BPR:谁来管理流程E化之后的风险?
来源:e-works 更新时间:2012-04-14

    
 
   
系统失效是银行风险重要组成部分。国外相关统计数据表明,一些银行系统失效风险损失占到总风险损失的10%-20%.国内商业银行必须看到面临的IT系统相关风险在逐渐增大。

90年代末期至今,国内商业银行一直在持续的进行信息系统建设,90%以上的商业银行都已经应用信息系统来实现对客户的服务。根据相关统计数据,针对国内商业银行,硬件网络平台已经实现了100%的应用;软件应用已经覆盖了80%以上的商业银行业务;部分商业银行在管理信息化方面也陆续的完成信贷管理、财务管理等管理信息系统的建设。随着商业银行信息化建设的进一步完善,商业银行对IT系统的依赖也越来越强。

    但是,在商业银行IT建设的背后,也应该看到一个事实,商业银行的经营业务的本身蕴藏着巨大的风险。在实现由手工操作到电子化过程中,降低了人为的风险,但同时也带来了巨大的IT风险。根据《巴塞尔协议》的相关规定,系统失效是银行风险重要组成部分。国外相关统计数据表明,一些银行系统失效风险损失占到总风险损失的10%-20%.国内商业银行必须看到面临的IT系统相关风险在逐渐增大。

    以上只是从银行业方面反应出来的问题,其他行业如保险,电信也存在着同样的问题:谁来管理流程E化之后的风险?为了解决这一问题,通过IT审计,及时识别IT风险,完善控制措施势在必行。

    IT审计又称信息系统审计,是指独立的IT审计师或审计机构采用客观的标准对以计算机为核心的信息系统的整个生命周期内的相关的活动和产物进行完整地、有效地检查和评估,以追求系统的有效利用和故障排除,使系统更加健全。

    随着计算机技术的迅速发展,人类社会的信息化程度越来越高,整个社会的政治、经济、军事、文化以及其他领域对计算机信息系统的依赖程度也越来越高。在这种状况下,计算机信息系统的安全性、稳定性、有效性得到了人们越来越多关注。进行独立的、有效的IT审计成为了检验信息系统的一个必要手段。IT审计就是在这种背景下开始发展、成熟,并走向了普及。

    一般来说,IT审计的任务与使命可以概括为三个方面:

    一是确保IT项目管理风险控制在合理水平;

    二是确保业务流程中与IT相关风险控制在可接受水平;

    三是确保信息和信息系统的安全。

    三个方面既涉及战略风险,也涉及操作风险。

    在过去的几年内,美国注册会计师协会(AICPA)下属的审计准则委员会(ASB)一直关注IT对独立审计的影响。2001年4月,ASB发布了第94号准则:《IT对CPA评价内部控制的影响》,该准则是作为SAS(审计准则公告) no.55的“补丁公告”推出的,它对下列三方面问题做出了规范:IT对企业内部控制的影响;IT对CPA了解内部控制的影响;IT对CPA评价审计风险的影响。SAS no.94将于2001年6月1日开始执行。

    针对审计效率工作小组(ASB的下设机构)提出的若干提高审计效率的建议,ASB除了推出SAS no.94之外,还在计划着手修订现有的审计准则。与之相适应,美国注册会计师协会正考虑修订《审计指南——财务报表审计中关于内部控制的评价》以反映SAS no.94及其未来进展。因此,我们可以这样说,通过对IT审计中遇到的系统类型、内部控制和审计证据等问题进行规范,SAS no.94将审计执业水平推向一个新的高度。在这个意义上,它无疑是整个审计准则演进过程中的重要一步。

    SAS no.94在总则中明确提醒执业注册会计师(CPA):该准则不仅适用于IT系统复杂,规模庞大的企业,同时也适用于中小规模的企业,其原因在于IT对内部控制的影响源自IT系统本身的属性及其影响的复杂性,而并非企业规模的大小。

    可见国外对IT审计已经非常的重视,那么在实际中哪些行业最需要IT审计呢?总结下来,主要有三个领域:

    一是软件供应商需要,特别是经济管理类的集成软件供应商,他们需要IT审计师参与产品设计、规划和检测,对客户现有信息系统进行评价,并提出改造设想。全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师。      

    二会计公司需要。“五大”国际会计公司超过30%的收入来自于风险管理部门,这个部门的最主要工作就是监控客户的信息系统风险和运营风险,同时为客户提供ERP或CRE的安装、维护和培训。会计师事务所中传统财务报表审计也越来越离不开IT审计的贡献,没有他们的工作,评估内部控制风险和企业固有风险将成为一句空话。

    三是大型企业需要。作为信息系统最集中的用户,大型企业急需进行IT审计,一方面可以有外来专业人士参与信息化建设的过程,另一方面时刻保持对分支机构的信息监控。还有一种最新迹象表明,大型企业内部审计部门也在大量招聘信息系统审计师,以加强对内部的监督和牵制。

    对了迎接IT审计所带来的挑战,一个全新的行业IT审计师已经诞生。CISA是国际注册信息系统审计师的简称,又称IT审计师,目前在全球有2万人,在中国大陆不超过10人。,国家审计署的一位年青官员成为中国内地通过考试获取该资格的第一人。

    据专家介绍,国际信息系统审计师(简称IT审计师)目前已经成为全球范围最抢手的高级人才,这些人才一般都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财务会计和单位内部控制有深刻的理解。随着计算机技术在管理中的广泛运用,传统的控制、管理、检查和审计技术都受到巨大的挑战,国际会计公司、专业咨询公司和高级管理顾问都将控制风险,特别是控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点。几乎所有的大型跨国公司,由于普遍使用大型管理信息系统,都非常重视对信息系统安全和稳定性的控制,常常高薪聘请IT审计师进行内部审计。

    公司的流程需要E化,这是不容置疑的事实。但是当今世界是信息化时代,信息系统受到各种各样的威胁,如没有安全对策,系统是相当脆弱的。信息系统的可靠性、安全性与效率的确保是极其重要的,而这一切也是为企业的经营者考虑。随着信息化实施风险的加大,计算机信息系统的安全性、稳定性、有效性得到了人们越来越多关注。进行独立的、有效的IT审计成为了检验信息系统的一个必要手段。一些在海外上市的企业开始利用IT审计进行风险评估,加强对信息化投资的效益管理。在国外上市公司制度中,已经把IT审计列入必要项目。所以,IT审计势在必行,而且应由具有信息技术与审计两方面知识与能力的IT审计师对信息系统进行检查与评价,将其结果向企业经营者报告。企业经营者即使对信息系统不精通,按照IT审计报告也能像黑盒子一样理解信息系统及与之相关联的业务,使之间接把握信息系统成为可能。

    目前,许多企业开始从投资的观念看待信息化,把科学投资当作信息化成功经验;发展趋势表明,高风险正成为信息化进一步发展面对的难题,建设有效益的信息化,不仅要有效创造效益,还要有效控制风险。