T投入的產(chǎn)出風(fēng)險(xiǎn)�。風(fēng)險(xiǎn)管理部更多的是從業(yè)務(wù)角度看IT可能對(duì)業(yè)務(wù)造成的潛在影響,并找出這些潛在的IT風(fēng)險(xiǎn)�����。我們IT部門更多的是從信息系統(tǒng)運(yùn)行����、維護(hù)的角度去看系統(tǒng)的潛在風(fēng)險(xiǎn)��。
在IT部門內(nèi)部��,我們會(huì)每月進(jìn)行嚴(yán)格的定期安全巡檢����,這個(gè)巡檢不僅涉及核心系統(tǒng),還包括日常管理�����、設(shè)施維護(hù)等IT部門的方方面面��。為此我們已經(jīng)形成了固定的表格��,每次巡檢會(huì)按照表格逐個(gè)核對(duì)�����,檢查涉及IT部門的每一個(gè)流程。我們還會(huì)有監(jiān)控����,僅監(jiān)控的表格每天就有6張,對(duì)于發(fā)現(xiàn)的潛在問題都能立刻解決���。
景忠更多的是從IT部門的角度談對(duì)IT風(fēng)險(xiǎn)的管理��。王宇文���,你能否談?wù)勚泻S偷腎T審計(jì)部門是怎么對(duì)IT風(fēng)險(xiǎn)進(jìn)行審計(jì)的?
王宇文:在以前,審計(jì)部門主要是對(duì)企業(yè)財(cái)務(wù)�����、企業(yè)經(jīng)營(yíng)等的最后結(jié)果進(jìn)行審計(jì)����,現(xiàn)在審計(jì)工作正在不斷前移,從對(duì)結(jié)果的審計(jì)前移到對(duì)制度�、流程、實(shí)際執(zhí)行過程進(jìn)行以風(fēng)險(xiǎn)為導(dǎo)向的全周期的審計(jì)���,包括對(duì)風(fēng)險(xiǎn)的識(shí)別和控制�����,因?yàn)檫@些結(jié)果的產(chǎn)生往往是由之前的不規(guī)范造成的�。IT審計(jì)也是對(duì)風(fēng)險(xiǎn)進(jìn)行事前控制的有效環(huán)節(jié)之一�����。
從去年開始�,審計(jì)監(jiān)察部已經(jīng)對(duì)集團(tuán)的下屬上市公司進(jìn)行過兩次IT審計(jì),主要是依據(jù)COBIT��。我們對(duì)COBIT要求的34個(gè)流程進(jìn)行了某些簡(jiǎn)化����,并根據(jù)中海油的業(yè)務(wù)特點(diǎn)增加了一些內(nèi)容,并以企業(yè)標(biāo)準(zhǔn)的形式發(fā)布了中海油內(nèi)部的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)����。IT部門根據(jù)這個(gè)要點(diǎn)進(jìn)行風(fēng)險(xiǎn)控制和管理,我們也是依據(jù)要點(diǎn)中的內(nèi)容進(jìn)行IT審計(jì)�。
在中海油,IT審計(jì)不是單獨(dú)進(jìn)行的���,而是與整個(gè)公司審計(jì)一并進(jìn)行的���。IT部門與IT審計(jì)部門關(guān)注風(fēng)險(xiǎn)的角度確實(shí)有所不同�����,但是都會(huì)遵循相應(yīng)的標(biāo)準(zhǔn)規(guī)范�。王東紅����,請(qǐng)你給我們介紹一下目前主流的標(biāo)準(zhǔn)規(guī)范有哪些?
王東紅:IT風(fēng)險(xiǎn)是業(yè)務(wù)與IT技術(shù)結(jié)合的產(chǎn)物。未雨綢繆�,讓一切風(fēng)險(xiǎn)和意外盡在掌握之中是一件非常重要的事情。于是���,如何在這些潛在風(fēng)險(xiǎn)轉(zhuǎn)化為災(zāi)難之前��,就能迅速地被發(fā)現(xiàn)��,顯得極為重要���。
除了剛剛中海油提到的COBIT之外,還有很多團(tuán)體���、組織或?qū)W者建立了風(fēng)險(xiǎn)管理模型��,包括澳大利亞—新西蘭聯(lián)合委員會(huì)的AS/NZE4360��、英國商務(wù)部OGC發(fā)布的M-o-R模型���、DavidMcName模型���、加拿大CICA的CoCo內(nèi)部控制框架�、1997COSO內(nèi)部控制-整合框架、IIA研究基金IASB的ERM框架����、2004COSO-ERM模型等。其實(shí)�,這些模型都不是IT風(fēng)險(xiǎn)管理的模型,然而由于其廣泛適用性��,現(xiàn)在不僅適用于企業(yè)風(fēng)險(xiǎn)管理�,也適用于IT風(fēng)險(xiǎn)管理。這也正說明了IT風(fēng)險(xiǎn)其實(shí)就是業(yè)務(wù)風(fēng)險(xiǎn)的一部分����,因?yàn)楣芸氐氖侄味际穷愃频摹?/P>
2006年銀監(jiān)會(huì)發(fā)布了關(guān)于IT風(fēng)險(xiǎn)管理的行業(yè)指引——《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》���,這是我國第一部IT風(fēng)險(xiǎn)管理規(guī)范。
至于究竟哪些規(guī)范更適合�����,很難有統(tǒng)一的答案����。相比之下,COBIT是國際公認(rèn)的IT治理架構(gòu)����,這個(gè)由國際IT治理協(xié)會(huì)研究發(fā)布的模型目前被世界各地的企業(yè)廣為采用,它不僅是為用戶和審計(jì)者而設(shè)計(jì)的�����,同時(shí)也為管理層和公司流程的所有者提供了詳細(xì)的指導(dǎo)��。
IT審計(jì)部門對(duì)信息系統(tǒng)的審計(jì)實(shí)際上就是要“挑毛病”和“找漏洞”,面對(duì)IT審計(jì)部門的這種“挑毛病”����,IT部門是什么樣的態(tài)度呢?
景忠:我覺得IT審計(jì)是個(gè)很好的事情,關(guān)鍵要看這項(xiàng)工作能否落到實(shí)處。IT審計(jì)本質(zhì)上是一種控制��,以確認(rèn)IT是否有效率����、效果、安全��、合規(guī)以及可靠��。就目前普遍開展的IT審計(jì)而言���,IT審計(jì)在合規(guī)性�����、安全性、可靠性等方面的實(shí)質(zhì)性作用是毋庸置疑的���,而對(duì)于IT的效率及效果涉及得卻很少����。
我覺得IT審計(jì)要做好��,審計(jì)師必須要了解我們系統(tǒng)的特點(diǎn)�,知道系統(tǒng)的關(guān)鍵點(diǎn)在哪兒�,需要檢查哪些內(nèi)容����,這些方面