IT風(fēng)險�����。我們IT部門更多的是從信息系統(tǒng)運(yùn)行、維護(hù)的角度去看系統(tǒng)的潛在風(fēng)險��。
在IT部門內(nèi)部,我們會每月進(jìn)行嚴(yán)格的定期安全巡檢��,這個巡檢不僅涉及核心系統(tǒng)��,還包括日常管理���、設(shè)施維護(hù)等IT部門的方方面面����。為此我們已經(jīng)形成了固定的表格�����,每次巡檢會按照表格逐個核對����,檢查涉及IT部門的每一個流程。我們還會有監(jiān)控���,僅監(jiān)控的表格每天就有6張���,對于發(fā)現(xiàn)的潛在問題都能立刻解決。
景忠更多的是從IT部門的角度談對IT風(fēng)險的管理�。王宇文��,你能否談?wù)勚泻S偷腎T審計部門是怎么對IT風(fēng)險進(jìn)行審計的?
王宇文:在以前����,審計部門主要是對企業(yè)財務(wù)�、企業(yè)經(jīng)營等的最后結(jié)果進(jìn)行審計,現(xiàn)在審計工作正在不斷前移����,從對結(jié)果的審計前移到對制度、流程��、實(shí)際執(zhí)行過程進(jìn)行以風(fēng)險為導(dǎo)向的全周期的審計�,包括對風(fēng)險的識別和控制,因?yàn)檫@些結(jié)果的產(chǎn)生往往是由之前的不規(guī)范造成的�。IT審計也是對風(fēng)險進(jìn)行事前控制的有效環(huán)節(jié)之一。
從去年開始����,審計監(jiān)察部已經(jīng)對集團(tuán)的下屬上市公司進(jìn)行過兩次IT審計���,主要是依據(jù)COBIT�����。我們對COBIT要求的34個流程進(jìn)行了某些簡化�����,并根據(jù)中海油的業(yè)務(wù)特點(diǎn)增加了一些內(nèi)容����,并以企業(yè)標(biāo)準(zhǔn)的形式發(fā)布了中海油內(nèi)部的信息系統(tǒng)審計標(biāo)準(zhǔn)。IT部門根據(jù)這個要點(diǎn)進(jìn)行風(fēng)險控制和管理��,我們也是依據(jù)要點(diǎn)中的內(nèi)容進(jìn)行IT審計����。
在中海油,IT審計不是單獨(dú)進(jìn)行的��,而是與整個公司審計一并進(jìn)行的��。IT部門與IT審計部門關(guān)注風(fēng)險的角度確實(shí)有所不同��,但是都會遵循相應(yīng)的標(biāo)準(zhǔn)規(guī)范�����。王東紅�����,請你給我們介紹一下目前主流的標(biāo)準(zhǔn)規(guī)范有哪些?
王東紅:IT風(fēng)險是業(yè)務(wù)與IT技術(shù)結(jié)合的產(chǎn)物。未雨綢繆����,讓一切風(fēng)險和意外盡在掌握之中是一件非常重要的事情。于是����,如何在這些潛在風(fēng)險轉(zhuǎn)化為災(zāi)難之前,就能迅速地被發(fā)現(xiàn)�����,顯得極為重要���。
除了剛剛中海油提到的COBIT之外�,還有很多團(tuán)體����、組織或?qū)W者建立了風(fēng)險管理模型���,包括澳大利亞—新西蘭聯(lián)合委員會的AS/NZE4360����、英國商務(wù)部OGC發(fā)布的M-o-R模型、DavidMcName模型�、加拿大CICA的CoCo內(nèi)部控制框架、1997COSO內(nèi)部控制-整合框架���、IIA研究基金IASB的ERM框架��、2004COSO-ERM模型等����。其實(shí)���,這些模型都不是IT風(fēng)險管理的模型�,然而由于其廣泛適用性�����,現(xiàn)在不僅適用于企業(yè)風(fēng)險管理��,也適用于IT風(fēng)險管理��。這也正說明了IT風(fēng)險其實(shí)就是業(yè)務(wù)風(fēng)險的一部分���,因?yàn)楣芸氐氖侄味际穷愃频摹?/P>
2006年銀監(jiān)會發(fā)布了關(guān)于IT風(fēng)險管理的行業(yè)指引——《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理指引》����,這是我國第一部IT風(fēng)險管理規(guī)范。
至于究竟哪些規(guī)范更適合�,很難有統(tǒng)一的答案。相比之下���,COBIT是國際公認(rèn)的IT治理架構(gòu)����,這個由國際IT治理協(xié)會研究發(fā)布的模型目前被世界各地的企業(yè)廣為采用���,它不僅是為用戶和審計者而設(shè)計的�,同時也為管理層和公司流程的所有者提供了詳細(xì)的指導(dǎo)���。
IT審計部門對信息系統(tǒng)的審計實(shí)際上就是要“挑毛病”和“找漏洞”,面對IT審計部門的這種“挑毛病”�����,IT部門是什么樣的態(tài)度呢?
景忠:我覺得IT審計是個很好的事情�,關(guān)鍵要看這項(xiàng)工作能否落到實(shí)處。IT審計本質(zhì)上是一種控制�,以確認(rèn)IT是否有效率�����、效果��、安全����、合規(guī)以及可靠。就目前普遍開展的IT審計而言��,IT審計在合規(guī)性�、安全性、可靠性等方面的實(shí)質(zhì)性作用是毋庸置疑的�,而對于IT的效率及效果涉及得卻很少。
我覺得IT審計要做好���,審計師必須要了解我們系統(tǒng)的特點(diǎn)���,知道系統(tǒng)的關(guān)鍵點(diǎn)在哪兒,需要檢查哪些內(nèi)容�,這些方面對審計師的水平要求很高,會有一定的難度。但是��,如果IT審計師水平不高����,IT審計的效果就很難預(yù)料。
王宇文:IT審計特別是我