对审计师的水平要求很高,会有一定的难度。但是,如果IT审计师水平不高,IT审计的效果就很难预料。
王宇文:IT审计特别是我们企业的内部审计,已经从“挑毛病”转变为帮助和促进业务部门的管理,更多扮演的是咨询师的角色。我们从IT风险审计的专业角度,发现IT的管理及信息系统存在的隐藏风险,并与IT部门一起面对风险进行应对,从前两次审计的过程和结果来看,IT部门对于IT审计确实是比较欢迎的,因为我们的目标都是共同的,那就是降低IT风险的发生,提高IT管理水平,确保业务稳定和公司目标的顺利实现。
对于已经发现的IT风险,又该如何实施管理,具体流程是什么样的?
王宇文:对于发现的潜在IT风险,首先要明确应该采取什么样的处理措施,这些处理措施包括承担、规避、分担、转移和减轻等等。经过对风险的评估排序,就可以了解风险对企业影响的大小和发生概率。高风险是业务不能容忍的,就一定要采取措施减少或减轻,有些是可以勉强接受的,或者有客观条件限制的就可以进行转移或者减轻。这个过程中也需要进行评估和权衡,因为很多措施的采用都需要追加投资,在确定之前一定要评估这些投资是否值得,评估完成之后才会采取相应的措施。
对于每一个识别出来的风险,相应的部门签字确认之后,每个风险都有相应的责任人,风险责任人要不断跟踪这些风险,定期对风险处理的措施和效果进行评估,确保风险得到有效控制,审计部门也要定期对风险的管理进行检查评价。
为了确保风险管理的措施能落到实处,中海油同样做了很多工作。审计监察部专门开发了全集团统一的风险管理信息系统,进入系统中,可以随时查看当前的风险列表,每个风险由什么部门负责、需要在什么时间采取什么措施将风险降低到什么程度,以及相应的完成情况,都一目了然。领导层可以随时对风险管理工作进行跟踪和监督。我们这套系统也得到了国资委的肯定。
除了风险管理信息系统确保实时跟踪和监督之外,中海油还通过科学合理的组织结构、将风险管理效果与绩效考核挂钩等手段,确保风险管理落到实处。
随着风险管理工作的深入,我们的认识也在逐步提高,风险管理涉及到的流程管理、制度体系管理是整个企业管理的核心,以往这些管理都是分散在各个部门独立管理的,现在,我们正在扩充风险管理系统功能,以流程管理为核心建立企业管理框架模型,把组织、制度、管理、监督等管理功能与流程管理有机地关联在一起,使企业管理更加清晰、有效。
景忠,你在前面谈到了目前有内部巡检、IT审计和IT决策委员会对潜在IT风险进行三重把关,这已经是很完备的体系了,你觉得还有哪些可以改进的地方吗?
景忠:有一个问题我一直在担心,那就是供应商可能带来的风险。目前来看,证券行业的供应商就那么几家,可选择的余地很小,这些供应商的系统是不是存在漏洞,券商的IT部门很难有能力去检测,并且,这些供应商的突然变故也会对我们造成很大的影响,比如之前Novell公司的转型,就给很多券商带来了不小的麻烦。还有去年证券行业推行的第三方存管,当时很多券商也都比较仓促,是否存在风险还需要进一步核实。
这些外部因素造成的潜在风险,目前仍然缺乏比较有效的手段去及时发现,这是整个行业都普遍面临的风险,不是一两家券商就能解决的,需要有更高层面特别是监管机构的组织,才能更好地解决这些问题。
中海油和民生证券对IT风险管理都非常重视,相信大多数企业的IT风险管理都还没有达到他们的水平。王东红,对于如何更好地实施IT风险管理,你能不能给点建议?
王东红:目前来看,国内企业的IT风险管理主要面临如下挑战:董事会和高级管理层缺乏对信息技