分析企業(yè)IT風險控制與審計實務的論文
風險控制是公司IT治理機制的一個重要組成部分,在信息化建設(shè)中,需要管理與控制各種風險,以便達到保護IT投資、維持系統(tǒng)持續(xù)運行的目的。以風險為導向的審計是合理規(guī)避IT風險的一種有效途徑,在大型企業(yè)中舉足輕重。企業(yè)IT風險控制與審計需要在充分考慮企業(yè)IT系統(tǒng)狀況、IT治理結(jié)構(gòu)以及IT審計資源的基礎(chǔ)上,借鑒與吸收國際相關(guān)企業(yè)IT審計的領(lǐng)先實踐,全面提高IT審計水平和IT審計人員素質(zhì),有效規(guī)避IT風險,為企業(yè)的未來發(fā)展保駕護航。
一、IT治理與風險管理
IT治理是一種引導和控制企業(yè)各種關(guān)系和流程的結(jié)構(gòu),確保組織擁有適當?shù)慕Y(jié)構(gòu)、政策、工作職責、運營管理機制和監(jiān)督實務,以達到公司治理中對IT方面的要求,旨在通過平衡信息技術(shù)及其流程中的風險和收益,增加價值,以實現(xiàn)企業(yè)目標。IT治理是企業(yè)治理結(jié)構(gòu)中不可或缺的一部分,而相關(guān)的IT治理流程則可確保企業(yè)IT目標與業(yè)務目標保持一致,并可持續(xù)發(fā)展。因此,IT治理必須與企業(yè)戰(zhàn)略目標一致,使IT發(fā)揮更大的作用、創(chuàng)造更多的價值,實現(xiàn)公司價值和利益的最大化。
IT治理領(lǐng)域中,首重策略、組織架構(gòu)、政策與內(nèi)部流程。控制風險、績效評量與提供價值則為組織架構(gòu)中關(guān)注的焦點。同時,IT治理牽涉的范疇,包含:IT服務提供、IT服務支援、營運業(yè)務展望、基礎(chǔ)建設(shè)管理與應用管理。其不同視角的IT治理作用如下表。
保證所有的缺陷都已被控制所覆蓋利用風險控制與審計策略管理IT風險,要求企業(yè)的高層管理者具備良好的風險意識,清晰了解企業(yè)對風險的態(tài)度,了解合規(guī)性要求,將風險管理的職責嵌入組織架構(gòu)設(shè)計中,圍繞信息化戰(zhàn)略目標構(gòu)建全面風險管理體系以進行有效的風險管理與控制。
二、IT風險管理體系
基于IT治理的IT風險管理需要執(zhí)行一整套風險管理程序,必須建立風險識別、風險分析與評估、風險規(guī)避與應對、風險監(jiān)控等流程并嚴格執(zhí)行。從操作層面上分析,IT風險管理中對IT風險的控制與審計是風險管理中的兩個重要環(huán)節(jié):
。ㄒ唬㊣T控制
IT控制就是在治理結(jié)構(gòu)下,為實現(xiàn)組織的目標提供合理保證而實施的一系列政策和程序,內(nèi)部控制是一個持續(xù)的過程,為了保證組織經(jīng)營的效率和效果、財務報告的可靠性以及對有關(guān)法律和規(guī)章制度的遵循等情況下評估風險并設(shè)計、實施和持續(xù)監(jiān)督控制措施。可以看出IT控制的主要目的是建立一個可持續(xù)監(jiān)控的控制環(huán)境使組織風險可識別、可控、可管理。
風險控制是指控制風險事件發(fā)生的動因、環(huán)境、條件等,來達到減輕風險事件發(fā)生時的損失或降低風險事件發(fā)生的概率的目的。風險無法徹底消除,僅能降低、控制與移轉(zhuǎn),對于殘余風險,企業(yè)需自行審視可接受的程度。然而,在進行風險控制活動前,需先進行風險評估,對于潛在影響的弱點與威脅臚列出來,并分析評估矯正的優(yōu)先程序,然后再針對風險,設(shè)計有關(guān)的預防性、檢查性與糾正性的控制?刂频脑O(shè)計,應該就風險評估后的結(jié)果,因此,完整的風險評估作業(yè),是極為重要的,不好的風險評估會影響后續(xù)控制設(shè)計,甚至于控制執(zhí)行的落實程度。當控制設(shè)計完成后,需再次檢視相對應的管理政策與辦法是否足夠滿足控制的目標,倘若現(xiàn)有管理政策文件無法滿足控制目標的要求,應立即進行增修作業(yè),務必達到與現(xiàn)有作業(yè)機制一致的目標。
隨著組織的發(fā)展對IT的依賴日趨明顯,內(nèi)部原有業(yè)務和管理風險特征由于信息系統(tǒng)越來越廣泛的運用而出現(xiàn)了變化,業(yè)務對信息系統(tǒng)的依賴性增加,因此必須建立起有效的風險控制體系。管理層應從基本的內(nèi)部控制環(huán)境著手建置,從一般信息技術(shù)控制環(huán)境到業(yè)務流程中的內(nèi)部控制環(huán)境,其中應思考系統(tǒng)控制與人工控制緊密結(jié)合的協(xié)調(diào)性與完整性。
。ǘ㊣T審計
IT審計是一個獲取并評價證據(jù)的過程,主要是判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整性、有效率利用組織的資源、有效果地實現(xiàn)組織目標地過程。
IT審計是監(jiān)視和評審IT控制措施的執(zhí)行情況和有效性的主要手段之一,可以從組織整體業(yè)務風險的角度,對實施和運行的控制措施進行持續(xù)監(jiān)控,以管理組織的業(yè)務風險。
IT審計可以作為符合法律、法規(guī)以及管理要求的控制手段,可以證明管理層建立并維護了恰當?shù)膬?nèi)控措施;可以提供證據(jù)說明業(yè)務相關(guān)數(shù)據(jù)的完整性,以及可以證明具備合法權(quán)限的人正確訪問數(shù)據(jù);可以提供報警和審計報告確保管理層知道重大信息和任何變更;IT審計可以圍繞數(shù)據(jù)提供報告用于合規(guī)性評估,降低遵從成本。作為組織IT風險控制的最后防線,IT審計為組織進行風險防范,提高設(shè)計正確性和加強應用的管理控制提供建議。
。ㄈ㊣T治理、IT控制與IT審計之間的聯(lián)系
IT治理是為組織建立一個長效的均衡的治理結(jié)構(gòu),在風險可控的環(huán)境下保證組織獲益。均衡的環(huán)境在滿足組織外部約束的同時需要考慮如何降低成本、提高股東收益、滿足客戶要求以及建立良好的社會形象等條件下不斷調(diào)整變化而達到的,因此IT治理側(cè)重于宏觀決策方面,要做哪些事,由誰來做這些事,以及如何建立決策機制、如何進行有效監(jiān)控等。
IT控制就是在這樣的治理結(jié)構(gòu)下,為實現(xiàn)組織的目標提供合理保證而實施的一系列政策和程序,內(nèi)部控制是一個持續(xù)的過程,為了保證組織經(jīng)營的效率和效果、財務報告的可靠性以及對有關(guān)法律和規(guī)章制度的遵循等情況下評估風險并設(shè)計、實施和持續(xù)監(jiān)督控制措施?梢钥闯鯥T控制的主要目的是建立一個可持續(xù)監(jiān)控的控制環(huán)境使組織風險可識別、可控、可管理。IT審計是一個獲取并評價證據(jù)的過程,主要目標就是對組織實施的風險管理環(huán)境和控制環(huán)境的保證措施進行識別和評估,判斷管理層關(guān)于控制的聲明是否是可靠的,所以審計必須保持其獨立性,以第三方客觀的立場進行檢查和評價。
IT治理、IT控制以及IT審計之間既有聯(lián)系又有區(qū)別。共同的關(guān)注點在于風險與保證。風險管理的主要目標是為了保證組織經(jīng)營的效率和效果、財務報告的可靠性以及對有關(guān)法律和規(guī)章制度的遵循。保證,主要來自一系列相互依存的控制政策與程序,以及評價控制有效性的證據(jù),這些證據(jù)可以證明控制是連續(xù)和充分的。IT治理要明確目標與方向,為IT控制環(huán)境與活動設(shè)定明確的目標。IT控制要建立一個完整的,具有彈性的內(nèi)部控制體系,應對組織面臨的各種風險挑戰(zhàn)和意外事件。IT審計是獲取與IT控制和保證措施相關(guān)的證據(jù),評估IT控制的有效性、評價IT績效及IT戰(zhàn)略與業(yè)務目標的符合程度。
IT治理必須在風險與利益之間找到均衡,通過IT審計不斷促進調(diào)整IT控制環(huán)境,使組織在風險可識別、可控、可管理的環(huán)境下保證組織利益最大化。
三、企業(yè)IT風險控制與審計實務
。ㄒ唬┙M織框架
企業(yè)IT風險管理組織框架應當從“決策—管理—執(zhí)行”三個層面設(shè)立風險管理職能,并輔以審計監(jiān)督機制。
決策機構(gòu),通常以風險管理委員會的`形式,行使風險管理的決策、風險管理政策的制定與批準等職能。
管理機構(gòu)通常為設(shè)置為風險管理委員會下的職能機構(gòu),如風險管理部,是風險管理政策的執(zhí)行部門,負責根據(jù)風險管理的規(guī)章制度,協(xié)調(diào)各執(zhí)行機構(gòu)的關(guān)系,推動風險管理措施的實施。
風險管理政策與措施的執(zhí)行是由信息技術(shù)部門、相關(guān)業(yè)務部門等涉及到IT及其安全運作的部門具體實施,尤其是信息技術(shù)部門承擔大部分的IT風險管理政策、技術(shù)的實施。
IT審計部門作為IT風險管理的監(jiān)督與審計部門,負責檢查、評估企業(yè)IT風險管理戰(zhàn)略、政策、組織與實施的有效性,并提出管理建議。
。ǘ㊣T控制與審計規(guī)范
企業(yè)IT控制規(guī)范可以參考財政部等五部委聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》及配套指引,建立有效的IT內(nèi)部控制框架內(nèi),從公司內(nèi)部控制層面、信息技術(shù)整體層面、業(yè)務流程層面等建立控制規(guī)范。企業(yè)IT控制以風險為導向,規(guī)范企業(yè)組織結(jié)構(gòu)、明確崗位權(quán)利責任分配,建立科學的績效考核體系和制度,提升企業(yè)風險管理和應對能力,通過風險評估對企業(yè)內(nèi)部控制體系進行持續(xù)評價和改進,最終建立配套信息系統(tǒng),實現(xiàn)內(nèi)控體系的信息化落地。從風險的角度去審視內(nèi)部控制有沒有做好;通過對績效指標的監(jiān)控去實時檢測有沒有風險發(fā)生,然后再去找到企業(yè)的缺陷漏洞;最后通過信息系統(tǒng)將這個體系落地執(zhí)行。
企業(yè)風險管理體系的控制層面上,內(nèi)部審計發(fā)揮著重要的作用,以風險為導向的審計是合理規(guī)避IT風險的一種有效途徑。IT審計應當建立一套完整的審計標準、規(guī)范,并提供可供參考的IT審計指南與實施細則。企業(yè)IT審計應當在內(nèi)部審計總體框架下開展,在制定內(nèi)部審計章程時要體現(xiàn)信息化條件下內(nèi)部審計工作的特點,制定有關(guān)IT審計的規(guī)范與要求,必要時可進一步制定IT審計工作規(guī)范。
IT審計是信息技術(shù)條件下的內(nèi)部審計,具有較強的操作性要求,參考各行業(yè)的內(nèi)部審計工作經(jīng)驗,吸收國家審計機關(guān)的制度與操作指南,可以從IT整體控制審計、應用控制審計兩個方面編制實施細則。
1.IT整體控制審計——確保程序和數(shù)據(jù)文件的完整性、確保信息系統(tǒng)良好運行。審計內(nèi)容包括IT基礎(chǔ)設(shè)施、系統(tǒng)開發(fā)、系統(tǒng)運行與維護、變更控制、網(wǎng)絡安全控制、訪問控制等普遍適用于所有的應用系統(tǒng)的控制。
2.應用控制審計——應用控制與特定的應用程序有關(guān),設(shè)計應用控制是為了應對威脅應用系統(tǒng)的潛在風險,確保應用系統(tǒng)處理數(shù)據(jù)的有效正確而實施的控制。應用控制審計主要包括業(yè)務流程控制審計、數(shù)據(jù)輸入處理輸出審計,提供業(yè)務信息完整性、準確性、有效性、可用性保證。
此外,企業(yè)的信息化規(guī)劃應當在充分考慮風險管理與審計需求的基礎(chǔ)上,建立并完善信息化審計工作平臺,充分利用信息技術(shù)推進IT審計服務于企業(yè)治理與全面風險管理,實現(xiàn)價值增值。
四、小結(jié)
企業(yè)IT風險控制與審計是IT治理中的重要內(nèi)容,本文提出的基于IT治理框架的風險控制與審計體系在企業(yè)IT管理實務中發(fā)揮一定的作用,如何更深入地探究IT風險控制與審計及其作用機制、績效評價等,還需要結(jié)合我國企業(yè)管理現(xiàn)狀進一步展開研究。
【分析企業(yè)IT風險控制與審計實務的論文】相關(guān)文章: