當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 湖南OA系統(tǒng) > 長(zhǎng)沙OA系統(tǒng) > 長(zhǎng)沙OA信息化
IT審計(jì) 獨(dú)立于IT管理的監(jiān)督過(guò)程
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
Amteam.org任何技術(shù)都是“雙刃劍”,信息系統(tǒng)給社會(huì)帶來(lái)巨大便利的同時(shí),也往往會(huì)被“不法分子”所利用,如何杜絕這類(lèi)現(xiàn)象,如何防止信息系統(tǒng)因?yàn)樽陨淼娜毕萁o社會(huì)蒙受巨大損失,這是我們面臨的一個(gè)新課題。
審計(jì)(包括外部審計(jì)與內(nèi)部審計(jì))通常負(fù)有向管理層提供咨詢的責(zé)任,以幫助確保企業(yè)內(nèi)部存在適當(dāng)?shù)膬?nèi)部控制,將主要風(fēng)險(xiǎn)控制到一個(gè)可接受的合理水平。
IT審計(jì)是伴隨著IT的飛速發(fā)展而產(chǎn)生的。當(dāng)前,IT應(yīng)用的進(jìn)步導(dǎo)致了需要有專(zhuān)門(mén)的內(nèi)部控制措施才能控制新的風(fēng)險(xiǎn)。這就需要新的技術(shù)來(lái)評(píng)估控制的有效性,確保企業(yè)數(shù)據(jù)以及生成這些數(shù)據(jù)的信息系統(tǒng)的安全。
目前還沒(méi)有一個(gè)IT審計(jì)的權(quán)威定義。IT審計(jì)一般指對(duì)信息系統(tǒng)的規(guī)劃、開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié)進(jìn)行評(píng)價(jià),確保與IT相關(guān)的風(fēng)險(xiǎn)控制在可接受水平的過(guò)程。
IT審計(jì)要回答什么
與一般的審計(jì)一樣,IT審計(jì)的任務(wù)與使命也是通過(guò)評(píng)價(jià)內(nèi)部控制,確保風(fēng)險(xiǎn)控制在可接受的水平。
但與一般審計(jì)不同的是,IT審計(jì)除了關(guān)注操作層面的風(fēng)險(xiǎn)外,還應(yīng)關(guān)注戰(zhàn)略層面的風(fēng)險(xiǎn),因?yàn)镮T已經(jīng)成為企業(yè)的戰(zhàn)略問(wèn)題。
另外,IT審計(jì)關(guān)注的風(fēng)險(xiǎn)主要與IT相關(guān)。具體來(lái)講,IT審計(jì)的任務(wù)與使命可以概括為三個(gè)方面:
一是確保IT項(xiàng)目管理風(fēng)險(xiǎn)控制在合理水平;
二是確保業(yè)務(wù)流程中與IT相關(guān)風(fēng)險(xiǎn)控制在可接受水平;
三是確保信息和信息系統(tǒng)的安全。
三個(gè)方面既涉及戰(zhàn)略風(fēng)險(xiǎn),也涉及操作風(fēng)險(xiǎn)。
第一要?jiǎng)?wù):IT項(xiàng)目管理風(fēng)險(xiǎn)“控制閥”
為了維持并提高競(jìng)爭(zhēng)力,企業(yè)在持續(xù)地維持并更新現(xiàn)有的信息系統(tǒng),并持續(xù)地開(kāi)發(fā)和應(yīng)用新的信息系統(tǒng)。
資料研究表明,我國(guó)企業(yè)每年IT投入近萬(wàn)億元,每年僅在ERP項(xiàng)目上的投資就超過(guò)80億元。以信息化程度名列前茅的金融業(yè)為例,2004年,全國(guó)金融業(yè)IT投資規(guī)模達(dá)到248.85億元,比2003年的237億元增長(zhǎng)5.0%,其中銀行業(yè)IT投資規(guī)模達(dá)到212.35億元,比2003年的200億元增長(zhǎng)6.2%。大集中處理系統(tǒng)、客戶關(guān)系管理系統(tǒng)和網(wǎng)上交易系統(tǒng)等,已成為金融企業(yè)IT建設(shè)的熱門(mén)話題。
但是,IT項(xiàng)目完全成功的企業(yè)寥寥無(wú)幾,要么延期完成項(xiàng)目,要么超過(guò)預(yù)算,要么功能不足,甚至完全失敗,IT投資正陷入巨大的“黑洞”。據(jù)Gartner集團(tuán)2002年對(duì)北美IT業(yè)1375家公司的調(diào)查發(fā)現(xiàn),大約有40%的IT項(xiàng)目沒(méi)有達(dá)到預(yù)期的結(jié)果,研究還發(fā)現(xiàn)一個(gè)原計(jì)劃27周的IT項(xiàng)目在僅僅持續(xù)了14周后被取消。在我國(guó),有人估計(jì)80%的系統(tǒng)失敗或未達(dá)到預(yù)期目標(biāo),某證券公司花巨資建設(shè)的大集中系統(tǒng)半途夭折就是一個(gè)典型例子。
與IT項(xiàng)目相關(guān)的風(fēng)險(xiǎn)包括:IT項(xiàng)目與企業(yè)目標(biāo)不一致、IT項(xiàng)目部分或全部失敗、開(kāi)發(fā)商倒閉、與開(kāi)發(fā)商的合同存在的風(fēng)險(xiǎn)、項(xiàng)目外包風(fēng)險(xiǎn)和財(cái)務(wù)風(fēng)險(xiǎn)等。
IT審計(jì)的第一個(gè)任務(wù)與使命,就是通過(guò)評(píng)價(jià)IT項(xiàng)目管理過(guò)程中內(nèi)部控制的適當(dāng)性,確保風(fēng)險(xiǎn)控制在合理水平。
例如,IT項(xiàng)目與企業(yè)目標(biāo)不一致的風(fēng)險(xiǎn)實(shí)際上涉及到IT的戰(zhàn)略問(wèn)題。要解決好IT的戰(zhàn)略問(wèn)題,就要解決兩個(gè)動(dòng)態(tài)過(guò)程的匹配問(wèn)題,一是變化很快的企業(yè)環(huán)境,二是更新很快的信息技術(shù)。
兩者的匹配又和諸多問(wèn)題相關(guān),如企業(yè)選擇IT的目的,主要為了提高效率,還是主要為了提高響應(yīng)速度?還是主要為了引入新產(chǎn)品?由于IT的戰(zhàn)略問(wèn)題,對(duì)IT已不能局限于管理,應(yīng)當(dāng)上升到治理,根據(jù)公司治理的要求,董事會(huì)應(yīng)當(dāng)對(duì)IT治理負(fù)最終責(zé)任。IT審計(jì)師通過(guò)評(píng)價(jià)內(nèi)部控制的適當(dāng)性,如董事會(huì)是否在確定IT戰(zhàn)略過(guò)程中發(fā)揮了應(yīng)有的作用,幫助企業(yè)將風(fēng)險(xiǎn)控制到合理水平。
第二要?jiǎng)?wù):業(yè)務(wù)流程與IT相關(guān)風(fēng)險(xiǎn)“調(diào)控鈕”
業(yè)務(wù)流程再造(Business Process Reengineering, 簡(jiǎn)稱(chēng)BPR)是企業(yè)為了在現(xiàn)代經(jīng)營(yíng)環(huán)境中求得生存和發(fā)展,應(yīng)對(duì)競(jìng)爭(zhēng)和顧客需求雙重壓力的一個(gè)措施。業(yè)務(wù)流程再造通過(guò)對(duì)系統(tǒng)過(guò)程的自動(dòng)化,減少人工干預(yù)和控制,滿足顧客需求,實(shí)現(xiàn)成本節(jié)約,其特征是:根本性的思考,徹底的再設(shè)計(jì),使企業(yè)效益獲得巨大的提高。
IT與業(yè)務(wù)流程再造是密不可分的,業(yè)務(wù)流程再造通常需要借助IT加以實(shí)現(xiàn),如果沒(méi)有IT的支持,就無(wú)法達(dá)到業(yè)務(wù)流程的再造;IT項(xiàng)目也一般需要業(yè)務(wù)流程再造才能成功實(shí)施,因?yàn)闃I(yè)務(wù)流程再造是IT的內(nèi)在驅(qū)動(dòng)力。人們對(duì)業(yè)務(wù)流程再造的最大擔(dān)憂就是,企業(yè)流程中的主要控制會(huì)在提高效率的再造過(guò)程中被削弱甚至完全消失,從而給企業(yè)帶來(lái)風(fēng)險(xiǎn)。
效率和控制往往是一對(duì)矛盾,而削弱控制則容易帶來(lái)風(fēng)險(xiǎn)。因此需要在效率和控制之間找到一個(gè)平衡,或者在削弱原有控制提高效率的同時(shí),需要找到補(bǔ)償控制。
IT審計(jì)師的任務(wù)和使命就是要識(shí)別原有業(yè)務(wù)流程中的主要控制,評(píng)價(jià)這些主要控制被削弱或消失后的影響,向企業(yè)領(lǐng)導(dǎo)層提出建議,確保通過(guò)實(shí)施IT項(xiàng)目進(jìn)行業(yè)務(wù)流程再造后,企業(yè)風(fēng)險(xiǎn)控制在可接受的水平。
第三要?jiǎng)?wù):信息和信息系統(tǒng)安全的“護(hù)航者”
在信息社會(huì),信息和產(chǎn)生該信息的信息系統(tǒng)是企業(yè)的重要資產(chǎn),這已經(jīng)得到社會(huì)的廣泛認(rèn)同。但是,信息和信息系統(tǒng)的安全問(wèn)題卻異常嚴(yán)峻,病毒、木馬、邏輯炮彈、蠕蟲(chóng)、非授權(quán)訪問(wèn)、網(wǎng)絡(luò)拒絕服務(wù)、計(jì)算機(jī)犯罪等,各種安全威脅應(yīng)有盡有。
根據(jù)美國(guó)計(jì)算機(jī)安全事件響應(yīng)組協(xié)調(diào)中心(CERT)統(tǒng)計(jì),1988年至2003年報(bào)告的安全事件總計(jì)319992件,其中1998年為6件,2003年增至137529件。
信息資產(chǎn)的安全問(wèn)題是一個(gè)極其復(fù)雜的問(wèn)題,涉及到技術(shù)、法律、管理等諸多方面。IT審計(jì)在信息安全方面的任務(wù)和使命,就是通過(guò)評(píng)價(jià)相關(guān)的內(nèi)部控制的適當(dāng)性,確保信息資產(chǎn)的安全,包括保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。
需要說(shuō)明的是,IT審計(jì)并不能代替IT管理的責(zé)任,IT審計(jì)應(yīng)當(dāng)是獨(dú)立于IT管理的一種監(jiān)督過(guò)程。但是,IT審計(jì)確實(shí)能夠?yàn)槠髽I(yè)增加價(jià)值。
作者簡(jiǎn)介:劉濟(jì)平,中國(guó)光大集團(tuán)審計(jì)部副主任,南開(kāi)大學(xué)經(jīng)濟(jì)學(xué)碩士(會(huì)計(jì)與審計(jì)專(zhuān)業(yè)),英國(guó)Strathclyde大學(xué)理學(xué)碩士(商務(wù)信息技術(shù)系統(tǒng)專(zhuān)業(yè));注冊(cè)信息系統(tǒng)審計(jì)師(CISA),注冊(cè)內(nèi)部審計(jì)師(CIA),國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)會(huì)員,國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)會(huì)員,中國(guó)內(nèi)部審計(jì)協(xié)會(huì)常務(wù)理事。曾在國(guó)家審計(jì)署任處長(zhǎng),1996年在英國(guó)國(guó)家審計(jì)署工作進(jìn)修。
- 1廈門(mén)OA信息化
- 2合肥OA信息化
- 3杭州OA信息化
- 4鄭州OA信息化
- 5青島OA信息化
- 6太原OA信息化
- 7上海OA信息化
- 8石家莊OA信息化
- 9天津OA信息化
- 10沈陽(yáng)OA信息化
- 11長(zhǎng)春OA信息化
- 12福州OA信息化
- 1企業(yè)應(yīng)借助信息科技優(yōu)化管治機(jī)制
- 2民企理性治理:分享溫州民企轉(zhuǎn)型之痛
- 3IT治理的五項(xiàng)關(guān)鍵決策
- 4IT治理——概念、模型與框架
- 5高效知識(shí)聚類(lèi)的E-book系統(tǒng)
- 6OA集成余額及已發(fā)送量查詢接口與參數(shù)說(shuō)明
- 7長(zhǎng)沙OA信息化與長(zhǎng)沙OA信息化軟件
- 8公司治理:模式與比較
- 9ITIL/ITSM、CobiT等IT治理培訓(xùn)體系正式發(fā)布
- 10企業(yè)知識(shí)合作化戰(zhàn)略(下)(AMT研究院 周瑛)
- 11企業(yè)架構(gòu)(EA)的成熟度評(píng)估(張艷編譯)
- 12公司經(jīng)理權(quán)的濫用和公司治理機(jī)制的重建(上)
- 13第三方物流(一)(AMT研究院 張翔)
- 14論公司治理的需求、誤區(qū)與對(duì)策
- 15BP石油公司副總裁德開(kāi)瑞:石油巨頭的公司治理
- 16株洲項(xiàng)目管理系統(tǒng)定制開(kāi)發(fā)
- 17俄羅斯:公司治理與問(wèn)題
- 18IT治理的重要參考標(biāo)準(zhǔn)-COBIT
- 19常見(jiàn)用戶使用和訪問(wèn)長(zhǎng)沙OA信息化平臺(tái)的方式
- 20IT透視的開(kāi)端:業(yè)務(wù)活動(dòng)監(jiān)控(AMT 王艷編譯)
- 21OA選型需注意的第一項(xiàng):切莫急功近利
- 22IT治理十問(wèn)十答之七——IT治理架構(gòu)COBIT
- 23微軟在俄羅斯推低價(jià)WindowsXP
- 24IT項(xiàng)目管理的關(guān)鍵——IT治理(周瑛)
- 25卷首語(yǔ):“治水”與“IT治理”
- 26我國(guó)電子商務(wù)發(fā)展現(xiàn)狀及對(duì)策
- 272008年IT渠道的六大調(diào)整趨勢(shì)
- 28如何樹(shù)立中國(guó)企業(yè)公司治理新觀念?
- 29服務(wù)水平管理
- 30AMT專(zhuān)家服務(wù)_IT治理
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓
版權(quán)所有:泛普軟件 渝ICP備14008431號(hào)-2 渝公網(wǎng)安備50011202501700號(hào) 咨詢電話:400-8352-114