T投入的產(chǎn)出風(fēng)險(xiǎn)�����。風(fēng)險(xiǎn)管理部更多的是從業(yè)務(wù)角度看IT可能對業(yè)務(wù)造成的潛在影響�,并找出這些潛在的IT風(fēng)險(xiǎn)����。我們IT部門更多的是從信息系統(tǒng)運(yùn)行���、維護(hù)的角度去看系統(tǒng)的潛在風(fēng)險(xiǎn)。
在IT部門內(nèi)部�����,我們會每月進(jìn)行嚴(yán)格的定期安全巡檢��,這個(gè)巡檢不僅涉及核心系統(tǒng),還包括日常管理���、設(shè)施維護(hù)等IT部門的方方面面����。為此我們已經(jīng)形成了固定的表格�,每次巡檢會按照表格逐個(gè)核對,檢查涉及IT部門的每一個(gè)流程���。我們還會有監(jiān)控,僅監(jiān)控的表格每天就有6張��,對于發(fā)現(xiàn)的潛在問題都能立刻解決��。
景忠更多的是從IT部門的角度談對IT風(fēng)險(xiǎn)的管理�����。王宇文��,你能否談?wù)勚泻S偷腎T審計(jì)部門是怎么對IT風(fēng)險(xiǎn)進(jìn)行審計(jì)的?
王宇文:在以前����,審計(jì)部門主要是對企業(yè)財(cái)務(wù)���、企業(yè)經(jīng)營等的最后結(jié)果進(jìn)行審計(jì),現(xiàn)在審計(jì)工作正在不斷前移��,從對結(jié)果的審計(jì)前移到對制度����、流程、實(shí)際執(zhí)行過程進(jìn)行以風(fēng)險(xiǎn)為導(dǎo)向的全周期的審計(jì)���,包括對風(fēng)險(xiǎn)的識別和控制��,因?yàn)檫@些結(jié)果的產(chǎn)生往往是由之前的不規(guī)范造成的�。IT審計(jì)也是對風(fēng)險(xiǎn)進(jìn)行事前控制的有效環(huán)節(jié)之一。
從去年開始����,審計(jì)監(jiān)察部已經(jīng)對集團(tuán)的下屬上市公司進(jìn)行過兩次IT審計(jì),主要是依據(jù)COBIT�����。我們對COBIT要求的34個(gè)流程進(jìn)行了某些簡化���,并根據(jù)中海油的業(yè)務(wù)特點(diǎn)增加了一些內(nèi)容�,并以企業(yè)標(biāo)準(zhǔn)的形式發(fā)布了中海油內(nèi)部的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)���。IT部門根據(jù)這個(gè)要點(diǎn)進(jìn)行風(fēng)險(xiǎn)控制和管理,我們也是依據(jù)要點(diǎn)中的內(nèi)容進(jìn)行IT審計(jì)�。
在中海油,IT審計(jì)不是單獨(dú)進(jìn)行的����,而是與整個(gè)公司審計(jì)一并進(jìn)行的。IT部門與IT審計(jì)部門關(guān)注風(fēng)險(xiǎn)的角度確實(shí)有所不同�,但是都會遵循相應(yīng)的標(biāo)準(zhǔn)規(guī)范。王東紅����,請你給我們介紹一下目前主流的標(biāo)準(zhǔn)規(guī)范有哪些?
王東紅:IT風(fēng)險(xiǎn)是業(yè)務(wù)與IT技術(shù)結(jié)合的產(chǎn)物��。未雨綢繆����,讓一切風(fēng)險(xiǎn)和意外盡在掌握之中是一件非常重要的事情�。于是,如何在這些潛在風(fēng)險(xiǎn)轉(zhuǎn)化為災(zāi)難之前��,就能迅速地被發(fā)現(xiàn)�,顯得極為重要。
除了剛剛中海油提到的COBIT之外����,還有很多團(tuán)體、組織或?qū)W者建立了風(fēng)險(xiǎn)管理模型��,包括澳大利亞—新西蘭聯(lián)合委員會的AS/NZE4360����、英國商務(wù)部OGC發(fā)布的M-o-R模型、DavidMcName模型�����、加拿大CICA的CoCo內(nèi)部控制框架、1997COSO內(nèi)部控制-整合框架���、IIA研究基金IASB的ERM框架�、2004COSO-ERM模型等�。其實(shí),這些模型都不是IT風(fēng)險(xiǎn)管理的模型���,然而由于其廣泛適用性�����,現(xiàn)在不僅適用于企業(yè)風(fēng)險(xiǎn)管理�,也適用于IT風(fēng)險(xiǎn)管理�����。這也正說明了IT風(fēng)險(xiǎn)其實(shí)就是業(yè)務(wù)風(fēng)險(xiǎn)的一部分���,因?yàn)楣芸氐氖侄味际穷愃频摹?/P>
2006年銀監(jiān)會發(fā)布了關(guān)于IT風(fēng)險(xiǎn)管理的行業(yè)指引——《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》,這是我國第一部IT風(fēng)險(xiǎn)管理規(guī)范�����。
至于究竟哪些規(guī)范更適合,很難有統(tǒng)一的答案�����。相比之下�����,COBIT是國際公認(rèn)的IT治理架構(gòu)����,這個(gè)由國際IT治理協(xié)會研究發(fā)布的模型目前被世界各地的企業(yè)廣為采用,它不僅是為用戶和審計(jì)者而設(shè)計(jì)的����,同時(shí)也為管理層和公司流程的所有者提供了詳細(xì)的指導(dǎo)。
IT審計(jì)部門對信息系統(tǒng)的審計(jì)實(shí)際上就是要“挑毛病”和“找漏洞”,面對IT審計(jì)部門的這種“挑毛病”���,IT部門是什么樣的態(tài)度呢?
景忠:我覺得IT審計(jì)是個(gè)很好的事情�����,關(guān)鍵要看這項(xiàng)工作能否落到實(shí)處���。IT審計(jì)本質(zhì)上是一種控制��,以確認(rèn)IT是否有效率����、效果�����、安全�、合規(guī)以及可靠。就目前普遍開展的IT審計(jì)而言����,IT審計(jì)在合規(guī)性�����、安全性�����、可靠性等方面的實(shí)質(zhì)性作用是毋庸置疑的���,而對于IT的效率及效果涉及得卻很少�。
我覺得IT審計(jì)要做好�,審計(jì)師必須要了解我們系統(tǒng)的特點(diǎn),知道系統(tǒng)的關(guān)鍵點(diǎn)在哪兒����,需要檢查哪些內(nèi)容,這些方面