来源:Information Systom Control
背景
斯坦福大学(加利福利亚,美国)内部审计部门的使命是协助大学的管理,协助理事会识别、避免、减轻风险。除了使用标准的审计技术来执行这一使命,内部审计部门已经成功的实现了风险和控制自我评估来完成审计工作。
在过去几年中,风险和控制自我评估在内部审计领域引起了越来越多的关注。本质上说,这一技术就是集中整个部门(或几个相关部门)职员进行一次讨论。他们不仅要披露风险和控制问题,也通常要设计出行动计划来解决那些问题。
在电子化的风险和控制自我评估中,每个与会者使用一个类似于电视遥控器的装置。讨论会中的电子形式相对于传统的活动挂图和白色书写板来说确实是一种更受大众喜欢的形式。与会者通过按装置上的数字以预设的尺度来对与单位经营目标和流程相关的风险和控制因素进行评分表决,这一过程作为识别控制问题和改进建议的一种方法可以为审计提供补充。讨论会的组织者帮助团队明确目标、达成一致并坚持这一目标。
斯坦福大学内部审计部门当今使用的就是Resolver Ballot的电子投票系统。市场上有许多类似的软件工具,但是,内部审计部门发现这个系统很容易学会并很容易使用。大多数的软件为投票提供制图和设置多项标准的功能。最好的功能是能实时的获取所有信息,并且投票的结果可以及时的用表格和汇总表显示给与会者。
风险和控制自我评估——在哪里使用并怎样使用
在一般的审计项目中,第一步是获得对经营情况、伴随的风险、组织结构、职责和任务、政策和流程、法律和规章制度、管理报告和控制环境的了解。下一步是通过评估是否存在档案记录程序,职责和义务是否恰当和明确、在需要时是否有有效的补救措施来评估控制环境。最后是进行合规性测试和对控制的确认,有必要的话,再通过大量的测试来评估在控制目标没有实现的情况下会出现的风险。
这些步骤中的几个,特别是前几个可以通过风险和控制自我评估来完成。审计人员不能将风险和控制自我评估用作如测试、查证、确认的审计手段。然而使用RCSA可以帮助审计人员在短时间内对整个单位有个总体评价,并了解经营流程、鉴别在什么地方都有哪些控制措施,以及评估控制效果如何——尽管是主观的。
斯坦福大学将RCSA用在几种情况中,在这篇文章中作者将阐明斯坦福大学内部审计部门在以下情形中是如何应用RCSA的:
信息技术风险评估和信息技术审计计划——为什么?
几年来内部审计部门一直执行两年一次的整个大学范围内的风险评估来制订大学的审计计划。应审计实体的财务数据(主要是支出)从大学数据库中得来,有关整个大学风险评估的主观部分通过研讨会上使用电子投票系统来完成。来自大学不同部门的管理者被挑选出来收集主观数据和分析,因为他们的观点或行政责任在某种程度上影响着学校大部分部门。
内部审计部门使用风险评估流程来指导在哪进行内部审计活动。基于管理者的认识和内部审计部门客观的财务数据收集和分析,一份年度审计计划产生了。与会者风险评分较高的实体会被优先安排审计。总的说来,与会者对将近80个应审计单位进行表决,这些单位包括七个学院、中心部门和中心信息技术组织内部部门。用来评定这些实体的四个风险标准是:
不足为奇的是,信息技术系统服务部门在所有四个风险率中都居于高风险。主要原因就是所有大学的管理者都认为信息是一项重要的资产,并希望保证这项资产的安全性、完整性、实用性和可靠性。
为了提出更有针对性的信息技术审计计划,内部审计部门决定对信息技术系统服务部门进行单独的风险评估。除了对应大学管理者们的高度关注,也是出于对信息技术系统服务部门内部正在发生的许多变化进行考虑的需要。这些变化中最大的是准备使用ERP系统并逐步淘汰内部行政管理、财务和学生管理系统的计划。这些内部系统中几专家已准备退休,应此维持这些系统变得难以为继。
方法:是什么让信息技术管理者夜不能寐
一次,六大主要领域的信息总监和直接下属被邀请参与针对信息技术系统服务部门的风险评估。有许多风险评估方法可供信息系统审计员从中选择。在这次评估会上,参与者选择了一个结构化的和非结构化模式的混合体。结构化的部分使用COBIT(信息和相关技术的控制目标)的原理,该原理可以从www.isaca.org获得,尽管COBIT还没有正式的被斯坦福大学所采用,但其中的24个信息流程已经作为一个起点被应用。COBIT是一个内部控制模型,有一整套公认的信息技术控制目标,主要关注信息的可靠性、安全性、和可获取性。它同时也为信息技术管理提供了目标。
在对信息技术系统服务进行风险评估之前,与会者们认同了信息技术系统服务部门的任务是支持整个大学的事业——传播优秀教育和研究。他们也认同COBIT部门关于控制和控制目标的定义。正如COBIT所定义的,控制就是为确保商业的目标达成和不利事件的预防、稽核并修正提供合理保障的政策、流程、实践和组织结构的集合。作为评估的第一项标准,与会者就24项信息技术流程中每一项流程对于ITSS使命达成如何重要进行了评价。第二项标准是ITSS执行那一流程的情况如何。用以下的顺序,每一流程等级分别为1-5
标准一:对达成ITSS目标的重要性
(1) 不重要(2)比较重要(3)重要(4)很重要(5)关键
标准二:ITSS执行情况如何?
(1)远离目标(2)起步阶段(3)朝着方向进行(4)趋于终止(5)达成
以下是与会者表决的24个COBIT流程的一个例子。下面的是作为达成ITSS使命的关键因素被投票为高级别(4-5)。一些流程在绩效方面得分很高,一些在危险程度和绩效表现存在差异,因此为进一步研究那些流程提供了机会。
非固定的模式包括一个与相同与会者一起参加一个自由发表言论的会议,问他们“什么使他们夜不能寐?”与会者采用头脑风暴的方式来讨论他们认为最为重大的事件。然后所有与会者表决某一固定风险或事件发生的可能性,他们对某一特定风险所能使用的影响和控制。结果是54项事件。与会者觉得他们应该改进的最为关注的领域是:
很明确,与会团体认为信息技术系统服务部门对一些风险的影响能力有限,但是认同他们可以集中关注于那些他们有能力影响的区域。内部审计部门将对投票进行归集并分析风险程度和绩效之间最大的差异。接着产生的审计计划将集中于这些领域。审计计划将通过以下方式完成(a)对区域或流程的审计,(b)在有影响力的高风险区域进行RCSA讨论,包括制订信息技术行动计划来减少差异(c)通过系统咨询为信息技术审计员提供咨询服务,和(d)在前期就参与项目计划的制定。
对新系统进行执行后的评估
内部审计部门应用RCSA的另一个领域是对新系统进行执行后的评估。在这样的评估中,内部审计部门举行一次支持系统的终端用户和信息技术团队的讨论会。与会者被问及什么是运作良好的什么是不好的,以下是一部分列表。
等级(1)非常一致(2)一致(3)非常接近(4)不一致(5)非常不一致
运作不好的:
运作好的:
新系统的优点
讨论会的优点在于,信息技术部门的支持人员、程序设计者和开发人员能掌握有关用户问题的第一手情况,而不是通过问题故障单或审计报告。同时,这一讨论会也打消了用户关于系统如何运作或什么能做什么不能做这些方面的错误直觉。作为讨论会的延续,内部审计部门提供投票服务,使得用户和信息技术部门能快速的评定用户系统升级需求。他们选择出那些能使所有使用这受益的项目和那些信息技术部门能在一个合理的时间范围内解决的需求。这是一个将需求进行优先排序的快速的方法之一。
学院信息技术团体的年度风险和控制自我评估
学院信息技术团体就成功指标达成一致,对它们进行评分并用头脑风暴的方法讨论阻碍实现这些成功指标的障碍。他们也针对这些障碍做出行动计划。下一年,几个障碍将被移除,尽管新的风险可能将代替它们的位置。这一流程类似年度绩效评估、记分卡、自我评估。最主要的益处就是使信息技术部门采用可行的内部控制了解并管理风险。难道这不是应该发生的吗——用户为它们的风险和控制负责,而不是认为内部审计应该为控制负责。的确是这样的。
与会者的评价——RCSA的两面性
几乎所有的RCSA讨论会都鼓励与会者的简洁评论。这里是从所有讨论中取出的一份样本:
信息审计人员的观点
尽管它肯定不能取代传统审计,但RCSA是审计组合中有用的部分。这一流程之所以有用,原因如下:
好的方面
审计人员需要注意的不利的方面
为了保证RCSA讨论的成功,需要有领导能力的审计人员熟悉RCSA并能积极的应用RCSA,有能力的组织者或实施者、善于接纳的客户、适合的参与者、投票技术、良好的预先计划和与客户达成一致、一个舒适的会议室、停车场和食物!
结论
RCSA在审计流程中几个阶段都有重要意义,从对被审查领域的风险评估和制订年度审计计划或独立审计计划开始。RCSA从头至尾都可以被认为是审计流程中一个有用的工具。斯坦福大学认为RCSA是一个有价值的投资并且将继续将它作为审计综合方法中的所必需的组成部分。