吳永林

（江蘇省蘇豪控股集團(tuán)有限公司，江蘇南京 210012）

本研究將以IT風(fēng)險(xiǎn)管理和審計(jì)為研究對(duì)象，對(duì)綜合大型企業(yè)集團(tuán)進(jìn)行行業(yè)風(fēng)險(xiǎn)分析，對(duì)IT風(fēng)控和審計(jì)現(xiàn)狀進(jìn)行客觀描述，進(jìn)一步探討符合IT風(fēng)險(xiǎn)管理和IT審計(jì)的解決方案。

1 行業(yè)背景

國(guó)有企業(yè)改革是我國(guó)經(jīng)濟(jì)體制改革的中心環(huán)節(jié)，我國(guó)國(guó)有企業(yè)多年來先后進(jìn)行了擴(kuò)權(quán)讓利、承包經(jīng)營(yíng)責(zé)任制、股份制、政企分開、戰(zhàn)略調(diào)整等方面的改革[1]。許多傳統(tǒng)意義上的國(guó)企已經(jīng)成為大型綜合國(guó)企，然而這些大型國(guó)企至今仍處于攻堅(jiān)階段，運(yùn)行機(jī)制不合理等矛盾得不到合理解決。因此，深化大型國(guó)有企業(yè)改革成為現(xiàn)今大型國(guó)有企業(yè)提高競(jìng)爭(zhēng)力的關(guān)鍵。

1.1 企業(yè)混合所有制改革

當(dāng)前，推進(jìn)國(guó)有企業(yè)混合所有制改革成為促進(jìn)公平市場(chǎng)的當(dāng)務(wù)之急。在十三屆全國(guó)人大二次會(huì)議上，國(guó)家發(fā)改委副主任連維良表示，在加大國(guó)企混改方面，2019年將推出第四批100家以上的混改試點(diǎn)[2]。

當(dāng)下，大多數(shù)行業(yè)都處于國(guó)有企業(yè)和民營(yíng)企業(yè)共存的狀態(tài)。而兩種企業(yè)的特點(diǎn)都是很顯著的：國(guó)有企業(yè)享有較高的信譽(yù)和穩(wěn)定性、特殊的融資渠道，且在國(guó)計(jì)民生等方面存在優(yōu)勢(shì)；民營(yíng)企業(yè)在運(yùn)營(yíng)方面更具有靈活性，對(duì)于競(jìng)爭(zhēng)性行業(yè)和科技創(chuàng)業(yè)型行業(yè)的創(chuàng)辦和運(yùn)營(yíng)具有優(yōu)勢(shì)。而“國(guó)企混改”將促進(jìn)國(guó)有資本和其他所有制資本取長(zhǎng)補(bǔ)短、共同發(fā)展。

1.2 集團(tuán)化戰(zhàn)略

在復(fù)雜的市場(chǎng)競(jìng)爭(zhēng)環(huán)境下，國(guó)內(nèi)企業(yè)面臨巨大的機(jī)遇和挑戰(zhàn)，大型綜合國(guó)企集團(tuán)可以利用集團(tuán)化戰(zhàn)略優(yōu)勢(shì)，使母公司以資本運(yùn)作的方式將企業(yè)做大，使子公司避免由于某一方面的失利而全盤皆輸，各成員企業(yè)可以利用專業(yè)化分工與合作，共同實(shí)現(xiàn)集團(tuán)的綜合運(yùn)營(yíng)。在集團(tuán)化管理下，成員企業(yè)可以結(jié)合優(yōu)勢(shì)企業(yè)的優(yōu)良企業(yè)文化和管理方法，提高企業(yè)的管理水平。企業(yè)集團(tuán)利用各企業(yè)的經(jīng)濟(jì)和技術(shù)優(yōu)勢(shì)，形成最佳產(chǎn)業(yè)布局，最終達(dá)到規(guī)模效益。

1.3 外資并購(gòu)

在國(guó)際競(jìng)爭(zhēng)國(guó)內(nèi)化和國(guó)內(nèi)競(jìng)爭(zhēng)國(guó)際化的條件下，如何提升企業(yè)綜合競(jìng)爭(zhēng)力成為我國(guó)國(guó)有企業(yè)改革面臨的問題。國(guó)有企業(yè)綜合競(jìng)爭(zhēng)力的強(qiáng)弱與我國(guó)的綜合國(guó)力的興衰是密切相關(guān)的。大型國(guó)有企業(yè)利用外資并購(gòu)改造國(guó)有企業(yè)是新形勢(shì)下的新趨勢(shì)。原因是，外資并購(gòu)須遵循國(guó)際通行的慣例規(guī)則，將其引入國(guó)有企業(yè)改革，在國(guó)內(nèi)必然會(huì)創(chuàng)造出新的市場(chǎng)運(yùn)營(yíng)機(jī)制，尋求出發(fā)展的新途徑[3]。從傳統(tǒng)的合資合作方式到運(yùn)行利用跨國(guó)并購(gòu)方式，這意味著一些傳統(tǒng)的國(guó)有企業(yè)正逐步轉(zhuǎn)變?yōu)榕c經(jīng)濟(jì)發(fā)展趨勢(shì)相適應(yīng)的綜合性國(guó)有企業(yè)集團(tuán)。

2 行業(yè)風(fēng)險(xiǎn)

2.1 運(yùn)營(yíng)風(fēng)險(xiǎn)

隨著國(guó)民經(jīng)濟(jì)的提升和企業(yè)發(fā)展機(jī)會(huì)的擴(kuò)展，企業(yè)面臨的經(jīng)營(yíng)環(huán)境日益復(fù)雜，在運(yùn)營(yíng)過程中必然出現(xiàn)新型風(fēng)險(xiǎn)，特別在日常運(yùn)營(yíng)、操作方面。運(yùn)營(yíng)風(fēng)險(xiǎn)包括由于程序、系統(tǒng)或政策的不足而造成損失的可能性，具體因素包括：系統(tǒng)故障、誤操作、欺詐或其他任何干擾業(yè)務(wù)流程的事件。在日益激烈的市場(chǎng)競(jìng)爭(zhēng)中，企業(yè)若想維持核心競(jìng)爭(zhēng)力，就應(yīng)充分考慮運(yùn)營(yíng)風(fēng)險(xiǎn)帶來的影響。結(jié)合我國(guó)企業(yè)的現(xiàn)狀來看，國(guó)內(nèi)絕大部分企業(yè)都缺乏運(yùn)營(yíng)風(fēng)險(xiǎn)的識(shí)別和防范能力。企業(yè)監(jiān)督層、管理層和經(jīng)營(yíng)者缺乏運(yùn)營(yíng)風(fēng)險(xiǎn)意識(shí)，對(duì)內(nèi)部風(fēng)險(xiǎn)管理的認(rèn)知非常有限。企業(yè)在日常運(yùn)營(yíng)中未制定完善的內(nèi)部控制制度，且內(nèi)控人員并不具備足夠的監(jiān)督管理經(jīng)驗(yàn)，導(dǎo)致企業(yè)的內(nèi)控管理水平在日益復(fù)雜的運(yùn)營(yíng)情況下停滯不前。

2.2 IT風(fēng)險(xiǎn)

隨著科學(xué)技術(shù)的成熟，信息化技術(shù)在企業(yè)管理方面得到廣泛應(yīng)用。ERP系統(tǒng)是符合社會(huì)發(fā)展潮流的管理方式，在我國(guó)大部分企業(yè)都得到了應(yīng)用。該系統(tǒng)可以快速準(zhǔn)確進(jìn)行企業(yè)成本核算、高效全面處理人力資源信息、整合存儲(chǔ)企業(yè)管理信息等。在企業(yè)管理方面，不僅能大幅度提升企業(yè)決策的效率，還能幫助企業(yè)獲取全面準(zhǔn)確的信息。然而，IT技術(shù)在維持和推動(dòng)企業(yè)運(yùn)營(yíng)的同時(shí)，其本身對(duì)于企業(yè)也存在一定的風(fēng)險(xiǎn)。近幾年，國(guó)內(nèi)外IT風(fēng)險(xiǎn)事件的頻發(fā)引來IT界、商業(yè)界和學(xué)術(shù)界的密切關(guān)注。在極端情況下，IT風(fēng)險(xiǎn)事件可能會(huì)給企業(yè)帶來致命的打擊。比如，同樣是關(guān)于ERP系統(tǒng)，其本身存在多種風(fēng)險(xiǎn)：（1）質(zhì)量風(fēng)險(xiǎn)，若開發(fā)商采用低成本的開發(fā)平臺(tái)和開發(fā)工具，勢(shì)必對(duì)系統(tǒng)的開發(fā)進(jìn)度和質(zhì)量造成損害，對(duì)ERP長(zhǎng)遠(yuǎn)的發(fā)展產(chǎn)生制約；（2）移植風(fēng)險(xiǎn)，若開發(fā)商的開發(fā)環(huán)境簡(jiǎn)單封閉，而系統(tǒng)的生產(chǎn)環(huán)境開發(fā)復(fù)雜，ERP系統(tǒng)將無法實(shí)現(xiàn)其預(yù)期的價(jià)值。因此，關(guān)于如何防范IT風(fēng)險(xiǎn)，如何建立IT風(fēng)險(xiǎn)管理機(jī)制，成為企業(yè)管理領(lǐng)域不可回避的問題。

3 大型綜合性國(guó)企集團(tuán)IT審計(jì)現(xiàn)狀及關(guān)注點(diǎn)

隨著業(yè)務(wù)和管理需求的增長(zhǎng)，綜合性國(guó)企越來越重視業(yè)務(wù)信息化發(fā)展和轉(zhuǎn)型，IT審計(jì)已成為大型企業(yè)業(yè)務(wù)信息化的重要組成部分，同時(shí)也是業(yè)務(wù)信息化的內(nèi)在需要。

IT審計(jì)在我國(guó)起步較晚，由起初的理論框架構(gòu)建及對(duì)傳統(tǒng)審計(jì)的影響分析逐步向具體行業(yè)適用性的研究過渡，多集中于銀行體系內(nèi)IT審計(jì)的應(yīng)用和電力、地鐵等大型企業(yè)IT審計(jì)的構(gòu)建[4]?，F(xiàn)今，相當(dāng)數(shù)量和規(guī)模的綜合性大型企業(yè)統(tǒng)一受政府或者代表政府的國(guó)資委機(jī)構(gòu)管理，企業(yè)的審計(jì)工作對(duì)企業(yè)制度規(guī)范、資金使用和信息質(zhì)量管理具有關(guān)鍵的指引和監(jiān)督作用。隨著綜合性大型企業(yè)的改革深入，扮演企業(yè)出資人角色的國(guó)資委，通過分析和評(píng)估綜合性大型企業(yè)的審計(jì)風(fēng)險(xiǎn)，從而健全企業(yè)的監(jiān)管體系，建立專業(yè)的審計(jì)制度和實(shí)施舉措，使綜合性大型企業(yè)穩(wěn)健前行。

除了AICPA、CICA、IFAC等組織對(duì)信息技術(shù)環(huán)境下的審計(jì)制度有所規(guī)定外，國(guó)際上ISACA的信息系統(tǒng)審計(jì)準(zhǔn)則是目前較權(quán)威的IT審計(jì)標(biāo)準(zhǔn)。以上這些制度都是我國(guó)IT審計(jì)在發(fā)展中可以借鑒的。此外，我國(guó)引入或參照先進(jìn)國(guó)家的IT應(yīng)用技術(shù)，這一因素增加了借鑒國(guó)際IT審計(jì)準(zhǔn)則的實(shí)用性。由于我國(guó)在IT應(yīng)用方面與發(fā)達(dá)國(guó)家還是存在一定差距，在借鑒國(guó)際IT審計(jì)制度的同時(shí)，也要考慮中國(guó)國(guó)情。具體來說，我國(guó)IT審計(jì)領(lǐng)域尚不成熟且IT審計(jì)工作也不普遍，故我國(guó)有必要選擇性地采用國(guó)際準(zhǔn)則，并有針對(duì)性地進(jìn)行修訂，才能量身定制出符合實(shí)際情況的IT審計(jì)準(zhǔn)則。

綜合性大型企業(yè)的信息系統(tǒng)往往具有覆蓋面廣、用戶量大、軟件眾多且流程復(fù)雜的特點(diǎn)。特別是信息化管理程度較高的企業(yè)，管理層需充分認(rèn)識(shí)到信息技術(shù)潛在的風(fēng)險(xiǎn)并制定出相應(yīng)的信息系統(tǒng)審計(jì)實(shí)務(wù)操作指導(dǎo)性文件。隨著信息技術(shù)逐漸成為企業(yè)管理與內(nèi)控的重要手段，綜合性大型企業(yè)對(duì)IT審計(jì)的重視也逐步增強(qiáng)。與其他審計(jì)不同，IT審計(jì)流程主要關(guān)注于大量的信息處理技術(shù)。傳統(tǒng)的IT審計(jì)方法包括：（1）數(shù)據(jù)測(cè)試，將預(yù)先設(shè)定好的錯(cuò)誤/正確信息輸入系統(tǒng)以查看系統(tǒng)是否能有效處理數(shù)據(jù)；（2）程序流程檢查，審計(jì)人員通過觀察信息化業(yè)務(wù)流程運(yùn)行以檢測(cè)系統(tǒng)邏輯設(shè)計(jì)是否合理及運(yùn)行是否準(zhǔn)確；（3）系統(tǒng)運(yùn)行日志檢查，審計(jì)人員隨機(jī)根據(jù)導(dǎo)出日志發(fā)現(xiàn)內(nèi)在風(fēng)險(xiǎn)等。隨著IT審計(jì)領(lǐng)域逐漸成熟，大量新興技術(shù)也被應(yīng)用到IT審計(jì)中，比如：數(shù)據(jù)挖掘式審計(jì)、數(shù)據(jù)結(jié)構(gòu)驗(yàn)證、程序編碼審查及征兆發(fā)現(xiàn)技術(shù)等。IT審計(jì)新手段的出現(xiàn)也對(duì)審計(jì)人員提出了更高的要求。

4 綜合大型企業(yè)集團(tuán)的IT風(fēng)控和審計(jì)趨勢(shì)

隨著組織的發(fā)展對(duì)IT的依賴逐漸增加，面對(duì)信息技術(shù)發(fā)展所帶來的挑戰(zhàn)，企業(yè)應(yīng)該多方位、多角度制定IT治理體系，對(duì)一般信息技術(shù)控制環(huán)境和業(yè)務(wù)應(yīng)用控制環(huán)境進(jìn)行監(jiān)控。在IT治理領(lǐng)域，IT風(fēng)控是IT治理過程中的風(fēng)險(xiǎn)管理，而IT審計(jì)是IT治理的雙重保證，IT審計(jì)又是IT風(fēng)控的定期評(píng)估，三者關(guān)系可參見圖1。

圖1 IT審計(jì)、IT風(fēng)控和IT治理關(guān)系圖

4.1 IT風(fēng)險(xiǎn)控制

4.1.1 組織形式

風(fēng)險(xiǎn)控制在組織形式上包括：IT部門、風(fēng)險(xiǎn)控制部門、內(nèi)部IT審計(jì)專業(yè)人員。

4.1.1.1 “防線 1” ：IT 部門

隨著信息資源變得日益重要，與資金、物資和人力一樣，信息資源也需要專門的部門進(jìn)行管理。一個(gè)企業(yè)若想增強(qiáng)IT風(fēng)險(xiǎn)控制能力，必須具備專門的IT組織，設(shè)立各級(jí)信息化機(jī)構(gòu)，并配置相應(yīng)的專業(yè)人員，由管理層根據(jù)監(jiān)管政策要求界定各部門的職責(zé)和權(quán)限。IT職能包括企業(yè)IT管理、系統(tǒng)建設(shè)開發(fā)、運(yùn)行維護(hù)等。IT部門作為IT風(fēng)險(xiǎn)管理的“第一道防線”，承擔(dān)識(shí)別風(fēng)險(xiǎn)、監(jiān)控IT風(fēng)險(xiǎn)、實(shí)施IT風(fēng)險(xiǎn)管控、應(yīng)急響應(yīng)等職責(zé)。為實(shí)現(xiàn)風(fēng)險(xiǎn)控制的完備性、及時(shí)性、靈活性，企業(yè)對(duì)于IT人員能力的要求越來越高。IT組織的專業(yè)及管理能力不足不僅使企業(yè)在高度信息化競(jìng)爭(zhēng)環(huán)境中處于被動(dòng)地位，還容易給企業(yè)的信息安全、業(yè)務(wù)流程的正常運(yùn)行帶來潛在風(fēng)險(xiǎn)。

此外，越來越多企業(yè)為了迅速具備IT風(fēng)控能力，選擇將企業(yè)的信息技術(shù)資源外包，即將全部或部分信息科技服務(wù)委托外部專業(yè)資源進(jìn)行管理。外部專業(yè)資源包括：獨(dú)立第三方、合作伙伴集團(tuán)內(nèi)其他子公司、外包技術(shù)支持等。不可否認(rèn)的是，IT外包管理有利于企業(yè)集中資源專注于主營(yíng)業(yè)務(wù)，從而降低人才流動(dòng)或組織架構(gòu)變動(dòng)帶來的風(fēng)險(xiǎn)。但是，外包也是一把雙刃劍，由于企業(yè)IT外包存在很多不確定因素，外包也自帶風(fēng)險(xiǎn)，包括信息泄漏的風(fēng)險(xiǎn)、承包商選擇錯(cuò)誤的風(fēng)險(xiǎn)、IT外包合同風(fēng)險(xiǎn)等。故有效的IT服務(wù)外包要求企業(yè)建立IT外包風(fēng)險(xiǎn)管理制度，包括外包風(fēng)險(xiǎn)識(shí)別分析、監(jiān)管制度、風(fēng)險(xiǎn)應(yīng)對(duì)方案等。

4.1.1.2 “防線2”：風(fēng)險(xiǎn)控制部門

在風(fēng)險(xiǎn)管理領(lǐng)域，內(nèi)部控制常被看作風(fēng)險(xiǎn)控制的主要內(nèi)容，但是由于風(fēng)險(xiǎn)管理與內(nèi)控的職責(zé)與工作內(nèi)容不一樣，所以不論是從理論還是實(shí)際角度，二者都不應(yīng)該混為一談。然而，我國(guó)許多大型綜合性企業(yè)為節(jié)省人力資源、簡(jiǎn)化管理流程，選擇將內(nèi)部控制組織取代風(fēng)險(xiǎn)控制組織，或者將二者融合，這樣的組織職責(zé)分配不利于有效的風(fēng)險(xiǎn)管理。從理論角度看，企業(yè)的風(fēng)險(xiǎn)管理部門承擔(dān)以下職責(zé)：根據(jù)公司整體風(fēng)險(xiǎn)管理策略確定IT風(fēng)險(xiǎn)管理策略、制定風(fēng)險(xiǎn)計(jì)量標(biāo)準(zhǔn)；根據(jù)公司運(yùn)營(yíng)情況及監(jiān)管要求進(jìn)行重要風(fēng)險(xiǎn)提示；定期進(jìn)行風(fēng)險(xiǎn)評(píng)估、監(jiān)控重大IT風(fēng)險(xiǎn)，以及督促風(fēng)險(xiǎn)糾正。內(nèi)部控制是管理操作風(fēng)險(xiǎn)的終極手段，涉及風(fēng)險(xiǎn)管理策略的制定。就實(shí)際情況分析，風(fēng)險(xiǎn)管理是一個(gè)動(dòng)態(tài)過程，IT風(fēng)險(xiǎn)敞口的發(fā)現(xiàn)、計(jì)量、提示、監(jiān)控都需要風(fēng)控人才的工作投入。 我國(guó)大型綜合企業(yè)照搬相似企業(yè)制度的現(xiàn)象普遍存在，內(nèi)部控制制度本身存在形式化的特點(diǎn)，使內(nèi)控部門的工作內(nèi)容趨于“單一化”，使內(nèi)控部門的職能定位及專業(yè)能力往往無法達(dá)到“動(dòng)態(tài)的”IT風(fēng)險(xiǎn)管理的要求。

4.1.1.3 “防線3”：內(nèi)部IT審計(jì)

我國(guó)大部分大型綜合企業(yè)具備專門的內(nèi)審團(tuán)隊(duì)，并定期對(duì)財(cái)務(wù)情況進(jìn)行審查，然而內(nèi)審團(tuán)隊(duì)往往不包含信息技術(shù)審計(jì)人員。隨著信息技術(shù)和業(yè)務(wù)發(fā)展，業(yè)務(wù)信息往往來自于不同的信息系統(tǒng)，這些系統(tǒng)又包含很多子系統(tǒng)。比如，現(xiàn)在很多企業(yè)推行的ERP、CRM系統(tǒng)，包含的子系統(tǒng)模塊眾多，覆蓋企業(yè)的客戶信息管理、供應(yīng)鏈流程管理、生產(chǎn)過程控制、財(cái)務(wù)數(shù)據(jù)管理等。面對(duì)如此復(fù)雜的系統(tǒng)，僅依靠常規(guī)內(nèi)部審計(jì)方法是不能全面展開審計(jì)工作的，欠缺信息技術(shù)審計(jì)能力的審計(jì)人員往往感到力不從心，進(jìn)而影響內(nèi)審質(zhì)量和進(jìn)度。因此，根據(jù)業(yè)務(wù)信息化發(fā)展的實(shí)際需要，企業(yè)可以培養(yǎng)專業(yè)的信息技術(shù)審計(jì)團(tuán)隊(duì)，或聘請(qǐng)相應(yīng)的外包團(tuán)隊(duì)，如信息安全專項(xiàng)審計(jì)、信息系統(tǒng)專項(xiàng)審計(jì)團(tuán)隊(duì)等執(zhí)行內(nèi)部審計(jì)，可以有效提升內(nèi)部審計(jì)的質(zhì)量，進(jìn)而更好地滿足風(fēng)險(xiǎn)管理的要求。

4.1.2 IT部門的定位

我國(guó)的企業(yè)經(jīng)過幾十年的發(fā)展，大部分已經(jīng)經(jīng)過了生存階段，步入了生長(zhǎng)和成熟階段。該階段的企業(yè)具備了一定的管理水平，在資金管理、市場(chǎng)銷售、人力資源等多方面都相對(duì)規(guī)范化。然而，不同行業(yè)、不同企業(yè)對(duì)IT部門的定位大相徑庭。對(duì)于以“線上業(yè)務(wù)”為主的大型企業(yè)，比如攜程、阿里巴巴，IT部門作為企業(yè)的核心部門，與業(yè)務(wù)部門緊密聯(lián)系；對(duì)于一些傳統(tǒng)的、以“線下業(yè)務(wù)”為主的企業(yè)，IT部門的地位相對(duì)比較低，在企業(yè)內(nèi)部容易被邊緣化，甚至存在不設(shè)置獨(dú)立IT部門的情況，相關(guān)IT人員可能掛靠在行政部、財(cái)務(wù)部或其他部門之下。

過去，我國(guó)大多數(shù)的企業(yè)對(duì)IT價(jià)值的定位是為“技術(shù)支撐性”。該類型IT服務(wù)定位主要關(guān)注在以低成本方式為業(yè)務(wù)部門提供基礎(chǔ)信息技術(shù)建設(shè)，對(duì)信息系統(tǒng)環(huán)境進(jìn)行維護(hù)。由于大部分企業(yè)以線下業(yè)務(wù)為主，信息系統(tǒng)多是相對(duì)封閉于企業(yè)內(nèi)部的，而對(duì)外業(yè)務(wù)大多與這些內(nèi)部系統(tǒng)相隔離，所以IT部門執(zhí)行支持性職能便可使企業(yè)有效運(yùn)作；隨著IT應(yīng)用融入各種業(yè)務(wù)，業(yè)務(wù)模式已由“純線下”轉(zhuǎn)變?yōu)椤熬€上”或“線上線下融合”的模式，然而業(yè)務(wù)與IT的關(guān)系并沒有如預(yù)期那樣得到調(diào)整，“技術(shù)支撐性”這個(gè)IT戰(zhàn)略定位不再足以支撐業(yè)務(wù)需求。國(guó)內(nèi)企業(yè)應(yīng)該跟上業(yè)務(wù)與信息技術(shù)融合的步伐，對(duì)IT戰(zhàn)略作進(jìn)一步調(diào)整。

（1）應(yīng)用導(dǎo)向型。該類型的IT部門在考慮成本的情況下，注重提供優(yōu)化的應(yīng)用方案來改進(jìn)業(yè)務(wù)部門的運(yùn)營(yíng)績(jī)效。

（2）業(yè)務(wù)伙伴型。該類型下的IT部門主動(dòng)理解業(yè)務(wù)戰(zhàn)略，進(jìn)行配套的IT項(xiàng)目規(guī)劃，幫助業(yè)務(wù)部門提高業(yè)務(wù)的覆蓋面和滲透率。

（3）戰(zhàn)略推動(dòng)型。許多全球領(lǐng)先企業(yè)的IT戰(zhàn)略定位為戰(zhàn)略推動(dòng)型，該類型下的IT部門參與業(yè)務(wù)戰(zhàn)略規(guī)劃，推動(dòng)企業(yè)業(yè)務(wù)創(chuàng)新和戰(zhàn)略信息技術(shù)方案的落實(shí)。

綜上，IT部門在這個(gè)信息化建設(shè)加速發(fā)展的時(shí)代，應(yīng)扮演更加有影響力的角色，而非傳統(tǒng)觀念里的與業(yè)務(wù)部門“各自為政”。

4.1.3 “新技術(shù)”應(yīng)用對(duì)企業(yè)信息技術(shù)風(fēng)險(xiǎn)的影響

新技術(shù)正加快推動(dòng)企業(yè)業(yè)務(wù)模式和管理模式的轉(zhuǎn)變。以支付業(yè)務(wù)流程為例，無現(xiàn)金支付時(shí)代已經(jīng)慢慢走進(jìn)了我們的生活，這是科技帶給我們的便捷。目前，常見的支付“新科技”包括：“刷臉”支付、AR/VR支付等。支付方式的“新技術(shù)應(yīng)用”將全面影響支付流程涉及的基礎(chǔ)設(shè)施，包括支付工具、交易模式、支付中介與組織、支付賬戶體系、監(jiān)管政策等。然而，隨著支付新技術(shù)的快速發(fā)展，對(duì)信息技術(shù)風(fēng)險(xiǎn)管理提出了更高的要求和標(biāo)準(zhǔn)。當(dāng)前，支付新技術(shù)給相關(guān)企業(yè)帶來網(wǎng)絡(luò)安全、平臺(tái)安全和信息與數(shù)據(jù)安全等多種安全風(fēng)險(xiǎn)隱患。一旦發(fā)生安全風(fēng)險(xiǎn)，不但威脅到用戶的利益，也會(huì)給企業(yè)帶來巨大的損失，破壞整個(gè)行業(yè)的發(fā)展，甚至還會(huì)帶來系統(tǒng)性金融風(fēng)險(xiǎn)。因此，支付業(yè)務(wù)流程采用“新技術(shù)”的企業(yè)需要高度關(guān)注金融科技行業(yè)的信息技術(shù)風(fēng)險(xiǎn)，充分發(fā)揮企業(yè)信息科技審計(jì)團(tuán)隊(duì)的作用。

與支付業(yè)務(wù)流程 “新技術(shù)”一樣，其他新技術(shù)的應(yīng)用在提供企業(yè)競(jìng)爭(zhēng)力的同時(shí)，也存在很多風(fēng)險(xiǎn)防控的問題需要解決。企業(yè)信息化管理是一個(gè)長(zhǎng)期的過程，需要管理層提高重視，在發(fā)展信息化技術(shù)的同時(shí)，完善自身管理，配備專業(yè)的技術(shù)人員團(tuán)隊(duì)對(duì)新技術(shù)進(jìn)行評(píng)估和審查，以降低新技術(shù)應(yīng)用帶來的風(fēng)險(xiǎn)。

4.1.4 IT風(fēng)險(xiǎn)控制的方法建議

對(duì)于大型綜合企業(yè)，信息技術(shù)部門、業(yè)務(wù)部門涉及繁瑣的風(fēng)險(xiǎn)管理制度和措施的執(zhí)行。在此將對(duì)IT風(fēng)險(xiǎn)管理與控制提出建議，包括信息技術(shù)網(wǎng)絡(luò)安全、系統(tǒng)實(shí)施風(fēng)險(xiǎn)、信息安全與授權(quán)、安全技術(shù)存在的風(fēng)險(xiǎn)、外包風(fēng)險(xiǎn)、數(shù)據(jù)中心存在的風(fēng)險(xiǎn)。

關(guān)于信息系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的管理，信息所有者與管理者必須采取一種未雨綢繆的方法來應(yīng)對(duì)網(wǎng)絡(luò)的安全問題。這種方法從信息安全技術(shù)評(píng)估開始，通過技術(shù)評(píng)估來識(shí)別目標(biāo)系統(tǒng)與網(wǎng)絡(luò)中存在的潛在技術(shù)風(fēng)險(xiǎn)，并對(duì)其進(jìn)行分類分析。信息技術(shù)評(píng)估是任何系統(tǒng)安全周期中不可或缺的部分。安全掃描及漏斗分析作為信息技術(shù)評(píng)估的核心組成部分，通過手動(dòng)與自動(dòng)化相結(jié)合的方法檢測(cè)、識(shí)別目標(biāo)系統(tǒng)與網(wǎng)絡(luò)中存在的各類安全漏洞，并根據(jù)其對(duì)系統(tǒng)可用性、數(shù)據(jù)安全性等核心關(guān)注點(diǎn)的影響為依據(jù)進(jìn)行風(fēng)險(xiǎn)分析，給出漏洞補(bǔ)給及IT內(nèi)控管理提升建議；滲透測(cè)試作為信息安全技術(shù)評(píng)估的一種高級(jí)方法，注重從攻擊者的角度，檢驗(yàn)業(yè)務(wù)系統(tǒng)的安全措施是否有效，各項(xiàng)安全策略是否配置合理，將潛在的風(fēng)險(xiǎn)以事件的方式凸顯出來，從而有助于提高相關(guān)人員對(duì)安全問題的認(rèn)識(shí)，對(duì)系統(tǒng)與網(wǎng)絡(luò)進(jìn)行安全加固，解決測(cè)試中發(fā)現(xiàn)的安全問題，從而防止真實(shí)安全事件的發(fā)生。

在重大信息系統(tǒng)實(shí)施的過程中，需要使用合理的方法來減小系統(tǒng)實(shí)施的風(fēng)險(xiǎn)。供應(yīng)商的選擇，清晰的要求和整合管理是實(shí)施項(xiàng)目的關(guān)鍵因素。在整個(gè)項(xiàng)目實(shí)施的過程中，有3個(gè)層面的風(fēng)險(xiǎn)需要注意：（1）流程層面，包括在新的系統(tǒng)中未考慮實(shí)際需求，現(xiàn)有的手工流程仍然在系統(tǒng)外執(zhí)行和管理，流程的設(shè)計(jì)不夠詳細(xì)等；（2）技術(shù)層面，系統(tǒng)解決方案的選擇未考慮未來發(fā)展的擴(kuò)展性，歷史數(shù)據(jù)沒有被正確地識(shí)別并導(dǎo)入新的系統(tǒng)，切換日期前用戶和權(quán)限沒有測(cè)試等；（3）人員管理，包括日常操作人員沒有介入系統(tǒng)設(shè)計(jì)導(dǎo)致對(duì)新系統(tǒng)的抵觸，現(xiàn)有人員不具備足夠的經(jīng)驗(yàn)，項(xiàng)目小組成員超負(fù)荷工作等。而流程整合項(xiàng)目管理可有效降低上述風(fēng)險(xiǎn)。

在信息安全和授權(quán)評(píng)估中，可能存在的關(guān)注點(diǎn)主要體現(xiàn)在權(quán)限上，部分系統(tǒng)平臺(tái)角色定義不規(guī)范，授權(quán)對(duì)象不清晰，角色權(quán)限設(shè)計(jì)與職責(zé)不相容等；職責(zé)分工上，業(yè)務(wù)層面和系統(tǒng)層面存在職責(zé)不相容，控制缺失等；賬號(hào)監(jiān)控上，root等賬號(hào)多人持有且監(jiān)控缺失；冗余賬號(hào)上，測(cè)試用戶和離職用戶未刪除等。這些缺陷會(huì)帶來嚴(yán)重的損失和風(fēng)險(xiǎn)，比如信息泄露、虛假交易、內(nèi)部舞弊等。由于用戶管理、信息技術(shù)管理與某些業(yè)務(wù)流程上均存在一定的關(guān)聯(lián)，會(huì)直接地影響其他領(lǐng)域控制的有效性，且授權(quán)異常的風(fēng)險(xiǎn)敞口較大，建議企業(yè)應(yīng)基于對(duì)于指責(zé)分離的充分考慮，明確定義用戶角色和權(quán)限，合理地管理高權(quán)限賬號(hào),以互相牽制的方法規(guī)避風(fēng)險(xiǎn)。

關(guān)于安全技術(shù)評(píng)估，可以通過專業(yè)技術(shù)手段，先行識(shí)別影響程度更高的信息安全風(fēng)險(xiǎn)和安全漏洞，隨著技術(shù)評(píng)估與測(cè)試的深入，再著眼次風(fēng)險(xiǎn)領(lǐng)域。根據(jù)影響程度從高到低，可以進(jìn)行4個(gè)層面的測(cè)試：外部網(wǎng)絡(luò)滲透測(cè)試，模擬一般外部攻擊者；外部網(wǎng)絡(luò)滲透測(cè)試，模擬掌握一定信息的外部攻擊者；內(nèi)部網(wǎng)絡(luò)漏洞分析與滲透測(cè)試，模擬非授權(quán)的內(nèi)部攻擊者；做好審閱與系統(tǒng)設(shè)計(jì)安全性評(píng)估。

關(guān)于信息技術(shù)外包風(fēng)險(xiǎn)和評(píng)估，IT外包在將信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的同時(shí)，會(huì)給企業(yè)帶來戰(zhàn)略、聲譽(yù)、合規(guī)風(fēng)險(xiǎn)。具體風(fēng)險(xiǎn)包括：企業(yè)過度依賴外部資源導(dǎo)致失去科技控制及創(chuàng)新能力，支持外營(yíng)的外包服務(wù)無法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷，包含客戶信息在內(nèi)的非公開數(shù)據(jù)被服務(wù)提供商非法泄露，信息科技外包采購(gòu)沒有遵循標(biāo)準(zhǔn)的流程規(guī)范，將外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風(fēng)險(xiǎn)等，都可能造成服務(wù)中斷。對(duì)信息科技外包進(jìn)行評(píng)估應(yīng)該從這些風(fēng)險(xiǎn)出發(fā)，評(píng)估相關(guān)控制的實(shí)用性和充分性。

關(guān)于數(shù)據(jù)中心審計(jì)，審計(jì)內(nèi)容包括機(jī)房訪問管理（機(jī)房授權(quán)人員審批、外部人員審批等）、機(jī)房環(huán)境管理（機(jī)房無力環(huán)境配置、環(huán)境監(jiān)控流程等）、外包服務(wù)管理與監(jiān)控（外包合同和SLA審閱，對(duì)照SLA的監(jiān)控評(píng)估流程及結(jié)果審閱等）和應(yīng)急管理（數(shù)據(jù)中心連續(xù)性計(jì)劃、數(shù)據(jù)中心應(yīng)急演練等）。

4.2 IT審計(jì)

除了IT風(fēng)險(xiǎn)控制，IT治理領(lǐng)域的另外一個(gè)關(guān)鍵流程為IT審計(jì)，價(jià)值在于控制風(fēng)險(xiǎn)，最大化科技的效益。實(shí)施信息技術(shù)審計(jì)能夠強(qiáng)化信息科技投資效果，提高信息系統(tǒng)的安全性，客觀評(píng)價(jià)信息系統(tǒng)運(yùn)行及信息系統(tǒng)開發(fā)。

4.2.1 引入IT審計(jì)的意義

傳統(tǒng)審計(jì)線索的消失是引入IT審計(jì)的一個(gè)內(nèi)在原因。在信息化與工業(yè)化密切融合的時(shí)代，財(cái)務(wù)信息化已遍布各行各業(yè)。如今，企業(yè)可以利用信息系統(tǒng)記錄收入、支出、資產(chǎn)、負(fù)債等，這些數(shù)字進(jìn)而組成財(cái)務(wù)報(bào)表，繼而產(chǎn)出一個(gè)個(gè)指標(biāo)數(shù)字以量化企業(yè)的業(yè)績(jī)活動(dòng)。審計(jì)人員無法直接觀察到這些數(shù)字的記錄過程和篡改痕跡，導(dǎo)致一定的風(fēng)險(xiǎn)存在。財(cái)報(bào)數(shù)字的來源是否可信？每一個(gè)數(shù)據(jù)是否產(chǎn)自安全的信息環(huán)境？信息是否全面和準(zhǔn)確？這一連串問題，在對(duì)企業(yè)進(jìn)行內(nèi)部財(cái)務(wù)報(bào)表控制和外部財(cái)務(wù)報(bào)表審核的時(shí)候都需謹(jǐn)慎考慮。

雖然我國(guó)尚未就信息技術(shù)審計(jì)出臺(tái)法律法規(guī)，但中國(guó)注冊(cè)會(huì)計(jì)師準(zhǔn)則已間接對(duì)信息系統(tǒng)審計(jì)做出要求。正如中國(guó)注冊(cè)會(huì)計(jì)師準(zhǔn)則第1211號(hào)十七條所述，“注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)了解控制環(huán)境，控制環(huán)境總體上的優(yōu)勢(shì)是否為內(nèi)部控制的其他要素奠定了適當(dāng)?shù)幕A(chǔ)，以及這些其他要素是否被控制環(huán)境中存在的缺陷所削弱”。為了實(shí)現(xiàn)這一準(zhǔn)則，知曉與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)的運(yùn)行邏輯和其可能存在的風(fēng)險(xiǎn)，是企業(yè)內(nèi)外審計(jì)師需要了解的內(nèi)容之一。

4.2.2 大型國(guó)有企業(yè)IT風(fēng)險(xiǎn)控制成熟度

改革開放以來，我國(guó)政府根據(jù)不同階段的國(guó)情對(duì)企業(yè)信息化提出了信息化戰(zhàn)略和工作要求。眾多企業(yè)為緊隨市場(chǎng)競(jìng)爭(zhēng)趨勢(shì)、發(fā)展自身競(jìng)爭(zhēng)力，積極開展信息系統(tǒng)建設(shè)。2014年，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立。之后，各地方政府也響應(yīng)號(hào)召，紛紛成立地方信息化工作小組。目前，大型國(guó)有企業(yè)的信息系統(tǒng)經(jīng)過幾十年的建設(shè)，信息化基礎(chǔ)設(shè)施已比較完善，相應(yīng)的管理規(guī)范基本已經(jīng)得到確定。

然而，大型國(guó)有企業(yè)的IT風(fēng)險(xiǎn)管理模式尚不足以規(guī)避IT建設(shè)帶來的潛在風(fēng)險(xiǎn)，主要有以下兩個(gè)原因。

（1）有些企業(yè)的初期資金投入量大，考慮到短期效益，后期IT風(fēng)險(xiǎn)管理的投入不足，或者IT風(fēng)險(xiǎn)管理的投入在短期內(nèi)未見成效故在后期放棄，導(dǎo)致大部分國(guó)有企業(yè)的管理模式未跟上其信息技術(shù)更新和商業(yè)模式調(diào)整速度。

（2）對(duì)比其他發(fā)達(dá)國(guó)家，由于信息化建設(shè)起步晚，我國(guó)國(guó)有企業(yè)信息建設(shè)經(jīng)驗(yàn)不足，導(dǎo)致IT風(fēng)險(xiǎn)的事先預(yù)防和事后處理缺乏有效的控制方法。

4.2.3 IT審計(jì)方法論

任何形式的審計(jì)都應(yīng)以風(fēng)險(xiǎn)為導(dǎo)向，針對(duì)各領(lǐng)域的風(fēng)險(xiǎn)，對(duì)各控制的設(shè)計(jì)、實(shí)施以及執(zhí)行進(jìn)行測(cè)試。而IT審計(jì)，則是將IT技術(shù)融入審計(jì)中，對(duì)控制逐級(jí)進(jìn)行評(píng)估、測(cè)試和評(píng)價(jià)。

在公司層面，審計(jì)人員首先需從公司戰(zhàn)略和業(yè)務(wù)運(yùn)行模式出發(fā)，理解信息處理過程和IT技術(shù)；在流程控制層面，審計(jì)人員需識(shí)別自動(dòng)控制和人工控制，選擇并描述控制點(diǎn)；在信息系統(tǒng)一般控制層面，審計(jì)人員需識(shí)別信息系統(tǒng)一般控制點(diǎn)，選擇并制定信息系統(tǒng)一般控制點(diǎn)；測(cè)試層面，審計(jì)人員對(duì)自動(dòng)控制、手工控制以及信息系統(tǒng)一般控制的有效性進(jìn)行測(cè)試?；跍y(cè)試結(jié)果，還要對(duì)測(cè)試層面、流程控制層面和公司層面進(jìn)行評(píng)價(jià)，得出對(duì)控制的結(jié)論，判斷潛在的影響。

4.2.4 IT審計(jì)的必要性

信息系統(tǒng)的應(yīng)用涉及到企業(yè)業(yè)務(wù)流程的方方面面，很大程度上已經(jīng)替代手工賬本成為承載財(cái)務(wù)信息和編制財(cái)務(wù)報(bào)表的平臺(tái)。若不進(jìn)行IT審計(jì)，潛在風(fēng)險(xiǎn)將無法得到確認(rèn)，這也意味著相關(guān)的系統(tǒng)不確定性將影響到財(cái)務(wù)數(shù)據(jù)的準(zhǔn)確性。

其中，包括所依賴的信息系統(tǒng)處理數(shù)據(jù)的邏輯不正確或處理了不正確的數(shù)據(jù)；存在不相關(guān)人員在非授權(quán)的情況下訪問、修改、增加、刪除數(shù)據(jù)的情況；存在特權(quán)賬戶的人為干預(yù)的情況；系統(tǒng)中的數(shù)據(jù)不完整或存在丟失的情況等。

4.3 IT控制類型

根據(jù)IT控制的范圍，IT內(nèi)部控制一般可分為組織層面的IT控制、一般控制和應(yīng)用控制三個(gè)層面，審計(jì)人員通常也以此展開IT審計(jì)工作。

4.3.1 組織層面的IT審計(jì)

組織層面的IT審計(jì)，主要是檢查IT架構(gòu)是否設(shè)計(jì)合理，是否有利實(shí)現(xiàn)組織目標(biāo)。其核心內(nèi)容為日常IT管理和IT戰(zhàn)略規(guī)劃，審計(jì)內(nèi)容包括職責(zé)分離、授權(quán)、監(jiān)督、人事管理等。

審計(jì)人員在進(jìn)行測(cè)試IT管理層控制時(shí)，可以根據(jù)內(nèi)部控制框架對(duì)IT管理層進(jìn)行訪談，以評(píng)價(jià)企業(yè)在信息化業(yè)務(wù)管理模式下IT管理層控制的有效性。

4.3.2 一般控制的IT審計(jì)

該審計(jì)是為了確保IT系統(tǒng)運(yùn)行的可持續(xù)性?！耙话憧刂啤敝刚麄€(gè)計(jì)算機(jī)信息系統(tǒng)及環(huán)境要素實(shí)施的，對(duì)系統(tǒng)所有的應(yīng)用或功能模塊具有普遍影響的控制措施。審計(jì)內(nèi)容包括機(jī)房進(jìn)出管理、訪問權(quán)限管理、密碼控制、軟件升級(jí)與開發(fā)控制、備份與災(zāi)備制度等。

審計(jì)人員在進(jìn)行IT一般控制測(cè)試時(shí)，可以采取與相關(guān)負(fù)責(zé)人的確證訪談、直接觀察控制流程、查看系統(tǒng)配置、穿行測(cè)試等審計(jì)方法。對(duì)于經(jīng)測(cè)試證明無效的一般控制，審計(jì)人員應(yīng)進(jìn)行及時(shí)的問題跟進(jìn)，以確認(rèn)該控制的缺陷對(duì)業(yè)務(wù)、財(cái)務(wù)等其他方面的影響程度，以及該缺陷是否已被解決或待解決。

4.3.3 應(yīng)用控制層面的IT審計(jì)

該控制主要針對(duì)業(yè)務(wù)流程層面，甚至更高級(jí)別的流程控制，目的是為了確保財(cái)務(wù)報(bào)告相關(guān)信息的完整性和準(zhǔn)確性。應(yīng)用控制層面的IT審計(jì)可以分為自動(dòng)控制和帶有自動(dòng)組件的手動(dòng)控制。這些控制有助于確保相關(guān)交易的發(fā)生是被授權(quán)的，且被完整、準(zhǔn)確地記錄和處理。

為了測(cè)試系統(tǒng)的可信程度以及相關(guān)數(shù)據(jù)的產(chǎn)生、傳輸、處理、分析等流程是否符合規(guī)定。應(yīng)用控制層面的IT審計(jì)通常分為4個(gè)方面：系統(tǒng)訪問控制、系統(tǒng)配置、接口控制和系統(tǒng)報(bào)表。

4.3.3.1 訪問控制測(cè)試

訪問控制一般包括兩個(gè)層面的內(nèi)容：一是權(quán)限設(shè)計(jì)是否合理；二是權(quán)限賦予的對(duì)象是否合理。所以，測(cè)試人員在進(jìn)行系統(tǒng)訪問控制驗(yàn)證的過程中，需要對(duì)這兩方面執(zhí)行相應(yīng)的審計(jì)工作。

在驗(yàn)證權(quán)限設(shè)計(jì)的合理性時(shí)，測(cè)試人員應(yīng)關(guān)注權(quán)限設(shè)計(jì)是否滿足了風(fēng)險(xiǎn)管理的需求；在驗(yàn)證權(quán)限賦予的合理性時(shí)，測(cè)試人員應(yīng)測(cè)試相關(guān)人員的權(quán)限是否是被合理授權(quán)的，是否符合了權(quán)限職責(zé)分離的原則。

一般情況下，測(cè)試人員通過執(zhí)行以下審計(jì)程序來進(jìn)行訪問控制測(cè)試：

（1）訪談與權(quán)限管理相關(guān)的負(fù)責(zé)人員，了解系統(tǒng)權(quán)限設(shè)計(jì)及賦予的規(guī)則和方法。權(quán)限賦予方法可能是企業(yè)直接將權(quán)限賦予給賬號(hào)，也可能是先將權(quán)限賦予給特定的角色，再由角色賦予給賬戶。

（2）對(duì)選定需進(jìn)行測(cè)試的訪問權(quán)限，通過查看系統(tǒng)中的權(quán)限設(shè)計(jì)和配置，確定權(quán)限設(shè)計(jì)和配置是否合理。

（3）測(cè)試權(quán)限賦予是否合理。若信息系統(tǒng)的一般控制的測(cè)試結(jié)果為無效，或未執(zhí)行信息系統(tǒng)一般控制，則測(cè)試人員無法使用測(cè)試的結(jié)果。此時(shí)，測(cè)試人員需要評(píng)估相關(guān)的控制缺陷和相關(guān)跟進(jìn)步驟對(duì)訪問控制的影響，選擇替代性應(yīng)對(duì)程序。

以國(guó)內(nèi)某知名汽車配件制造商為例，IT審計(jì)人員通過交叉詢問IT部門IT應(yīng)用經(jīng)理和業(yè)務(wù)系統(tǒng)工程師，了解到只有物流部賬務(wù)崗位的人員、倉(cāng)庫(kù)管理人員才能在系統(tǒng)中被賦予A和B角色，擁有庫(kù)存轉(zhuǎn)移的權(quán)限，可以執(zhí)行實(shí)物移庫(kù)的操作。在執(zhí)行測(cè)試時(shí)，審計(jì)人員獲取了系統(tǒng)用戶權(quán)限清單。同時(shí)，通過查詢?cè)诼氂脩裘麊危瑢徲?jì)人員了解到兩名財(cái)務(wù)管理中心會(huì)計(jì)在系統(tǒng)內(nèi)被授予A角色,屬于非授權(quán)人員。[5]該發(fā)現(xiàn)說明企業(yè)缺少對(duì)實(shí)物移庫(kù)系統(tǒng)角色和操作權(quán)限的有效性管理，可能導(dǎo)致財(cái)務(wù)人員和計(jì)劃物流人員在未經(jīng)授權(quán)的情況下，將倉(cāng)庫(kù)中的貨品進(jìn)行非授權(quán)發(fā)貨操作，對(duì)企業(yè)造成損失。

4.3.3.2 系統(tǒng)接口控制測(cè)試

在測(cè)試系統(tǒng)接口控制的有效性時(shí)，保證數(shù)據(jù)在系統(tǒng)間傳輸?shù)耐暾院蜏?zhǔn)確性，確保傳輸中發(fā)生任何問題都能夠被及時(shí)地監(jiān)測(cè)和跟進(jìn)。接口控制一般由自動(dòng)控制完成，例如系統(tǒng)通過特定處理定時(shí)任務(wù)，將數(shù)據(jù)從源系統(tǒng)傳輸至目標(biāo)系統(tǒng)。

對(duì)于系統(tǒng)接口控制的測(cè)試，測(cè)試人員通常需進(jìn)行如以下幾個(gè)方面的測(cè)試：

（1）訪問限制，查看是否僅被賦予合理權(quán)限的人員的賬號(hào)才能對(duì)接口程序進(jìn)行訪問和修改。比如，有些企業(yè)只允許被授權(quán)的系統(tǒng)開發(fā)人員對(duì)接口進(jìn)行變更。

（2）完整性驗(yàn)證，確認(rèn)測(cè)試系統(tǒng)是否將數(shù)據(jù)完整地從源系統(tǒng)傳輸?shù)搅四繕?biāo)系統(tǒng)。比如，系統(tǒng)自動(dòng)計(jì)算目標(biāo)系統(tǒng)接收到數(shù)據(jù)的總數(shù)，并與源系統(tǒng)進(jìn)行比對(duì)，確保數(shù)據(jù)傳輸?shù)耐暾浴?/p>

（3）準(zhǔn)確性驗(yàn)證，確認(rèn)系統(tǒng)是否將數(shù)據(jù)準(zhǔn)確地從源系統(tǒng)傳輸?shù)搅四繕?biāo)系統(tǒng)。常見的控制手段有，系統(tǒng)自動(dòng)設(shè)置校驗(yàn)位，對(duì)于傳輸數(shù)據(jù)的準(zhǔn)確性進(jìn)行自動(dòng)校驗(yàn)。

（4）傳輸及時(shí)性，判斷系統(tǒng)是否在正確的時(shí)間內(nèi)傳輸了數(shù)據(jù)，對(duì)于傳輸失敗的數(shù)據(jù)，是否及時(shí)進(jìn)行補(bǔ)傳，直至成功為止。

（5）變更控制，判斷是否由授權(quán)賬戶進(jìn)行系統(tǒng)接口的變更，且變更是否滿足實(shí)際業(yè)務(wù)需求。通常情況下，該驗(yàn)證工作會(huì)在信息系統(tǒng)一般控制的測(cè)試過程中完成。

（6）傳輸監(jiān)控及異常處理，確認(rèn)判斷被審計(jì)單位在系統(tǒng)中是否存在一定的機(jī)制，以確保數(shù)據(jù)在傳輸過程中的任何問題被及時(shí)發(fā)現(xiàn)和跟進(jìn)。

4.3.3.3 系統(tǒng)報(bào)表測(cè)試

系統(tǒng)報(bào)表是由系統(tǒng)生成的符合一定業(yè)務(wù)邏輯的數(shù)據(jù)匯總。系統(tǒng)報(bào)表通常被用來執(zhí)行相關(guān)的控制或者用于下一步實(shí)質(zhì)性程序。如果系統(tǒng)報(bào)表中的數(shù)據(jù)不準(zhǔn)確或不完整，將導(dǎo)致后續(xù)控制執(zhí)行和測(cè)試結(jié)果無效。

測(cè)試人員在進(jìn)行報(bào)表測(cè)試時(shí)通常依靠職業(yè)判斷。需要考慮的因素包括：需要從控制或?qū)嵸|(zhì)性程序獲得審計(jì)證據(jù)水平，了解相關(guān)財(cái)務(wù)報(bào)表列示項(xiàng)目的重大錯(cuò)報(bào)風(fēng)險(xiǎn)，控制有效運(yùn)行或?qū)嵸|(zhì)性測(cè)試設(shè)計(jì)對(duì)報(bào)表、數(shù)據(jù)完整性和準(zhǔn)確性的依賴程度，掌握?qǐng)?bào)表，數(shù)據(jù)的性質(zhì)、類型、來源以及往年的審計(jì)經(jīng)驗(yàn)，知曉前年度的控制缺陷，控制環(huán)境的變化等。

舉個(gè)例子，測(cè)試人員在審計(jì)某汽車配件公司的財(cái)務(wù)系統(tǒng)時(shí)，通過與系統(tǒng)管理員的訪談，了解到財(cái)務(wù)人員在進(jìn)行發(fā)票維護(hù)后，通過運(yùn)行“經(jīng)營(yíng)實(shí)務(wù)過賬”程序，系統(tǒng)自動(dòng)根據(jù)發(fā)票維護(hù)的信息在系統(tǒng)中批量生成財(cái)務(wù)憑證。審計(jì)人員在執(zhí)行測(cè)試時(shí)，發(fā)現(xiàn)系統(tǒng)未對(duì)銷售發(fā)票開具價(jià)格進(jìn)行限制，財(cái)務(wù)人員開票時(shí)可在“待開發(fā)票維護(hù)界面”修改銷售價(jià)格，而不采用系統(tǒng)自動(dòng)調(diào)用有效期內(nèi)的銷售價(jià)格。該測(cè)試結(jié)果表明，相關(guān)部門缺少對(duì)系統(tǒng)銷售發(fā)票開具價(jià)格的限制，這可能導(dǎo)致會(huì)計(jì)篡改銷售發(fā)票金額，影響收入確認(rèn)。

4.3.3.4 系統(tǒng)配置控制測(cè)試

對(duì)于自動(dòng)控制和系統(tǒng)自動(dòng)計(jì)算而言，測(cè)試人員需要通過一定的審計(jì)程序驗(yàn)證控制的有效性和計(jì)算的正確性。由于系統(tǒng)處理的內(nèi)在一致性，系統(tǒng)配置控制一般都按預(yù)設(shè)的邏輯持續(xù)進(jìn)行。若測(cè)試結(jié)果與邏輯設(shè)置不一致，則可能對(duì)財(cái)務(wù)報(bào)告產(chǎn)生一定影響。

以國(guó)內(nèi)某個(gè)大型知名超市為例，對(duì)于某品牌服裝類產(chǎn)品，在系統(tǒng)中的預(yù)設(shè)邏輯是對(duì)存貨的庫(kù)齡大于6個(gè)月的商品進(jìn)行減值處理，后期通過測(cè)試發(fā)現(xiàn)，某個(gè)庫(kù)齡只有4個(gè)月的產(chǎn)品已進(jìn)行了減值，該測(cè)試結(jié)果與減值系統(tǒng)邏輯不一致。由于該不恰當(dāng)減值對(duì)資產(chǎn)和利潤(rùn)都產(chǎn)生了影響，故財(cái)務(wù)審計(jì)人員應(yīng)根據(jù)該發(fā)現(xiàn)結(jié)果對(duì)財(cái)務(wù)報(bào)表進(jìn)行進(jìn)一步評(píng)估。

在系統(tǒng)一般控制有效的前提下，系統(tǒng)配置控制的測(cè)試方法有很多，常用的是穿行測(cè)試。在進(jìn)行該測(cè)試的過程中，通過詢問、觀察、檢查或重新執(zhí)行程序獲取審計(jì)證據(jù)。測(cè)試人員需注意的是，在執(zhí)行穿行測(cè)試的過程中，務(wù)必要保證各重要場(chǎng)景的全覆蓋。因此，在進(jìn)行測(cè)試前，測(cè)試人員需要通過多方詢問、檢查等手段先對(duì)控制和計(jì)算的場(chǎng)景進(jìn)行了解，在對(duì)整體有一點(diǎn)了解之后，選擇重要的和審計(jì)相關(guān)的場(chǎng)景進(jìn)行驗(yàn)證。

除了以上技術(shù)和方法上的建議，在綜合大型企業(yè)集團(tuán)還需要實(shí)施幾個(gè)轉(zhuǎn)變以實(shí)現(xiàn)有效的IT審計(jì)。

（1）建立IT審計(jì)的正確看法。IT審計(jì)不應(yīng)停留在糾錯(cuò)上，而應(yīng)要求審核員樹立服務(wù)意識(shí)，分析錯(cuò)誤產(chǎn)生原因，主動(dòng)向有關(guān)部門提供建議，著眼于服務(wù)。

（2）將重點(diǎn)放在“預(yù)防”而非“事后”。審計(jì)從發(fā)展開始介入比最終的全面審計(jì)，更有利于對(duì)整體的了解和監(jiān)督。

（3）鼓勵(lì)內(nèi)審人員的再教育，IT審計(jì)發(fā)展日新月異，具備健全的知識(shí)儲(chǔ)備對(duì)實(shí)際工作有至關(guān)重要的作用。

若想利用IT風(fēng)險(xiǎn)控制和IT審計(jì)策略覆蓋所有的漏洞，還要求企業(yè)的管理者對(duì)風(fēng)險(xiǎn)有清楚的認(rèn)識(shí)，向員工表明企業(yè)對(duì)風(fēng)險(xiǎn)的態(tài)度，了解合規(guī)要求，設(shè)計(jì)科學(xué)的組織架構(gòu)和職責(zé)說明，以達(dá)到將風(fēng)控與職責(zé)結(jié)合的目的。

5 結(jié)語(yǔ)

當(dāng)前，我國(guó)的IT風(fēng)險(xiǎn)管理和IT審計(jì)正處于起步階段，而企業(yè)業(yè)務(wù)信息化的趨勢(shì)決定了IT風(fēng)險(xiǎn)管理和審計(jì)的發(fā)展勢(shì)在必行。但是，一種新技術(shù)和方法的引入和實(shí)施必定會(huì)給企業(yè)和審計(jì)人員帶來巨大的挑戰(zhàn)，如何通過有效的手段強(qiáng)化專業(yè)能力，是企業(yè)面臨日趨激烈的市場(chǎng)競(jìng)爭(zhēng)時(shí)不得不思考的問題。有效的IT風(fēng)險(xiǎn)管理能夠加強(qiáng)企業(yè)風(fēng)險(xiǎn)防范和管控能力，而IT審計(jì)則是企業(yè)在信息化背景下對(duì)于全面審計(jì)的必要輔助，可以幫助企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)環(huán)境中立于不敗之地。