T投入的产出风险。风险管理部更多的是从业务角度看IT可能对业务造成的潜在影响,并找出这些潜在的IT风险。我们IT部门更多的是从信息系统运行、维护的角度去看系统的潜在风险。
在IT部门内部,我们会每月进行严格的定期安全巡检,这个巡检不仅涉及核心系统,还包括日常管理、设施维护等IT部门的方方面面。为此我们已经形成了固定的表格,每次巡检会按照表格逐个核对,检查涉及IT部门的每一个流程。我们还会有监控,仅监控的表格每天就有6张,对于发现的潜在问题都能立刻解决。
景忠更多的是从IT部门的角度谈对IT风险的管理。王宇文,你能否谈谈中海油的IT审计部门是怎么对IT风险进行审计的?
王宇文:在以前,审计部门主要是对企业财务、企业经营等的最后结果进行审计,现在审计工作正在不断前移,从对结果的审计前移到对制度、流程、实际执行过程进行以风险为导向的全周期的审计,包括对风险的识别和控制,因为这些结果的产生往往是由之前的不规范造成的。IT审计也是对风险进行事前控制的有效环节之一。
从去年开始,审计监察部已经对集团的下属上市公司进行过两次IT审计,主要是依据COBIT。我们对COBIT要求的34个流程进行了某些简化,并根据中海油的业务特点增加了一些内容,并以企业标准的形式发布了中海油内部的信息系统审计标准。IT部门根据这个要点进行风险控制和管理,我们也是依据要点中的内容进行IT审计。
在中海油,IT审计不是单独进行的,而是与整个公司审计一并进行的。IT部门与IT审计部门关注风险的角度确实有所不同,但是都会遵循相应的标准规范。王东红,请你给我们介绍一下目前主流的标准规范有哪些?
王东红:IT风险是业务与IT技术结合的产物。未雨绸缪,让一切风险和意外尽在掌握之中是一件非常重要的事情。于是,如何在这些潜在风险转化为灾难之前,就能迅速地被发现,显得极为重要。
除了刚刚中海油提到的COBIT之外,还有很多团体、组织或学者建立了风险管理模型,包括澳大利亚—新西兰联合委员会的AS/NZE4360、英国商务部OGC发布的M-o-R模型、DavidMcName模型、加拿大CICA的CoCo内部控制框架、1997COSO内部控制-整合框架、IIA研究基金IASB的ERM框架、2004COSO-ERM模型等。其实,这些模型都不是IT风险管理的模型,然而由于其广泛适用性,现在不仅适用于企业风险管理,也适用于IT风险管理。这也正说明了IT风险其实就是业务风险的一部分,因为管控的手段都是类似的。
2006年银监会发布了关于IT风险管理的行业指引——《银行业金融机构信息系统风险管理指引》,这是我国第一部IT风险管理规范。
至于究竟哪些规范更适合,很难有统一的答案。相比之下,COBIT是国际公认的IT治理架构,这个由国际IT治理协会研究发布的模型目前被世界各地的企业广为采用,它不仅是为用户和审计者而设计的,同时也为管理层和公司流程的所有者提供了详细的指导。
IT审计部门对信息系统的审计实际上就是要“挑毛病”和“找漏洞”,面对IT审计部门的这种“挑毛病”,IT部门是什么样的态度呢?
景忠:我觉得IT审计是个很好的事情,关键要看这项工作能否落到实处。IT审计本质上是一种控制,以确认IT是否有效率、效果、安全、合规以及可靠。就目前普遍开展的IT审计而言,IT审计在合规性、安全性、可靠性等方面的实质性作用是毋庸置疑的,而对于IT的效率及效果涉及得却很少。
我觉得IT审计要做好,审计师必须要了解我们系统的特点,知道系统的关键点在哪儿,需要检查哪些内容,这些方面