IT治理风险审计需要注意二三事

2014-11-08 21:52:56 大云网　点击量：评论 (0)

ＩＴ治理就是企图通过对ＩＴ（信息技术）投资方向、方式、价值及相关责任等重大决策方面的管理使ＩＴ使用达到理想的效果。在我国，开展ＩＴ治理风险审计有如下2点需要注意：　　1 要掌握ＩＴ治理发展方向和新的研

ＩＴ治理就是企图通过对ＩＴ（信息技术）投资方向、方式、价值及相关责任等重大决策方面的管理使ＩＴ使用达到理想的效果。在我国，开展ＩＴ治理风险审计有如下2点需要注意：

　　1.要掌握ＩＴ治理发展方向和新的研究领域

　　2003年，普华永道受ＩＳＡＣＡＩＴ治理协会的委托，对ＩＴ治理框架及其应用进行调查，旨在跟踪并预测ＩＴ治理的发展趋势及新的研究领域。2005年，普华再次接受ＩＴ治理协会的委托，从2005年7月开始，历时4个月，完成了对四大洲内695家组织的调查，获得重要发现：

　　（1）ＩＴ对业务的重要性前所未有。被调查者中，87％认为，ＩＴ对公司战略和愿景的交付极为重要；63％的人说，ＩＴ定期或者总是出现在董事会议上。

　　（2）相比ＩＴ经理，普通经理对ＩＴ更积极。与ＩＴ经理相比，普通经理认为ＩＴ更紧急、更重要。

　　此外，他们总体上对ＩＴ与业务战略整合更关心。

　　（3）不同行业间存在极大的差异。谈到ＩＴ治理，ＩＴ、电信和金融服务业做得比较好，而零售业和制造业就要差一些，这些结果与ＩＴ在这些行业中的战略重要性是一致的。

　　（4）ＩＴ职员是最重要的ＩＴ相关问题。考虑到这个问题的所有方面，比如事件发生的频率、问题的严重性和未来的发展等等，ＩＴ职员似乎成为ＩＴ资源中最重要的问题。

　　（5）ＩＴ安全不是最重要的ＩＴ相关问题。当把问题的所有方面都考虑在内的时候，安全性（和符合性）名列最后。

　　（6）ＩＴ外包正在成为过去时。ＩＴ外包不再被视为解决ＩＴ问题最有效方式。随着业务和ＩＴ的发展，人们越来越意识到，ＩＴ问题不能被外包，越来越多的人倾向于由自己内部来控制有问题的系统。

　　（7）实施ＩＴ治理（和ＣＯＢＩＴ）不像原来设想那样简单。事实证实以下2点：良好的ＩＴ治理实践不是一蹴而就的，它的确需要时间和持续的努力；实施ＣＯＢＩＴ不是简单地照抄文档，照搬它的条款来实施。相反，它是一个过程，这个过程包括选择最合适的要素，根据需求量体裁衣，并将它们应用于组织的特定需求。

　　2.ＩＴ治理风险审计的主体问题

　　ＩＴ治理风险审计由谁来执行呢？应该说，不同体制、不同性质的企业，执行ＩＴ治理风险审计的主体是不同的。目前，就公司治理风险审计、ＩＴ治理风险审计主体应如何构成的研究在国际学术界基本上还是个空白。上市公司会计师执行风险评估、控制测评和财务报告审计时，由于需要与公司治理层进行沟通、对它的ＩＴ系统风险进行测试，可能会对公司ＩＴ治理风险进行一定程度的审计，但是，ＩＴ治理风险审计绝不是ＣＰＡ审计的核心任务。

　　由企业审计委员会和内部审计组织执行ＩＴ治理风险审计怎么样？从结构层次上看，让审计委员会和内部审计来监督ＩＴ治理效果应该说级别不够，很难起到威慑和监督效果。

　　我们认为，在公司治理比较有成效的企业，可由独立于ＩＴ治理委员会、执行管理层以外的董事成员和高管成员及审计委员会组成ＩＴ治理风险监督审核机构，这样就形成：由ＩＴ治理层负责制定决策标准，由监督层负责对决策及执行情况实施审核。

　　这样，反观ＩＴ治理结构的构成，我们就会发现，目前提倡的ＩＴ系统是“一把手”工程就存在问题了。若董事会主席、ＣＥＯ作为ＩＴ治理层的“一把手”，那么，就会给决策监督造成麻烦，由此推论，我们认为在公司治理比较有成效的企业，应该由负责业务运作的副总裁和ＣＩＯ组成ＩＴ治理结构，而董事会主席、ＣＥＯ应直接领导ＩＴ决策监督工作。