誰(shuí)來(lái)管理流程E化之后的風(fēng)險(xiǎn)？

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

90年代末期至今，國(guó)內(nèi)商業(yè)銀行一直在持續(xù)的進(jìn)行信息系統(tǒng)建設(shè)，90%以上的商業(yè)銀行都已經(jīng)應(yīng)用信息系統(tǒng)來(lái)實(shí)現(xiàn)對(duì)客戶的服務(wù)。根據(jù)相關(guān)統(tǒng)計(jì)數(shù)據(jù)，針對(duì)國(guó)內(nèi)商業(yè)銀行，硬件網(wǎng)絡(luò)平臺(tái)已經(jīng)實(shí)現(xiàn)了100%的應(yīng)用；軟件應(yīng)用已經(jīng)覆蓋了80%以上的商業(yè)銀行業(yè)務(wù)；部分商業(yè)銀行在管理信息化方面也陸續(xù)的完成信貸管理、財(cái)務(wù)管理等管理信息系統(tǒng)的建設(shè)。隨著商業(yè)銀行信息化建設(shè)的進(jìn)一步完善，商業(yè)銀行對(duì)IT系統(tǒng)的依賴也越來(lái)越強(qiáng)。

但是，在商業(yè)銀行IT建設(shè)的背后，也應(yīng)該看到一個(gè)事實(shí)，商業(yè)銀行的經(jīng)營(yíng)業(yè)務(wù)的本身蘊(yùn)藏著巨大的風(fēng)險(xiǎn)。在實(shí)現(xiàn)由手工操作到電子化過(guò)程中，降低了人為的風(fēng)險(xiǎn)，但同時(shí)也帶來(lái)了巨大的IT風(fēng)險(xiǎn)。根據(jù)《巴塞爾協(xié)議》的相關(guān)規(guī)定，系統(tǒng)失效是銀行風(fēng)險(xiǎn)重要組成部分。國(guó)外相關(guān)統(tǒng)計(jì)數(shù)據(jù)表明，一些銀行系統(tǒng)失效風(fēng)險(xiǎn)損失占到總風(fēng)險(xiǎn)損失的10%-20%.國(guó)內(nèi)商業(yè)銀行必須看到面臨的IT系統(tǒng)相關(guān)風(fēng)險(xiǎn)在逐漸增大。

以上只是從銀行業(yè)方面反應(yīng)出來(lái)的問(wèn)題，其他行業(yè)如保險(xiǎn)，電信也存在著同樣的問(wèn)題：誰(shuí)來(lái)管理流程E化之后的風(fēng)險(xiǎn)？為了解決這一問(wèn)題，通過(guò)IT審計(jì)，及時(shí)識(shí)別IT風(fēng)險(xiǎn)，完善控制措施勢(shì)在必行。

IT審計(jì)又稱信息系統(tǒng)審計(jì)，是指獨(dú)立的IT審計(jì)師或?qū)徲?jì)機(jī)構(gòu)采用客觀的標(biāo)準(zhǔn)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)的整個(gè)生命周期內(nèi)的相關(guān)的活動(dòng)和產(chǎn)物進(jìn)行完整地、有效地檢查和評(píng)估，以追求系統(tǒng)的有效利用和故障排除，使系統(tǒng)更加健全。
     隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展，人類社會(huì)的信息化程度越來(lái)越高，整個(gè)社會(huì)的政治、經(jīng)濟(jì)、軍事、文化以及其他領(lǐng)域?qū)τ?jì)算機(jī)信息系統(tǒng)的依賴程度也越來(lái)越高。在這種狀況下，計(jì)算機(jī)信息系統(tǒng)的安全性、穩(wěn)定性、有效性得到了人們?cè)絹?lái)越多關(guān)注。進(jìn)行獨(dú)立的、有效的IT審計(jì)成為了檢驗(yàn)信息系統(tǒng)的一個(gè)必要手段。IT審計(jì)就是在這種背景下開始發(fā)展、成熟，并走向了普及。

一般來(lái)說(shuō)，IT審計(jì)的任務(wù)與使命可以概括為三個(gè)方面：

一是確保IT項(xiàng)目管理風(fēng)險(xiǎn)控制在合理水平；

二是確保業(yè)務(wù)流程中與IT相關(guān)風(fēng)險(xiǎn)控制在可接受水平；

三是確保信息和信息系統(tǒng)的安全。

三個(gè)方面既涉及戰(zhàn)略風(fēng)險(xiǎn)，也涉及操作風(fēng)險(xiǎn)。

在過(guò)去的幾年內(nèi)，美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)(AICPA)下屬的審計(jì)準(zhǔn)則委員會(huì)(ASB)一直關(guān)注IT對(duì)獨(dú)立審計(jì)的影響。2001年4月，ASB發(fā)布了第94號(hào)準(zhǔn)則：《IT對(duì)CPA評(píng)價(jià)內(nèi)部控制的影響》，該準(zhǔn)則是作為SAS(審計(jì)準(zhǔn)則公告) no.55的“補(bǔ)丁公告”推出的，它對(duì)下列三方面問(wèn)題做出了規(guī)范：IT對(duì)企業(yè)內(nèi)部控制的影響；IT對(duì)CPA了解內(nèi)部控制的影響；IT對(duì)CPA評(píng)價(jià)審計(jì)風(fēng)險(xiǎn)的影響。SAS no.94將于2001年6月1日開始執(zhí)行。

針對(duì)審計(jì)效率工作小組(ASB的下設(shè)機(jī)構(gòu))提出的若干提高審計(jì)效率的建議，ASB除了推出SAS no.94之外，還在計(jì)劃著手修訂現(xiàn)有的審計(jì)準(zhǔn)則。與之相適應(yīng)，美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)正考慮修訂《審計(jì)指南——財(cái)務(wù)報(bào)表審計(jì)中關(guān)于內(nèi)部控制的評(píng)價(jià)》以反映SAS no.94及其未來(lái)進(jìn)展。因此，我們可以這樣說(shuō)，通過(guò)對(duì)IT審計(jì)中遇到的系統(tǒng)類型、內(nèi)部控制和審計(jì)證據(jù)等問(wèn)題進(jìn)行規(guī)范，SAS no.94將審計(jì)執(zhí)業(yè)水平推向一個(gè)新的高度。在這個(gè)意義上，它無(wú)疑是整個(gè)審計(jì)準(zhǔn)則演進(jìn)過(guò)程中的重要一步。

SAS no.94在總則中明確提醒執(zhí)業(yè)注冊(cè)會(huì)計(jì)師(CPA)：該準(zhǔn)則不僅適用于IT系統(tǒng)復(fù)雜，規(guī)模龐大的企業(yè)，同時(shí)也適用于中小規(guī)模的企業(yè)，其原因在于IT對(duì)內(nèi)部控制的影響源自IT系統(tǒng)本身的屬性及其影響的復(fù)雜性，而并非企業(yè)規(guī)模的大小。

可見國(guó)外對(duì)IT審計(jì)已經(jīng)非常的重視，那么在實(shí)際中哪些行業(yè)最需要IT審計(jì)呢?總結(jié)下來(lái)，主要有三個(gè)領(lǐng)域：

一是軟件供應(yīng)商需要，特別是經(jīng)濟(jì)管理類的集成軟件供應(yīng)商，他們需要IT審計(jì)師參與產(chǎn)品設(shè)計(jì)、規(guī)劃和檢測(cè)，對(duì)客戶現(xiàn)有信息系統(tǒng)進(jìn)行評(píng)價(jià)，并提出改造設(shè)想。全球所有重要的ERP和CRM產(chǎn)品供應(yīng)商都聘請(qǐng)大量信息系統(tǒng)審計(jì)師。      

二會(huì)計(jì)公司需要?！拔宕蟆眹?guó)際會(huì)計(jì)公司超過(guò)30%的收入來(lái)自于風(fēng)險(xiǎn)管理部門，這個(gè)部門的最主要工作就是監(jiān)控客戶的信息系統(tǒng)風(fēng)險(xiǎn)和運(yùn)營(yíng)風(fēng)險(xiǎn)，同時(shí)為客戶提供ERP或CRE的安裝、維護(hù)和培訓(xùn)。會(huì)計(jì)師事務(wù)所中傳統(tǒng)財(cái)務(wù)報(bào)表審計(jì)也越來(lái)越離不開IT審計(jì)的貢獻(xiàn)，沒(méi)有他們的工作，評(píng)估內(nèi)部控制風(fēng)險(xiǎn)和企業(yè)固有風(fēng)險(xiǎn)將成為一句空話。

三是大型企業(yè)需要。作為信息系統(tǒng)最集中的用戶，大型企業(yè)急需進(jìn)行IT審計(jì)，一方面可以有外來(lái)專業(yè)人士參與信息化建設(shè)的過(guò)程，另一方面時(shí)刻保持對(duì)分支機(jī)構(gòu)的信息監(jiān)控。還有一種最新跡象表明，大型企業(yè)內(nèi)部審計(jì)部門也在大量招聘信息系統(tǒng)審計(jì)師，以加強(qiáng)對(duì)內(nèi)部的監(jiān)督和牽制。

對(duì)了迎接IT審計(jì)所帶來(lái)的挑戰(zhàn)，一個(gè)全新的行業(yè)IT審計(jì)師已經(jīng)誕生。CISA是國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師的簡(jiǎn)稱，又稱IT審計(jì)師，目前在全球有2萬(wàn)人，在中國(guó)大陸不超過(guò)10人。，國(guó)家審計(jì)署的一位年青官員成為中國(guó)內(nèi)地通過(guò)考試獲取該資格的第一人。

據(jù)專家介紹，國(guó)際信息系統(tǒng)審計(jì)師（簡(jiǎn)稱IT審計(jì)師）目前已經(jīng)成為全球范圍最搶手的高級(jí)人才，這些人才一般都具備全面的計(jì)算機(jī)軟硬件知識(shí)，對(duì)網(wǎng)絡(luò)和系統(tǒng)安全有獨(dú)特的敏感性，并且對(duì)財(cái)務(wù)會(huì)計(jì)和單位內(nèi)部控制有深刻的理解。隨著計(jì)算機(jī)技術(shù)在管理中的廣泛運(yùn)用，傳統(tǒng)的控制、管理、檢查和審計(jì)技術(shù)都受到巨大的挑戰(zhàn)，國(guó)際會(huì)計(jì)公司、專業(yè)咨詢公司和高級(jí)管理顧問(wèn)都將控制風(fēng)險(xiǎn)，特別是控制計(jì)算機(jī)環(huán)境風(fēng)險(xiǎn)和信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)作為管理咨詢和服務(wù)的重點(diǎn)。幾乎所有的大型跨國(guó)公司，由于普遍使用大型管理信息系統(tǒng)，都非常重視對(duì)信息系統(tǒng)安全和穩(wěn)定性的控制，常常高薪聘請(qǐng)IT審計(jì)師進(jìn)行內(nèi)部審計(jì)。

公司的流程需要E化，這是不容置疑的事實(shí)。但是當(dāng)今世界是信息化時(shí)代，信息系統(tǒng)受到各種各樣的威脅，如沒(méi)有安全對(duì)策，系統(tǒng)是相當(dāng)脆弱的。信息系統(tǒng)的可靠性、安全性與效率的確保是極其重要的，而這一切也是為企業(yè)的經(jīng)營(yíng)者考慮。隨著信息化實(shí)施風(fēng)險(xiǎn)的加大，計(jì)算機(jī)信息系統(tǒng)的安全性、穩(wěn)定性、有效性得到了人們?cè)絹?lái)越多關(guān)注。進(jìn)行獨(dú)立的、有效的IT審計(jì)成為了檢驗(yàn)信息系統(tǒng)的一個(gè)必要手段。一些在海外上市的企業(yè)開始利用IT審計(jì)進(jìn)行風(fēng)險(xiǎn)評(píng)估，加強(qiáng)對(duì)信息化投資的效益管理。在國(guó)外上市公司制度中，已經(jīng)把IT審計(jì)列入必要項(xiàng)目。所以，IT審計(jì)勢(shì)在必行，而且應(yīng)由具有信息技術(shù)與審計(jì)兩方面知識(shí)與能力的IT審計(jì)師對(duì)信息系統(tǒng)進(jìn)行檢查與評(píng)價(jià)，將其結(jié)果向企業(yè)經(jīng)營(yíng)者報(bào)告。企業(yè)經(jīng)營(yíng)者即使對(duì)信息系統(tǒng)不精通，按照IT審計(jì)報(bào)告也能像黑盒子一樣理解信息系統(tǒng)及與之相關(guān)聯(lián)的業(yè)務(wù)，使之間接把握信息系統(tǒng)成為可能。

目前，許多企業(yè)開始從投資的觀念看待信息化，把科學(xué)投資當(dāng)作信息化成功經(jīng)驗(yàn)；發(fā)展趨勢(shì)表明，高風(fēng)險(xiǎn)正成為信息化進(jìn)一步發(fā)展面對(duì)的難題，建設(shè)有效益的信息化，不僅要有效創(chuàng)造效益，還要有效控制風(fēng)險(xiǎn)。(amt)