IT風險及控制的應對與合規工作探究

摘要：隨著計算機和現代信息技術在會計中的廣泛應用，會計系統處理結果的正確性更多地依賴于內部控制制度的完善。信息環境對會計信息系統的內部控制要求更加嚴格，控制的范圍也更為廣泛。為了確保信息環境下會計內部控制的有效實施，文章從IT的視角對傳統的控制觀點進行改革，探討了遵守“薩班斯—奧克斯利”法案時的整體IT風險的控制方法及應重點考慮的問題，并著重分析了404條款合規小組如何就IT流程層面的IT基礎設施控制（ITGC）進行審核。

關鍵詞：內部控制；信息環境；SOX-404；ITGC；ITAC

信息技術和網絡技術的飛速發展和廣泛運用對傳統會計和審計來說不啻于一場革命，它改變了會計控制的性質，改變了會計信息存放、傳輸及加工處理的技術基礎。隨著會計信息系統在企業中發展的日趨成熟，控制環境發生變化，內部控制也呈現出新的特征。

一、 從ＩＴ的視角更新控制觀點

盡管會計首先大量使用計算機，使會計處理自動化，但會計師們在開發IT的應用能力方面卻落在了后面。會計師和審計師的控制觀點沒有考慮IT對業務運行、對規則的符合程度和信息過程相關的風險的影響， 并已經對幫助企業識別和控制業務過程的風險感到力不從心。因此，我們需要建立起一種新的控制觀念，讓IT有效地集成到業務和信息過程中，把保護企業和促進企業有機結合起來。

1. 擴大控制的范圍強調第三方監督。傳統上會計師和審計師常常采用標準驅動的觀點，這在獨立外部審計中更為明顯。大部分審計活動和審計標準主要在年末檢查財務錯誤和舞弊。審計師對財務報表的公允性及其是否符合會計原則進行檢查時，只關注發表審計意見所必要的控制。但事實上，大部分針對業務操作和規章遵守情況的控制與財務報表的獨立審計并沒有關系。因此，在建立內部控制制度時，會計師們應該打破這種獨立的、反映的和檢查性的模式，以一種復雜的、積極的業務觀點來幫助設計和實現業務的規則，在更廣泛的環境中來看待業務，強調預防、業務操作和對規章的遵守情況。COBIT模型對企業實踐具有重要指導意義，它增強了IT控制在企業日常運營過程中的可操作性。此外，企業的控制漏洞依然存在，上市公司財務丑聞始終不斷，原因究竟何在？本文作者認為，獨立第三方監督的缺失是企業內部控制屢屢失敗的根源。企業IT控制的有效實施同樣需要一個統一的衡量標準，且該標準的制定方必須保持中立。顯然作為IT控制的實施者和受益者——企業以及企業IT控制的重要參與者——會計師事務所等都不應該成為標準的制定方。事實表明，完全獨立于企業經濟利益的國家政府及其相關部門是執行企業內部控制（包括IT控制）監督職能的最佳人選，在這方面可以借鑒由美國政府出臺SOX法案，其中SOX-404、SOX-302法案的苛刻內控要求隱含了對企業IT控制的控制要求。其制定的SOX-404影響深遠而廣泛，是衡量企業IT控制是否有效的事實標準。IT控制是企業管理信息化下內部控制的新構成，SOX-404在對企業內部控制提出要求的同時，必然對其IT控制做出相應的要求，且企業有效的IT控制是其內部控制體系的整體有效實施并通過SOX-404測試的前提。基于IT控制和企業整體內部控制的關系，針對SOX-404的控制需求，作者認為要實效的IT控制，就要首先理解公司的總體SOX合規計劃，然后制定一項有關IT控制的計劃，并做到IT控制計劃與公司總體SOX合規計劃的合理集成。

2. 特定控制程序分析。通常情況下，職責分離是傳統內部控制的一個重要組成部分。職責分離——傳統上，控制程序將下列責任分派給不同的人，將活動劃分為一定的結構：（1）交易授權；（2）在會計記錄中記錄交易；（3）維護和保管資產。實施這種程序是為了防止雇員在正常工作中發生錯誤和舞弊并將其隱藏。在手工環境下，分離這些職責（保管、記錄和授權）是非常有用的。但IT應用的介入使有些情形發生了改變。如，傳統的職責分離概念是讓執行業務事件的人記錄所有的相關的業務事件數據。而現在很可能幾個部門同時由一個人在執行業務事件時實時地記錄一個業務事件數據。自動控制處理代替了分離的人的角色，消除了一個人執行兩項不相容活動的風險。在IT環境下，信息技術取代了人的作用，其監控能力更強。職責分離仍然是形成內部控制觀點的重要概念。但它的適用方式發生了變化。這時，我們需要分離新的職責（保管、授權、操縱數據和信息），以反映用來設計和運行系統的手段的更新。

3. 強調預防。一般來說，內部控制制度是預防、檢測和糾正風險的程序的集合。由于審計本身的性質，審計師一般主要關注檢查性控制。審計的主要目的是對前一段時間的財務報表的公允性發表意見。而審計的這種思想也影響了會計。許多會計系統并沒有與業務過程的執行相結合。因此，當數據最后到達會計系統時，及時預防甚至檢查錯誤的時機已經錯過了。一個有效的內部控制制度需要預防性的、檢查性的和糾正性的控制。一旦檢查出錯誤和舞弊，應該糾正其影響，同時制定預防性控制措施以確保錯誤和舞弊不再發生。如果能事先預防錯誤和舞弊，而不是事后檢查或糾正，這樣的內部控制將給企業帶來更大的價值。

4. 選擇設計和實施控制的時機。IT在企業中的應用通過以下兩方面提供價值：

（１）幫助企業更積極地預防、檢查和糾正錯誤和舞弊。

（２）促進而不是阻止業務過程和信息過程的持續改善

要得到這些益處，必須具備“實時”的控制思想。控制應該嵌入到系統中，在每項業務活動中預防、檢查和糾正，而不是在系統實現后再加入控制程序。正如ＣＯＳＯ所認為的：“內部控制不應被看作是添加在組織正常運行結構之上的東西。這樣做將削弱組織的競爭能力。內部控制應該被嵌入到企業的基礎結構中。當控制與運行活動融為一體時，控制的觀點將深入人心，組織將以最小的代價獲得更好的控制……”。

因此，會計師和審計師在研制新系統或修改原有系統時，應在系統的設計和開發階段積極介入，幫助提出控制方案和實施有效控制。

二、 遵守薩班斯法案時的整體IT風險及控制方法

業務流程對技術的依賴程度逐年增加，使得業務的執行更加及時、全面及準確。財務報告流程及其他流程，即財務報告所記載的交易的獲取、記錄、匯總、計量及列報均需要依靠計算機程序即其他技術性的工具和軟件來完成。因此，應用系統和系統的控制成效直接影響流程的完整性，包括輸入流程的數據和流程完成時最終呈報的信息（即輸出資料）。應用系統已有自己的控制程序。在這些程序化的控制中，有些可能是財務報告內部控制的關鍵，若這些程序化的控制起關鍵作用，在進行評估時就必須予以考慮，特別是在流程結果沒有經過驗證或者驗證不足的情況下，管理層仍然需要依賴這些控制。IT風險只在IT環境中存在，因此，由IT技術衍生的相關風險必須在評估與財務報告相關的內控風險時予以考慮。簡而言之，在當今高度信息化的商業環境下，根據Sarbanes-Oxley第404條款的規定在進行財務報告內部控制的整體評估時，必須考慮有關IT的風險和控制。

404條款合規小組應該如何定義“IT風險及控制”？ 404條款合規小組應考慮的風險及控制包括i）因技術（例如應用系統中的程序化控制）而存在的風險及控制，ii）影響相關程序或數據完整性的風險及控制。此外，就404條款合規工作而應予以考慮的IT風險及控制，只限于那些與實現財務報告可靠性該內部控制目標有關的風險及控制。因此，“IT風險及控制”主要涉及兩個大的領域-基礎設施控制（ITGC）和應用系統控制（ITAC）。ITGC通常會影響到技術環境內眾多單一的應用系統及信息生成。一般來說，由于這些控制會影響相關程序和數據的可靠性，所以最終會影響財務報表認定的實現，即控制能防范或預防某些影響相關程序和數據可靠性的事件發生。ITAC領域涉及一下兩個重要領域：（1）由相關的應用系統和數據負責人設計并實施業務中的控制及流程；（2）應用系統中的程序化控制，負責執行控制有關的特定活動，例如在輸入過程中對主要欄目中的被輸入數據進行錯誤檢查或驗證。其中一個應用系統的控制的例子是不兼容職責的分離，數據負責人需負責設計及合理地判斷哪些責任和職責被分離。程序編制小組在負責設計和開發應用系統，使交易能夠按照系統負責人的設計旨意在程序化的和其他形式的控制下完成，為達到財務報告認定提供一定保障。

在進行財務報告內部控制的評估時，應謹慎考慮信息技術所產生的影響，包括一些IT所獨有的風險。本文系統性的描述了IT風險及控制評估時所遵循的整體方法及有關框架。

圖1說明IT風險與控制評估所應該遵循的順序，每一個步驟都會影響范圍的界定，有時候還會影響到下一步要進行的工作的性質。第一步是理解“IT組織和結構”，這一步為IT公司層面的控制評估奠定了基礎。公司層面的控制的強弱又會影響對IT業務流程從三個層面進行控制評估的性質和程度。對IT流程層面控制的評估是SOX-404條款合規項目中最繁瑣的一項工作。對IT流程層面的評估要從“一般IT的業務流程”、“應用系統和數據負責人的流程”以及“綜合應用系統—特定流程”三個不同層面予以考慮。

1. 一般IT的業務流程。IT基礎設施控制的審核是針對公司的主要IT流程，或是支持財務報告的關鍵IT應用系統。404條款合規項目小組可能需要對同一個基礎設施控制進行不止一次的審核，例如，多個流程同時影響每個重要財務報告領域，而該流程又不是受限于相似的政策、流程活動和控制程序，那么該流程可能需要被分別予以審核。在評估一般IT流程中應該包括的基本部分：安全管理、應用系統/系統變更管理、數據管理與災難恢復、數據中心的操作及問題管理、資產管理。

2. 應用系統和數據負責人流程。這方面被評估的是那些直接被應用系統和數據負責人控制和管理的程序。404合規項目階段應該予以評估的流程包括：建立和維持不兼容職責的分離（安全角色和管理）、確認/審核對關鍵交易和數據的存取、開發和維護業務影響分析/業務持續計劃、制定和維護業務負責人變更控制。

3. 綜合應用系統——特定流程。對業務流程層面的所有IT控制和人工控制進行綜合評估是必須的。評估中有關IT的部分主要集中在對關鍵應用系統的控制，在對企業業務流程進行評估時也應該評估相關的IT風險和控制，從而對控制環境有全面了解。負責人應該對每個重要業務流程中關鍵財務應用系統的控制有充分的了解包括：應用系統程序化控制、關鍵交易和數據信息的獲取控制、數據驗證/錯誤檢查程序、錯誤報告、復雜運算、報告的可靠性和準確性、關鍵接口。

三、 SOX-404條款合規小組對于IT基礎設施控制的關注

“IT基礎設施控制”的性質對于財務報告內部控制評估具有十分重要的意義，但其產生的影響卻經常被誤解。本文作者認為SOX-404條款合規小組應該從流程的角度去了解這些控制。本文將IT基礎設施控制細分為若干基本流程，闡述這些基本流程與財務報告的相關性。這些控制包括安全管理、應用系統的變更控制管理、數據管理和災難恢復、數據中心操作和問題管理，以及資產管理與有關的流程。

1. SOX-404條款合規項目小組對安全管理評估時的關注。在安全管理領域中，首要的流程目標是創建和維護IT環境的整體計算機安全措施。安全管理的焦點是全面性的，其中包括關于應用系統、數據庫、平臺、和網絡的流程；還有其他的流程，涉及識別風險、制定策略以便將風險減低至可接受的程度，以及管理層明確接受剩余的風險或風險容忍度。安全管理需要一套有效的流程，一便執行及監控IT環境各個層面中的政策和流程的執行。此外，還有一些子流程，負責處理個別信息資產的存取，以及控制非授權存取的風險。在很多公司，安全管理是一個復雜且分散的流程，涉及眾多的“技術層”，分別由不同的IT部門負責處理。應用系統上的安全管理會被派發到不同的IT和用戶群組。進行內部控制評估時的一個嚴峻的挑戰是要了解公司是如何部署安全管理的。因此，404條款合規小組須了解關于IT組織的足夠細節，從而能夠了解公司的關鍵數據及應用系統的授權獲取及應用是在哪個“技術層”被怎樣管理的。安全管理流程也包括如何管理那些擁有全面權限可自由訪問系統中儲存的各種交易及數據的特殊用戶。公司應了解這些特殊用戶的特殊權限存在的必要性（而且在需要情況下這些權限不能全部被限制）；但是公司應具備嚴格的控制來盡量限制和監控這些特殊權限的使用。以下簡要列出公司財務報告認定的影響，以及如何影響薩班斯法案404條款合規項目的范圍：

安全管理流程對財務報告認定的影響：

（1）按業務需要限制對關鍵系統（交易、應用系統、數據庫、平臺和網絡）的操作，以確保數據（資產）的訪問權限。

（2）執行、審批和檢視交易的權利只限于有正當業務需求的人士，以確保授權是按照管理準則適當受到限制。

2. SOX-404條款合規項目小組對應用系統的變更控制評估時的關注。應用系統變更控制是財務報告內部控制中的一個尤其重要的因素。應用系統變更的可靠性會直接影響交易流程的準確性、一致性和完整性，以及交易的及時累積、總結和呈報。公司變更其應用系統時所面臨的風險是：新的變更可能導致曾用于處理和呈報交易的應用系統，失去其原有的可靠性。這將造成財務報告不準確、不完整或不正確等潛在的重大風險。鑒于可能出現這些與財務報告有關的風險（以及其他顯著的策略及業務操作風險問題），公司必須有一個涉及周詳且運作有效的應用系統變更管理流程。該變更流程應包括適當的程序，以建立監督、測試及審批有關變更，并將經適當審批的變更轉移至生產環境。該流程必須設置適當的保安措施，以防止負責該流程的人員在未被發現的情況下，對程序或有關數據做不適當變更。考慮到變更可能產生的所有影響，例如系統接口、數據和例行錯誤偵測程序、應用系統的安全管理變更、管理報告等，因此變更流程必須包括周全的措施及步驟。

應用系統的變更流程對財務報告認定的影響主要包括如下幾點：

（1）應用系統的變更直接影響應用的安全性、準確性和一致性，這里的應用系統是指進行交易、將會計信息匯總、分類、計量和披露是所用到的程序。

（2）因為增加或修改職責或因為對敏感交易及數據的存取授權交易修改而作出對應用系統的變更時，可能影響不兼容職責的適當分離。

（3）在變更的操作過程中可能會使未獲授權人士也能夠存取信息資產，而這將導致應用系統或數據在無從被一般控制活動發現的情況下，被有意或無意地篡改。

3. SOX-404條款合規項目小組對數據管理和災難恢復評估時的關注。數據管理對技術組織的工作成效和效率起關鍵作用，為了便于討論，我們將“數據管理”歸納為與數據備份、恢復和修復有關的流程。在很多情況下，需要進行數據的恢復大部分原因是由于硬件或者軟件損壞而導致數據受損或遺失。公司必須有能力修復或重新啟動系統，以確保持續操作及不損害交易或數據的可靠性和完整性。數據管理也包括應用系統的關鍵性，以及備份流程的合適時間和次數的考慮。備份流程的次數和可靠性反映出一家公司對成本/風險/收益的判斷結果，即在不會對業務造成負面影響的情況下，該公司可以承受多大的數據損失或多少交易的損失。

災難恢復的流程和程序是與數據管理相關聯的。業務的持續運作和IT的災難恢復，主要涉及公司是否能夠持續遵照SEC的規則和條例、準確且適時的提交其財務報告和其他報告。

數據管理和災難恢復流程對財務報告認定的影響：（1）公司能否完整及準確的報告交易和財務報告數據的能力會收到數據管理和災難恢復流程的影響。（2）如果透過數據管理流程而賦予對生產或備份數據不恰當的存取權利，資產的獲取可能會受到影響。（3）如果業務持續運作和災難恢復計劃不夠全面和得到及時更新，那么公司履行其義務的能力，即完整且準確的報告及時提交SEC的能力將會受到影響。

4. SOX-404條款合規項目小組對數據中心操作和問題管理評估時的關注。數據中心的操作和問題管理也會像前面討論的數據管理流程一樣影響應用系統和數據。這些流程會影響數據的可靠性及程序的完整性和準確性。當有問題發生時，數據中心的操作和問題管理會影響應用系統的正常操作。在諸如接口的處理不完整或程序被中斷等類似情況下，交易或數據的處理不完整不準確的風險概率就會增高。計算機操作和問題管理方面的步驟，旨在提供處理這些問題的方法。這些流程通常涉及數據和應用系統負責人之間就解決相關事宜和問題而進行的交流和溝通。此外，這些部門的負責人員通常在數據的存取和應用系統的操作方面擁有廣泛的權力，以及時解決出現的有關問題。這就增加了交易及數據在非常情況下，未經正常授權下被存取的風險。

數據中心操作和問題管理流程對財務報告認定的影響：（1）報告的完整性、準確性和一致性會直接受計算機操作和問題管理流程影響。（2）如果沒有適應的限制和監督計算機操作和問題的管理， 信息資產的存取會受直接影響。

5. SOX-404條款合規項目小組對資產管理評估時的關注。資產管理領域是現今IT組織中重要的一環。原因是除了硬件和軟件價格不菲之外，在以往的管理過程中一直表現欠佳。從SOX-404條款合規項目的角度來看，資產管理的重要方面與IT資產的獲取、操作和報廢的正確會計處理有關。此外，該領域也涉及一些軟件版權的適當使用及監督的潛在問題。不正確使用軟件可導致未記錄的負債以及圍繞正確使用軟件和遵守軟件使用法例而產生的潛在信息披露問題。就公開報告的角度而言，另一個值得關注的領域是對資產存在的定期驗證、記錄余額的定期評估以及根據使用年期進行的資產變現。有關IT資產管理的主要報告問題，與有關所有固定只產的報告問題并無差異。該IT資產的會計處理所經常涉及的流程不同于其他固定資產的監管及程序。IT資產包括硬件和軟件以及用戶的桌上計算機和工作站，這些資產都是現今技術環境中重要投資。

資產管理流程對財務報告認定的影響：

（1）資產應在財務報表中予以正確列報。這意味這資產已根據公認會計準則（GAAP）其當的予以資本化或記作費用，且已經對所有資產租賃作出適當的會計處理。此外，任何及所有要求的披露均已在財務報表中呈報。

（2）資產余額可透過觀察或其他一些途徑進行周期性披露，以驗證它們的存在。此外，需對資產的賬面值進行周期性評估、并審核相關資產類別的預計可使用年限是否合理。

（3）資產的存取以適當方式予以保護，從而合理保證任何報告日期下資產的存在。

四、 總結與展望

隨著我國市場經濟的發展，經濟信息化的日趨成熟，我國的企業將面對更加激烈的市場競爭環境，建立信息環境下良好的內部控制制度有助于我國企業在未來激烈的競爭中求得生存和發展。信息環境下的內部控制，對人、機都提出了更高的要求。薩班斯（SOX）旨在規范用于企業信息的內部控制。確保用來生成報告的數據是準確的并且不能通過任何方法來操縱是CEO的法定義務。它從CEO開始，從那里依次向下傳遞。反過來CEO將依賴CIO以確保IT過程和控制是符合遵從性檢查的，而CIO將反過來依賴IT經理，IT經理將最終依賴DBA（Database Administrator），來確保數據處于控制之下并且是安全的。因此，我們要以ＩＴ的視角更新內部控制觀點，打破傳統，從基礎控制和應用控制兩方面著手，真正做到“兩手抓，兩手都要硬”。

參考文獻：

1. Fujitsu Services， IT Governance-The Futu- re of Control，2002，（11）.

2. Armour， Internal Control: Governance Fr- amework and Business Risk Assessment at Reed

3. IT Governance Institute， COBIT 3rd Edi- tion Control Objectives，2000，（7）.

4. Ron Weber， Information Systems Control and Audit，Prentice Hall. Inc.，1999，（10）.

5. Victor Bennett、Bob Cancilla，IT responses to Sarbanes-Oxley，www.ibm.com，2005-12-15.

6. KPMG，Sarbanes-Oxley section 404:management assessment of internal control and proposed auditing standards，2003，（3）.

7. 道格拉斯·R·卡邁克爾.審計概念與方法.大連：東北財經大學出版社，1999.

8. Larry F. Konrath. Auditing a Risk Analy- sis Approach.北京：中國人民大學出版社，2004，（10）.

9. Sally Chan，Mapping COSO and COBIT for Sarbanes-Oxley Compliance，2002.

10. T. Hoffman， The Sarb-Ox Shift， in Com- puterworld，2005：35.

11. PricewaterhouseCoopers， The Use of Spre- adsheets and Considerations for Section 404 of the Sarbanes-Oxley Act， PricewaterhouseCoopers LLP， Newark， Del，2004.

基金項目：福建省教育廳社會科學研究項目“我國財務會計信息化發展方向研究”（項目號：JA08003S）支持。

作者簡介：莊明來，廈門大學管理學院教授、博士生導師；周元元，廈門大學管理學院會計系博士生。

收稿日期：2011-08-20。