IT審計 獨立于IT管理的監(jiān)督過程
任何技術(shù)都是雙刃劍,信息系統(tǒng)給社會帶來巨大便利的同時,也往往會被不法分子所利用,如何杜絕這類現(xiàn)象,如何防止信息系統(tǒng)因為自身的缺陷給社會蒙受巨大損失,這是我們面臨的一個新課題。 審計(包括外部審
任何技術(shù)都是“雙刃劍”,信息系統(tǒng)給社會帶來巨大便利的同時,也往往會被“不法分子”所利用,如何杜絕這類現(xiàn)象,如何防止信息系統(tǒng)因為自身的缺陷給社會蒙受巨大損失,這是我們面臨的一個新課題。
審計(包括外部審計與內(nèi)部審計)通常負(fù)有向管理層提供咨詢的責(zé)任,以幫助確保企業(yè)內(nèi)部存在適當(dāng)?shù)膬?nèi)部控制,將主要風(fēng)險控制到一個可接受的合理水平。
IT審計是伴隨著IT的飛速發(fā)展而產(chǎn)生的。當(dāng)前,IT應(yīng)用的進(jìn)步導(dǎo)致了需要有專門的內(nèi)部控制措施才能控制新的風(fēng)險。這就需要新的技術(shù)來評估控制的有效性,確保企業(yè)數(shù)據(jù)以及生成這些數(shù)據(jù)的信息系統(tǒng)的安全。
目前還沒有一個IT審計的權(quán)威定義。IT審計一般指對信息系統(tǒng)的規(guī)劃、開發(fā)、實施、運行和維護(hù)等各個環(huán)節(jié)進(jìn)行評價,確保與IT相關(guān)的風(fēng)險控制在可接受水平的過程。
IT審計要回答什么
與一般的審計一樣,IT審計的任務(wù)與使命也是通過評價內(nèi)部控制,確保風(fēng)險控制在可接受的水平。但與一般審計不同的是,IT審計除了關(guān)注操作層面的風(fēng)險外,還應(yīng)關(guān)注戰(zhàn)略層面的風(fēng)險,因為IT已經(jīng)成為企業(yè)的戰(zhàn)略問題。另外,IT審計關(guān)注的風(fēng)險主要與IT相關(guān)。具體來講,IT審計的任務(wù)與使命可以概括為三個方面:一是確保IT項目管理風(fēng)險控制在合理水平;二是確保業(yè)務(wù)流程中與IT相關(guān)風(fēng)險控制在可接受水平;三是確保信息和信息系統(tǒng)的安全。三個方面既涉及戰(zhàn)略風(fēng)險,也涉及操作風(fēng)險。
第一要務(wù):IT項目管理風(fēng)險“控制閥”
為了維持并提高競爭力,企業(yè)在持續(xù)地維持并更新現(xiàn)有的信息系統(tǒng),并持續(xù)地開發(fā)和應(yīng)用新的信息系統(tǒng)。資料研究表明,我國企業(yè)每年IT投入近萬億元,每年僅在ERP項目上的投資就超過80億元。以信息化程度名列前茅的金融業(yè)為例,2004年,全國金融業(yè)IT投資規(guī)模達(dá)到248.85億元,比2003年的237億元增長5.0%,其中銀行業(yè)IT投資規(guī)模達(dá)到212.35億元,比2003年的200億元增長6.2%。大集中處理系統(tǒng)、客戶關(guān)系管理系統(tǒng)和網(wǎng)上交易系統(tǒng)等,已成為金融企業(yè)IT建設(shè)的熱門話題。但是,IT項目完全成功的企業(yè)寥寥無幾,要么延期完成項目,要么超過預(yù)算,要么功能不足,甚至完全失敗,IT投資正陷入巨大的“黑洞”。據(jù)Gartner集團(tuán)2002年對北美IT業(yè)1375家公司的調(diào)查發(fā)現(xiàn),大約有40%的IT項目沒有達(dá)到預(yù)期的結(jié)果,研究還發(fā)現(xiàn)一個原計劃27周的IT項目在僅僅持續(xù)了14周后被取消。在我國,有人估計80%的系統(tǒng)失敗或未達(dá)到預(yù)期目標(biāo),某證券公司花巨資建設(shè)的大集中系統(tǒng)半途夭折就是一個典型例子。
與IT項目相關(guān)的風(fēng)險包括:IT項目與企業(yè)目標(biāo)不一致、IT項目部分或全部失敗、開發(fā)商倒閉、與開發(fā)商的合同存在的風(fēng)險、項目外包風(fēng)險和財務(wù)風(fēng)險等。
IT審計的第一個任務(wù)與使命,就是通過評價IT項目管理過程中內(nèi)部控制的適當(dāng)性,確保風(fēng)險控制在合理水平。例如,IT項目與企業(yè)目標(biāo)不一致的風(fēng)險實際上涉及到IT的戰(zhàn)略問題。要解決好IT的戰(zhàn)略問題,就要解決兩個動態(tài)過程的匹配問題,一是變化很快的企業(yè)環(huán)境,二是更新很快的信息技術(shù)。兩者的匹配又和諸多問題相關(guān),如企業(yè)選擇IT的目的,主要為了提高效率,還是主要為了提高響應(yīng)速度?還是主要為了引入新產(chǎn)品?由于IT的戰(zhàn)略問題,對IT已不能局限于管理,應(yīng)當(dāng)上升到治理,根據(jù)公司治理的要求,董事會應(yīng)當(dāng)對IT治理負(fù)最終責(zé)任。IT審計師通過評價內(nèi)部控制的適當(dāng)性,如董事會是否在確定IT戰(zhàn)略過程中發(fā)揮了應(yīng)有的作用,幫助企業(yè)將風(fēng)險控制到合理水平。
第二要務(wù):業(yè)務(wù)流程與IT相關(guān)風(fēng)險“調(diào)控鈕”
業(yè)務(wù)流程再造(Business Process Reengineering, 簡稱BPR)是企業(yè)為了在現(xiàn)代經(jīng)營環(huán)境中求得生存和發(fā)展,應(yīng)對競爭和顧客需求雙重壓力的一個措施。業(yè)務(wù)流程再造通過對系統(tǒng)過程的自動化,減少人工干預(yù)和控制,滿足顧客需求,實現(xiàn)成本節(jié)約,其特征是:根本性的思考,徹底的再設(shè)計,使企業(yè)效益獲得巨大的提高。
IT與業(yè)務(wù)流程再造是密不可分的,業(yè)務(wù)流程再造通常需要借助IT加以實現(xiàn),如果沒有IT的支持,就無法達(dá)到業(yè)務(wù)流程的再造;IT項目也一般需要業(yè)務(wù)流程再造才能成功實施,因為業(yè)務(wù)流程再造是IT的內(nèi)在驅(qū)動力。人們對業(yè)務(wù)流程再造的最大擔(dān)憂就是,企業(yè)流程中的主要控制會在提高效率的再造過程中被削弱甚至完全消失,從而給企業(yè)帶來風(fēng)險。
效率和控制往往是一對矛盾,而削弱控制則容易帶來風(fēng)險。因此需要在效率和控制之間找到一個平衡,或者在削弱原有控制提高效率的同時,需要找到補(bǔ)償控制。IT審計師的任務(wù)和使命就是要識別原有業(yè)務(wù)流程中的主要控制,評價這些主要控制被削弱或消失后的影響,向企業(yè)領(lǐng)導(dǎo)層提出建議,確保通過實施IT項目進(jìn)行業(yè)務(wù)流程再造后,企業(yè)風(fēng)險控制在可接受的水平。
第三要務(wù):信息和信息系統(tǒng)安全的“護(hù)航者”
在信息社會,信息和產(chǎn)生該信息的信息系統(tǒng)是企業(yè)的重要資產(chǎn),這已經(jīng)得到社會的廣泛認(rèn)同。但是,信息和信息系統(tǒng)的安全問題卻異常嚴(yán)峻,病毒、木馬、邏輯炮彈、蠕蟲、非授權(quán)訪問、網(wǎng)絡(luò)拒絕服務(wù)、計算機(jī)犯罪等,各種安全威脅應(yīng)有盡有。根據(jù)美國計算機(jī)安全事件響應(yīng)組協(xié)調(diào)中心(CERT)統(tǒng)計,1988年至2003年報告的安全事件總計319992件,其中1998年為6件,2003年增至137529件。
信息資產(chǎn)的安全問題是一個極其復(fù)雜的問題,涉及到技術(shù)、法律、管理等諸多方面。IT審計在信息安全方面的任務(wù)和使命,就是通過評價相關(guān)的內(nèi)部控制的適當(dāng)性,確保信息資產(chǎn)的安全,包括保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。
需要說明的是,IT審計并不能代替IT管理的責(zé)任,IT審計應(yīng)當(dāng)是獨立于IT管理的一種監(jiān)督過程。但是,IT審計確實能夠為企業(yè)增加價值。
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
電動車產(chǎn)業(yè)紅利不好接?看看這四條缺了什么?
-
樂視網(wǎng)復(fù)牌首日即跌停 FF、Lucid、樂視汽車要被轉(zhuǎn)讓抵債?
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
2017年中國新能源重點細(xì)分行業(yè)發(fā)展現(xiàn)狀、新能源行業(yè)發(fā)展趨勢及投資前景分析【圖】
-
電力轉(zhuǎn)型是推動能源轉(zhuǎn)型的關(guān)鍵
-
湖北2017年電力運行情況:直接交易完成簽約電量351.44億千瓦時
-
河南12月全社會用電量275.86億千瓦時 同比增長0.77%
-
成交電量923億!河南年度雙邊協(xié)商交易競爭刷新紀(jì)錄 實現(xiàn)開門紅
-
微網(wǎng)工程設(shè)計解析:并網(wǎng)型微電網(wǎng)建設(shè)規(guī)模分析
-
全面解析微電網(wǎng)結(jié)構(gòu)與發(fā)展趨勢(附五大案例與經(jīng)濟(jì)效益分析)
-
售電必備 | 聚焦2018年增量配電網(wǎng)的六大熱點問題
-
安徽電力直接交易執(zhí)行、出清細(xì)則和電力市場電量結(jié)算規(guī)則發(fā)布
-
電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度印發(fā):有配電業(yè)務(wù)的售電公司參照執(zhí)行
-
遼寧對居民電采暖用戶試行峰谷分時電價政策
-
預(yù)計南方五省區(qū)2018年用電保持中速增長:南方電網(wǎng)將多措并舉 全力保障電力供應(yīng)平穩(wěn)有序
-
財政部發(fā)布:電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度
-
聚焦:貴州電力市場陷入僵局 大云網(wǎng)電力分析師邀您觀望