分析企業(yè)IT風(fēng)險(xiǎn)控制與審計(jì)實(shí)務(wù)的論文

　　風(fēng)險(xiǎn)控制是公司IT治理機(jī)制的一個(gè)重要組成部分，在信息化建設(shè)中，需要管理與控制各種風(fēng)險(xiǎn)，以便達(dá)到保護(hù)IT投資、維持系統(tǒng)持續(xù)運(yùn)行的目的。以風(fēng)險(xiǎn)為導(dǎo)向的審計(jì)是合理規(guī)避IT風(fēng)險(xiǎn)的一種有效途徑，在大型企業(yè)中舉足輕重。企業(yè)IT風(fēng)險(xiǎn)控制與審計(jì)需要在充分考慮企業(yè)IT系統(tǒng)狀況、IT治理結(jié)構(gòu)以及IT審計(jì)資源的基礎(chǔ)上，借鑒與吸收國(guó)際相關(guān)企業(yè)IT審計(jì)的領(lǐng)先實(shí)踐，全面提高IT審計(jì)水平和IT審計(jì)人員素質(zhì)，有效規(guī)避IT風(fēng)險(xiǎn)，為企業(yè)的未來發(fā)展保駕護(hù)航。

　　一、IT治理與風(fēng)險(xiǎn)管理

　　IT治理是一種引導(dǎo)和控制企業(yè)各種關(guān)系和流程的結(jié)構(gòu)，確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運(yùn)營(yíng)管理機(jī)制和監(jiān)督實(shí)務(wù)，以達(dá)到公司治理中對(duì)IT方面的要求，旨在通過平衡信息技術(shù)及其流程中的風(fēng)險(xiǎn)和收益，增加價(jià)值，以實(shí)現(xiàn)企業(yè)目標(biāo)。IT治理是企業(yè)治理結(jié)構(gòu)中不可或缺的一部分，而相關(guān)的IT治理流程則可確保企業(yè)IT目標(biāo)與業(yè)務(wù)目標(biāo)保持一致，并可持續(xù)發(fā)展。因此，IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致，使IT發(fā)揮更大的作用、創(chuàng)造更多的價(jià)值，實(shí)現(xiàn)公司價(jià)值和利益的最大化。

　　IT治理領(lǐng)域中，首重策略、組織架構(gòu)、政策與內(nèi)部流程�？刂骑L(fēng)險(xiǎn)、績(jī)效評(píng)量與提供價(jià)值則為組織架構(gòu)中關(guān)注的焦點(diǎn)。同時(shí)，IT治理牽涉的范疇，包含：IT服務(wù)提供、IT服務(wù)支援、營(yíng)運(yùn)業(yè)務(wù)展望、基礎(chǔ)建設(shè)管理與應(yīng)用管理。其不同視角的IT治理作用如下表。

　　保證所有的缺陷都已被控制所覆蓋利用風(fēng)險(xiǎn)控制與審計(jì)策略管理IT風(fēng)險(xiǎn)，要求企業(yè)的高層管理者具備良好的風(fēng)險(xiǎn)意識(shí)，清晰了解企業(yè)對(duì)風(fēng)險(xiǎn)的態(tài)度，了解合規(guī)性要求，將風(fēng)險(xiǎn)管理的職責(zé)嵌入組織架構(gòu)設(shè)計(jì)中，圍繞信息化戰(zhàn)略目標(biāo)構(gòu)建全面風(fēng)險(xiǎn)管理體系以進(jìn)行有效的風(fēng)險(xiǎn)管理與控制。

　　二、IT風(fēng)險(xiǎn)管理體系

　　基于IT治理的IT風(fēng)險(xiǎn)管理需要執(zhí)行一整套風(fēng)險(xiǎn)管理程序，必須建立風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析與評(píng)估、風(fēng)險(xiǎn)規(guī)避與應(yīng)對(duì)、風(fēng)險(xiǎn)監(jiān)控等流程并嚴(yán)格執(zhí)行。從操作層面上分析，IT風(fēng)險(xiǎn)管理中對(duì)IT風(fēng)險(xiǎn)的控制與審計(jì)是風(fēng)險(xiǎn)管理中的兩個(gè)重要環(huán)節(jié)：

　　（一）IT控制

　　IT控制就是在治理結(jié)構(gòu)下，為實(shí)現(xiàn)組織的目標(biāo)提供合理保證而實(shí)施的一系列政策和程序，內(nèi)部控制是一個(gè)持續(xù)的過程，為了保證組織經(jīng)營(yíng)的效率和效果、財(cái)務(wù)報(bào)告的可靠性以及對(duì)有關(guān)法律和規(guī)章制度的遵循等情況下評(píng)估風(fēng)險(xiǎn)并設(shè)計(jì)、實(shí)施和持續(xù)監(jiān)督控制措施�？梢钥闯鯥T控制的主要目的是建立一個(gè)可持續(xù)監(jiān)控的控制環(huán)境使組織風(fēng)險(xiǎn)可識(shí)別、可控、可管理。

　　風(fēng)險(xiǎn)控制是指控制風(fēng)險(xiǎn)事件發(fā)生的動(dòng)因、環(huán)境、條件等，來達(dá)到減輕風(fēng)險(xiǎn)事件發(fā)生時(shí)的損失或降低風(fēng)險(xiǎn)事件發(fā)生的概率的目的。風(fēng)險(xiǎn)無法徹底消除，僅能降低、控制與移轉(zhuǎn)，對(duì)于殘余風(fēng)險(xiǎn)，企業(yè)需自行審視可接受的程度。然而，在進(jìn)行風(fēng)險(xiǎn)控制活動(dòng)前，需先進(jìn)行風(fēng)險(xiǎn)評(píng)估，對(duì)于潛在影響的弱點(diǎn)與威脅臚列出來，并分析評(píng)估矯正的優(yōu)先程序，然后再針對(duì)風(fēng)險(xiǎn)，設(shè)計(jì)有關(guān)的預(yù)防性、檢查性與糾正性的控制�？刂频脑O(shè)計(jì)，應(yīng)該就風(fēng)險(xiǎn)評(píng)估后的結(jié)果，因此，完整的風(fēng)險(xiǎn)評(píng)估作業(yè)，是極為重要的，不好的風(fēng)險(xiǎn)評(píng)估會(huì)影響后續(xù)控制設(shè)計(jì)，甚至于控制執(zhí)行的落實(shí)程度。當(dāng)控制設(shè)計(jì)完成后，需再次檢視相對(duì)應(yīng)的管理政策與辦法是否足夠滿足控制的目標(biāo)，倘若現(xiàn)有管理政策文件無法滿足控制目標(biāo)的要求，應(yīng)立即進(jìn)行增修作業(yè)，務(wù)必達(dá)到與現(xiàn)有作業(yè)機(jī)制一致的目標(biāo)。

　　隨著組織的發(fā)展對(duì)IT的依賴日趨明顯，內(nèi)部原有業(yè)務(wù)和管理風(fēng)險(xiǎn)特征由于信息系統(tǒng)越來越廣泛的運(yùn)用而出現(xiàn)了變化，業(yè)務(wù)對(duì)信息系統(tǒng)的依賴性增加，因此必須建立起有效的風(fēng)險(xiǎn)控制體系。管理層應(yīng)從基本的內(nèi)部控制環(huán)境著手建置，從一般信息技術(shù)控制環(huán)境到業(yè)務(wù)流程中的內(nèi)部控制環(huán)境，其中應(yīng)思考系統(tǒng)控制與人工控制緊密結(jié)合的協(xié)調(diào)性與完整性。

　�。ǘ�）IT審計(jì)

　　IT審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)的過程，主要是判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整性、有效率利用組織的資源、有效果地實(shí)現(xiàn)組織目標(biāo)地過程。

　　IT審計(jì)是監(jiān)視和評(píng)審IT控制措施的執(zhí)行情況和有效性的主要手段之一，可以從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，對(duì)實(shí)施和運(yùn)行的控制措施進(jìn)行持續(xù)監(jiān)控，以管理組織的業(yè)務(wù)風(fēng)險(xiǎn)。

　　IT審計(jì)可以作為符合法律、法規(guī)以及管理要求的控制手段，可以證明管理層建立并維護(hù)了恰當(dāng)?shù)膬?nèi)控措施；可以提供證據(jù)說明業(yè)務(wù)相關(guān)數(shù)據(jù)的完整性，以及可以證明具備合法權(quán)限的人正確訪問數(shù)據(jù)；可以提供報(bào)警和審計(jì)報(bào)告確保管理層知道重大信息和任何變更；IT審計(jì)可以圍繞數(shù)據(jù)提供報(bào)告用于合規(guī)性評(píng)估，降低遵從成本。作為組織IT風(fēng)險(xiǎn)控制的最后防線，IT審計(jì)為組織進(jìn)行風(fēng)險(xiǎn)防范，提高設(shè)計(jì)正確性和加強(qiáng)應(yīng)用的管理控制提供建議。

　�。ㄈ�）IT治理、IT控制與IT審計(jì)之間的聯(lián)系

　　IT治理是為組織建立一個(gè)長(zhǎng)效的均衡的治理結(jié)構(gòu)，在風(fēng)險(xiǎn)可控的環(huán)境下保證組織獲益。均衡的環(huán)境在滿足組織外部約束的同時(shí)需要考慮如何降低成本、提高股東收益、滿足客戶要求以及建立良好的社會(huì)形象等條件下不斷調(diào)整變化而達(dá)到的，因此IT治理側(cè)重于宏觀決策方面，要做哪些事，由誰來做這些事，以及如何建立決策機(jī)制、如何進(jìn)行有效監(jiān)控等。

　　IT控制就是在這樣的治理結(jié)構(gòu)下，為實(shí)現(xiàn)組織的目標(biāo)提供合理保證而實(shí)施的一系列政策和程序，內(nèi)部控制是一個(gè)持續(xù)的過程，為了保證組織經(jīng)營(yíng)的效率和效果、財(cái)務(wù)報(bào)告的可靠性以及對(duì)有關(guān)法律和規(guī)章制度的遵循等情況下評(píng)估風(fēng)險(xiǎn)并設(shè)計(jì)、實(shí)施和持續(xù)監(jiān)督控制措施。可以看出IT控制的主要目的是建立一個(gè)可持續(xù)監(jiān)控的控制環(huán)境使組織風(fēng)險(xiǎn)可識(shí)別、可控、可管理。IT審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)的過程，主要目標(biāo)就是對(duì)組織實(shí)施的風(fēng)險(xiǎn)管理環(huán)境和控制環(huán)境的保證措施進(jìn)行識(shí)別和評(píng)估，判斷管理層關(guān)于控制的聲明是否是可靠的，所以審計(jì)必須保持其獨(dú)立性，以第三方客觀的立場(chǎng)進(jìn)行檢查和評(píng)價(jià)。

　　IT治理、IT控制以及IT審計(jì)之間既有聯(lián)系又有區(qū)別。共同的關(guān)注點(diǎn)在于風(fēng)險(xiǎn)與保證。風(fēng)險(xiǎn)管理的主要目標(biāo)是為了保證組織經(jīng)營(yíng)的效率和效果、財(cái)務(wù)報(bào)告的可靠性以及對(duì)有關(guān)法律和規(guī)章制度的遵循。保證，主要來自一系列相互依存的控制政策與程序，以及評(píng)價(jià)控制有效性的證據(jù)，這些證據(jù)可以證明控制是連續(xù)和充分的。IT治理要明確目標(biāo)與方向，為IT控制環(huán)境與活動(dòng)設(shè)定明確的目標(biāo)。IT控制要建立一個(gè)完整的，具有彈性的內(nèi)部控制體系，應(yīng)對(duì)組織面臨的各種風(fēng)險(xiǎn)挑戰(zhàn)和意外事件。IT審計(jì)是獲取與IT控制和保證措施相關(guān)的證據(jù)，評(píng)估IT控制的有效性、評(píng)價(jià)IT績(jī)效及IT戰(zhàn)略與業(yè)務(wù)目標(biāo)的符合程度。

　　IT治理必須在風(fēng)險(xiǎn)與利益之間找到均衡，通過IT審計(jì)不斷促進(jìn)調(diào)整IT控制環(huán)境，使組織在風(fēng)險(xiǎn)可識(shí)別、可控、可管理的環(huán)境下保證組織利益最大化。

　　三、企業(yè)IT風(fēng)險(xiǎn)控制與審計(jì)實(shí)務(wù)

　�。ㄒ唬┙M織框架

　　企業(yè)IT風(fēng)險(xiǎn)管理組織框架應(yīng)當(dāng)從“決策—管理—執(zhí)行”三個(gè)層面設(shè)立風(fēng)險(xiǎn)管理職能，并輔以審計(jì)監(jiān)督機(jī)制。

　　決策機(jī)構(gòu)，通常以風(fēng)險(xiǎn)管理委員會(huì)的`形式，行使風(fēng)險(xiǎn)管理的決策、風(fēng)險(xiǎn)管理政策的制定與批準(zhǔn)等職能。

　　管理機(jī)構(gòu)通常為設(shè)置為風(fēng)險(xiǎn)管理委員會(huì)下的職能機(jī)構(gòu)，如風(fēng)險(xiǎn)管理部，是風(fēng)險(xiǎn)管理政策的執(zhí)行部門，負(fù)責(zé)根據(jù)風(fēng)險(xiǎn)管理的規(guī)章制度，協(xié)調(diào)各執(zhí)行機(jī)構(gòu)的關(guān)系，推動(dòng)風(fēng)險(xiǎn)管理措施的實(shí)施。

　　風(fēng)險(xiǎn)管理政策與措施的執(zhí)行是由信息技術(shù)部門、相關(guān)業(yè)務(wù)部門等涉及到IT及其安全運(yùn)作的部門具體實(shí)施，尤其是信息技術(shù)部門承擔(dān)大部分的IT風(fēng)險(xiǎn)管理政策、技術(shù)的實(shí)施。

　　IT審計(jì)部門作為IT風(fēng)險(xiǎn)管理的監(jiān)督與審計(jì)部門，負(fù)責(zé)檢查、評(píng)估企業(yè)IT風(fēng)險(xiǎn)管理戰(zhàn)略、政策、組織與實(shí)施的有效性，并提出管理建議。

　　（二）IT控制與審計(jì)規(guī)范

　　企業(yè)IT控制規(guī)范可以參考財(cái)政部等五部委聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》及配套指引，建立有效的IT內(nèi)部控制框架內(nèi)，從公司內(nèi)部控制層面、信息技術(shù)整體層面、業(yè)務(wù)流程層面等建立控制規(guī)范。企業(yè)IT控制以風(fēng)險(xiǎn)為導(dǎo)向，規(guī)范企業(yè)組織結(jié)構(gòu)、明確崗位權(quán)利責(zé)任分配，建立科學(xué)的績(jī)效考核體系和制度，提升企業(yè)風(fēng)險(xiǎn)管理和應(yīng)對(duì)能力，通過風(fēng)險(xiǎn)評(píng)估對(duì)企業(yè)內(nèi)部控制體系進(jìn)行持續(xù)評(píng)價(jià)和改進(jìn)，最終建立配套信息系統(tǒng)，實(shí)現(xiàn)內(nèi)控體系的信息化落地。從風(fēng)險(xiǎn)的角度去審視內(nèi)部控制有沒有做好；通過對(duì)績(jī)效指標(biāo)的監(jiān)控去實(shí)時(shí)檢測(cè)有沒有風(fēng)險(xiǎn)發(fā)生，然后再去找到企業(yè)的缺陷漏洞；最后通過信息系統(tǒng)將這個(gè)體系落地執(zhí)行。

　　企業(yè)風(fēng)險(xiǎn)管理體系的控制層面上，內(nèi)部審計(jì)發(fā)揮著重要的作用，以風(fēng)險(xiǎn)為導(dǎo)向的審計(jì)是合理規(guī)避IT風(fēng)險(xiǎn)的一種有效途徑。IT審計(jì)應(yīng)當(dāng)建立一套完整的審計(jì)標(biāo)準(zhǔn)、規(guī)范，并提供可供參考的IT審計(jì)指南與實(shí)施細(xì)則。企業(yè)IT審計(jì)應(yīng)當(dāng)在內(nèi)部審計(jì)總體框架下開展，在制定內(nèi)部審計(jì)章程時(shí)要體現(xiàn)信息化條件下內(nèi)部審計(jì)工作的特點(diǎn)，制定有關(guān)IT審計(jì)的規(guī)范與要求，必要時(shí)可進(jìn)一步制定IT審計(jì)工作規(guī)范。

　　IT審計(jì)是信息技術(shù)條件下的內(nèi)部審計(jì)，具有較強(qiáng)的操作性要求，參考各行業(yè)的內(nèi)部審計(jì)工作經(jīng)驗(yàn)，吸收國(guó)家審計(jì)機(jī)關(guān)的制度與操作指南，可以從IT整體控制審計(jì)、應(yīng)用控制審計(jì)兩個(gè)方面編制實(shí)施細(xì)則。

　　1.IT整體控制審計(jì)——確保程序和數(shù)據(jù)文件的完整性、確保信息系統(tǒng)良好運(yùn)行。審計(jì)內(nèi)容包括IT基礎(chǔ)設(shè)施、系統(tǒng)開發(fā)、系統(tǒng)運(yùn)行與維護(hù)、變更控制、網(wǎng)絡(luò)安全控制、訪問控制等普遍適用于所有的應(yīng)用系統(tǒng)的控制。

　　2.應(yīng)用控制審計(jì)——應(yīng)用控制與特定的應(yīng)用程序有關(guān)，設(shè)計(jì)應(yīng)用控制是為了應(yīng)對(duì)威脅應(yīng)用系統(tǒng)的潛在風(fēng)險(xiǎn)，確保應(yīng)用系統(tǒng)處理數(shù)據(jù)的有效正確而實(shí)施的控制。應(yīng)用控制審計(jì)主要包括業(yè)務(wù)流程控制審計(jì)、數(shù)據(jù)輸入處理輸出審計(jì)，提供業(yè)務(wù)信息完整性、準(zhǔn)確性、有效性、可用性保證。

　　此外，企業(yè)的信息化規(guī)劃應(yīng)當(dāng)在充分考慮風(fēng)險(xiǎn)管理與審計(jì)需求的基礎(chǔ)上，建立并完善信息化審計(jì)工作平臺(tái)，充分利用信息技術(shù)推進(jìn)IT審計(jì)服務(wù)于企業(yè)治理與全面風(fēng)險(xiǎn)管理，實(shí)現(xiàn)價(jià)值增值。

　　四、小結(jié)

　　企業(yè)IT風(fēng)險(xiǎn)控制與審計(jì)是IT治理中的重要內(nèi)容，本文提出的基于IT治理框架的風(fēng)險(xiǎn)控制與審計(jì)體系在企業(yè)IT管理實(shí)務(wù)中發(fā)揮一定的作用，如何更深入地探究IT風(fēng)險(xiǎn)控制與審計(jì)及其作用機(jī)制、績(jī)效評(píng)價(jià)等，還需要結(jié)合我國(guó)企業(yè)管理現(xiàn)狀進(jìn)一步展開研究。

【分析企業(yè)IT風(fēng)險(xiǎn)控制與審計(jì)實(shí)務(wù)的論文】相關(guān)文章：

1.企業(yè)內(nèi)部控制審計(jì)風(fēng)險(xiǎn)控制論文

2.施工企業(yè)財(cái)務(wù)風(fēng)險(xiǎn)管理的分析與控制論文

3.內(nèi)部控制質(zhì)量與財(cái)務(wù)風(fēng)險(xiǎn)分析論文

4.企業(yè)風(fēng)險(xiǎn)管理內(nèi)部審計(jì)作用分析論文

5.獨(dú)立原則與審計(jì)風(fēng)險(xiǎn)控制經(jīng)濟(jì)論文

6.審計(jì)風(fēng)險(xiǎn)的防范與控制2017

7.企業(yè)內(nèi)部控制與風(fēng)險(xiǎn)管理分析

8.有效控制電力企業(yè)經(jīng)濟(jì)責(zé)任審計(jì)風(fēng)險(xiǎn)分析論文