2018年4月9日 行业的见解

技术时代IT审计的演变

在我们这个竞争激烈、联系日益紧密的世界里, 我们看到,在所有行业的公司中,复杂信息技术(IT)应用程序的采用和使用越来越广泛.  为什么不呢? 财务和操作应用程序中的自动化继续使业务更加高效和有效, 同时也减少了人为错误的可能性.  然而, 越来越依赖于IT, Sarbanes-Oxley (SOX)要求管理层增加其活动,并要求审计员增强其测试和文档.

在本文中, 我们的目的是阐明各方都感到越来越努力背后的一些原因. 这些可以归结为:

  • 申请数目增加,而所有申请均须加以维护、控制及审核;
  • 提高了对保持控制环境质量的要求, regardless of its size or complexity; 和
  • 对审计员工作和文件的要求增加.

进一步, 我们将详细说明这些因素对管理层要求的正在进行的工作和年度外部审计的影响.  在其他条件相同的情况下, 上面提到的每一个原因都会, 本身, 增加对管理层及其审核员的影响, 我们将说明每一个的内部工作原理,以阐明为什么会这样.

为什么IT在SOX中扮演了更重要的角色
随着技术的发展和应用的不断成熟, 它们可以更好地帮助在指数级复杂环境中工作的员工.  企业资源规划(ERP)软件处理公司运营的更广泛的方面, 因此每个版本都变得更加复杂.  同时, 与实现自定义构建的应用程序相关的挑战已经显著减少, 因此,今天创建的许多应用程序都期望它们能够与多个应用程序或ERP模块一起使用. 此外, 由于无处不在的高速互联网和可负担的在线托管,软件即服务(SaaS)越来越受欢迎, 哪一种方式能让公司以显著降低的成本利用供应商的应用程序. 这些因素使公司能够成功地集成并依赖越来越多的应用程序来支持他们的运营, 无论是通过内部复杂的ERP还是定制软件, 或者通过外部的服务提供者.

然而, 只有在公司保持良好的IT环境控制下,这些优势才能充分发挥其潜力.  这对管理层来说越来越具有挑战性, 随着他们继续添加额外的应用程序并增加对它们的依赖来执行日常业务活动.  管理层有责任确保这些应用程序继续有效地运行, 尽管他们的报道范围在不断扩大.  解决与这些应用程序相关的日益增加的风险, 管理层必须实施或加强其标准操作程序和现有的控制措施,以确保有效地减轻所有重大的IT风险.

最后, 随着IT在审计中的重要性日益增加, 以及来自上市公司会计监督委员会(PCAOB)越来越严格的审查, 过去10年,外部审计师测试内部控制的方式发生了显著变化.  审核员正在执行更详细的以it为中心的测试过程, 需要增强的文档和来自管理层的支持, 和, 反过来, 是否需要提供更详细的文件来支持他们的额外工作.

理解IT扩展的影响
虽然很明显,应用范围已经扩大了, IT环境有望得到更好的控制, 管理层和审核员应该保持更高质量的文件, 这些因素的影响程度可能并不明显. 我们将分别处理每个部分.

范围扩大的影响
从管理角度看, 范围的扩大意味着需要监视和控制更多的应用程序和/或服务提供商. 从审计的角度来看, 无论是内部SOX测试还是财务报表的外部审计, 以下的下游影响值得注意:

  • 将进行额外的演练每一份申请都应独立考虑, 因此,内部或外部IT审计员必须与应用程序所有者会面,以确认每个应用程序的流程. 这包括了解每个应用程序的工作流和所需的控制点(从IT和业务的角度). 在不同的应用程序之间,这些可能会有很大的不同.
  • 增加了IT通用控制实例的数量一个已建立的公司很少会实施以前不存在的新IT流程, 在这里,人们会看到关键IT一般控制的数量增加(例如, 第一次实现作业调度器, 并且必须实现作业调度控制.相反,在大多数情况下,增加的控制负担往往是不明确的. 有时,当添加新应用程序并且它遵循已存在的类似流程时(例如.g. 变更管理或用户访问),控制计数可能看起来保持静态. 虽然它们可能以类似的方式被控制, 的人, 过程, 和/或技术可能有很大的不同,可以将它们视为相同控制的单独实例. 在这种情况下, 多个控件可以由一个总体控件表示, 然而, 的预演, 样品, 其他要求的审计程序必须相互独立地执行, 并随申请人数成比例增加.
  • 增加了应用程序控件的数量只有在应用程序配置有效的情况下,过程和控制的自动化才有效. 通过使用自动化的应用程序控件实现自动化的每个手动流程. 管理层必须正确识别和测试每个控件的配置和设置. 因此, 自动化程度越高, 需要控制和监视的配置和设置越多.
  • 数据馈送和接口注意事项随着申请人数的增加, 整个环境中的接口和数据馈送可能呈指数级增长. 管理人员必须考虑跨应用程序的数据质量和安全性. 随着环境变得越来越复杂, 确保跨应用程序的数据完整性变得至关重要. 如果在应用程序之间的处理过程中数据丢失或被不适当地修改, 这可能会显著影响下游控制和流程的操作效率.
  • 对服务提供者的额外监控:管理依赖于服务提供商, 他们必须考虑与使用这些供应商相关的风险. 另外, 管理层必须承认,虽然供应商负责执行一些控制活动, 管理层仍然拥有与这些活动相关的风险. 考虑到这一点, 管理层必须执行充分的程序,以确保所有服务提供者的所有风险都得到适当的缓解. 随着“云”成为存储和处理信息的一种更具成本效益的方式, 对服务组织的监控对于适当的风险管理和SOX来说变得越来越重要.

改进的IT控制环境的影响
如上所述, 虽然依靠应用程序自动化业务流程和控制活动可以获得显著的效率, 管理层还必须执行足够的程序,以确保应用程序有效地运行. 随着对这些应用程序的依赖不断增长, 与有效管理相关的风险也是如此. 因此, 管理部门为管理这些风险而需要执行的程序已得到高度重视和加强审查. 外部IT审计人员也在相应地调整他们的审计方法.

管理层需求的增加包括执行额外的控制, 加强现有管制, 改进现有流程的文档和支持维护. 我们看到在审查和关注方面增加最多的三个领域是管理审查控制, 关键报告, 以及应用程序控件. 今天的公司是否通过增加新的控制措施来改善这三个关键领域, 通过加强现有的控制, 或者通过改进相关文档来确定其过去过程的质量. 然而,对于水平集,我们将概述应该解决的每个领域的几个关键点.

  • 管理评审控制:管理层对信息进行评审,并根据评审结果决定采取必要措施, 这被定义为评审控制. 因此, 评审控制之后的事件顺序(或缺少事件顺序)取决于评审的质量. 同时有效地设计和执行评审控制, 必须考虑到审查的几个组成部分. 这些评估包括:
    • 审稿人的能力;
    • 评审过程(包括评审后的后续跟进和程序);
    • Segregation of duties conflicts; 和
    • 用于执行评审的文件的完整性和准确性.
  • 关键报告:作为键控件的一部分使用的报表被定义为键报表. 管理层以及IT和财务审计团队都依赖于这些报告所提供信息的完整性和准确性, 管理层必须有足够的控制措施来有效地控制其中的信息. 这包括:
    • 考虑谁有能力更新报告;
    • 变更是否得到适当管理;
    • Whether the reports are fit for purpose; 和
    • 报告及其数据来源是否完整和准确. 后者包括但不限于:
    • 数据源验证;
    • 在所有可能的工作场景下测试报告的功能;
    • Assessing query parameters, condition statements; 和
    • 确保对生成报告的系统的用户访问和变更管理控制是有效的.
  • 应用程序控制:应用程序控件, 如上所述, 自动控制是否内置到应用程序中,以允许手动控制的自动化. 随着应用程序控件变得越来越复杂, 管理人员必须继续考虑与控制的运行有效性相关的所有风险. 管理层必须评估的事项包括:
    • 应用程序是否有多个版本(或实例);
    • 每个控制是否存在几种可能的结果, 根据交易类型或场景;
    • 控件是否可配置, 由谁, 和 whether changes are captured in the application change management 过程; 和
    • 是否可以重写控件, 是否存在永久的审计跟踪,是否审查正常流程的例外情况.

加强审计工作和文件编制的影响
除了上述挑战之外,应用范围的扩大也带来了挑战, 此外,由PCAOB强制执行的审计要求也在不断增加,IT审计员在执行其审查时必须考虑这些要求, 特别针对上市公司. 围绕控制、关键报告、人口完整性等的期望增加. 不单独影响管理. 它们还对外部审计员在IT审计期间执行的程序产生重大影响.

  • 管理评审控制、关键报告和应用程序控制如上所述,对管理工作的关注和审查程度有所提高. IT审计员也在更大程度上受到审查,并且需要验证管理工作的所有附加组件,以便进行独立审计. 这包括执行类似的过程来测试评审控制, 确认报告的完整性和准确性, 评估应用程序配置, 还有更多.
  • 人口的完整性对照试验是在抽样基础上进行的, 因此,为了不验证控制在一年内(1年)100%运行的实例.e. 控制实例的全部人口). 然而, 审核员必须获得全部人口,以便从中选择样本, 这个群体需要被确认是完整的. 如果人口是不完整的, 某些实例永远无法进行样本选择和测试. 随着人口数量的增加,完整性已成为审计工作的重点, 对IT审计员的文档要求也大大提高了. IT审核员在执行评估时必须清楚地记录所有程序和考虑事项. 这包括清楚地确定信息是否从适当的来源提取, 根据所需的信息,使用的任何参数或条件语句都是适当的, 在接受审计人员评估之前,管理层提供的文件没有任何更改. 另外, 在这些过程上花费的时间可能会受到新应用程序添加的显著影响. 如上所述, 即使控件没有按应用程序分开, IT审核员必须为每个关键IT控制的每个新应用程序评估额外的人口.

结论
总之, 随着技术的不断发展和成熟, 公司更加依赖于应用程序来执行其业务流程. 使用这些应用程序可以使许多手动过程自动化,并显著提高现有控制和程序的效率和有效性. 然而, 随着应用程序的数量和对现有应用程序的依赖不断增长, 与IT相关的风险也是如此.

结果是, 与管理层对其控制环境有效性的评估相关的需求也在不断发展和增长. 这导致管理层和审计员都要承担大量的额外工作. 管理层应该预料到,这种关注水平只会继续扩大, 并且应该充分规划与IT环境的有效管理相关的额外需求和挑战.