管理流程E化之后的風險 IT審計任務與使命

2014-11-08 22:39:43 大云網　點擊量：評論 (0)

　90年代末期至今，國內商業銀行一直在持續的進行信息系統建設，90%以上的商業銀行都已經應用信息系統來實現對客戶的服務。根據相關統計數據，針對國內商業銀行，硬件網絡平臺已經實現了100%的應用；軟件應用已經

　90年代末期至今，國內商業銀行一直在持續的進行信息系統建設，90%以上的商業銀行都已經應用信息系統來實現對客戶的服務。根據相關統計數據，針對國內商業銀行，硬件網絡平臺已經實現了100%的應用；軟件應用已經覆蓋了80%以上的商業銀行業務；部分商業銀行在管理信息化方面也陸續的完成信貸管理、財務管理等管理信息系統的建設。隨著商業銀行信息化建設的進一步完善，商業銀行對IT系統的依賴也越來越強。

　　但是，在商業銀行IT建設的背后，也應該看到一個事實，商業銀行的經營業務的本身蘊藏著巨大的風險。在實現由手工操作到電子化過程中，降低了人為的風險，但同時也帶來了巨大的IT風險。根據《巴塞爾協議》的相關規定，系統失效是銀行風險重要組成部分。國外相關統計數據表明，一些銀行系統失效風險損失占到總風險損失的10%-20%.國內商業銀行必須看到面臨的IT系統相關風險在逐漸增大。

　　以上只是從銀行業方面反應出來的問題，其他行業如保險，電信也存在著同樣的問題：誰來管理流程E化之后的風險？為了解決這一問題，通過IT審計，及時識別IT風險，完善控制措施勢在必行。

　　IT審計又稱信息系統審計，是指獨立的IT審計師或審計機構采用客觀的標準對以計算機為核心的信息系統的整個生命周期內的相關的活動和產物進行完整地、有效地檢查和評估，以追求系統的有效利用和故障排除，使系統更加健全。

　　隨著計算機技術的迅速發展，人類社會的信息化程度越來越高，整個社會的政治、經濟、軍事、文化以及其他領域對計算機信息系統的依賴程度也越來越高。在這種狀況下，計算機信息系統的安全性、穩定性、有效性得到了人們越來越多關注。進行獨立的、有效的IT審計成為了檢驗信息系統的一個必要手段。IT審計就是在這種背景下開始發展、成熟，并走向了普及。

　　一般來說，IT審計的任務與使命可以概括為三個方面：

　　一是確保IT項目管理風險控制在合理水平；

　　二是確保業務流程中與IT相關風險控制在可接受水平；

　　三是確保信息和信息系統的安全。

　　三個方面既涉及戰略風險，也涉及操作風險。

　　在過去的幾年內，美國注冊會計師協會（AICPA）下屬的審計準則委員會（ASB）一直關注IT對獨立審計的影響。2001年4月，ASB發布了第94號準則：《IT對CPA評價內部控制的影響》，該準則是作為SAS（審計準則公告） no.55的“補丁公告”推出的，它對下列三方面問題做出了規范：IT對企業內部控制的影響；IT對CPA了解內部控制的影響；IT對CPA評價審計風險的影響。SAS no.94將于2001年6月1日開始執行。

　　針對審計效率工作小組（ASB的下設機構）提出的若干提高審計效率的建議，ASB除了推出SAS no.94之外，還在計劃著手修訂現有的審計準則。與之相適應，美國注冊會計師協會正考慮修訂《審計指南——財務報表審計中關于內部控制的評價》以反映SAS no.94及其未來進展。因此，我們可以這樣說，通過對IT審計中遇到的系統類型、內部控制和審計證據等問題進行規范，SAS no.94將審計執業水平推向一個新的高度。在這個意義上，它無疑是整個審計準則演進過程中的重要一步。

　　SAS no.94在總則中明確提醒執業注冊會計師（CPA）：該準則不僅適用于IT系統復雜，規模龐大的企業，同時也適用于中小規模的企業，其原因在于IT對內部控制的影響源自IT系統本身的屬性及其影響的復雜性，而并非企業規模的大小。

　　可見國外對IT審計已經非常的重視，那么在實際中哪些行業最需要IT審計呢？總結下來，主要有三個領域：

　　一是軟件供應商需要，特別是經濟管理類的集成軟件供應商，他們需要IT審計師參與產品設計、規劃和檢測，對客戶現有信息系統進行評價，并提出改造設想。全球所有重要的ERP和CRM產品供應商都聘請大量信息系統審計師。

　　二會計公司需要。“五大”國際會計公司超過30%的收入來自于風險管理部門，這個部門的最主要工作就是監控客戶的信息系統風險和運營風險，同時為客戶提供ERP或CRE的安裝、維護和培訓。會計師事務所中傳統財務報表審計也越來越離不開IT審計的貢獻，沒有他們的工作，評估內部控制風險和企業固有風險將成為一句空話。

　　三是大型企業需要。作為信息系統最集中的用戶，大型企業急需進行IT審計，一方面可以有外來專業人士參與信息化建設的過程，另一方面時刻保持對分支機構的信息監控。還有一種最新跡象表明，大型企業內部審計部門也在大量招聘信息系統審計師，以加強對內部的監督和牽制。

　　對了迎接IT審計所帶來的挑戰，一個全新的行業IT審計師已經誕生。CISA是國際注冊信息系統審計師的簡稱，又稱IT審計師，目前在全球有2萬人，在中國大陸不超過10人。，國家審計署的一位年青官員成為中國內地通過考試獲取該資格的第一人。

　　據專家介紹，國際信息系統審計師（簡稱IT審計師）目前已經成為全球范圍最搶手的高級人才，這些人才一般都具備全面的計算機軟硬件知識，對網絡和系統安全有獨特的敏感性，并且對財務會計和單位內部控制有深刻的理解。隨著計算機技術在管理中的廣泛運用，傳統的控制、管理、檢查和審計技術都受到巨大的挑戰，國際會計公司、專業咨詢公司和高級管理顧問都將控制風險，特別是控制計算機環境風險和信息系統運行風險作為管理咨詢和服務的重點。幾乎所有的大型跨國公司，由于普遍使用大型管理信息系統，都非常重視對信息系統安全和穩定性的控制，常常高薪聘請IT審計師進行內部審計。

　　公司的流程需要E化，這是不容置疑的事實。但是當今世界是信息化時代，信息系統受到各種各樣的威脅，如沒有安全對策，系統是相當脆弱的。信息系統的可靠性、安全性與效率的確保是極其重要的，而這一切也是為企業的經營者考慮。隨著信息化實施風險的加大，計算機信息系統的安全性、穩定性、有效性得到了人們越來越多關注。進行獨立的、有效的IT審計成為了檢驗信息系統的一個必要手段。一些在海外上市的企業開始利用IT審計進行風險評估，加強對信息化投資的效益管理。在國外上市公司制度中，已經把IT審計列入必要項目。所以，IT審計勢在必行，而且應由具有信息技術與審計兩方面知識與能力的IT審計師對信息系統進行檢查與評價，將其結果向企業經營者報告。企業經營者即使對信息系統不精通，按照IT審計報告也能像黑盒子一樣理解信息系統及與之相關聯的業務，使之間接把握信息系統成為可能。

　　目前，許多企業開始從投資的觀念看待信息化，把科學投資當作信息化成功經驗；發展趨勢表明，高風險正成為信息化進一步發展面對的難題，建設有效益的信息化，不僅要有效創造效益，還要有效控制風險。