2017-03-25 17:30
任何技术都是“双刃剑”,信息系统给社会带来巨大便利的同时,也往往会被“不法分子”所利用,如何杜绝这类现象,如何防止信息系统因为自身的缺陷给社会蒙受巨大损失,这是我们面临的一个新课题。
审计(包括外部审计与内部审计)通常负有向管理层提供咨询的责任,以帮助确保企业内部存在适当的内部控制,将主要风险控制到一个可接受的合理水平。
IT审计是伴随着IT的飞速发展而产生的。当前,IT应用的进步导致了需要有专门的内部控制措施才能控制新的风险。这就需要新的技术来评估控制的有效性,确保企业数据以及生成这些数据的信息系统的安全。
目前还没有一个IT审计的权威定义。IT审计一般指对信息系统的规划、开发、实施、运行和维护等各个环节进行评价,确保与IT相关的风险控制在可接受水平的过程。
IT审计要回答什么
与一般的审计一样,IT审计的任务与使命也是通过评价内部控制,确保风险控制在可接受的水平。
但与一般审计不同的是,IT审计除了关注操作层面的风险外,还应关注战略层面的风险,因为IT已经成为企业的战略问题。
另外,IT审计关注的风险主要与IT相关。具体来讲,IT审计的任务与使命可以概括为三个方面:
一是确保IT项目管理风险控制在合理水平;
二是确保业务流程中与IT相关风险控制在可接受水平;
三是确保信息和信息系统的安全。
三个方面既涉及战略风险,也涉及操作风险。
第一要务:IT项目管理风险“控制阀”
为了维持并提高竞争力,企业在持续地维持并更新现有的信息系统,并持续地开发和应用新的信息系统。
资料研究表明,我国企业每年IT投入近万亿元,每年仅在ERP项目上的投资就超过80亿元。以信息化程度名列前茅的金融业为例,2004年,全国金融业IT投资规模达到248.85亿元,比2003年的237亿元增长5.0%,其中银行业IT投资规模达到212.35亿元,比2003年的200亿元增长6.2%。大集中处理系统、客户关系管理系统和网上交易系统等,已成为金融企业IT建设的热门话题。
但是,IT项目完全成功的企业寥寥无几,要么延期完成项目,要么超过预算,要么功能不足,甚至完全失败,IT投资正陷入巨大的“黑洞”。据Gartner集团2002年对北美IT业1375家公司的调查发现,大约有40%的IT项目没有达到预期的结果,研究还发现一个原计划27周的IT项目在仅仅持续了14周后被取消。在我国,有人估计80%的系统失败或未达到预期目标,某证券公司花巨资建设的大集中系统半途夭折就是一个典型例子。
与IT项目相关的风险包括:IT项目与企业目标不一致、IT项目部分或全部失败、开发商倒闭、与开发商的合同存在的风险、项目外包风险和财务风险等。
IT审计的第一个任务与使命,就是通过评价IT项目管理过程中内部控制的适当性,确保风险控制在合理水平。
例如,IT项目与企业目标不一致的风险实际上涉及到IT的战略问题。要解决好IT的战略问题,就要解决两个动态过程的匹配问题,一是变化很快的企业环境,二是更新很快的信息技术。
两者的匹配又和诸多问题相关,如企业选择IT的目的,主要为了提高效率,还是主要为了提高响应速度?还是主要为了引入新产品?由于IT的战略问题,对IT已不能局限于管理,应当上升到治理,根据公司治理的要求,董事会应当对IT治理负最终责任。IT审计师通过评价内部控制的适当性,如董事会是否在确定IT战略过程中发挥了应有的作用,帮助企业将风险控制到合理水平。
第二要务:业务流程与IT相关风险“调控钮”
业务流程再造(Business Process Reengineering, 简称BPR)是企业为了在现代经营环境中求得生存和发展,应对竞争和顾客需求双重压力的一个措施。业务流程再造通过对系统过程的自动化,减少人工干预和控制,满足顾客需求,实现成本节约,其特征是:根本性的思考,彻底的再设计,使企业效益获得巨大的提高。
IT与业务流程再造是密不可分的,业务流程再造通常需要借助IT加以实现,如果没有IT的支持,就无法达到业务流程的再造;IT项目也一般需要业务流程再造才能成功实施,因为业务流程再造是IT的内在驱动力。人们对业务流程再造的最大担忧就是,企业流程中的主要控制会在提高效率的再造过程中被削弱甚至完全消失,从而给企业带来风险。
效率和控制往往是一对矛盾,而削弱控制则容易带来风险。因此需要在效率和控制之间找到一个平衡,或者在削弱原有控制提高效率的同时,需要找到补偿控制。
IT审计师的任务和使命就是要识别原有业务流程中的主要控制,评价这些主要控制被削弱或消失后的影响,向企业领导层提出建议,确保通过实施IT项目进行业务流程再造后,企业风险控制在可接受的水平。
第三要务:信息和信息系统安全的“护航者”
在信息社会,信息和产生该信息的信息系统是企业的重要资产,这已经得到社会的广泛认同。但是,信息和信息系统的安全问题却异常严峻,病毒、木马、逻辑炮弹、蠕虫、非授权访问、网络拒绝服务、计算机犯罪等,各种安全威胁应有尽有。
根据美国计算机安全事件响应组协调中心(CERT)统计,1988年至2003年报告的安全事件总计319992件,其中1998年为6件,2003年增至137529件。
信息资产的安全问题是一个极其复杂的问题,涉及到技术、法律、管理等诸多方面。IT审计在信息安全方面的任务和使命,就是通过评价相关的内部控制的适当性,确保信息资产的安全,包括保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。
需要说明的是,IT审计并不能代替IT管理的责任,IT审计应当是独立于IT管理的一种监督过程。但是,IT审计确实能够为企业增加价值。
作者简介:刘济平,中国光大集团审计部副主任,南开大学经济学硕士(会计与审计专业),英国Strathclyde大学理学硕士(商务信息技术系统专业);注册信息系统审计师(CISA),注册内部审计师(CIA),国际信息系统审计与控制协会会员,国际内部审计师协会会员,中国内部审计协会常务理事。曾在国家审计署任处长,1996年在英国国家审计署工作进修。