T投入的產(chǎn)出風(fēng)險。風(fēng)險管理部更多的是從業(yè)務(wù)角度看IT可能對業(yè)務(wù)造成的潛在影響,并找出這些潛在的IT風(fēng)險。我們IT部門更多的是從信息系統(tǒng)運(yùn)行、維護(hù)的角度去看系統(tǒng)的潛在風(fēng)險。
在IT部門內(nèi)部,我們會每月進(jìn)行嚴(yán)格的定期安全巡檢,這個巡檢不僅涉及核心系統(tǒng),還包括日常管理、設(shè)施維護(hù)等IT部門的方方面面。為此我們已經(jīng)形成了固定的表格,每次巡檢會按照表格逐個核對,檢查涉及IT部門的每一個流程。我們還會有監(jiān)控,僅監(jiān)控的表格每天就有6張,對于發(fā)現(xiàn)的潛在問題都能立刻解決。
景忠更多的是從IT部門的角度談對IT風(fēng)險的管理。王宇文,你能否談?wù)勚泻S偷腎T審計部門是怎么對IT風(fēng)險進(jìn)行審計的?
王宇文:在以前,審計部門主要是對企業(yè)財務(wù)、企業(yè)經(jīng)營等的最后結(jié)果進(jìn)行審計,現(xiàn)在審計工作正在不斷前移,從對結(jié)果的審計前移到對制度、流程、實際執(zhí)行過程進(jìn)行以風(fēng)險為導(dǎo)向的全周期的審計,包括對風(fēng)險的識別和控制,因為這些結(jié)果的產(chǎn)生往往是由之前的不規(guī)范造成的。IT審計也是對風(fēng)險進(jìn)行事前控制的有效環(huán)節(jié)之一。
從去年開始,審計監(jiān)察部已經(jīng)對集團(tuán)的下屬上市公司進(jìn)行過兩次IT審計,主要是依據(jù)COBIT。我們對COBIT要求的34個流程進(jìn)行了某些簡化,并根據(jù)中海油的業(yè)務(wù)特點增加了一些內(nèi)容,并以企業(yè)標(biāo)準(zhǔn)的形式發(fā)布了中海油內(nèi)部的信息系統(tǒng)審計標(biāo)準(zhǔn)。IT部門根據(jù)這個要點進(jìn)行風(fēng)險控制和管理,我們也是依據(jù)要點中的內(nèi)容進(jìn)行IT審計。
在中海油,IT審計不是單獨進(jìn)行的,而是與整個公司審計一并進(jìn)行的。IT部門與IT審計部門關(guān)注風(fēng)險的角度確實有所不同,但是都會遵循相應(yīng)的標(biāo)準(zhǔn)規(guī)范。王東紅,請你給我們介紹一下目前主流的標(biāo)準(zhǔn)規(guī)范有哪些?
王東紅:IT風(fēng)險是業(yè)務(wù)與IT技術(shù)結(jié)合的產(chǎn)物。未雨綢繆,讓一切風(fēng)險和意外盡在掌握之中是一件非常重要的事情。于是,如何在這些潛在風(fēng)險轉(zhuǎn)化為災(zāi)難之前,就能迅速地被發(fā)現(xiàn),顯得極為重要。
除了剛剛中海油提到的COBIT之外,還有很多團(tuán)體、組織或?qū)W者建立了風(fēng)險管理模型,包括澳大利亞—新西蘭聯(lián)合委員會的AS/NZE4360、英國商務(wù)部OGC發(fā)布的M-o-R模型、DavidMcName模型、加拿大CICA的CoCo內(nèi)部控制框架、1997COSO內(nèi)部控制-整合框架、IIA研究基金IASB的ERM框架、2004COSO-ERM模型等。其實,這些模型都不是IT風(fēng)險管理的模型,然而由于其廣泛適用性,現(xiàn)在不僅適用于企業(yè)風(fēng)險管理,也適用于IT風(fēng)險管理。這也正說明了IT風(fēng)險其實就是業(yè)務(wù)風(fēng)險的一部分,因為管控的手段都是類似的。
2006年銀監(jiān)會發(fā)布了關(guān)于IT風(fēng)險管理的行業(yè)指引——《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理指引》,這是我國第一部IT風(fēng)險管理規(guī)范。
至于究竟哪些規(guī)范更適合,很難有統(tǒng)一的答案。相比之下,COBIT是國際公認(rèn)的IT治理架構(gòu),這個由國際IT治理協(xié)會研究發(fā)布的模型目前被世界各地的企業(yè)廣為采用,它不僅是為用戶和審計者而設(shè)計的,同時也為管理層和公司流程的所有者提供了詳細(xì)的指導(dǎo)。
IT審計部門對信息系統(tǒng)的審計實際上就是要“挑毛病”和“找漏洞”,面對IT審計部門的這種“挑毛病”,IT部門是什么樣的態(tài)度呢?
景忠:我覺得IT審計是個很好的事情,關(guān)鍵要看這項工作能否落到實處。IT審計本質(zhì)上是一種控制,以確認(rèn)IT是否有效率、效果、安全、合規(guī)以及可靠。就目前普遍開展的IT審計而言,IT審計在合規(guī)性、安全性、可靠性等方面的實質(zhì)性作用是毋庸置疑的,而對于IT的效率及效果涉及得卻很少。
我覺得IT審計要做好,審計師必須要了解我們系統(tǒng)的特點,知道系統(tǒng)的關(guān)鍵點在哪兒,需要檢查哪些內(nèi)容,這些方面