it审计论文大全11篇

it审计论文篇（1）

【中图分类号】 F232 【文献标识码】 A 【文章编号】 1004-5937（2016）24-0128-04

一、引言

财务共享服务模式是依托大数据、云计算等信息新技术以财务业务流程再造为基础的分布式管理模式，目的是优化组织结构、提升核算流程效率、降低财务核算成本以及为企业创造价值，其站在市场视角为内外部客户提供专业化财务服务。在财务共享服务模式下，集团企业将日常的、共同的、分散的、大量的、重复的、可标准化的财务会计流程从下属分公司剥离出来，统一交给财务共享中心进行处理[1]，实现了业务处理、数据存储的集中，同时也增加了IT风险。IT风险[2]已经成为企业的“经营风险”，包含IT环境风险、IT管理风险、IT技术风险和IT平台风险等。大数据时代基于财务共享服务模式的IT审计目的是为了找出并解决财务共享的IT风险，依托大数据、云计算等信息新技术，通过对大数据进行采集、处理、分析以发现问题。

IT审计一直受到诸多学者的重视，曹立明[3]分析了IT审计本质、目标与方法，认为IT审计是会计信息化的内在要求，并对会计信息化IT审计的目标、内容和实施条件进行分析，最后对会计信息化IT审计面临的问题进行了阐述。覃宪姬等[4]以广州地铁IT审计为例，在分析了广州地铁信息系统审计现状的基础上，构建了广州地铁IT审计框架并对其具体内容、实施步骤、审计策略以及审计方法进行了阐述。柳芳[5]从ERP系统安全性风险、业务流程风险和ERP系统管理风险入手，对ERP固有风险进行了分析并提出了相应的IT审计对策。李有华[6]将企业IT风险分为IT战略风险、IT项目风险、IT安全风险、IT服务风险、IT合规风险，并在此基础上对IT审计的内容、标准、范围、方法和制度进行了分析。

综观上述文献，大多数文献都基于传统信息系统，并从传统审计手段的角度出发对IT审计的框架、发展与实施进行研究。在大数据时代，财务共享服务模式成为大型集团企业的首要选择，其IT架构更多地运用到云计算技术，并需要大数据进行技术支撑。审计人员在财务共享服务模式下进行IT审计时将更多地运用大数据审计[7]手段进行IT审计，从数据的角度发现疑点，以减轻审计工作量，提高审计工作效率。有鉴于此，本文从大数据的角度对财务共享服务模式下IT审计的特点进行分析，梳理其数据流程，在此基础上构建IT审计框架模型，并对其实施流程进行阐述。

二、大数据时代基于财务共享服务模式的IT审计框架

（一）财务共享服务模式下IT审计的特征分析

一般认为IT内部控制包含组织层面的IT控制、一般控制和应用控制三个层面[6]，审计人员通常以此为基础展开IT审计工作。财务共享服务模式下的IT审计需要充分结合财务共享IT架构特征，其IT审计范围如图1所示。同时，三个层面的IT审计在财务共享服务模式下也出现了有别于传统企业IT审计的特点。

1.组织层面的IT审计

组织层面的IT审计主要检查财务共享IT架构的设计是否合理，以及是否得到有效实施，其核心内容是管理层控制。集团企业建立财务共享服务模式的战略目标清晰，即降低财务核算成本，其IT战略规划应当以实现该目标为前提，并以此为基础进行IT部门与职能的设置。财务共享服务模式下组织层面IT审计应当对财务共享IT战略规划、IT部门与职能的设置是否符合财务共享战略目标进行检查，并对其实施的有效性进行审计。

2.一般控制层面的IT审计

一般控制层面的IT审计是为了确保IT系统运行的可持续性，能够为应用控制提供支撑，审计对象包含软硬件平台、网络等。财务共享服务模式下集团企业将财务核算业务集中，借助移动互联网、云计算等信息新技术实现了财务核算流程再造和数据的集中存储，其IT技术风险应当得到审计人员的重视。财务共享服务模式下一般控制层面的IT审计应当对数据安全、基础设施更新、访问安全和网络安全等主要风险点进行审计。

3.应用控制层面的IT审计

应用控制层面的IT审计主要检查业务系统层面所设计、执行的IT控制是否能够确保整个系统具有可信性，以及是否能够完成相关数据的产生、记录、传递、处理、分析和报告等功能。财务共享服务模式下集团公司、各分子公司的ERP、HR、OA等其他业务系统需要和财务共享中心实现数据对接与共享，为财务核算系统提供数据支撑，其间数据的产生、记录、传递、处理、分析和报告都是IT审计的关键风险点。财务共享服务模式下应用控制层面的IT审计应当对财务核算流程的设计与实施、业务系统与财务共享中心的数据对接、登录权限等内容进行重点关注。

（二）IT审计程序流程框架

COBIT（Control Objectives for Information and related Technology）即信息系统和技术控制目标，是一种用于“IT审计”的知识体系，由美国信息系统审计与控制协会（ISACA）于1996年首次提出并于2005年更新到COBIT 5.0。目前COBIT已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。由于COBIT 5.0具有普适性，因此财务共享服务模式下的IT审计可以此为基础构建IT审计流程框架。在大数据技术背景下基于财务共享服务模式的IT架构与传统IT架构有所区别，在构建IT审计流程框架时应当充分考虑到这一点。

财务共享服务模式下的IT审计流程框架包含IT审计指南和IT审计流程两部分。其中IT指南是参考COBIT 5.0得出的IT审计标准，在IT审计过程中起着指导作用，包含关键审计因素、流程能力模型、风险控制模型、IT技术可信评估和IT审计知识库等内容。IT审计流程则包含制定审计目标、风险评估、制定审计计划、设计审计程序、执行审计程序和出具审计报告六个流程，如图2所示。

（三）IT审计数据流程框架

在财务共享服务模式的IT审计中，审计大数据的产生、传递、处理和分析贯穿整个审计过程。为了充分利用大数据技术提高审计效率，审计机构可以历史数据、互联网数据等组成的大数据为基础构建审计数据中心，并建立IT审计知识库，帮助审计人员进行高效的IT审计。在审计过程中，审计人员可以通过IT审计知识库中的IT审计知识对审计对象的关键风险点进行重点关注，通过大数据审计方式对审计对象提供的相关大数据进行审计。待审计人员出具审计报告后，可将该审计项目的主要风险点、测试方式以及实质性程序等相关审计数据反馈到审计数据中心以完善IT审计知识库，形成IT审计的数据闭环，如图3所示。

三、大数据时代基于财务共享服务模式的IT审计流程

大数据时代基于财务共享服务模式的IT审计应当是一个包含审计大数据产生、传递、归集和使用的闭环系统，在审计过程中应当由IT审计指南对IT审计的计划、实施进行指导。

（一）制定审计目标

审计人员在进行财务共享服务模式下的IT审计时，应当充分考虑该模式下的特点，结合财务共享的IT战略规划，明确审计的时间、目标和范围。集团企业建立财务共享服务模式的战略目标为降低财务核算成本，为了实现该目标，其IT架构应当满足技术可信、内部控制有效、数据平台安全等基本要求，也是财务共享服务模式下IT审计的主要目标。在不同性质的IT审计中，审计人员可以按照实际的审计需求选择不同的侧重点来制定满足实际需要的审计目标。例如内部审计中，审计人员进行IT审计时更多地关心财务共享服务模式下的应用控制制度建设是否合理、是否得到有效实施；社会审计中，审计人员进行IT审计时则更加在意通过财务共享服务模式是否能够提供真实可靠的财务信息。

（二）风险评估

财务共享服务模式的IT架构相较于传统IT更多地使用了大数据、云计算等技术，因此财务共享服务模式下IT审计的审计风险与以往所有差别，例如审计人员在IT技术层面可能无法对IT技术风险有足够的了解，可以通过权威的第三方IT咨询机构获取该审计项目中财务共享下IT技术的评估报告，即IT审计指南中的IT技术可信评估。除了IT技术风险外，审计人员还应当充分考虑财务共享服务模式下独特的审计环境，结合财务共享服务模式下的业务流程再造，对财务共享中心内部控制制度建设情况进行评估，得出可能的其他审计风险以及风险发生的可能性，通过建立二维风险矩阵的方式对风险进行定性和定量的评估。

（三）制定审计计划

根据风险评估的结果，在考虑企业IT管理框架、人力资源配置等因素的基础上，审计人员应当充分结合财务共享服务模式下财务处理流程标准化程度高、业务量饱和以及财务核算成本低等特点，分别制定总体审计计划和具体审计计划，包括确定审计目的、审计范围、人力调配以及审计策略等内容。需要注意的是，财务共享服务模式下运用了大数据技术，传统审计手段很难进行有效的IT审计，应当在审计计划中明确使用大数据审计等审计手段。

（四）设计审计程序

财务共享服务模式下的IT审计程序包含IT管理层控制、IT一般控制和IT应用控制三部分。大数据技术在该步骤得到广泛运用，审计人员可以通过大数据爬虫获取互联网数据，从财务共享数据中心获取集团大数据，然后使用数据驱动测试、数据挖掘、数据多维分析等方法对大数据进行分析，实施审计程序。同时，审计人员也可以使用IT审计知识库比对其他财务共享IT审计项目，辅助确定IT审计中的主要风险点。

1.IT管理层控制

审计人员在进行IT管理层控制时可以结合COSO内部控制框架与财务共享实施情况设计调查问卷，向分子公司总经理、集团财务部员工、财务共享中心负责人等发放。然后可以根据问卷结果与财务共享负责人或IT管理层进行访谈，以评价集团企业在财务共享服务模式下IT管理层控制的有效性。

2.IT一般控制

审计人员在进行IT一般控制时可以采取问卷调查、访谈、穿行测试等方式，也可以直接通过第三方IT咨询机构获取企业IT技术评估报告，以确认该审计项目中财务共享服务模式数据安全、基础设施更新、访问安全和网络安全等主要风险处于可接受范围内，不需要整改。

3.IT应用控制

审计人员在进行IT应用控制时可能更多地会运用大数据审计的方法获取审计证据，例如对采集到的大数据进行清洗后通过SQL查询、大数据挖掘和多维分析等方法寻找审计疑点，或通过黑盒测试法进行数据驱动测试以发现IT系统运行中存在的问题。除了大数据审计的方法外，穿行测试与控制测试也能帮助审计人员找出应用控制设计与执行中存在的问题。

（五）执行审计程序

按照设计好的审计程序进行下一步工作，审计人员需要结合风险评估结果对财务共享服务模式三个层面进行控制测试，根据实际需求实施实质性程序，通过大数据审计、穿行测试等审计手段得出审计证据，并将从中得出的主要控制风险告之相关人员，记录测试和交流沟通的结果。

（六）形成审计意见，出具管理层建议

按照得到的审计证据，结合最初制定的审计目标得出最后的审计结果，并根据审计结果当中的所发现的问题向管理层出具审计意见和提供建议，在与管理层进行沟通后取得其对管理建议的相关回复。

出具审计结果后审计人员应当将相关数据反馈到IT审计知识库以形成新的IT审计知识，完成审计大数据闭环。

四、结语

财务共享服务模式的建设需要大数据、云计算等技术支撑，但同时也改变了其IT审计的审计环境。本文基于财务共享服务模式的特点构建了该模式下IT审计的审计流程框架并对其具体流程进行了分析，以期对财务共享服务模式下的IT审计提供理论指导，帮助集团企业降低或规避其财务共享服务模式下的IT风险。

【参考文献】

[1] 王德宇.财务共享服务与企业管理研究[J].山东社会科学，2015（5）：160-163.

[2] 周常兰.IT风险控制整合框架的构建――风险控制四维整合框架的引入与扩展[J].经济体制改革，2014（2）：102-106.

[3] 曹立明.论IT审计与会计信息化[J].中国注册会计师，2012（12）：108-113.

[4] 覃宪姬，陈瑜，佟柱.信息系统审计的透视与思考――基于广州地铁审计案例的分析[J].中国内部审计，2014（8）：62-69.

[5] 柳芳.基于ERP系统固有风险的IT审计对策[J].中国内部审计，2013（12）：67-69.

it审计论文篇（2）

随着信息技术的兴起，信息系统已经渗透到社会生活的方方面面，它在给人们带来便利与效益的同时，也带来了很多负面影响，如计算机犯罪案件的频频发生等，系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计（Information Technology Audit，以下简称IT审计），保证信息系统安全，摆在我们面前。本文拟对此进行探讨。

一、IT审计的定义及其特点

IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动，以审查企业信息系统是否安全、可靠、有效，保证信息系统得出准确可靠的数据。由以上定义可知，IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性，最终达到强化企业内部控制的目的。

该审计过程具有以下特点：

1.IT审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现，它贯穿于整个信息系统生命周期的全过程。

2.IT审计的对象综合且复杂。IT审计从纵向（生命周期）看，覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务；从横向（各阶段截面）看，它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

3.IT审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”；但IT审计除了上述目标外，还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。

4.IT审计是一种基于风险基础审计的理论和方法。IT审计从基于控制的方法演变为基于风险的方法，其内涵包括企业风险管理的整体框架，如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。

二、我国IT审计面对的挑战

IT审计和传统审计相比具有的上述特点是吸引我国众多企业引入IT审计的重要原因，但是这种方法的应用又会给企业提出巨大的挑战。

1.传统审计线索的消失。在手工会计环境下，审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表，这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹，这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上，无纸张记录，审计人员用肉眼无法直接看到这些数据如何记录，且非法修改删除原始数据也可以不留篡改的痕迹，从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出，使用绕开计算机系统的审计方法，并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改，则其派生的记账凭证金额和账户余额及报表数据也一定会出错，打印出的数据也不能作为审计证据。因此即使打印出所有电子数据，传统审计线索也会在计算机信息系统下完全消失。

2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下，审计人员无须将数据和会计信息的安全性问题作为审计的重要内容，但是在IT审计的工作中，网络电子交易数据的安全是关系到交易双方切身利益的关键问题，也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等，都是传统审计从未涉及的，但又是IT审计的重点，这对当前我国的审计工作无论是操作系统，还是制度建立等众多方面都是一个很大的挑战。 转贴于

3.IT审计专业人才匮乏，适应IT审计事业发展的人才培养和管理机制还有待建立和健全。由于IT审计固有的复杂性，这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才，而且工作人员需要对内部控制和审计有深刻的理解，对信息和网络技术有敏锐的捕捉能力，在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。

三、我国IT审计应对策略

面对上述挑战，我们应当多方位、多角度制订措施，使IT审计工作更好地为我国企业发展做出贡献。具体措施如下：

1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点，可以重建电子审计线索：在电子化的原始数据形成时，同时在审计机构（包括内审机构）和关系紧密（签字确认）的部门形成原始数据的“原本”，或在不同部门各自形成相关的数据库（特别应当包括数量、金额和单价等主要数据项），这样不仅可以相互监督和牵制，还给计算机审计提供可信的审计线索。这种保留审计线索的方法，一方面成为有力的控制手段，另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件，同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件，详细审查相关的数据文件和访问有关的当事人，从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用，如果企业业务数据分离存放，如销售合同与销售发票、提货单在不同的部门保存，这种实质性测试也可采用比较审计法，应用专用的审计软件，结合相关的几个业务数据文件进行比较，查出有错误疑点的记录。

2.确保信息系统的信息安全。为了保证信息系统的信息安全，IT审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况，通过面谈实地审查企业安全管理制度建立和执行的情况，查看企业是否为了预防计算机病毒，对外来的软件和传输的数据经过病毒检查，业务系统是否严禁使用游戏软件，以及是否配置了自动检测关键数据库的软件，使异常及时被发现；检测企业是否为了防范黑客入侵，网络交易的数据库采用离散结构，同时在不同的指定网点（如在交易的双方）形成完整的业务数据备份供特殊使用（如审计和监控）；此外IT审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度，审查有关计算机安全的国家法律和管理条例的执行情况。

3.建立一支完备的IT审计专业人才队伍。IT审计的发展必须有一大批专业化的IT审计人才，这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训，并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容，以及加强对从事信息化咨询的IT技术人员的会计与审计知识的培训。为了培养未来审计人员，应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容，也可以考虑在高校中开设信息系统审计专业，直接培养信息系统审计专业人才。

当前我国IT审计正处于起步阶段，和传统审计相比，IT审计的显著特点决定了其势在必行，但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战，面对种种挑战我们应采取积极措施，迎难而上，使IT审计工作不断发展完善。

主要参考文献

［1］张茂燕． 论我国的信息系统审计［D］． 厦门:厦门大学，2005.

［2］陈朝.我国信息化建设中信息系统审计问题研究［D］．长春：东北师范大学， 2006. 转贴于

［3］邓少灵． 企业IT审计的框架［J］．中国审计，2002（1）.

［4］李健，朱锦淼，王晓兵． IT审计——人民银行内审面临的新挑战［J］．金融理论与实践，2003（6）.

it审计论文篇（3）

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 06. 022

［中图分类号］ F272.35 ［文献标识码］ A ［文章编号］ 1673 - 0194（2012）06- 0045- 03

1 问题的提出

信息技术迅猛发展和深入应用使得企业的日常运营越来越依赖于IT系统，企业信息化的规划、实施、运行维护等各阶段都存在着各种风险，IT相关风险正成为管理层、监管部门重点关注的对象，IT内部控制与风险管理也逐渐成为企业内部控制与风险管理的重要组成部分。对于当前我国企业而言，谁应该成为IT风险管理的责任主体，董事会、IT战略委员会、IT监管部门、内部审计部门、外部审计、风险管理部门、IT日常管理部门等在IT风险管理中各承担哪些责任，我国企业在当前IT风险管理相关部门设置情况如何，为了弄清上述我国企业IT及其风险管理的责任主体的相关问题，笔者在理论分析和问卷调查的基础上，整理了相关的调查数据，统计并分析了我国企业在责任主体设置方面的分布特征。

2 IT风险管理责任主体的最新理论框架

与IT风险管理责任主体研究有关的最新的综合性理论框架为国际信息系统审计与控制协会（ISACA）于2009年12月颁布的IT风险管理框架。ISACA在IT风险管理框架中，定义了IT相关风险管理的一系列主体，并指出了各主体应在某一方面或某几个方面负责或承担责任。就某一特定方面而言，只有一个主体为负责部门，其他主体或承担部分责任，或没有责任。当然，该框架也说明由于每个企业的组织机构与职能部门设置情况并不完全相同，作为理论框架，只是提供原则性的指导，没有必要与某一具体企业的组织机构与职能部门完全一致，因此，在该框架中，对每个责任主体的定义只是进行了简洁描述。IT风险管理框架下的IT风险管理责任主体及承担的责任如表1所示。

资料来源：ISACA，Risk IT Framework，USA，2009．12．

3 我国企业IT风险管理相关的主要责任部门及责任探讨

如上述框架所述，不同企业的组织机构与职能部门设置情况并不完全相同，就我国而言，近年来，各方面的监管层出台了大量的规范，如《企业内部控制基本规范》、《中央企业全面风险管理指引》、《信息技术服务运维通用要求》、《商业银行信息科技风险管理指引》、《证券公司信息技术管理规范》等等，都对IT的相关风险做出了明确的规定及要求，企业已经进入了“合规年代”。当前我国企业的IT风险管理的责任部门主要包括：IT战略委员会、IT监管部门、IT日常管理部门、内部审计部门和风险管理部门。

其中，IT战略委员会应由企业的最高管理层及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成，定期召开会议，就企业的企业战略与IT战略的驱动与设置等议题进行讨论并做出决策，为企业IT及其风险管理提供导向与支持。IT监管部门分为企业外部和企业内部。

企业外部监管部门主要包括工业与信息化部、财政部、审计署、证监会、银监会等政府机构，从各自负责的领域对企业信息技术的相关方面提出监管标准和要求。企业内部的IT监管部门主要负责公司信息技术方面的评价、监督以及合规方面的检查。

“建立有效、健全的信息系统内部控制制度”这一责任的主要承担部门是IT日常管理部门。外部审计员对董事会负责的，协助董事会的专业委员会来确认和分析技术风险的程度，包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统。

内部审计员协助董事会的专业委员会执行IT实务和系统的控制检查，并向委员会推荐合适的改进措施用于参考和实施。IT风险是企业风险管理体系至关重要的组成部分，与企业其他风险管理程序类似，需要运用企业风险管理的相关原则与方法，结合IT活动的特点，执行风险管理程序。

风险管理部门需要指导并参与IT相关风险管理，即识别风险、分析风险、制订IT风险工作计划、跟踪风险、应对风险，并借助于定期、不定期的检查风险防范措施的落实情况，通报检查结果，将风险管理过程纳入到日常管理中。

4 对我国企业IT风险管理相关责任部门设置的现状调查与分析

笔者于2010年7月-2010年9月进行了多次调查，调查形式分为现场纸质问卷以及远程网络问卷，其中，在2010年用友技术大会、2010年国资企业IT能力建设高峰论坛、2010年中国信息安全年会上共发放现场纸质问卷165份，回收114份，有效问卷数为97份，现场纸质问卷的有效回收率为58．79％，在线发送远程网络问卷调查邀请60次，在线回收数据14份，剔除不完整问卷2份，有效问卷数为12份，远程网络问卷的有效回收率为20％，最终用于数据分析的有效样本数为109份。

4.1 样本企业IT风险管理责任部门设置的总体情况

如表2所示，从企业来看，IT日常管理部门的设置最为普遍，有97％的企业设置了IT日常管理部门；内部审计部门设置情况较好，有82％的企业设置了内部审计部门；风险管理部门的设置情况一般，有不到七成的企业具有风险管理部门；IT战略委员会的设置情况最差，仅有不到六成的企业具有IT战略委员会。这一结果表明：我国部分企业还没有把IT纳入战略层面考虑的范畴，还停留在操作层面的IT日常管理工作上，作为传统的内部控制监督与检查部门，内部审计部门已成为绝大多数企业的常设机构，一半多的企业具有了较强的风险管理意识并将风险管理部门作为常设机构。

4.2 不同类别企业IT风险管理相关部门设置的情况

笔者按照不同经济成分企业、不同规模企业、不同上市状况企业进行了分组统计和比较，结果如表3所示。

表4表明，总体上看，三资企业类的企业IT风险管理相关部门设置情况最好，比重均为第一。其次为中央国有企业，民营企业与集体企业部门设置情况较差。具体来看，除了个别民营企业外，样本企业均有IT日常管理部门。地方国有企业最不重视IT战略委员会的职能，民营企业最不重视内部审计部门、风险管理部门的设置。无论是企业还是子公司，规模大的企业IT风险管理相关部门设置比例明显高于中小规模的企业。总体上看，无论是企业还是子公司，有香港或海外上市公司的企业IT风险管理相关部门设置比例都是最高的，除IT监管部门外，仅有大陆上市公司的企业IT风险管理相关部门设置比例第二，无上市公司的企业设置比例最低。

4.3 被调查者对企业高层应讨论IT哪些风险的看法

为了了解被调查者对企业高层应讨论IT哪些风险的看法，笔者在问卷中设计了一道多项选择题“IT的哪类风险应由企业高层会议讨论”，列出了IT投资风险、系统建设风险、系统运行维护风险三类风险，以及“都不是”与“不确定”两个选项。调查结果如表4所示。

结果表明，选择“都不是”的仅有15％，选择“不确定”的仅有8％，两者相加的比重为23％，即有将近八成的被调查者认为高层应讨论IT相关风险，这一结果说明绝大多数被调查者均认识到IT相关风险不仅是公司操作层、战术层应关注的，还应上升到战略层进行讨论。在三类风险中，被调查者认为高层应讨论IT系统建设风险的比重最大（为40％），认为应讨论IT投资风险的接近40％，说明投资风险与系统建设风险是应上升到战略层考虑的风险，而系统运行维护风险往往是战术层或操作层考虑的风险。

5 结论与建议

当前我国企业的IT风险管理的主要责任部门包括：IT战略委员会、IT监管部门、IT日常管理部门、内部审计部门和风险管理部门。我国企业IT日常管理部门的设置最为普遍，但当前我国部分企业还没有把IT纳入战略层面考虑的范畴，还停留在操作层面的IT日常管理工作上，作为传统的内部控制监督与检查部门，内部审计部门已成为绝大多数企业的常设机构。从规模特性来看，特大型企业IT风险管理相关部门设置比例明显高于非特大型的企业。从上市情况来看，有香港或海外上市公司的企业IT风险管理相关部门设置比例都是最高。被调查者认为投资风险与系统建设风险是应上升到战略层考虑的风险，而系统运行维护风险往往是战术层或操作层考虑的风险。

由此，笔者提出如下建议：

（1）要建立健全IT风险管理的组织机构，其中的重点是建立IT战略委员会，发挥IT战略委员会在战略层面IT风险管理中的作用。此外，还应重视建立风险管理部门，把全面风险管理作为专业职能部门的职责，在指导全部关键资产的风险治理机制方面发挥指导作用。

（2）做好相关人员的培训工作，风险管理意识方面，要加强对相关人员风险意识的培养，树立IT投资的成本效益观念。提高各部门负责人的战略风险意识。知识能力方面，要加强企业内部的复合型人才培养和队伍建设工作，企业自身才是IT风险管理的主体，应该注意培养自己的人才队伍，学习如何识别、收集、评估、主动控制IT风险方面的系统化知识和专业化的方法。

it审计论文篇（4）

当前IT系统越来越多地对业务经营活动进行自动化处理，这就需要IT提供必要数量的控制程序。因此，遵循萨班斯法案的程序需要包括基于IT系统的控制程序。对大多数企业而言，IT在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的ERP系统，或综合运用各种经营管理、财务管理方面的软件，IT系统将为有效的财务报告内部控制系统提供强有力的支持。

PCAOB第二号审计标准要求了解IT在内部控制环境中的重要性。它特别指出：公司在其信息系统中运用信息技术的状况，影响着公司财务报告的内部控制。

目前我国四大电信运营商全部在美国上市，他们现在正在构建法案要求的内控系统，IT内部控制系统构建及评审是无法绕过的工作。完善内控，特别是电信企业信息化水平很高、业务流程依赖于IT流程的背景下，重视IT内部控制，完善IT内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套IT内控系统， 并通过有效的IT内控评价活动保证其持续健全有效， 以支持CEO 和CFO 的承诺进行初步探讨。

一、萨班斯法案的要求

世通公司造假案件和安然、安达信事件震惊了整个世界， 美国政府认为这是公司上下串通、内外勾结的严重结果， 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会，管理层要负责内控系统的完善和落实，并对财务报告的真实性负刑事责任 .综观整个法案， 最主要的是对公司内控系统的要求， 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格， 而且实施要求和指南也在相续出台， 如SEC 于2003年6月5日根据法案的要求颁布了404条的细化条例， PCAOB于2004 年3月9日第2号审计准则， 对公司管理层提出了更明确的要求。

1、302条款的要求：

该条款要求由首席执行官和财务主管在内的企业管理层，对公司财务报告的内部控制按季度和年度就以下事项发表声明（予以证实）：

对建立和维护与财务报告有关的内部控制负责。

设计了所需的内部控制，以保证这些官员能知道该公司及其并表子公司的所有重大信息，尤其是报告期内的重大信息；

与财务报告有关的内部控制的任何变更都已得到恰当的披露，这里的变更指最近一个会计季度已经产生，或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。

在当前环境下，IT系统驱动着财务报告流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言，IT系统和整个财务报告流程也是紧密联系的，为了遵循萨班斯法案，也要对IT内部控制的有效性予以评估。

为强调这一点，PCAOB第2号审计标准讨论了IT以及IT在测试内部控制设计合理性及运行有效性时的重要意义，并强调指出：[部分]

…内部控制，包括与财务报告中所有重要账户及披露内容相关的控制政策与程序，都应该予以测试。

一般而言，这样的控制包括IT一般控制，以及其他控制所依赖的控制。

2、404条款管理要求

萨班斯法案的404条款要求，管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容：

管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。

识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。

对从一上个会计年度未以来，与财务报告有关的内部控制的有效性予以评估，其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。

年度审计报告中，注册会计师事务所发表的财务审计报告，包括管理层对与财务报告有关的内部控制有效性评估的证明报告。

管理层关于公司针对财务报告内部控制有效性评估的书面结论，应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式，但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见

如果与财务报告有关的内部控制中有一个或多个重要缺陷，管理层将不能对财务报告的内部控制有效性做出评估结论，而且，管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。

面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷，但管理层仍可能会报告“从最近一个会计年度未起（上个会计年度未起），与财务报告有关的内部控制是有效的”。如果要做出这样的结论，管理层必须在评估日前已经改进了内部控制，消除了已有的缺陷，并在运行和测试其有效性后得到了满意的结果，测试的时间足以让管理层认为，从本会计年度起，与财务报告有关的内部控制设计合理、运行有效。

审计师需要合理地确定管理层的认定目标或审计目的（从而依此来收集审计证据），以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述，PCAOB第二号审计标准接着指出：

公司在对财务报告做出确认时需要借助于企业的IT系统。为了识别管理层对财务报告所作的相关认定，审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时，审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。

it审计论文篇（5）

(一)IT过程界定信息及相关技术的控制对象(COBIT)界定了IT过程的范围，根据COBIT的规定，一个IT过程可以被归类为以下四个基本领域中的一个：计划与组织、获取与执行、传播与支持及监控与评估。

表1给出了这四个领域的34个具体的11I过程。

欺诈是否在每一个IT过程中都可能发生，目前还没有定论。为了更好的理解欺诈是否发生，所有的审计人员都应该更好地理解由犯罪学家唐纳德博士提出的欺诈三角假设。表2对他的三个因素进行了简单描述，任何人只要实施欺诈必然与这三个因素相关联。因为在任何IT过程中，不管IT系统的自动化程度如何，只要有一个以上人的参与，就必须慎重考虑欺诈发生的问题。

(二)欺诈的类型描述一般来讲，职业欺诈可以分为如下三种类型：资产挪用：任何涉及组织资产偷窃与误用的计划，如将软件及软件许可用于个人目的以获取收益。贿赂：一个人利用在商务交易中的影响力来获得与他，她对上司的责任向背的利益，例如将In殳备维护服务外报给提供回扣的服务商。虚假的陈述：财务报表的虚假陈述以使组织看起来盈利更好或更坏，如电信提供商通过虚假报告来调节每户平均收益。以上每一种欺诈还可以细分。不同类型的欺诈的知识以及跨行业的欺诈阴谋的识别大大地提高了欺诈风险评估的精确性与适用性。

二、欺诈风险评估及预防措施

欺诈风险评估开始于对与IT过程相关的欺诈活动可能性及其显著性的分级量化。只有对其工作评估的性质进行评估才能采取有效的防范措施。

(一)欺诈风险评估模型PCAOB第2号审计准则提供了一个风险或然性的样本以及相应的显著性，并具体化了三种风险水平：细微的、中度细微的及很可能的。PCAOB准则同时也将风险的显著性与影响分为三个层次：非实质性的、轻度实质性的及实质性的。图1阐述了风险的显著性与或然性之间的关系。

完成与IT过程相关的欺诈活动分级量化后，欺诈风险评估程序就能建立IT过程与各种现行的欺诈与控制之间的映射，如表3所示。欺诈风险评估使得组织能够容易的可视化欺诈的发生领域，并优先配置资源对这些潜在的欺诈高发领域加以控制与建设。随着企业、业务及IT环境的迅速改变，欺诈风险评估应该成为一项常规性的工作，或者随时确保IT过程跟上变化。甚至，为了风险评估而在识别具体的IT过程与环节时，审计人员在公司内部可以运用欺诈的历史模式作为标杆参考。

(二)欺诈的预防措施为了阻止欺诈的发生而进行的，预防是不言而喻的。如果等到产品、项目或者IT应用设计生产完成后，再采取措施代价是高昂的，也就是说在最初就应加以卓越的设计。欺诈预防现在已在审计活动中得到了实施，审计人员对组织早期的业务、过程和IT应用具备了越来越大的影响力。不管用来防范欺诈风险的控制措施是否充分，也不管欺诈风险的水平是细微还是显著，都应该设计、选择、集成相应的手段来及时地最小化欺诈风险与损失(可参考图1)。这些措施既可以内部化到内部控制中(BICs)，作为常规的欺诈检测程序的一部分，或者作为欺诈风险发生的早期预警信号(EWSs)的一部分。表4提供了一些例子。

(三)欺诈的鉴别方法在完成与IT过程及相应的鉴别措施相关的欺诈风险评估后，IT审计人员便可设计ICQs来评估并测试所采取的控制措施，包括反欺诈程序。财务人员一般应评估与财务记录相关的措施以及商业运作的合规性。然而IT审计人员应该关注内部控制技术(ICTs)体系及其相关的过程。不过，欺诈鉴别中的ICQs的质量却在很大程度受到审计人员的技术胜任能力、对IT以及企业运作的洞察力和特定领域的专业知识(如软件开发编程能力、数据库管理能力、网络规划与实施技巧、IT安全等)的严重影响。而IcOs的开发很有可能成为已经建立的程序的参照物，最佳的实践以及监管的标准。

三、欺诈的调查分析殛结论

it审计论文篇（6）

作为IT审计工作组的成员,中国审计署一直以积极开放的姿态参与工作组的活动,多次派出代表团参加IT审计工作组会议。我本人曾于2003年9月参加了在挪威奥斯陆举行的IT审计委员会第12次会议,并作了《中国电子政务与审计信息化》的专题发言。

此外,中国审计署还派专家参与IT审计课题研究,组织撰写国家论文,在与国外同行分享中国审计经验的同时,也学习和借鉴了各国最高审计机关的先进做法,从而使我们能够立足本国实际,更好地推动IT审计的发展。中国审计署相信,在各成员国的共同努力下,IT审计工作组将取得更大的成绩。

2008年以来,国际金融危机在全球蔓延,严重威胁着世界各国的发展进步。中国政府统揽全局,果断决策,全面实施了包括四项政策措施在内的“一揽子计划”,统筹做好保增长、调结构、促改革、惠民生的各项工作,积极应对国际金融危机。一是大规模增加政府投资,实行结构性减税,扩大国内需求,全面促进经济平稳较快发展;二是大范围实施调整振兴产业规划,提高整体竞争力;三是大力推进自主创新,增强发展后劲;四是大幅度提高社会保障水平,扩大就业,促进社会事业发展。经过中国政府近两年的工作,中国经济回升向好的趋势不断巩固,社会经济发展取得显著成效,稳定了经济,稳定了就业,稳定了社会。

其间,中国的审计工作紧紧围绕经济社会发展这个中心,紧紧围绕应对国际金融危机、保持经济平稳较快发展这条主线,集中力量开展卓有成效的全过程跟踪审计,保障了应对国际金融危机各项措施的落实,保证了财政资金使用的安全、合理和有效。审计作为维护国家经济安全的有力工具,主动为国家建设服务,依法查处违法违规问题,推进反腐倡廉建设,并立足于从体制机制和制度层面揭示和反映问题,促进完善法制,充分发挥审计保障国家经济社会健康运行的“免疫系统”功能,审计工作的层次和水平不断提高。

近年来,中国的IT审计也取得了较快的发展。我的前任――现任全国政协副主席李金华先生曾经说过,中国审计取得很大的成绩,计算机技术功不可没,没有计算机技术,很多重大问题是查不出来的。

从中国近些年的实践看,国民经济主要领域进入信息化发展阶段之后,作为监督部门的审计机关,其工作手段、技术方法、组织方式乃至工作思维都要与之相适应并充满信息化色彩。当前,IT审计还面临着如何应对新的形势、如何深入发展的问题。本次研讨会所讨论的“衡量IT项目有效性和投资成功的效益指标”就是一个很好的主题。中国审计署已经确定,到2012年,所有的审计项目都要开展绩效审计,绩效评价指标体系必不可少。建立一个适用的、能得到业界广泛认同的衡量指标体系,促进IT项目绩效审计的规范化,正是世界审计组织IT审计工作组能够发挥作用之处。可以想象,世界各国最高审计机关对我们充满期待。

it审计论文篇（7）

［作者简介］刘国城（1978― ），男，内蒙古赤峰人，南京审计学院讲师，硕士，从事审计理论研究。

第27卷第3期2012年5月审计与经济研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012

［摘要］在分析中观信息系统风险与损失的成因基础上，借鉴BS7799标准，一方面从物理层次与逻辑层次两个方面研究中观信息系统固有风险的评价模式；另一方面从一般控制与应用控制两个层面探索中观信息系统内部控制的评价机制。基于BS7799标准对中观信息系统审计进行研究，旨在为IT审计师有效实施中观信息系统审计提供应用指南。

［关键词］BS7799标准；中观审计；信息系统审计；内部控制；中观信息系统；中观信息系统风险

［中图分类号］F239.4［文献标识码］A［文章编号］10044833(2012)03005007

所谓中观信息系统审计就是指审计主体依据特定的规范，运用科学系统的程序方法，对中观信息系统网络的运行规程与应用政策实施的一种监督活动，旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性，以保障中观信息系统的高效运行［1］。中观信息系统的审计主体即IT审计师需要重视中观信息系统审计的复杂性，且有必要借助BS7799标准，构建并完善中观信息系统审计的实施流程，优化中观信息系统审计工作，提高审计质量。之所以需要借助BS7799标准，是因为BS7799标准的众多功能可以满足中观信息系统审计工作的需求。在尚未有详细信息系统审计（以下简称“IS审计”）规范的条件下，中观信息系统审计对信息安全管理策略的需求巨大，而BS7799标准恰恰是问世较早且相对成熟的信息安全管理标准，它能够确保在计算机网络系统进行自动通信、信息处理和利用时，在各个物理位置、逻辑区域、存储和传媒介质中，较好地实现保密性、完整性、有效性与可用性，能够在信息管理与计算机科学两个层面加强信息安全管理向中观信息系统审计的理论转化，中观信息系统审计的需求与BS7799标准的功能具备整合的可行性。

一、 BS7799标准

1995年，英国贸工部制定了世界首部信息安全管理体系标准“BS77991：1995《信息安全管理实施规则》”，并作为各类组织实施信息安全管理的指南［2］，由于该标准采用建议和指导的方式编写，因而不作为认证标准使用；1998年，英国又制定了信息安全管理体系认证标准“BS77992：1998《信息安全管理体系规范》”，作为对组织信息安全管理体系进行评审认证的标准［3］；1999年，英国再次对信息安全管理体系标准进行了修订，形成“BS77991：1999”与“BS77992：1999”这一对配套标准；2000年12月，“BS77991：1999”被ISO/IEC正式采纳为国际标准“ISO/IEC17799：2000《信息技术：信息安全管理实施规则》”，此外，“BS77992：1999”也于2002年底被ISO/IEC作为蓝本修订，成为可用于认证的“ISO/IEC《信息安全管理体系规范》”；2005年，BS77991与BS77992再次改版，使得体系更为完善。BS7799标准体系包含10个管理要项、36个管理目标、127个控制目标及500多个管理要点。管理要项如今已成为组织实施信息安全管理的实用指南；安全控制目标能够帮助组织识别运作过程中影响信息安全的因素。BS77991几乎涵盖了所有的安全议题，它主要告诉IT审计师安全管理的注意事项与安全制度。BS77992详细说明了建立、实施和维护信息安全管理的要求，指出组织在实施过程中需要遵循的风险评估等级，从而识别最应该控制的对象并对自身需求进行适当控制。BS77991为信息系统提供了通用的控制措施，BS77992则为BS77991的具体实施提供了应用指南。

国外相对成熟的信息安全管理理论较多，它们各有千秋，彼此之间相互补充且有交叉。BS7799标准仅是众多信息安全管理理论中的一种，与传统审计方法相比，仅适用于IS审计范畴。然而，BS7799标准的特别之处表现在：其一，它是一部通用的信息安全管理指南，呈现了较为全面的系统安全控制措施，阐述了安全策略和优秀的、具有普遍意义的安全操作方法，能够为IT审计师开展审计工作提供全程支持；其二，它遵循“计划-行动-控制-改善方案”的风险管理思想，首先帮助IT审计师规划信息安全审计的方针和范围，其次在审计风险评估的基础上选择适当的审计方法及风险控制策略并予以实施，制定持续性管理规划，建立并运行科学的中观信息系统审计执行体系。

二、 中观信息系统的风险与损失

中观信息系统风险是指成功利用中观信息系统的脆弱性或漏洞，并造成系统损害的可能性。中观信息系统风险极其庞杂且非常普遍，每个中观信息系统面临的风险都是不同的，这种风险可能是单一的，也可能是组合的［4］。中观信息系统风险包括：人员风险、组织风险、物理环境风险、信息机密性风险、信息完整性风险、系统风险、通信操作风险、设施风险、业务连续性风险、法律风险及黏合风险（见图1），它们共同构成了中观信息系统的风险体系，各种风险除具有各自的特性外，有时还可能相互作用。

中观信息系统风险的成因离不开外来威胁与系统自身的脆弱性，且风险的最终后果就是损失。图1中的“a.威胁性”是系统的“风险源”，它是由于未授权访问、毁坏、数据修改以及拒绝服务等给系统造成潜在危害的任何事件。中观信息系统的威胁来自于人为因素及非人为因素两个方面。人为因素是对中观信息系统造成威胁的决定性力量，人为因素造成威胁的主体有竞争对手、网络黑客、不满员工或正常员工。图1中的“b.脆弱性”是指在系统安全程序、管理控制、物理设计中存在的、可能被攻击者利用来获得未授权信息或破坏关键处理的弱点，由物理环境、技术问题、管理问题、法律问题四个方面组成。图1中的“d.风险承受力”是指在中观信息系统遭遇风险或受到攻击时，维持业务运行最基本的服务和保护信息资产的抵抗力、识别力、恢复力和自适应能力。

中观信息系统风险的产生有两种方式：一是遵循“abc”路径，这条路径形成的风险为中观信息系统“固有风险”，即假定中观信息系统中不存在内部控制制度，从而造成系统存在严重错误与不法行为的可能性。该路径的作用形式为人为因素或非人为因素是风险源，对中观信息系统构成威胁，该威胁产生后寻找并利用系统的脆弱点（假定中观信息系统对该脆弱点没有设计内控制度），当威胁成功作用于脆弱点后，就对系统进行有效攻击，进而产生中观信息系统风险。二是遵循“abPc”路径，该路径所形成的风险为中观信息系统的“控制风险”，即内部控制制度体系未能及时预防或发现系统中的某些错误或不法行为，以致中观信息系统遭受损失的可能性。与“abc”路径比较，该路径多出“P.内部控制”过程，这说明当威胁已产生并将利用系统的脆弱点时，中观经济主体已经对该脆弱点设计了内控制度体系，但是由于内部控制制度设计的不科学、不完善或没有得到有效执行，从而造成内部控制未能阻止“威胁”，致使中观信息系统形成风险。中观信息系统损失的形成遵循“cde”路径。然而，由于中观信息系统自身具有一定的风险防御能力（即“d.风险承受力”），因而并非所有风险都将造成损失。当中观信息系统识别并抵抗部分风险后，最终未能消除的风险通过对系统的负面作用，会给中观信息系统造成间接或直接的损失。

三、 中观信息系统固有风险的评价模式

图1中的“abc”路径是中观信息系统固有风险产生的路径，固有风险形成的条件是“假定不存在内部控制制度”。评价固有风险是中观信息系统审计准备阶段的一项基础工作，只有正确评价固有风险，才能合理评估审计风险，准确确定审计范围并制定审计计划［56］。笔者认为，BS7799标准之所以能够有效评价中观信息系统的固有风险，是因为BS7799标准的管理要项、管理目标，控制措施与管理要点组成了信息安全管理体系，这个体系为IT审计师确定与评价系统固有风险提供了指南［7］。BS7799标准对IT审计师评价固有风险的贡献见上表1。

(一) 物理层次的风险评价

物理层次的内容包括物理环境安全与物理环境设备［7］，其中，物理环境安全包括硬件接触控制、预防灾难措施和网络环境安全；物理环境设备包括支持设施、硬件设备和网络物理环境。针对上述分类，下面对物理层次风险评价进行具体分析。

首先是物理环境安全风险评价。在评价物理环境安全风险时，可以借鉴BS7799标准A、B、D1、D3、E、G8、H5、I、J。例如，IT审计师在了解被审中观信息系统的“预防灾难措施”时，可参照“A.安全方针”，依据BS7799对“安全方针”进行阐述，了解被审系统的“信息安全方针”，关注被审系统在相关的“方针与策略”中是否估计到了系统可能遭遇的所有内外部威胁；当威胁发生时，是否有具体的安全保护规定及明确的预防措施；对于方针的执行，是否对每位员工都有所要求。假若IT审计师在审计中未找到被审系统的“安全方针”，或找到了但“安全方针”并未涉及有关“灾难预防”方面的安全措施，则IT审计师可直接认定被审系统在这方面存在固有风险。其次，物理环境设备风险评价。在评价物理环境设备风险时，可以借鉴BS7799标准A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如，IT审计师在了解被审系统有关“硬件设备”的情况时，可参照“C1.资产责任”。BS7799标准对“资产责任”的说明有“组织可根据运作流程与系统结构识别资产，列出清单”，“组织的管理者应该确定专人负责相关资产，防止资产的被盗、丢失与滥用”。借鉴C1的信息安全管理目标与措施，IT审计师可以关注被审单位是否列出了系统硬件设备的清单，是否有专人对资产负责。如果相关方面的管理完备，则说明“硬件设备”在责任方面不存在固有风险，IT审计师也不需要再对此方面的固有风险进行评价。再如，IT审计师在确认“硬件设备”方面的固有风险时，还可参照“E3.通用控制”。BS7799标准对“通用控制”的说明有“定期进行资产清查”，“未经授权，资产不能随便迁移”等。借鉴这一措施，IT审计师需要了解被审系统的有关资产清查记录以及资产转移登记手续，如果相关记录不完整或手续不完备，则IT审计师可直接认定“硬件设备”在控制方面存在固有风险。

(二) 逻辑层次的风险评价

逻辑层次的内容包括软件环境、系统生命周期和逻辑安全［7］。其中，软件环境包括系统软件、网络软件与应用软件；系统生命周期包括系统规划、分析、设计、编码、测试、试运行以及维护；逻辑安全包括软件与数据接触、数据加密机制、数据完整性、入侵检测、病毒与恶意代码以及防火墙。针对以上分类，下面对逻辑层次风险评价进行具体分析。

首先是软件环境风险评价。在评价软件环境风险时可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。例如，IT审计师在掌握被审系统有关“网络软件”的情况时，可借鉴“G2.用户访问管理”标准。BS7799对该标准的阐述包括“建立用户登记过程，对用户访问实施授权”，“对特权实行严格管理”，“对用户口令进行严格管理”等。借鉴G2下相关信息安全管理措施，IT审计师可以详细核查被审网络软件是否建立了用户注册与登记过程、被审软件的特权管理是否严格、是否要求用户秘密保守口令。假若IT审计师发现用户并未得到访问网络软件的权限却可以轻易访问网络软件，则该软件必然存在风险，IT审计师就可通过与BS7799标准比照并发表评价结论。又如，IT审计师在评价“系统软件”固有风险时，可借鉴“G5.系统访问与使用的监控”标准。该标准的阐述有“使用终端安全登陆程序来访问信息服务”，“对高风险的不活动终端采取时限措施”。IT审计师在评价“系统软件”自身风险时，可套用上述安全措施，逐项分析被审系统软件是否完全达到上述标准并作出合理的风险评价。其次是系统生命周期的风险评价。在评价系统生命周期风险时，可借鉴BS7799标准A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT审计师在检查被审系统的“系统设计”时，可参照“H1.系统安全要求”。H1的解释为“系统设计阶段应该充分考虑系统安全性，组织在项目开始阶段需要识别所有的安全要求，并将其作为系统设计开发不可或缺的一部分进行调整与确认”。因而，IT审计师在检查系统设计有关资料时，需要分析被审单位是否把上述解释融入系统设计中，或是否全面、有效地融入设计过程，如果被审单位考虑了诸因素，IT审计师就可以确认被审系统的设计环节在此方面不存在风险。假若IT审计师发现在系统设计阶段被审单位没有考虑到需要“引入控制”，且在系统运营期间对系统的“控制”也不够重视，则IT审计师可以作出系统自身安全及系统设计开发过程存在风险的结论。第三是逻辑安全的风险评价。在评价逻辑安全风险时，可以借鉴BS7799标准A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT审计师在检查被审系统的“病毒与恶意代码”时，可借鉴“G4.网络访问控制”。BS7799对该标准的阐述有“建立并实施网络用户服务使用方针”，“从用户终端到网络服务的路径必须受到控制”以及“对外部链接的用户进行身份鉴别”等。IT审计师在审计过程中，应该关注被审系统在上述方面的执行思路与执行程度，假若被审单位对上述方面缺乏重视，则恶意用户未经授权或未受限制就能轻易访问系统，系统遭受病毒或恶意代码损害的风险会相应加大。再如，IT审计师在评价系统“数据完整性”的风险时，可借鉴“F1.操作程序与职责”。该标准的描述有“在执行作业的过程中，提供差错处理及例外情况的指导”，“进行职责分离，减少出现非授权更改与数据信息滥用的机会”等。结合上述措施，IT审计师应该关注被审单位是否通过外键、约束、规则等方式保障数据的完整性，如果被审单位没有按照上述方法操作，则被审系统将会在“数据完整性”方面存在风险。

需要强调的是中观信息系统固有风险的评价较为复杂。在理论研究中，本文仅选取BS7799的某些标准举例进行阐述，但在实践中，IT审计师不应只借鉴BS7799标准的单个或部分标准，就做出某方面存在“固有风险”的结论。如仅从C1看，“硬件设备”无固有风险，但从E3看，“硬件设备”确实存在固有风险。鉴于此，IT审计师应由“点”及“面”，全面借鉴BS7799标准的整个体系。只有如此，才能更科学具体地进行物理及逻辑层次的风险评价。

四、 中观信息系统内部控制的评价机制

图1中的“abPc”路径是中观信息系统控制风险产生的路径，控制风险的形成条件是“假定存在内部控制制度，但是内控制度不科学、不健全或执行不到位”，产生控制风险最主要的原因是内部控制机制失效，即“P”过程出现问题。评价内部控制是IT审计师防范审计风险的关键，也是中观信息系统审计实施阶段的一项重要工作。然而，当前我国信息系统审计方面的标准与规范仅有四项，因而IT审计师对信息系统内部控制的评价还处于摸索阶段，急需详细的流程与规范进行指导。笔者认为，BS77991《信息安全管理实施细则》与BS77992《信息安全管理体系规范》能够为IT审计师评价中观信息系统的内部控制提供思路。BS7799是一套完备的信息安全管理体系，IT审计师完全可以借鉴其体系与框架来设计中观信息系统内部控制评价流程，构建适用于中观信息系统的审计流程。BS7799标准的具体借鉴思路见表1，具体阐述如下。

(一) 一般控制的评价

1. 组织管理的内部控制评价

在评价组织管理的内控时，可借鉴BS7799标准A、B、C1、D1、D3、E、F、G、H、I、J。IT审计师可将BS7799标准体系作为信息系统组织管理内部控制的衡量标准，并以此确认被审系统组织管理内控制度的科学性与健全性。假若某中观经济主体将信息系统的部分管理活动外包，则IT审计师可借鉴BS7799中的“B3.外包控制”标准，检查外包合同的全面性与合理性。如果被审单位在外包合同中规定了信息系统的风险、承包主客体各自的系统安全控制程序，并明确规定了“哪些措施必须到位，以保证涉及外包的所有各方关注各自的安全责任”，“哪些措施用以确定与检测信息资产的完整性和保密性”，“采取哪些实物的和逻辑的控制以限制和限定授权用户对系统敏感信息的访问”以及“发生灾难时，采用怎样的策略来维持服务可用性”，则IT审计师就可确认被审系统在外包方面的控制设计具有科学性与全面性，只需再对外包控制条款的执行效果进行评价就可以得出对被审单位外包活动评价的整体结论。

2. 数据资源管理的内部控制评价

在评价数据资源管理的内控时，可以借鉴BS7799标准A、B、C、D、E1、E3、F、G、H、I、J。信息系统数据包括数据字典、权限设置、存储分配、网络地址、硬件配置与系统配置参数，系统数据资源管理有数据存放、备份、恢复等，内容相对复杂。IT审计师在评价数据资源管理的内部控制时，也需要借鉴BS7799标准体系。例如，IT审计师可借鉴“F1.操作程序与职责”或“G6.应用访问控制”评价数据资源管理。F1与G6的阐述有“识别和记录重要数据的更改”、“对数据更改的潜在影响作出评估”、“向所有相关人员传达更改数据的细节”、“数据更改不成功的恢复措施”、“控制用户的数据访问权，如对读、写、删除等进行限制”、“在系统共享中，对敏感的数据实施高级别的保护”。IT审计师在审计时，有必要根据上述思路对系统数据管理的控制制度进行深层次评价。在当前缺乏信息系统审计规范的情况下，以BS7799体系作为评价数据资源管理内部控制的指南，不失为一种好的审计策略。

3. 环境安全管理的内部控制评价

在评价环境安全管理的内控时可以借鉴BS7799标准A、B、C1、D、E、F、G、H、I、J。信息系统的环境安全管理包括物理环境安全管理与软件环境安全管理，系统环境是否安全决定着危险因素对脆弱性的攻击程度，进而决定着信息系统风险。IT审计师在审计系统环境的安全管理过程时，需要关注设备、网络、软件以及硬件等方面。在评价系统环境安全管理的内部控制时，IT审计师有必要借助上述BS7799标准体系。例如，BS7799的“E1.安全区域”标准与“E2.设备安全”标准的解释有“信息处理设施可能受到非法物理访问、盗窃、泄密等威胁，通过建立安全区域、严格进入控制等控制措施对重要的系统设施进行全面保护”，“应该对信息处理设施运作产生不良影响的环境条件加以监控，如，湿度与温度的影响”。类似上述的BS7799系列标准都为IT审计师如何确认环境安全管理的内控提供了审计指导，且其指导思路清晰、全面。IT审计师通过借鉴BS7799系列标准，可以深层次挖掘系统环境安全管理规章制度中存在的疏漏以及执行中存在的问题，从而有效评判环境安全管理的控制风险。

4. 系统运行管理的内部控制评价

在评价系统运行管理的内控时，可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。中观经济主体对运行系统的管理相对复杂，涉及到系统组织、系统维护、系统完善等多个方面。由于系统运行中需要管理的环节繁多，而且目前也没有规范与流程可以参考，因而，评价系统运行管理的内控也有必要借鉴上述BS7799标准体系。例如，BS7799标准“D2.设备安全”与“H5.开发与支持过程中的安全”的阐述有“信息系统操作者需要接受安全意识培训，熟悉与系统运行相关的安全职责、安全程序与故障制度”，“系统运行中，建立并实施更改控制程序”以及“对操作系统的更改进行技术评审”等方面。IT审计师采用询问、观察、检查、穿行测试等方法评审系统运行管理的内部控制，需要有上述明细的、清晰的信息安全管理规则予以指导，这些标准可以指导IT审计师了解被审系统是否有健全的运行管理规范及是否得到有效运行，借此，IT审计师可以作出全面的内控判断，进而出具正确的审计结论。

(二) 应用控制的评价

信息系统的应用控制包括输入控制、处理控制与输出控制。在评价系统输入控制、处理控制以及输出控制三者的内控时，同样有必要借鉴BS7799标准，且BS7799标准中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相对应的信息安全管理目标与措施能够在IT审计师对三者进行内控评价时提供相对详尽的审计框架。为确保信息系统输入、处理与输出的信息完整、正确，中观经济主体需要加强对信息系统的应用控制。IT审计师在中观信息系统审计的过程中，需要做到对被审系统应用控制进行正确评价。

在IT审计师对应用控制的符合性测试过程中，上述BS7799标准体系可以对应用控制评价进行全程指导。例如，BS7799标准中“H2.应用系统的安全”提到“数据输入的错误，可以通过双重输入或其他输入检查侦测，建立用于响应输入错误的程序”，“已正确输入的数据可因处理错误或故意行为而被破坏，系统应有确认检查功能以探测数据的破坏”，“为确保所存储的信息相对于各种情况的处理是正确而恰当的，来自应用系统的输出数据应该得到确认”等控制策略，并提出了相对详细的控制措施。应用控制环节是信息处理的脆弱集结点，IT审计师在进行应用控制的符合性测试环节时有必要考虑周全，详尽规划。IT审计师可以遵循H2全面实施针对应用控制的审计，依照BS7799标准体系，检查被审系统对于超范围数值、数据区中的无效字符、丢失的数据、未经认可的控制数据等系统输入问题的控制措施以及应急处理能力；检查是否对系统产生的数据进行了确认，系统的批处理控制措施、平衡控制措施等，以及相关控制行为的执行力度；检查信息输出是否实施了可信性检查、一致性控制等措施，如果有相关措施，那么执行力度如何。BS7799标准体系较为全面，对于IT审计师评价系统的应用控制贡献很大，如果IT审计师能够创造性借鉴该标准，必可做好符合性测试，为实质性测试夯实基础，也定会提高审计质量。

五、 结束语

表1是笔者在分析某商业银行信息系统与某区域物流信息系统的基础上，对“BS7799标准如何应用于信息系统审计”所进行的设计，当针对其他行业时，或许需要对表1进行适当调整。不同行业、不同特性的中观经济主体在信息系统审计中运用BS7799标准时侧重点会有所不同。本文以分析中观信息系统风险为着手点，沿用BS7799标准对中观信息系统审计进行研究，旨在抛砖引玉。

参考文献：

［1］王会金,刘国城.中观经济主体信息系统审计的理论分析及实施路径探索［J］.审计与经济研究,2009(5):2731.

［2］BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management［S］. London:British Standards Institation,2000:179202.

［3］BSI.BS779922002 information security managementspecification for information security management systems［S］. London: British Standards Institation,2002:267280

［4］孙强.信息系统审计［M］.北京:机械工业出版社,2003.

［5］刘国城,王会金.中观信息系统审计风险的理论探索与体系构架［J］.审计研究,2011(2):2128.

［6］王会金.中观信息系统审计风险控制体系研究――以COBIT框架与数据挖掘技术相结合为视角［J］.审计与经济研究，2012（1）：1623.

［7］科飞管理咨询公司.信息安全管理概论-BS7799理解与实施［M］.北京:机械工业出版社, 2002.

BS7799 Criterion and Its Application in Mesoinformation Systems Audit

LIU Guocheng

it审计论文篇（8）

首先，我们定义IT控制是由期望达到的(IT控制目标)和达到这些目标的方法(控制程序)构成。IT控制目标是指通过对具体的IT活动实施控制程序，以达到期望结果或目的的总体描述。可见，事实上，有效的IT控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径。这里IT风险指的是IT使企业不能实现其经营目标的风险。

然后，我们从人员职责、IT控制的构成和IT控制对象这三个角度来理解IT控制的外延：

1．从人员职责角度看：首先是以下三类人员的职责：

 管理层――主要职责是确保控制存在并有效运行,为运营目标和控制目标的实现提供合理保证；

 低层管理者与员工――主要职责是执行控制；

 审计师――主要职责是对控制的正确性进行评估、提供改进建议及保证声明。

2．从IT控制的构成角度看：IT控制包括IT控制环境、IT一般控制、IT应用控制。

3．从IT控制对象与范围看：IT控制对象包括企业IT生命周期的所有流程。

实现IT控制，中国企业需要应对三大挑战

国内企业信息化建设速度越来越快，信息化水平越来越高，业务与财务报告流程对IT的依赖程度也随之越来越高。对大多数企业而言，运用整合的ERP系统，或综合运用各种经营管理、财务管理方面的软件，已经成为财务报告系统强有力的支持。

随着萨班斯法案的出台，财务报告的内部控制几乎离不开IT控制，即使业务层面的管理控制也是IT支撑环境下的控制。但是，信息技术是一把双刃剑，其潜在风险也越来越大，企业在建立有效的IT控制，以保证财务报告的有效性方面正面临着巨大的挑战。

但是，目前国内企业的内部控制体系多为传统的会计控制及管理控制，对IT控制缺少系统的考虑，企业的IT控制面临三大挑战。

挑战之一：CIO缺乏内部控制理论与实践。

以萨班斯法案的要求来说明，404条款的遵照执行有四个阶段：1.公司应制定内部控制详细目录，确定内部控制是否足够，然后将这些控制与诸如COSO之类的内部控制框架进行对照; 2.公司被要求记录控制措施评估方式，以及未来将用来弥补控制缺陷的政策和流程(如果有的话); 3.公司必须进行测试工作，以确保控制措施和补救手段起到预期作用; 4.管理层必须将前述三个阶段的各项活动情况汇总成一份正式的评估报告。

法案的要求使很多人认为，IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责，但问题在于，大多数IT专业人士对复杂的内部控制并不精通或了解，因此难负其责。尽管不能说IT人员没有参与风险管理，但至少IT管理层没有按照管理层或审计师所要求的形式进行正式的、规范化的风险管理。CIO（首席信息官）们现在到了不得不补课的时候了，当务之急是补充有关内部控制方面的知识，理解企业所制定的SOX遵循计划，才能专门针对IT控制拟定一个遵循执行计划，并把这个计划与总体的SOX遵循计划相整合。

挑战之二：缺乏系统的IT控制体系

事实上，每个企业或多或少都有一些IT控制制度，很多企业错误地把这些静态的控制制度等同于控制体系。现在越来越多的人认识到，我们需要的是“发现问题，解决问题；发现新问题，解决新问题”的持续改进体系。同时鉴于第一点原因，这些制度基本是由技术管理者制定，他们缺乏规范化风险管理的经验，这些IT控制制度可能不太规范且不成体系，控制程序也不够完善。IT控制制度一般存在于系统安全和变更管理等一般控制领域，缺乏从公司透明度角度出发、结合支持业务战略和业务流程的完整内部控制体系。

挑战之三：现有IT控制体系不具有可审计性

萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性，这就要求企业必须有完善的内部控制流程及审计轨迹，在控制发挥作用的同时生成相应的文档记录，以便在对内部控制设计及运行的有效性进行评价时有足够的证据。

我国企业的IT控制程序设计及运行不具备可审计性。尽管很多企业有庞杂的规章制度，但该体系的完整性、有效性以及遵照执行情况缺少评价，或没有证据进行评价。

因此，我们构建IT控制系统时必须从全局着眼，借鉴国际内部控制框架及国际最佳实践经验，构建一套系统化、标准化、可审计、可持续改进的IT控制体系。

构建有效而持续的IT控制需要正确的理念、适合的内控框架和评估机制

对于企业，我们认为在构建IT控制体系时，需要从三个层面来考虑才能保证IT控制的有效性和持续性。为了更好地说明，笔者将以如何设计符合萨班斯法案要求的内部控制为例，来展示构建IT控制体系的主要思路，以供参考。

1. 要认识到构建IT控制体系是一个循序渐进的过程

SEC管制条款内容复杂，为了满足萨班斯法案的要求，大多数企业需要调整其员工观念和企业文化，通常也需要对IT系统及其处理流程作一些改进。改进的内容包括控制设计、控制文件、控制文件的保留，以及IT控制的评估等方面。这是一个循序渐进的过程，不能将原有的一切推倒重来。鉴于在美上市的中国企业多为国有企业，这些企业的规章制度普遍较为健全，所以对于它们而言，更为重要的是如何根据内部控制的理念和原则，结合企业的实际情况，对不符合萨班斯法案404条款的各项差距进行分析、弥补、测试和改进。这项工作的顺利开展需要企业人员具备相应的理论知识和实践经验，因此，IT控制和风险管理培训就成为贯穿始终、必不可少的一项重要工作。

2. 要选择好内部控制框架

法案并没有规定公司必须选择什么样的内控框架作为管理层评价内部控制有效性的依据, 需要企业自己选择。国际上比较有名的内控框架有英国的Turnbull、美国的COSO 和加拿大的CoCo , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列政策和建议。PCAOB审计标准Ⅱ在“管理层用于开展其评估的内部控制框架”一节中，明确管理层要依据一个适当且公认的、由专家遵照应有程序制定的控制框架，来评估公司财务报告内部控制的有效性，SEC也从侧面认可COSO框架。COSO 认为，内部控制是由企业董事会、经理层和其他员工，为合理保证实现企业营运的效率及效果、财务报告的可靠性及合法合规等目标而实施的一系列过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套理论得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统。我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。

尽管COSO正在成为理解和评价内部控制的全球性框架。但是，COSO不是唯一的控制框架，在有些情形下甚至可能不是最好的或最易于使用的框架，尤其是在COSO框架中没有考虑到对IT控制目标和相关控制活动的具体要求。目前，COBIT（信息系统和技术控制目标，Control Objectives for Information and related Technology）正在成为更好地理解信息技术环境下内部控制的国际公认框架，该框架由美国IT治理研究所（ITGI），是一个IT风险管理与IT控制的综合性分析框架，由覆盖信息化生命周期的4个域、34个IT控制目标、318个详细控制目标组成。COBIT也涉及企业经营、合法合规等方面的控制。因此，该框架可作为制定IT控制目标、审计、管理和执行方针的依据。COBIT不是COSO框架的替代品，而是COSO框架的有力补充，这是因为在信息技术条件下，管理层、IT人员、审计师都需要理解和记录IT相关流程、流程中资源利用情况，以及支持这些流程的控制。

尤其是那些信息资产密集型或高度依赖于自动化处理的企业，理解和评估信息技术条件下的内部控制是一项巨大的挑战，但也是实现萨班斯合规性的关键之处。COBIT对评估这种环境下的内部控制会特别有效，COBIT的全部控制目标为审计人员寻求实施萨班斯法案404条款内部控制评审提供了强大的支持。不过对于初涉COBIT框架的人来说，其庞杂体系令人望而却步，其指南分散在有很多图表构成的多卷本中。并且，COBIT自1996年问世以来，在很长的一段时间里，许多审计人员单纯地将COBIT看作是专门的信息系统审计工具，认为它对其他审计工作帮助不大。我们认为，虽然COBIT的重点仍然在于IT，但是所有的相关人员包括审计人员都要研究COBIT框架，并将它作为一款优秀的控制框架，用于帮助实现萨班斯法案的合规性要求（COSO、COBIT与SOX的对应关系见图1）。

整合运用COBIT与COSO作为构建IT控制的框架，是将两种国际公认框架进行优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时，也可以参考IT运营、信息安全方面可审计的国际标准管理控制体系ISO20000、ISO17799等。

3. 建立一套自评估机制，确保内部控制系统的持续有效

众所周知, 企业的发展阶段、和管理状况以及外部环境的变化都是决定企业内控体系建立和有效运行的前提。任何内控体系都只是在一个特定的历史阶段有效。法案要求管理层每年都要对内部控制有效性做出声明，这也迫使公司必须建立一套控制自评估机制，评估内部控制体系设计、执行是否有效，以支持管理层的声明。同时，自评估机制也可以帮助公司发现控制薄弱区和控制漏洞，及时审时度势，弥补内控体系的缺陷，确保内控体系持续有效。这也正是萨班斯法案所要求的。

控制自我评估（CSA）是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的一种方法。国际内部审计师协会（IIA）在1996年研究报告中总结了CSA的三个基本特征：关注业务的过程和控制的成效；由管理部门和职员共同进行；用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期，但其最主要的发展是在90年代，特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更全面的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告，资产与记录的接触、使用与传递，授权授信，岗位分离，数据处理与信息传递等的“硬控制”。在新的内部控制模式下，迫切需要评价包括公司治理、高层经营理念与管理风格、职业道德、诚实品质、胜任能力、风险评估等的“软控制”。在这种情况下，作为一种既可以用来评价传统的硬控制，又可以用来评价非正式控制即软控制的机制，CSA得到了普遍的信赖。

自评人员首先选择要评审的内控流程, 然后对其设计的健全、合理性进行评价, 如果设计合理, 则测试其运行的有效性, 最后进行综合设计测试和运行测试, 评价内控系统设计的合理性和运行的有效性。如果设计测试结果为不合理, 则直接进行内控系统的评价, 而不再进行运行的有效性测试（见图2）。

内控系统设计测试是指为了确定被审计单位内控政策和程序设计合理、恰当和完善进行的测试。合理的标准即控制设计与目标相关、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。执行有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。

为了评估企业内部控制水平，指导企业进行差距分析并确定改进目标，建议企业借鉴成熟度理论，描述企业IT控制有效性的各种等级。

 Level 1 不可靠级 不可预知的环境，在这种环境中，控制活动没有设计或不适当；

 Level 2 不正式级 控制与披露活动已设计并适当，但没有充分记录。控制更大程度上依赖于人，没有正式的控制活动培训与沟通；

 Level 3 标准级 控制活动已被设计并适当，控制活动已被记录并在员工之间进行了沟通。控制活动的偏离可能不被发现；

 Level 4 监控级 标准化的控制，有定期的有效性测试并向管理层报告，有限的利用自动化工具支持控制活动；

 Level 5 优化级 一个整合的内部控制框架和实时的管理层监控与持续改善 (全面风险管理)，运用自动化工具支持控制活动，也许组织在需要的时候对控制活动进行快速变更。

就某个内部控制目标而言，一些企业可能愿意接受等级不高于3的IT控制。考虑到萨班斯法案 “外部审计师应就控制出具独立的鉴证”这一要求，审计师对一些关键控制活动的有效性水平不能低于3级。

it审计论文篇（9）

中图分类号：F239 文献标识码：A 文章编号：1001-828X（2013）12-0-01

一、商业银行进行信息系统审计的意义

（一）商业银行日益依赖信息系统。商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。

1.信息管理类系统与决策、管理和业务相关，以提高效率和规避风险为目的，主要有贷款系统、征信系统、客户管理系统、资产负债管理系统、办公自动化系统、档案系统（票据影像缩微系统和光学字符识别OCR）、数字终端录像系统、数字视频监控系统等。

2.渠道类系统是商业银行面向市场和客户的窗口，也是对外服务使用的载体，包括人工渠道、电子渠道和第三方渠道。人工渠道有柜面服务和职能部门的业务终端（例如会计账查询系统等）；电子渠道分为自助服务系统（电话银行、手机银行和网上银行）和自助服务终端（ATM和P0S）；第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。外部清算类系统是指有外部接口的系统，包括行间资金转账系统SHFT，主要有大额清算系统、同城交换系统、同业往来清算系统和第三方存管清算系统。

（二）大数据时代将到来。随着信息系统的大力发展，商业银行信息系统出现了爆发式的增长，银行业务越来越依赖信息系统，商业银行的竟争很大一部分是靠信息战。目前，各大银行都实现了数据的总行大集中，信息数据己经成为银行的核心竟争力之一，大数据时代即将到来。

（三）监管当局的外部要求。随着金融业对信息系统的依赖度越来越高，国家相关部门对信息系统的管控也越来越重视，自2006年8月《银行业金融机构信息系统风险管理指引》开始，银监会正式对银行科技风险进行监管，近年来推出一系列制度和措施，监管工作逐步走向规范化。通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性，也成为银行业实施IT审计的重要目的之一。

二、商业银行IT审计标准

商业银行IT审计，以国际最佳实践及相应的规则做为审计依据。主要有：

1.COBIT最佳实践模型

COBIT（Control Objectives for Information and related Technology）是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准，其最大的作用是将IT过程、IT资源与企业的策略和目标联系起来，保障企业的IT战略目标和其业务发展目标的一致性。

COBIT4.1版本中经典的体系框架包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档。

2.监管部门颁发的《商业银行信息科技风险管理指引》

2009年的《商业银行信息科技风险管理指引》（以下简称《指引》），定义了商业银行信息科技风险的总体框架，即在当前商业银行普遍的信息科技现状下，可能存在的重大信息科技风险的范围，使商业银行的风险管理过程，能够集中精力在相关领域。

《指引》确定了九大管理领域，即：信息科技治理；信息科技风险管理；信息安全；信息系统开发、测试和维护；信息科技运行；业务连续性管理；外包；内部审计；外部审计。这些领域覆盖了信息科技管理的大多数重要活动，这些活动中存在的风险，可能会对业务产生重大影响，因此对这些领域的风险识别和管理，应当在信息科技风险管理中优先对待。

在这九大领域中，IT审计占两个，分别是内部审计和外部审计。而《指引》本身，就是一个针对银行的框架完整的IT审计标准，银行可以参考这个标准，开展IT审计工作。

3.其他IT审计标准

除了以上两个标准，实践中还可使用其他标准，如，由于信息科技的细分领域众多，在进行某些细分领域的专项审计或单领域审计时，可以考虑单独使用某些国际或国内标准作为审计标准，从而达到更深入和专业的目的。比如，在进行信息安全方面的审计时，可参考ISO27001等国际标准或国内标准SSE-CMM；在审计IT运维、IT服务的交付和支持相关领域时，可以考虑采用ITIL作为审计标准；银行应当依据自身特点，结合本行信息科技工作的特点以及每次IT审计的目的和范围，有选择地采用审计标准。

三、银行业IT审计展望

（一）加强以风险为导向的IT审计

银行IT审计职能和角色也在过去这些年发生了不少变化，从以合规审计为主的工作，逐渐变成了活跃的内部或外部业务顾问。如前文所述，基于风险的银行IT审计工作将成为银行IT审计的主流工作方法。

（二）计算机辅助审计技术（CAATs）会在IT审计中得以广泛应用

计算机辅助审计技术是指审计人员在审计过程和审计管理活动中，以计算机为工具，来执行和完成某些审计程序和任务。

it审计论文篇（10）

公司治理与IT治理相结合

1997年的亚洲金融危机、2002年美国股市丑闻，蓝田股份和银广夏的利润神话破灭事件，以及2005年年初相继出现的创维、伊利股份、三九集团等上市公司高管涉案，完善公司治理机制、有效管理企业风险正在成为企业议事日程中和企业财务高管们最重要和最迫切的任务。

我国政府将建立有效的公司治理机制视为“现代企业制度”建设的核心内容，而加入WTO的承诺使得全面系统地处理这一问题显得更加紧迫。国务院国资委主任李荣融曾表示，目前上市公司所出现的问题都与公司治理结构不完善有关。国资委要与证监会正联合推动国有企业完善公司治理结构。

公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量，也包括法律系统对契约的监督以及对外部投资者的保护能力等。例如在逆向选择的框架下，我们可以看到：一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称，从而便利了融资，降低了风险。因此，公司治理的核心问题是信息不对称性或不完全性，解决公司治理问题，最核心的是公司信息的真实、准确以及处理与传递的效率问题，而IT技术在实现透明度原则和体现监控力度上正日益成为有效的工具。由于许多在美上市企业的核心业务都依赖IT系统，因此，2002年美国颁布的“萨班斯法案”对公众公司提出了更高的要求，公司应定期评价其信息系统及其内部控制的充分性，来保证提供给投资者信息的准确和完整，强调公司管理层建立和维护内部控制（尤其是IT控制）及相应控制程序充分有效的责任。因此，研究IT治理，加强IT控制，降低风险，有效地实现公司治理，成为全球关注的话题。

十六届五中全会通过了《中共中央在关于“十一五”规划的建议》中明确提出了今后五年时间内公司治理与内部控制、全面风险管理时企业改革的重点，“加快国有大型企业股份制改革，完善公司治理结构。加快建立国有资本经营预算制度，建立健全金融资产、非经营性资产、自然资源资产等监管体制，防止国有资产流失；”“完善金融机构的公司治理结构，加强内控机制建设；”“完善对境外投资的协调机制和风险管理，加强对海外国有资产的监管”；“健全金融市场的登记、托管、交易、清算系统。完善金融监管体制，强化资本充足率约束，防范和化解金融风险。”

ITGov（中国）IT治理研究中心主任孙强在发言中指出：未来公司治理和IT治理对企业的影响一定是革命性的，并且这种影响直接关系到中国企业的国际竞争力，可以说国际竞争很大程度上就是公司治理和IT治理的竞争。孙强认为没有完善的公司治理和IT治理，我国企业首先在利用国际市场筹资方面就输给了竞争对手，产品市场的竞争必将更加困难。因此，不进行治理实践改革的公司在想获得资本，加速发展时，将发现自己处于竞争劣势。

尽管现实距离最终理想的公司治理和IT治理看上去有些遥远，但实际上今天的公司治理与IT治理已经不仅仅停留在概念炒作的层面。目前很多研究机构、IT厂商、咨询企业都已就IT如何在公司治理、全面风险管理中发挥新的使命，纷纷提出了整合的理念、框架和解决方案。

全面风险管理与IT治理相结合

在2004年底，国资委组织召开的中央企业负责人会议上，国务院黄菊副总理强调指出，要完善企业内部管理制度，高度重视风险的防范和管理，要建立健全企业法律顾问制度，增强依法经营的能力和水平。国资委李荣融主任也提出企业要善于识别风险、规避风险、控制和化解风险。随后，由国资委企业改革局牵头，起草了国内首部企业风险管理指导性文件―《全面风险管理指导纲要》，目前已经进入征求企业意见和论证修改的最后阶段，即将出台。《全面风险管理指导纲要》适用于所有中央企业，要求企业在经营管理的各个环节和业务过程中执行风险管理的基本流程，建立健全风险管理的组织体系、信息系统和内部控制系统。

孙强先生在题为“公司治理、IT治理与中国企业的国际竞争力”的主题演讲中认为：在全球风险的时代，所有的企业，不论其规模、结构、性质或产业是什么，风险管理都将是必不可少的。有效的风险管理和机会管理将成为竞争优势的源泉。同时，随着IT重要性的增加和普遍应用，IT将被整合到所有的生产过程与经营管理体系中去。所以，IT的风险亦将显著影响到组织的战略执行及目标的实现。在这种情况下，将全面风险管理与IT治理整合起来推动，就成为必然的选择。孙强还认为一旦中国企业形成了与企业文化相适应的良好治理结构，这就是我们企业的国际核心竞争力。

内部控制责任：“六方”相结合

国资委全面风险管理专家组成员孟秀转女士认为:不仅仅是管理人员、内部审计师或董事会，组织中的每一个人都对内部控制负有责任。确立这种指导思想有利于将组织中的所有员工团结一致，使其主动地维护和改善企业的内部控制，而不是与管理层对立，被动地执行内部控制。这样才能实现我们企业所期望的“发现问题，解决问题，发现新问题，解决新问题”。她特别倡导六方（CEO、CFO、CIO、COO、CKO、CRO）打破原有职责范围局限，携手参与到公司治理、合法合规等实践中来，共同肩负起内部控制的责任，最终形成“内部控制人人有责”的企业文化。

符合“萨班斯”的IT控制与信息系统审计

“萨班斯法案”最主要的特征之一表现在：法案要求组织机构使用文档化的财务政策和流程来改善可审计性，并更快地拿出财务报告。要求企业针对产生财务交易的所有作业流程，都做到高透明度、可控制、实时风险管理并防治诈欺，并且这些流程必须有可追查到的交易源头的详细记录。

如何构建满足“萨班斯”要求的内部控制，管理层如何评价这些控制设计与执行的有效性，外部审计师如何鉴证管理层对其内部控制的评价并出具审计报告？在会上国资委全面风险管理专家孟秀转女士就这些问题从三个方面作了详细介绍：

第一，“萨班斯法案”对IT 部门、对管理部门提出了哪些内部控制要求，特别是对 IT 的控制目标要求。第二，“萨班斯”内部控制的审计标准。控制目标做的怎么样，控制措施设计的是否恰当，执行的是否有效，需要有审计师进行评价，在这个评价的基础上找到内控的弱项，以便于我们企业弥补。这是因为符合“萨班斯”的过程是一个持续的过程，并且内部控制受控制成本的固有限制，不可能完美，需要根据环境的改变不断的完善。 第三，符合“萨班斯”的信息系统审计工具与审计流程。按照PCAOB的内控审计标准，如何对内部控制给予恰当的评价，这可能是企业的高端人员非常关注的问题。“萨班斯法案”要求企业的高管人员对内控的有效性做一个评价。所以管理者、内部审计师、外部审计师都非常需要有一套审计的工作流程，以帮助他们对内部控制，包括IT控制做一个相对客观的评价。

孟女士指出，在信息时代企业的整个交易和业务以及财务报告的产生，都是基于企业IT基础架构的服务。管理层要保证财务报告的有效，就不可能忽略IT的控制。 在PCAOB建议的内部控制构建与评价工具COSO 框架中缺少对IT 内部控制的关注。所以国际上关于IT的内控基本上是采用Cobit 标准。在IT部门中采用 Cobit 框架的话是一定要符合 COSO 要求的。除此之外，Cobit控制框架也可以帮助企业建立和完善与 IT有关的内部控制目标和控制活动的设计。Cobit 是流程化的内控，它将IT的生命周期划分为四个构成领域。除此以外，IT控制也要参考 ISO20000，这是IT服务管理领域的国际标准，长期支持企业的运营，保证财务报告的数据真实合法，并且是完整、安全的IT的运维过程。ISO20000 是关于IT支持业务和财务报告产生过程中的管理控制框架。这个框架的特点就是一系列标准化的可审计的IT服务流程和程序。财务报告审计无保留意见的前提是财务信息的安全。关于信息安全的一个国际标准ISO27001，也是被广泛采用的IT内控构建与审计的工具，其中总结了39 个内控目标和 133个详细的控制措施。

Cobit 、ISO 20000 和ISO27001不仅是构建IT控制体系的指导，它们本身就是一个可审计的控制流程。PCAOB在“萨班斯 404”内部控制审计标准Ⅱ中关于IT部分的审计就是参考了Cobit：应用控制与一般控制的审计。

最后，孟女士总结说，“萨班斯”IT控制和审计一定要在高管层内达成统一的认识。不要认为IT控制与审计 是IT的事，财务只管财务控制，人为地把两者割裂起来。我们的业务是建立在 IT基础上运营的，所以必须将它作为一盘棋考虑。 还有一个就是我们建议在构建内部控制框架时，要借鉴国际标准，这是国际上多年实践的总结，我们可以少走弯路。

PCAOB针对“萨班斯404”条款提出审计要求：审计师在评价内部控制时，不得绕过计算机系统，必须了解从业务产生、业务处理到产生财务报告的完整计算机处理过程，确保整个过程都有充分、适当的控制，并评价这些控制的有效性。

“萨班斯404”给审计师提出了挑战：必须对影响财务报表的信息系统进行审计。不仅如此，“萨班斯”也给企业内部控制人员、内部审计人员及风险管理人员提出了挑战。目前国内外都缺乏既懂技术又擅长风险评估、内部控制以及审计的人才。IT风险评估、IT控制以及信息系统审计的人才缺乏是我们通过“萨班斯”大考的关键问题。

“合力”应对“萨班斯”

毕博管理咨询公司大中华区董事Rolan Spahr博士认为，对员工的培训必不可少，要使员工认识到现在企业存在的风险。应该让每个员工都对风险有一种责任感，这样才能提升我们整体的业务。这是体现在个人生活当中遵循的原则，这也适用于在激烈的竞争中的公司需要。

甲骨文公司高级董事Lane Leskela先生在介绍波音公司财务变革与“萨班斯”合规项目时说，讨论内控问题，就是要看企业在不同阶段的变化。“萨班斯法案”要求我们提供企业不同时期变化的数据，所以企业必须使得数据尽量的简化、及时。同时，还要在这个流程中加入能够提高运营效率的东西。

在财务变革的过程当中，企业必须了解能从这场变革中获得什么。有很多公司在过去几年都为符合“萨班斯法案”的要求做出了努力，他们甚至需要改变企业的流程来适应“萨班斯法案”的规定。因此，风险管理非常重要，如果处理不好，这种改变会对企业内部的业务带来风险。我们的经验就是，企业要学习这些好的经验，借鉴其他公司的做法，给本企业的财务管理过程带来一些新的想法。此外，得到管理层的支持也很关键。管理层的支持可以确保整个过程是有效的。最后，就是要使财务改革和合规项目之间实现互动。

it审计论文篇（11）

1 秦山核电信息化发展的背景

秦山核电位于浙江省海盐县，处于华东电网的负荷中心地区，是中国大陆核电的发源地。秦山核电基地现有9台运行机组的装机容量为650万千瓦，是中国堆型最丰富、装机容量最大的核电生产基地。公司制定了“资源集约化、运行标准化、技术专业化、管理精益化”目标，向“世界一流”核电运行企业迈进，除了负责秦山核电地区9台机组的运行管理工作，还负责巴基斯坦恰希玛核电1号、2号机组的运行支持及3号、4号机组的调试工作等。在2015年，秦山核电发展三十周年之际，公司以“一体两翼”作为战略目标，在做好秦山核电9台机组的稳定发电的同时，积极开拓外部市场并推出了“产品”，其一就是信息化系统建设和运维服务。

秦山核电信息化伴随着秦山核电三十多年的发展，也经历了从无到有、从简单到规范、从工具直至两化融合的历程。总体而言，秦山核电信息化阶段主要分成5个阶段：第一个阶段是1990年代初至1997年，信息化因PC电脑的开始普及而出现，这是一个“IT工具”的阶段，主要有财务记账、人事记录和档案等软件的单项应用。第二个阶段是1998年至21世纪初，这个阶段随着电脑终端的大量普及而成为“业务支撑阶段”，IT发展处于被动式的跟随业务需求而动的模式，主要发展为邮件、文件和引入国外工作管理平台等。第三个阶段是21世纪初至2009年期间，在这段期间秦山核电投用了大型的企业资产管理系统EAM，对核电厂生产管理提供了有效支撑，属于“运作阶段”。第四个阶段从2010年至今，信息化发展到了“业务伙伴阶段”，信息化随着秦山核电资源管理的集中而出现平台集中、数据集成等局面，信息化基本覆盖了核电成生产经营的主要业务方面，业务管理已无法离开信息系统的支撑，信息化建设也不可能脱离业务的主导。因此秦山核电也根据新形势的需要完成了两化融合体系的落地和实施。在不久的未来，秦山核电信息化将出现第五个阶段，那就是信息化技术引领的时代，随着核电本身业务的梳理完毕和数据标准化过程的完成，将出现用先进信息化技术来驱动更优化的业务解决方案。

2 秦山核电信息化项目管理的发展历程

秦山地区信息化经历20多年建设形成覆盖各电厂运行、生产、经营、管理等各领域的信息系统，在这发展历程中，曾经出现过信息系统数量多、信息化发展不均衡、系统繁杂标准化低的问题，信息系统从无到有、从数个到上百个，再到系统平台的逐渐统一和集成，到两化融合体系下的以公司新型能力驱动的信息化建设核心。公司信息化建设呈现遍地开花、集中建设、集成提升等发展阶段，在这些过程中，公司逐渐认识到信息化项目管理的重要性。

到2013年期间，公司制定了“资源集约化、运行标准化、技术专业化、管理精益化”目标，向“世界一流”核电运行企业迈进，信息化建设随之也要符合公司战略的引领，凸显出公司原有信息系y以“单项应用”为主、无法实现跨平台数据共享的突出矛盾。公司对信息化建设的综合集成的业务需求强烈，并要求通过信息化手段来助推公司管理提升和管理精细化。在2013年至今的时期，是公司信息化发展的规划化、标准化时期，面临这样的局面，公司信息化部门以打造IT项目的全过程管理、标准化管理为支点，在组织上、制度上、人员培养上面投入资源，实现IT项目管理的能力提升。

公司的信息化部门在面临即要承担因标准信息系统整合的任务，又要承担上级单位下达的信息化建设的任务，但因IT项目因其应用领域、规模、类型、复杂性等方面的不同而在管理上存在较大的差异，为提高IT项目管理效率及规范需建立适用于本公司规范IT项目管理的方法、手段、制度、流程和文档标准。但目前尚未形成像工程项目那样完整、成熟的项目管理理论与方法体系，现有项目管理理论和方法体系难以完全适用IT项目管理的需要。另外，信息化工作作为企业重要组成部分，每年都要接受公司内外部管理审计及安全审计，中核核电运行管理有限公司信息项目归口管理部门，需要结合企业特点，借鉴现有IT项目管理理论与方法，以及取得的成功经验，对IT项目标准化管理进行较为系统的研究，经过实践，初步建立IT项目标准化管理方法框架体系。

3 两化融合体系下的信息化项目全过程管理实践

从2014年开始，秦山核电基于EA架构方法论，开始实践信息化工作的规范化管理，将信息化工作按两化融合规划、信息安全管理、信息化建设和信息系统运维等四大维度开展工作。

在信息化建设这一IT项目管理区域中，以公司两化融合体系为运行环境，基于公司战略和需打造的新型能力为出发点，形成IT项目的主要输入。以两化融合中长期规划作为IT项目建设的总体实施路径，形成IT项目建设的年度工作计划。信息化项目的全过程管理形成了：策划输入、项目准备、项目实施、上线应用和项目后评估等阶段。

3.1 严控信息化需求管理，统筹规划项目资源

根据公司两化融合体系的落地，梳理了公司在十三五期间的主要新型能力创新点，主要是：核电生产精益化管控能力、核电运营成本精细化管控能力和核电运营风险管控能力这三大核心能力，公司信息化建设主要围绕这三大核心能力去开展信息系统建设，提升信息系统对核电核心能力的支撑和提升。

为有效信息化需求评估和实施的管控：结合公司标准化业务管理模式，优化信息化需求评估流程的，确定统建信息系统信息化需求评估方式。确定了信息需求实施任务的规范管理模式。所有涉及信息系统信息化需求评估流程调整为在ERP-BPM中实现，对于中国核电各成员单位的ERP系统的需求申请，也实现了需求的统一入口管控。流程主要环节由申请部门进行需求自评估、信息部门进行技术层面可行性分析，并给出需求审查意见，如涉及业务流程变化的还需要关键用户、业务领域审查、公司CIO审查或信息化工作办公室、中国核电审批，需求评估进行分级管理实现实时跟踪。信息化需求及项目实施过程中的变更申请严格履行程序流程，按照流程发起申请，进行充分合理的评估，得到批准后方可实施。未按流程、未完成最终审批的需求或变更一律不得实施。

根据需求的轻重缓急，考虑预算、计划、人员等资源的约束，统筹规划项目资源，安排项目开展计划及项目预算，对于完成所有前期审批的信息化项目，有预算的直接办理相关立项审批；对于无预算的信息项目，视情况安排至下一年度或等待预算落实后实施。

3.2 标准化信息项目管理流程

依据上级单位信息化工作的要求以及公司经济授权等明确信息化项目的分级、分类，以及对应的审批流程，明确项目全过程管理流程。将关于《企业内部控制应用指引》有关信息系统内部控制，以及两化融合体系的管理要求，落实到各管理细则中，通过项目实施细则，明确项目进度、成本、质量、沟通、风险等管控方式以及问题处理机制。

根据IT项目管理理论的九大知识领域，秦山核电根据核电厂工作实际，在实践中进行利用和创新，达到了符合企业实际又能满足项目标准管控的要求。

3.3 规范IT技术文件管理，形成IT最小化标准化文档模板

“IT技术文件管理规范”是管理程序的延伸，是信息技术文件规范管理要求。IT技术文件分为四层、18个类别，四层分别是管理规范级、企业级、系统级、记录级，从高到低分别是一、二、三、四级。每个类别技术文件都有确定的责任方、文件流转的信息平台、文件模板、归档移交要求。涉及信息安全的技术文件不在信息平台中管理。

规范各类文件名称命名规则及项目编码，项目编码在项目可行性期间就要给出文件编码，文件编码作为后续项目存档查询的关键信息，作为重要索引信息。

结合信息领域管理程序及制度，承接信息项目管理程序、IT技术文件管理规范的落地要求，立足于项目全过程文档规范管理，以项目前期、立项启动、需求分析、系统设计、系统开发、环境搭建、系统测试、培训、项目验收等主要环节控制要求文档。结合历年信息化建设项目文档管理工作实践，信息项目处通过梳理信息项目文档清单、查阅IT项目管理相关专业资料，总结以往项目相关文档管理做法、经验和体会，开发出了信息化项目管理最小文档。文档清单和模板内容结合信息项目建设过程中良好实践，同时借鉴IT业界标准信息化项目标准文档，经数次讨论修改，最终形成信息系统项目最小化标准文档模板24份。

3.4 借助系统平台，落实项目管理

利用SAP-ERP系统管理信息项目预算，为部门管理者提供总体预算执行情况实时显示与跟踪，为项目负责人提供从项目立项、审批、合同签订、支付等项目成本全过程管理和控制，及时掌握项目所处环节，根据项目进展实时确认工作量以及对应的成本，以反应项目进度。

通过IT项目跟踪平台，实现IT项目群管理有利于部门领导在整体上进行规划、控制和协调，指导各个项目上具体管理工作。所有新增、在建项目在IT项目跟踪平台中管理，根据对应的标准系统统一编制项目码，项目码作在文档归档时索引的关键字段。

固化里程碑节点，每个项目先制定项目里程计划，根据项目进展更新项目进度，不同进展使用不同颜色的进展条显示，定期报告反馈进展情况分析差异，发现的问题通过问题反馈机制及时采取纠正措施解决问题。

利用禅道项目管理软件，管理项目任务及团队成员，增强任务分配及完成及时性，任务工时评估，提升团队成员工作饱和度，促进项目团队工作效率。

所有项目文档归档至ECM系统，所有因项目而产生的技术规格书（技术规程文件类）、实施文件（项目文件类）、会议纪要、交付归档的项目文件，通过规范的项目编码快速检索。

3.5 项目实施团队的管理

信息化项目管理内部实行项目经理负责制，项目经理在信息项目处部门领导的指导和监督下，全面负责项目计划、预算、组织和实施，严格控制项目的质量、进度和费用，保证完成项目目标，为项目JYK考核工作负责。

对以外包方式的项目实施商及实施人员建立管理台账，定期开展项目及实施人员评价，实施单位在项目结束后进行评价，对于长期合作的实施商开展每年定期评价的方式，实施人员评r由项目经理评价，均采用积分制，积分排名优先者，优先选择作为下个项目的合作伙伴。

3.6 项目验收管理

项目验收是对整个软件开发、建设项目管理结果的综合评价，一直以来都没有一个统一的标准，随意性大。经过治理，梳理出三项验收环节控制措施：

1）制定信息化项目验收管理要点，内容包括项目实施结果与对应信息化需求符合情况、项目文档要求、文档格式标准执行、合同遗留主要问题、项目转运维落实情况、产品授权、版权要求等方面；

2）组织全方位验收会议，项目验收由业务部门/单位、信息部门、承包商、商务部门等有关联的部门参加，以保障验收效果，建立项目观察人角色，保障项目管理各环节规范落实；

3）项目完工后对承包商综合能力进行评估。

公司通过以上三方面对项目实施情况进行全面评估，同时针对集团公司要求的达到一定投资额、部分重要专项的控制要求，开展了信息化项目的档案审查、财务竣工审查等额外工作标准。

3.7 项目成果管理

项目实施的效果与项目参与人员的价值主要通过项目前成果来体现，信息人员将更多的精力投入专注于具体工作，未意识到成果总结与管理的重要性；在对报奖渠道、知识产权保护、渠道进行专项梳理中发现，存在成果报奖、等渠道了解不足，项目前期未筹划，报奖时材料来不及准备，错过报奖时机，知识产权保护意识薄弱，重视程度不够。通过组建专门团队进行信息化成果的统一管理工作，取得较大成效，信息化相关获奖成果、知识产权申报明显上升。

在公司开展信息化项目的全过程管理之后，公司已对IT项目的成果管理实现了较好的效果实现，主要是信息系统知识产权、软件版权等方面的注册和保护，这些形成的公司IT软资产、软实力对公司“一体两翼”的信息化对外服务能力有极大的增值和品牌效应。

3.8 项目后评估机制