IT审计的核心(一家之言)

Tommie Singleton   2019-09-18

导读:随着大数据、社交媒体、技术服务和云等新信息技术浪潮的到来,我们需要花时间重新审视IT审计的基础。

通常,当这些新技术出现时,带来的问题会与过去的某些问题雷同。应对这些新兴技术的方法便是IT审计员面临新技术挑战时采取的常规做法。让我们回溯到IT审计的核心以及IT审计的概念:风险识别和适当的控制措施,以将风险降低至可接受水平。

IT审计不是以下这三件事:

首先,特别是对于那些刚入行的新人以及业外人士而言,应注意IT审计不包含的范畴。IT审计不是普通的会计控制或传统的财务审计。从最初中世纪的审计开始(包括财政部和其他形式的审计),到20世纪50年代计算机系统引入之前,传统财务审计知识和技能足以支持审计行业的工作。事实上,在1954年以前,审计师完全可能从职业生涯的第一天直到退休都使用一套非常相似的审计程序表。简言之,会计系统中计算机的引入带来了会计流程和信息(即数据)相关的新风险源。此外,还为那些了解这一新“事物”的人带来了识别和规避风险的需求。

IT审计也不是合规测试。有些人认为,IT审计员的工作是确保人们遵守一些暗示或明示的规则,而我们所做的就是报告规则的例外情况。实际上,这是管理层的工作。IT审计员不关注合规是否实现,他们检验的是机构实现和监控合规性的相关系统或业务流程是否有效,同时对规则设计的有效性进行评估,例如规则的设计是否恰当,或涵盖范围是否足以适当降低目标风险或达到预期目标。

合规失败对IT审计员来说很重要,而其原因并非遵守规则本身。合规失败可能是(通常是)与某些风险因素和/或控制相关的某个更严重的问题的表现(如有漏洞的系统或业务流程),该问题可能或确实会对机构产生不利影响。因此,对于IT审计员来说,合规失败更多的是(最终)风险而不是规则本身。

若因某些规定与IT没有明确关联,就自动或随意地认为IT审计超出职责范围, 或认为IT审计浪费时间,都是不够与时俱进的行为。事实上,IT可以并且确实会对业务流程或财务数据产生不利影响,而管理层可能对此并不充分了解

独特的内在风险

IT对会计、审计和系统会带来特有的风险因素。也就是说,IT本身会给机构带来系统、业务流程和财务/会计处理的风险。这种风险是IT特有的,如果没有IT的存在,这种风险就不会存在——至少不会是同样的程度。因此,需要专业人员(如IT审计员)来识别和评估与IT相关的内在固有风险。

上述风险因素包括与系统相关的问题,如系统开发、变更管理和漏洞,以及其它技术相关因素。IT专业之外的人员可能会忽视此类风险,导致机构利益蒙受损害。一所大学的财政支持系统曾遇到过类似问题。

该大学的IT部门自己编写了财政支持程序代码。该大学是一所私立大学,有大量的财政援助可以以某种形式提供给多数学生。经验丰富的IT审计员看到这些情况以后,识别出了与财务支持相关的某些固有风险,包括程序编码的准确性,代码中存在漏洞的可能性以及欺诈性代码的可能性,这些风险都需要进行处理、检查与规避。然而,该大学的管理层没有意识到任何风险,并认为IT部门已经进行了尽职调查,财务支持程序中的各方面都是令人满意的。几年后,该大学意外地发现了编程代码中的一个错误,该错误导致财政支持预算被高估。在过去的几年中,多拨付了共计数百万美元的财政支持。而在此期间,该大学由于财务问题放弃了一些项目。本案例充分说明了识别和评估与机构相关的固有风险的必要性。

当前,几乎所有的机构都在某种程度上使用IT,聘请IT审计员来评估其IT固有风险的需求迫在眉睫。IT审计员受过专门的培训,能够熟练地识别IT技术和系统的性质和风险。

让我们回到新兴技术问题,首先,要正确评估风险的性质、特异性和等级。经审慎考虑后,IT审计员和其他人就可以开始制定适当的控制措施,以便将风险降低到满意的程度。

控制的作用

控制的主要原因之一是减轻某些已识别的风险。当固有风险高于可接受水平,处理的方法就是实施有效控制,将风险降低到可接受水平。

因此,需要谨记IT审计或普通审计中关于控制及其作用的要点。首先,IT审计员需要警惕某种控制手段带来的虚假的安全,这种控制手段的有效性足以将风险降低到可接受的水平。尽管经验丰富的IT审计员通常很擅长识别此类问题,但管理层和其他人可能不那么善于了解这种控制措施的真实情况。

另一方面,IT审计员应该牢记,控制会带来成本和收益。成本几乎总是涉及真金实银——识别、设计、实施和管理控制都需要成本。成本也可能是因降低流程速度带来运营效率方面的影响成本。后者中的某些成本不能具体观察到,而是对控制的影响力的一种理解和考虑。IT审计员工作的一个关键是,在这些成本(实际/具体的成本和影响成本)和收益之间寻求平衡。收益也可以是真实和具体的——了解有效执行控制和不进行控制的相对差异。这种平衡容易描述,却很难有效识别。

例如,某组织希望在密码使用期内实施有效的密码政策。普遍的看法是,密码有效期应与未经授权的访问所涉及的风险量成反比关系。即,如果存在与未授权访问相关的高风险,密码有效期应设置为短期(例如,网上银行账户的90天)。但是,一旦实施该政策,可能会因密码更改频率而产生遗忘密码相关的意外成本。结果可能是用户经常忘记密码,随后不得不使用机构的资源来协助其获得访问权,此外,还会导致延误和挫折感等。因此,关键是在评估某个控制的实际净收益时进行尽职调查。

另一个考虑因素是,一个机构有其经营的业务或目的。该目的需要作为考量的一部分。人们很容易忽略对运营的意外影响。

一般而言,某个内在风险越高,控制措施对其的关注度就越高,以便降低该风险。因此,IT审计员在提出控制建议时,需要考虑固有和残余风险的程度。

最后,控制通常嵌入在技术或系统中。仅此一个事实就表明,在独立性允许的情况下,IT审计员需要参与协助设计。同时表明,通过IT审计员来评估内部控制系统的有效性非常重要。在没有IT行业专家协助了解某个控制运行的有效性的情况下,如何能够正确评估嵌入在IT之中的控制呢?

对实际剩余风险的认识

风险分析的一个问题是,风险通常是相对的,依靠个人判断。所有部门都希望控制“足够好”,这样万事才会皆“好”。但是,什么是“足够好”,什么是“好”呢?风险通常不受绝对计量所限。

糟糕的经理人往往误判或错误地应用控制和风险。他们关心生存和盈利,有时看不到现实存在的剩余风险,急于求成,只会遇上一个糟糕的结局。或者,他们会变得疑神疑鬼,去规避一些完全可以接受的风险,而不采取任何止损行动。然而,优秀的经理人能够认识到剩余风险存在的现实,通常做出正确的决定,并且制定了风险应急计划。IT审计员面临的一个挑战是,通过了解实际剩余风险并采取相关的适当行动,帮助经理们成为优秀或伟大的经理。

了解实际剩余风险的一个难点是从整体上正确评估风险和控制。首先,有些控制非IT相关,有些人倾向于忽略手动控制,而这种控制有可能可以降低与IT相关的风险。例如,控制员的审查和协调可以充分减少/减轻数据和数据库遭受未经授权访问的风险。即,如果有人能够检查访问控制或检查是否缺乏访问控制,以及财务/会计数据库中的数据,那么发生的任何错误或欺诈都会被迅速发现并纠正。因此,考虑采用手动控制,剩余风险可能维持在较低水平。

其次,一个区域存在的剩余风险可以通过对另一个区域的有效控制来解决。例如,防火墙可能没有足够的防护,无法抵御外来者从外围使用黑客手段侵入系统。我们容易贸然得出与财务数据和财务报告相关的高级别剩余风险方面的结论;然而,如果机构在网络层(例如,强大的Active Directory控制矩阵和逻辑职责分工)、应用层以及操作系统和数据库访问上具有强大的访问控制,那么入侵者突破外围之后还能做什么?因此,对于已感知到的剩余风险一旦成为现实后会如何表现,进行一次心理演练是至关重要的,以确定它是否是真正的剩余风险。此案例假设审计目标与财务报告有关。显然,如果审计目标与一般系统(内部审计)或者尤其是与防火墙相关,那么剩余风险就是真实的,需要引起重视。无论如何,防火墙都已损坏,可能需要修复。

确定剩余风险的范围意味着IT审计员需要在脑中构建一幅关于IT空间中所有受损事物的地图,哪些是真实的/相关的,哪些是损坏的;但是超出范围了。(事实上,所有的IT审计都可能揭示一些事情,但它们可能并不都在范围内。)

同样重要的是,IT审计员要为审计中发现的某些问题为何需要解决和补救作出合理的论证,并确保从业务角度而言是有意义的。IT审计员倾向于发现损坏的东西,并希望它们都能得以修复,因为它们已经损坏了。然而,IT审计员需要从业务角度来检查真正需要修复的内容。其基本原理应该是对一个相对较高的风险做出合理、务实、面向业务的情景预测并最终取得成效。

这些问题说明了IT审计员需要是有效的沟通者。

结论

IT审计员通常在风险和控制领域内工作。因此,IT审计员必须善于理解、分析和沟通与风险、控制有关的调查结果以及我们为此所做的工作。

作者简介

TommieSingleton, CISA, CGEIT, CPA,现任一家大型地区公共会计师事务所Carr Riggs&Ingram的咨询总监,负责法务会计、业务估值、IT保障及服务组织监控等业务,为这些业务及执行业务的工作人员提供招聘、培训、研究、支持和质量控制工作。1991年至2012年期间在多所大学任教。曾发表多篇文章、出版若干合著书籍,并就IT审计和欺诈问题发表多次演讲。