首页 > 人工智能 > 正文

IT治理风险审计需要注意二三事

2010-12-16 10:18:51  来源:chinaacc

摘要:IT治理就是企图通过对IT(信息技术)投资方向、方式、价值及相关责任等重大决策方面的管理使IT使用达到理想的效果。在我国,开展IT治理风险审计有如下2点需要注意:
关键词: IT治理
IT治理就是企图通过对IT(信息技术)投资方向、方式、价值及相关责任等重大决策方面的管理使IT使用达到理想的效果。在我国,开展IT治理风险审计有如下2点需要注意:

  1.要掌握IT治理发展方向和新的研究领域2003年,普华永道受ISACAIT治理协会的委托,对IT治理框架及其应用进行调查,旨在跟踪并预测IT治理的发展趋势及新的研究领域。2005年,普华再次接受IT治理协会的委托,从2005年7月开始,历时4个月,完成了对四大洲内695家组织的调查,获得重要发现:

  (1)IT对业务的重要性前所未有。被调查者中,87%认为,IT对公司战略和愿景的交付极为重要;63%的人说,IT定期或者总是出现在董事会议上。

  (2)相比IT经理,普通经理对IT更积极。与IT经理相比,普通经理认为IT更紧急、更重要。

  此外,他们总体上对IT与业务战略整合更关心。

  (3)不同行业间存在极大的差异。谈到IT治理,IT、电信和金融服务业做得比较好,而零售业和制造业就要差一些,这些结果与IT在这些行业中的战略重要性是一致的。

  (4)IT职员是最重要的IT相关问题。考虑到这个问题的所有方面,比如事件发生的频率、问题的严重性和未来的发展等等,IT职员似乎成为IT资源中最重要的问题。

  (5)IT安全不是最重要的IT相关问题。当把问题的所有方面都考虑在内的时候,安全性(和符合性)名列最后。

  (6)IT外包正在成为过去时。IT外包不再被视为解决IT问题最有效方式。随着业务和IT的发展,人们越来越意识到,IT问题不能被外包,越来越多的人倾向于由自己内部来控制有问 题的系统。

  (7)实施IT治理(和COBIT)不像原来设想那样简单。事实证实以下2点:良好的IT治理实践不是一蹴而就的,它的确需要时间和持续的努力;实施COBIT不是简单地照抄文档,照搬它的条款来实施。相反,它是一个过程,这个过程包括选择最合适的要素,根据需求量体裁衣,并将它们应用于组织的特定需求。

  2.IT治理风险审计的主体问题IT治理风险审计由谁来执行呢?应该说,不同体制、不同性质的企业,执行IT治理风险审计的主体是不同的。目前,就公司治理风险审计、IT治理风险审计主体应如何构成的研究在国际学术界基本上还是个空白。上市公司会计师执行风险评估、控制测评和财务报告审计时,由于需要与公司治理层进行沟通、对它的IT系统风险进行测试,可能会对公司IT治理风险进行一定程度的审计,但是,IT治理风险审计绝不是CPA审计的核心任务。

  由企业审计委员会和内部审计组织执行IT治理风险审计怎么样?从结构层次上看,让审计委员会和内部审计来监督IT治理效果应该说级别不够,很难起到威慑和监督效果。

  我们认为,在公司治理比较有成效的企业,可由独立于IT治理委员会、执行管理层以外的董事成员和高管成员及审计委员会组成IT治理风险监督审核机构,这样就形成:由IT治理层负责制定决策标准,由监督层负责对决策及执行情况实施审核。

  这样,反观IT治理结构的构成,我们就会发现,目前提倡的IT系统是“一把手”工程就存在问题了。若董事会主席、CEO作为IT治理层的“一把手”,那么,就会给决策监督造成麻烦,由此推论,我们认为在公司治理比较有成效的企业,应该由负责业务运作的副总裁和CIO组成IT治理结构,而董事会主席、CEO应直接领导IT决策监督工作。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:sr130

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。