分析企業(yè)IT風(fēng)險控制與審計實(shí)務(wù)的論文

　　風(fēng)險控制是公司IT治理機制的一個(gè)重要組成部分，在信息化建設中，需要管理與控制各種風(fēng)險，以便達到保護IT投資、維持系統持續運行的目的。以風(fēng)險為導向的審計是合理規避IT風(fēng)險的一種有效途徑，在大型企業(yè)中舉足輕重。企業(yè)IT風(fēng)險控制與審計需要在充分考慮企業(yè)IT系統狀況、IT治理結構以及IT審計資源的基礎上，借鑒與吸收國際相關(guān)企業(yè)IT審計的領(lǐng)先實(shí)踐，全面提高IT審計水平和IT審計人員素質(zhì)，有效規避IT風(fēng)險，為企業(yè)的未來(lái)發(fā)展保駕護航。

　　一、IT治理與風(fēng)險管理

　　IT治理是一種引導和控制企業(yè)各種關(guān)系和流程的結構，確保組織擁有適當的結構、政策、工作職責、運營(yíng)管理機制和監督實(shí)務(wù)，以達到公司治理中對IT方面的要求，旨在通過(guò)平衡信息技術(shù)及其流程中的風(fēng)險和收益，增加價(jià)值，以實(shí)現企業(yè)目標。IT治理是企業(yè)治理結構中不可或缺的一部分，而相關(guān)的IT治理流程則可確保企業(yè)IT目標與業(yè)務(wù)目標保持一致，并可持續發(fā)展。因此，IT治理必須與企業(yè)戰略目標一致，使IT發(fā)揮更大的作用、創(chuàng )造更多的價(jià)值，實(shí)現公司價(jià)值和利益的最大化。

　　IT治理領(lǐng)域中，首重策略、組織架構、政策與內部流程�？刂骑L(fēng)險、績(jì)效評量與提供價(jià)值則為組織架構中關(guān)注的焦點(diǎn)。同時(shí)，IT治理牽涉的范疇，包含：IT服務(wù)提供、IT服務(wù)支援、營(yíng)運業(yè)務(wù)展望、基礎建設管理與應用管理。其不同視角的IT治理作用如下表。

　　保證所有的缺陷都已被控制所覆蓋利用風(fēng)險控制與審計策略管理IT風(fēng)險，要求企業(yè)的高層管理者具備良好的風(fēng)險意識，清晰了解企業(yè)對風(fēng)險的態(tài)度，了解合規性要求，將風(fēng)險管理的職責嵌入組織架構設計中，圍繞信息化戰略目標構建全面風(fēng)險管理體系以進(jìn)行有效的風(fēng)險管理與控制。

　　二、IT風(fēng)險管理體系

　　基于IT治理的IT風(fēng)險管理需要執行一整套風(fēng)險管理程序，必須建立風(fēng)險識別、風(fēng)險分析與評估、風(fēng)險規避與應對、風(fēng)險監控等流程并嚴格執行。從操作層面上分析，IT風(fēng)險管理中對IT風(fēng)險的控制與審計是風(fēng)險管理中的兩個(gè)重要環(huán)節：

　�。ㄒ唬㊣T控制

　　IT控制就是在治理結構下，為實(shí)現組織的目標提供合理保證而實(shí)施的一系列政策和程序，內部控制是一個(gè)持續的過(guò)程，為了保證組織經(jīng)營(yíng)的效率和效果、財務(wù)報告的可靠性以及對有關(guān)法律和規章制度的遵循等情況下評估風(fēng)險并設計、實(shí)施和持續監督控制措施�？梢钥闯鯥T控制的主要目的是建立一個(gè)可持續監控的控制環(huán)境使組織風(fēng)險可識別、可控、可管理。

　　風(fēng)險控制是指控制風(fēng)險事件發(fā)生的動(dòng)因、環(huán)境、條件等，來(lái)達到減輕風(fēng)險事件發(fā)生時(shí)的損失或降低風(fēng)險事件發(fā)生的概率的目的。風(fēng)險無(wú)法徹底消除，僅能降低、控制與移轉，對于殘余風(fēng)險，企業(yè)需自行審視可接受的程度。然而，在進(jìn)行風(fēng)險控制活動(dòng)前，需先進(jìn)行風(fēng)險評估，對于潛在影響的弱點(diǎn)與威脅臚列出來(lái)，并分析評估矯正的優(yōu)先程序，然后再針對風(fēng)險，設計有關(guān)的預防性、檢查性與糾正性的控制�？刂频脑O計，應該就風(fēng)險評估后的結果，因此，完整的風(fēng)險評估作業(yè)，是極為重要的，不好的風(fēng)險評估會(huì )影響后續控制設計，甚至于控制執行的落實(shí)程度。當控制設計完成后，需再次檢視相對應的管理政策與辦法是否足夠滿(mǎn)足控制的目標，倘若現有管理政策文件無(wú)法滿(mǎn)足控制目標的要求，應立即進(jìn)行增修作業(yè)，務(wù)必達到與現有作業(yè)機制一致的目標。

　　隨著(zhù)組織的發(fā)展對IT的依賴(lài)日趨明顯，內部原有業(yè)務(wù)和管理風(fēng)險特征由于信息系統越來(lái)越廣泛的運用而出現了變化，業(yè)務(wù)對信息系統的依賴(lài)性增加，因此必須建立起有效的風(fēng)險控制體系。管理層應從基本的內部控制環(huán)境著(zhù)手建置，從一般信息技術(shù)控制環(huán)境到業(yè)務(wù)流程中的內部控制環(huán)境，其中應思考系統控制與人工控制緊密結合的協(xié)調性與完整性。

　�。ǘ�）IT審計

　　IT審計是一個(gè)獲取并評價(jià)證據的過(guò)程，主要是判斷信息系統是否能夠保證資產(chǎn)的安全、數據的完整性、有效率利用組織的資源、有效果地實(shí)現組織目標地過(guò)程。

　　IT審計是監視和評審IT控制措施的執行情況和有效性的主要手段之一，可以從組織整體業(yè)務(wù)風(fēng)險的角度，對實(shí)施和運行的控制措施進(jìn)行持續監控，以管理組織的業(yè)務(wù)風(fēng)險。

　　IT審計可以作為符合法律、法規以及管理要求的控制手段，可以證明管理層建立并維護了恰當的內控措施；可以提供證據說(shuō)明業(yè)務(wù)相關(guān)數據的完整性，以及可以證明具備合法權限的人正確訪(fǎng)問(wèn)數據；可以提供報警和審計報告確保管理層知道重大信息和任何變更；IT審計可以圍繞數據提供報告用于合規性評估，降低遵從成本。作為組織IT風(fēng)險控制的最后防線(xiàn)，IT審計為組織進(jìn)行風(fēng)險防范，提高設計正確性和加強應用的管理控制提供建議。

　�。ㄈ�）IT治理、IT控制與IT審計之間的聯(lián)系

　　IT治理是為組織建立一個(gè)長(cháng)效的均衡的治理結構，在風(fēng)險可控的環(huán)境下保證組織獲益。均衡的環(huán)境在滿(mǎn)足組織外部約束的同時(shí)需要考慮如何降低成本、提高股東收益、滿(mǎn)足客戶(hù)要求以及建立良好的社會(huì )形象等條件下不斷調整變化而達到的，因此IT治理側重于宏觀(guān)決策方面，要做哪些事，由誰(shuí)來(lái)做這些事，以及如何建立決策機制、如何進(jìn)行有效監控等。

　　IT控制就是在這樣的治理結構下，為實(shí)現組織的目標提供合理保證而實(shí)施的一系列政策和程序，內部控制是一個(gè)持續的過(guò)程，為了保證組織經(jīng)營(yíng)的效率和效果、財務(wù)報告的可靠性以及對有關(guān)法律和規章制度的遵循等情況下評估風(fēng)險并設計、實(shí)施和持續監督控制措施�？梢钥闯鯥T控制的主要目的是建立一個(gè)可持續監控的控制環(huán)境使組織風(fēng)險可識別、可控、可管理。IT審計是一個(gè)獲取并評價(jià)證據的過(guò)程，主要目標就是對組織實(shí)施的風(fēng)險管理環(huán)境和控制環(huán)境的保證措施進(jìn)行識別和評估，判斷管理層關(guān)于控制的聲明是否是可靠的，所以審計必須保持其獨立性，以第三方客觀(guān)的立場(chǎng)進(jìn)行檢查和評價(jià)。

　　IT治理、IT控制以及IT審計之間既有聯(lián)系又有區別。共同的關(guān)注點(diǎn)在于風(fēng)險與保證。風(fēng)險管理的主要目標是為了保證組織經(jīng)營(yíng)的效率和效果、財務(wù)報告的可靠性以及對有關(guān)法律和規章制度的遵循。保證，主要來(lái)自一系列相互依存的控制政策與程序，以及評價(jià)控制有效性的證據，這些證據可以證明控制是連續和充分的。IT治理要明確目標與方向，為IT控制環(huán)境與活動(dòng)設定明確的目標。IT控制要建立一個(gè)完整的，具有彈性的內部控制體系，應對組織面臨的各種風(fēng)險挑戰和意外事件。IT審計是獲取與IT控制和保證措施相關(guān)的證據，評估IT控制的有效性、評價(jià)IT績(jì)效及IT戰略與業(yè)務(wù)目標的符合程度。

　　IT治理必須在風(fēng)險與利益之間找到均衡，通過(guò)IT審計不斷促進(jìn)調整IT控制環(huán)境，使組織在風(fēng)險可識別、可控、可管理的環(huán)境下保證組織利益最大化。

　　三、企業(yè)IT風(fēng)險控制與審計實(shí)務(wù)

　�。ㄒ唬┙M織框架

　　企業(yè)IT風(fēng)險管理組織框架應當從“決策—管理—執行”三個(gè)層面設立風(fēng)險管理職能，并輔以審計監督機制。

　　決策機構，通常以風(fēng)險管理委員會(huì )的形式，行使風(fēng)險管理的決策、風(fēng)險管理政策的制定與批準等職能。

　　管理機構通常為設置為風(fēng)險管理委員會(huì )下的職能機構，如風(fēng)險管理部，是風(fēng)險管理政策的執行部門(mén)，負責根據風(fēng)險管理的規章制度，協(xié)調各執行機構的關(guān)系，推動(dòng)風(fēng)險管理措施的實(shí)施。

　　風(fēng)險管理政策與措施的執行是由信息技術(shù)部門(mén)、相關(guān)業(yè)務(wù)部門(mén)等涉及到IT及其安全運作的部門(mén)具體實(shí)施，尤其是信息技術(shù)部門(mén)承擔大部分的IT風(fēng)險管理政策、技術(shù)的實(shí)施。

　　IT審計部門(mén)作為IT風(fēng)險管理的監督與審計部門(mén)，負責檢查、評估企業(yè)IT風(fēng)險管理戰略、政策、組織與實(shí)施的有效性，并提出管理建議。

　�。ǘ�）IT控制與審計規范

　　企業(yè)IT控制規范可以參考財政部等五部委聯(lián)合發(fā)布的《企業(yè)內部控制基本規范》及配套指引，建立有效的IT內部控制框架內，從公司內部控制層面、信息技術(shù)整體層面、業(yè)務(wù)流程層面等建立控制規范。企業(yè)IT控制以風(fēng)險為導向，規范企業(yè)組織結構、明確崗位權利責任分配，建立科學(xué)的績(jì)效考核體系和制度，提升企業(yè)風(fēng)險管理和應對能力，通過(guò)風(fēng)險評估對企業(yè)內部控制體系進(jìn)行持續評價(jià)和改進(jìn)，最終建立配套信息系統，實(shí)現內控體系的信息化落地。從風(fēng)險的角度去審視內部控制有沒(méi)有做好；通過(guò)對績(jì)效指標的監控去實(shí)時(shí)檢測有沒(méi)有風(fēng)險發(fā)生，然后再去找到企業(yè)的缺陷漏洞；最后通過(guò)信息系統將這個(gè)體系落地執行。

　　企業(yè)風(fēng)險管理體系的控制層面上，內部審計發(fā)揮著(zhù)重要的作用，以風(fēng)險為導向的審計是合理規避IT風(fēng)險的一種有效途徑。IT審計應當建立一套完整的審計標準、規范，并提供可供參考的IT審計指南與實(shí)施細則。企業(yè)IT審計應當在內部審計總體框架下開(kāi)展，在制定內部審計章程時(shí)要體現信息化條件下內部審計工作的特點(diǎn)，制定有關(guān)IT審計的規范與要求，必要時(shí)可進(jìn)一步制定IT審計工作規范。

　　IT審計是信息技術(shù)條件下的內部審計，具有較強的操作性要求，參考各行業(yè)的內部審計工作經(jīng)驗，吸收國家審計機關(guān)的制度與操作指南，可以從IT整體控制審計、應用控制審計兩個(gè)方面編制實(shí)施細則。

　　1.IT整體控制審計——確保程序和數據文件的完整性、確保信息系統良好運行。審計內容包括IT基礎設施、系統開(kāi)發(fā)、系統運行與維護、變更控制、網(wǎng)絡(luò )安全控制、訪(fǎng)問(wèn)控制等普遍適用于所有的應用系統的控制。

　　2.應用控制審計——應用控制與特定的應用程序有關(guān)，設計應用控制是為了應對威脅應用系統的潛在風(fēng)險，確保應用系統處理數據的有效正確而實(shí)施的控制。應用控制審計主要包括業(yè)務(wù)流程控制審計、數據輸入處理輸出審計，提供業(yè)務(wù)信息完整性、準確性、有效性、可用性保證。

　　此外，企業(yè)的信息化規劃應當在充分考慮風(fēng)險管理與審計需求的基礎上，建立并完善信息化審計工作平臺，充分利用信息技術(shù)推進(jìn)IT審計服務(wù)于企業(yè)治理與全面風(fēng)險管理，實(shí)現價(jià)值增值。

　　四、小結

　　企業(yè)IT風(fēng)險控制與審計是IT治理中的重要內容，本文提出的基于IT治理框架的風(fēng)險控制與審計體系在企業(yè)IT管理實(shí)務(wù)中發(fā)揮一定的作用，如何更深入地探究IT風(fēng)險控制與審計及其作用機制、績(jì)效評價(jià)等，還需要結合我國企業(yè)管理現狀進(jìn)一步展開(kāi)研究。

【分析企業(yè)IT風(fēng)險控制與審計實(shí)務(wù)的論文】相關(guān)文章：

審計風(fēng)險的控制與防范03-18

審計風(fēng)險與控制芻議03-23

企業(yè)投資風(fēng)險的成因分析及控制對策03-21

淺析審計風(fēng)險的防范與控制03-20

獨立原則與審計風(fēng)險控制03-21

試論審計風(fēng)險及其控制03-20

小企業(yè)年報審計中若干事項風(fēng)險的控制經(jīng)濟論文11-19

經(jīng)濟新常態(tài)下審計風(fēng)險成因與控制論文11-15

內部控制審計經(jīng)典論文05-23

內部控制審計經(jīng)典論文06-11