黃力

摘 要：積極構(gòu)建以風(fēng)險(xiǎn)為導(dǎo)向的審計(jì)機(jī)制，是有效降低IT風(fēng)險(xiǎn)的可行手段，對(duì)通信企業(yè)而言意義重大。本文將積極探討通信企業(yè)對(duì)風(fēng)險(xiǎn)導(dǎo)向IT審計(jì)的應(yīng)用，通過策略構(gòu)思、審計(jì)實(shí)施兩部分內(nèi)容，詳細(xì)闡述通信企業(yè)中的IT審計(jì)應(yīng)用，以期為其他企業(yè)應(yīng)用提供參考。

關(guān)鍵詞：風(fēng)險(xiǎn)導(dǎo)向 IT審計(jì) 通信企業(yè)

如今，通信5G時(shí)代正在悄然向人們走來(lái)，通信行業(yè)迎來(lái)了新的發(fā)展機(jī)遇與挑戰(zhàn)。作為通信企業(yè)中的重要活躍因素與信息特色，IT的作用舉足輕重。以中國(guó)移動(dòng)為例，多年來(lái)其年度財(cái)務(wù)報(bào)表在通信企業(yè)中扮演著重要的角色，信息技術(shù)的應(yīng)用所形成的產(chǎn)業(yè)化價(jià)值占到總資產(chǎn)價(jià)值的八成以上。當(dāng)前的通信企業(yè)需要關(guān)注的課題在于，如何能夠在日益增多的IT資源中合理降低風(fēng)險(xiǎn)隱患，從而不斷推動(dòng)企業(yè)贏得各項(xiàng)業(yè)務(wù)的綜合發(fā)展。在合理降低風(fēng)險(xiǎn)隱患方面，積極構(gòu)建以風(fēng)險(xiǎn)為導(dǎo)向的審計(jì)機(jī)制，是有效控制并降低IT風(fēng)險(xiǎn)的可行手段。

一、IT審計(jì)策略構(gòu)思

IT審計(jì)策略的構(gòu)思建設(shè)，理論模型上應(yīng)該與當(dāng)前的通信企業(yè)內(nèi)部審計(jì)框架保持一致。按照內(nèi)審框架原則，IT審計(jì)主策略涉及三大層次即組織結(jié)構(gòu)、人員、基建，組織結(jié)構(gòu)層次強(qiáng)調(diào)要對(duì)具體的IT審計(jì)工作提出合理可行的目標(biāo)與任務(wù)流；人員層次強(qiáng)調(diào)應(yīng)關(guān)注企業(yè)人力資源及其他公共資源管理，增進(jìn)人員綜合技能，有效實(shí)現(xiàn)人才保值和增值；基建層次所強(qiáng)調(diào)的機(jī)制評(píng)估要素包括政策及方法論、工具和技術(shù)、專業(yè)知識(shí)與管理經(jīng)驗(yàn)、運(yùn)營(yíng)目標(biāo)與指標(biāo)、業(yè)績(jī)考核、運(yùn)營(yíng)質(zhì)量指標(biāo)等。針對(duì)三個(gè)層次的內(nèi)容建立IT審計(jì)策略。

二、IT審計(jì)的實(shí)施關(guān)鍵點(diǎn)

通常，IT審計(jì)可分解為三階段，其一為IT審計(jì)計(jì)劃、其二為IT審計(jì)實(shí)施、其三為IT審計(jì)的報(bào)告與發(fā)展。在探討風(fēng)險(xiǎn)導(dǎo)向IT審計(jì)應(yīng)用中，風(fēng)險(xiǎn)的評(píng)估要合理分布在上述三個(gè)階段中，發(fā)揮相應(yīng)的作用。

第一階段：IT審計(jì)計(jì)劃。計(jì)劃階段的主要任務(wù)自然涵蓋審計(jì)目標(biāo)計(jì)劃的設(shè)定，著重評(píng)估審計(jì)風(fēng)險(xiǎn)，估量審計(jì)的資源消耗量，明確審計(jì)工作次序與相關(guān)執(zhí)法人員職責(zé)。因此通信企業(yè)在具體IT審計(jì)應(yīng)用過程中，不能忽視對(duì)主要因素的考量，有效把握審計(jì)業(yè)務(wù)流程中所憑借的信息技術(shù)與信息系統(tǒng)科學(xué)性與可靠性，把握提升信息技術(shù)管理效能的組織架構(gòu)合理性，深層考慮IT信息系統(tǒng)的框架規(guī)范性以及信息系統(tǒng)中長(zhǎng)期發(fā)展規(guī)劃，有效分析掌握信息系統(tǒng)及相關(guān)業(yè)務(wù)流程的變更，統(tǒng)籌梳理信息系統(tǒng)的復(fù)雜度，合理確定IT審計(jì)應(yīng)用的情況發(fā)展。通信企業(yè)要緊密關(guān)注IT審計(jì)架構(gòu)中不同信息層面的風(fēng)險(xiǎn)，如組織或控制層面的風(fēng)險(xiǎn)主要來(lái)自于業(yè)務(wù)關(guān)注度、信息量?jī)r(jià)值、信息技術(shù)與專業(yè)人員依賴度、信息系統(tǒng)及運(yùn)行環(huán)境的安全性、信息系統(tǒng)及技術(shù)應(yīng)用的法律支撐規(guī)范性。而在通信企業(yè)的IT業(yè)務(wù)流程層面，由于大量信息數(shù)據(jù)的輸入輸出與計(jì)算處理可能存在信息缺失或失真而導(dǎo)致風(fēng)險(xiǎn)隱患增大，需要對(duì)信息的輸入、輸出、運(yùn)算、分析處理等環(huán)節(jié)的風(fēng)險(xiǎn)提高安全防范。

第二階段：IT審計(jì)實(shí)施。進(jìn)入IT審計(jì)實(shí)施階段后，組織層面的IT控制要素將主要分成四個(gè)模塊，分別為控制環(huán)境、風(fēng)險(xiǎn)評(píng)估管理機(jī)制、信息系統(tǒng)與構(gòu)圖中和監(jiān)控管理。業(yè)務(wù)流程層面的IT控制要素分類更加具體且復(fù)雜，主要的要素體現(xiàn)在業(yè)務(wù)授權(quán)、業(yè)務(wù)批準(zhǔn)、業(yè)務(wù)系統(tǒng)配置、異常及差錯(cuò)報(bào)告等。特別是對(duì)于信息技術(shù)的一般性IT控制而言，要素主要體現(xiàn)在信息安全、系統(tǒng)變更、開發(fā)與采購(gòu)、系統(tǒng)運(yùn)行等四個(gè)方面。

基于風(fēng)險(xiǎn)導(dǎo)向的IT審計(jì)工作應(yīng)用在通信企業(yè)后，往往沿用典型方法來(lái)達(dá)到理想的IT審計(jì)工作效果。首先要與具體的IT信息技術(shù)控制人員取得聯(lián)系，在實(shí)施合理詢問機(jī)制的基礎(chǔ)上，對(duì)于IT審計(jì)控制中的典型或特定運(yùn)用模式與效果進(jìn)行觀察，有效收集整理IT審計(jì)的相關(guān)文件資料或數(shù)據(jù)報(bào)告，對(duì)當(dāng)前企業(yè)所使用的信息系統(tǒng)特性進(jìn)行剖析和梳理，完成穿行測(cè)試與追蹤交易，主動(dòng)通過技術(shù)手段來(lái)驗(yàn)證系統(tǒng)處于控制狀態(tài)所賦予的計(jì)算邏輯，靈活選擇時(shí)間點(diǎn)進(jìn)行系統(tǒng)登錄操作完成系統(tǒng)主要信息的查詢，同時(shí)優(yōu)化計(jì)算機(jī)操作方法來(lái)輔助完成審計(jì)工具與技術(shù)的改進(jìn)，充分保證獨(dú)立性和客觀性，突出強(qiáng)調(diào)職業(yè)技能質(zhì)量控制前提，積極參照相關(guān)專業(yè)機(jī)構(gòu)所做出的IT審計(jì)結(jié)果，同時(shí)加大對(duì)信息技術(shù)內(nèi)部控制的自我評(píng)估結(jié)果的形成和整理。需要注意的是，若IT審計(jì)作為獨(dú)立單元并入綜合性審計(jì)項(xiàng)目時(shí)，操作人員應(yīng)該與綜合審計(jì)工作中的其他人員保持緊密溝通，相互共享審計(jì)發(fā)現(xiàn)內(nèi)容，廣泛參考依據(jù)不同的審計(jì)結(jié)果來(lái)合理調(diào)整其他相關(guān)審計(jì)的范圍、時(shí)間及性質(zhì)。

三、計(jì)算機(jī)輔助審計(jì)技術(shù)在通訊企業(yè)中的應(yīng)用

計(jì)算機(jī)輔助審計(jì)技術(shù)，簡(jiǎn)稱CAATs，官方定義是能夠輔助完成IT審計(jì)工作的所有自動(dòng)化技術(shù)集合，其中包括審計(jì)通用軟件、專業(yè)功能性軟件、實(shí)驗(yàn)測(cè)試數(shù)據(jù)、審計(jì)專家系統(tǒng)等，同時(shí)還可包括審計(jì)工作中需要大量應(yīng)用的文字處理軟件、電子表格、數(shù)據(jù)庫(kù)軟件等載體或平臺(tái)。在通信企業(yè)中，可使用計(jì)算機(jī)輔助審計(jì)技術(shù)的情況主要涉及：審計(jì)工作的規(guī)劃、信息系統(tǒng)的分析記錄、信息系統(tǒng)的測(cè)試運(yùn)營(yíng)、數(shù)據(jù)類測(cè)試、交易行為測(cè)試、問題解決機(jī)制以及辦公自動(dòng)化。計(jì)算機(jī)輔助審計(jì)技術(shù)應(yīng)用效果受計(jì)算機(jī)理論與操作技能、審計(jì)人員工作經(jīng)驗(yàn)、高度匹配設(shè)備、運(yùn)行場(chǎng)所、由CAATs取代人工作業(yè)的實(shí)際效率、耗時(shí)限制、信息系統(tǒng)可靠性、和技術(shù)運(yùn)行環(huán)境真實(shí)性、審計(jì)風(fēng)險(xiǎn)級(jí)別等不同要素的影響。通信企業(yè)應(yīng)用計(jì)算機(jī)輔助審計(jì)技術(shù)可分計(jì)劃、執(zhí)行、報(bào)告三個(gè)階段來(lái)實(shí)施。

結(jié)束語(yǔ)

風(fēng)險(xiǎn)導(dǎo)向IT審計(jì)在通信企業(yè)中的應(yīng)用，應(yīng)該積極考慮通信企業(yè)的IT系統(tǒng)狀況、IT治理結(jié)構(gòu)以及IT審計(jì)資源基礎(chǔ)，有效借鑒并廣泛吸收世界范圍內(nèi)的通信企業(yè)IT審計(jì)經(jīng)驗(yàn)，整理上抬高IT審計(jì)水平，并強(qiáng)化IT審計(jì)人員素質(zhì)，有效規(guī)避IT風(fēng)險(xiǎn)。

參考文獻(xiàn)：

[1] 胡尚可. 風(fēng)險(xiǎn)導(dǎo)向IT審計(jì)在通信企業(yè)中的應(yīng)用[J]. 中國(guó)內(nèi)部審計(jì)， 2010（11）：60-62.

[2] 楊明， 郭樹旭， 王雋. 電信企業(yè)信息技術(shù)審計(jì)的實(shí)踐與思考[J]. 通信技術(shù)， 2010， 43（4）：147-148.

[3] 董驊. XX通信公司的IT審計(jì)風(fēng)險(xiǎn)研究[D]. 北京交通大學(xué)， 2016.