IT治理風險審計需要注意二三事

2014-11-08 21:52:56 大云網　點擊量：評論 (0)

ＩＴ治理就是企圖通過對ＩＴ（信息技術）投資方向、方式、價值及相關責任等重大決策方面的管理使ＩＴ使用達到理想的效果。在我國，開展ＩＴ治理風險審計有如下2點需要注意：　　1 要掌握ＩＴ治理發展方向和新的研

ＩＴ治理就是企圖通過對ＩＴ（信息技術）投資方向、方式、價值及相關責任等重大決策方面的管理使ＩＴ使用達到理想的效果。在我國，開展ＩＴ治理風險審計有如下2點需要注意：

　　1.要掌握ＩＴ治理發展方向和新的研究領域

　　2003年，普華永道受ＩＳＡＣＡＩＴ治理協會的委托，對ＩＴ治理框架及其應用進行調查，旨在跟蹤并預測ＩＴ治理的發展趨勢及新的研究領域。2005年，普華再次接受ＩＴ治理協會的委托，從2005年7月開始，歷時4個月，完成了對四大洲內695家組織的調查，獲得重要發現：

　　（1）ＩＴ對業務的重要性前所未有。被調查者中，87％認為，ＩＴ對公司戰略和愿景的交付極為重要；63％的人說，ＩＴ定期或者總是出現在董事會議上。

　　（2）相比ＩＴ經理，普通經理對ＩＴ更積極。與ＩＴ經理相比，普通經理認為ＩＴ更緊急、更重要。

　　此外，他們總體上對ＩＴ與業務戰略整合更關心。

　　（3）不同行業間存在極大的差異。談到ＩＴ治理，ＩＴ、電信和金融服務業做得比較好，而零售業和制造業就要差一些，這些結果與ＩＴ在這些行業中的戰略重要性是一致的。

　　（4）ＩＴ職員是最重要的ＩＴ相關問題。考慮到這個問題的所有方面，比如事件發生的頻率、問題的嚴重性和未來的發展等等，ＩＴ職員似乎成為ＩＴ資源中最重要的問題。

　　（5）ＩＴ安全不是最重要的ＩＴ相關問題。當把問題的所有方面都考慮在內的時候，安全性（和符合性）名列最后。

　　（6）ＩＴ外包正在成為過去時。ＩＴ外包不再被視為解決ＩＴ問題最有效方式。隨著業務和ＩＴ的發展，人們越來越意識到，ＩＴ問題不能被外包，越來越多的人傾向于由自己內部來控制有問題的系統。

　　（7）實施ＩＴ治理（和ＣＯＢＩＴ）不像原來設想那樣簡單。事實證實以下2點：良好的ＩＴ治理實踐不是一蹴而就的，它的確需要時間和持續的努力；實施ＣＯＢＩＴ不是簡單地照抄文檔，照搬它的條款來實施。相反，它是一個過程，這個過程包括選擇最合適的要素，根據需求量體裁衣，并將它們應用于組織的特定需求。

　　2.ＩＴ治理風險審計的主體問題

　　ＩＴ治理風險審計由誰來執行呢？應該說，不同體制、不同性質的企業，執行ＩＴ治理風險審計的主體是不同的。目前，就公司治理風險審計、ＩＴ治理風險審計主體應如何構成的研究在國際學術界基本上還是個空白。上市公司會計師執行風險評估、控制測評和財務報告審計時，由于需要與公司治理層進行溝通、對它的ＩＴ系統風險進行測試，可能會對公司ＩＴ治理風險進行一定程度的審計，但是，ＩＴ治理風險審計絕不是ＣＰＡ審計的核心任務。

　　由企業審計委員會和內部審計組織執行ＩＴ治理風險審計怎么樣？從結構層次上看，讓審計委員會和內部審計來監督ＩＴ治理效果應該說級別不夠，很難起到威懾和監督效果。

　　我們認為，在公司治理比較有成效的企業，可由獨立于ＩＴ治理委員會、執行管理層以外的董事成員和高管成員及審計委員會組成ＩＴ治理風險監督審核機構，這樣就形成：由ＩＴ治理層負責制定決策標準，由監督層負責對決策及執行情況實施審核。

　　這樣，反觀ＩＴ治理結構的構成，我們就會發現，目前提倡的ＩＴ系統是“一把手”工程就存在問題了。若董事會主席、ＣＥＯ作為ＩＴ治理層的“一把手”，那么，就會給決策監督造成麻煩，由此推論，我們認為在公司治理比較有成效的企業，應該由負責業務運作的副總裁和ＣＩＯ組成ＩＴ治理結構，而董事會主席、ＣＥＯ應直接領導ＩＴ決策監督工作。