對審計師的水平要求很高����,會有一定的難度�。但是,如果IT審計師水平不高����,IT審計的效果就很難預料。
王宇文:IT審計特別是我們企業(yè)的內部審計����,已經從“挑毛病”轉變?yōu)閹椭痛龠M業(yè)務部門的管理,更多扮演的是咨詢師的角色��。我們從IT風險審計的專業(yè)角度��,發(fā)現(xiàn)IT的管理及信息系統(tǒng)存在的隱藏風險�,并與IT部門一起面對風險進行應對��,從前兩次審計的過程和結果來看����,IT部門對于IT審計確實是比較歡迎的����,因為我們的目標都是共同的,那就是降低IT風險的發(fā)生��,提高IT管理水平�����,確保業(yè)務穩(wěn)定和公司目標的順利實現(xiàn)���。
對于已經發(fā)現(xiàn)的IT風險��,又該如何實施管理�,具體流程是什么樣的?
王宇文:對于發(fā)現(xiàn)的潛在IT風險�,首先要明確應該采取什么樣的處理措施,這些處理措施包括承擔��、規(guī)避�、分擔���、轉移和減輕等等。經過對風險的評估排序�,就可以了解風險對企業(yè)影響的大小和發(fā)生概率。高風險是業(yè)務不能容忍的�����,就一定要采取措施減少或減輕�,有些是可以勉強接受的�����,或者有客觀條件限制的就可以進行轉移或者減輕�����。這個過程中也需要進行評估和權衡��,因為很多措施的采用都需要追加投資���,在確定之前一定要評估這些投資是否值得��,評估完成之后才會采取相應的措施����。
對于每一個識別出來的風險,相應的部門簽字確認之后����,每個風險都有相應的責任人,風險責任人要不斷跟蹤這些風險�����,定期對風險處理的措施和效果進行評估����,確保風險得到有效控制,審計部門也要定期對風險的管理進行檢查評價�����。
為了確保風險管理的措施能落到實處��,中海油同樣做了很多工作����。審計監(jiān)察部專門開發(fā)了全集團統(tǒng)一的風險管理信息系統(tǒng),進入系統(tǒng)中�,可以隨時查看當前的風險列表��,每個風險由什么部門負責��、需要在什么時間采取什么措施將風險降低到什么程度�,以及相應的完成情況�,都一目了然。領導層可以隨時對風險管理工作進行跟蹤和監(jiān)督�����。我們這套系統(tǒng)也得到了國資委的肯定�。
除了風險管理信息系統(tǒng)確保實時跟蹤和監(jiān)督之外����,中海油還通過科學合理的組織結構、將風險管理效果與績效考核掛鉤等手段����,確保風險管理落到實處。
隨著風險管理工作的深入���,我們的認識也在逐步提高�����,風險管理涉及到的流程管理���、制度體系管理是整個企業(yè)管理的核心��,以往這些管理都是分散在各個部門獨立管理的��,現(xiàn)在�����,我們正在擴充風險管理系統(tǒng)功能����,以流程管理為核心建立企業(yè)管理框架模型�����,把組織����、制度、管理��、監(jiān)督等管理功能與流程管理有機地關聯(lián)在一起,使企業(yè)管理更加清晰�����、有效�。
景忠,你在前面談到了目前有內部巡檢����、IT審計和IT決策委員會對潛在IT風險進行三重把關,這已經是很完備的體系了����,你覺得還有哪些可以改進的地方嗎?
景忠:有一個問題我一直在擔心,那就是供應商可能帶來的風險����。目前來看����,證券行業(yè)的供應商就那么幾家,可選擇的余地很小���,這些供應商的系統(tǒng)是不是存在漏洞���,券商的IT部門很難有能力去檢測���,并且,這些供應商的突然變故也會對我們造成很大的影響��,比如之前Novell公司的轉型�����,就給很多券商帶來了不小的麻煩�。還有去年證券行業(yè)推行的第三方存管,當時很多券商也都比較倉促���,是否存在風險還需要進一步核實��。
這些外部因素造成的潛在風險���,目前仍然缺乏比較有效的手段去及時發(fā)現(xiàn),這是整個行業(yè)都普遍面臨的風險�����,不是一兩家券商就能解決的�,需要有更高層面特別是監(jiān)管機構的組織�,才能更好地解決這些問題��。
中海油和民生證券對IT風險管理都非常重視��,相信大多數(shù)企業(yè)的IT風險管理都還沒有達到他們的水平���。王東紅�,對于如何更好地實施IT風險管理�����,你能不能給點建議?
王東紅:目前來看���,國內企業(yè)的IT風險管理主要面臨如下挑戰(zhàn):董事會和高級管理層缺乏對信息技