随着信息技术在企业管理中的广泛运用,传统的控制、管理、检查和审计技术都受到了巨大的挑战。信息化目标的实现、信息基础构架的安全稳定高效运行,均需要通过IT审计手段予以保障。通过IT审计,可以确保企业的各项IT风险得到合理的、有效的控制,使得企业IT资源更好地为运营目标服务,实现信息系统价值的最大化。 一、企业IT风险分类 随着信息技术在现代企业运营中的广泛使用,企业的业务和管理活动越来越依赖于信息系统开展。企业IT风险综合存在于企业战略、操作、合规和财务四大风险领域。一旦关键的IT风险得不到有效控制,就可能导致企业遭受巨大损失。结合IT活动的分类,通常将企业的IT风险划分为如下五类: 1.IT战略风险。IT战略是企业整体发展战略的重要组成部分,也是实现企业整体战略的必要支撑及手段。IT战略风险是由于信息技术战略、行动计划或IT活动偏离企业的业务目标,从而导致企业的IT投入未能为企业运行或发展创造应有的价值以及由于IT战略的制定及更新未能与企业整体发展战略相适应,根据滞后的IT战略所做出的IT决策和投资无法适应企业发展的要求、甚至会阻碍企业目标实现等风险。 2.IT项目风险。IT项目生命周期包括规划、需求分析、系统设计、编程与实现、测试、运维与下线多个阶段,在任何阶段都存在导致项目失败的因素及风险,如交付的信息系统偏离用户需求、IT项目未能按照预定时间表交付等。存在有效的IT审计机制,能够促使IT项目实施规划得到必要的分析及评估,能够在项目实施之初就发现照搬外方模式所带来的风险,并对项目规划阶段的蓝图设计提出独立的审计意见,也就能最大限度保证系统实施的方案与本地用户的实际需求相符合,从而避免错误的投入和对企业发展进程的影响。 3.IT安全风险。信息安全风险指在信息系统整个生命周期中面临的人为或自然的威胁、利用系统存在的脆弱性导致信息安全事件发生的可能性及其造成影响的风险。威胁信息安全的因素,包括网络攻击、数据篡改或窃取、信息系统的非授权访问等。有效的IT审计机制能够监督企业是否针对信息安全已经建立了充分的保护机制并得到有效执行。 4.IT服务风险。IT服务风险是IT服务组织提供的IT服务无法满足用户预期水平的风险,如服务器宕机、备份恢复失败、信息系统运行效率低下、系统数据错误等。 5.IT合规风险。IT合规风险是企业的IT运营与管理不能满足内外部的合规要求,从而导致企业蒙受损失的风险。企业内外部多样化的IT安全威胁,自身复杂且不断发展的IT应用环境,国内外越来越多、越来越复杂的法律法规要求,都使得企业面临相当程度的IT风险,亟待开展IT审计识别、控制和规避,巩固信息化在企业发展中的战略地位,真正发挥信息技术的核心价值。 二、企业IT审计 IT审计是指客观独立的第三方对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否有效、安全、可靠,是否有效的保护资产、完成组织目标、保证数据完整,保证信息系统得出准确可靠的数据。IT风险是企业管理层亟待关注与控制的重要领域,而IT审计正是帮助企业识别IT风险与相关控制、评价控制的效果,进而发现内部控制不足并及时改善、规避IT风险的活动。企业需要对IT风险有一套行之有效的控制体系从而将IT风险降低到可以容忍的范围,通过实施相应的IT审计,有效规避和消除IT风险。 (一)IT审计内容 1.IT系统建设审计。通过开展系统实施前审计、实施中审计和实施后审计,能够在系统设计时验证系统的功能与用户需求的一致性,监督系统的开发或实施过程是否受到良好的控制(时间、成本与目标/质量可控)以及系统安全性,确保实施后的培训工作充分到位。 2.业务流程控制审计。通过实施业务流程的IT应用控制审计,梳理业务流程中的风险点与对应控制点,发现其中缺失的关键IT控制,能对已有的IT控制的有效性做出评估,从而就目前业务流程中的IT应用控制对风险的控制程度情况做出整体评价,并提出可能的改进建议。 3.系统控制效果审计。通过对IT一般控制审计,检查及验证IT一般控制层面的管理设计是否合理、有效,从而保障信息系统具备良好的基本控制和安全环境。结合关键应用层面IT控制的审计,如账单处理流程中的系统自动控制、系统生成财务报表过程中的自动计算等,以保证关键IT应用中的控制有效。 (二)IT审计标准 为了保证审计结果的客观性和权威性,IT审计人员必须采用一套公认的、权威的审计标准作为实施IT审计的基本准则和实施依据。IT审计标准应包括两方面:一是关于IT审计本身如何开展,如审计对象、审计方式、审计流程等。二是IT审计时判定审计对象是否符合要求的标准,应包含国家规定、行业规定、企业内部制度规范等。 在众多的国际和国内IT审计标准中,一般以COSO为IT管控的主要框架,将IT控制环境分为控制、技术、流程、组织架构和角色、人员和指标体系六个控制层面。而IT审计也一般根据COSO的IT管控体系,对每个层面采用不同的标准来建立IT审计框架,如图1所示。