论文部分内容阅读
摘要:随着信息时代的到来,IT风险越来越受到关注。本文通过对IT审计概念和风险概念的再探讨,提出IT审计的目的是为企业价值服务的思想观点,并据此提出了基于风险的IT审计思路,不是仅依据已有IT制度规范做合规性检查,而是要根据IT风险对企业资产价值的影响进行审计。
关键词:IT审计;风险;IT制度规范
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)02-0-01
随着社会信息化的不断发展,信息技术在全国各行各业的应用日益广泛,在这种大趋势下,IT风险也日益增大。特别是作为银行业金融机构,怎么认识IT风险,如果化解IT风险,成为越来越被关注的话题。目前,国际通行的作法是进行IT审计,下面,笔者想从四个方面谈谈笔者对IT审计的理解。
一、IT审计的概念
提到审计,大家都知道,这是一种对经济活动的独立审查和监督。那么什么是IT审计呢?套用上面的理解,就是针对IT活动进行的独立审查和监督。
这里就需要明确几个基本概念,首先,什么是IT活动。IT是信息技术的英文缩写,信息技术与经济不同,经济是一种社会现象,它是用社会规范加以调整的,而信息技术是一种技术,它是用技术规范加以调整的。如果IT审计仅是根据技术规范对IT活动进行审计,笔者认为这缩小了IT审计的范围。因为IT活动是人的活动,IT活动的目的也是为人服务,IT审计的范围不仅包括IT活动,也应该包括与IT有关的活动,这样才能保证IT审计符合IT活动的目的要求。
其次,独立性。審计活动的一个基本原则就是独立性原则。它要求审计主体与被审计对象相互独立,这样才能保证审计结果的客观性。IT审计作为审计的一种,也应该具有这种独立性。
再次,审查和监督。审查是指对某项事情进行核实,监督是为了使活动达到预定的目标而进行的监视、督促活动。那么,对IT的审查和监督就是为了防范IT风险,监视、督促与IT有关的活动,核实其合规性的活动。
通过以上分析,笔者认为,IT审计应该是为了防范IT风险,根据相关规范,独立地监视、督促与IT有关的活动,以使其符合IT活动的目的的审计活动。
二、对风险的理解
既然IT审计的目的是防范IT风险,笔者想再谈谈对风险的理解。
风险是指一个事件产生我们所不希望的后果的可能性。对于IT而言,到底什么是我们不希望的结果呢?笔者认为,IT风险不能把它局限在IT的范围内考虑,因为IT作为一种技术,它必须为组织目标服务,IT风险不是IT本身的风险,而是组织因引入IT技术,而产生的风险,其实它是组织的风险。也就是说,IT风险是因为IT事件,所导致的组织不希望的后果的可能性。
那么什么情况会导致IT风险呢?根据ISO27001标准,首先,IT必须与组织的资产相联系,而这种资产对组织是有价值的,由于IT的引入,这种资产的保护出现了新的薄弱点,在遭遇到外部威胁时,组织的这部分资产的价值就有受损的可能性,这就产生了IT风险。
三、IT制度规范
我们知道,没有规矩,不成方圆,要防范IT风险,必须有严格的制度规范要求。一个完善的制度规范体系,对于防范IT风险来说是至关重要的。
那什么样的制度规范是完善的呢?笔者认为,制度规范应该区别对待,第一种是法律法规,这是强制性规范,是任何人任何情况下必须遵守的,它是审计的依据。目前,我国在《刑法》、《计算机系统安全保护条例》等多部法律法规中有关于IT的相关规范,另外,银监会下发了《商业银行信息科技风险管理指引》、《商业银行数据中心监管指引》、《银行业金融机构重要信息系统投产及变更管理办法》、《银行业金融机构外包风险管理指引》等一系列行政规章,这些规范都是强制性规范,它是企业开展IT审计活动的指南。
第二种是企业内部制定的制度规范,(以下简称内部IT制度规范)。这种制度规范应该反映并体现强制性规范,同时,它又有自身的两大特点:第一,它要为企业的战略目标服务;第二,它要符合IT活动的客观规律。所以,企业内部制定的制度规范是否完善,就应该包括三个标准,一是是否贯彻了强制性规范的要求,二是是否有助于促进企业战略目标的实现,三是是否反映了IT活动的客观规律。
但是,制度规范是以人的行为为调整对象的,而人的行为在IT风险控制中又扮演什么角色呢?笔者认为,在IT风险四要素(资产、价值、威胁和薄弱点)中,人的行为主要体现在“威胁”和“薄弱点”上,“威胁”一般来自外部,不由内部IT制度规范调整,所以内部IT制度规范主要的价值应该是减少组织内资产防范的“脆弱性”上。
四、IT审计的思路
根据上面的分析,笔者认为,开展IT审计,应该从以下几个方面着手:
1.认真学习、深刻理解强制性规范的要求。我们不仅要知道强制性规范要求我们做什么,禁止我们做什么,而且应该明确这种要求和禁止的目的是什么。
2.看企业的内部IT制度规范是如何贯彻强制性规范的规定的。重点应该是企业的内部IT制度规范的设置是怎样符合强制性规范的目的。
3.了解企业的战略目标及企业的资产价值评估怎样体现这一目标。重点应该看资产价值评估的标准,和评估结果中价值较高的资产是否与企业的实际相符合。
4.根据企业资产的重要程度,从最重要的资产开始,检查企业内部IT制度规范的执行情况。这一过程的重点是分析重要资产面临哪些威胁,目前实践中是如何应对这些威胁的,应对的办法有哪些薄弱点,其中人的活动造成的薄弱点有哪些,目前企业的内部IT制度规范对这些薄弱点是如何控制的。
综上,笔者认为防范IT风险,是目前企业面临的一个比较前沿的新挑战,同时也是企业能够在激烈市场竞争中占据优势的新机遇。我们要做好IT风险防控,关键是要深入理解企业的发展战略,摸清企业的现状,在此基础上,加强IT审计,规范企业的IT活动,为企业在未来的市场竞争中争取主动创造条件。
参考文献:
[1]《CISA Review Manual2012》,ISACA ,2011.12.
[2]《Information Technology Risk Management in Enterprise Environments》,Jake Kouns and Daniel Minoli ,2010.
[3]《IT Risk: Turning Business Threats Into Competitive Advantage 》George Westerman, Richard Hunter ,2007.
关键词:IT审计;风险;IT制度规范
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)02-0-01
随着社会信息化的不断发展,信息技术在全国各行各业的应用日益广泛,在这种大趋势下,IT风险也日益增大。特别是作为银行业金融机构,怎么认识IT风险,如果化解IT风险,成为越来越被关注的话题。目前,国际通行的作法是进行IT审计,下面,笔者想从四个方面谈谈笔者对IT审计的理解。
一、IT审计的概念
提到审计,大家都知道,这是一种对经济活动的独立审查和监督。那么什么是IT审计呢?套用上面的理解,就是针对IT活动进行的独立审查和监督。
这里就需要明确几个基本概念,首先,什么是IT活动。IT是信息技术的英文缩写,信息技术与经济不同,经济是一种社会现象,它是用社会规范加以调整的,而信息技术是一种技术,它是用技术规范加以调整的。如果IT审计仅是根据技术规范对IT活动进行审计,笔者认为这缩小了IT审计的范围。因为IT活动是人的活动,IT活动的目的也是为人服务,IT审计的范围不仅包括IT活动,也应该包括与IT有关的活动,这样才能保证IT审计符合IT活动的目的要求。
其次,独立性。審计活动的一个基本原则就是独立性原则。它要求审计主体与被审计对象相互独立,这样才能保证审计结果的客观性。IT审计作为审计的一种,也应该具有这种独立性。
再次,审查和监督。审查是指对某项事情进行核实,监督是为了使活动达到预定的目标而进行的监视、督促活动。那么,对IT的审查和监督就是为了防范IT风险,监视、督促与IT有关的活动,核实其合规性的活动。
通过以上分析,笔者认为,IT审计应该是为了防范IT风险,根据相关规范,独立地监视、督促与IT有关的活动,以使其符合IT活动的目的的审计活动。
二、对风险的理解
既然IT审计的目的是防范IT风险,笔者想再谈谈对风险的理解。
风险是指一个事件产生我们所不希望的后果的可能性。对于IT而言,到底什么是我们不希望的结果呢?笔者认为,IT风险不能把它局限在IT的范围内考虑,因为IT作为一种技术,它必须为组织目标服务,IT风险不是IT本身的风险,而是组织因引入IT技术,而产生的风险,其实它是组织的风险。也就是说,IT风险是因为IT事件,所导致的组织不希望的后果的可能性。
那么什么情况会导致IT风险呢?根据ISO27001标准,首先,IT必须与组织的资产相联系,而这种资产对组织是有价值的,由于IT的引入,这种资产的保护出现了新的薄弱点,在遭遇到外部威胁时,组织的这部分资产的价值就有受损的可能性,这就产生了IT风险。
三、IT制度规范
我们知道,没有规矩,不成方圆,要防范IT风险,必须有严格的制度规范要求。一个完善的制度规范体系,对于防范IT风险来说是至关重要的。
那什么样的制度规范是完善的呢?笔者认为,制度规范应该区别对待,第一种是法律法规,这是强制性规范,是任何人任何情况下必须遵守的,它是审计的依据。目前,我国在《刑法》、《计算机系统安全保护条例》等多部法律法规中有关于IT的相关规范,另外,银监会下发了《商业银行信息科技风险管理指引》、《商业银行数据中心监管指引》、《银行业金融机构重要信息系统投产及变更管理办法》、《银行业金融机构外包风险管理指引》等一系列行政规章,这些规范都是强制性规范,它是企业开展IT审计活动的指南。
第二种是企业内部制定的制度规范,(以下简称内部IT制度规范)。这种制度规范应该反映并体现强制性规范,同时,它又有自身的两大特点:第一,它要为企业的战略目标服务;第二,它要符合IT活动的客观规律。所以,企业内部制定的制度规范是否完善,就应该包括三个标准,一是是否贯彻了强制性规范的要求,二是是否有助于促进企业战略目标的实现,三是是否反映了IT活动的客观规律。
但是,制度规范是以人的行为为调整对象的,而人的行为在IT风险控制中又扮演什么角色呢?笔者认为,在IT风险四要素(资产、价值、威胁和薄弱点)中,人的行为主要体现在“威胁”和“薄弱点”上,“威胁”一般来自外部,不由内部IT制度规范调整,所以内部IT制度规范主要的价值应该是减少组织内资产防范的“脆弱性”上。
四、IT审计的思路
根据上面的分析,笔者认为,开展IT审计,应该从以下几个方面着手:
1.认真学习、深刻理解强制性规范的要求。我们不仅要知道强制性规范要求我们做什么,禁止我们做什么,而且应该明确这种要求和禁止的目的是什么。
2.看企业的内部IT制度规范是如何贯彻强制性规范的规定的。重点应该是企业的内部IT制度规范的设置是怎样符合强制性规范的目的。
3.了解企业的战略目标及企业的资产价值评估怎样体现这一目标。重点应该看资产价值评估的标准,和评估结果中价值较高的资产是否与企业的实际相符合。
4.根据企业资产的重要程度,从最重要的资产开始,检查企业内部IT制度规范的执行情况。这一过程的重点是分析重要资产面临哪些威胁,目前实践中是如何应对这些威胁的,应对的办法有哪些薄弱点,其中人的活动造成的薄弱点有哪些,目前企业的内部IT制度规范对这些薄弱点是如何控制的。
综上,笔者认为防范IT风险,是目前企业面临的一个比较前沿的新挑战,同时也是企业能够在激烈市场竞争中占据优势的新机遇。我们要做好IT风险防控,关键是要深入理解企业的发展战略,摸清企业的现状,在此基础上,加强IT审计,规范企业的IT活动,为企业在未来的市场竞争中争取主动创造条件。
参考文献:
[1]《CISA Review Manual2012》,ISACA ,2011.12.
[2]《Information Technology Risk Management in Enterprise Environments》,Jake Kouns and Daniel Minoli ,2010.
[3]《IT Risk: Turning Business Threats Into Competitive Advantage 》George Westerman, Richard Hunter ,2007.