季、每年)的趨勢,其執行具有一定的周期性。
綜合上述五個方面的差別,我們認為,持續監控是內部控制系統的必要組成部分,雖然持續認證和持續監控在功能上存在互補(IIA,2005),但它們之間存在的差異,使得持續認證難以全面地履行持續監控的職能。企業在實施持續監控時,最好與持續認證同時進行。這一方面可以避免兩種職能工作的重復,另一方面還可以發揮內部審計的咨詢作用,以幫助經理層更好地實施持續監控。
結合上面對IT治理、信息系統內部控制、持續監控、持續審計、持續認證概念的分析,筆者認為,可將信息系統內部控制的持續監控定義為:在IT治理的制度安排下,嵌入在信息系統中能夠對信息系統中的控制參數和業務規則進行實時監測,并在一個合乎企業風險管理要求的某個頻率上周期性地對信息系統中的業務數據進行分析,以便發現控制運行方面存在的缺陷、風險程度和運行績效,并將相關發現以“警報”或者“例外報告”的形式發送給相關責任人員,讓他們及時采取補救措施,并跟蹤和反饋這些補救措施的執行,以實現對內部控制系統的持續改進,確保內部控制持續有效的一個管理流程。
【注】本文系浙江省自然科學基金項目(項目編號:LQ13G020011),教育部人文社科規劃項目(項目編號:13YJAZH082)的階段性研究成果。
主要參考文獻
1. 牛艷芳,陽杰.會計信息系統研究的邊界與范式.東疆學刊,2012;2
2. 陽杰,莊明來.內部控制持續監控系統研究的理論框架.江西社會科學,2012;5
【作 者】
陽 杰
【作者單位】
(溫州大學城市學院 浙江溫州 325035)
