站内搜索:
IT审计是伴随着IT的飞速发展而产生的。当前,IT应用的进步导致了需要有专门的内部控制措施才能控制新的风险。这就需要新的技术来评估控制的有效性,确保企业数据以及生成这些数据的信息系统的安全。
目前还没有一个IT审计的权威定义。IT审计一般指对信息系统的规划、开发、实施、运行和维护等各个环节进行评价,确保与IT相关的风险控制在可接受水平的过程。
IT审计要回答什么
与一般的审计一样,IT审计的任务与使命也是通过评价内部控制,确保风险控制在可接受的水平。
但与一般审计不同的是,IT审计除了关注操作层面的风险外,还应关注战略层面的风险,因为IT已经成为企业的战略问题。
另外,IT审计关注的风险主要与IT相关。具体来讲,IT审计的任务与使命可以概括为三个方面:
一是确保IT项目管理风险控制在合理水平;
二是确保业务流程中与IT相关风险控制在可接受水平;
三是确保信息和信息系统的安全。
三个方面既涉及战略风险,也涉及操作风险。
第一要务:IT项目管理风险“控制阀”
为了维持并提高竞争力,企业在持续地维持并更新现有的信息系统,并持续地开发和应用新的信息系统。
资料研究表明,我国企业每年IT投入近万亿元,每年仅在ERP项目上的投资就超过80亿元。以信息化程度名列前茅的金融业为例,2004年,全国金融业IT投资规模达到248.85亿元,比2003年的237亿元增长5.0%,其中银行业IT投资规模达到212.35亿元,比2003年的200亿元增长6.2%。大集中处理系统、客户关系管理系统和网上交易系统等,已成为金融企业IT建设的热门话题。
但是,IT项目完全成功的企业寥寥无几,要么延期完成项目,要么超过预算,要么功能不足,甚至完全失败,IT投资正陷入巨大的“黑洞”。据Gartner集团2002年对北美IT业1375家公司的调查发现,大约有40%的IT项目没有达到预期的结果,研究还发现一个原计划27周的IT项目在仅仅持续了14周后被取消。在我国,有人估计80%的系统失败或未达到预期目标,某证券公司花巨资建设的大集中系统半途夭折就是一个典型例子。
与IT项目相关的风险包括:IT项目与企业目标不一致、IT项目部分或全部失败、开发商倒闭、与开发商的合同存在的风险、项目外包风险和财务风险等。
IT审计的第一个任务与使命,就是通过评价IT项目管理过程中内部控制的适当性,确保风险控制在合理水平。
例如,IT项目与企业目标不一致的风险实际上涉及到IT的战略问题。要解决好IT的战略问题,就要解决两个动态过程的匹配问题,一是变化很快的企业环境,二是更新很快的信息技术。
两者的匹配又和诸多问题相关,如企业选择IT的目的,主要为了提高效率,还是主要为了提高响应速度?还是主要为了引入新产品?由于IT的战略问题,对IT已不能局限于管理,应当上升到治理,根据公司治理的要求,董事会应当对IT治理负最终责任。IT审计师通过评价内部控制的适当性,如董事会是否在确定IT战略过程中发挥了应有的作用,帮助企业将风险控制到合理水平。
第二要务:业务流程与IT相关风险“调控钮”
业务流程再造(Business Process Reengineering, 简称BPR)是企业为了在现代经营环境中求得生存和发展,应对竞争和顾客需求双重压力的一个措施。业务流程再造通过对系统过程的自动化,减少人工干预和控制,满足顾客需求,实现成本节约,其特征是:根本性的思考,彻底的再设计,使企业效益获得巨大的提高。
IT与业务流程再造是密不可分的,业务流程再造通常需要借助IT加以实现,如果没有IT的支持,就无法达到业务流程的再造;IT项目也一般需要业务流程再造才能成功实施,因为业务流程再造是IT的内在驱动力。人们对业务流程再造的最大担忧就是,企业流程中的主要控制会在提高效率的再造过程中被削弱甚至完全消失,从而给企业带来风险。
效率和控制往往是一对矛盾,而削弱控制则容易带来风险。因此需要在效率和控制之间找到一个平衡,或者在削弱原有控制提高效率的同时,需要找到补偿控制。
IT审计师的任务和使命就是要识别原有业务流程中的主要控制,评价这些主要控制被削弱或消失后的影响,向企业领导层提出建议,确保通过实施IT项目进行业务流程再造后,企业风险控制在可接受的水平。
第三要务:信息和信息系统安全的“护航者”
在信息社会,信息和产生该信息的信息系统是企业的重要资产,这已经得到社会的广泛认同。但是,信息和信息系统的安全问题却异常严峻,病毒、木马、逻辑炮弹、蠕虫、非授权访问、网络拒绝服务、计算机犯罪等,各种安全威胁应有尽有。
根据美国计算机安全事件响应组协调中心(CERT)统计,1988年至2003年报告的安全事件总计319992件,其中1998年为6件,2003年增至137529件。
信息资产的安全问题是一个极其复杂的问题,涉及到技术、法律、管理等诸多方面。IT审计在信息安全方面的任务和使命,就是通过评价相关的内部控制的适当性,确保信息资产的安全,包括保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。
需要说明的是,IT审计并不能代替IT管理的责任,IT审计应当是独立于IT管理的一种监督过程。但是,IT审计确实能够为企业增加价值。
为技术支出进行辩护现在是SMBs(中小企业)的CIOs的第一大挑战,Gartner股份有限公司说。但是研究公司评估说有65%的SMBs规模的CIOs没有为IT支出进行辩护。 数字不能反应每一个组织的情况,但是它们突出了一个事实,那就是如今在IT领域有很多低效率的事情,他们消耗了大量的预算,这些预算本来可以更好地为战略举措所利用的。 CIO们在系统的应用维护费用方面常常是一头雾水。而实际上,这并不是因为无知造成了他们缺乏对高昂费用的控制——维护费用的成本透明度往往很低。 治理是决定由谁来进行决策,管理则是制定和执行这些决策权的过程。有效的IT治理其实是要解决由谁来决策,应该做出怎样的决策来保证管理和IT的使用。 不确定性的持续增长,是当代商业世界的基本特征。那么,怎样才能建立起企业的机动性、灵活性,让企业在不确定性环境下能够从容应对呢?
|
 |
|
在市场中,时间就是金钱。然而,一个性能良好的客户关系管理(CRM)方案,不仅可以使企业的销售人员节省出大量的时间、销售出更多的产品,更可使企业更好地保持竞争优势。 供应链联盟SCC提出的供应链参考模型SCOR为供应链管理提供了基础;在供应链管理方面处于领先地位的i2公司则定义了供应链计划中的5项基本活动: IP通信技术对企业具有很大的吸引力,话音网络必须是安全的。IP通信的集成式网络安全性能够增强话音安全性,提高系统完整性并更好地保持系统的效率和生产效率。 《翰纬ITIL v3白皮书》介绍了ITIL的发展及ITIL v3体系,并对ITIL v3生命周期五个模块的基本内容进行了概要性的描述,使读者队ITIL v3有一个基本的认识。 此前,企业只注重传统方式的备份,由于用户众多,数据十分分散,往往造成数据没有被全部备份。这样轻则是用户数据丢失,重则会给公司带来经济上的损失。
|
 |
|
安全产品是网络安全的基石,通过在网络中安装一定的安全设备,能够使得网络的结构更加清晰,安全性得到显著增强;同时能够有效降低安全管理的难度,提高安全管理的有效性。 笔者就以生产线作业为背景,结合ERP的工序管理与产能管理,来阐述一下,如何通过ERP,比较精确的来预算企业产能,抛砖引玉,给大家借鉴一下。 银行需要能够快速、灵活地开发和向市场推出新的产品,并通过各种渠道和服务来吸引新的客户。总之,银行需要采用更加开放、主动、以客户为中心的手段来提高赢利。 医疗行业的信息化建设的目标是建立几大核心医疗业务系统。由于投入较大,一般的医院采用分阶段的方式来实行,其首要的要属医院信息系统(HIS)。 随着中小型企业在业务规模上的迅速膨胀,企业内部的各种信息系统上所运行的应用不断增多,部门之间的协同配合和信息共享日益频繁。安全与绿色节能变得同等重要。
|
|
