綜合大型企業(yè)集團(tuán)的IT風(fēng)險管理和審計課題研究報告

吳永林

（江蘇省蘇豪控股集團(tuán)有限公司，江蘇南京 210012）

本研究將以IT風(fēng)險管理和審計為研究對象，對綜合大型企業(yè)集團(tuán)進(jìn)行行業(yè)風(fēng)險分析，對IT風(fēng)控和審計現(xiàn)狀進(jìn)行客觀描述，進(jìn)一步探討符合IT風(fēng)險管理和IT審計的解決方案。

1 行業(yè)背景

國有企業(yè)改革是我國經(jīng)濟(jì)體制改革的中心環(huán)節(jié)，我國國有企業(yè)多年來先后進(jìn)行了擴(kuò)權(quán)讓利、承包經(jīng)營責(zé)任制、股份制、政企分開、戰(zhàn)略調(diào)整等方面的改革[1]。許多傳統(tǒng)意義上的國企已經(jīng)成為大型綜合國企，然而這些大型國企至今仍處于攻堅階段，運(yùn)行機(jī)制不合理等矛盾得不到合理解決。因此，深化大型國有企業(yè)改革成為現(xiàn)今大型國有企業(yè)提高競爭力的關(guān)鍵。

1.1 企業(yè)混合所有制改革

當(dāng)前，推進(jìn)國有企業(yè)混合所有制改革成為促進(jìn)公平市場的當(dāng)務(wù)之急。在十三屆全國人大二次會議上，國家發(fā)改委副主任連維良表示，在加大國企混改方面，2019年將推出第四批100家以上的混改試點(diǎn)[2]。

當(dāng)下，大多數(shù)行業(yè)都處于國有企業(yè)和民營企業(yè)共存的狀態(tài)。而兩種企業(yè)的特點(diǎn)都是很顯著的：國有企業(yè)享有較高的信譽(yù)和穩(wěn)定性、特殊的融資渠道，且在國計民生等方面存在優(yōu)勢；民營企業(yè)在運(yùn)營方面更具有靈活性，對于競爭性行業(yè)和科技創(chuàng)業(yè)型行業(yè)的創(chuàng)辦和運(yùn)營具有優(yōu)勢。而“國企混改”將促進(jìn)國有資本和其他所有制資本取長補(bǔ)短、共同發(fā)展。

1.2 集團(tuán)化戰(zhàn)略

在復(fù)雜的市場競爭環(huán)境下，國內(nèi)企業(yè)面臨巨大的機(jī)遇和挑戰(zhàn)，大型綜合國企集團(tuán)可以利用集團(tuán)化戰(zhàn)略優(yōu)勢，使母公司以資本運(yùn)作的方式將企業(yè)做大，使子公司避免由于某一方面的失利而全盤皆輸，各成員企業(yè)可以利用專業(yè)化分工與合作，共同實現(xiàn)集團(tuán)的綜合運(yùn)營。在集團(tuán)化管理下，成員企業(yè)可以結(jié)合優(yōu)勢企業(yè)的優(yōu)良企業(yè)文化和管理方法，提高企業(yè)的管理水平。企業(yè)集團(tuán)利用各企業(yè)的經(jīng)濟(jì)和技術(shù)優(yōu)勢，形成最佳產(chǎn)業(yè)布局，最終達(dá)到規(guī)模效益。

1.3 外資并購

在國際競爭國內(nèi)化和國內(nèi)競爭國際化的條件下，如何提升企業(yè)綜合競爭力成為我國國有企業(yè)改革面臨的問題。國有企業(yè)綜合競爭力的強(qiáng)弱與我國的綜合國力的興衰是密切相關(guān)的。大型國有企業(yè)利用外資并購改造國有企業(yè)是新形勢下的新趨勢。原因是，外資并購須遵循國際通行的慣例規(guī)則，將其引入國有企業(yè)改革，在國內(nèi)必然會創(chuàng)造出新的市場運(yùn)營機(jī)制，尋求出發(fā)展的新途徑[3]。從傳統(tǒng)的合資合作方式到運(yùn)行利用跨國并購方式，這意味著一些傳統(tǒng)的國有企業(yè)正逐步轉(zhuǎn)變?yōu)榕c經(jīng)濟(jì)發(fā)展趨勢相適應(yīng)的綜合性國有企業(yè)集團(tuán)。

2 行業(yè)風(fēng)險

2.1 運(yùn)營風(fēng)險

隨著國民經(jīng)濟(jì)的提升和企業(yè)發(fā)展機(jī)會的擴(kuò)展，企業(yè)面臨的經(jīng)營環(huán)境日益復(fù)雜，在運(yùn)營過程中必然出現(xiàn)新型風(fēng)險，特別在日常運(yùn)營、操作方面。運(yùn)營風(fēng)險包括由于程序、系統(tǒng)或政策的不足而造成損失的可能性，具體因素包括：系統(tǒng)故障、誤操作、欺詐或其他任何干擾業(yè)務(wù)流程的事件。在日益激烈的市場競爭中，企業(yè)若想維持核心競爭力，就應(yīng)充分考慮運(yùn)營風(fēng)險帶來的影響。結(jié)合我國企業(yè)的現(xiàn)狀來看，國內(nèi)絕大部分企業(yè)都缺乏運(yùn)營風(fēng)險的識別和防范能力。企業(yè)監(jiān)督層、管理層和經(jīng)營者缺乏運(yùn)營風(fēng)險意識，對內(nèi)部風(fēng)險管理的認(rèn)知非常有限。企業(yè)在日常運(yùn)營中未制定完善的內(nèi)部控制制度，且內(nèi)控人員并不具備足夠的監(jiān)督管理經(jīng)驗，導(dǎo)致企業(yè)的內(nèi)控管理水平在日益復(fù)雜的運(yùn)營情況下停滯不前。

2.2 IT風(fēng)險

隨著科學(xué)技術(shù)的成熟，信息化技術(shù)在企業(yè)管理方面得到廣泛應(yīng)用。ERP系統(tǒng)是符合社會發(fā)展潮流的管理方式，在我國大部分企業(yè)都得到了應(yīng)用。該系統(tǒng)可以快速準(zhǔn)確進(jìn)行企業(yè)成本核算、高效全面處理人力資源信息、整合存儲企業(yè)管理信息等。在企業(yè)管理方面，不僅能大幅度提升企業(yè)決策的效率，還能幫助企業(yè)獲取全面準(zhǔn)確的信息。然而，IT技術(shù)在維持和推動企業(yè)運(yùn)營的同時，其本身對于企業(yè)也存在一定的風(fēng)險。近幾年，國內(nèi)外IT風(fēng)險事件的頻發(fā)引來IT界、商業(yè)界和學(xué)術(shù)界的密切關(guān)注。在極端情況下，IT風(fēng)險事件可能會給企業(yè)帶來致命的打擊。比如，同樣是關(guān)于ERP系統(tǒng)，其本身存在多種風(fēng)險：（1）質(zhì)量風(fēng)險，若開發(fā)商采用低成本的開發(fā)平臺和開發(fā)工具，勢必對系統(tǒng)的開發(fā)進(jìn)度和質(zhì)量造成損害，對ERP長遠(yuǎn)的發(fā)展產(chǎn)生制約；（2）移植風(fēng)險，若開發(fā)商的開發(fā)環(huán)境簡單封閉，而系統(tǒng)的生產(chǎn)環(huán)境開發(fā)復(fù)雜，ERP系統(tǒng)將無法實現(xiàn)其預(yù)期的價值。因此，關(guān)于如何防范IT風(fēng)險，如何建立IT風(fēng)險管理機(jī)制，成為企業(yè)管理領(lǐng)域不可回避的問題。

3 大型綜合性國企集團(tuán)IT審計現(xiàn)狀及關(guān)注點(diǎn)

隨著業(yè)務(wù)和管理需求的增長，綜合性國企越來越重視業(yè)務(wù)信息化發(fā)展和轉(zhuǎn)型，IT審計已成為大型企業(yè)業(yè)務(wù)信息化的重要組成部分，同時也是業(yè)務(wù)信息化的內(nèi)在需要。

IT審計在我國起步較晚，由起初的理論框架構(gòu)建及對傳統(tǒng)審計的影響分析逐步向具體行業(yè)適用性的研究過渡，多集中于銀行體系內(nèi)IT審計的應(yīng)用和電力、地鐵等大型企業(yè)IT審計的構(gòu)建[4]?，F(xiàn)今，相當(dāng)數(shù)量和規(guī)模的綜合性大型企業(yè)統(tǒng)一受政府或者代表政府的國資委機(jī)構(gòu)管理，企業(yè)的審計工作對企業(yè)制度規(guī)范、資金使用和信息質(zhì)量管理具有關(guān)鍵的指引和監(jiān)督作用。隨著綜合性大型企業(yè)的改革深入，扮演企業(yè)出資人角色的國資委，通過分析和評估綜合性大型企業(yè)的審計風(fēng)險，從而健全企業(yè)的監(jiān)管體系，建立專業(yè)的審計制度和實施舉措，使綜合性大型企業(yè)穩(wěn)健前行。

除了AICPA、CICA、IFAC等組織對信息技術(shù)環(huán)境下的審計制度有所規(guī)定外，國際上ISACA的信息系統(tǒng)審計準(zhǔn)則是目前較權(quán)威的IT審計標(biāo)準(zhǔn)。以上這些制度都是我國IT審計在發(fā)展中可以借鑒的。此外，我國引入或參照先進(jìn)國家的IT應(yīng)用技術(shù)，這一因素增加了借鑒國際IT審計準(zhǔn)則的實用性。由于我國在IT應(yīng)用方面與發(fā)達(dá)國家還是存在一定差距，在借鑒國際IT審計制度的同時，也要考慮中國國情。具體來說，我國IT審計領(lǐng)域尚不成熟且IT審計工作也不普遍，故我國有必要選擇性地采用國際準(zhǔn)則，并有針對性地進(jìn)行修訂，才能量身定制出符合實際情況的IT審計準(zhǔn)則。

綜合性大型企業(yè)的信息系統(tǒng)往往具有覆蓋面廣、用戶量大、軟件眾多且流程復(fù)雜的特點(diǎn)。特別是信息化管理程度較高的企業(yè)，管理層需充分認(rèn)識到信息技術(shù)潛在的風(fēng)險并制定出相應(yīng)的信息系統(tǒng)審計實務(wù)操作指導(dǎo)性文件。隨著信息技術(shù)逐漸成為企業(yè)管理與內(nèi)控的重要手段，綜合性大型企業(yè)對IT審計的重視也逐步增強(qiáng)。與其他審計不同，IT審計流程主要關(guān)注于大量的信息處理技術(shù)。傳統(tǒng)的IT審計方法包括：（1）數(shù)據(jù)測試，將預(yù)先設(shè)定好的錯誤/正確信息輸入系統(tǒng)以查看系統(tǒng)是否能有效處理數(shù)據(jù)；（2）程序流程檢查，審計人員通過觀察信息化業(yè)務(wù)流程運(yùn)行以檢測系統(tǒng)邏輯設(shè)計是否合理及運(yùn)行是否準(zhǔn)確；（3）系統(tǒng)運(yùn)行日志檢查，審計人員隨機(jī)根據(jù)導(dǎo)出日志發(fā)現(xiàn)內(nèi)在風(fēng)險等。隨著IT審計領(lǐng)域逐漸成熟，大量新興技術(shù)也被應(yīng)用到IT審計中，比如：數(shù)據(jù)挖掘式審計、數(shù)據(jù)結(jié)構(gòu)驗證、程序編碼審查及征兆發(fā)現(xiàn)技術(shù)等。IT審計新手段的出現(xiàn)也對審計人員提出了更高的要求。

4 綜合大型企業(yè)集團(tuán)的IT風(fēng)控和審計趨勢

隨著組織的發(fā)展對IT的依賴逐漸增加，面對信息技術(shù)發(fā)展所帶來的挑戰(zhàn)，企業(yè)應(yīng)該多方位、多角度制定IT治理體系，對一般信息技術(shù)控制環(huán)境和業(yè)務(wù)應(yīng)用控制環(huán)境進(jìn)行監(jiān)控。在IT治理領(lǐng)域，IT風(fēng)控是IT治理過程中的風(fēng)險管理，而IT審計是IT治理的雙重保證，IT審計又是IT風(fēng)控的定期評估，三者關(guān)系可參見圖1。

圖1 IT審計、IT風(fēng)控和IT治理關(guān)系圖

4.1 IT風(fēng)險控制

4.1.1 組織形式

風(fēng)險控制在組織形式上包括：IT部門、風(fēng)險控制部門、內(nèi)部IT審計專業(yè)人員。

4.1.1.1 “防線 1” ：IT 部門

隨著信息資源變得日益重要，與資金、物資和人力一樣，信息資源也需要專門的部門進(jìn)行管理。一個企業(yè)若想增強(qiáng)IT風(fēng)險控制能力，必須具備專門的IT組織，設(shè)立各級信息化機(jī)構(gòu)，并配置相應(yīng)的專業(yè)人員，由管理層根據(jù)監(jiān)管政策要求界定各部門的職責(zé)和權(quán)限。IT職能包括企業(yè)IT管理、系統(tǒng)建設(shè)開發(fā)、運(yùn)行維護(hù)等。IT部門作為IT風(fēng)險管理的“第一道防線”，承擔(dān)識別風(fēng)險、監(jiān)控IT風(fēng)險、實施IT風(fēng)險管控、應(yīng)急響應(yīng)等職責(zé)。為實現(xiàn)風(fēng)險控制的完備性、及時性、靈活性，企業(yè)對于IT人員能力的要求越來越高。IT組織的專業(yè)及管理能力不足不僅使企業(yè)在高度信息化競爭環(huán)境中處于被動地位，還容易給企業(yè)的信息安全、業(yè)務(wù)流程的正常運(yùn)行帶來潛在風(fēng)險。

此外，越來越多企業(yè)為了迅速具備IT風(fēng)控能力，選擇將企業(yè)的信息技術(shù)資源外包，即將全部或部分信息科技服務(wù)委托外部專業(yè)資源進(jìn)行管理。外部專業(yè)資源包括：獨(dú)立第三方、合作伙伴集團(tuán)內(nèi)其他子公司、外包技術(shù)支持等。不可否認(rèn)的是，IT外包管理有利于企業(yè)集中資源專注于主營業(yè)務(wù)，從而降低人才流動或組織架構(gòu)變動帶來的風(fēng)險。但是，外包也是一把雙刃劍，由于企業(yè)IT外包存在很多不確定因素，外包也自帶風(fēng)險，包括信息泄漏的風(fēng)險、承包商選擇錯誤的風(fēng)險、IT外包合同風(fēng)險等。故有效的IT服務(wù)外包要求企業(yè)建立IT外包風(fēng)險管理制度，包括外包風(fēng)險識別分析、監(jiān)管制度、風(fēng)險應(yīng)對方案等。

4.1.1.2 “防線2”：風(fēng)險控制部門

在風(fēng)險管理領(lǐng)域，內(nèi)部控制常被看作風(fēng)險控制的主要內(nèi)容，但是由于風(fēng)險管理與內(nèi)控的職責(zé)與工作內(nèi)容不一樣，所以不論是從理論還是實際角度，二者都不應(yīng)該混為一談。然而，我國許多大型綜合性企業(yè)為節(jié)省人力資源、簡化管理流程，選擇將內(nèi)部控制組織取代風(fēng)險控制組織，或者將二者融合，這樣的組織職責(zé)分配不利于有效的風(fēng)險管理。從理論角度看，企業(yè)的風(fēng)險管理部門承擔(dān)以下職責(zé)：根據(jù)公司整體風(fēng)險管理策略確定IT風(fēng)險管理策略、制定風(fēng)險計量標(biāo)準(zhǔn)；根據(jù)公司運(yùn)營情況及監(jiān)管要求進(jìn)行重要風(fēng)險提示；定期進(jìn)行風(fēng)險評估、監(jiān)控重大IT風(fēng)險，以及督促風(fēng)險糾正。內(nèi)部控制是管理操作風(fēng)險的終極手段，涉及風(fēng)險管理策略的制定。就實際情況分析，風(fēng)險管理是一個動態(tài)過程，IT風(fēng)險敞口的發(fā)現(xiàn)、計量、提示、監(jiān)控都需要風(fēng)控人才的工作投入。 我國大型綜合企業(yè)照搬相似企業(yè)制度的現(xiàn)象普遍存在，內(nèi)部控制制度本身存在形式化的特點(diǎn)，使內(nèi)控部門的工作內(nèi)容趨于“單一化”，使內(nèi)控部門的職能定位及專業(yè)能力往往無法達(dá)到“動態(tài)的”IT風(fēng)險管理的要求。

4.1.1.3 “防線3”：內(nèi)部IT審計

我國大部分大型綜合企業(yè)具備專門的內(nèi)審團(tuán)隊，并定期對財務(wù)情況進(jìn)行審查，然而內(nèi)審團(tuán)隊往往不包含信息技術(shù)審計人員。隨著信息技術(shù)和業(yè)務(wù)發(fā)展，業(yè)務(wù)信息往往來自于不同的信息系統(tǒng)，這些系統(tǒng)又包含很多子系統(tǒng)。比如，現(xiàn)在很多企業(yè)推行的ERP、CRM系統(tǒng)，包含的子系統(tǒng)模塊眾多，覆蓋企業(yè)的客戶信息管理、供應(yīng)鏈流程管理、生產(chǎn)過程控制、財務(wù)數(shù)據(jù)管理等。面對如此復(fù)雜的系統(tǒng)，僅依靠常規(guī)內(nèi)部審計方法是不能全面展開審計工作的，欠缺信息技術(shù)審計能力的審計人員往往感到力不從心，進(jìn)而影響內(nèi)審質(zhì)量和進(jìn)度。因此，根據(jù)業(yè)務(wù)信息化發(fā)展的實際需要，企業(yè)可以培養(yǎng)專業(yè)的信息技術(shù)審計團(tuán)隊，或聘請相應(yīng)的外包團(tuán)隊，如信息安全專項審計、信息系統(tǒng)專項審計團(tuán)隊等執(zhí)行內(nèi)部審計，可以有效提升內(nèi)部審計的質(zhì)量，進(jìn)而更好地滿足風(fēng)險管理的要求。

4.1.2 IT部門的定位

我國的企業(yè)經(jīng)過幾十年的發(fā)展，大部分已經(jīng)經(jīng)過了生存階段，步入了生長和成熟階段。該階段的企業(yè)具備了一定的管理水平，在資金管理、市場銷售、人力資源等多方面都相對規(guī)范化。然而，不同行業(yè)、不同企業(yè)對IT部門的定位大相徑庭。對于以“線上業(yè)務(wù)”為主的大型企業(yè)，比如攜程、阿里巴巴，IT部門作為企業(yè)的核心部門，與業(yè)務(wù)部門緊密聯(lián)系；對于一些傳統(tǒng)的、以“線下業(yè)務(wù)”為主的企業(yè)，IT部門的地位相對比較低，在企業(yè)內(nèi)部容易被邊緣化，甚至存在不設(shè)置獨(dú)立IT部門的情況，相關(guān)IT人員可能掛靠在行政部、財務(wù)部或其他部門之下。

過去，我國大多數(shù)的企業(yè)對IT價值的定位是為“技術(shù)支撐性”。該類型IT服務(wù)定位主要關(guān)注在以低成本方式為業(yè)務(wù)部門提供基礎(chǔ)信息技術(shù)建設(shè)，對信息系統(tǒng)環(huán)境進(jìn)行維護(hù)。由于大部分企業(yè)以線下業(yè)務(wù)為主，信息系統(tǒng)多是相對封閉于企業(yè)內(nèi)部的，而對外業(yè)務(wù)大多與這些內(nèi)部系統(tǒng)相隔離，所以IT部門執(zhí)行支持性職能便可使企業(yè)有效運(yùn)作；隨著IT應(yīng)用融入各種業(yè)務(wù)，業(yè)務(wù)模式已由“純線下”轉(zhuǎn)變?yōu)椤熬€上”或“線上線下融合”的模式，然而業(yè)務(wù)與IT的關(guān)系并沒有如預(yù)期那樣得到調(diào)整，“技術(shù)支撐性”這個IT戰(zhàn)略定位不再足以支撐業(yè)務(wù)需求。國內(nèi)企業(yè)應(yīng)該跟上業(yè)務(wù)與信息技術(shù)融合的步伐，對IT戰(zhàn)略作進(jìn)一步調(diào)整。

（1）應(yīng)用導(dǎo)向型。該類型的IT部門在考慮成本的情況下，注重提供優(yōu)化的應(yīng)用方案來改進(jìn)業(yè)務(wù)部門的運(yùn)營績效。

（2）業(yè)務(wù)伙伴型。該類型下的IT部門主動理解業(yè)務(wù)戰(zhàn)略，進(jìn)行配套的IT項目規(guī)劃，幫助業(yè)務(wù)部門提高業(yè)務(wù)的覆蓋面和滲透率。

（3）戰(zhàn)略推動型。許多全球領(lǐng)先企業(yè)的IT戰(zhàn)略定位為戰(zhàn)略推動型，該類型下的IT部門參與業(yè)務(wù)戰(zhàn)略規(guī)劃，推動企業(yè)業(yè)務(wù)創(chuàng)新和戰(zhàn)略信息技術(shù)方案的落實。

綜上，IT部門在這個信息化建設(shè)加速發(fā)展的時代，應(yīng)扮演更加有影響力的角色，而非傳統(tǒng)觀念里的與業(yè)務(wù)部門“各自為政”。

4.1.3 “新技術(shù)”應(yīng)用對企業(yè)信息技術(shù)風(fēng)險的影響

新技術(shù)正加快推動企業(yè)業(yè)務(wù)模式和管理模式的轉(zhuǎn)變。以支付業(yè)務(wù)流程為例，無現(xiàn)金支付時代已經(jīng)慢慢走進(jìn)了我們的生活，這是科技帶給我們的便捷。目前，常見的支付“新科技”包括：“刷臉”支付、AR/VR支付等。支付方式的“新技術(shù)應(yīng)用”將全面影響支付流程涉及的基礎(chǔ)設(shè)施，包括支付工具、交易模式、支付中介與組織、支付賬戶體系、監(jiān)管政策等。然而，隨著支付新技術(shù)的快速發(fā)展，對信息技術(shù)風(fēng)險管理提出了更高的要求和標(biāo)準(zhǔn)。當(dāng)前，支付新技術(shù)給相關(guān)企業(yè)帶來網(wǎng)絡(luò)安全、平臺安全和信息與數(shù)據(jù)安全等多種安全風(fēng)險隱患。一旦發(fā)生安全風(fēng)險，不但威脅到用戶的利益，也會給企業(yè)帶來巨大的損失，破壞整個行業(yè)的發(fā)展，甚至還會帶來系統(tǒng)性金融風(fēng)險。因此，支付業(yè)務(wù)流程采用“新技術(shù)”的企業(yè)需要高度關(guān)注金融科技行業(yè)的信息技術(shù)風(fēng)險，充分發(fā)揮企業(yè)信息科技審計團(tuán)隊的作用。

與支付業(yè)務(wù)流程 “新技術(shù)”一樣，其他新技術(shù)的應(yīng)用在提供企業(yè)競爭力的同時，也存在很多風(fēng)險防控的問題需要解決。企業(yè)信息化管理是一個長期的過程，需要管理層提高重視，在發(fā)展信息化技術(shù)的同時，完善自身管理，配備專業(yè)的技術(shù)人員團(tuán)隊對新技術(shù)進(jìn)行評估和審查，以降低新技術(shù)應(yīng)用帶來的風(fēng)險。

4.1.4 IT風(fēng)險控制的方法建議

對于大型綜合企業(yè)，信息技術(shù)部門、業(yè)務(wù)部門涉及繁瑣的風(fēng)險管理制度和措施的執(zhí)行。在此將對IT風(fēng)險管理與控制提出建議，包括信息技術(shù)網(wǎng)絡(luò)安全、系統(tǒng)實施風(fēng)險、信息安全與授權(quán)、安全技術(shù)存在的風(fēng)險、外包風(fēng)險、數(shù)據(jù)中心存在的風(fēng)險。

關(guān)于信息系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的管理，信息所有者與管理者必須采取一種未雨綢繆的方法來應(yīng)對網(wǎng)絡(luò)的安全問題。這種方法從信息安全技術(shù)評估開始，通過技術(shù)評估來識別目標(biāo)系統(tǒng)與網(wǎng)絡(luò)中存在的潛在技術(shù)風(fēng)險，并對其進(jìn)行分類分析。信息技術(shù)評估是任何系統(tǒng)安全周期中不可或缺的部分。安全掃描及漏斗分析作為信息技術(shù)評估的核心組成部分，通過手動與自動化相結(jié)合的方法檢測、識別目標(biāo)系統(tǒng)與網(wǎng)絡(luò)中存在的各類安全漏洞，并根據(jù)其對系統(tǒng)可用性、數(shù)據(jù)安全性等核心關(guān)注點(diǎn)的影響為依據(jù)進(jìn)行風(fēng)險分析，給出漏洞補(bǔ)給及IT內(nèi)控管理提升建議；滲透測試作為信息安全技術(shù)評估的一種高級方法，注重從攻擊者的角度，檢驗業(yè)務(wù)系統(tǒng)的安全措施是否有效，各項安全策略是否配置合理，將潛在的風(fēng)險以事件的方式凸顯出來，從而有助于提高相關(guān)人員對安全問題的認(rèn)識，對系統(tǒng)與網(wǎng)絡(luò)進(jìn)行安全加固，解決測試中發(fā)現(xiàn)的安全問題，從而防止真實安全事件的發(fā)生。

在重大信息系統(tǒng)實施的過程中，需要使用合理的方法來減小系統(tǒng)實施的風(fēng)險。供應(yīng)商的選擇，清晰的要求和整合管理是實施項目的關(guān)鍵因素。在整個項目實施的過程中，有3個層面的風(fēng)險需要注意：（1）流程層面，包括在新的系統(tǒng)中未考慮實際需求，現(xiàn)有的手工流程仍然在系統(tǒng)外執(zhí)行和管理，流程的設(shè)計不夠詳細(xì)等；（2）技術(shù)層面，系統(tǒng)解決方案的選擇未考慮未來發(fā)展的擴(kuò)展性，歷史數(shù)據(jù)沒有被正確地識別并導(dǎo)入新的系統(tǒng)，切換日期前用戶和權(quán)限沒有測試等；（3）人員管理，包括日常操作人員沒有介入系統(tǒng)設(shè)計導(dǎo)致對新系統(tǒng)的抵觸，現(xiàn)有人員不具備足夠的經(jīng)驗，項目小組成員超負(fù)荷工作等。而流程整合項目管理可有效降低上述風(fēng)險。

在信息安全和授權(quán)評估中，可能存在的關(guān)注點(diǎn)主要體現(xiàn)在權(quán)限上，部分系統(tǒng)平臺角色定義不規(guī)范，授權(quán)對象不清晰，角色權(quán)限設(shè)計與職責(zé)不相容等；職責(zé)分工上，業(yè)務(wù)層面和系統(tǒng)層面存在職責(zé)不相容，控制缺失等；賬號監(jiān)控上，root等賬號多人持有且監(jiān)控缺失；冗余賬號上，測試用戶和離職用戶未刪除等。這些缺陷會帶來嚴(yán)重的損失和風(fēng)險，比如信息泄露、虛假交易、內(nèi)部舞弊等。由于用戶管理、信息技術(shù)管理與某些業(yè)務(wù)流程上均存在一定的關(guān)聯(lián)，會直接地影響其他領(lǐng)域控制的有效性，且授權(quán)異常的風(fēng)險敞口較大，建議企業(yè)應(yīng)基于對于指責(zé)分離的充分考慮，明確定義用戶角色和權(quán)限，合理地管理高權(quán)限賬號,以互相牽制的方法規(guī)避風(fēng)險。

關(guān)于安全技術(shù)評估，可以通過專業(yè)技術(shù)手段，先行識別影響程度更高的信息安全風(fēng)險和安全漏洞，隨著技術(shù)評估與測試的深入，再著眼次風(fēng)險領(lǐng)域。根據(jù)影響程度從高到低，可以進(jìn)行4個層面的測試：外部網(wǎng)絡(luò)滲透測試，模擬一般外部攻擊者；外部網(wǎng)絡(luò)滲透測試，模擬掌握一定信息的外部攻擊者；內(nèi)部網(wǎng)絡(luò)漏洞分析與滲透測試，模擬非授權(quán)的內(nèi)部攻擊者；做好審閱與系統(tǒng)設(shè)計安全性評估。

關(guān)于信息技術(shù)外包風(fēng)險和評估，IT外包在將信息科技活動委托給服務(wù)提供商進(jìn)行處理的同時，會給企業(yè)帶來戰(zhàn)略、聲譽(yù)、合規(guī)風(fēng)險。具體風(fēng)險包括：企業(yè)過度依賴外部資源導(dǎo)致失去科技控制及創(chuàng)新能力，支持外營的外包服務(wù)無法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷，包含客戶信息在內(nèi)的非公開數(shù)據(jù)被服務(wù)提供商非法泄露，信息科技外包采購沒有遵循標(biāo)準(zhǔn)的流程規(guī)范，將外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風(fēng)險等，都可能造成服務(wù)中斷。對信息科技外包進(jìn)行評估應(yīng)該從這些風(fēng)險出發(fā)，評估相關(guān)控制的實用性和充分性。

關(guān)于數(shù)據(jù)中心審計，審計內(nèi)容包括機(jī)房訪問管理（機(jī)房授權(quán)人員審批、外部人員審批等）、機(jī)房環(huán)境管理（機(jī)房無力環(huán)境配置、環(huán)境監(jiān)控流程等）、外包服務(wù)管理與監(jiān)控（外包合同和SLA審閱，對照SLA的監(jiān)控評估流程及結(jié)果審閱等）和應(yīng)急管理（數(shù)據(jù)中心連續(xù)性計劃、數(shù)據(jù)中心應(yīng)急演練等）。

4.2 IT審計

除了IT風(fēng)險控制，IT治理領(lǐng)域的另外一個關(guān)鍵流程為IT審計，價值在于控制風(fēng)險，最大化科技的效益。實施信息技術(shù)審計能夠強(qiáng)化信息科技投資效果，提高信息系統(tǒng)的安全性，客觀評價信息系統(tǒng)運(yùn)行及信息系統(tǒng)開發(fā)。

4.2.1 引入IT審計的意義

傳統(tǒng)審計線索的消失是引入IT審計的一個內(nèi)在原因。在信息化與工業(yè)化密切融合的時代，財務(wù)信息化已遍布各行各業(yè)。如今，企業(yè)可以利用信息系統(tǒng)記錄收入、支出、資產(chǎn)、負(fù)債等，這些數(shù)字進(jìn)而組成財務(wù)報表，繼而產(chǎn)出一個個指標(biāo)數(shù)字以量化企業(yè)的業(yè)績活動。審計人員無法直接觀察到這些數(shù)字的記錄過程和篡改痕跡，導(dǎo)致一定的風(fēng)險存在。財報數(shù)字的來源是否可信？每一個數(shù)據(jù)是否產(chǎn)自安全的信息環(huán)境？信息是否全面和準(zhǔn)確？這一連串問題，在對企業(yè)進(jìn)行內(nèi)部財務(wù)報表控制和外部財務(wù)報表審核的時候都需謹(jǐn)慎考慮。

雖然我國尚未就信息技術(shù)審計出臺法律法規(guī)，但中國注冊會計師準(zhǔn)則已間接對信息系統(tǒng)審計做出要求。正如中國注冊會計師準(zhǔn)則第1211號十七條所述，“注冊會計師應(yīng)當(dāng)了解控制環(huán)境，控制環(huán)境總體上的優(yōu)勢是否為內(nèi)部控制的其他要素奠定了適當(dāng)?shù)幕A(chǔ)，以及這些其他要素是否被控制環(huán)境中存在的缺陷所削弱”。為了實現(xiàn)這一準(zhǔn)則，知曉與財務(wù)報告相關(guān)的信息系統(tǒng)的運(yùn)行邏輯和其可能存在的風(fēng)險，是企業(yè)內(nèi)外審計師需要了解的內(nèi)容之一。

4.2.2 大型國有企業(yè)IT風(fēng)險控制成熟度

改革開放以來，我國政府根據(jù)不同階段的國情對企業(yè)信息化提出了信息化戰(zhàn)略和工作要求。眾多企業(yè)為緊隨市場競爭趨勢、發(fā)展自身競爭力，積極開展信息系統(tǒng)建設(shè)。2014年，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立。之后，各地方政府也響應(yīng)號召，紛紛成立地方信息化工作小組。目前，大型國有企業(yè)的信息系統(tǒng)經(jīng)過幾十年的建設(shè)，信息化基礎(chǔ)設(shè)施已比較完善，相應(yīng)的管理規(guī)范基本已經(jīng)得到確定。

然而，大型國有企業(yè)的IT風(fēng)險管理模式尚不足以規(guī)避IT建設(shè)帶來的潛在風(fēng)險，主要有以下兩個原因。

（1）有些企業(yè)的初期資金投入量大，考慮到短期效益，后期IT風(fēng)險管理的投入不足，或者IT風(fēng)險管理的投入在短期內(nèi)未見成效故在后期放棄，導(dǎo)致大部分國有企業(yè)的管理模式未跟上其信息技術(shù)更新和商業(yè)模式調(diào)整速度。

（2）對比其他發(fā)達(dá)國家，由于信息化建設(shè)起步晚，我國國有企業(yè)信息建設(shè)經(jīng)驗不足，導(dǎo)致IT風(fēng)險的事先預(yù)防和事后處理缺乏有效的控制方法。

4.2.3 IT審計方法論

任何形式的審計都應(yīng)以風(fēng)險為導(dǎo)向，針對各領(lǐng)域的風(fēng)險，對各控制的設(shè)計、實施以及執(zhí)行進(jìn)行測試。而IT審計，則是將IT技術(shù)融入審計中，對控制逐級進(jìn)行評估、測試和評價。

在公司層面，審計人員首先需從公司戰(zhàn)略和業(yè)務(wù)運(yùn)行模式出發(fā)，理解信息處理過程和IT技術(shù)；在流程控制層面，審計人員需識別自動控制和人工控制，選擇并描述控制點(diǎn)；在信息系統(tǒng)一般控制層面，審計人員需識別信息系統(tǒng)一般控制點(diǎn)，選擇并制定信息系統(tǒng)一般控制點(diǎn)；測試層面，審計人員對自動控制、手工控制以及信息系統(tǒng)一般控制的有效性進(jìn)行測試?；跍y試結(jié)果，還要對測試層面、流程控制層面和公司層面進(jìn)行評價，得出對控制的結(jié)論，判斷潛在的影響。

4.2.4 IT審計的必要性

信息系統(tǒng)的應(yīng)用涉及到企業(yè)業(yè)務(wù)流程的方方面面，很大程度上已經(jīng)替代手工賬本成為承載財務(wù)信息和編制財務(wù)報表的平臺。若不進(jìn)行IT審計，潛在風(fēng)險將無法得到確認(rèn)，這也意味著相關(guān)的系統(tǒng)不確定性將影響到財務(wù)數(shù)據(jù)的準(zhǔn)確性。

其中，包括所依賴的信息系統(tǒng)處理數(shù)據(jù)的邏輯不正確或處理了不正確的數(shù)據(jù)；存在不相關(guān)人員在非授權(quán)的情況下訪問、修改、增加、刪除數(shù)據(jù)的情況；存在特權(quán)賬戶的人為干預(yù)的情況；系統(tǒng)中的數(shù)據(jù)不完整或存在丟失的情況等。

4.3 IT控制類型

根據(jù)IT控制的范圍，IT內(nèi)部控制一般可分為組織層面的IT控制、一般控制和應(yīng)用控制三個層面，審計人員通常也以此展開IT審計工作。

4.3.1 組織層面的IT審計

組織層面的IT審計，主要是檢查IT架構(gòu)是否設(shè)計合理，是否有利實現(xiàn)組織目標(biāo)。其核心內(nèi)容為日常IT管理和IT戰(zhàn)略規(guī)劃，審計內(nèi)容包括職責(zé)分離、授權(quán)、監(jiān)督、人事管理等。

審計人員在進(jìn)行測試IT管理層控制時，可以根據(jù)內(nèi)部控制框架對IT管理層進(jìn)行訪談，以評價企業(yè)在信息化業(yè)務(wù)管理模式下IT管理層控制的有效性。

4.3.2 一般控制的IT審計

該審計是為了確保IT系統(tǒng)運(yùn)行的可持續(xù)性?！耙话憧刂啤敝刚麄€計算機(jī)信息系統(tǒng)及環(huán)境要素實施的，對系統(tǒng)所有的應(yīng)用或功能模塊具有普遍影響的控制措施。審計內(nèi)容包括機(jī)房進(jìn)出管理、訪問權(quán)限管理、密碼控制、軟件升級與開發(fā)控制、備份與災(zāi)備制度等。

審計人員在進(jìn)行IT一般控制測試時，可以采取與相關(guān)負(fù)責(zé)人的確證訪談、直接觀察控制流程、查看系統(tǒng)配置、穿行測試等審計方法。對于經(jīng)測試證明無效的一般控制，審計人員應(yīng)進(jìn)行及時的問題跟進(jìn)，以確認(rèn)該控制的缺陷對業(yè)務(wù)、財務(wù)等其他方面的影響程度，以及該缺陷是否已被解決或待解決。

4.3.3 應(yīng)用控制層面的IT審計

該控制主要針對業(yè)務(wù)流程層面，甚至更高級別的流程控制，目的是為了確保財務(wù)報告相關(guān)信息的完整性和準(zhǔn)確性。應(yīng)用控制層面的IT審計可以分為自動控制和帶有自動組件的手動控制。這些控制有助于確保相關(guān)交易的發(fā)生是被授權(quán)的，且被完整、準(zhǔn)確地記錄和處理。

為了測試系統(tǒng)的可信程度以及相關(guān)數(shù)據(jù)的產(chǎn)生、傳輸、處理、分析等流程是否符合規(guī)定。應(yīng)用控制層面的IT審計通常分為4個方面：系統(tǒng)訪問控制、系統(tǒng)配置、接口控制和系統(tǒng)報表。

4.3.3.1 訪問控制測試

訪問控制一般包括兩個層面的內(nèi)容：一是權(quán)限設(shè)計是否合理；二是權(quán)限賦予的對象是否合理。所以，測試人員在進(jìn)行系統(tǒng)訪問控制驗證的過程中，需要對這兩方面執(zhí)行相應(yīng)的審計工作。

在驗證權(quán)限設(shè)計的合理性時，測試人員應(yīng)關(guān)注權(quán)限設(shè)計是否滿足了風(fēng)險管理的需求；在驗證權(quán)限賦予的合理性時，測試人員應(yīng)測試相關(guān)人員的權(quán)限是否是被合理授權(quán)的，是否符合了權(quán)限職責(zé)分離的原則。

一般情況下，測試人員通過執(zhí)行以下審計程序來進(jìn)行訪問控制測試：

（1）訪談與權(quán)限管理相關(guān)的負(fù)責(zé)人員，了解系統(tǒng)權(quán)限設(shè)計及賦予的規(guī)則和方法。權(quán)限賦予方法可能是企業(yè)直接將權(quán)限賦予給賬號，也可能是先將權(quán)限賦予給特定的角色，再由角色賦予給賬戶。

（2）對選定需進(jìn)行測試的訪問權(quán)限，通過查看系統(tǒng)中的權(quán)限設(shè)計和配置，確定權(quán)限設(shè)計和配置是否合理。

（3）測試權(quán)限賦予是否合理。若信息系統(tǒng)的一般控制的測試結(jié)果為無效，或未執(zhí)行信息系統(tǒng)一般控制，則測試人員無法使用測試的結(jié)果。此時，測試人員需要評估相關(guān)的控制缺陷和相關(guān)跟進(jìn)步驟對訪問控制的影響，選擇替代性應(yīng)對程序。

以國內(nèi)某知名汽車配件制造商為例，IT審計人員通過交叉詢問IT部門IT應(yīng)用經(jīng)理和業(yè)務(wù)系統(tǒng)工程師，了解到只有物流部賬務(wù)崗位的人員、倉庫管理人員才能在系統(tǒng)中被賦予A和B角色，擁有庫存轉(zhuǎn)移的權(quán)限，可以執(zhí)行實物移庫的操作。在執(zhí)行測試時，審計人員獲取了系統(tǒng)用戶權(quán)限清單。同時，通過查詢在職用戶名單，審計人員了解到兩名財務(wù)管理中心會計在系統(tǒng)內(nèi)被授予A角色,屬于非授權(quán)人員。[5]該發(fā)現(xiàn)說明企業(yè)缺少對實物移庫系統(tǒng)角色和操作權(quán)限的有效性管理，可能導(dǎo)致財務(wù)人員和計劃物流人員在未經(jīng)授權(quán)的情況下，將倉庫中的貨品進(jìn)行非授權(quán)發(fā)貨操作，對企業(yè)造成損失。

4.3.3.2 系統(tǒng)接口控制測試

在測試系統(tǒng)接口控制的有效性時，保證數(shù)據(jù)在系統(tǒng)間傳輸?shù)耐暾院蜏?zhǔn)確性，確保傳輸中發(fā)生任何問題都能夠被及時地監(jiān)測和跟進(jìn)。接口控制一般由自動控制完成，例如系統(tǒng)通過特定處理定時任務(wù)，將數(shù)據(jù)從源系統(tǒng)傳輸至目標(biāo)系統(tǒng)。

對于系統(tǒng)接口控制的測試，測試人員通常需進(jìn)行如以下幾個方面的測試：

（1）訪問限制，查看是否僅被賦予合理權(quán)限的人員的賬號才能對接口程序進(jìn)行訪問和修改。比如，有些企業(yè)只允許被授權(quán)的系統(tǒng)開發(fā)人員對接口進(jìn)行變更。

（2）完整性驗證，確認(rèn)測試系統(tǒng)是否將數(shù)據(jù)完整地從源系統(tǒng)傳輸?shù)搅四繕?biāo)系統(tǒng)。比如，系統(tǒng)自動計算目標(biāo)系統(tǒng)接收到數(shù)據(jù)的總數(shù)，并與源系統(tǒng)進(jìn)行比對，確保數(shù)據(jù)傳輸?shù)耐暾浴?/p>

（3）準(zhǔn)確性驗證，確認(rèn)系統(tǒng)是否將數(shù)據(jù)準(zhǔn)確地從源系統(tǒng)傳輸?shù)搅四繕?biāo)系統(tǒng)。常見的控制手段有，系統(tǒng)自動設(shè)置校驗位，對于傳輸數(shù)據(jù)的準(zhǔn)確性進(jìn)行自動校驗。

（4）傳輸及時性，判斷系統(tǒng)是否在正確的時間內(nèi)傳輸了數(shù)據(jù)，對于傳輸失敗的數(shù)據(jù)，是否及時進(jìn)行補(bǔ)傳，直至成功為止。

（5）變更控制，判斷是否由授權(quán)賬戶進(jìn)行系統(tǒng)接口的變更，且變更是否滿足實際業(yè)務(wù)需求。通常情況下，該驗證工作會在信息系統(tǒng)一般控制的測試過程中完成。

（6）傳輸監(jiān)控及異常處理，確認(rèn)判斷被審計單位在系統(tǒng)中是否存在一定的機(jī)制，以確保數(shù)據(jù)在傳輸過程中的任何問題被及時發(fā)現(xiàn)和跟進(jìn)。

4.3.3.3 系統(tǒng)報表測試

系統(tǒng)報表是由系統(tǒng)生成的符合一定業(yè)務(wù)邏輯的數(shù)據(jù)匯總。系統(tǒng)報表通常被用來執(zhí)行相關(guān)的控制或者用于下一步實質(zhì)性程序。如果系統(tǒng)報表中的數(shù)據(jù)不準(zhǔn)確或不完整，將導(dǎo)致后續(xù)控制執(zhí)行和測試結(jié)果無效。

測試人員在進(jìn)行報表測試時通常依靠職業(yè)判斷。需要考慮的因素包括：需要從控制或?qū)嵸|(zhì)性程序獲得審計證據(jù)水平，了解相關(guān)財務(wù)報表列示項目的重大錯報風(fēng)險，控制有效運(yùn)行或?qū)嵸|(zhì)性測試設(shè)計對報表、數(shù)據(jù)完整性和準(zhǔn)確性的依賴程度，掌握報表，數(shù)據(jù)的性質(zhì)、類型、來源以及往年的審計經(jīng)驗，知曉前年度的控制缺陷，控制環(huán)境的變化等。

舉個例子，測試人員在審計某汽車配件公司的財務(wù)系統(tǒng)時，通過與系統(tǒng)管理員的訪談，了解到財務(wù)人員在進(jìn)行發(fā)票維護(hù)后，通過運(yùn)行“經(jīng)營實務(wù)過賬”程序，系統(tǒng)自動根據(jù)發(fā)票維護(hù)的信息在系統(tǒng)中批量生成財務(wù)憑證。審計人員在執(zhí)行測試時，發(fā)現(xiàn)系統(tǒng)未對銷售發(fā)票開具價格進(jìn)行限制，財務(wù)人員開票時可在“待開發(fā)票維護(hù)界面”修改銷售價格，而不采用系統(tǒng)自動調(diào)用有效期內(nèi)的銷售價格。該測試結(jié)果表明，相關(guān)部門缺少對系統(tǒng)銷售發(fā)票開具價格的限制，這可能導(dǎo)致會計篡改銷售發(fā)票金額，影響收入確認(rèn)。

4.3.3.4 系統(tǒng)配置控制測試

對于自動控制和系統(tǒng)自動計算而言，測試人員需要通過一定的審計程序驗證控制的有效性和計算的正確性。由于系統(tǒng)處理的內(nèi)在一致性，系統(tǒng)配置控制一般都按預(yù)設(shè)的邏輯持續(xù)進(jìn)行。若測試結(jié)果與邏輯設(shè)置不一致，則可能對財務(wù)報告產(chǎn)生一定影響。

以國內(nèi)某個大型知名超市為例，對于某品牌服裝類產(chǎn)品，在系統(tǒng)中的預(yù)設(shè)邏輯是對存貨的庫齡大于6個月的商品進(jìn)行減值處理，后期通過測試發(fā)現(xiàn)，某個庫齡只有4個月的產(chǎn)品已進(jìn)行了減值，該測試結(jié)果與減值系統(tǒng)邏輯不一致。由于該不恰當(dāng)減值對資產(chǎn)和利潤都產(chǎn)生了影響，故財務(wù)審計人員應(yīng)根據(jù)該發(fā)現(xiàn)結(jié)果對財務(wù)報表進(jìn)行進(jìn)一步評估。

在系統(tǒng)一般控制有效的前提下，系統(tǒng)配置控制的測試方法有很多，常用的是穿行測試。在進(jìn)行該測試的過程中，通過詢問、觀察、檢查或重新執(zhí)行程序獲取審計證據(jù)。測試人員需注意的是，在執(zhí)行穿行測試的過程中，務(wù)必要保證各重要場景的全覆蓋。因此，在進(jìn)行測試前，測試人員需要通過多方詢問、檢查等手段先對控制和計算的場景進(jìn)行了解，在對整體有一點(diǎn)了解之后，選擇重要的和審計相關(guān)的場景進(jìn)行驗證。

除了以上技術(shù)和方法上的建議，在綜合大型企業(yè)集團(tuán)還需要實施幾個轉(zhuǎn)變以實現(xiàn)有效的IT審計。

（1）建立IT審計的正確看法。IT審計不應(yīng)停留在糾錯上，而應(yīng)要求審核員樹立服務(wù)意識，分析錯誤產(chǎn)生原因，主動向有關(guān)部門提供建議，著眼于服務(wù)。

（2）將重點(diǎn)放在“預(yù)防”而非“事后”。審計從發(fā)展開始介入比最終的全面審計，更有利于對整體的了解和監(jiān)督。

（3）鼓勵內(nèi)審人員的再教育，IT審計發(fā)展日新月異，具備健全的知識儲備對實際工作有至關(guān)重要的作用。

若想利用IT風(fēng)險控制和IT審計策略覆蓋所有的漏洞，還要求企業(yè)的管理者對風(fēng)險有清楚的認(rèn)識，向員工表明企業(yè)對風(fēng)險的態(tài)度，了解合規(guī)要求，設(shè)計科學(xué)的組織架構(gòu)和職責(zé)說明，以達(dá)到將風(fēng)控與職責(zé)結(jié)合的目的。

5 結(jié)語

當(dāng)前，我國的IT風(fēng)險管理和IT審計正處于起步階段，而企業(yè)業(yè)務(wù)信息化的趨勢決定了IT風(fēng)險管理和審計的發(fā)展勢在必行。但是，一種新技術(shù)和方法的引入和實施必定會給企業(yè)和審計人員帶來巨大的挑戰(zhàn)，如何通過有效的手段強(qiáng)化專業(yè)能力，是企業(yè)面臨日趨激烈的市場競爭時不得不思考的問題。有效的IT風(fēng)險管理能夠加強(qiáng)企業(yè)風(fēng)險防范和管控能力，而IT審計則是企業(yè)在信息化背景下對于全面審計的必要輔助，可以幫助企業(yè)在激烈的市場競爭環(huán)境中立于不敗之地。