對(duì)審計(jì)師的水平要求很高��,會(huì)有一定的難度。但是,如果IT審計(jì)師水平不高,IT審計(jì)的效果就很難預(yù)料����。
王宇文:IT審計(jì)特別是我們企業(yè)的內(nèi)部審計(jì)���,已經(jīng)從“挑毛病”轉(zhuǎn)變?yōu)閹椭痛龠M(jìn)業(yè)務(wù)部門的管理,更多扮演的是咨詢師的角色��。我們從IT風(fēng)險(xiǎn)審計(jì)的專業(yè)角度��,發(fā)現(xiàn)IT的管理及信息系統(tǒng)存在的隱藏風(fēng)險(xiǎn)�,并與IT部門一起面對(duì)風(fēng)險(xiǎn)進(jìn)行應(yīng)對(duì),從前兩次審計(jì)的過程和結(jié)果來看�����,IT部門對(duì)于IT審計(jì)確實(shí)是比較歡迎的����,因?yàn)槲覀兊哪繕?biāo)都是共同的���,那就是降低IT風(fēng)險(xiǎn)的發(fā)生,提高IT管理水平�����,確保業(yè)務(wù)穩(wěn)定和公司目標(biāo)的順利實(shí)現(xiàn)�����。
對(duì)于已經(jīng)發(fā)現(xiàn)的IT風(fēng)險(xiǎn)����,又該如何實(shí)施管理,具體流程是什么樣的?
王宇文:對(duì)于發(fā)現(xiàn)的潛在IT風(fēng)險(xiǎn)��,首先要明確應(yīng)該采取什么樣的處理措施�,這些處理措施包括承擔(dān)、規(guī)避����、分擔(dān)、轉(zhuǎn)移和減輕等等�。經(jīng)過對(duì)風(fēng)險(xiǎn)的評(píng)估排序���,就可以了解風(fēng)險(xiǎn)對(duì)企業(yè)影響的大小和發(fā)生概率。高風(fēng)險(xiǎn)是業(yè)務(wù)不能容忍的�����,就一定要采取措施減少或減輕�,有些是可以勉強(qiáng)接受的,或者有客觀條件限制的就可以進(jìn)行轉(zhuǎn)移或者減輕�。這個(gè)過程中也需要進(jìn)行評(píng)估和權(quán)衡,因?yàn)楹芏啻胧┑牟捎枚夹枰芳油顿Y�,在確定之前一定要評(píng)估這些投資是否值得,評(píng)估完成之后才會(huì)采取相應(yīng)的措施��。
對(duì)于每一個(gè)識(shí)別出來的風(fēng)險(xiǎn)���,相應(yīng)的部門簽字確認(rèn)之后,每個(gè)風(fēng)險(xiǎn)都有相應(yīng)的責(zé)任人�����,風(fēng)險(xiǎn)責(zé)任人要不斷跟蹤這些風(fēng)險(xiǎn)�,定期對(duì)風(fēng)險(xiǎn)處理的措施和效果進(jìn)行評(píng)估,確保風(fēng)險(xiǎn)得到有效控制����,審計(jì)部門也要定期對(duì)風(fēng)險(xiǎn)的管理進(jìn)行檢查評(píng)價(jià)���。
為了確保風(fēng)險(xiǎn)管理的措施能落到實(shí)處,中海油同樣做了很多工作���。審計(jì)監(jiān)察部專門開發(fā)了全集團(tuán)統(tǒng)一的風(fēng)險(xiǎn)管理信息系統(tǒng)���,進(jìn)入系統(tǒng)中,可以隨時(shí)查看當(dāng)前的風(fēng)險(xiǎn)列表��,每個(gè)風(fēng)險(xiǎn)由什么部門負(fù)責(zé)��、需要在什么時(shí)間采取什么措施將風(fēng)險(xiǎn)降低到什么程度���,以及相應(yīng)的完成情況���,都一目了然。領(lǐng)導(dǎo)層可以隨時(shí)對(duì)風(fēng)險(xiǎn)管理工作進(jìn)行跟蹤和監(jiān)督����。我們這套系統(tǒng)也得到了國資委的肯定。
除了風(fēng)險(xiǎn)管理信息系統(tǒng)確保實(shí)時(shí)跟蹤和監(jiān)督之外��,中海油還通過科學(xué)合理的組織結(jié)構(gòu)、將風(fēng)險(xiǎn)管理效果與績(jī)效考核掛鉤等手段�����,確保風(fēng)險(xiǎn)管理落到實(shí)處���。
隨著風(fēng)險(xiǎn)管理工作的深入�,我們的認(rèn)識(shí)也在逐步提高�����,風(fēng)險(xiǎn)管理涉及到的流程管理���、制度體系管理是整個(gè)企業(yè)管理的核心����,以往這些管理都是分散在各個(gè)部門獨(dú)立管理的�����,現(xiàn)在��,我們正在擴(kuò)充風(fēng)險(xiǎn)管理系統(tǒng)功能���,以流程管理為核心建立企業(yè)管理框架模型�,把組織��、制度��、管理����、監(jiān)督等管理功能與流程管理有機(jī)地關(guān)聯(lián)在一起,使企業(yè)管理更加清晰��、有效����。
景忠,你在前面談到了目前有內(nèi)部巡檢����、IT審計(jì)和IT決策委員會(huì)對(duì)潛在IT風(fēng)險(xiǎn)進(jìn)行三重把關(guān),這已經(jīng)是很完備的體系了����,你覺得還有哪些可以改進(jìn)的地方嗎?
景忠:有一個(gè)問題我一直在擔(dān)心,那就是供應(yīng)商可能帶來的風(fēng)險(xiǎn)。目前來看��,證券行業(yè)的供應(yīng)商就那么幾家����,可選擇的余地很小,這些供應(yīng)商的系統(tǒng)是不是存在漏洞���,券商的IT部門很難有能力去檢測(cè)����,并且���,這些供應(yīng)商的突然變故也會(huì)對(duì)我們?cè)斐珊艽蟮挠绊?���,比如之前Novell公司的轉(zhuǎn)型���,就給很多券商帶來了不小的麻煩��。還有去年證券行業(yè)推行的第三方存管���,當(dāng)時(shí)很多券商也都比較倉促,是否存在風(fēng)險(xiǎn)還需要進(jìn)一步核實(shí)��。
這些外部因素造成的潛在風(fēng)險(xiǎn)�,目前仍然缺乏比較有效的手段去及時(shí)發(fā)現(xiàn),這是整個(gè)行業(yè)都普遍面臨的風(fēng)險(xiǎn)���,不是一兩家券商就能解決的�����,需要有更高層面特別是監(jiān)管機(jī)構(gòu)的組織����,才能更好地解決這些問題�。
中海油和民生證券對(duì)IT風(fēng)險(xiǎn)管理都非常重視,相信大多數(shù)企業(yè)的IT風(fēng)險(xiǎn)管理都還沒有達(dá)到他們的水平���。王東紅��,對(duì)于如何更好地實(shí)施IT風(fēng)險(xiǎn)管理����,你能不能給點(diǎn)建議?
王東紅:目前來看�����,國內(nèi)企業(yè)的IT風(fēng)險(xiǎn)管理主要面臨如下挑戰(zhàn):董事會(huì)和高級(jí)管理層缺乏對(duì)信息技