IT審計 獨立于IT管理的監(jiān)督過程

申請免費試用、咨詢電話：400-8352-114

任何技術(shù)都是“雙刃劍”，信息系統(tǒng)給社會帶來巨大便利的同時，也往往會被“不法分子”所利用，如何杜絕這類現(xiàn)象，如何防止信息系統(tǒng)因為自身的缺陷給社會蒙受巨大損失，這是我們面臨的一個新課題。

審計（包括外部審計與內(nèi)部審計）通常負有向管理層提供咨詢的責任，以幫助確保企業(yè)內(nèi)部存在適當?shù)膬?nèi)部控制，將主要風險控制到一個可接受的合理水平。

IT審計是伴隨著IT的飛速發(fā)展而產(chǎn)生的。當前，IT應(yīng)用的進步導(dǎo)致了需要有專門的內(nèi)部控制措施才能控制新的風險。這就需要新的技術(shù)來評估控制的有效性，確保企業(yè)數(shù)據(jù)以及生成這些數(shù)據(jù)的信息系統(tǒng)的安全。

目前還沒有一個IT審計的權(quán)威定義。IT審計一般指對信息系統(tǒng)的規(guī)劃、開發(fā)、實施、運行和維護等各個環(huán)節(jié)進行評價，確保與IT相關(guān)的風險控制在可接受水平的過程。

IT審計要回答什么

與一般的審計一樣，IT審計的任務(wù)與使命也是通過評價內(nèi)部控制，確保風險控制在可接受的水平。

但與一般審計不同的是，IT審計除了關(guān)注操作層面的風險外，還應(yīng)關(guān)注戰(zhàn)略層面的風險，因為IT已經(jīng)成為企業(yè)的戰(zhàn)略問題。

另外，IT審計關(guān)注的風險主要與IT相關(guān)。具體來講，IT審計的任務(wù)與使命可以概括為三個方面：

一是確保IT項目管理風險控制在合理水平；

二是確保業(yè)務(wù)流程中與IT相關(guān)風險控制在可接受水平；

三是確保信息和信息系統(tǒng)的安全。

三個方面既涉及戰(zhàn)略風險，也涉及操作風險。

第一要務(wù)：IT項目管理風險“控制閥”

為了維持并提高競爭力，企業(yè)在持續(xù)地維持并更新現(xiàn)有的信息系統(tǒng)，并持續(xù)地開發(fā)和應(yīng)用新的信息系統(tǒng)。

資料研究表明，我國企業(yè)每年IT投入近萬億元，每年僅在ERP項目上的投資就超過80億元。以信息化程度名列前茅的金融業(yè)為例，2004年，全國金融業(yè)IT投資規(guī)模達到248.85億元，比2003年的237億元增長5.0％，其中銀行業(yè)IT投資規(guī)模達到212.35億元，比2003年的200億元增長6.2％。大集中處理系統(tǒng)、客戶關(guān)系管理系統(tǒng)和網(wǎng)上交易系統(tǒng)等，已成為金融企業(yè)IT建設(shè)的熱門話題。

但是，IT項目完全成功的企業(yè)寥寥無幾，要么延期完成項目，要么超過預(yù)算，要么功能不足，甚至完全失敗，IT投資正陷入巨大的“黑洞”。據(jù)Gartner集團2002年對北美IT業(yè)1375家公司的調(diào)查發(fā)現(xiàn)，大約有40%的IT項目沒有達到預(yù)期的結(jié)果，研究還發(fā)現(xiàn)一個原計劃27周的IT項目在僅僅持續(xù)了14周后被取消。在我國，有人估計80%的系統(tǒng)失敗或未達到預(yù)期目標，某證券公司花巨資建設(shè)的大集中系統(tǒng)半途夭折就是一個典型例子。

與IT項目相關(guān)的風險包括：IT項目與企業(yè)目標不一致、IT項目部分或全部失敗、開發(fā)商倒閉、與開發(fā)商的合同存在的風險、項目外包風險和財務(wù)風險等。

IT審計的第一個任務(wù)與使命，就是通過評價IT項目管理過程中內(nèi)部控制的適當性，確保風險控制在合理水平。

例如，IT項目與企業(yè)目標不一致的風險實際上涉及到IT的戰(zhàn)略問題。要解決好IT的戰(zhàn)略問題，就要解決兩個動態(tài)過程的匹配問題，一是變化很快的企業(yè)環(huán)境，二是更新很快的信息技術(shù)。

兩者的匹配又和諸多問題相關(guān)，如企業(yè)選擇IT的目的，主要為了提高效率，還是主要為了提高響應(yīng)速度？還是主要為了引入新產(chǎn)品？由于IT的戰(zhàn)略問題，對IT已不能局限于管理，應(yīng)當上升到治理，根據(jù)公司治理的要求，董事會應(yīng)當對IT治理負最終責任。IT審計師通過評價內(nèi)部控制的適當性，如董事會是否在確定IT戰(zhàn)略過程中發(fā)揮了應(yīng)有的作用，幫助企業(yè)將風險控制到合理水平。

第二要務(wù)：業(yè)務(wù)流程與IT相關(guān)風險“調(diào)控鈕”

業(yè)務(wù)流程再造（Business Process Reengineering, 簡稱BPR）是企業(yè)為了在現(xiàn)代經(jīng)營環(huán)境中求得生存和發(fā)展，應(yīng)對競爭和顧客需求雙重壓力的一個措施。業(yè)務(wù)流程再造通過對系統(tǒng)過程的自動化，減少人工干預(yù)和控制，滿足顧客需求，實現(xiàn)成本節(jié)約，其特征是：根本性的思考，徹底的再設(shè)計，使企業(yè)效益獲得巨大的提高。

IT與業(yè)務(wù)流程再造是密不可分的，業(yè)務(wù)流程再造通常需要借助IT加以實現(xiàn)，如果沒有IT的支持，就無法達到業(yè)務(wù)流程的再造；IT項目也一般需要業(yè)務(wù)流程再造才能成功實施，因為業(yè)務(wù)流程再造是IT的內(nèi)在驅(qū)動力。人們對業(yè)務(wù)流程再造的最大擔憂就是，企業(yè)流程中的主要控制會在提高效率的再造過程中被削弱甚至完全消失，從而給企業(yè)帶來風險。

效率和控制往往是一對矛盾，而削弱控制則容易帶來風險。因此需要在效率和控制之間找到一個平衡，或者在削弱原有控制提高效率的同時，需要找到補償控制。

IT審計師的任務(wù)和使命就是要識別原有業(yè)務(wù)流程中的主要控制，評價這些主要控制被削弱或消失后的影響，向企業(yè)領(lǐng)導(dǎo)層提出建議，確保通過實施IT項目進行業(yè)務(wù)流程再造后，企業(yè)風險控制在可接受的水平。

第三要務(wù)：信息和信息系統(tǒng)安全的“護航者”

在信息社會，信息和產(chǎn)生該信息的信息系統(tǒng)是企業(yè)的重要資產(chǎn)，這已經(jīng)得到社會的廣泛認同。但是，信息和信息系統(tǒng)的安全問題卻異常嚴峻，病毒、木馬、邏輯炮彈、蠕蟲、非授權(quán)訪問、網(wǎng)絡(luò)拒絕服務(wù)、計算機犯罪等，各種安全威脅應(yīng)有盡有。

根據(jù)美國計算機安全事件響應(yīng)組協(xié)調(diào)中心（CERT）統(tǒng)計，1988年至2003年報告的安全事件總計319992件，其中1998年為6件，2003年增至137529件。

信息資產(chǎn)的安全問題是一個極其復(fù)雜的問題，涉及到技術(shù)、法律、管理等諸多方面。IT審計在信息安全方面的任務(wù)和使命，就是通過評價相關(guān)的內(nèi)部控制的適當性，確保信息資產(chǎn)的安全，包括保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。

需要說明的是，IT審計并不能代替IT管理的責任，IT審計應(yīng)當是獨立于IT管理的一種監(jiān)督過程。但是，IT審計確實能夠為企業(yè)增加價值。

作者簡介：劉濟平，中國光大集團審計部副主任，南開大學經(jīng)濟學碩士（會計與審計專業(yè)），英國Strathclyde大學理學碩士（商務(wù)信息技術(shù)系統(tǒng)專業(yè)）；注冊信息系統(tǒng)審計師（CISA），注冊內(nèi)部審計師（CIA），國際信息系統(tǒng)審計與控制協(xié)會會員，國際內(nèi)部審計師協(xié)會會員，中國內(nèi)部審計協(xié)會常務(wù)理事。曾在國家審計署任處長，1996年在英國國家審計署工作進修。