IT治理风险审计需要注意二三事

作 者:

作者简介:

原文出处:
中国会计报

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2009 年 08 期

关 键 词:

字号:

      IT治理就是企图通过对IT(信息技术)投资方向、方式、价值及相关责任等重大决策方面的管理使IT使用达到理想的效果。在我国,开展IT治理风险审计有如下2点需要注意:

      1.要掌握IT治理发展方向和新的研究领域

      2003年,普华永道受ISACA IT治理协会的委托,对IT治理框架及其应用进行调查,旨在跟踪并预测IT治理的发展趋势及新的研究领域。2005年,普华再次接受IT治理协会的委托,从2005年7月开始,历时4个月,完成了对四大洲内695家组织的调查,获得重要发现:

      (1)IT对业务的重要性前所未有。被调查者中,87%认为,IT对公司战略和愿景的交付极为重要;63%的人说,IT定期或者总是出现在董事会议上。

      (2)相比IT经理,普通经理对IT更积极。与IT经理相比,普通经理认为IT更紧急、更重要。此外,他们总体上对IT与业务战略整合更关心。

      (3)不同行业间存在极大的差异。谈到IT治理,IT、电信和金融服务业做得比较好,而零售业和制造业就要差一些,这些结果与IT在这些行业中的战略重要性是一致的。

      (4)IT职员是最重要的IT相关问题。考虑到这个问题的所有方面,比如事件发生的频率、问题的严重性和未来的发展等等,IT职员似乎成为IT资源中最重要的问题。

      (5)IT安全不是最重要的IT相关问题。当把问题的所有方面都考虑在内的时候,安全性(和符合性)名列最后。

      (6)IT外包正在成为过去时。IT外包不再被视为解决IT问题最有效方式。随着业务和IT的发展,人们越来越意识到,IT问题不能被外包,越来越多的人倾向于由自己内部来控制有问题的系统。

      (7)实施IT治理(和COBIT)不像原来设想那样简单。事实证实以下2点:良好的IT治理实践不是一蹴而就的,它的确需要时间和持续的努力;实施COBIT不是简单地照抄文档,照搬它的条款来实施。相反,它是一个过程,这个过程包括选择最合适的要素,根据需求量体裁衣,并将它们应用于组织的特定需求。

      2.IT治理风险审计的主体问题

      IT治理风险审计由谁来执行呢?应该说,不同体制、不同性质的企业,执行IT治理风险审计的主体是不同的。目前,就公司治理风险审计、IT治理风险审计主体应如何构成的研究在国际学术界基本上还是个空白。上市公司会计师执行风险评估、控制测评和财务报告审计时,由于需要与公司治理层进行沟通、对它的IT系统风险进行测试,可能会对公司IT治理风险进行一定程度的审计,但是,IT治理风险审计绝不是CPA审计的核心任务。

      由企业审计委员会和内部审计组织执行IT治理风险审计怎么样?从结构层次上看,让审计委员会和内部审计来监督IT治理效果应该说级别不够,很难起到威慑和监督效果。

      我们认为,在公司治理比较有成效的企业,可由独立于IT治理委员会、执行管理层以外的董事成员和高管成员及审计委员会组成IT治理风险监督审核机构,这样就形成:由IT治理层负责制定决策标准,由监督层负责对决策及执行情况实施审核。

      这样,反观IT治理结构的构成,我们就会发现,目前提倡的IT系统是“一把手”工程就存在问题了。若董事会主席、CEO作为IT治理层的“一把手”,那么,就会给决策监督造成麻烦,由此推论,我们认为在公司治理比较有成效的企业,应该由负责业务运作的副总裁和CIO组成IT治理结构,而董事会主席、CEO应直接领导IT决策监督工作。

相关文章: