分析企業(yè)IT風(fēng)險控制與審計實務(wù)的論文

　　風(fēng)險控制是公司IT治理機(jī)制的一個重要組成部分，在信息化建設(shè)中，需要管理與控制各種風(fēng)險，以便達(dá)到保護(hù)IT投資、維持系統(tǒng)持續(xù)運行的目的。以風(fēng)險為導(dǎo)向的審計是合理規(guī)避IT風(fēng)險的一種有效途徑，在大型企業(yè)中舉足輕重。企業(yè)IT風(fēng)險控制與審計需要在充分考慮企業(yè)IT系統(tǒng)狀況、IT治理結(jié)構(gòu)以及IT審計資源的基礎(chǔ)上，借鑒與吸收國際相關(guān)企業(yè)IT審計的領(lǐng)先實踐，全面提高IT審計水平和IT審計人員素質(zhì)，有效規(guī)避IT風(fēng)險，為企業(yè)的未來發(fā)展保駕護(hù)航。

　　一、IT治理與風(fēng)險管理

　　IT治理是一種引導(dǎo)和控制企業(yè)各種關(guān)系和流程的結(jié)構(gòu)，確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運營管理機(jī)制和監(jiān)督實務(wù)，以達(dá)到公司治理中對IT方面的要求，旨在通過平衡信息技術(shù)及其流程中的風(fēng)險和收益，增加價值，以實現(xiàn)企業(yè)目標(biāo)。IT治理是企業(yè)治理結(jié)構(gòu)中不可或缺的一部分，而相關(guān)的IT治理流程則可確保企業(yè)IT目標(biāo)與業(yè)務(wù)目標(biāo)保持一致，并可持續(xù)發(fā)展。因此，IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致，使IT發(fā)揮更大的作用、創(chuàng)造更多的價值，實現(xiàn)公司價值和利益的最大化。

　　IT治理領(lǐng)域中，首重策略、組織架構(gòu)、政策與內(nèi)部流程�？刂骑L(fēng)險、績效評量與提供價值則為組織架構(gòu)中關(guān)注的焦點。同時，IT治理牽涉的范疇，包含：IT服務(wù)提供、IT服務(wù)支援、營運業(yè)務(wù)展望、基礎(chǔ)建設(shè)管理與應(yīng)用管理。其不同視角的IT治理作用如下表。

　　保證所有的缺陷都已被控制所覆蓋利用風(fēng)險控制與審計策略管理IT風(fēng)險，要求企業(yè)的高層管理者具備良好的風(fēng)險意識，清晰了解企業(yè)對風(fēng)險的態(tài)度，了解合規(guī)性要求，將風(fēng)險管理的職責(zé)嵌入組織架構(gòu)設(shè)計中，圍繞信息化戰(zhàn)略目標(biāo)構(gòu)建全面風(fēng)險管理體系以進(jìn)行有效的風(fēng)險管理與控制。

　　二、IT風(fēng)險管理體系

　　基于IT治理的IT風(fēng)險管理需要執(zhí)行一整套風(fēng)險管理程序，必須建立風(fēng)險識別、風(fēng)險分析與評估、風(fēng)險規(guī)避與應(yīng)對、風(fēng)險監(jiān)控等流程并嚴(yán)格執(zhí)行。從操作層面上分析，IT風(fēng)險管理中對IT風(fēng)險的控制與審計是風(fēng)險管理中的兩個重要環(huán)節(jié)：

　　（一）IT控制

　　IT控制就是在治理結(jié)構(gòu)下，為實現(xiàn)組織的目標(biāo)提供合理保證而實施的一系列政策和程序，內(nèi)部控制是一個持續(xù)的過程，為了保證組織經(jīng)營的效率和效果、財務(wù)報告的可靠性以及對有關(guān)法律和規(guī)章制度的遵循等情況下評估風(fēng)險并設(shè)計、實施和持續(xù)監(jiān)督控制措施�？梢钥闯鯥T控制的主要目的是建立一個可持續(xù)監(jiān)控的控制環(huán)境使組織風(fēng)險可識別、可控、可管理。

　　風(fēng)險控制是指控制風(fēng)險事件發(fā)生的動因、環(huán)境、條件等，來達(dá)到減輕風(fēng)險事件發(fā)生時的損失或降低風(fēng)險事件發(fā)生的概率的目的。風(fēng)險無法徹底消除，僅能降低、控制與移轉(zhuǎn)，對于殘余風(fēng)險，企業(yè)需自行審視可接受的程度。然而，在進(jìn)行風(fēng)險控制活動前，需先進(jìn)行風(fēng)險評估，對于潛在影響的弱點與威脅臚列出來，并分析評估矯正的優(yōu)先程序，然后再針對風(fēng)險，設(shè)計有關(guān)的預(yù)防性、檢查性與糾正性的控制�？刂频脑O(shè)計，應(yīng)該就風(fēng)險評估后的結(jié)果，因此，完整的風(fēng)險評估作業(yè)，是極為重要的，不好的風(fēng)險評估會影響后續(xù)控制設(shè)計，甚至于控制執(zhí)行的落實程度。當(dāng)控制設(shè)計完成后，需再次檢視相對應(yīng)的管理政策與辦法是否足夠滿足控制的目標(biāo)，倘若現(xiàn)有管理政策文件無法滿足控制目標(biāo)的要求，應(yīng)立即進(jìn)行增修作業(yè)，務(wù)必達(dá)到與現(xiàn)有作業(yè)機(jī)制一致的目標(biāo)。

　　隨著組織的發(fā)展對IT的依賴日趨明顯，內(nèi)部原有業(yè)務(wù)和管理風(fēng)險特征由于信息系統(tǒng)越來越廣泛的運用而出現(xiàn)了變化，業(yè)務(wù)對信息系統(tǒng)的依賴性增加，因此必須建立起有效的風(fēng)險控制體系。管理層應(yīng)從基本的內(nèi)部控制環(huán)境著手建置，從一般信息技術(shù)控制環(huán)境到業(yè)務(wù)流程中的內(nèi)部控制環(huán)境，其中應(yīng)思考系統(tǒng)控制與人工控制緊密結(jié)合的協(xié)調(diào)性與完整性。

　�。ǘ㊣T審計

　　IT審計是一個獲取并評價證據(jù)的過程，主要是判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整性、有效率利用組織的資源、有效果地實現(xiàn)組織目標(biāo)地過程。

　　IT審計是監(jiān)視和評審IT控制措施的執(zhí)行情況和有效性的主要手段之一，可以從組織整體業(yè)務(wù)風(fēng)險的角度，對實施和運行的控制措施進(jìn)行持續(xù)監(jiān)控，以管理組織的業(yè)務(wù)風(fēng)險。

　　IT審計可以作為符合法律、法規(guī)以及管理要求的控制手段，可以證明管理層建立并維護(hù)了恰當(dāng)?shù)膬?nèi)控措施；可以提供證據(jù)說明業(yè)務(wù)相關(guān)數(shù)據(jù)的完整性，以及可以證明具備合法權(quán)限的人正確訪問數(shù)據(jù)；可以提供報警和審計報告確保管理層知道重大信息和任何變更；IT審計可以圍繞數(shù)據(jù)提供報告用于合規(guī)性評估，降低遵從成本。作為組織IT風(fēng)險控制的最后防線，IT審計為組織進(jìn)行風(fēng)險防范，提高設(shè)計正確性和加強(qiáng)應(yīng)用的管理控制提供建議。

　�。ㄈ㊣T治理、IT控制與IT審計之間的聯(lián)系

　　IT治理是為組織建立一個長效的均衡的治理結(jié)構(gòu)，在風(fēng)險可控的環(huán)境下保證組織獲益。均衡的環(huán)境在滿足組織外部約束的同時需要考慮如何降低成本、提高股東收益、滿足客戶要求以及建立良好的社會形象等條件下不斷調(diào)整變化而達(dá)到的，因此IT治理側(cè)重于宏觀決策方面，要做哪些事，由誰來做這些事，以及如何建立決策機(jī)制、如何進(jìn)行有效監(jiān)控等。

　　IT控制就是在這樣的治理結(jié)構(gòu)下，為實現(xiàn)組織的目標(biāo)提供合理保證而實施的一系列政策和程序，內(nèi)部控制是一個持續(xù)的過程，為了保證組織經(jīng)營的效率和效果、財務(wù)報告的可靠性以及對有關(guān)法律和規(guī)章制度的遵循等情況下評估風(fēng)險并設(shè)計、實施和持續(xù)監(jiān)督控制措施。可以看出IT控制的主要目的是建立一個可持續(xù)監(jiān)控的控制環(huán)境使組織風(fēng)險可識別、可控、可管理。IT審計是一個獲取并評價證據(jù)的過程，主要目標(biāo)就是對組織實施的風(fēng)險管理環(huán)境和控制環(huán)境的保證措施進(jìn)行識別和評估，判斷管理層關(guān)于控制的聲明是否是可靠的，所以審計必須保持其獨立性，以第三方客觀的立場進(jìn)行檢查和評價。

　　IT治理、IT控制以及IT審計之間既有聯(lián)系又有區(qū)別。共同的關(guān)注點在于風(fēng)險與保證。風(fēng)險管理的主要目標(biāo)是為了保證組織經(jīng)營的效率和效果、財務(wù)報告的可靠性以及對有關(guān)法律和規(guī)章制度的遵循。保證，主要來自一系列相互依存的控制政策與程序，以及評價控制有效性的證據(jù)，這些證據(jù)可以證明控制是連續(xù)和充分的。IT治理要明確目標(biāo)與方向，為IT控制環(huán)境與活動設(shè)定明確的目標(biāo)。IT控制要建立一個完整的，具有彈性的內(nèi)部控制體系，應(yīng)對組織面臨的各種風(fēng)險挑戰(zhàn)和意外事件。IT審計是獲取與IT控制和保證措施相關(guān)的證據(jù)，評估IT控制的有效性、評價IT績效及IT戰(zhàn)略與業(yè)務(wù)目標(biāo)的符合程度。

　　IT治理必須在風(fēng)險與利益之間找到均衡，通過IT審計不斷促進(jìn)調(diào)整IT控制環(huán)境，使組織在風(fēng)險可識別、可控、可管理的環(huán)境下保證組織利益最大化。

　　三、企業(yè)IT風(fēng)險控制與審計實務(wù)

　　（一）組織框架

　　企業(yè)IT風(fēng)險管理組織框架應(yīng)當(dāng)從“決策—管理—執(zhí)行”三個層面設(shè)立風(fēng)險管理職能，并輔以審計監(jiān)督機(jī)制。

　　決策機(jī)構(gòu)，通常以風(fēng)險管理委員會的形式，行使風(fēng)險管理的決策、風(fēng)險管理政策的制定與批準(zhǔn)等職能。

　　管理機(jī)構(gòu)通常為設(shè)置為風(fēng)險管理委員會下的職能機(jī)構(gòu)，如風(fēng)險管理部，是風(fēng)險管理政策的執(zhí)行部門，負(fù)責(zé)根據(jù)風(fēng)險管理的規(guī)章制度，協(xié)調(diào)各執(zhí)行機(jī)構(gòu)的關(guān)系，推動風(fēng)險管理措施的實施。

　　風(fēng)險管理政策與措施的執(zhí)行是由信息技術(shù)部門、相關(guān)業(yè)務(wù)部門等涉及到IT及其安全運作的部門具體實施，尤其是信息技術(shù)部門承擔(dān)大部分的IT風(fēng)險管理政策、技術(shù)的實施。

　　IT審計部門作為IT風(fēng)險管理的監(jiān)督與審計部門，負(fù)責(zé)檢查、評估企業(yè)IT風(fēng)險管理戰(zhàn)略、政策、組織與實施的有效性，并提出管理建議。

　�。ǘ㊣T控制與審計規(guī)范

　　企業(yè)IT控制規(guī)范可以參考財政部等五部委聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》及配套指引，建立有效的IT內(nèi)部控制框架內(nèi)，從公司內(nèi)部控制層面、信息技術(shù)整體層面、業(yè)務(wù)流程層面等建立控制規(guī)范。企業(yè)IT控制以風(fēng)險為導(dǎo)向，規(guī)范企業(yè)組織結(jié)構(gòu)、明確崗位權(quán)利責(zé)任分配，建立科學(xué)的績效考核體系和制度，提升企業(yè)風(fēng)險管理和應(yīng)對能力，通過風(fēng)險評估對企業(yè)內(nèi)部控制體系進(jìn)行持續(xù)評價和改進(jìn)，最終建立配套信息系統(tǒng)，實現(xiàn)內(nèi)控體系的信息化落地。從風(fēng)險的角度去審視內(nèi)部控制有沒有做好；通過對績效指標(biāo)的監(jiān)控去實時檢測有沒有風(fēng)險發(fā)生，然后再去找到企業(yè)的缺陷漏洞；最后通過信息系統(tǒng)將這個體系落地執(zhí)行。

　　企業(yè)風(fēng)險管理體系的控制層面上，內(nèi)部審計發(fā)揮著重要的作用，以風(fēng)險為導(dǎo)向的審計是合理規(guī)避IT風(fēng)險的一種有效途徑。IT審計應(yīng)當(dāng)建立一套完整的審計標(biāo)準(zhǔn)、規(guī)范，并提供可供參考的IT審計指南與實施細(xì)則。企業(yè)IT審計應(yīng)當(dāng)在內(nèi)部審計總體框架下開展，在制定內(nèi)部審計章程時要體現(xiàn)信息化條件下內(nèi)部審計工作的特點，制定有關(guān)IT審計的規(guī)范與要求，必要時可進(jìn)一步制定IT審計工作規(guī)范。

　　IT審計是信息技術(shù)條件下的內(nèi)部審計，具有較強(qiáng)的操作性要求，參考各行業(yè)的內(nèi)部審計工作經(jīng)驗，吸收國家審計機(jī)關(guān)的制度與操作指南，可以從IT整體控制審計、應(yīng)用控制審計兩個方面編制實施細(xì)則。

　　1.IT整體控制審計——確保程序和數(shù)據(jù)文件的完整性、確保信息系統(tǒng)良好運行。審計內(nèi)容包括IT基礎(chǔ)設(shè)施、系統(tǒng)開發(fā)、系統(tǒng)運行與維護(hù)、變更控制、網(wǎng)絡(luò)安全控制、訪問控制等普遍適用于所有的應(yīng)用系統(tǒng)的控制。

　　2.應(yīng)用控制審計——應(yīng)用控制與特定的應(yīng)用程序有關(guān)，設(shè)計應(yīng)用控制是為了應(yīng)對威脅應(yīng)用系統(tǒng)的潛在風(fēng)險，確保應(yīng)用系統(tǒng)處理數(shù)據(jù)的有效正確而實施的控制。應(yīng)用控制審計主要包括業(yè)務(wù)流程控制審計、數(shù)據(jù)輸入處理輸出審計，提供業(yè)務(wù)信息完整性、準(zhǔn)確性、有效性、可用性保證。

　　此外，企業(yè)的信息化規(guī)劃應(yīng)當(dāng)在充分考慮風(fēng)險管理與審計需求的基礎(chǔ)上，建立并完善信息化審計工作平臺，充分利用信息技術(shù)推進(jìn)IT審計服務(wù)于企業(yè)治理與全面風(fēng)險管理，實現(xiàn)價值增值。

　　四、小結(jié)

　　企業(yè)IT風(fēng)險控制與審計是IT治理中的重要內(nèi)容，本文提出的基于IT治理框架的風(fēng)險控制與審計體系在企業(yè)IT管理實務(wù)中發(fā)揮一定的作用，如何更深入地探究IT風(fēng)險控制與審計及其作用機(jī)制、績效評價等，還需要結(jié)合我國企業(yè)管理現(xiàn)狀進(jìn)一步展開研究。

【分析企業(yè)IT風(fēng)險控制與審計實務(wù)的論文】相關(guān)文章：

審計風(fēng)險的控制與防范03-18

審計風(fēng)險與控制芻議03-23

企業(yè)投資風(fēng)險的成因分析及控制對策03-21

淺析審計風(fēng)險的防范與控制03-20

獨立原則與審計風(fēng)險控制03-21

試論審計風(fēng)險及其控制03-20

小企業(yè)年報審計中若干事項風(fēng)險的控制經(jīng)濟(jì)論文11-19

經(jīng)濟(jì)新常態(tài)下審計風(fēng)險成因與控制論文11-15

內(nèi)部控制審計經(jīng)典論文05-23

內(nèi)部控制審計經(jīng)典論文06-11