IT治理風(fēng)險審計需要注意二三事

來源: 中國會計報編輯： 2009/06/22 15:12:07　　字體：大小

　　IT治理就是企圖通過對IT（信息技術(shù)）投資方向、方式、價值及相關(guān)責(zé)任等重大決策方面的管理使IT使用達(dá)到理想的效果。在我國，開展IT治理風(fēng)險審計有如下2點需要注意：

　　1．要掌握IT治理發(fā)展方向和新的研究領(lǐng)域2003年，普華永道受ISACAIT治理協(xié)會的委托，對IT治理框架及其應(yīng)用進行調(diào)查，旨在跟蹤并預(yù)測IT治理的發(fā)展趨勢及新的研究領(lǐng)域。2005年，普華再次接受IT治理協(xié)會的委托，從2005年7月開始，歷時4個月，完成了對四大洲內(nèi)695家組織的調(diào)查，獲得重要發(fā)現(xiàn)：

　?。?）IT對業(yè)務(wù)的重要性前所未有。被調(diào)查者中，87%認(rèn)為，IT對公司戰(zhàn)略和愿景的交付極為重要；63%的人說，IT定期或者總是出現(xiàn)在董事會議上。

　　（2）相比IT經(jīng)理，普通經(jīng)理對IT更積極。與IT經(jīng)理相比，普通經(jīng)理認(rèn)為IT更緊急、更重要。

　　此外，他們總體上對IT與業(yè)務(wù)戰(zhàn)略整合更關(guān)心。

　?。?）不同行業(yè)間存在極大的差異。談到IT治理，IT、電信和金融服務(wù)業(yè)做得比較好，而零售業(yè)和制造業(yè)就要差一些，這些結(jié)果與IT在這些行業(yè)中的戰(zhàn)略重要性是一致的。

　　（4）IT職員是最重要的IT相關(guān)問題。考慮到這個問題的所有方面，比如事件發(fā)生的頻率、問題的嚴(yán)重性和未來的發(fā)展等等，IT職員似乎成為IT資源中最重要的問題。

　　（5）IT安全不是最重要的IT相關(guān)問題。當(dāng)把問題的所有方面都考慮在內(nèi)的時候，安全性（和符合性）名列最后。

　?。?）IT外包正在成為過去時。IT外包不再被視為解決IT問題最有效方式。隨著業(yè)務(wù)和IT的發(fā)展，人們越來越意識到，IT問題不能被外包，越來越多的人傾向于由自己內(nèi)部來控制有問題的系統(tǒng)。

　?。?）實施IT治理（和COBIT）不像原來設(shè)想那樣簡單。事實證實以下2點：良好的IT治理實踐不是一蹴而就的，它的確需要時間和持續(xù)的努力；實施COBIT不是簡單地照抄文檔，照搬它的條款來實施。相反，它是一個過程，這個過程包括選擇最合適的要素，根據(jù)需求量體裁衣，并將它們應(yīng)用于組織的特定需求。

　　2．IT治理風(fēng)險審計的主體問題IT治理風(fēng)險審計由誰來執(zhí)行呢？應(yīng)該說，不同體制、不同性質(zhì)的企業(yè)，執(zhí)行IT治理風(fēng)險審計的主體是不同的。目前，就公司治理風(fēng)險審計、IT治理風(fēng)險審計主體應(yīng)如何構(gòu)成的研究在國際學(xué)術(shù)界基本上還是個空白。上市公司會計師執(zhí)行風(fēng)險評估、控制測評和財務(wù)報告審計時，由于需要與公司治理層進行溝通、對它的IT系統(tǒng)風(fēng)險進行測試，可能會對公司IT治理風(fēng)險進行一定程度的審計，但是，IT治理風(fēng)險審計絕不是CPA審計的核心任務(wù)。

　　由企業(yè)審計委員會和內(nèi)部審計組織執(zhí)行IT治理風(fēng)險審計怎么樣？從結(jié)構(gòu)層次上看，讓審計委員會和內(nèi)部審計來監(jiān)督IT治理效果應(yīng)該說級別不夠，很難起到威懾和監(jiān)督效果。

　　我們認(rèn)為，在公司治理比較有成效的企業(yè)，可由獨立于IT治理委員會、執(zhí)行管理層以外的董事成員和高管成員及審計委員會組成IT治理風(fēng)險監(jiān)督審核機構(gòu)，這樣就形成：由IT治理層負(fù)責(zé)制定決策標(biāo)準(zhǔn)，由監(jiān)督層負(fù)責(zé)對決策及執(zhí)行情況實施審核。

　　這樣，反觀IT治理結(jié)構(gòu)的構(gòu)成，我們就會發(fā)現(xiàn)，目前提倡的IT系統(tǒng)是“一把手”工程就存在問題了。若董事會主席、CEO作為IT治理層的“一把手”，那么，就會給決策監(jiān)督造成麻煩，由此推論，我們認(rèn)為在公司治理比較有成效的企業(yè)，應(yīng)該由負(fù)責(zé)業(yè)務(wù)運作的副總裁和CIO組成IT治理結(jié)構(gòu)，而董事會主席、CEO應(yīng)直接領(lǐng)導(dǎo)IT決策監(jiān)督工作。

責(zé)任編輯：newsoul

上一篇：談被審單位業(yè)務(wù)電子數(shù)據(jù)字典的分析方法

下一篇：淺議事務(wù)所合并風(fēng)險的防范