我国审计准则对风险的定义是,财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。审计风险的根源来自于信息的不对称,以及审计人员在审计过程中对信息处理不当造成的偏差。这就是说审计风险的来源主要是人为发现不够完全和人为疏忽所导致。如今会计师事务所致力于关注维持高质量信息以支持业务决策。高质量信息需要通过现代信息技术获取,并且从信息技术驱动的投资中产生高附加值,通过可靠的、高效的技术应用实现运营总体风险可控,品质保证。信息技术作为自动化技术给我们带来的是一种标准化的模式,这种标准化是人类不断活动经验的集合,也是知识的集合。利用完善的知识集合指导审计工作,以及利用信息化反馈监督的及时性能够给审计工作带来质的飞跃。
COBIT5.0(以下简称COBIT5)作为IT治理的框架,从宏观到微观全方位规范组织信息从输入、加工再到输出。为组织信息治理提供标准,在提高信息产品质量以及降低成本方面起着至关重要的作用。同时COBIT5基于平衡计分卡从财务、客户、内部流程、学习与成长等方面全面的规范了组织行为。帮助组织在通过维持实现利益和最优化风险等级和资源利用之间的平衡。以此,文章以COBIT5作为IT治理框架原理,分析COBIT5的运用在降低会计师事务所审计风险中的作用。
实践—理论—实践。通过我国会计师事务所IT管理现状总结提炼事务所IT管理不足对内部控制影响从而对审计风险的影响。通过深入研究COBIT5框架,取其中精华应用于会计师事务所的内部治理框架中,从业务流程和其他内部管理两大方面,提出端到端全面覆盖监控事务所风险。使事务所审计风险能够在合理、可控的范围。从而达到控制事务所风险的目的。并用ABC会计师事务所案例验证可行性。最后提炼总结,使得个例能够上升为理论,精炼出通用模型。
文章运用规范研究。通过归纳法,总结分析了我国会计师事务所IT应用现状以及IT应用的特征;通过比较研究方式,对国内会计师事务所质量控制方面的规范进行了系统性分析,了解我国会计师事务所质量控制现状;通过对COBIT的可借鉴之处;最后,逻辑阐述了COBIT框架对会计师事务所降低审计风险的作用。
文章共分为五个部分,各部分的内容安排概括如下:
第一部分为“前言”,本部分阐述了研究背景和研究意义。再次介绍本文的研究思路和研究方法,并对文章内容安排、研究创新点作概括性说明。
第二部分为“信息技术对审计业务风险控制理论综述”。本部分从审计风险着眼,通过审计风险的内涵研究、审计风险评估与控制以及审计风险实证研究的相关文献,得出会计师事务所面临的审计风险主要来自于信息的不对称。进而从对会计师事务所内部管理入手,针对提高会计师事务所甄别和监控信息的能力,提出IT控制能够加强会计师事务所内部管理,从而控制审计风险。最后引出COBIT5框架,回答了为什么COBIT5是实施会计师事务所IT管理的比较有效的框架。
第三部分以COBIT5降低审计风险的原理,从满足利益相关者需要、端到端覆盖整个会计师事务所、运用单一整合式框架、采用一个整体全面的方法、区分治理和管理五个原则解释了COBIT5为什么能够降低会计师事务所审计风险。
第四部分为COBIT5框架及实施方法。本部分在前述COBIT5应用五个原则的前提下。归纳出实施COBIT5的具体步骤:一是考虑企业的具体环境。二是创造适宜的环境。三是识别痛点和触发事件。四是启动变更。五是采用生命周期法进行实施。并进一步阐述实施变革所采用生命周期法的七个阶段。
第五部分为通过对ABC会计师事务所具体案例,分析COBIT5如何通过五个步骤把审计风险控制在治理层和管理层能够接受的范围内。并得出COBIT5对会计师事务所健康发展、规避风险的意义。
文章将审计风险理论应用融入IT风险控制管理中,基于秦荣生(2005)认为,审计风险主要由信息不对称所造成的,将IT管理信息的反馈与督导贯穿于审计业务活动之中,从而实时监控产生审计风险的因素并提供督导,从而将审计风险控制在事务所能够承受的范围内。同时将COBIT指标与《审计准则》相对接,使之更好的应用于事务所IT管理体系之中。
1.信息技术对审计业务风险控制理论综述
1.1审计风险文献综述
K.stringer在1961年指出精确度和可靠度与注册会计师可能出具不恰当审计意见的风险之间存在着联系。这可能是有据可查的关于审计风险研究的开端。1973年,美国会计协会(AAA)发表《基本审计概念公告》,也使用“可靠度”一词,并对“可靠度”进行解释:“某一认定或声明是真实或有效的可能性”。随后,国外审计职业团体对审计风险的概念作了进一步探索,并各自给出了不同的定义。如美国审计准则(1983)第47号认为:“审计风险是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险”。国际审计准则(2004)将审计风险定义为“当财务报表存在重大错报而审计师发表不恰当审计意见的可能性”。加拿大特许会计师协会认为:“审计风险是审计程序未能察觉出重大错误的风险”。此外,还有一些学者也试图对审计风险作出定义,如A?A阿伦斯等(1994)认为:“审计风险是在财务报表事实上有重大错误时,审计师认为财务报表公允表达,并因此提出无保留意见的风险”。
1.1.1有关审计风险内涵的研究
从20世纪90年代开始,我国学者就试图给审计风险一个定义,基本上形成了三种观点。
(1)审计风险是审计过程中的不确定因素引起的技术性风险。这种观点最为狭义。陈正林(2006)详细地区分了审计风险与审计师风险,认为前者是审计过程中不确定性因素引起的技术性风险,后者则是由于审计结论与事实的背离而导致审计师受损。
(2)审计风险是审计结论不恰当的可能性。持这种观点的主要是中国注册会计师协会,其在2006年的准则中将审计风险描述为:“财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性”。
(3)审计风险是审计主体损失的可能性。这种观点通常被称作广义的审计风险观,持这种观点的人很多,如谢志华(1990)、吴联生(1995)、刘力云(1999)认为审计风险是审计组织损失的可能性。王广明(2001)对审计风险定义为:由于审计意见是否恰当的不确定导致的承担法律责任(遭受损失)的可能性。谢荣(2003)认为审计风险是对财务报表的公允性发表了不恰当的审计意见而可能导致的行政责任、民事责任和刑事责任。
1.1.2有关审计风险评估与控制的研究
胡继荣和张麒(2000)对审计风险的评估进行综合性分析,他们描述了一个审计风险评价的总体过程。张广才(2004)提出在审计风险评估机制中加入公司治理层面控制风险的因素,构建一种基于公司治理的审计风险评估机制。顾晓安(2006)提出了首先通过业务循环来进行风险因素的识别、筛选和初步风险评估,再将业务循环的风险同报表认定层次相对应的两阶段风险评估法。张萍(2010)、王会金(2011)则试图采用模糊综合评价法,建立审计风险综合评价模型,来评估风险。
在审计风险的控制上,姜玉泉(2002)提出了会计电算化系统的审计风险防范及对策。谢荣(2003)建议采取谨慎接受审计客户、采用风险导向审计方法等措施来改进对审计风险的控制。余玉苗(2004)指出事务所应从充分调查客户的行业背景和状况、优化审计人员的结构、培育行业审计专才、积极利用专家意见四个方面来提高审计师行业专长与控制审计风险。秦荣生(2005)认为,审计风险主要由信息不对称所造成的,并提出完善公司治理机制、彻底解决信息不对称、从源头上降低审计风险、保持应有的职业怀疑态度、加强审计计划工作等五项措施。
1.1.3有关审计风险的实证研究
李爽、吴溪(2004)以客户的盈余管理程度来替代审计风险,发现客户盈余管理迹象与审计定价负相关。宋衍蘅、殷德全(2005)也发现,对于盈余管理动机强烈的公司,继任注册会计师倾向于以公司的盈余管理幅度来衡量审计风险,并为此要求了较高的回报。张继勋等(2005)则以公司对外担保额与应收账款占总资产的比率来衡量审计风险,发现事务所的审计收费与审计风险正相关。廖义刚等(2009)对审计风险与法律责任之间的关系进行了研究,他们发现随着注册会计师法律责任制度的日臻完善,大型会计师事务所为规避审计风险、维护自身声誉,倾向于选择低风险的审计客户。也有学者对审计风险与审计质量之间的关系进行了实证研究,翟华云等(2O11)通过实证认为:高投资机会公司的注册会计师面临着更高的审计风险:而注册会计师为了降低审计风险和被诉讼的风险。有动机提高自身的审计质量,遏制被审计单位的可操控性。宋衍蘅等(2012)通过考察监管风险与审计质量之间的关系,得出在法律环境相对薄弱的情况下,加强监管是促使会计师事务所提供高质量审计服务的有效机制的结论。
综上所述,无论是审计风险的内涵、审计风险评估与控制或者审计风险的实证研究,都把审计风险归因于由于信息不对称而造成会计师事务所未能及时评估,或者注册会计师未能发现被审计单位已存在的错报而导致的审计风险。而会计师事务所从事的审计业务,正是通过专业判断为报告阅读者提供具有合理保证的信息。所以降低审计风险的关键在于在合理成本的范围内最大限度的掌握完整、准确的信息。这就需要会计师事务所需要完整的管理体系和有效的IT系统。
内部控制理论的发展,大致经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架和风险管理整合框架五个阶段,其理论体系得到了不断的丰富与完善。
第一阶段内部牵制形成于20世纪40年代以前,其以内部牵制为核心思想,是内部控制的最初形式和僚本状态。
第二阶段内部控制制度阶段形成于20世纪40年代至70年代初,其主要以内部会计控制和内部管理控制要素为内控要素,内部控制制度标志着内部控制的正式出现。
第三阶段内部控制结构阶段产生于1988年美国AICPA发布《审计准则公告第55号》(SAS55),这个公告首次以“内部控制结构”概念替代“内部控制制度”,其内部控制要素主要包括控制环境、会计制度及控制程序。
第四阶段内部控制整体框架产生于1992年9月,COSO发布《内部控制—整合框架》(Internal Control —Integrated Framework),其主要内控要素包括,控制环境、风险评估、控制活动、信息与沟通和监督五个方面。内部控制整体框架的产生提出了“一个定义”即:内部控制是由董事、管理层及其他人员在公司内进行的,旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程;“三项目标”包括经营目标、报告目标和合规目标。以及“五项要素”控制环境、风险评估、控制活动、信息与交流和监测。并且明确提出了内部控制是一个“过程”。同时强调了风险意识。
第五阶段风险管理整合框架产生于2004年9月COSO发布《企业风险管理框架》(enterprise risk management framework,简称ERM框架)其包括八要素:内控环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。风险管理整合框架将内控上升到全面风险管理高度,根据ERM框架,全面风险管理是一个过程,它由一个主体的董事会。管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响注意的潜在事项,管理风险以使其在该主体风险容量之内,并为主体目标的实现提供合理保证。并且在COSO框架基础上发展为“四项目标、八种要素”。增加了目标设定、事项识别、风险应对三个要素。提出“风险偏好”和“风险容忍度”新概念。提出“风险组合”观念。
随着经济、社会的发展,内部控制理论正不断发展至新的高度。相比之下,IT控制却是一个全新的概念。虽然理论界缺乏IT控制统一、明确的概念界定,关于内部控制与IT控制关系的看法却近乎一致。学者们普遍认为IT控制是内部控制处于信息化环境中的产物,是内部控制的重要组成部分;IT控制包含于企业整体内部控制之中(余瑾,2006;陶黎娟,2009)。也正是鉴于内部控制的这种包含与被包含关系,IT应对也被日本实务界作为内部控制的六项基本要素之一。
1.3IT应用对内部控制的传统理论形成了冲击与挑战
1.3.1静态角度的内部控制是一个要素齐备的系统
根据《企业内部控制基本规范》,有效的内部控制包括五个要素,即内部环境、风险评估、控制活动、信息与沟通以及内部监督。IT的广泛应用正促使各个要素发生着深刻的变化。
第一,内部环境的变化。
内部环境是内部控制的基础。根据《企业内部控制配套指引》,内部环境至少涉及企业组织架构、发展战略、人力资源、社会责任与企业文化等方面的重要内容。伴随着企业对IT应用的重视和对IT投入的加大,内部环境要素发生了很大的变化。IT应用首先极大提高了信息传递的效率,促使组织架构向扁平化发展战略的制定、员工技能素质及道德水平的提升、企业文化的发展生产影响。
第二,风险评估的变化。
风险评估是一个分析和识别企业风险,并制定相应风险应对策略的过程。在IT相应的环境下,风险评估也发生了深刻的变化。一方面,IT应用产生了与IT相关的新风险,如网络安全风险、计算机软件风险等。与IT相关的风险具有隐蔽性强、影响力度大、影响范围广、应对难度大等特点,这毫无疑问加大了风险评估的整体难度。另一方面,IT技术手段也可服务于风险评估,大大提高了工作效率和效果,比如通过开发审计软件中自动对账功能,能够发现被审计单位中的财务报表风险等。
第三,控制活动的变化。
落良彬等(2008)认为企业在信息化的过程中,控制活动更容易出现漏洞。出现这种情况的原因在于企业并为认识到信息化过程中的控制活动发生的变化。从控制对象方面讲,IT的广泛应用使得IT本身也成为控制的对象之一,也即控制对象方式转变为手工与自动控制相结合的方式,IT控制手段得到了广泛使用。从控制措施方面讲,传统意义的控制措施,比如不相容职务分离、授权审批控制、会计系统控制等,已发生了极大的改变。这些控制措施不再简单地体现在部门职责、岗位责任上,而是需要嵌入计算机系统。或者很多时候,权限的差异仅仅体现为一个账号密码而已。从具体业务控制方面讲,计算机信息系统使得各种业务活动更加紧密地联系在一起,彼此间影响加大,对控制活动也体现出了更高的质量要求。
第四,信息与沟通的变化。
企业任何活动都缺少不了信息传递及相应的沟通过程,这也就必然决定了“信息与沟通”成为了内部控制的构成要素之一。在传统内部控制环境下,企业信息传递与沟通多是通过口头、书面的形式;可想而知,这种信息传递与沟通多是通过口头、书面的形式进行;可想而知,这种信息传递与沟通方式受限于人的空间与时间位置,缺乏效率。而IT的出现与应用,几乎消除了这种限制,使得“即时沟通”成为现实,并极大地提高了工作效率。从理论上讲,IT的充分应用,将使企业摆脱“信息与沟通”的限制。然而,实际上,IT应用也存在一定“风险”,如“信息孤岛”问题。“信息孤岛”不是技术本身问题,而是由技术应用或系统实施所造成。信息系统的实施是一项庞大的工程,不仅投资巨大,而且耗时较长。因此,企业往往分模块、分阶段地实施系统。当各个系统模块出现不兼容时,他们之间就出现了信息传递的障碍,即“信息孤岛”现象。在这种情况发生时,IT非但不能发挥其本来功效,而且还会带来更为严重的“低效率”问题。
第五,内部监控的变化。
IT的应用对传统意义的“监督”也会产生影响。传统内部控制模式下,限于对人力、物力的要求,监督往往针对于个别情况。但在IT环境中,借助信息系统进行的持续、动态、为全面性地监督提供了可能。因此,IT应用扩大了内部监督机制的作用。
1.3.2动态角度的内部控制是从设计到整改的循环过程
第一,设计环节。
内部控制制度的设计是内控循环的首要环节。IT的应用使得IT本身成为内部控制的对象之一;而要加强对IT的控制,首先即要在制度设计环节对IT给予足够的关注。另外,IT应用对传统内控制度也形成了冲击,极有必要在制度设计环节即作出相应调整。
第二,执行环节。
制度的有效性执行是发挥内部控制有效性的重要条件。如果执行不力,设计再好的内部控制制度也流于形式。在IT环境下,特别是对于信息化程度较高的企业,内部控制制度大多已嵌入计算机程序之中;内部控制的执行已由传统纸质、手工模式向现代电子、自动化模式转变。在这样的情形下,内部控制执行更有效率,同时也避开了各种人为因素的干扰,提高了客观性。可以说,IT将成为内部控制制度执行的一个有效工具;内控制度的执行,需要充分发挥IT的技术优势。
第三,评价环节。
评价环节是整个内部控制循环过程的关键。经由评价,企业能够发现内部控制制度设计、执行过程中存在的问题,进而进入整改环节,以实现持续改进的效果。可以说,评价是内部控制体系的枢纽。既如此,评价工作的效率与效果,将直接影响到内部控制的后续完善。而IT无疑是评价工作的一个有力助手。在IT也将作为一个有效工具服务于本环节,大大提升整改效率。
1.4IT应用新风险
强化IT控制对会计师事务所整个内控体系的好坏及其实施都有很大的好处。一是内控处于IT环境控制下,IT控制的好坏将影响整个控制环境。二是IT环境下,会计师事务所日常活动规则都将嵌入信息系统中,IT控制将影响所有的控制活动。从制度规范角度,IT控制也将涵盖所有的内部控制规范、指引的要求。再次,IT也是内控实施的重要手段。加强IT控制能提高内控整体实施的效率。降低审计风险。因此,会计师事务所通过IT控制能够通过对内控的进一步降低审计风险。但这是否就意味着采用IT控制就能够降低审计风险?如果IT控制不当,很可能会带来新的审计风险。陈志斌(2007)认为,IT环节下企业面临的传统风险可能依然存在,但可能有所减弱,同时企业也会因为IT应用而面临新的特殊风险。IT应用的新风险主要是由“IT”或“信息系统”而带来。从生命周期角度来讲,信息系统开发过程大致经过了规划、需求分析、设计、实施、日常运行维护及安全管理环节,因此,IT新风险大致可分为系统规划阶段风险、系统分析与设计阶段风险、系统实施阶段风险、系统运行维护阶段风险和系统安全风险五类。
(1)系统规划阶段风险
信息系统规划是企业信息化过程中最为重要的一个环节,它涉及到IT战略能否与企业战略匹配、系统开发的可能性、组织装备、开发方案选择等问题,直接关系到系统开发的成败和未来应用的效果。该阶段风险的应对是IT应用重要问题之一。
(2)系统分析与设计阶段风险
信息系统分析主要是把握企业业务、人员等对系统的需求,以为系统设计指明方向。而系统设计即具体解决系统与业务流程的融合、内控机制的系统嵌入、系统功能模块的设计等问题。系统分析阶段风险主要包括系统不能满足用户需求、业务需要等;而设计阶段风险主要包括未能恰当设计审批权限导致舞弊的产生。
(3)系统实施阶段风险
信息系统实施阶段需要解决系统与操作人员、硬件、软件及网络衔接问题,设计人员、硬件、软件及网络衔接问题,涉及人员培训、设备购买、试运行、测试等工作。系统实施工作不到位,将影响对系统的评估及未来系统的有效应用。
(4)系统运行维护阶段风险
信息系统缺乏有效的运行与维护机制,将使企业面临巨大风险。系统日常的运行与维护,设计人员操作、权限管理、数据备份、系统变更等诸多问题,关系到系统的安全、准确与可用。例如,系统数据缺乏定期备份机制,导致灾难发生时数据遗失,从而造成不可估量的损失;对用户权限不加严格管理,将导致系统内在的不相容职务分离机制形同虚设,进而出现越权及舞弊等问题。
(5)信息系统的安全性风险
系统安全主要包括硬件安全、网络安全、保密机制等方面。缺乏健全的安全机制,极易产生商业数据遗失、泄露等问题,危害巨大。
基于IT的重要性和风险的必要性,国外政府机构及组织先后提出了适用于IT治理控制的多种框架标准,包括ITIL(信息技术基础架构库)、COBIT(信息及相关技术的控制目标)、BS7799(信息安全管理标准)、Prince2(项目管理方面)和ISO/IEC38500(公司IT治理)等。比较而言,COBIT是最全面、最权威的框架。因其完善的结构、全面的标准体系,被视为通用的IT控制框架,并作为COSO内部控制框架?一种有力支持。Tuttle和Vandervelde(2007)通过实验研究方法对COBIT模型的合理性做出了验证,为其有效性提供了理论上的支持。
1.5COBIT框架概述
COBIT自诞生之日起,关注IT内部控制一直是其基本立足点, 它以COSO 框架为基础,针对IT 环境制定了一系列详细的控制目标,强调实用性和可操作性,已经成为IT 环境下理解、实施和评价内部控制必不可少的框架。COBIT认为, 控制是通过设计政策、程序、惯例和组织架构, 对业务目标中将要达成以及不期望的事件能够进行预防、检测和纠正。其控制逻辑是: 通过IT过程来管理IT资源以实现IT目标, IT目标响应业务需求。
COBIT的首要特征在于其对业务的关注, 它通过IT目标的实现来达成业务目标。IT 目标就是按照信息标准来提供实现企业业务目标所需的信息。IT目标的实现需要相应的IT资源, 这些资源需由一组结构化的IT过程来投资、管理和控制。COBIT将IT规划、建设、运行、监控的整个IT活动划分为规划与组织, 获取与实施, 交付与支持, 监控与评价4个领域, 并在这4个领域中识别出了37个一般性的IT流程, 对于每个IT 流程,COBIT 都在业务和支持它的IT 目标之间建立了关联, 还定义了详细的流程控制目标。此外,COBIT 还对每个IT 流程设置了流程整体控制目标以及应用控制目标。为了对企业自身IT流程的绩效进行客观度量,COBIT开发了成熟度模型进行标杆管理, 从IT、IT流程和活动三个层次来定义控制的目标, 根据平衡计分卡的原理来对流程绩效进行度量。
所以当解决企业IT管理和治理中的问题时,只有当考虑这种系统性的治理与管理的本质时,好的决策才会被采纳。这意味着为了应对任何利益相关者的需要,必须分析所有相互关联的促成因素的相关性,如果需要做相应处理。
COBIT5是国际信息系统审计协会为企业IT治理和管理提供的新一代指引,它为更多利益相关者能够明确在衡量其对于信息及其相关技术的期望值,即在何种风险等级以何种成本能实现何种收益。以及在确保期望值实际得以交付的过程中他们处于何种优先级。同时解决企业成功日益依赖外部业务和IT技术方面的问题。如外包商、供应商、顾问方、客户、云计算和其他服务商,并通过多样化哦内部手段和机制来实现预期价值。此外,处理已经大量增长的信息量。企业如何选择相关及可信的信息以便于做出有效的决策,对信息进行有效管理,从而对决策提供帮助。于此同时整合处理更加广泛的信息技术。信息技术越来越多地成为业务的整体部分。通常,即使是与业务保持一致,将IT分开不再是令人满意的。IT必须成为业务项目、组织结构、风险管理、政策、技能、流程等等的整体部分。以及在创新和新兴技术领域中提供进一步指引。它还提供端对端业务和IT职能责任,并且覆盖形成有效的企业IT治理和管理的各个方面。
通过COBIT5使企业实现通过有效和创新低运用企业IT创造价值、业务用户对IT参与和服务的满意度,与相关法律法规、契约协议和内部政策的合规性。以及业务需求和IT目标之间改善的关系。
但凡关键之处,连接到或市场上其他重要框架和标准保持一致性。并整合了IT风险管理(RiskIT)和IT价值管理(ValIT)等重要的框架和指引,这样COBIT5就能覆盖整个企业,并提供一种将其他的框架、标准和实践整合为单一框架的依据。
过去研究审计风险的降低往往来自于对重大错报风险的识别方面,来自于单一的注册会计师判断或者单一的质量控制实施,COBIT5则从框架到细则规范了企业组织活动的内容,并具有持续督导作用。从注册会计师的行为以及内控的管理两个方面提供监控和督导作用,从而使会计师事务所管理层在管理过程中能关注引起审计风险的控制点,并能够提供督导和反馈以达到审计风险降低到合理的水平。审计风险主要由信息不对称所造成的,并提出完善公司治理机制、彻底解决信息不对称、从源头上降低审计风险、保持应有的职业怀疑态度、加强审计计划工作等五项措施。
COBIT5提供了一种全面的框架,以支持企业实现其企业IT治理和管理的目标。简而言之,就是帮助企业通过维持现实利益和优化风险等级和资源之间的平衡,从而创造源自于IT的最佳价值。COBIT5能够为整个企业使IT在整体上得以治理和管理,并承担整个端到端业务和IT功能区域的责任,同时兼顾内外部利益相关者与IT相关的利益。COBIT5的主要特点包括以下五个方面。
2.1满足利益相关者需要
会计师事务所存在的目的就是为其利益相关者创造价值。对于事务所所有者,它创造了利润;于委托方,它供了有效的服务;对于监管者;它开展业务活动符合有关监管的要求等等。正是由于存在如此众多的利益相关者,“创造价值”就意味着因人而异,甚至相互冲突。治理就是在面对不同利益相关者的溜关注的利益不同的情况下进行协商和决策。因此,会计师事务所在经行治理的过程中也要考虑相关的利益群体,从而为实现收益、优化风险以及优化资源配置做出正确的决策。
与其他企业一样,会计师事务所也面临着外部环境因素和内部环境因素的影响。为了使会计师事务所能够更好应对内外部环境影响,完善的治理和管理体系是非常重要的。通过COBIT5的目标分层,能够将会计师事务所的利益相关者的需要转换成具体的、可行动和定制化的企业目标、IT相关目标以及动力目标。这种转换需要会计师事务所的每一层级上,每一个方向上设定具体目标,以支持整体目标和利益相关者的要求,因而能够有效支持会计师事务所需求和IT解决方案以及IT服务之间的一致性,从而避免信息孤岛的产生。
COBIT5的分层目标主要包括四个步骤:
步骤1:识别内外部环境因素,从利益相关者驱动因素判断利益相关者的需要。
步骤2:将识别出的利益相关者需求逐层分解至企业目标。将利益相关者的需要与一系列通用的企业目标相关联,并通过平衡计分卡分解到“财务、客户、内部、学习与成长”四个维度中。
步骤3:将具体化的企业目标进一步分解至IT相关的目标。企业目标的实现需要若干个IT相关目标。同样按照平衡计分卡“财务、客户、内部、学习与成长”四个维度,COBIT5定义了如下表所示的17项IT相关的目标。
步骤4:将分解得到的IT相关的目标逐层分解至动力目标。动力包括流程、组织、结构和信息。对于每一种动力都有一系列具体目标以支持IT相关目标。
COBIT5.0在动力流程中设计了37个动力流程,这37个动力流程组成了企业IT治理流程框架。从评价、指导和监控;定位、计划和组织;构建、购置和实施;交付、服务和支持;以及监控、评价和评估5个方面全面控制企业。从而使信息能够及时的传递和反馈,并帮助管理者做出及时、恰当的决断。
同时,作为一个灵活的框架,每一项IT动力目标能够最后落实到与审计准则的契合。从而为事务所的管理增加一道防火墙。
通用流程模型通过绩效管理有效的管理流程,并提炼定义流程使其标准化,通过流程管理和流程控制实现流程的可预测,最后通过不断的预测和创新最优化流程。
COBIT5通过对目标分层清晰的梳理了利益相关者相关的驱动因素,同时将利益导向的需求分解至企业目标,然后进一步分解至IT目标最后落脚到COBIT5.的动力目标。COBIT5框架最优化了企业管理流程,规范了项目执行时的流程,并对流程实时的进行监控和反馈,使管理层能够清晰、及时了解到一线业务的情况,并及时的处理突发的情况。同时对于突发事件和不断变化的环境,COBIT5.0所采用的生命周期流程能够不断的修正框架的结构和内容从而及时的弥补变化所带来的漏洞。COBIT5对会计师事务所治理的意义在于它能最大限度的掌握每一个业务的信息状况,从客户、成员、项目经理、项目组,最后再到主任会计师,这样端到端的盖了所有信息发送和传送的环节,保证了信息传递的及时、有效性。同时在于审计准则以及其他框架完美的兼容之后,COBIT5还给事务所审计项目组提供了一个规范,使审计人员能够在安全范围内进行审计作业,极大限度的控制了审计的风险。同时COBIT5还通过对设定审计风险红线,对于超过审计风险红线的项目予以特别提示,告知管理层进行特别处理。
2.2端到端覆盖整个会计师事务所
COBIT5以若干个动力为基础,提供一种全面性和系统性的关于企业IT治理和管理的观点。这些动力是端到端覆盖整个企业的,所有企业信息和相关IT的治理和管理有关联的内部和外部任何事及任何人都纳入其中,包括了IT部门和业务部门的活动以及有关职责。其治理和管理体系如图(2)所示。
其中治理动力主要指治理的组织资源;治理范围可以应用到整个企业、某一实体、某一种有形或无形资产等;最后角色、活动和关系这种要素定义了在任何治理体系范围内谁参与治理、如何参与治理、应该做什么事情以及如何互动。图(3)阐述了不同角色之间的活动和关系。
COBIT5.0将企业IT治理整合到企业治理中,它是以整个企业端到端的角度解决信息及相关技术的治理和管理。COBIT5提出的企业IT治理体系能够无缝接的整合在任何治理体系中。其覆盖治理和管理企业信息以及相关技术所需要的所有功能和流程,无论该信息在何处处理。
2.3运用单一整合式框架
IT相关的标准和最佳实践方法很多,每一种都有一种IT活动的子集提供指引。COBIT5.0与其他标准的兼容性强,可以作为企业IT治理的首要框架。COBIT5.0流程动力模型能够很好的与《审计准则》兼容,为审计准则提供具体量化指标,为会计师事务所实施《审计准则》提供良好适宜的土壤。
2.4采用一个整体全面的方法
在COBIT5中,动力是指企业IT治理和管理起作用的因素。动力是由目标分级所驱动。
COBIT5框架描述了七个动力范畴:
第一个是原则、政策和框架。这是将欲达到的行为转化为日常管理实践指引的载体。
第二个是流程。其描述了一套实现某些目的的组织化行为,并生成一套以支持实现整体IT相关的目标。
第三个是组织结构。它是企业内的关键决策体。
第四个是文化、道德和行为。
第五个是信息。包括所有企业已生成和使用的,渗透在任何组织结构之中;
第六个是服务、基础设施和应用程序。包括企业提供信息技术和服务的基础设施、技术和应用程序。
第七个是人员、技能和能力。目标的实现最终还是要落脚到人的因素上,其是完成各项活动、做出正确决策和采取纠正措施所必须的。
以上七个动力的作用方式如图4所示,通过互为联系的动力系统进行治理和管理,从而实现企业目标。
所有的动力均有一套共同维度,这套维度提供了一种共同的、简单的以及结构化的方式以处理动力,使企业对复杂化的互动关系实现管理,并且促进动力的成功。这种维度如图5所示。
每一种动力都有利益相关者。利益相关者的需要转化成企业目标,这些目标进而转化成企业的IT相关目标;每一种动力都有若干目标,而动力是透过达到这些目标来提供价值的;每一种动力均有生命周期,从运行到处置。这种周期可以运用到信息、结构、流程和政策等方面;对于每一种动力,良好的实践支持动力目标的实现。良好实践就如何以最佳方式实施动力,或者对某项业务流程提供实例和建议。也就是我们说的指引和范本。
在规范了动力维度的同时,COBIT5也关注到了动力的绩效管理,因为所有企业都希望从应用和使用动力中获得积极的成功。为了管理绩效,需要对如下问题定期进行监控和检查:利益相关者的需要是否得以满足?动力目标是否实现?动力生命周期是否予以管理?良好实践是否应用?
2.5区分治理和管理
COBIT5将治理和管理区分开来。这是两种包含不同类型的活动,需要不同的组织结构,并服务于不同的用途。从COBIT5的角度来看,其主要区别如下:
治理确保利益相关者的需要、条件和选项得到评估,以决定平衡、协商一致、需要实现的企业目标;通过优先等级和决策来设定导向;并监控商定的导向和目标的绩效和合规性。
管理层计划、构建、运行和监控与治理机构设定导向一致的活动,以实现企业目标。
然而在治理和管理之间存在着一定的互动性。从治理和管理的定义来看,很显然它们构成了不同的活动,并具有不同的责任;然而,鉴于治理的作用—评鉴、指导和监控—因此需要一组治理和管理之间的互动,以形成一种高效和有效的治理体系。这种互动主要包括:1.流程。其主要通过流程模型来实现。2.信息。流程模型描述从不同流程时间到其他流程的输出和输入,包括治理和管理流程之间交换有用的信息。用于评价、指导和监控企业IT的信息,以流程模型输入和输出的方式描述在治理和管理之间进行的交换。3.组织结构。每一个组织都会定义若干个组织结构,这些结构可以参与到治理空间和管理空间之中,取决于其决策的组分和范围。应为治理是关乎设定方向,互动是在治理结构所作出的决策和实施前者所需的决策和运营之间进行。4.原则、政策和框架。原则、政策和框架是企业内治理决策制度化的载体,因此,也是治理决策和管理决策之间的一种互动。通常我们认为治理是设定方向而管理则是执行方向。5.文化、道德和行为。行为也是企业良好治理和管理的关键动力之一,并由高层设定(以榜样为先导)因此也是一项治理和管理之间的互动。6.人员、技能和能力。治理和管理要求不同的技能组合,但对于治理机构成员和管理层而言,一项根本的技能就是理解各种任务以及任务之间的差异。7.服务、基础设施和应用程序。服务需要并由应用程序和基础设施支持,以为治理机构提供充分的信息和支持评价、设定方向和监控治理活动。
只要覆盖所有必要的治理和管理目的,企业可以组织其自视为适当的流程。流程的多少取决于企业的规模和业务的复杂程度。COBIT5包括一个流程参考模型,该模型详细定义和描述若干治理和管理流程。并代表所有通常在某一企业内可发现的、与IT相关活动的流程,为操作IT和业务经理提供一种可理解的共同参考模型。这个通用模型是一个完整的、综合性的模型,但并不是唯一可行的流程模型。各个企业必须结合其具体情况定义各自的流程集。
将企业涉及到IT活动的所有部分使用一种操作模型和一种共同语言结合起来,是通向企业治理的重要和最关键的步骤之一。
COBIT5流程参考模型将企业IT治理和管理划分为两大主要流程领域:
治理:包括五个治理流程;在每一个流程中对评价、指导和监控(EDM)实践予以定义。
管理:包括四大领域,与计划、构建、运行和监控的责任范围相一致,并提供端到端的IT覆盖。主要包括:定位、计划和组织(APO);构建、购置和实施(BAI);交付、服务和支持(DSS);监控、评价和评估(MEA)
3.COBIT5框架及实施方法
只有通过有效采用并调整COBIT,使其适应于每个企业的独特环境时,才能借力COBIT实现它的最佳价值。以下通过会计师事务所内部管理要素来分析COBIT5解决问题的步骤。
3.1考虑企业的具体环境
企业IT治理和管理不可能在真空中进行。每一个企业需要设计自己的事实计划或路线图,这要取决于具体的内外部环境中的各种因素。例如企业的:道德和文化,适用的法律和法规以及政策,使命、愿景和价值观,治理政策和价值观,治理政策和实践,业务计划和战略意图,运作模式和成熟度,管理风格,风险偏好,能力和可用资源,行业惯例。
同样重要的是要充分利用和构建现有的企业治理中的推动力。
企业IT治理和管理的最佳方法因各个企业而异,需要理解和考虑各企业的环境,以便在实施企业IT动力的治理和管理时有效采用和适配COBIT。COBIT通常以其他框架、良好实践和标准为依托,而这些也需要予以调整以满足具体的要求。
成功实施的关键成功要素包括:高层管理提供及时知道和授权,以及切实有效的承诺和支持;所有各方支持治理和管理流程以理解业务和IT目标;确保对必要变革的推进和有效沟通;根据企业独特的环境量身定制COBIT和其他配套的良好实践以及标准;注重速赢并优先实施最易实现和最具效益的改进方案。
3.2创造适宜的环境
借助COBIT在实施举措时给予适当治理和充分管理非常重要。重大IT相关的举措常常失败的原因在于各个必需的利益相关在指导、支持以及监督方面的不足,而利用COBIT实施IT动力的治理和管理也不例外。来自关键利益相关者的知道和支持非常重要,可以使改进得以采纳和持续进行。在管理薄弱的企业环境中,这种支持和参与显得尤为重要。
利用COBIT驱动的动力应解决实际业务需要和问题,并非仅作用于其本身。管理层应当识别并接受源于当前问题和驱动因素作为待解决的需求。基于COBIT的高层健康度检查、诊断或能力评估是提高意识、达成共识和承诺一致行动的卓越工具。必须从一开始就征求有关利益相关者的承诺和认可。为实现这一点,实施目的和收益需要在业务说明中予以清晰表述,并通过案例概述予以总结。
一旦得到承诺,就需要为该项目提供充分的资源支持,定义并分派关键角色和责任。需要持续谨慎地维护来自各个受影响的利益相关者的承诺。
应建立和维护适当的监督指导的结构和流程。这些结构和流程还应确保与企业范围内的治理和风险管理方法相一致。
关键利益相关者应提供明确的支持和承诺。
3.3识别痛点和触发事件
有若干种因素预示着企业有改善IT治理和管理的需要。
采用痛点或触发事件作为实施计划的起始点,企业可以将IT改进治理和管理的案例与正在经历的日常实际问题联系起来。这将改善项目的受认可程度,在企业内部营造有必要启动实施的紧迫感。此外,针对企业内最显著或最可识别的问题可以通过确定快速方案以快速证明增值。这样就会给引进进一步变革提供一个平台,并有助于获得整个高管层对于更深入的变更的决心和支持。
成功实施取决于以适当的方式执行适当的变更(适当的治理和管理动力)。在很多企业中,明显的关注是放在IT的核心治理或管理方面,但不够重视管理变更和相关人员、行为和文化方面已经对利益相关者的激励。
我们不能对各种利益相关者在被涉及到或受某些新的或修正的动力影响时会心甘情愿地接受和采纳变更存有侥幸。无视和抵制变更的可能性需要以结构化和积极的方法予以解决。同时,应该通过明确的沟通计划达到实施项目的最佳共识,这项沟通计划应界定整个项目集中各个阶段的沟通内容、沟通方式和沟通对象。
通过在赢得民意、领导的时间、加强沟通和对员工的影响等方面的投入来获得利益相关者的承诺,或通过对管理、监控和执行流程的投入强制实施合规要求,可实现持续性改进。换言之,需要克服人员、行为、文化等方面的障碍,以便形成合力来适当地采纳变更,灌输采纳变更的意志,并确保采纳变更的能力。
3.5采用生命周期法进行实施
实施生命周期为企业提供了一种利用COBIT来解决在实施期间遇到的典型复杂问题以及挑战的方法。生命周期的三个互为关联的组成部分分别是:核心持续改进生命周期、启动变更以及项目集管理。(图8)
实施生命周期的七个阶段:
第一阶段——什么是动力
这个段开始识别和商定实施或改进计划的需求,这一阶段确定当前的痛点和触发事件,并行政管理层营造出变更的愿望。一个改变的驱动程序是内部或外部事件,环境或促进改变的主要问题。事件、趋势(行业、市场和技术)、性能不足、软件实施,甚至企业的目标都可能会成为改变的驱动。我们要确定当前改变的驱动程序和创建描述这种改变的行政管理水平,然后陈述出企业情况的概要。与项目实施自身相关的风险应在企业情况中描述,而管理应贯穿于整个生命周期。筹备、维护和监督企业情况是基础和调整、支持的重要管理,以及确保一些行动的成功结果,包括IT治理的实施。它们确保持续关注项目的收益和实现。
第二阶段——现在怎么办(我们处于何种位置)
关注如何利用COBIT中企业目标与IT相关目标以及关联IT流程之间的映射关系来界定实施或改进计划的范围,并考虑风险场景来突?需要关注的关键流程,这就是说我们要保持IT相关目标与企业战略和风险目标相一致,且优先处理企业最重要的目标,IT相关目标和流程。高层诊断对于需要关注的搞优先级领域的界定和理解也非常有用。然后进行当前状态的评估,通过执行一项流程能力评估来发现问题和缺陷。大规模计划应根据生命周期的多次迭代予以架构—因为任何超过六个月的事实计划都存在失去利益相关者的动力、关注和全身心投入等方面的风险。
第三阶段——朝何处发展
应设定一项实施目标,然后进行更为详细的分析,利用COBIT的指导作用以识别差距和潜在的解决方案。一些方案可以是短期快速的,而其余的应该是更具有挑战的和长期性的活动。应优先考虑较易于实现的和有可能产生最大收益的计划。
四个阶段——需要做些什么
应通过界定合理的业务案例所支持的项目,计划实际的解决方案。还应开发一项实施变更计划。一项完备的业务案例有助于确保项目的收益和得到确认和监控。
在第五阶段——如何完成目标
建议的解决方案应在日常实践中予以实施。应界定衡量标准并形成监控机制,使用COBIT的目标和指标以确保实现和维护业务一致性,并可以测评绩效。要达到成功需要最高管理层的参与和坚定的承诺以及受影响的业务和IT利益相关者拥有主人翁精神。
第六阶段——我们是否完成目标
关注于新的或改良的动力的持续运行,以及对于其预期收益实现的监控。
第七阶段——如何保持动量
对计划的整体成功进行审验,确认企业IT治理和管理的进一步需求,并强化持续改进的要求。这是一个持续的贯穿于所有阶段的并且是重复的过程。
随着时间的推移,在构建企业IT治理和管理的可持续方法的同时,生命周期应循环跟进。在启动变更之后,生命周期法能够持续动态的跟进问题,从而使风险得到可靠、有效的监控。
最后为确保借力COBIT的实施计划成功,在企业内部,对采取行动的需求应广为认识并进行广泛的沟通。可行的方式包括“警钟”式,或是表达寻求改善的机会,而且非常重要的一点是,提出有待实现的收益目标。需要逐步灌输一种适当的紧迫感,而且关键利益相关者应意识到不采取措施的风险以及落实这些项目的收益。
计划应属发起人所有,应包括所有关键利益相关者,并应以一个业务案例为基础。首先,可以从高层战略的角度开始,自上而下,先要明确理解预期实现的业务成果,进而详细描述紧要任务和里程碑以及关键角色和职责。业务案例在管理层知道创造业务价值时是一个非常有价值的工具。业务案例最低限度应包括以下内容:
①锁定的业务收益目标及其与业务战略的一致性,和相关收益的所有者。这些可以采用痛点和触发事件作为依据。
②创造预期价值所需要的业务变更。这可以给予健康度检查和能力差距分析,并清除说明范围外的具体内容。
③进行企业IT治理和管理变更所需要的投资,以必须的项目估算为依据。
④持续运营所需的IT和业务成本。
⑤采用已变更方式运营的预期收益。
⑥前述项目中固有的风险。
⑦计划相关的角色、职责和责任。
⑧在整个经济生命周期中如何监控投资和价值创造,以及要使用的指标。
⑨业务案例并非一次性的静态文件,而是一种动态的运营工具,必须持续更新以反映未来的当前视图,从而维护项目可行性的概略图。
⑩量化实施或改进计划的收益可能较为困难,因此应特别注意只关注实际的和能实现的收益。对大量企业进行研究可以提供关于已实现收益的有用信息。
4.1我国会计师事务所由IT应用产生的审计风险
我国会计师事务所IT应用层次已受到普遍重视,随着全球四大和其他跨国会计师事务所进驻我国市场,我国本土事务所在国际化趋同方面已作出了长足的发展,但是收到资金和规模制约,我国会计师事务所IT应用层次还普遍较低,深度不够,制约着IT潜能的发挥?从而造成管理的盲区和不连续,增加了审计的风险。这主要表现在:
(1)“信息孤岛”现象造成管理不连续,从而增加事务所从事审计业务活动中审计风险的加大。
长期以来,我国事务所信息化建设都存在重投资、轻规划,重建设、轻管理的现象,当许多会计师事务所持续增加他们对信息技术的投资时,这些投资的价值和IT的整体性能通常存在问题或未完全实现。导致事务所“信息孤岛”“部门间各自为政”现象严重,严重影响了信息化效果和进程。这也是不理想的投资组合和项目规划、方案和审批机制的结果。
(2)缺乏有效、完善的IT风险控制的应对机制而造成事务所管理死角,增加审计风险。
孟秀转(2007)指出,完善的IT控制制度并不等于完善的控制体质;目前“企业缺乏从公司透明角度出发、结合支持企业业务战略和业务流程的完整内部控制体系”。信息化带个企业巨大的竞争优势,同时也带来了无数潜在风险。如果不能对IT风险加以有效应对,那么企业将难以长久持续下去,因此企业IT控制机制有待完善。
(3)未能满足规范管理和合约需求而导致审计风险加大
在许多会计师事务所,无效率或无效果的治理机制阻碍了有关法律,法规和合同条款作为整体纳入组织的系统或者缺乏管理它们的方法。普遍增加的合规和合法需求通常随着IT促进活动的影响而增加
(4)新形势下IT人才短缺,而导致控制薄弱增加会计师事务所审计风险
在当前信息化高度发展的今天,企业需要的IT人才,必须满足技术和管理两方面的要求。而多数企业在IT人才方面面临的困境时,懂技术的不懂管理,懂管理的不懂技术,这也间接导致了IT控制缺失的状况。
(5)会计师事务所的创新能力和业务迅速发展受到IT的制约,从而增加审计风险
会计师事务所在有以提供竞争力创新能力的需求时,IT支持功能的作用不足。有些可能指业务和IT之间缺乏切实的双向调整。这也许是由于在战略规划和业务驱动行动阶段IT参与业务得太迟。当经济环境要求会计师事务所迅速做出响应时,这问题通常是最突出的。如:开展IT审计、环境审计、能源审计项目而会计师事务所信息系统不能根据新业务的特点做出相应的调整,造成审计风险加大。
(6)复杂的事务所IT治理模式。
有些事务所投入了大量的人力、物力设计了复杂的会计师事务所IT系统,在应用中繁琐并且不易操作,员工需要培训很久才能勉强上手,这也导致了由于操作不当造成的审计风险加大。
4.2COBIT5框架在会计师事务所中的具体运用
我们以ABC会计师事务所为例,具体将COBIT5.0体系应用于ABC会计师事务所后,对事务所总体风险降低的影响。
ABC会计师事务所基本情况如下:ABC会计师事务所成立于2004年,是某二线城市中型会计师事务所,在全省事务所排名前20。注册资本150万元,股东8人,均为注册会计师,主任会计师担任公司法人,下设审计一、二、三部三个审计部门,另设业务拓展部和办公室、财务部。在职人员40人,其中20名注册会计师。
内部控制主要有27项制度构成:业务质量控制制度、业务收费制度、业务承接制度、风险评估制度、执业回避制度、重大风险事项报告制度、专业咨询制度、风险管理制度、业务报告签章制度、工作底稿的管理和使用制度、业务质量责任追究与赔偿机制、考勤制度、办公用品及设备管理制度、文印管理制度、印鉴管理制度、客户管理制度、薪酬制度、工时制度、休息休假制度、劳动保护制度、社保及福利制度、劳动纪律制度、培训制度、财务管理制度、固定资产管理制度、职业风险基金管理制度、员工守则。
ABC会计师事务所长期发展基本还是处于传统管理模式下,对管理人员的主管依赖性较高,同时没有监督和评价造成对制度的执行不彻底。ABC会计师事务所采用的质量管理和业务管理主观判断性强,可能导致审计项目所造成的审计风险不能很好的评估。从而使ABC会计师事务所存在较高的审计风险。
ABC会计师事务所在信息化上引进了办公OA系统和审计软件、财务软件,事务所未设信息部门,由办公室行政人员兼职信息人员。虽然ABC会计师事务所实现了信息化管理,但是各个模块独立存在,相互联系不紧密。经常造成每个系统各管一套,与ABC会计师事务所的整体管理相脱离,使信息化成为了形式主义。管理层使用、利用信息化系统反馈的信息程度较低。使得信息化对审计项目乃至审计风险的控制效果薄弱。
为此ABC会计师事务所采用COBIT5框架,以满足相关利益者需要;涵盖整个企业范围;应用唯一的集成框架;使用整体的方法;治理与经营管理相分离。五个原则为指导,由总经理牵头成立了IT治理委员会以开展了COBIT5框架的建立。
采用COBIT5进行IT治理改进时,已有适当的环境是很重要的。这有助于确保行动本身是可治理的且充分指导和支持管理和监督。ABC会计师事务所的治理层应明确和规划指导原则,决策权和职责框架。
主要利益相关者不充分的支持和指导可能会导致IT治理行动产生没有适当所有权的新的政策和程序。没有一个分配角色和职责,致力于持续经营,符合监督的管理机构,流程改进是不可能成为标准的业务实践。所以ABC会计师事务所需要建立和维护适当的环境确保IT治理作为一个企业内部全面治理方式的整体部分实施。这包括适当的指导和实施行动的监督,包括指导原则。其目的是合理保证,指导和控制活动,以便与事务所目标保持一致及董事会和高级管理层的适当执行支持。
许多情况表明,IT治理行动会在全面的企业治理中识别了重大的弱点。IT治理很难在一个差别的企业治理环境获得成功,因此高级管理人员的积极支持和参与更为重要。董事会应意识到需要改进整体治理和如果没有这样的参与IT治理失败的风险。因此ABC会计师事务所根据自身的情况建立了IT治理委员会,制定、实施和监督IT治理的实行。
IT治理委员会充分的考虑的相关利益者的需求,确定了ABC会计师事务所最大的风险承受能力,以及相关监管者对事务所风险的要求。对会计师事务所风险做出了总体规划。
并且通过不断的走访和问卷识别出了会计师事务所风险控制的关键点。
阶段一——什么是动力
确定当前改变的驱动程序和创建描述这种改变的行政管理水平,然后陈述企业情况的概要。一个改变的驱动程序是内部或外部事件,环境或促进改变的主要问题。事件、趋势(行业、市场和技术)、性能不足、软件实施,甚至企业的目标都可能会成为改变的驱动。与项目实施自身相关的风险应在企业情况中描述,而管理应贯穿于整个生命周期。筹备、维护和监督企业情况是基础和调整、支持的重要管理,以及确保一些行动的成功结果,包括IT治理的实施。它们确保收益和实现。
这一阶段的目的是了解预想变革的广度和深度,受影响的不同利益相关者,影响的本质和来自每个利益相关集团的参与要求,以及当前的准备和适应能力。
当前的核心问题和触发事件可以为建立变革的愿望提供一个良好的基础。“提醒服务”,方案的最初沟通,可能与企业正经历的工作问题相关。当然,最初的收益也与企业高度可见的领域连接,为进一步变革和更广泛的承诺和支持创建一个平台。
而有效沟通是贯穿于实施或改进计划的普遍思路,最初的沟通或提醒服务是最重要之一且会表现出高级管理层的承诺。因此,理论上应是执行委员会和首席执行官(CEO)的有效沟通。
阶段二——现在怎么办(我们处于何种位置)
保持IT相关目标与企业战略目标相一致,且优先处理企业最重要的目标,IT相关目标和流程。COBIT5提供企业目标到IT相关目标及IT流程的通用对照表,有助于进行选择。并且在实施团队中考虑的方面包括涉及业务和IT的适当领域以及知识和专业技术,经验,信誉,和权威的团队成员。获得一个独立、客观的观点,适当地组合了内外部资源组成团队。之后确定已知的企业和IT相关目标,关键的流程背后需要有足够的能力去确保成功的结果。管理者需要了解企业目前的能力和可能存在的缺陷。这是通过流程能力评估选定对象过程的现有状况实现的。通过对ABC事务所的分析,我们找到了企业存在着如下问题:
(1)内控制度随意性强,无专门内控控制人员。存在制度与控制两张皮的现象。造成内部控制存在缺陷,导致业务风险的加大;
(2)信息系统各自为政,没有联系性,存在信息孤岛问题。无完整的信息系统流程;
(3)信息管理人员,只具有专业知识,信息技术知识欠缺;
(4)企业文化中对管理的意识较为淡薄,对制度培训不足,造成员工大多不了解制度。
阶段三——朝何处发展
我们想要到达怎样的位置,即设定改进的目标,继而进行差距分析以确定可行的解决方案。一个高层次的变革启动计划应与整体项目计划相连接制订。变革启动计划的关键要素是战略沟通,将提出核心拥护者团队是谁,他们的行为规范和信息要求,沟通渠道和原则。
同时有些目标是短期的能够快速实现的,而更多的是艰巨的,长期的。应优先考虑那些容易实现和可能实现最大效益的项目。长期的任务应分解为便于管理的模块。由于会计师事务所正处于注册会计师行业的转型发展时期,注册会计师协会对会计师事务所信息化发展有着指导性的要求。同时ABC会计师事务所管理层也希望强化事务所的内部管理。
实施或改进方案的期望愿景应是与那些受此影响的语言上的沟通。有效沟通应包括理由和变革的收益以及没有开始变革的影响,愿景,实现愿景的路线图和要求不同利益相关者参与。高级管理层应传递关键的消息。在沟通中应注意行为和提到的合理方面,重点在于双方的沟通。反应、建议和其它反馈将会遵此行动或获取。
结合《审计准则》和ABC事务所对业务质量的要求,将审计业务流程中初涉审计业务阶段、计划审计业务阶段、风险评估和风险应对阶段、完成审计工作阶段以及最后质量控制阶段的要求和目标做以标准化。
阶段四——需要做些什么
计划切实可行和使用的解决方案具有明确的项目支持和可行的业务情况,且制定实施改变的计划。一个成熟发展的企业有助于确保可确认和持续监督的项目效益。
ABC会计师事务所对设计和构建核心经行了改进。制定变革响应计划是为了授权各种不同的任务参与者。这些范围会包括:组织的计划变革如工作内容或团队结构、组织的变革如流程变动或物流以及人员管理变革如需要培训和绩效管理和薪酬系统的改变。在设计和构建核心的改进中使用的参与方式是急需的。通过那些受变革影响在实际设计中的参与,如研讨会和汇报会议,会增加支持。
阶段五——如何完成目标
通过切实可行的方案纳入日常实践中和建立适当的措施和监督系统已确保业务目标的实现和可衡量绩效。成功需要最高管理层和所有受影响的业务及流程所有者的参与、意识、沟通、了解和保证。
通过流程动力指标细化方案中的关键点,针对ABC会计师事务所,所采用的COBIT5动力指标主要包括:EDM01确保治理框架建立和维护(企业文化、道德和行为;原则、政策和框架,组织的结构和流程);APO01管理IT管理框架(企业文化、道德规范和行为;原则、政策和架构,组织的结构和流程);APO03管理企业的架构(信息:服务、基础设施和应用);APO07管理人力资源(人、技能和职业能力)
同时,ABC会计师事务所还将审计准则与COBIT5的动力流程进行了相应的对接。审计准则以审计流程为核心以既定标准为指导并且通过质量控制作为监控手段。审计准则通过设定标准和质量控制对审计业务的执行和事务所的管理提出了总体的要求:
COBIT5框架通过了解事务所环境、创造适宜的环境、识别痛点和触发事件最后通过生命周期法持续跟进问题。《审计准则》是会计师事务所从事业务活动的最低标准,在执行鉴证、非鉴证业务的过程中审计人员的活动必须符合《审计准则》的要求。COBIT5通过框架化、IT流程化把《审计准则》形象化、具体化,同时连同会计师事务所管理层对审计风险的期望。通过37个动力流程,对风险实施动态的监控。
其中动力流程与《审计准则》相关内容对应关系如下:
评价、指导和监督(EDM)对应设定标准部分;
定位、计划和组织(APO)对应设定标准部分;
交付、服务和支持(DSO)对应客户沟通、完成审计工作部分;
构建、购置和实施(BAI)对应计划审计工作、实施审计工作、实施的程序的指导、相关考虑部分;
监控、评价和评估(MEA)对应治理控制部分。
其中设定标准主要对应的准则有:
1101号注册会计师的总体目标和审计工作基本要求;
1221号计划和执行审计。
质量控制主要对应的准则有:
1221号对财务报表审计实施的质量控制;
审计业务的开展主要包括计划审计工作、执行审计工作和完成审计工作。其中:
计划审计工作主要对应的准则有:
1201号计划审计工作。
执行审计工作主要对应的准则有:
1211号通过了解被审计单位及其环境识别和评估重大错报风险;
1231号针对评估的重大错报风险采取的应对措施;
1251号评价审计过程中识别出的错报。
完成审计工作主要包括出具审计报告和完成审计工作底稿:
其中出具审计报告所对应准则有:
1501号对财务报表形成审计意见和出具审计报告;
1502号在审计报告中发表非无保留意见;
1503号在审计报告中增加强调事项段和其他事项段。
完成工作底稿对应准则有:
1131号审计工作底稿;
1301号审计证据;
1311号对存货、诉讼和索赔分部信息等特定项目获取审计项目的具体考虑。
在审计过程中还需要考虑实施的程序、相关考虑、客户沟通以及特殊事项其中:
实施的程序主要对应的准则有:
1312号函证;
1313号分析程序;
1314号审计抽样;
1321号审计会计估计和相关披露;
1411号利用内部审计人员的工作;
1321号利用专家的工作。
相关考虑主要对应的准则有:
1141号财务报表审计中与舞弊相关的责任;
1142号财务报表审计中对法律法规的考虑;
1241号对被审计单位使用服务机构的考虑;
1401号对集团财务报表的特殊考虑。
客户沟通主要对应的准则有:
1111号就审计业务约定条款达成一致;
1151号与治理层沟通;
1152号向治理层和管理层通报内部控制缺陷;
1153号前任注册会计师和后任注册会计师的沟通;
1341号书面声明。
特殊事项主要对应的准则有:
1323号关联方;
1324号持续经营;
1331号首次审计业务设计的期初余额;
1332号期后事项。
阶段六——我们是否完成目标
关注改进治理的可持续性转变和管理实践纳入政策的业务经?及运用绩效测量和预期效益来监测改进的完成。在变革之中建立明确变革的愿景,并且在ABC会计师事务所IT治理委员会带领下形成一个有效的团队。并且恰当授权经行实施。
作为已实现的具体成果,工作的新方法将成为企业文化的一部分且根植于它的规范和价值观(我们围绕这做事的方式),如:实施政策、标准和程序。这变革实施应可被追踪,应评估变革响应计划的有效性和采取纠正措施的适当性。还应包括一直要求的执行的合规性。
沟通策略应保持持续不断的认识。
阶段七——如何保持动量
回顾整个成功的行动,确定进一步的治理或管理需求且增强持续改进的要求。它也优先考虑进一步提高IT治理的机会。
ABC会计师事务所通过COBIT5流程化构建,使得审计业务的风险得到全面的控制,从而能够采用流程化模型在承揽审计业务之时合理评估审计风险,避免审计风险过大给会计师事务所带来的损失。
4.3采用COBIT5框架对事务所风险的影响
(1)创造良好环境、再造管理流程
COBIT5通过一个整体的框架,从治理层和管理层的目标,细分至完成目标所需的每一个关键点,通过标准化流程对涵盖关键点在内的流程经行再造。并且运用生命周期法经行持续的改造。通过这样的改造能够具体化相关利益者的要求,把这些要求量化到一个个具体的企业目标中,并且通过动力模型指导实施并达成这些目标。COBIT5梳理了顶层的相关利益者和具体的实施者之间的通路,保证了在实施中能够切实按照相关利益者的要求进行业务活动,能够把风险控制在相关利益者可接受的范围呢。
(2)整合IT系统、解决信息孤岛问题
COBIT5作为一个有效的整体框架,他将企业的IT治理统领而成一个整体,通过流程将各个孤立的信息系统串联。并通过不断的改进帮助企业完善流程之间的联系,真正让会计师事务所的业务活动每进行一步都有指导,监督和反馈。使得会计师事务所的业务活动始终处于监控过程中。
(3)及时监控反馈,建立风险预警
这样的监控为会计师事务所建立审计风险预警机制提供了良好的条件。审计风险预警是通过将会计师事务所能够承受的审计风险作为红线,单个审计业务风险评估以及实际审计风险均不得超过该基准的过程。COBIT5的监控活动对审计业务提供动态监督,审计活动中审计风险的变动都会即使反馈到信息系统之中。一旦审计风险超过了事务所可承受的风险。审计活动就要暂停并重新讨论审计业务的可进行性。
(4)动态管理,及时更新以满足规范管理和合约需求
采用COBIT5后,动力流程的生命周期能够持续有效的为会计师事务所提供知识和管理框架的监控,一旦有了新的规范和合约的需求,COBIT5管理框架会根据动力流程模型对框架中的相应控制点做出更新以满足监管和客户的需求,尤其是当会计师事务所涉及一项新的业务时,及时的更新能够使得风险评估能够持续有效的进行,从而保证会计师事务所审计风险控制在合理的范围内。
(5)采用单一整合框架,以需定规,简洁有效
COBIT5保持与其他最新标准和框架的一致性,从而能够使企业能够使用COBIT5作为首要的治理和管理框架集成者。它完整的覆盖了整个企业,为使用中的其他框架、标准和实践提供了有效的整合。这种单一的首要框架是综合的非技术性指导来源以通俗言表达,可作为一个一致的、整合的指引资源。采用COBIT5后作为企业IT管理的财务IT管理,人力资源管理以及业务流程管理全部涵盖入COBIT5框架中统一管理,由统一的信息系统进行管理,管理者能够清晰的读取各项指标,监控和指导业务的实施,从而减少会计师事务所在事前、事中以及事后由于信息传递不及时以及判断失误产生的审计风险。
(6)全面风险控制、提升管理效率
最后COBIT5全面覆盖企业的特点,为会计师事务所其他活动的管理业提供了标准和依据,这样能够极大的规范诸如文件管理、档案管理、人员培训管理等会计师事务所管理活动。从而提升事务所人员工作效率,以合理的成本来降低事务所整体的风险。
COBIT5是基于企业视角且与企业治理最佳实践保持一致,推动IT治理作为更广泛的企业治理的一个组成部分实施。其控制逻辑是: 通过IT过程来管理IT资源以实现IT目标, IT目标响应业务需求。本文从审计风险的角度入手,对IT治理各种手段经行了比较,并选用COBIT5作为实践框架进一步研究得出COBIT5从评价、指导和监控,定位、计划和组织,构建、购置和实施,交付、服务和支持以及监控、评价和评估五个方面控制事务所审计业务活动的风险。
通过对ABC会计师事务所具体的实例分析,进一步阐述了COBIT5对会计师事务所通过了解企业环境,之后在现有基础上创造适宜的环境,并识别痛点和触发事件,最后启动变更并运用生命周期法经行持续的改进。并采用七个阶段对ABC会计师事务所经行了COBIT5的框架化。
COBIT5提供了一个有效整合其他架构、标准和实践应用,如信息技术基础机构库,开放式企业架构,国际标准化组织以及国际电子委员会的依据。甚至本文中将《审计准则》也融入COBIT5框架之中。COBIT5它涵盖了职责、战略、获取、性能、遵守和治理机构的人员行为,如董事会、管理层乃至每一个员工。COBIT5是一个总体框架,作为非技术的,没有技术知识的通用语言的统一和完整的指导来源。然而信息系统同样存在着它自身的问题,在会计师事务所实践信息化的过程中,各个信息系统之间不能相互作用导致了信息系统不能有效的被利用,从而极大的降低了事务所管理效率,甚至存在管理漏洞。
[1] 皮特·布鲁克斯,IT服务管理指标[M],清华大学出版社,2008。
[2] 关建朋,基于COBIT的企业IT控制研究[D],东北财经大学, 2011。
[3] 马良渝、潘婉霞,ISACA信息低通审计准则体系浅析[J],中国管理信息化,2007(3)69-71。
[4] 张文秀、齐兴利、黄溶冰,基于COBIT的信息系统审计框架研究[J],南京审计学院报, 2010(4)29-33。
[5] 樊翠云、刘炜,会计师事务所审计风险防范与控制[J],内蒙古科技与经济,2013(284)39-44。
[6] 成名、徐晨,基于平衡记分卡及COBIT的IT服务管理绩效考核防范[J],宝信软件与标准化专栏,2011(11)50-53。
[7] 方松照,审计风险研究文献综述[J],审计,2013(12)39-41。
[8] 卞勇,审计信息化与标准化[J],审计实务,2010(11)18-19。
[9] 马瑾花,基于COBIT标准的X银行IT内审研究[D],华东理工大学,2011。
[10] 孟秀转、胡克瑾,企业IT控制能力与绩效关系的实证研究[J],经济管理,2009(8)151-157。
