风险与控制自我评估

来源：Information Systom Control

背景

    斯坦福大学（加利福利亚，美国）内部审计部门的使命是协助大学的管理，协助理事会识别、避免、减轻风险。除了使用标准的审计技术来执行这一使命，内部审计部门已经成功的实现了风险和控制自我评估来完成审计工作。

    在过去几年中，风险和控制自我评估在内部审计领域引起了越来越多的关注。本质上说，这一技术就是集中整个部门（或几个相关部门）职员进行一次讨论。他们不仅要披露风险和控制问题，也通常要设计出行动计划来解决那些问题。

    在电子化的风险和控制自我评估中，每个与会者使用一个类似于电视遥控器的装置。讨论会中的电子形式相对于传统的活动挂图和白色书写板来说确实是一种更受大众喜欢的形式。与会者通过按装置上的数字以预设的尺度来对与单位经营目标和流程相关的风险和控制因素进行评分表决，这一过程作为识别控制问题和改进建议的一种方法可以为审计提供补充。讨论会的组织者帮助团队明确目标、达成一致并坚持这一目标。

    斯坦福大学内部审计部门当今使用的就是Resolver Ballot的电子投票系统。市场上有许多类似的软件工具，但是，内部审计部门发现这个系统很容易学会并很容易使用。大多数的软件为投票提供制图和设置多项标准的功能。最好的功能是能实时的获取所有信息，并且投票的结果可以及时的用表格和汇总表显示给与会者。

风险和控制自我评估——在哪里使用并怎样使用

    在一般的审计项目中，第一步是获得对经营情况、伴随的风险、组织结构、职责和任务、政策和流程、法律和规章制度、管理报告和控制环境的了解。下一步是通过评估是否存在档案记录程序，职责和义务是否恰当和明确、在需要时是否有有效的补救措施来评估控制环境。最后是进行合规性测试和对控制的确认，有必要的话，再通过大量的测试来评估在控制目标没有实现的情况下会出现的风险。

    这些步骤中的几个，特别是前几个可以通过风险和控制自我评估来完成。审计人员不能将风险和控制自我评估用作如测试、查证、确认的审计手段。然而使用RCSA可以帮助审计人员在短时间内对整个单位有个总体评价，并了解经营流程、鉴别在什么地方都有哪些控制措施，以及评估控制效果如何——尽管是主观的。

    斯坦福大学将RCSA用在几种情况中，在这篇文章中作者将阐明斯坦福大学内部审计部门在以下情形中是如何应用RCSA的：

• 
  进行计算积技术风险评估，最终得出计算机审计计划
• 
  将问题用优先次序加以区分，并设计执行后的系统回查中的行动方案
• 
  对学校的IT组群进行年度风险和控制自我评估

信息技术风险评估和信息技术审计计划——为什么？

    几年来内部审计部门一直执行两年一次的整个大学范围内的风险评估来制订大学的审计计划。应审计实体的财务数据（主要是支出）从大学数据库中得来，有关整个大学风险评估的主观部分通过研讨会上使用电子投票系统来完成。来自大学不同部门的管理者被挑选出来收集主观数据和分析，因为他们的观点或行政责任在某种程度上影响着学校大部分部门。

    内部审计部门使用风险评估流程来指导在哪进行内部审计活动。基于管理者的认识和内部审计部门客观的财务数据收集和分析，一份年度审计计划产生了。与会者风险评分较高的实体会被优先安排审计。总的说来，与会者对将近80个应审计单位进行表决，这些单位包括七个学院、中心部门和中心信息技术组织内部部门。用来评定这些实体的四个风险标准是：

• 
  不合规：不符合内部和外部法律、法规、政策或流程
• 
  缺乏公众信任或存在负面的公众形象：由普通公众引起的对大学的负面影响
• 
  财产/债务的损失：不能恰当的管理物质资产和资源
• 
  管理不当：不能达到预定的目标

    不足为奇的是，信息技术系统服务部门在所有四个风险率中都居于高风险。主要原因就是所有大学的管理者都认为信息是一项重要的资产，并希望保证这项资产的安全性、完整性、实用性和可靠性。

    为了提出更有针对性的信息技术审计计划，内部审计部门决定对信息技术系统服务部门进行单独的风险评估。除了对应大学管理者们的高度关注，也是出于对信息技术系统服务部门内部正在发生的许多变化进行考虑的需要。这些变化中最大的是准备使用ERP系统并逐步淘汰内部行政管理、财务和学生管理系统的计划。这些内部系统中几专家已准备退休，应此维持这些系统变得难以为继。

方法：是什么让信息技术管理者夜不能寐

    一次，六大主要领域的信息总监和直接下属被邀请参与针对信息技术系统服务部门的风险评估。有许多风险评估方法可供信息系统审计员从中选择。在这次评估会上，参与者选择了一个结构化的和非结构化模式的混合体。结构化的部分使用COBIT（信息和相关技术的控制目标）的原理，该原理可以从www.isaca.org获得，尽管COBIT还没有正式的被斯坦福大学所采用，但其中的24个信息流程已经作为一个起点被应用。COBIT是一个内部控制模型，有一整套公认的信息技术控制目标，主要关注信息的可靠性、安全性、和可获取性。它同时也为信息技术管理提供了目标。

    在对信息技术系统服务进行风险评估之前，与会者们认同了信息技术系统服务部门的任务是支持整个大学的事业——传播优秀教育和研究。他们也认同COBIT部门关于控制和控制目标的定义。正如COBIT所定义的，控制就是为确保商业的目标达成和不利事件的预防、稽核并修正提供合理保障的政策、流程、实践和组织结构的集合。作为评估的第一项标准，与会者就24项信息技术流程中每一项流程对于ITSS使命达成如何重要进行了评价。第二项标准是ITSS执行那一流程的情况如何。用以下的顺序，每一流程等级分别为1-5

标准一：对达成ITSS目标的重要性

（1）    不重要（2）比较重要（3）重要（4）很重要（5）关键

标准二：ITSS执行情况如何？

（1）远离目标（2）起步阶段（3）朝着方向进行（4）趋于终止（5）达成

    以下是与会者表决的24个COBIT流程的一个例子。下面的是作为达成ITSS使命的关键因素被投票为高级别（4-5）。一些流程在绩效方面得分很高，一些在危险程度和绩效表现存在差异，因此为进一步研究那些流程提供了机会。

• 
  管理信息技术系统服务部门人力资源
• 
  清晰的制订出战略信息技术计划
• 
  管理项目——项目的生命周期、SDLC、质量保证
• 
  确保系统安全
  

    非固定的模式包括一个与相同与会者一起参加一个自由发表言论的会议，问他们“什么使他们夜不能寐？”与会者采用头脑风暴的方式来讨论他们认为最为重大的事件。然后所有与会者表决某一固定风险或事件发生的可能性，他们对某一特定风险所能使用的影响和控制。结果是54项事件。与会者觉得他们应该改进的最为关注的领域是：

• 
  雇佣并保持信息技术员工
• 
  员工必须要融入到斯坦福的环境中；新员工必须要学习并跟上进度
• 
  规模大而又复杂全新的信息技术计划；难以制定出可操作的时间表
• 
  在大多数项目中，安全没有处于底线地位
• 
  信息技术发展飞速，当今所做的所有的事情在五分钟之后都将成为历史；管理变得越来越难

    很明确，与会团体认为信息技术系统服务部门对一些风险的影响能力有限，但是认同他们可以集中关注于那些他们有能力影响的区域。内部审计部门将对投票进行归集并分析风险程度和绩效之间最大的差异。接着产生的审计计划将集中于这些领域。审计计划将通过以下方式完成（a）对区域或流程的审计，（b）在有影响力的高风险区域进行RCSA讨论，包括制订信息技术行动计划来减少差异(c)通过系统咨询为信息技术审计员提供咨询服务，和（d）在前期就参与项目计划的制定。

对新系统进行执行后的评估

    内部审计部门应用RCSA的另一个领域是对新系统进行执行后的评估。在这样的评估中，内部审计部门举行一次支持系统的终端用户和信息技术团队的讨论会。与会者被问及什么是运作良好的什么是不好的，以下是一部分列表。

等级（1）非常一致（2）一致（3）非常接近（4）不一致（5）非常不一致

运作不好的：

• 
  大量的用户诉求；信息技术系统服务部门没能满足用户的需求；执行后的前四个月没有有关于优先次序和需求状况的信息
• 
  用户接受培训和他们开始使用系统之间的时间过长
• 
  就系统中的错误报告又在新系统中重复出现

运作好的：

• 
  有帮助桌面
• 
  所有成员会面讨论；预先检查即将使用的新系统；进行流程安排；交流
• 
  项目领导层了解技术问题，知道如何估计需求和建立系统

新系统的优点

• 
  在互联网上有能力使用文件传送协议（FTP）的能力
• 
  增加了特别的研究和报告；功能超级强大
• 
  比以前更为谨慎的从更多领域获取数据
• 
  信息所有者输入数据
• 
  不依赖于书面备份；可以得到任何日期的准确信息

    讨论会的优点在于，信息技术部门的支持人员、程序设计者和开发人员能掌握有关用户问题的第一手情况，而不是通过问题故障单或审计报告。同时，这一讨论会也打消了用户关于系统如何运作或什么能做什么不能做这些方面的错误直觉。作为讨论会的延续，内部审计部门提供投票服务，使得用户和信息技术部门能快速的评定用户系统升级需求。他们选择出那些能使所有使用这受益的项目和那些信息技术部门能在一个合理的时间范围内解决的需求。这是一个将需求进行优先排序的快速的方法之一。 

学院信息技术团体的年度风险和控制自我评估

    学院信息技术团体就成功指标达成一致，对它们进行评分并用头脑风暴的方法讨论阻碍实现这些成功指标的障碍。他们也针对这些障碍做出行动计划。下一年，几个障碍将被移除，尽管新的风险可能将代替它们的位置。这一流程类似年度绩效评估、记分卡、自我评估。最主要的益处就是使信息技术部门采用可行的内部控制了解并管理风险。难道这不是应该发生的吗——用户为它们的风险和控制负责，而不是认为内部审计应该为控制负责。的确是这样的。

与会者的评价——RCSA的两面性

    几乎所有的RCSA讨论会都鼓励与会者的简洁评论。这里是从所有讨论中取出的一份样本：

• 很好的学习经历；学到许多部门事物
• 
  便利
• 
  良好的技术
• 
  使想法得以实时的表达、获取并评分
• 可以看到标准偏差
• 
  能整个的将数据重新安排，通过最高风险或最大的控制重要性来分类
• 
  了解在缺乏控制或没有控制的地方会出现的较大风险
• 
  有时候速度太快
  

信息审计人员的观点

    尽管它肯定不能取代传统审计，但RCSA是审计组合中有用的部分。这一流程之所以有用，原因如下：

好的方面

•  
  将审计客户纳入到风险评估中，因为他们比其他任何人都能更好的了解业务流程 
• 
  RCSA讨论会上确定的解决方案客户可以直接获得。不需要再单独购入审计建议
• 
  识别问题的快速方法
• 
  在更短的时间内获得更大量的数据。许多人在同一个会议室讨论，而不是单独的会面
• 
  自由讨论激发思考并提出可行的解决方案
• 
  有利于检查发生重大改变的职能、流程或环境
• 
  被用于风险评估和年度审计计划

审计人员需要注意的不利的方面

• 
  没有一个容易的方法来监控行动计划
• 
  可能会因为没有识别出弱点的真实原因而抱怨讨论会
• 
  必须有适当级别的管理层的参与。错误的听众参与可能导致产生永远不可能执行的结果，或管理层认为无价值的想法。
•  
  观点是主观的；不能在讨论会中落实
• 
  如何在审计组合中确保RCSA服务的成功

    为了保证RCSA讨论的成功，需要有领导能力的审计人员熟悉RCSA并能积极的应用RCSA，有能力的组织者或实施者、善于接纳的客户、适合的参与者、投票技术、良好的预先计划和与客户达成一致、一个舒适的会议室、停车场和食物！

结论

    RCSA在审计流程中几个阶段都有重要意义，从对被审查领域的风险评估和制订年度审计计划或独立审计计划开始。RCSA从头至尾都可以被认为是审计流程中一个有用的工具。斯坦福大学认为RCSA是一个有价值的投资并且将继续将它作为审计综合方法中的所必需的组成部分。

风险与控制自我评估

来源：Information Systom Control

背景

    斯坦福大学（加利福利亚，美国）内部审计部门的使命是协助大学的管理，协助理事会识别、避免、减轻风险。除了使用标准的审计技术来执行这一使命，内部审计部门已经成功的实现了风险和控制自我评估来完成审计工作。

    在过去几年中，风险和控制自我评估在内部审计领域引起了越来越多的关注。本质上说，这一技术就是集中整个部门（或几个相关部门）职员进行一次讨论。他们不仅要披露风险和控制问题，也通常要设计出行动计划来解决那些问题。

    在电子化的风险和控制自我评估中，每个与会者使用一个类似于电视遥控器的装置。讨论会中的电子形式相对于传统的活动挂图和白色书写板来说确实是一种更受大众喜欢的形式。与会者通过按装置上的数字以预设的尺度来对与单位经营目标和流程相关的风险和控制因素进行评分表决，这一过程作为识别控制问题和改进建议的一种方法可以为审计提供补充。讨论会的组织者帮助团队明确目标、达成一致并坚持这一目标。

    斯坦福大学内部审计部门当今使用的就是Resolver Ballot的电子投票系统。市场上有许多类似的软件工具，但是，内部审计部门发现这个系统很容易学会并很容易使用。大多数的软件为投票提供制图和设置多项标准的功能。最好的功能是能实时的获取所有信息，并且投票的结果可以及时的用表格和汇总表显示给与会者。

风险和控制自我评估——在哪里使用并怎样使用

    在一般的审计项目中，第一步是获得对经营情况、伴随的风险、组织结构、职责和任务、政策和流程、法律和规章制度、管理报告和控制环境的了解。下一步是通过评估是否存在档案记录程序，职责和义务是否恰当和明确、在需要时是否有有效的补救措施来评估控制环境。最后是进行合规性测试和对控制的确认，有必要的话，再通过大量的测试来评估在控制目标没有实现的情况下会出现的风险。

    这些步骤中的几个，特别是前几个可以通过风险和控制自我评估来完成。审计人员不能将风险和控制自我评估用作如测试、查证、确认的审计手段。然而使用RCSA可以帮助审计人员在短时间内对整个单位有个总体评价，并了解经营流程、鉴别在什么地方都有哪些控制措施，以及评估控制效果如何——尽管是主观的。

    斯坦福大学将RCSA用在几种情况中，在这篇文章中作者将阐明斯坦福大学内部审计部门在以下情形中是如何应用RCSA的：

• 
  进行计算积技术风险评估，最终得出计算机审计计划
• 
  将问题用优先次序加以区分，并设计执行后的系统回查中的行动方案
• 
  对学校的IT组群进行年度风险和控制自我评估

信息技术风险评估和信息技术审计计划——为什么？

    几年来内部审计部门一直执行两年一次的整个大学范围内的风险评估来制订大学的审计计划。应审计实体的财务数据（主要是支出）从大学数据库中得来，有关整个大学风险评估的主观部分通过研讨会上使用电子投票系统来完成。来自大学不同部门的管理者被挑选出来收集主观数据和分析，因为他们的观点或行政责任在某种程度上影响着学校大部分部门。

    内部审计部门使用风险评估流程来指导在哪进行内部审计活动。基于管理者的认识和内部审计部门客观的财务数据收集和分析，一份年度审计计划产生了。与会者风险评分较高的实体会被优先安排审计。总的说来，与会者对将近80个应审计单位进行表决，这些单位包括七个学院、中心部门和中心信息技术组织内部部门。用来评定这些实体的四个风险标准是：

• 
  不合规：不符合内部和外部法律、法规、政策或流程
• 
  缺乏公众信任或存在负面的公众形象：由普通公众引起的对大学的负面影响
• 
  财产/债务的损失：不能恰当的管理物质资产和资源
• 
  管理不当：不能达到预定的目标

    不足为奇的是，信息技术系统服务部门在所有四个风险率中都居于高风险。主要原因就是所有大学的管理者都认为信息是一项重要的资产，并希望保证这项资产的安全性、完整性、实用性和可靠性。

    为了提出更有针对性的信息技术审计计划，内部审计部门决定对信息技术系统服务部门进行单独的风险评估。除了对应大学管理者们的高度关注，也是出于对信息技术系统服务部门内部正在发生的许多变化进行考虑的需要。这些变化中最大的是准备使用ERP系统并逐步淘汰内部行政管理、财务和学生管理系统的计划。这些内部系统中几专家已准备退休，应此维持这些系统变得难以为继。

方法：是什么让信息技术管理者夜不能寐

    一次，六大主要领域的信息总监和直接下属被邀请参与针对信息技术系统服务部门的风险评估。有许多风险评估方法可供信息系统审计员从中选择。在这次评估会上，参与者选择了一个结构化的和非结构化模式的混合体。结构化的部分使用COBIT（信息和相关技术的控制目标）的原理，该原理可以从www.isaca.org获得，尽管COBIT还没有正式的被斯坦福大学所采用，但其中的24个信息流程已经作为一个起点被应用。COBIT是一个内部控制模型，有一整套公认的信息技术控制目标，主要关注信息的可靠性、安全性、和可获取性。它同时也为信息技术管理提供了目标。

    在对信息技术系统服务进行风险评估之前，与会者们认同了信息技术系统服务部门的任务是支持整个大学的事业——传播优秀教育和研究。他们也认同COBIT部门关于控制和控制目标的定义。正如COBIT所定义的，控制就是为确保商业的目标达成和不利事件的预防、稽核并修正提供合理保障的政策、流程、实践和组织结构的集合。作为评估的第一项标准，与会者就24项信息技术流程中每一项流程对于ITSS使命达成如何重要进行了评价。第二项标准是ITSS执行那一流程的情况如何。用以下的顺序，每一流程等级分别为1-5

标准一：对达成ITSS目标的重要性

（1）    不重要（2）比较重要（3）重要（4）很重要（5）关键

标准二：ITSS执行情况如何？

（1）远离目标（2）起步阶段（3）朝着方向进行（4）趋于终止（5）达成

    以下是与会者表决的24个COBIT流程的一个例子。下面的是作为达成ITSS使命的关键因素被投票为高级别（4-5）。一些流程在绩效方面得分很高，一些在危险程度和绩效表现存在差异，因此为进一步研究那些流程提供了机会。

• 
  管理信息技术系统服务部门人力资源
• 
  清晰的制订出战略信息技术计划
• 
  管理项目——项目的生命周期、SDLC、质量保证
• 
  确保系统安全
  

    非固定的模式包括一个与相同与会者一起参加一个自由发表言论的会议，问他们“什么使他们夜不能寐？”与会者采用头脑风暴的方式来讨论他们认为最为重大的事件。然后所有与会者表决某一固定风险或事件发生的可能性，他们对某一特定风险所能使用的影响和控制。结果是54项事件。与会者觉得他们应该改进的最为关注的领域是：

• 
  雇佣并保持信息技术员工
• 
  员工必须要融入到斯坦福的环境中；新员工必须要学习并跟上进度
• 
  规模大而又复杂全新的信息技术计划；难以制定出可操作的时间表
• 
  在大多数项目中，安全没有处于底线地位
• 
  信息技术发展飞速，当今所做的所有的事情在五分钟之后都将成为历史；管理变得越来越难

    很明确，与会团体认为信息技术系统服务部门对一些风险的影响能力有限，但是认同他们可以集中关注于那些他们有能力影响的区域。内部审计部门将对投票进行归集并分析风险程度和绩效之间最大的差异。接着产生的审计计划将集中于这些领域。审计计划将通过以下方式完成（a）对区域或流程的审计，（b）在有影响力的高风险区域进行RCSA讨论，包括制订信息技术行动计划来减少差异(c)通过系统咨询为信息技术审计员提供咨询服务，和（d）在前期就参与项目计划的制定。

对新系统进行执行后的评估

    内部审计部门应用RCSA的另一个领域是对新系统进行执行后的评估。在这样的评估中，内部审计部门举行一次支持系统的终端用户和信息技术团队的讨论会。与会者被问及什么是运作良好的什么是不好的，以下是一部分列表。

等级（1）非常一致（2）一致（3）非常接近（4）不一致（5）非常不一致

运作不好的：

• 
  大量的用户诉求；信息技术系统服务部门没能满足用户的需求；执行后的前四个月没有有关于优先次序和需求状况的信息
• 
  用户接受培训和他们开始使用系统之间的时间过长
• 
  就系统中的错误报告又在新系统中重复出现

运作好的：

• 
  有帮助桌面
• 
  所有成员会面讨论；预先检查即将使用的新系统；进行流程安排；交流
• 
  项目领导层了解技术问题，知道如何估计需求和建立系统

新系统的优点

• 
  在互联网上有能力使用文件传送协议（FTP）的能力
• 
  增加了特别的研究和报告；功能超级强大
• 
  比以前更为谨慎的从更多领域获取数据
• 
  信息所有者输入数据
• 
  不依赖于书面备份；可以得到任何日期的准确信息

    讨论会的优点在于，信息技术部门的支持人员、程序设计者和开发人员能掌握有关用户问题的第一手情况，而不是通过问题故障单或审计报告。同时，这一讨论会也打消了用户关于系统如何运作或什么能做什么不能做这些方面的错误直觉。作为讨论会的延续，内部审计部门提供投票服务，使得用户和信息技术部门能快速的评定用户系统升级需求。他们选择出那些能使所有使用这受益的项目和那些信息技术部门能在一个合理的时间范围内解决的需求。这是一个将需求进行优先排序的快速的方法之一。 

学院信息技术团体的年度风险和控制自我评估

    学院信息技术团体就成功指标达成一致，对它们进行评分并用头脑风暴的方法讨论阻碍实现这些成功指标的障碍。他们也针对这些障碍做出行动计划。下一年，几个障碍将被移除，尽管新的风险可能将代替它们的位置。这一流程类似年度绩效评估、记分卡、自我评估。最主要的益处就是使信息技术部门采用可行的内部控制了解并管理风险。难道这不是应该发生的吗——用户为它们的风险和控制负责，而不是认为内部审计应该为控制负责。的确是这样的。

与会者的评价——RCSA的两面性

    几乎所有的RCSA讨论会都鼓励与会者的简洁评论。这里是从所有讨论中取出的一份样本：

• 很好的学习经历；学到许多部门事物
• 
  便利
• 
  良好的技术
• 
  使想法得以实时的表达、获取并评分
• 可以看到标准偏差
• 
  能整个的将数据重新安排，通过最高风险或最大的控制重要性来分类
• 
  了解在缺乏控制或没有控制的地方会出现的较大风险
• 
  有时候速度太快
  

信息审计人员的观点

    尽管它肯定不能取代传统审计，但RCSA是审计组合中有用的部分。这一流程之所以有用，原因如下：

好的方面

•  
  将审计客户纳入到风险评估中，因为他们比其他任何人都能更好的了解业务流程 
• 
  RCSA讨论会上确定的解决方案客户可以直接获得。不需要再单独购入审计建议
• 
  识别问题的快速方法
• 
  在更短的时间内获得更大量的数据。许多人在同一个会议室讨论，而不是单独的会面
• 
  自由讨论激发思考并提出可行的解决方案
• 
  有利于检查发生重大改变的职能、流程或环境
• 
  被用于风险评估和年度审计计划

审计人员需要注意的不利的方面

• 
  没有一个容易的方法来监控行动计划
• 
  可能会因为没有识别出弱点的真实原因而抱怨讨论会
• 
  必须有适当级别的管理层的参与。错误的听众参与可能导致产生永远不可能执行的结果，或管理层认为无价值的想法。
•  
  观点是主观的；不能在讨论会中落实
• 
  如何在审计组合中确保RCSA服务的成功

    为了保证RCSA讨论的成功，需要有领导能力的审计人员熟悉RCSA并能积极的应用RCSA，有能力的组织者或实施者、善于接纳的客户、适合的参与者、投票技术、良好的预先计划和与客户达成一致、一个舒适的会议室、停车场和食物！

结论

    RCSA在审计流程中几个阶段都有重要意义，从对被审查领域的风险评估和制订年度审计计划或独立审计计划开始。RCSA从头至尾都可以被认为是审计流程中一个有用的工具。斯坦福大学认为RCSA是一个有价值的投资并且将继续将它作为审计综合方法中的所必需的组成部分。