| 联系我们 |
 |
合作经济与科技杂志社
地址:石家庄市建设南大街21号
邮编:050011
电话:0311-86049879 |
|
|
| 经济/产业 |
提要 本文从法国兴业银行事件入手,分析其原因,得出内部控制失效的关键因素是风险广泛存在于企业内部,进而引入IT治理,从技术角度来弥补内部控制制度层面的不足。在此基础上,探析IT治理与内部控制的互动关系,并借助于IT治理常用框架COBIT把制度真正地执行下去,使合理的制度安排有效地发挥作用。
关键词:IT治理;内部控制;IT风险;COBIT
中图分类号:C93 文献标识码:A
在波及全球的美国次贷危机尚未平息之际,2008年1月24日,法国兴业银行(以下简称“法兴银行”)曝光一起令全球金融业瞩目的违规事件——交易员盖维耶尔的违规交易给兴业银行带来了近50亿欧元的巨额亏损。作为拥有100多年历史、声誉颇佳的法国第二大商业银行,法兴银行不仅拥有500多家分支机构、12万名员工和每年70多亿美元的利润,而且在2007年,法兴银行相继被世界权威风险管理杂志《风险》评为“证券衍生产品年度最佳银行”,被《银行家》杂志评为“资产负债管理年度金融机构”。但就是这样一家优秀的金融机构,却因为一位交易员违规操作,赌错单边市,而栽在金融衍生产品以及与此相关的风险控制问题上。可是,面对交易员盖维耶尔近一年时间的违规操作、系统安全报警75次,法兴银行的内控机制却形同虚设,其依靠人工审核安全警报的方法响应迟钝,导致内控机制失灵,终酿大祸。普华永道的调查报告指出,兴业银行内部监控机制的多个环节有可能存在漏洞,主要包括对交易员盘面资金的监督、对资金流动的跟踪、后台与前台完全隔离规则的遵守、信息系统的安全及密码保护等。作为法国第二大商业银行,兴业银行不仅有较为完善的内部控制制度,而且由于银行信息系统(IS)的复杂度和银行业务对IS的依赖度,银行比一般行业有更高的风险控制技术水平,然而这一戏剧性的事件还是发生了。巧合的是,法兴银行事件与10多年前的巴林事件略有相似。问题是,从巴林银行倒闭到兴业银行陷入危机,十余年间,不论是市场发育程度,还是银行风险控制体系建设,甚或风险控制的技术水平,都发生了翻天覆地的变化,为什么同样的悲剧会接二连三地上演呢?
综上所述,法国兴业银行事件之所以成为一个“事件”,除了外部的原因之外,最根本的那就是风险(特别是IT风险)广泛存在于机构内。完善的内部控制制度是世界各国监管层对上市公司最为关注的问题之一。然而,无论是内部控制制度较为完善的西方国家,还是尚处于经济转型期的中国,公司舞弊行为时有发生,并显露出内部控制在制度层面上的“显性刚性”和执行层面上的“隐性柔性”,使得内部控制失效。而IT治理恰恰从技术角度弥补了内部控制执行层面“隐性柔性”的不足,但IT治理也不是单纯的IT技术应用,而是一种治理机制。
一、IT治理与内部控制:技术与制度
1、IT治理。IT治理即信息技术治理,是从上世纪九十年代中期开始受到广泛关注的研究热点,它部分继承了公司治理的思想,发展到现在已经逐渐形成相对完整的学术及行业体系。IT治理是一个含义广泛的术语,包括信息系统、技术、通讯、商业、所有利益相关者、合法性和公司治理所关心的其他问题。IT治理作为信息系统审计和控制领域中一个新概念,国际信息系统审计与控制协会(ISACA)定义如下:IT治理是一个由关系和过程所构成的体制,用于指导和控制企业达成其目标,主要通过平衡IT过程的风险和回报,增加企业价值,实现企业目标。
通常IT部门出于自身的工作性质,难以全面深入了解企业的业务。这种不了解导致在决定企业IT投资时,IT部门只能从纯粹技术的角度提出建议,无法保证IT投资与业务需求的契合。然而,IT治理的主要任务是保持IT过程与业务目标一致,合理利用IT资源,适当管理IT相关风险,利用各种IT服务,推动业务发展,促使收益最大化,把技术充分融入制度中。
IT治理能确保对有关的企业过程进行有效的、高效的且可测量的改进,并将这种改进集成到企业治理的系统中去,从而将信息过程、信息和信息资源同企业的战略和目标连接在一起。而且,IT治理也将信息系统的规划和组织、获取和实现、交付和支持,以及监控系统绩效等四个过程一体化和制度化,以确保企业信息及信息资源良好地支持企业目标。这样,IT治理就能够使企业充分利用其信息和信息资源,使自己的利润最大化,从而抓住机遇,赢得竞争优势。
2、内部控制。公司内部控制伴随着组织的形成而产生,是由公司董事会、经理层,以及其他员工实施的,旨在为实现经营活动的效率和效果、财务报告的可靠、相关法律法规的遵循等目标而提供合理保证的过程,其整体框架包括控制环境、控制程序、风险评估、信息与沟通、监督机制(COSO)。建立内部控制是为了实现效率经营、防止舞弊,通过划分职责,包括组织规划、分工、授权审批、独立负责制度,明确各部门、各岗位和员工职责、制定作业标准等实现控制目标。
IT治理与内部控制分别从技术层面和制度层面来控制企业风险,实现企业的战略目标。IT治理侧重于控制IT风险,利用IT活动有效使用IT资源,但也超越了单纯的IT技术应用。内部控制以风险为导向侧重于控制企业整体风险,最终实现企业的战略目标。
二、IT治理与内部控制之间的关系:互动、耦合
企业信息技术(IT)的发展和应用改变了企业的管理环境与管理理念,拓宽了企业管理的范围和内容,而这一切又必定影响并改变着企业内部控制要素的具体内容与表现特征,并给企业的内部控制带来了巨大的冲击和挑战,公司传统的内部控制方式在IT的影响下发生了根本性的变革,IT在公司内部的广泛应用使得原来基于权力制约和岗位分置的内部控制逐步发展成为以信息流为基础的内部控制。IT治理与内部控制都是为了保证总体战略目标能够从上而下贯彻执行,集中在最高管理层和执行管理层,并全方位开展。IT治理不仅是完善内部控制的利器,也是当今法律法规的必然要求。没有相应IT治理机制的内部控制,无法提高内部控制水平,无法满足SOX法案的严格要求。那么,IT治理与内部控制之间的互动关系是怎样的呢?
1、业务目标是IT治理和内部控制的共同目标。常用的业务目标从财务角度、顾客角度、内部角度和学习成长角度来看,包括17个,这些业务目标都可以在IT治理常用框架COBIT的28个目标中得以体现。这28个IT目标又都是通过COBIT四个域中的不同子过程的执行来实现的。企业风险管理框架包括四类目标和八个要素。四类目标分别是战略目标、经营目标、报告目标和合法性目标。八个要素分别是内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控,是企业目标实现的保证。内部控制作为企业风险管理融入其中且成为不可分割的一部分,它要控制的目标也是上述四个目标。常用的业务目标是这四类目标的细化。无论是IT治理还是内部控制都是围绕着企业的业务目标来开展的,业务目标是IT治理和内部控制的共同目标。
2、IT风险:IT治理和内部控制的共同关注点。IT治理有助于合理的制度安排真正发挥其作用。IT治理可以增加管理层对风险的认识,确保维持有效的内部控制系统。信息系统本身所具备的内在控制机制,一方面可以提高信息的质量;另一方面也可以使合理的制度安排真正地发挥作用,因为对于一般人员而言,要变更、违背内嵌于系统运行程序之中的制度安排和控制措施十分困难。
IT治理常用框架COBIT“监控与评价”域中特别提到“监控与评价内部控制”子过程,在这个过程中,7个控制目标都是围绕着内部控制的完整性、有效性和高效性而设置的,目标的实现是通过:(1)定义一个嵌入在IT过程框架的一个内控系统、(2)监控和报告基于IT的内部控制的有效性、(3)报告行动的例外控制给管理层来实现的。如果说COBIT框架的前三个域充分实现了IT治理对IT风险的控制和治理,那么,在这里它通过监控IT相关活动的内部控制和识别改进措施而考虑到了内部控制所要控制的其他风险。
内部控制发展最新研究成果是COSO风险管理框架,它于2004年4月由美国COSO委员会正式颁布。此框架要求企业管理者以风险组合的观点看待风险,对包括IT风险在内的所有风险进行识别并采取措施使企业所承担的风险在风险容量的范围内。COSO风险管理框架“管理”的是包括IT风险在内的一个企业所面临的各种风险的组合。
总之,IT治理与内部控制这种水乳交融的关系体现了这样一个现实:IT治理利用其特有的控制机制不仅对企业的IT风险加以控制。对于风险控制的目的是实现企业的业务目标。所以,前文中所提及的内部控制制度的刚性约束可以通过IT治理得以执行。总之,通过IT治理可以实现内部控制目标。
三、IT治理与内部控制实现模式:COBIT
1、COBIT模型简介。COBIT是ISACA下属的ITGI提出的IT治理模型,在其发展过程中参考了全球超过40个组织和机构有关IT和控制的标准,如COSO、CoCo、国际标准化组织(ISO)、经济合作与发展组织(OECD)、欧盟委员会等有关IT的标准、框架、指南和最佳实践等,是一个目前在国际上被广泛承认和接受的IT内部控制开放性标准。COBIT4.1主要由四部分构成,即总体框架、控制目标、管理指南和成熟度模型。其中的核心内容又将34个IT流程进一步分为四个部分:计划和组织、取得和实施、交付和支持,以及监督和评价。
2、COBIT:IT环境下加强内部控制一个不可或缺的工具。COBIT接受并遵循COSO内部控制的有关框架内容,COSO内部控制框架是COBIT的目标和基础。COBIT使COSO内部控制框架在IT治理领域具有可操作性和逻辑性,COBIT实现了企业目标与IT治理目标之间的桥梁作用。另外,COBIT是COSO风险管理框架的补充,其目的是使COSO风险管理框架可操作性增强,提供一种可用于管理的有逻辑性的结构。
(1)COBIT是一个非常有用的工具,而且易于理解和实施,可以帮助在管理层、IT与审计之间交流的鸿沟上搭建一个桥梁,提供了彼此之间沟通的共同语言。几乎每个机构都可以从COBIT中获益,来决定基于IT过程及他们所支持的业务功能的合理控制。信息系统的审计、控制及安全专业人员应该考虑采用COBIT控制模型。
(2)通过实施COBIT,增加了管理层对控制的感知和支持。COBIT帮助管理层理解控制如何影响业务功能。COBIT提供一种被广泛接受的与信息系统内部控制实践有关的框架来评估现有的或准备建立的IT环境,使组织的管理层即使不精通信息系统,也能理解信息系统带来的利益和花费的成本,明白其中存在的风险,然后做出正确的决策。COBIT提供的实施工具集包括优秀的案例资料,帮助向管理层很好地表述信息系统内部控制的概念,使管理层在基于最佳实践的基础上做出正确决策。
(3)COBIT使信息系统内部控制的工作简化并量化,减轻对复杂信息系统内部控制工作的难度,并且可以应用在每天都在发生的各种新问题中。对于那些不具有广博IT知识的人来讲,是一个认清信息技术的有价值的工具。它也使得信息系统审计师具有与IT专业人员相同的专业广度,并且可以询问IT工程相关的问题。
基于IT治理的内部控制研究有助于我们把握IT治理的科学内涵,深层理解IT治理在企业内部控制中的有效性,为企业信息技术变革的全面运作实践提供一个全新的视角。通过IT治理对内部控制的有效性分析,有助于企业从关键环节入手掌握IT治理能力。同时,对IT治理模型的研究也会对企业战略目标设定、业务流程重组、其他关键资源的整合等产生影响,对企业的意义重大。
四、结束语
总之,IT治理及其对内部控制有效性的研究对企业进行有效的IT治理、提高信息技术对经营的作用、实施企业战略、提升企业核心竞争力等方面都具有重要的现实意义。然而,要实现IT治理与内部控制的高效互动,构建出符合SOX法案的要求、适应信息时代的内部控制机制任重而道远。
(作者单位:安徽工业大学管理学院) |
|
|
|
