風險導向IT審計在通信企業中的應用

黃力

摘 要：積極構建以風險為導向的審計機制，是有效降低IT風險的可行手段，對通信企業而言意義重大。本文將積極探討通信企業對風險導向IT審計的應用，通過策略構思、審計實施兩部分內容，詳細闡述通信企業中的IT審計應用，以期為其他企業應用提供參考。

關鍵詞：風險導向 IT審計 通信企業

如今，通信5G時代正在悄然向人們走來，通信行業迎來了新的發展機遇與挑戰。作為通信企業中的重要活躍因素與信息特色，IT的作用舉足輕重。以中國移動為例，多年來其年度財務報表在通信企業中扮演著重要的角色，信息技術的應用所形成的產業化價值占到總資產價值的八成以上。當前的通信企業需要關注的課題在于，如何能夠在日益增多的IT資源中合理降低風險隱患，從而不斷推動企業贏得各項業務的綜合發展。在合理降低風險隱患方面，積極構建以風險為導向的審計機制，是有效控制并降低IT風險的可行手段。

一、IT審計策略構思

IT審計策略的構思建設，理論模型上應該與當前的通信企業內部審計框架保持一致。按照內審框架原則，IT審計主策略涉及三大層次即組織結構、人員、基建，組織結構層次強調要對具體的IT審計工作提出合理可行的目標與任務流；人員層次強調應關注企業人力資源及其他公共資源管理，增進人員綜合技能，有效實現人才保值和增值；基建層次所強調的機制評估要素包括政策及方法論、工具和技術、專業知識與管理經驗、運營目標與指標、業績考核、運營質量指標等。針對三個層次的內容建立IT審計策略。

二、IT審計的實施關鍵點

通常，IT審計可分解為三階段，其一為IT審計計劃、其二為IT審計實施、其三為IT審計的報告與發展。在探討風險導向IT審計應用中，風險的評估要合理分布在上述三個階段中，發揮相應的作用。

第一階段：IT審計計劃。計劃階段的主要任務自然涵蓋審計目標計劃的設定，著重評估審計風險，估量審計的資源消耗量，明確審計工作次序與相關執法人員職責。因此通信企業在具體IT審計應用過程中，不能忽視對主要因素的考量，有效把握審計業務流程中所憑借的信息技術與信息系統科學性與可靠性，把握提升信息技術管理效能的組織架構合理性，深層考慮IT信息系統的框架規范性以及信息系統中長期發展規劃，有效分析掌握信息系統及相關業務流程的變更，統籌梳理信息系統的復雜度，合理確定IT審計應用的情況發展。通信企業要緊密關注IT審計架構中不同信息層面的風險，如組織或控制層面的風險主要來自于業務關注度、信息量價值、信息技術與專業人員依賴度、信息系統及運行環境的安全性、信息系統及技術應用的法律支撐規范性。而在通信企業的IT業務流程層面，由于大量信息數據的輸入輸出與計算處理可能存在信息缺失或失真而導致風險隱患增大，需要對信息的輸入、輸出、運算、分析處理等環節的風險提高安全防范。

第二階段：IT審計實施。進入IT審計實施階段后，組織層面的IT控制要素將主要分成四個模塊，分別為控制環境、風險評估管理機制、信息系統與構圖中和監控管理。業務流程層面的IT控制要素分類更加具體且復雜，主要的要素體現在業務授權、業務批準、業務系統配置、異常及差錯報告等。特別是對于信息技術的一般性IT控制而言，要素主要體現在信息安全、系統變更、開發與采購、系統運行等四個方面。

基于風險導向的IT審計工作應用在通信企業后，往往沿用典型方法來達到理想的IT審計工作效果。首先要與具體的IT信息技術控制人員取得聯系，在實施合理詢問機制的基礎上，對于IT審計控制中的典型或特定運用模式與效果進行觀察，有效收集整理IT審計的相關文件資料或數據報告，對當前企業所使用的信息系統特性進行剖析和梳理，完成穿行測試與追蹤交易，主動通過技術手段來驗證系統處于控制狀態所賦予的計算邏輯，靈活選擇時間點進行系統登錄操作完成系統主要信息的查詢，同時優化計算機操作方法來輔助完成審計工具與技術的改進，充分保證獨立性和客觀性，突出強調職業技能質量控制前提，積極參照相關專業機構所做出的IT審計結果，同時加大對信息技術內部控制的自我評估結果的形成和整理。需要注意的是，若IT審計作為獨立單元并入綜合性審計項目時，操作人員應該與綜合審計工作中的其他人員保持緊密溝通，相互共享審計發現內容，廣泛參考依據不同的審計結果來合理調整其他相關審計的范圍、時間及性質。

三、計算機輔助審計技術在通訊企業中的應用

計算機輔助審計技術，簡稱CAATs，官方定義是能夠輔助完成IT審計工作的所有自動化技術集合，其中包括審計通用軟件、專業功能性軟件、實驗測試數據、審計專家系統等，同時還可包括審計工作中需要大量應用的文字處理軟件、電子表格、數據庫軟件等載體或平臺。在通信企業中，可使用計算機輔助審計技術的情況主要涉及：審計工作的規劃、信息系統的分析記錄、信息系統的測試運營、數據類測試、交易行為測試、問題解決機制以及辦公自動化。計算機輔助審計技術應用效果受計算機理論與操作技能、審計人員工作經驗、高度匹配設備、運行場所、由CAATs取代人工作業的實際效率、耗時限制、信息系統可靠性、和技術運行環境真實性、審計風險級別等不同要素的影響。通信企業應用計算機輔助審計技術可分計劃、執行、報告三個階段來實施。

結束語

風險導向IT審計在通信企業中的應用，應該積極考慮通信企業的IT系統狀況、IT治理結構以及IT審計資源基礎，有效借鑒并廣泛吸收世界范圍內的通信企業IT審計經驗，整理上抬高IT審計水平，并強化IT審計人員素質，有效規避IT風險。

參考文獻：

[1] 胡尚可. 風險導向IT審計在通信企業中的應用[J]. 中國內部審計， 2010（11）：60-62.

[2] 楊明， 郭樹旭， 王雋. 電信企業信息技術審計的實踐與思考[J]. 通信技術， 2010， 43（4）：147-148.

[3] 董驊. XX通信公司的IT審計風險研究[D]. 北京交通大學， 2016.