内部审计的新动向:防止计算机“黑客”,本文主要内容关键词为:内部审计论文,新动向论文,黑客论文,计算机论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着计算机技术的提高和网络的普及,“黑客”对于我们已不再是一个陌生的名词,2000年伊始,全球几大知名网站先后遭到黑客的袭击,更引起我们对企业抵御黑客能力,即系统安全功能的关注。对银行、证券以及从事电子商务的企业来说,其主要特征是拥有广泛的网络系统,以满足随时为客户提供高效、便捷服务的需要,因此对于来自外部的系统入侵尤为敏感,也促使他们尽快采取针对黑客的风险防御战略。尤其是银行业和证券公司,由于其信息敏感性和所拥有的大量资金,因而被认为是计算机犯罪和黑客的主要目标。即使是除此之外的其他企业,也应强调系统安全,毕竟,控制环境的计算机化趋势已是不争的事实。
一.计算机黑客与内部控制系统
据统计,每年由于计算机犯罪而使企业蒙受的损失多达数十亿美元。计算机技术不断更新,黑客技术日益提高,没有哪一个程序可以保证系统免遭黑客袭击,绝对的安全是不可能达到的,必须时刻强调系统安全。
如何使系统能够防止入侵并及时发现这一企图呢?这一问题很难回答。传播有关确保安全的内部控制信息只会暂时帮助企业完善其内部控制结构,因为它也同时警示了潜在的黑客。对于企业来说,不能期待着一劳永逸,随着计算机技术的升级,不断完善并改进确保电脑安全的内部控制以保证其有效性始终是其总体目标。
确保电脑安全就是确保系统数据和资源的保密性、完整性和有效性,使其免受偶然或故意威胁的伤害。电脑安全措施必须要能够防止现有的和可预见的侵害,并且能够先发制人,阻止技术高超的黑客。目前已 采取了一些措施,如加密、防火墙以及语音和指纹识别系统等,以保证系统的授权接近。尽管建立有效的内部控制、保证业务有序有效进行以及未经授权不得使用或处置资产是管理者的责任,但是管理者未必为此设立专门的系统安全部门,可能将监督内部控制系统运行这一职能作为内部控制评价过程中的一部分,交由内部审计人员来完成。这样,对电脑安全功能进行评价并在必要时建议增加控制措施就成为内部审计人员以及专门从事计算机审计人员的职责。
电脑黑客已证明是现代企业面临的一大问题。黑客可以进入系统,这意味着系统安全必须得到重视。在建立和完善能够防止系统入侵的内部控制系统的过程中,内部审计人员扮演着重要角色。
二、系统入侵风险与内部审计
计算机技术的快速发展可能会引起内部审计角色的转变,从传统的审计已完成事项转向主动参与内控系统的建立和完善。从开始就提供一个更为有效的系统,将避免或降低修改系统所花费的巨额成本,使内部控制系统在早期就得以加强。同时,内审人员参与系统开发利用实施过程也使得内部审计的功能有所扩展。内部控制不再仅仅是管理者的责任,内部审计部门应与管理者合作,提供“控制咨询”服务,而不只是起监督作用,通过创造一个有效、高效的内部控制环境为企业提供更多的附加价值。
但是,这一角色变换可能会损害内部审计的独立性,而独立性恰是外部审计和内部审计的核心,评价内部审计部门的可靠性就是看它与经营管理活动之间的独立性程度有多高。内部审计人员承担着评价硬件和应用系统安全的任务,如果同时又参与了系统开发和实施过程,那么内部审计人员可能是在检查自己的工作。于是我们有理由问,谁来审计内部审计人员呢?开发和实施过程中的风险,是否会影响审计人员的独立性?就内审人员而言,出于对丧失独立性和客观性的担心,也可能会拒绝参与系统软件的开发。
黑客对于所有企业来说都是一个潜在的风险,内部控制的水平应随系统入侵风险的增加而得到提高。在企业总体风险以及内部审计风险当中有必要考虑系统入侵这一内在风险,从而保证内审人员将更多的时间用于系统安全保障,参与内部控制的建立和完善过程,但与此同时,在对内部控制进行评价时,内审人员又将丧失其独立性。面对系统入侵风险,企业内部审计人员陷入了两难境地。有必要对内部审计的作用和承担的职员作出初步的探讨。
三.内部审计的作用与内部控制责任
关于系统入侵风险对内部审计作用与职能的影响,澳大利亚的G6selle和Cannel曾作过调查(1999,InternalAMd6ting), 调查对象是五家银行的内审部门经理(这五家银行的资产占全澳洲银行总资产的57.3%)。被调查者一致认为,内部审计在系统安全方面应该扮演更为主动的角色,内审人员应参与系统安全的构建与完善过程以提供更有效的安全系统并减少系统修改成本。但是,他们认为不应由内部审计人员对系统安全承担唯一责任,两位被调查者认为内部审计的任务应该仅包括审计已完成事项从而确保其独立性和客观性不受损害,而管理者有责任注意到内控措施的缺位及内部控制的薄弱环节并提出改进意见。此时问题已不再是确认内部审计性质是否发生了变化而变成了如何在内部控制系统中分配职责。除一人之外的其余四位被调查者坚持认为,对于系统入侵的防范,内审人员的作用和责任之间应该存在并且本来就存在着一个明显的界限。当然,出现这一结果与内部审计的独立性直接相关,但是,它使得我们思考这样一个问题:内部审计的作用与承担的责任是否可以分离?
就财务报表审计来说,其作用是为财务报告的合法性、公允性。一贯性提供合理保证,其责任是提供真实、可靠的审计报告,可以说其作用、责任以及承担的审计风险之间是一致的。尽管允许会计师事务所同时为其被审单位提供管理咨询服务,但是不允许注册会计师为某一客户同时提供这两种服务,因而就每一个注册会计师而言,其作用与责任还是一致的。但是内部审计情况有所不同,它毕竟是企业的一个内设部门,且通常人数较少,无法作到严格区分从事系统开发和实施的人员以及从事控制系统评价的人员,这就势必会影响内审人员的独立性,且使内部审计承担了过多的风险。
审计职业界必须适应环境的变化,将来内部审计人员是否会承担为系统安全提供合理保证这一职责还很难说,但是,可以尝试将内部审计的作用与责任分离,内审人员应该参与并且允许他们参与内控系统的创建和完善,但是保证内控系统的有效性仍是管理者的责任。这样做虽不能确保独立性完全不受影响,但至少在保持独立性与参与系统创建之间作出了权衡,不至于在内审人员尚无准备之时让其承担无法胜任的职责以及由此带来的风险。内部审计的作用与职责是否可以分离值得我们作进一步的探讨,但是无论如何,基于计算机的控制环境对内审人员的素质提出了更高的要求。
四.内审人员的素质要求以及专家协助
内审人员的技能、经验和知识将极大地有助于企业风险防御战略取得成功,这就对内审人员的素质提出了很高的要求,他们必须熟悉潜在灾难有哪些征兆从而在重大错误和财务损失发生之前采取正确有效的措施。经营环境的变化以及技术的进步迫切需要审计人员不断提高技能,尤其是通过职业培训来提高技能。
内审人员不仅耍能够在现有系统中应对自如,还必须意识到新的发展变化以及由此可能带来的问题。为此,他们必须熟悉计算机系统结构和技巧,应该具有电子数据处理技能(EOP)、审计和会计经验、 审计直觉、行业经验等,即具备“双语”能力。目前在国外,有些行业如银行,尤其看重注册信息系统审计师资格(CISA)。
但是,必须承认,同时具备计算机技术和审计专业知识正变得日益困难。在确保系统免受外部入侵的过程中,即使再出色的计算机审计人员也可能遇到障碍,因此有必要聘请外部专家。这些“友好的”职业黑客可以用其专业技能测试系统安全。其主导思想是,如果他们不能入侵系统,那么任何黑客都无法入侵。需要补充的一点是,在由内审人员、管理者以及外部专家共同参与系统创建和实施的过程中,为使内部控制全面并有所侧重、提高内部控制效率,最终还是要由管理者来综合这些不同意见,并决定需要聘请多少外部专家。“双语”指审计人员会“说”两种“语言”的能力,即计算机和审计。