IT治理風險審計需要注意二三事

來源: 中國會計報編輯： 2009/06/22 15:12:07　　字體：大小

選課中心

實務會員買一送一

選課中心

資料專區

需要的都在這里

資料專區

課程試聽

搶先體驗

課程試聽

高薪就業

從零基礎到經理

高薪就業

　　IT治理就是企圖通過對IT（信息技術）投資方向、方式、價值及相關責任等重大決策方面的管理使IT使用達到理想的效果。在我國，開展IT治理風險審計有如下2點需要注意：

　　1．要掌握IT治理發展方向和新的研究領域2003年，普華永道受ISACAIT治理協會的委托，對IT治理框架及其應用進行調查，旨在跟蹤并預測IT治理的發展趨勢及新的研究領域。2005年，普華再次接受IT治理協會的委托，從2005年7月開始，歷時4個月，完成了對四大洲內695家組織的調查，獲得重要發現：

　?。?）IT對業務的重要性前所未有。被調查者中，87%認為，IT對公司戰略和愿景的交付極為重要；63%的人說，IT定期或者總是出現在董事會議上。

　?。?）相比IT經理，普通經理對IT更積極。與IT經理相比，普通經理認為IT更緊急、更重要。

　　此外，他們總體上對IT與業務戰略整合更關心。

　?。?）不同行業間存在極大的差異。談到IT治理，IT、電信和金融服務業做得比較好，而零售業和制造業就要差一些，這些結果與IT在這些行業中的戰略重要性是一致的。

　?。?）IT職員是最重要的IT相關問題?？紤]到這個問題的所有方面，比如事件發生的頻率、問題的嚴重性和未來的發展等等，IT職員似乎成為IT資源中最重要的問題。

　　（5）IT安全不是最重要的IT相關問題。當把問題的所有方面都考慮在內的時候，安全性（和符合性）名列最后。

　　（6）IT外包正在成為過去時。IT外包不再被視為解決IT問題最有效方式。隨著業務和IT的發展，人們越來越意識到，IT問題不能被外包，越來越多的人傾向于由自己內部來控制有問題的系統。

　?。?）實施IT治理（和COBIT）不像原來設想那樣簡單。事實證實以下2點：良好的IT治理實踐不是一蹴而就的，它的確需要時間和持續的努力；實施COBIT不是簡單地照抄文檔，照搬它的條款來實施。相反，它是一個過程，這個過程包括選擇最合適的要素，根據需求量體裁衣，并將它們應用于組織的特定需求。

　　2．IT治理風險審計的主體問題IT治理風險審計由誰來執行呢？應該說，不同體制、不同性質的企業，執行IT治理風險審計的主體是不同的。目前，就公司治理風險審計、IT治理風險審計主體應如何構成的研究在國際學術界基本上還是個空白。上市公司會計師執行風險評估、控制測評和財務報告審計時，由于需要與公司治理層進行溝通、對它的IT系統風險進行測試，可能會對公司IT治理風險進行一定程度的審計，但是，IT治理風險審計絕不是CPA審計的核心任務。

　　由企業審計委員會和內部審計組織執行IT治理風險審計怎么樣？從結構層次上看，讓審計委員會和內部審計來監督IT治理效果應該說級別不夠，很難起到威懾和監督效果。

　　我們認為，在公司治理比較有成效的企業，可由獨立于IT治理委員會、執行管理層以外的董事成員和高管成員及審計委員會組成IT治理風險監督審核機構，這樣就形成：由IT治理層負責制定決策標準，由監督層負責對決策及執行情況實施審核。

　　這樣，反觀IT治理結構的構成，我們就會發現，目前提倡的IT系統是“一把手”工程就存在問題了。若董事會主席、CEO作為IT治理層的“一把手”，那么，就會給決策監督造成麻煩，由此推論，我們認為在公司治理比較有成效的企業，應該由負責業務運作的副總裁和CIO組成IT治理結構，而董事會主席、CEO應直接領導IT決策監督工作。

責任編輯：newsoul

上一篇：談被審單位業務電子數據字典的分析方法

下一篇：淺議事務所合并風險的防范