IT治理框架下的企業IT風險控制與審計研究

余小兵　吳青

[摘 要] IT風險控制與審計是企業IT治理的關鍵環節，科學有效地發揮風險管理策略與審計的作用以實現企業經營目標是企業治理與管理的重要內容。IT治理、IT控制以及IT審計之間既有聯系又有區別，共同的關注點在于風險與保證。IT治理必須在風險與利益之間找到均衡，通過IT審計不斷促進調整IT控制環境，使組織在風險可識別、可控、可管理的環境下保證組織利益最大化。企業IT風險管理組織框架應當從“決策—管理—執行”三個層面設立風險管理職能，并輔以審計監督機制。

[關鍵詞] IT治理框架下；IT風險控制；審計研究

[中圖分類號] F272 [文獻標識碼] B

風險控制是公司IT治理機制的一個重要組成部分，在信息化建設中，需要管理與控制各種風險，以便達到保護IT投資、維持系統持續運行的目的。以風險為導向的審計是合理規避IT風險的一種有效途徑，在大型企業中舉足輕重。企業IT風險控制與審計需要在充分考慮企業IT系統狀況、IT治理結構以及IT審計資源的基礎上，借鑒與吸收國際相關企業IT審計的領先實踐，全面提高IT審計水平和IT審計人員素質，有效規避IT風險，為企業的未來發展保駕護航。

一、IT治理與風險管理

IT治理是一種引導和控制企業各種關系和流程的結構，確保組織擁有適當的結構、政策、工作職責、運營管理機制和監督實務，以達到公司治理中對IT方面的要求，旨在通過平衡信息技術及其流程中的風險和收益，增加價值，以實現企業目標。IT治理是企業治理結構中不可或缺的一部分，而相關的IT治理流程則可確保企業IT目標與業務目標保持一致，并可持續發展。因此，IT治理必須與企業戰略目標一致，使IT發揮更大的作用、創造更多的價值，實現公司價值和利益的最大化。

IT治理領域中，首重策略、組織架構、政策與內部流程。控制風險、績效評量與提供價值則為組織架構中關注的焦點。同時，IT治理牽涉的范疇，包含：IT服務提供、IT服務支援、營運業務展望、基礎建設管理與應用管理。其不同視角的IT治理作用如下表。

保證所有的缺陷都已被控制所覆蓋利用風險控制與審計策略管理IT風險，要求企業的高層管理者具備良好的風險意識，清晰了解企業對風險的態度，了解合規性要求，將風險管理的職責嵌入組織架構設計中，圍繞信息化戰略目標構建全面風險管理體系以進行有效的風險管理與控制。

二、IT風險管理體系

基于IT治理的IT風險管理需要執行一整套風險管理程序，必須建立風險識別、風險分析與評估、風險規避與應對、風險監控等流程并嚴格執行。從操作層面上分析，IT風險管理中對IT風險的控制與審計是風險管理中的兩個重要環節，

（一）IT控制

IT控制就是在治理結構下，為實現組織的目標提供合理保證而實施的一系列政策和程序，內部控制是一個持續的過程，為了保證組織經營的效率和效果、財務報告的可靠性以及對有關法律和規章制度的遵循等情況下評估風險并設計、實施和持續監督控制措施。可以看出IT控制的主要目的是建立一個可持續監控的控制環境使組織風險可識別、可控、可管理。

風險控制是指控制風險事件發生的動因、環境、條件等，來達到減輕風險事件發生時的損失或降低風險事件發生的概率的目的。風險無法徹底消除，僅能降低、控制與移轉，對于殘余風險，企業需自行審視可接受的程度。然而，在進行風險控制活動前，需先進行風險評估，對于潛在影響的弱點與威脅臚列出來，并分析評估矯正的優先程序，然后再針對風險，設計有關的預防性、檢查性與糾正性的控制。控制的設計，應該就風險評估后的結果，因此，完整的風險評估作業，是極為重要的，不好的風險評估會影響后續控制設計，甚至于控制執行的落實程度。當控制設計完成后，需再次檢視相對應的管理政策與辦法是否足夠滿足控制的目標，倘若現有管理政策文件無法滿足控制目標的要求，應立即進行增修作業，務必達到與現有作業機制一致的目標。

隨著組織的發展對IT的依賴日趨明顯，內部原有業務和管理風險特征由于信息系統越來越廣泛的運用而出現了變化，業務對信息系統的依賴性增加，因此必須建立起有效的風險控制體系。管理層應從基本的內部控制環境著手建置，從一般信息技術控制環境到業務流程中的內部控制環境，其中應思考系統控制與人工控制緊密結合的協調性與完整性。

（二）IT審計

IT審計是一個獲取并評價證據的過程，主要是判斷信息系統是否能夠保證資產的安全、數據的完整性、有效率利用組織的資源、有效果地實現組織目標地過程。

IT審計是監視和評審IT控制措施的執行情況和有效性的主要手段之一，可以從組織整體業務風險的角度，對實施和運行的控制措施進行持續監控，以管理組織的業務風險。

IT審計可以作為符合法律、法規以及管理要求的控制手段，可以證明管理層建立并維護了恰當的內控措施；可以提供證據說明業務相關數據的完整性，以及可以證明具備合法權限的人正確訪問數據；可以提供報警和審計報告確保管理層知道重大信息和任何變更；IT審計可以圍繞數據提供報告用于合規性評估，降低遵從成本。作為組織IT風險控制的最后防線，IT審計為組織進行風險防范，提高設計正確性和加強應用的管理控制提供建議。

（三）IT治理、IT控制與IT審計之間的聯系

IT治理是為組織建立一個長效的均衡的治理結構，在風險可控的環境下保證組織獲益。均衡的環境在滿足組織外部約束的同時需要考慮如何降低成本、提高股東收益、滿足客戶要求以及建立良好的社會形象等條件下不斷調整變化而達到的，因此IT治理側重于宏觀決策方面，要做哪些事，由誰來做這些事，以及如何建立決策機制、如何進行有效監控等。

IT控制就是在這樣的治理結構下，為實現組織的目標提供合理保證而實施的一系列政策和程序，內部控制是一個持續的過程，為了保證組織經營的效率和效果、財務報告的可靠性以及對有關法律和規章制度的遵循等情況下評估風險并設計、實施和持續監督控制措施。可以看出IT控制的主要目的是建立一個可持續監控的控制環境使組織風險可識別、可控、可管理。endprint

IT審計是一個獲取并評價證據的過程，主要目標就是對組織實施的風險管理環境和控制環境的保證措施進行識別和評估，判斷管理層關于控制的聲明是否是可靠的，所以審計必須保持其獨立性，以第三方客觀的立場進行檢查和評價。

IT治理、IT控制以及IT審計之間既有聯系又有區別。共同的關注點在于風險與保證。風險管理的主要目標是為了保證組織經營的效率和效果、財務報告的可靠性以及對有關法律和規章制度的遵循。保證，主要來自一系列相互依存的控制政策與程序，以及評價控制有效性的證據，這些證據可以證明控制是連續和充分的。IT治理要明確目標與方向，為IT控制環境與活動設定明確的目標。IT控制要建立一個完整的，具有彈性的內部控制體系，應對組織面臨的各種風險挑戰和意外事件。IT審計是獲取與IT控制和保證措施相關的證據，評估IT控制的有效性、評價IT績效及IT戰略與業務目標的符合程度。

IT治理必須在風險與利益之間找到均衡，通過IT審計不斷促進調整IT控制環境，使組織在風險可識別、可控、可管理的環境下保證組織利益最大化。

IT治理、IT控制與IT審計的聯系圖

三、企業IT風險控制與審計實務

（一）組織框架

企業IT風險管理組織框架應當從“決策—管理—執行”三個層面設立風險管理職能，并輔以審計監督機制。

決策機構，通常以風險管理委員會的形式，行使風險管理的決策、風險管理政策的制定與批準等職能。

管理機構通常為設置為風險管理委員會下的職能機構，如風險管理部，是風險管理政策的執行部門，負責根據風險管理的規章制度，協調各執行機構的關系，推動風險管理措施的實施。

風險管理政策與措施的執行是由信息技術部門、相關業務部門等涉及到IT及其安全運作的部門具體實施，尤其是信息技術部門承擔大部分的IT風險管理政策、技術的實施。

IT審計部門作為IT風險管理的監督與審計部門，負責檢查、評估企業IT風險管理戰略、政策、組織與實施的有效性，并提出管理建議。

（二）IT控制與審計規范

企業IT控制規范可以參考財政部等五部委聯合發布的《企業內部控制基本規范》及配套指引，建立有效的IT內部控制框架內，從公司內部控制層面、信息技術整體層面、業務流程層面等建立控制規范。企業IT控制以風險為導向，規范企業組織結構、明確崗位權利責任分配，建立科學的績效考核體系和制度，提升企業風險管理和應對能力，通過風險評估對企業內部控制體系進行持續評價和改進，最終建立配套信息系統，實現內控體系的信息化落地。從風險的角度去審視內部控制有沒有做好；通過對績效指標的監控去實時檢測有沒有風險發生，然后再去找到企業的缺陷漏洞；最后通過信息系統將這個體系落地執行。

企業風險管理體系的控制層面上，內部審計發揮著重要的作用，以風險為導向的審計是合理規避IT風險的一種有效途徑。IT審計應當建立一套完整的審計標準、規范，并提供可供參考的IT審計指南與實施細則。企業IT審計應當在內部審計總體框架下開展，在制定內部審計章程時要體現信息化條件下內部審計工作的特點，制定有關IT審計的規范與要求，必要時可進一步制定IT審計工作規范。

IT審計是信息技術條件下的內部審計，具有較強的操作性要求，參考各行業的內部審計工作經驗，吸收國家審計機關的制度與操作指南，可以從IT整體控制審計、應用控制審計兩個方面編制實施細則。

1.IT整體控制審計——確保程序和數據文件的完整性、確保信息系統良好運行。審計內容包括IT基礎設施、系統開發、系統運行與維護、變更控制、網絡安全控制、訪問控制等普遍適用于所有的應用系統的控制。

2.應用控制審計——應用控制與特定的應用程序有關，設計應用控制是為了應對威脅應用系統的潛在風險，確保應用系統處理數據的有效正確而實施的控制。應用控制審計主要包括業務流程控制審計、數據輸入處理輸出審計，提供業務信息完整性、準確性、有效性、可用性保證。

此外，企業的信息化規劃應當在充分考慮風險管理與審計需求的基礎上，建立并完善信息化審計工作平臺，充分利用信息技術推進IT審計服務于企業治理與全面風險管理，實現價值增值。

四、小結

企業IT風險控制與審計是IT治理中的重要內容，本文提出的基于IT治理框架的風險控制與審計體系在企業IT管理實務中發揮一定的作用，如何更深入地探究IT風險控制與審計及其作用機制、績效評價等，還需要結合我國企業管理現狀進一步展開研究。

[參 考 文 獻]

[1]ITGI，Control Objectives for Information and related Technology[M].ISACA，2010

[2]李自潔，李若山.集團企業ERP的風險分析與控制[J].研究與發展管理，2007（12）：72-77

[3]雷英，吳建友.內部控制審計風險模型研究[J].審計研究，2011（1）：79-83

[4]財政部會計司.企業內部控制規范講解[M].北京：經濟科學出版社（第一版），2010

[責任編輯：王鳳娟]endprint