- 相關(guān)推薦
分析企業(yè)IT風(fēng)險(xiǎn)控制與審計(jì)實(shí)務(wù)的論文
風(fēng)險(xiǎn)控制是公司IT治理機(jī)制的一個(gè)重要組成部分,在信息化建設(shè)中,需要管理與控制各種風(fēng)險(xiǎn),以便達(dá)到保護(hù)IT投資、維持系統(tǒng)持續(xù)運(yùn)行的目的。以風(fēng)險(xiǎn)為導(dǎo)向的審計(jì)是合理規(guī)避IT風(fēng)險(xiǎn)的一種有效途徑,在大型企業(yè)中舉足輕重。企業(yè)IT風(fēng)險(xiǎn)控制與審計(jì)需要在充分考慮企業(yè)IT系統(tǒng)狀況、IT治理結(jié)構(gòu)以及IT審計(jì)資源的基礎(chǔ)上,借鑒與吸收國(guó)際相關(guān)企業(yè)IT審計(jì)的領(lǐng)先實(shí)踐,全面提高IT審計(jì)水平和IT審計(jì)人員素質(zhì),有效規(guī)避IT風(fēng)險(xiǎn),為企業(yè)的未來(lái)發(fā)展保駕護(hù)航。
一、IT治理與風(fēng)險(xiǎn)管理
IT治理是一種引導(dǎo)和控制企業(yè)各種關(guān)系和流程的結(jié)構(gòu),確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運(yùn)營(yíng)管理機(jī)制和監(jiān)督實(shí)務(wù),以達(dá)到公司治理中對(duì)IT方面的要求,旨在通過(guò)平衡信息技術(shù)及其流程中的風(fēng)險(xiǎn)和收益,增加價(jià)值,以實(shí)現(xiàn)企業(yè)目標(biāo)。IT治理是企業(yè)治理結(jié)構(gòu)中不可或缺的一部分,而相關(guān)的IT治理流程則可確保企業(yè)IT目標(biāo)與業(yè)務(wù)目標(biāo)保持一致,并可持續(xù)發(fā)展。因此,IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致,使IT發(fā)揮更大的作用、創(chuàng)造更多的價(jià)值,實(shí)現(xiàn)公司價(jià)值和利益的最大化。
IT治理領(lǐng)域中,首重策略、組織架構(gòu)、政策與內(nèi)部流程?刂骑L(fēng)險(xiǎn)、績(jī)效評(píng)量與提供價(jià)值則為組織架構(gòu)中關(guān)注的焦點(diǎn)。同時(shí),IT治理牽涉的范疇,包含:IT服務(wù)提供、IT服務(wù)支援、營(yíng)運(yùn)業(yè)務(wù)展望、基礎(chǔ)建設(shè)管理與應(yīng)用管理。其不同視角的IT治理作用如下表。
保證所有的缺陷都已被控制所覆蓋利用風(fēng)險(xiǎn)控制與審計(jì)策略管理IT風(fēng)險(xiǎn),要求企業(yè)的高層管理者具備良好的風(fēng)險(xiǎn)意識(shí),清晰了解企業(yè)對(duì)風(fēng)險(xiǎn)的態(tài)度,了解合規(guī)性要求,將風(fēng)險(xiǎn)管理的職責(zé)嵌入組織架構(gòu)設(shè)計(jì)中,圍繞信息化戰(zhàn)略目標(biāo)構(gòu)建全面風(fēng)險(xiǎn)管理體系以進(jìn)行有效的風(fēng)險(xiǎn)管理與控制。
二、IT風(fēng)險(xiǎn)管理體系
基于IT治理的IT風(fēng)險(xiǎn)管理需要執(zhí)行一整套風(fēng)險(xiǎn)管理程序,必須建立風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析與評(píng)估、風(fēng)險(xiǎn)規(guī)避與應(yīng)對(duì)、風(fēng)險(xiǎn)監(jiān)控等流程并嚴(yán)格執(zhí)行。從操作層面上分析,IT風(fēng)險(xiǎn)管理中對(duì)IT風(fēng)險(xiǎn)的控制與審計(jì)是風(fēng)險(xiǎn)管理中的兩個(gè)重要環(huán)節(jié):
(一)IT控制
IT控制就是在治理結(jié)構(gòu)下,為實(shí)現(xiàn)組織的目標(biāo)提供合理保證而實(shí)施的一系列政策和程序,內(nèi)部控制是一個(gè)持續(xù)的過(guò)程,為了保證組織經(jīng)營(yíng)的效率和效果、財(cái)務(wù)報(bào)告的可靠性以及對(duì)有關(guān)法律和規(guī)章制度的遵循等情況下評(píng)估風(fēng)險(xiǎn)并設(shè)計(jì)、實(shí)施和持續(xù)監(jiān)督控制措施?梢钥闯鯥T控制的主要目的是建立一個(gè)可持續(xù)監(jiān)控的控制環(huán)境使組織風(fēng)險(xiǎn)可識(shí)別、可控、可管理。
風(fēng)險(xiǎn)控制是指控制風(fēng)險(xiǎn)事件發(fā)生的動(dòng)因、環(huán)境、條件等,來(lái)達(dá)到減輕風(fēng)險(xiǎn)事件發(fā)生時(shí)的損失或降低風(fēng)險(xiǎn)事件發(fā)生的概率的目的。風(fēng)險(xiǎn)無(wú)法徹底消除,僅能降低、控制與移轉(zhuǎn),對(duì)于殘余風(fēng)險(xiǎn),企業(yè)需自行審視可接受的程度。然而,在進(jìn)行風(fēng)險(xiǎn)控制活動(dòng)前,需先進(jìn)行風(fēng)險(xiǎn)評(píng)估,對(duì)于潛在影響的弱點(diǎn)與威脅臚列出來(lái),并分析評(píng)估矯正的優(yōu)先程序,然后再針對(duì)風(fēng)險(xiǎn),設(shè)計(jì)有關(guān)的預(yù)防性、檢查性與糾正性的控制?刂频脑O(shè)計(jì),應(yīng)該就風(fēng)險(xiǎn)評(píng)估后的結(jié)果,因此,完整的風(fēng)險(xiǎn)評(píng)估作業(yè),是極為重要的,不好的風(fēng)險(xiǎn)評(píng)估會(huì)影響后續(xù)控制設(shè)計(jì),甚至于控制執(zhí)行的落實(shí)程度。當(dāng)控制設(shè)計(jì)完成后,需再次檢視相對(duì)應(yīng)的管理政策與辦法是否足夠滿足控制的目標(biāo),倘若現(xiàn)有管理政策文件無(wú)法滿足控制目標(biāo)的要求,應(yīng)立即進(jìn)行增修作業(yè),務(wù)必達(dá)到與現(xiàn)有作業(yè)機(jī)制一致的目標(biāo)。
隨著組織的發(fā)展對(duì)IT的依賴日趨明顯,內(nèi)部原有業(yè)務(wù)和管理風(fēng)險(xiǎn)特征由于信息系統(tǒng)越來(lái)越廣泛的運(yùn)用而出現(xiàn)了變化,業(yè)務(wù)對(duì)信息系統(tǒng)的依賴性增加,因此必須建立起有效的風(fēng)險(xiǎn)控制體系。管理層應(yīng)從基本的內(nèi)部控制環(huán)境著手建置,從一般信息技術(shù)控制環(huán)境到業(yè)務(wù)流程中的內(nèi)部控制環(huán)境,其中應(yīng)思考系統(tǒng)控制與人工控制緊密結(jié)合的協(xié)調(diào)性與完整性。
。ǘ㊣T審計(jì)
IT審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)的過(guò)程,主要是判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整性、有效率利用組織的資源、有效果地實(shí)現(xiàn)組織目標(biāo)地過(guò)程。
IT審計(jì)是監(jiān)視和評(píng)審IT控制措施的執(zhí)行情況和有效性的主要手段之一,可以從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度,對(duì)實(shí)施和運(yùn)行的控制措施進(jìn)行持續(xù)監(jiān)控,以管理組織的業(yè)務(wù)風(fēng)險(xiǎn)。
IT審計(jì)可以作為符合法律、法規(guī)以及管理要求的控制手段,可以證明管理層建立并維護(hù)了恰當(dāng)?shù)膬?nèi)控措施;可以提供證據(jù)說(shuō)明業(yè)務(wù)相關(guān)數(shù)據(jù)的完整性,以及可以證明具備合法權(quán)限的人正確訪問(wèn)數(shù)據(jù);可以提供報(bào)警和審計(jì)報(bào)告確保管理層知道重大信息和任何變更;IT審計(jì)可以圍繞數(shù)據(jù)提供報(bào)告用于合規(guī)性評(píng)估,降低遵從成本。作為組織IT風(fēng)險(xiǎn)控制的最后防線,IT審計(jì)為組織進(jìn)行風(fēng)險(xiǎn)防范,提高設(shè)計(jì)正確性和加強(qiáng)應(yīng)用的管理控制提供建議。
。ㄈ㊣T治理、IT控制與IT審計(jì)之間的聯(lián)系
IT治理是為組織建立一個(gè)長(zhǎng)效的均衡的治理結(jié)構(gòu),在風(fēng)險(xiǎn)可控的環(huán)境下保證組織獲益。均衡的環(huán)境在滿足組織外部約束的同時(shí)需要考慮如何降低成本、提高股東收益、滿足客戶要求以及建立良好的社會(huì)形象等條件下不斷調(diào)整變化而達(dá)到的,因此IT治理側(cè)重于宏觀決策方面,要做哪些事,由誰(shuí)來(lái)做這些事,以及如何建立決策機(jī)制、如何進(jìn)行有效監(jiān)控等。
IT控制就是在這樣的治理結(jié)構(gòu)下,為實(shí)現(xiàn)組織的目標(biāo)提供合理保證而實(shí)施的一系列政策和程序,內(nèi)部控制是一個(gè)持續(xù)的過(guò)程,為了保證組織經(jīng)營(yíng)的效率和效果、財(cái)務(wù)報(bào)告的可靠性以及對(duì)有關(guān)法律和規(guī)章制度的遵循等情況下評(píng)估風(fēng)險(xiǎn)并設(shè)計(jì)、實(shí)施和持續(xù)監(jiān)督控制措施?梢钥闯鯥T控制的主要目的是建立一個(gè)可持續(xù)監(jiān)控的控制環(huán)境使組織風(fēng)險(xiǎn)可識(shí)別、可控、可管理。IT審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)的過(guò)程,主要目標(biāo)就是對(duì)組織實(shí)施的風(fēng)險(xiǎn)管理環(huán)境和控制環(huán)境的保證措施進(jìn)行識(shí)別和評(píng)估,判斷管理層關(guān)于控制的聲明是否是可靠的,所以審計(jì)必須保持其獨(dú)立性,以第三方客觀的立場(chǎng)進(jìn)行檢查和評(píng)價(jià)。
IT治理、IT控制以及IT審計(jì)之間既有聯(lián)系又有區(qū)別。共同的關(guān)注點(diǎn)在于風(fēng)險(xiǎn)與保證。風(fēng)險(xiǎn)管理的主要目標(biāo)是為了保證組織經(jīng)營(yíng)的效率和效果、財(cái)務(wù)報(bào)告的可靠性以及對(duì)有關(guān)法律和規(guī)章制度的遵循。保證,主要來(lái)自一系列相互依存的控制政策與程序,以及評(píng)價(jià)控制有效性的證據(jù),這些證據(jù)可以證明控制是連續(xù)和充分的。IT治理要明確目標(biāo)與方向,為IT控制環(huán)境與活動(dòng)設(shè)定明確的目標(biāo)。IT控制要建立一個(gè)完整的,具有彈性的內(nèi)部控制體系,應(yīng)對(duì)組織面臨的各種風(fēng)險(xiǎn)挑戰(zhàn)和意外事件。IT審計(jì)是獲取與IT控制和保證措施相關(guān)的證據(jù),評(píng)估IT控制的有效性、評(píng)價(jià)IT績(jī)效及IT戰(zhàn)略與業(yè)務(wù)目標(biāo)的符合程度。
IT治理必須在風(fēng)險(xiǎn)與利益之間找到均衡,通過(guò)IT審計(jì)不斷促進(jìn)調(diào)整IT控制環(huán)境,使組織在風(fēng)險(xiǎn)可識(shí)別、可控、可管理的環(huán)境下保證組織利益最大化。
三、企業(yè)IT風(fēng)險(xiǎn)控制與審計(jì)實(shí)務(wù)
(一)組織框架
企業(yè)IT風(fēng)險(xiǎn)管理組織框架應(yīng)當(dāng)從“決策—管理—執(zhí)行”三個(gè)層面設(shè)立風(fēng)險(xiǎn)管理職能,并輔以審計(jì)監(jiān)督機(jī)制。
決策機(jī)構(gòu),通常以風(fēng)險(xiǎn)管理委員會(huì)的形式,行使風(fēng)險(xiǎn)管理的決策、風(fēng)險(xiǎn)管理政策的制定與批準(zhǔn)等職能。
管理機(jī)構(gòu)通常為設(shè)置為風(fēng)險(xiǎn)管理委員會(huì)下的職能機(jī)構(gòu),如風(fēng)險(xiǎn)管理部,是風(fēng)險(xiǎn)管理政策的執(zhí)行部門(mén),負(fù)責(zé)根據(jù)風(fēng)險(xiǎn)管理的規(guī)章制度,協(xié)調(diào)各執(zhí)行機(jī)構(gòu)的關(guān)系,推動(dòng)風(fēng)險(xiǎn)管理措施的實(shí)施。
風(fēng)險(xiǎn)管理政策與措施的執(zhí)行是由信息技術(shù)部門(mén)、相關(guān)業(yè)務(wù)部門(mén)等涉及到IT及其安全運(yùn)作的部門(mén)具體實(shí)施,尤其是信息技術(shù)部門(mén)承擔(dān)大部分的IT風(fēng)險(xiǎn)管理政策、技術(shù)的實(shí)施。
IT審計(jì)部門(mén)作為IT風(fēng)險(xiǎn)管理的監(jiān)督與審計(jì)部門(mén),負(fù)責(zé)檢查、評(píng)估企業(yè)IT風(fēng)險(xiǎn)管理戰(zhàn)略、政策、組織與實(shí)施的有效性,并提出管理建議。
。ǘ㊣T控制與審計(jì)規(guī)范
企業(yè)IT控制規(guī)范可以參考財(cái)政部等五部委聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》及配套指引,建立有效的IT內(nèi)部控制框架內(nèi),從公司內(nèi)部控制層面、信息技術(shù)整體層面、業(yè)務(wù)流程層面等建立控制規(guī)范。企業(yè)IT控制以風(fēng)險(xiǎn)為導(dǎo)向,規(guī)范企業(yè)組織結(jié)構(gòu)、明確崗位權(quán)利責(zé)任分配,建立科學(xué)的績(jī)效考核體系和制度,提升企業(yè)風(fēng)險(xiǎn)管理和應(yīng)對(duì)能力,通過(guò)風(fēng)險(xiǎn)評(píng)估對(duì)企業(yè)內(nèi)部控制體系進(jìn)行持續(xù)評(píng)價(jià)和改進(jìn),最終建立配套信息系統(tǒng),實(shí)現(xiàn)內(nèi)控體系的信息化落地。從風(fēng)險(xiǎn)的角度去審視內(nèi)部控制有沒(méi)有做好;通過(guò)對(duì)績(jī)效指標(biāo)的監(jiān)控去實(shí)時(shí)檢測(cè)有沒(méi)有風(fēng)險(xiǎn)發(fā)生,然后再去找到企業(yè)的缺陷漏洞;最后通過(guò)信息系統(tǒng)將這個(gè)體系落地執(zhí)行。
企業(yè)風(fēng)險(xiǎn)管理體系的控制層面上,內(nèi)部審計(jì)發(fā)揮著重要的作用,以風(fēng)險(xiǎn)為導(dǎo)向的審計(jì)是合理規(guī)避IT風(fēng)險(xiǎn)的一種有效途徑。IT審計(jì)應(yīng)當(dāng)建立一套完整的審計(jì)標(biāo)準(zhǔn)、規(guī)范,并提供可供參考的IT審計(jì)指南與實(shí)施細(xì)則。企業(yè)IT審計(jì)應(yīng)當(dāng)在內(nèi)部審計(jì)總體框架下開(kāi)展,在制定內(nèi)部審計(jì)章程時(shí)要體現(xiàn)信息化條件下內(nèi)部審計(jì)工作的特點(diǎn),制定有關(guān)IT審計(jì)的規(guī)范與要求,必要時(shí)可進(jìn)一步制定IT審計(jì)工作規(guī)范。
IT審計(jì)是信息技術(shù)條件下的內(nèi)部審計(jì),具有較強(qiáng)的操作性要求,參考各行業(yè)的內(nèi)部審計(jì)工作經(jīng)驗(yàn),吸收國(guó)家審計(jì)機(jī)關(guān)的制度與操作指南,可以從IT整體控制審計(jì)、應(yīng)用控制審計(jì)兩個(gè)方面編制實(shí)施細(xì)則。
1.IT整體控制審計(jì)——確保程序和數(shù)據(jù)文件的完整性、確保信息系統(tǒng)良好運(yùn)行。審計(jì)內(nèi)容包括IT基礎(chǔ)設(shè)施、系統(tǒng)開(kāi)發(fā)、系統(tǒng)運(yùn)行與維護(hù)、變更控制、網(wǎng)絡(luò)安全控制、訪問(wèn)控制等普遍適用于所有的應(yīng)用系統(tǒng)的控制。
2.應(yīng)用控制審計(jì)——應(yīng)用控制與特定的應(yīng)用程序有關(guān),設(shè)計(jì)應(yīng)用控制是為了應(yīng)對(duì)威脅應(yīng)用系統(tǒng)的潛在風(fēng)險(xiǎn),確保應(yīng)用系統(tǒng)處理數(shù)據(jù)的有效正確而實(shí)施的控制。應(yīng)用控制審計(jì)主要包括業(yè)務(wù)流程控制審計(jì)、數(shù)據(jù)輸入處理輸出審計(jì),提供業(yè)務(wù)信息完整性、準(zhǔn)確性、有效性、可用性保證。
此外,企業(yè)的信息化規(guī)劃應(yīng)當(dāng)在充分考慮風(fēng)險(xiǎn)管理與審計(jì)需求的基礎(chǔ)上,建立并完善信息化審計(jì)工作平臺(tái),充分利用信息技術(shù)推進(jìn)IT審計(jì)服務(wù)于企業(yè)治理與全面風(fēng)險(xiǎn)管理,實(shí)現(xiàn)價(jià)值增值。
四、小結(jié)
企業(yè)IT風(fēng)險(xiǎn)控制與審計(jì)是IT治理中的重要內(nèi)容,本文提出的基于IT治理框架的風(fēng)險(xiǎn)控制與審計(jì)體系在企業(yè)IT管理實(shí)務(wù)中發(fā)揮一定的作用,如何更深入地探究IT風(fēng)險(xiǎn)控制與審計(jì)及其作用機(jī)制、績(jī)效評(píng)價(jià)等,還需要結(jié)合我國(guó)企業(yè)管理現(xiàn)狀進(jìn)一步展開(kāi)研究。
【分析企業(yè)IT風(fēng)險(xiǎn)控制與審計(jì)實(shí)務(wù)的論文】相關(guān)文章:
審計(jì)風(fēng)險(xiǎn)的控制與防范03-18
審計(jì)風(fēng)險(xiǎn)與控制芻議03-23
企業(yè)投資風(fēng)險(xiǎn)的成因分析及控制對(duì)策03-21
淺析審計(jì)風(fēng)險(xiǎn)的防范與控制03-20
獨(dú)立原則與審計(jì)風(fēng)險(xiǎn)控制03-21
試論審計(jì)風(fēng)險(xiǎn)及其控制03-20
小企業(yè)年報(bào)審計(jì)中若干事項(xiàng)風(fēng)險(xiǎn)的控制經(jīng)濟(jì)論文11-19
經(jīng)濟(jì)新常態(tài)下審計(jì)風(fēng)險(xiǎn)成因與控制論文11-15