(来源:《数字军工》)
引言
    近年来,因上市公司频频“惊曝黑幕”,“公司治理”成为全球性的问题,受到广泛的关注和重视,人们认识到只有建立一套完整的治理系统,才能彻底解决舞弊和管理不当的问题。

    同时,信息已经成为企业中最为宝贵的资产之一,信息技术(IT)在组织中已经扮演一个影响到组织全局、影响到企业治理结构的关键角色。在实现企业目标,以及提供收益方面,IT变得越来越重要,越来越多的人逐渐意识到治理必须扩展到IT领域的方方面面。

    在IT治理层面,IT审计与IT控制是必不可少的组成部分。那究竟什么是IT治理、什么是IT控制、什么又是IT审计,这三者之间的关键又是如何的呢?

什么是IT治理

    治理如果与企业治理和IT 治理联系起来时好像比较难理解,但是如果与国家联系起来就很容易理解,如国家治理、环境治理、黄河治理等,可以看出治理侧重于宏观决策方面,如,要做哪些事,谁来做这些事,以及如何建立决策机制、如何进行有效监控等,而管理则侧重于具体执行,就是如何把事情做好。

     IT治理是企业治理结构中不可或缺的一部分,而相关的IT治理流程则可确保企业IT目标与业务目标保持一致,并可持续发展。因此,IT治理必须与企业战略目标一致,使IT发挥更大的作用、创造更多的价值,实现公司价值和利益的最大化。

    信息系统审计与控制协会(ISACA)在1998组建了IT治理协会(ITGI)对IT治理的定义是:IT治理是一种引导和控制企业各种关系和流程的结构,确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务,以达到公司治理中对IT 方面的要求,旨在通过平衡信息技术及其流程中的风险和收益,增加价值,以实现企业目标。

    中国IT治理研究中心(ITGov)对IT治理的定义是: IT治理是指设计并实施信息化过程中各方利益最大化的制度安排,包括业务与信息化战略融合的机制,权责对等的责任担当框架和问责机制,资源配置的决策机制,组织保障机制,核心IT能力发展机制,绩效管理机制以及覆盖信息化全生命周期的风险管控机制。

为什么需要IT控制

    美国全国虚假财务报告委员会下属的发起人委员会(COSO)将内部控制定义为:内部控制是一个过程,它由组织的董事会成员、管理层和其他成员参与,旨在为实现以下目标提供合理保证:

 经营的效率和效果
 财务报告的可靠性
 对有关法律和规章制度的遵循性

这些不同的但相互重叠的类别针对不同的需要,每个对应一个直接的重点。

第一类是针对组织的业务目标,包括业绩和盈利目标,以及对IT相关信息与资产的保护。
第二类涉及公布财务报表的编制的可靠性,包括临时和精简的财务报表,以及收益情况和其他来源于这样报表的公开报告的财务数据。在内部控制中IT系统频繁地产生这样的报告,因此对这些系统的控制具有重要的作用。

第三类处理组织对相关法律和规章的遵从情况。

    内部控制系统以不同的效率水平运作。如果董事会和管理层能合理保证下面各项,内部控制在三种分类的每一种中都可被认为是有效率的:

 他们明白企业的运营目标实现的程度
 发布的财务报表的编制是可靠的
 遵守适用的法律和条例

    IT控制能够帮助组织在IT运行环境过程中,适应不断变化的约束因素,建立良好的风险控制环境,形成一个强大的弹性的内部控制系统,应对组织面临的各种挑战和意外事件。IT控制本身并不是目标,控制的存在是为了帮助实现业务目标。控制也许会加大经营成本,并且可能是非常昂贵的成本。但是没有控制或控制不足,可能会导致更昂贵的后果。

为什么需要IT审计

    IT审计是一个获取并评价证据的过程,主要是判断信息系统是否能够保证资产的安全、数据的完整性、有效率利用组织的资源、有效果地实现组织目标地过程。

    IT审计是监视和评审IT控制措施的执行情况和有效性的主要手段之一,可以从组织整体业务风险的角度,对实施和运行的控制措施进行持续监控,以管理组织的业务风险。

    IT审计可以作为符合法律、法规以及管理要求的控制手段,可以证明管理层建立并维护了恰当的内控措施;可以提供证据说明业务相关数据的完整性,以及可以证明具备合法权限的人正确访问数据;可以提供报警和审计报告确保管理层知道重大信息和任何变更;IT审计可以围绕数据提供报告用于合规性评估,降低遵从成本。

IT治理、IT控制与IT审计之间的关系

    IT治理是为组织建立一个长效的均衡的治理结构,在风险可控的环境下保证组织获益。均衡的环境在满足组织外部约束的同时需要考虑如何降低成本、提高股东收益、满足客户要求以及建立良好的社会形象等条件下不断调整变化而达到的,因此IT治理侧重于宏观决策方面,要做哪些事,由谁来做这些事,以及如何建立决策机制、如何进行有效监控等。

    IT控制就是在这样的治理结构下,为实现组织的目标提供合理保证而实施的一系列政策和程序,内部控制是一个持续的过程,为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循等情况下评估风险并设计、实施和持续监督控制措施。可以看出IT控制的主要目的是建立一个可持续监控的控制环境使组织风险可识别、可控、可管理。

    IT审计是一个获取并评价证据的过程,主要目标就是对组织实施的风险管理环境和控制环境的保证措施进行识别和评估,判断管理层关于控制的声明是否是可靠的,所以审计必须保持其独立性,以第三方客观的立场进行检查和评价。

    从以上论述可以看出,IT治理、IT控制以及IT审计之间既有联系又有区别。分析来看,关注点是相同的,立场是不同。

    共同的关注点在于风险与保证。风险管理的主要目标是为了保证组织经营的效率和效果、财务报告的可靠性以及对有关法律和规章制度的遵循。保证,主要来自一系列相互依存的控制政策与程序,以及评价控制有效性的证据,这些证据可以证明控制是连续和充分的。

    IT治理要明确目标与方向,为IT控制环境与活动设定明确的目标。

    IT控制要建立一个完整的,具有弹性的内部控制体系,应对组织面临地各种风险挑战和意外事件。

    IT审计是获取与IT控制和保证措施相关的证据,评估IT控制的有效性、评价IT绩效及IT战略与业务目标的符合程度。

    IT治理必须在风险与利益之间找到均衡,通过IT审计不断促进调整IT控制环境,使组织在风险可识别、可控、可管理的环境下保证组织利益最大化。