【摘要】本文對(duì)信息系統(tǒng)內(nèi)部控制與IT治理,持續(xù)監(jiān)控、持續(xù)審計(jì)和持續(xù)認(rèn)證這兩組意思接近的概念進(jìn)行了辨析,并對(duì)信息系統(tǒng)內(nèi)部控制的持續(xù)監(jiān)控進(jìn)行了重新定義。
【關(guān)鍵詞】IT治理 持續(xù)審計(jì) 持續(xù)監(jiān)控 信息系統(tǒng) 內(nèi)部控制 持續(xù)認(rèn)證
在針對(duì)持續(xù)監(jiān)控的研究中,信息系統(tǒng)內(nèi)部控制與IT治理、持續(xù)監(jiān)控、持續(xù)審計(jì)和持續(xù)認(rèn)證是兩組意思接近的概念,在許多研究中并未對(duì)它們進(jìn)行嚴(yán)格的概念區(qū)分,以致混用。為此,本文在對(duì)西方權(quán)威文獻(xiàn)進(jìn)行梳理的基礎(chǔ)上,對(duì)這幾個(gè)概念進(jìn)行初步的辨析。
一、信息系統(tǒng)內(nèi)部控制與IT治理
我國(guó)《企業(yè)內(nèi)部控制應(yīng)用指引第18號(hào)——信息系統(tǒng)》將信息系統(tǒng)定義為:企業(yè)利用計(jì)算機(jī)和通信技術(shù),對(duì)內(nèi)部控制進(jìn)行集成、轉(zhuǎn)化和提升所形成的信息化管理平臺(tái)。而內(nèi)部控制是由企業(yè)董事會(huì)成員、經(jīng)理層和其他人員設(shè)計(jì)用來(lái)對(duì)經(jīng)營(yíng)的效果和效率、財(cái)務(wù)報(bào)告的可靠性、法律和條規(guī)的遵守情況等三個(gè)目標(biāo)的實(shí)現(xiàn)提供合理保證的一個(gè)流程。信息系統(tǒng)的基本功能就是進(jìn)行信息采集、加工、報(bào)告和管理。在信息化環(huán)境下,企業(yè)將具有既定控制目標(biāo)的內(nèi)部控制與信息系統(tǒng)相融合,實(shí)現(xiàn)內(nèi)部控制的集成、轉(zhuǎn)化和提升,使信息系統(tǒng)具有目的性。
當(dāng)前西方準(zhǔn)則制定機(jī)構(gòu)普遍使用IT控制來(lái)替代信息系統(tǒng)內(nèi)部控制,并由此衍生出了IT審計(jì)和IT治理等概念。這里的IT并非我們通常所指的信息技術(shù),而是“信息及相關(guān)技術(shù)”。IT控制的概念最初是由IT治理協(xié)會(huì)(ITGI)在其信息及相關(guān)技術(shù)控制目標(biāo)(COBIT)框架中提出來(lái)的,該框架中的IT是由“Information”中的“I”和“related Technology”中的“T”組合成的,它首先強(qiáng)調(diào)的是信息,然后才是技術(shù)。這里的IT其實(shí)就是信息系統(tǒng)。因此可以說(shuō),ITGI提出的IT控制、IT治理和國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)提出的IT審計(jì)概念,其實(shí)都是針對(duì)信息系統(tǒng)的。本文采用的是信息系統(tǒng)內(nèi)部控制概念,它等同于ITGI提出的IT控制。
IT治理是企業(yè)治理的組成部分,也是控制環(huán)境的構(gòu)成要素。企業(yè)治理是指導(dǎo)和控制企業(yè)的系統(tǒng),主要由董事會(huì)和經(jīng)理層為履行職責(zé)所采取的一系列舉措而構(gòu)成,其目標(biāo)是為企業(yè)運(yùn)作提供戰(zhàn)略指導(dǎo),控制企業(yè)風(fēng)險(xiǎn),合理使用企業(yè)資源,確保企業(yè)戰(zhàn)略目標(biāo)的實(shí)現(xiàn)(ITGI,2003)。一致性和績(jī)效是企業(yè)治理的兩個(gè)主要的維度。一致性指的是與企業(yè)的控制和認(rèn)證安排相符合,績(jī)效是驅(qū)動(dòng)企業(yè)前進(jìn)的價(jià)值創(chuàng)造(IFAC,2004)。一致性和績(jī)效之間的平衡形成了良好的企業(yè)治理。IT治理關(guān)注的是企業(yè)治理中與IT相關(guān)的問(wèn)題,它側(cè)重的是制度的構(gòu)建,通過(guò)合理配置IT決策權(quán)來(lái)激勵(lì)和約束IT管理者來(lái)做出使IT投資價(jià)值最大化、風(fēng)險(xiǎn)最小化的決策。
戰(zhàn)略融合、價(jià)值交付、資源管理、風(fēng)險(xiǎn)管理和績(jī)效測(cè)評(píng)是IT治理的五個(gè)領(lǐng)域,其最終目標(biāo)是保持IT與業(yè)務(wù)的一致性,IT支持業(yè)務(wù)運(yùn)行并實(shí)現(xiàn)收益最大化和IT資源的有效使用及IT風(fēng)險(xiǎn)管理(ISACA,2007)。IT治理定位于高層指導(dǎo)和控制,關(guān)注的是“做什么”和“由誰(shuí)做”,它是內(nèi)部控制環(huán)境的重要組成部分。而信息系統(tǒng)內(nèi)部控制是企業(yè)范圍內(nèi)全體人員的責(zé)任,它關(guān)注的是“做什么”,它是支撐、促進(jìn)和加強(qiáng)IT治理的必要手段。信息系統(tǒng)內(nèi)部控制一旦失效,信息系統(tǒng)所產(chǎn)生的信息質(zhì)量就難以保證,IT治理決策也只能是“垃圾進(jìn),垃圾出”。
二、持續(xù)監(jiān)控、持續(xù)審計(jì)和持續(xù)認(rèn)證
1992年的COSO在《內(nèi)部控制整合框架》中首次引入了監(jiān)控要素。在該框架中,監(jiān)控是作為整個(gè)內(nèi)部控制系統(tǒng)的一種反饋機(jī)制,目的在于確保內(nèi)部控制能夠根據(jù)環(huán)境的變化及時(shí)進(jìn)行自身調(diào)整,以保證它持續(xù)有效。監(jiān)控包括持續(xù)監(jiān)控和專項(xiàng)評(píng)價(jià)(又稱專項(xiàng)監(jiān)督)兩種互補(bǔ)方式。
在COSO和PCAOB制定的規(guī)范中,通常使用的是“ongoing monitoring”的概念,IIA的《持續(xù)審計(jì):對(duì)認(rèn)證、監(jiān)控和風(fēng)險(xiǎn)評(píng)估的意義》和ISACA的第42號(hào)信息系統(tǒng)審計(jì)指南《持續(xù)認(rèn)證》中都是使用“continuous monitoring”的概念,不過(guò),ISACA在《內(nèi)部控制系統(tǒng)和IT監(jiān)控指南》中也使用的是“ongoing monitoring”的概念,但它對(duì)“ongoing monitoring”和“continuous monitoring”作了區(qū)分,并認(rèn)為,后者是前者的一個(gè)子集,是一種自動(dòng)化的監(jiān)控形式,也就是說(shuō),兩者的區(qū)別主要在于是否依靠IT來(lái)自動(dòng)運(yùn)行,依靠IT自動(dòng)運(yùn)行的,則屬于“continuous monitoring”。我們認(rèn)為兩者運(yùn)行手段的差異,并沒(méi)有改變其自身的特征,所以本文對(duì)此不作區(qū)分。
持續(xù)監(jiān)控是“嵌入”企業(yè)日常性的、反復(fù)發(fā)生的活動(dòng)之中的,對(duì)內(nèi)部控制系統(tǒng)進(jìn)行連續(xù)的、全面的、系統(tǒng)的、動(dòng)態(tài)的檢查,以評(píng)估內(nèi)部控制的充分性和有效性。它包括一般性的管理和監(jiān)督活動(dòng)、同行比較和利用內(nèi)外部數(shù)據(jù)進(jìn)行趨勢(shì)分析,也可能包括利用自動(dòng)化工具評(píng)估控制、交易和流程。專項(xiàng)評(píng)價(jià)指企業(yè)對(duì)內(nèi)部控制建立與實(shí)施的某一方面(包括持續(xù)監(jiān)控)或者某些方面的情況所進(jìn)行的不定期的、有針對(duì)性的檢查。由于持續(xù)監(jiān)控與企業(yè)的經(jīng)營(yíng)活動(dòng)水乳交融、并行共進(jìn)、密切監(jiān)視、精準(zhǔn)把控、及時(shí)反饋,能夠及早識(shí)別并糾正控制缺陷,且能實(shí)時(shí)、動(dòng)態(tài)地應(yīng)對(duì)環(huán)境的變化,所以它的效率更高,效果更好。可見(jiàn),持續(xù)監(jiān)控是一種主要的監(jiān)控方式,它提供了經(jīng)理層用來(lái)支持其斷言的大部分證據(jù)(COSO,2009)。持續(xù)監(jiān)控的程度和有效性越強(qiáng),專項(xiàng)評(píng)價(jià)的需求就越少。
COSO的《內(nèi)部控制整體框架》認(rèn)為內(nèi)部審計(jì)是內(nèi)部控制的重要組成部分。內(nèi)部審計(jì)是控制的確認(rèn)者,監(jiān)督、評(píng)價(jià)和改善內(nèi)部控制是內(nèi)部審計(jì)的基本職責(zé)。內(nèi)部審計(jì)是作為組織的控制職能來(lái)考核、評(píng)價(jià)組織的其他控制的職能部門(mén)(王光遠(yuǎn),2007)。因此內(nèi)部審計(jì)職能開(kāi)展的持續(xù)審計(jì)(也稱連續(xù)審計(jì))或持續(xù)認(rèn)證和經(jīng)理層所開(kāi)展的持續(xù)監(jiān)控活動(dòng)在技術(shù)和目標(biāo)上是一致的(IIA,2005)。
Coderre在比較持續(xù)監(jiān)控和持續(xù)審計(jì)時(shí),將持續(xù)審計(jì)和持續(xù)控制評(píng)估視為兩種互補(bǔ)的方法,而將持續(xù)風(fēng)險(xiǎn)評(píng)估視為持續(xù)審計(jì)和持續(xù)監(jiān)控的區(qū)別。筆者認(rèn)為,由于內(nèi)部控制缺陷可分為設(shè)計(jì)缺陷和運(yùn)行缺陷,因而以持續(xù)風(fēng)險(xiǎn)評(píng)估作為持續(xù)審計(jì)和持續(xù)監(jiān)控的區(qū)別有失偏頗。具體說(shuō),設(shè)計(jì)缺陷是指缺少為實(shí)現(xiàn)控制目標(biāo)所必需的控制設(shè)計(jì)。運(yùn)行缺陷是指現(xiàn)存設(shè)計(jì)完好的控制沒(méi)有按設(shè)計(jì)意圖運(yùn)行,以有效地實(shí)施控制。持續(xù)控制評(píng)估的目的是評(píng)估內(nèi)部控制是否存在運(yùn)行缺陷,這是一種靜態(tài)的風(fēng)險(xiǎn)觀念,它隱含的前提就是當(dāng)前的內(nèi)部控制在設(shè)計(jì)方面是有效的。持續(xù)風(fēng)險(xiǎn)評(píng)估的目的是評(píng)估內(nèi)部控制是否存在設(shè)計(jì)缺陷,這是一種動(dòng)態(tài)的風(fēng)險(xiǎn)觀念,它所隱含的前提就是當(dāng)前的內(nèi)部控制在運(yùn)行方面是有效的。所以,持續(xù)控制評(píng)估和持續(xù)風(fēng)險(xiǎn)評(píng)估技術(shù)對(duì)于持續(xù)監(jiān)控而言都是必要的。
我們注意到,Coderre對(duì)持續(xù)審計(jì)的定義已經(jīng)不僅僅局限在傳統(tǒng)的“審計(jì)”范疇,其落腳點(diǎn)不是對(duì)“經(jīng)濟(jì)活動(dòng)和經(jīng)濟(jì)事項(xiàng)”提供認(rèn)證,而是通過(guò)這些相關(guān)的數(shù)據(jù)來(lái)評(píng)估內(nèi)部控制的有效性和企業(yè)面臨的風(fēng)險(xiǎn)水平,因而Coderre對(duì)持續(xù)審計(jì)的定義實(shí)質(zhì)上是持續(xù)認(rèn)證。
當(dāng)前,在持續(xù)審計(jì)領(lǐng)域,人們更多的是應(yīng)用持續(xù)認(rèn)證的概念。嚴(yán)格來(lái)說(shuō),兩者也存在區(qū)別。1973年,美國(guó)會(huì)計(jì)學(xué)會(huì)下屬的基本審計(jì)概念委員會(huì)將審計(jì)定義為:“一種采用客觀的方式來(lái)獲取并評(píng)價(jià)關(guān)于經(jīng)濟(jì)活動(dòng)和經(jīng)濟(jì)事件認(rèn)定的證據(jù),來(lái)查明該認(rèn)定與既定的標(biāo)準(zhǔn)之間的一致性,并將結(jié)果傳遞給利益相關(guān)方的一個(gè)系統(tǒng)化的流程”。認(rèn)證服務(wù)在我國(guó)也被譯作“保證服務(wù)”或“確認(rèn)性服務(wù)。1997年美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)(AICPA)下屬的Elliott委員會(huì)對(duì)認(rèn)證的定義是:“一種用來(lái)改善決策者使用的信息質(zhì)量或信息環(huán)境的獨(dú)立專業(yè)服務(wù)”。認(rèn)證服務(wù)的范圍很廣,它包括傳統(tǒng)審計(jì)、WebTrust、SysTrust和審計(jì)服務(wù)擴(kuò)展的集合。ITGI在 2007發(fā)布的《IT認(rèn)證指南》中開(kāi)始用IT認(rèn)證(IT Assurance)來(lái)代替?zhèn)鹘y(tǒng)的信息系統(tǒng)審計(jì)或IT審計(jì)的概念。
Vasarhelyi等(2010)從三個(gè)方面劃分了持續(xù)監(jiān)控與持續(xù)審計(jì)(亦稱持續(xù)認(rèn)證或持續(xù)數(shù)據(jù)認(rèn)證)的區(qū)別,并指出這些區(qū)別是相關(guān)的:①持續(xù)監(jiān)控包含了一組用于監(jiān)控內(nèi)部控制功能的程序,如對(duì)訪問(wèn)控制和授權(quán)、系統(tǒng)配置和業(yè)務(wù)流程設(shè)計(jì)的監(jiān)控;②持續(xù)審計(jì)是對(duì)持續(xù)數(shù)據(jù)信息系統(tǒng)中數(shù)據(jù)的真實(shí)性、完整性進(jìn)行驗(yàn)證;③持續(xù)風(fēng)險(xiǎn)監(jiān)控和評(píng)估用于動(dòng)態(tài)地評(píng)估風(fēng)險(xiǎn),并提供用于審計(jì)計(jì)劃的輸入。
與Vasarhelyi等(2010)持續(xù)審計(jì)的觀點(diǎn)相類似,KPMG(2009)將持續(xù)監(jiān)控劃分為三個(gè)要素:①包括對(duì)一個(gè)系統(tǒng)的全局設(shè)計(jì),用于定義一個(gè)事項(xiàng)或者交易如何生成、處理和記錄的訪問(wèn)控制和規(guī)則的監(jiān)控;②包括建立規(guī)則,根據(jù)實(shí)際交易流進(jìn)行測(cè)試,以識(shí)別例外、異常的模式和趨勢(shì),或者識(shí)別與期望的績(jī)效指標(biāo)相違背的因素;③對(duì)宏觀趨勢(shì)和結(jié)果進(jìn)行監(jiān)控,要求在確定的風(fēng)險(xiǎn)和績(jī)效領(lǐng)域中對(duì)衡量的歷史或者新興趨勢(shì)進(jìn)行評(píng)價(jià),從而促使經(jīng)理層將業(yè)務(wù)績(jī)效與組織中的人員、流程和技術(shù)的變革相聯(lián)系。這種劃分雖然與Vasarhelyi等(2010)對(duì)持續(xù)認(rèn)證的劃分類似,但持續(xù)認(rèn)證各要素的內(nèi)涵明顯地體現(xiàn)出了審計(jì)的基本目的——查錯(cuò)防弊,而持續(xù)監(jiān)控的各要素更加體現(xiàn)了對(duì)控制、風(fēng)險(xiǎn)和績(jī)效方面的關(guān)注。
三、持續(xù)監(jiān)控和持續(xù)認(rèn)證的區(qū)別
1. 運(yùn)行主體不同。持續(xù)監(jiān)控是一項(xiàng)管理職能,執(zhí)行主體是經(jīng)理層,由經(jīng)理層組織實(shí)施。而持續(xù)認(rèn)證是一項(xiàng)鑒證職能,執(zhí)行主體是審計(jì)人員,由審計(jì)部門(mén)組織實(shí)施。
2. 覆蓋面不同。持續(xù)監(jiān)控的目的是實(shí)施和維護(hù)一個(gè)有效的內(nèi)部控制系統(tǒng),它覆蓋了內(nèi)部控制系統(tǒng)中所有的關(guān)鍵控制點(diǎn)。而持續(xù)認(rèn)證的目的是收集充分的審計(jì)證據(jù),作為對(duì)某個(gè)審計(jì)主題發(fā)表意見(jiàn)的基礎(chǔ),它所覆蓋的關(guān)鍵控制點(diǎn)的數(shù)量與認(rèn)證主題息息相關(guān)。
3. 目的不同。持續(xù)監(jiān)控同時(shí)關(guān)注績(jī)效、控制和風(fēng)險(xiǎn),目的是對(duì)內(nèi)部控制系統(tǒng)持續(xù)改進(jìn)。而持續(xù)認(rèn)證提供的是一種確認(rèn)性服務(wù),只要內(nèi)部控制系統(tǒng)能夠合理地控制風(fēng)險(xiǎn),審計(jì)師就會(huì)發(fā)表無(wú)保留意見(jiàn)。經(jīng)理層實(shí)施持續(xù)監(jiān)控是為了發(fā)現(xiàn)改進(jìn)的空間,以尋求持續(xù)改進(jìn)的途徑。
4. 作用不同。持續(xù)監(jiān)控實(shí)施的過(guò)程是對(duì)內(nèi)部控制系統(tǒng)進(jìn)行查漏補(bǔ)缺的過(guò)程,在已經(jīng)存在控制的地方,它的功能是對(duì)現(xiàn)有控制進(jìn)行監(jiān)控和修補(bǔ),在不存在控制的地方,它本身又可以作為一種控制活動(dòng)(ISACA,2010)。而持續(xù)審計(jì)出于審計(jì)獨(dú)立性的考慮,它只能對(duì)內(nèi)部控制系統(tǒng)發(fā)表意見(jiàn),而難以行使完善內(nèi)部控制系統(tǒng)的職能,因此,持續(xù)審計(jì)的直接對(duì)象就是企業(yè)中現(xiàn)有的內(nèi)部控制。
5. 頻率不同。持續(xù)監(jiān)控作為經(jīng)理層的一種日常管理工具,它的執(zhí)行更加頻繁(例如,每小時(shí)、每天、每周);而內(nèi)部審計(jì)部門(mén)可能更加關(guān)注不同時(shí)間(例如,每月、每季、每年)的趨勢(shì),其執(zhí)行具有一定的周期性。
綜合上述五個(gè)方面的差別,我們認(rèn)為,持續(xù)監(jiān)控是內(nèi)部控制系統(tǒng)的必要組成部分,雖然持續(xù)認(rèn)證和持續(xù)監(jiān)控在功能上存在互補(bǔ)(IIA,2005),但它們之間存在的差異,使得持續(xù)認(rèn)證難以全面地履行持續(xù)監(jiān)控的職能。企業(yè)在實(shí)施持續(xù)監(jiān)控時(shí),最好與持續(xù)認(rèn)證同時(shí)進(jìn)行。這一方面可以避免兩種職能工作的重復(fù),另一方面還可以發(fā)揮內(nèi)部審計(jì)的咨詢作用,以幫助經(jīng)理層更好地實(shí)施持續(xù)監(jiān)控。
結(jié)合上面對(duì)IT治理、信息系統(tǒng)內(nèi)部控制、持續(xù)監(jiān)控、持續(xù)審計(jì)、持續(xù)認(rèn)證概念的分析,筆者認(rèn)為,可將信息系統(tǒng)內(nèi)部控制的持續(xù)監(jiān)控定義為:在IT治理的制度安排下,嵌入在信息系統(tǒng)中能夠?qū)π畔⑾到y(tǒng)中的控制參數(shù)和業(yè)務(wù)規(guī)則進(jìn)行實(shí)時(shí)監(jiān)測(cè),并在一個(gè)合乎企業(yè)風(fēng)險(xiǎn)管理要求的某個(gè)頻率上周期性地對(duì)信息系統(tǒng)中的業(yè)務(wù)數(shù)據(jù)進(jìn)行分析,以便發(fā)現(xiàn)控制運(yùn)行方面存在的缺陷、風(fēng)險(xiǎn)程度和運(yùn)行績(jī)效,并將相關(guān)發(fā)現(xiàn)以“警報(bào)”或者“例外報(bào)告”的形式發(fā)送給相關(guān)責(zé)任人員,讓他們及時(shí)采取補(bǔ)救措施,并跟蹤和反饋這些補(bǔ)救措施的執(zhí)行,以實(shí)現(xiàn)對(duì)內(nèi)部控制系統(tǒng)的持續(xù)改進(jìn),確保內(nèi)部控制持續(xù)有效的一個(gè)管理流程。
【注】本文系浙江省自然科學(xué)基金項(xiàng)目(項(xiàng)目編號(hào):LQ13G020011),教育部人文社科規(guī)劃項(xiàng)目(項(xiàng)目編號(hào):13YJAZH082)的階段性研究成果。
主要參考文獻(xiàn)
1. 牛艷芳,陽(yáng)杰.會(huì)計(jì)信息系統(tǒng)研究的邊界與范式.東疆學(xué)刊,2012;2
2. 陽(yáng)杰,莊明來(lái).內(nèi)部控制持續(xù)監(jiān)控系統(tǒng)研究的理論框架.江西社會(huì)科學(xué),2012;5
【作 者】
陽(yáng) 杰
【作者單位】
(溫州大學(xué)城市學(xué)院 浙江溫州 325035)
