風(fēng)險導(dǎo)向IT審計在通信企業(yè)中的應(yīng)用

黃力

摘 要：積極構(gòu)建以風(fēng)險為導(dǎo)向的審計機制，是有效降低IT風(fēng)險的可行手段，對通信企業(yè)而言意義重大。本文將積極探討通信企業(yè)對風(fēng)險導(dǎo)向IT審計的應(yīng)用，通過策略構(gòu)思、審計實施兩部分內(nèi)容，詳細闡述通信企業(yè)中的IT審計應(yīng)用，以期為其他企業(yè)應(yīng)用提供參考。

關(guān)鍵詞：風(fēng)險導(dǎo)向 IT審計 通信企業(yè)

如今，通信5G時代正在悄然向人們走來，通信行業(yè)迎來了新的發(fā)展機遇與挑戰(zhàn)。作為通信企業(yè)中的重要活躍因素與信息特色，IT的作用舉足輕重。以中國移動為例，多年來其年度財務(wù)報表在通信企業(yè)中扮演著重要的角色，信息技術(shù)的應(yīng)用所形成的產(chǎn)業(yè)化價值占到總資產(chǎn)價值的八成以上。當(dāng)前的通信企業(yè)需要關(guān)注的課題在于，如何能夠在日益增多的IT資源中合理降低風(fēng)險隱患，從而不斷推動企業(yè)贏得各項業(yè)務(wù)的綜合發(fā)展。在合理降低風(fēng)險隱患方面，積極構(gòu)建以風(fēng)險為導(dǎo)向的審計機制，是有效控制并降低IT風(fēng)險的可行手段。

一、IT審計策略構(gòu)思

IT審計策略的構(gòu)思建設(shè)，理論模型上應(yīng)該與當(dāng)前的通信企業(yè)內(nèi)部審計框架保持一致。按照內(nèi)審框架原則，IT審計主策略涉及三大層次即組織結(jié)構(gòu)、人員、基建，組織結(jié)構(gòu)層次強調(diào)要對具體的IT審計工作提出合理可行的目標(biāo)與任務(wù)流；人員層次強調(diào)應(yīng)關(guān)注企業(yè)人力資源及其他公共資源管理，增進人員綜合技能，有效實現(xiàn)人才保值和增值；基建層次所強調(diào)的機制評估要素包括政策及方法論、工具和技術(shù)、專業(yè)知識與管理經(jīng)驗、運營目標(biāo)與指標(biāo)、業(yè)績考核、運營質(zhì)量指標(biāo)等。針對三個層次的內(nèi)容建立IT審計策略。

二、IT審計的實施關(guān)鍵點

通常，IT審計可分解為三階段，其一為IT審計計劃、其二為IT審計實施、其三為IT審計的報告與發(fā)展。在探討風(fēng)險導(dǎo)向IT審計應(yīng)用中，風(fēng)險的評估要合理分布在上述三個階段中，發(fā)揮相應(yīng)的作用。

第一階段：IT審計計劃。計劃階段的主要任務(wù)自然涵蓋審計目標(biāo)計劃的設(shè)定，著重評估審計風(fēng)險，估量審計的資源消耗量，明確審計工作次序與相關(guān)執(zhí)法人員職責(zé)。因此通信企業(yè)在具體IT審計應(yīng)用過程中，不能忽視對主要因素的考量，有效把握審計業(yè)務(wù)流程中所憑借的信息技術(shù)與信息系統(tǒng)科學(xué)性與可靠性，把握提升信息技術(shù)管理效能的組織架構(gòu)合理性，深層考慮IT信息系統(tǒng)的框架規(guī)范性以及信息系統(tǒng)中長期發(fā)展規(guī)劃，有效分析掌握信息系統(tǒng)及相關(guān)業(yè)務(wù)流程的變更，統(tǒng)籌梳理信息系統(tǒng)的復(fù)雜度，合理確定IT審計應(yīng)用的情況發(fā)展。通信企業(yè)要緊密關(guān)注IT審計架構(gòu)中不同信息層面的風(fēng)險，如組織或控制層面的風(fēng)險主要來自于業(yè)務(wù)關(guān)注度、信息量價值、信息技術(shù)與專業(yè)人員依賴度、信息系統(tǒng)及運行環(huán)境的安全性、信息系統(tǒng)及技術(shù)應(yīng)用的法律支撐規(guī)范性。而在通信企業(yè)的IT業(yè)務(wù)流程層面，由于大量信息數(shù)據(jù)的輸入輸出與計算處理可能存在信息缺失或失真而導(dǎo)致風(fēng)險隱患增大，需要對信息的輸入、輸出、運算、分析處理等環(huán)節(jié)的風(fēng)險提高安全防范。

第二階段：IT審計實施。進入IT審計實施階段后，組織層面的IT控制要素將主要分成四個模塊，分別為控制環(huán)境、風(fēng)險評估管理機制、信息系統(tǒng)與構(gòu)圖中和監(jiān)控管理。業(yè)務(wù)流程層面的IT控制要素分類更加具體且復(fù)雜，主要的要素體現(xiàn)在業(yè)務(wù)授權(quán)、業(yè)務(wù)批準(zhǔn)、業(yè)務(wù)系統(tǒng)配置、異常及差錯報告等。特別是對于信息技術(shù)的一般性IT控制而言，要素主要體現(xiàn)在信息安全、系統(tǒng)變更、開發(fā)與采購、系統(tǒng)運行等四個方面。

基于風(fēng)險導(dǎo)向的IT審計工作應(yīng)用在通信企業(yè)后，往往沿用典型方法來達到理想的IT審計工作效果。首先要與具體的IT信息技術(shù)控制人員取得聯(lián)系，在實施合理詢問機制的基礎(chǔ)上，對于IT審計控制中的典型或特定運用模式與效果進行觀察，有效收集整理IT審計的相關(guān)文件資料或數(shù)據(jù)報告，對當(dāng)前企業(yè)所使用的信息系統(tǒng)特性進行剖析和梳理，完成穿行測試與追蹤交易，主動通過技術(shù)手段來驗證系統(tǒng)處于控制狀態(tài)所賦予的計算邏輯，靈活選擇時間點進行系統(tǒng)登錄操作完成系統(tǒng)主要信息的查詢，同時優(yōu)化計算機操作方法來輔助完成審計工具與技術(shù)的改進，充分保證獨立性和客觀性，突出強調(diào)職業(yè)技能質(zhì)量控制前提，積極參照相關(guān)專業(yè)機構(gòu)所做出的IT審計結(jié)果，同時加大對信息技術(shù)內(nèi)部控制的自我評估結(jié)果的形成和整理。需要注意的是，若IT審計作為獨立單元并入綜合性審計項目時，操作人員應(yīng)該與綜合審計工作中的其他人員保持緊密溝通，相互共享審計發(fā)現(xiàn)內(nèi)容，廣泛參考依據(jù)不同的審計結(jié)果來合理調(diào)整其他相關(guān)審計的范圍、時間及性質(zhì)。

三、計算機輔助審計技術(shù)在通訊企業(yè)中的應(yīng)用

計算機輔助審計技術(shù)，簡稱CAATs，官方定義是能夠輔助完成IT審計工作的所有自動化技術(shù)集合，其中包括審計通用軟件、專業(yè)功能性軟件、實驗測試數(shù)據(jù)、審計專家系統(tǒng)等，同時還可包括審計工作中需要大量應(yīng)用的文字處理軟件、電子表格、數(shù)據(jù)庫軟件等載體或平臺。在通信企業(yè)中，可使用計算機輔助審計技術(shù)的情況主要涉及：審計工作的規(guī)劃、信息系統(tǒng)的分析記錄、信息系統(tǒng)的測試運營、數(shù)據(jù)類測試、交易行為測試、問題解決機制以及辦公自動化。計算機輔助審計技術(shù)應(yīng)用效果受計算機理論與操作技能、審計人員工作經(jīng)驗、高度匹配設(shè)備、運行場所、由CAATs取代人工作業(yè)的實際效率、耗時限制、信息系統(tǒng)可靠性、和技術(shù)運行環(huán)境真實性、審計風(fēng)險級別等不同要素的影響。通信企業(yè)應(yīng)用計算機輔助審計技術(shù)可分計劃、執(zhí)行、報告三個階段來實施。

結(jié)束語

風(fēng)險導(dǎo)向IT審計在通信企業(yè)中的應(yīng)用，應(yīng)該積極考慮通信企業(yè)的IT系統(tǒng)狀況、IT治理結(jié)構(gòu)以及IT審計資源基礎(chǔ)，有效借鑒并廣泛吸收世界范圍內(nèi)的通信企業(yè)IT審計經(jīng)驗，整理上抬高IT審計水平，并強化IT審計人員素質(zhì)，有效規(guī)避IT風(fēng)險。

參考文獻：

[1] 胡尚可. 風(fēng)險導(dǎo)向IT審計在通信企業(yè)中的應(yīng)用[J]. 中國內(nèi)部審計， 2010（11）：60-62.

[2] 楊明， 郭樹旭， 王雋. 電信企業(yè)信息技術(shù)審計的實踐與思考[J]. 通信技術(shù)， 2010， 43（4）：147-148.

[3] 董驊. XX通信公司的IT審計風(fēng)險研究[D]. 北京交通大學(xué)， 2016.