数据无儿戏——谈审计监督与数据法规遵从
——管理专家 彼特·史坦普
授权并信任才是有效的授权之道。
——管理专家 科维
授权就像放风筝,部属能力弱了线就要收一收,部属能力强了线就要放一放。
——国际战略管理顾问 林正大
用他,就要信任他;不信任他,就不要用他。
——日本著名经营家 松下幸之助
管理层次越少越好。
——克莱斯勒汽车公司董事长 本·比德维尔
管理就是把复杂德问题简单化,混乱的事情规范化。
——通用电器公司 杰克·韦尔奇
在越来越多的企业财经“丑闻”被曝光之后,“审计”、“监督”、“内部控制”等词汇,也开始高频度地闪现在眼前。这也就是我们从今年开始设立“监管与审计”栏目的基本点—了解信息化环境下,IT与监管、审计、内控的关系、角色和新挑战。
2005年1月18日我刊承办了《中国IT法规遵从论坛》。国家审计署信息中心主任王智玉在论坛上发表演讲。本文是演讲内容的整理。
企业信息化建设日益重视数据资产的保护和应用。审计工作从其诞生之初,就对数据具有很强的依赖性。而信息技术的发展,对审计工作和数据可用性,提出了更高的要求。因此,十分有必要进一步认识和理解审计监督与数据可用性之间的关系。
数据可用性的四要求
审计监督对数据可用性的要求可以包括四个方面:数据的完整存在;数据的有序存在;数据的真实性和数据的可读性。
数据完整存在
数据要客观存在,这不是废话而是基本要求。
现实生活中确实有单位没有账或者没有薄记账,对一个不懂计算机技术的审计人员来讲,没有薄记账几乎等于其数据客观不存在。
其次,数据要反应事物的全过程。数据在纵向看要包括经济活动全过程,至少或者起码是一个阶段的过程记录;横向看,要反映事物的各个侧面。有的单位非常重要的数据记录只保存几天,这无论从纵向看还是从横向看,都不能反映事物的全过程。
其三,数据在审计时要能够得到。就是说不仅要有权使用这个数据,而且客观上能够得到这个数据,这才说明它是完整存在的。
数据有序存在
数据有序的前提是完整,但完整并不能保证有序。
数据有序存在包括三点:
第一是有序的编排。按照事物本身的规律和国家法律的规定实施有序的编排。比如有的单位是一烂摊子,拿出账来,如同过去生产队会计的“小兜兜”,里面全是发票,这就是没有进行有序编排;
其二是有序的衔接。这一点很多单位也不一定完全能够做得到,比如说统计报表从每一年看,它确实是有序编排的,但是年与年之间它是不衔接的,这样的数据就无从对它进行分析;
其三,清洗整理后可用。很多数据是不能直接引用的,但是如果清理整理以后可用,也可以说它是有序存在的。
数据要可读
什么叫可读?可读的标准对于绝大多数行业来讲,应该是不采取特殊的手段能够对数据直接利用,这叫可读。
数据真实不可“欺”
从数据的生命周期中看数据的真实性,表现在三个阶段:
真实地加载、录入:数据在加载录入阶段应该保持真实性。即要求数据在录入加载时,基本上没有错弊,保证数据留存时就是真实、正确的。而现实生活当中一些单位记花账,数据从记载和录入的时候就是错误、不真实的。比如,有的地方记三套账:一套给税务局看,加大成本、减少利润、少纳所得税;一套给自己看,实事求是、与时俱进;第三套是对付反倾销的,说明自己的成本如何低。
真实地处理、应用:在处理和应用过程中,要保证数据不会删改。有时数据在加载录入阶段还是真实的,但是经过处理到了一定阶段可能就是假的。
曾有一个很典型的案例,激发了中国审计机关开展计算机信息系统审计。一个著名大学的计算机学院老师反映:现在会计软件的问题可能不小,有些客户向我们提出要求:“你们能不能给我开发一套软件,使我10000块钱的销售,输入的是10000,经过处理就是8000,减少我的流水?”大家知道这技术上是没有任何障碍的。
近几年审计机关确实在信息系统审计方面做了一些探索和努力。但我们直接针对哪一个单位的信息系统进行检查还有一些困难。首先这方面的专家不是很多;第二,审计单位有抵触,设置一些困难;第三,审计机关近年来确实在对计算机管理的数据进行审计的时发现数据异常,然而拔出了萝卜,带出了泥。
如一家银行,审计过程当中就发现有一笔非常小的金额发生,这个金额出现的频率特别高,怎么回事呢?延伸到它的信息系统发现,该银行在中间业务中做了手脚。比如,某些中间业务的分账办法就有漏洞。假如手续费是一块钱,信息系统就将一块钱劈开,三分之二归大账,三分之一进了自己三产公司的这个小账。这对信息系统来说很容易。所以,当初对数据的审计,认为处理业务的计算机可能有问题的时候,就会延伸到对数据的过程软件的审查,这也就是一种信息系统的审计。
保存数据原貌:保证数据在保存期间和保存环境中始终完整存在。
信息化下数据可用的新问题
相信大家都认字、用字,但是相信大家不一定能把繁体字认好、写好,对甲骨文的认识就更困难了。这都是在非信息化条件下产生的数据可用性问题。在信息化条件下,会出现新的问题。
信息技术影响数据可用性
第一个就是技术淘汰,IT技术和产品的更新换代令人目不暇接,20年前的字处理软件保存的文件,现在就非常难处理了。而现在再找一台能处理5寸盘和3寸盘的计算机也非常困难了。
比如一些历史影像资料,时间证明现在保存最长的最能够复原的还是微缩胶片。但随着IT技术的发展,微缩胶片技术面临淘汰,这对数据的可用性的问题是巨大的挑战。
另一方面,技术无知也阻碍数据的可用性。比如由于技术知识的欠缺,对于数据资料的保存期限、保存形式,保存格式不掌握,致使原本应当经常通过不断转换来得以延续保留的数据无法使用。尽管这经常转换的过程是非常耗费人力、精力和财力的,但是有些数据值得这么做,而由于技术无知没有做。
商业利润最大化带来的问题
软件厂商、数据的所有者在追求商业利润最大化的过程中,也常常深深地影响着数据可用性。
如有的软件厂商为了强迫用户升级,而不支持原来的软件,使一些数据不可用。尤其是当一个软件厂商在某一个行业形成垄断地位之后,问题更加突出。有时,IT厂商特别是软件厂商之间的整合拆分,也常常是“一个公司关门,一片企业倒霉”。
还有很多数据的所有者为了商业利益,不惜隐瞒、篡改甚至销毁数据,甚至软件厂商与数据所有者之间的相互勾结,铤而走险,都为数据可用性带来严峻的考验。
数据所有者内部的管理缺陷
审计署审计长李金华近日大声疾呼,现在部门、企事业单位、内部管理薄弱的现象十分普遍,数据生命周期的三个阶段都可能出现问题,数据非常危险。犯罪分子修改一个数据如入无人之境,犯罪的成本非常低。
囿于投入带来的问题
首先,因资金有限而牺牲数据可用的情形很多,最常见的是两种形式,一是减少数据存储的数量,二是缩短数据的存储周期。销毁数据有时是万般无奈的,“人穷志短,人无远虑必有近忧”,难道不知数据存储的意义吗?知道,近忧是没有钱。尽管由此带来数据存储产品的市场、数据管理的市场的空前繁荣,这是积极的。但是处于资金层面的问题,也不是喊几句法规遵从就能解决的,这个问题很棘手。
审计主体的失误导致数据不可用
现在审计署研发的审计软件已经能够直接读取50种会计软件的备份数据。如果数据是加密的,而我们不能解密,我们就不能顺利地开展审计。而我们拿到别人的数据以后,没有妥善保管,造成了损毁,也是不行的。
信息化条件下,数据的损毁有其自身的特点,过去看审计现场很壮观,偌大的会议室可能满满的都是财务凭证,开个玩笑,这些财务凭证要把他烧掉也要燃烧好几个小时。但是现在在计算机上,一个误删除,只需要几秒钟的时间就实现了。信息化条件下,数据保护有它特有的规律、特点,这个特点必须引起我们的高度重视。审计人员不可能在我这儿买包瓜子,把账本撕一张,把瓜子包起来带走,但是我的U盘被他拿去,拷两张照片就把我的文件覆盖了。
(本文据王智玉演讲录音整理而成未经本人确认。本栏第二期将谈“当前数据法规遵从的任务”。)
链接
关于数据法规遵从
目前,在美国和欧洲很多国家,针对企业数据的管理和存储,已经出台了以“萨班斯法案”为代表的数十项强制性法案,以从立法角度出发,对企业数据的合法性进行约束。从而使法规遵从理念迅速成为国际信息化建设过程中,继数据完整性、安全性之后的又一个关注焦点。数据法规遵从狭义上理解,就是数据/内容的安全、存档要符合相关法规的要求;广义上是相关法律对企业IT架构的影响,包括业务连续性、容灾要求等内容。
关于审计
审计署曾经给“审计”的简易定义:“审计”是独立检查会计账目监督财政财务收支均为合法效益的行为。在中国的《注册会计法》当中“审计业务”的定义就是审查企业的会计报表,验证企业的资本。
美国的传统双解资产当中对审计的解释是查账,对财政账目记录的审查来核实其准确性,这都说明了审计工作的主要对象是数据。
审计工作依赖的三类数据
审计所依赖的数据是与财政财务收支及其经济活动有关的数据。主要包括三类:第一类是被使用单位财务数据,被使用单位和被使用事项的财务数据,通常大家也把它称之为“账”;第二类是被使用单位和被使用事项的经济活动数据;第三类是被使用单位与被使用事项的相关的其他数据。
审计工作对三类数据的不同依赖
审计工作发展的阶段不同,审计工作侧重点不同,对三类数据的依赖也不同。如传统的财务审计,对第一类数据的依赖性强,而如现代的政策审计、效益审计,就对二、三类数据的依赖性强。比如美国的财务审计只占其工作量的15%;以色列推行的是政策审计,它的审计工作51%以上和账目无关,主要是检点政府的政策及其落实情况;澳大利亚的审计署主要开展效益审计。中国的审计在今后的五年内,要实现效益审计和财务收支审计各占一半也越来越趋于现代审计,对第三类数据的依赖性会增强。
文章评论
共有 0位无忧审计爱好者发表了评论 查看完整内容