综合大型企业集团的IT风险管理和审计课题研究报告

吴永林

（江苏省苏豪控股集团有限公司，江苏南京 210012）

本研究将以IT风险管理和审计为研究对象，对综合大型企业集团进行行业风险分析，对IT风控和审计现状进行客观描述，进一步探讨符合IT风险管理和IT审计的解决方案。

1 行业背景

国有企业改革是我国经济体制改革的中心环节，我国国有企业多年来先后进行了扩权让利、承包经营责任制、股份制、政企分开、战略调整等方面的改革[1]。许多传统意义上的国企已经成为大型综合国企，然而这些大型国企至今仍处于攻坚阶段，运行机制不合理等矛盾得不到合理解决。因此，深化大型国有企业改革成为现今大型国有企业提高竞争力的关键。

1.1 企业混合所有制改革

当前，推进国有企业混合所有制改革成为促进公平市场的当务之急。在十三届全国人大二次会议上，国家发改委副主任连维良表示，在加大国企混改方面，2019年将推出第四批100家以上的混改试点[2]。

当下，大多数行业都处于国有企业和民营企业共存的状态。而两种企业的特点都是很显著的：国有企业享有较高的信誉和稳定性、特殊的融资渠道，且在国计民生等方面存在优势；民营企业在运营方面更具有灵活性，对于竞争性行业和科技创业型行业的创办和运营具有优势。而“国企混改”将促进国有资本和其他所有制资本取长补短、共同发展。

1.2 集团化战略

在复杂的市场竞争环境下，国内企业面临巨大的机遇和挑战，大型综合国企集团可以利用集团化战略优势，使母公司以资本运作的方式将企业做大，使子公司避免由于某一方面的失利而全盘皆输，各成员企业可以利用专业化分工与合作，共同实现集团的综合运营。在集团化管理下，成员企业可以结合优势企业的优良企业文化和管理方法，提高企业的管理水平。企业集团利用各企业的经济和技术优势，形成最佳产业布局，最终达到规模效益。

1.3 外资并购

在国际竞争国内化和国内竞争国际化的条件下，如何提升企业综合竞争力成为我国国有企业改革面临的问题。国有企业综合竞争力的强弱与我国的综合国力的兴衰是密切相关的。大型国有企业利用外资并购改造国有企业是新形势下的新趋势。原因是，外资并购须遵循国际通行的惯例规则，将其引入国有企业改革，在国内必然会创造出新的市场运营机制，寻求出发展的新途径[3]。从传统的合资合作方式到运行利用跨国并购方式，这意味着一些传统的国有企业正逐步转变为与经济发展趋势相适应的综合性国有企业集团。

2 行业风险

2.1 运营风险

随着国民经济的提升和企业发展机会的扩展，企业面临的经营环境日益复杂，在运营过程中必然出现新型风险，特别在日常运营、操作方面。运营风险包括由于程序、系统或政策的不足而造成损失的可能性，具体因素包括：系统故障、误操作、欺诈或其他任何干扰业务流程的事件。在日益激烈的市场竞争中，企业若想维持核心竞争力，就应充分考虑运营风险带来的影响。结合我国企业的现状来看，国内绝大部分企业都缺乏运营风险的识别和防范能力。企业监督层、管理层和经营者缺乏运营风险意识，对内部风险管理的认知非常有限。企业在日常运营中未制定完善的内部控制制度，且内控人员并不具备足够的监督管理经验，导致企业的内控管理水平在日益复杂的运营情况下停滞不前。

2.2 IT风险

随着科学技术的成熟，信息化技术在企业管理方面得到广泛应用。ERP系统是符合社会发展潮流的管理方式，在我国大部分企业都得到了应用。该系统可以快速准确进行企业成本核算、高效全面处理人力资源信息、整合存储企业管理信息等。在企业管理方面，不仅能大幅度提升企业决策的效率，还能帮助企业获取全面准确的信息。然而，IT技术在维持和推动企业运营的同时，其本身对于企业也存在一定的风险。近几年，国内外IT风险事件的频发引来IT界、商业界和学术界的密切关注。在极端情况下，IT风险事件可能会给企业带来致命的打击。比如，同样是关于ERP系统，其本身存在多种风险：（1）质量风险，若开发商采用低成本的开发平台和开发工具，势必对系统的开发进度和质量造成损害，对ERP长远的发展产生制约；（2）移植风险，若开发商的开发环境简单封闭，而系统的生产环境开发复杂，ERP系统将无法实现其预期的价值。因此，关于如何防范IT风险，如何建立IT风险管理机制，成为企业管理领域不可回避的问题。

3 大型综合性国企集团IT审计现状及关注点

随着业务和管理需求的增长，综合性国企越来越重视业务信息化发展和转型，IT审计已成为大型企业业务信息化的重要组成部分，同时也是业务信息化的内在需要。

IT审计在我国起步较晚，由起初的理论框架构建及对传统审计的影响分析逐步向具体行业适用性的研究过渡，多集中于银行体系内IT审计的应用和电力、地铁等大型企业IT审计的构建[4]。现今，相当数量和规模的综合性大型企业统一受政府或者代表政府的国资委机构管理，企业的审计工作对企业制度规范、资金使用和信息质量管理具有关键的指引和监督作用。随着综合性大型企业的改革深入，扮演企业出资人角色的国资委，通过分析和评估综合性大型企业的审计风险，从而健全企业的监管体系，建立专业的审计制度和实施举措，使综合性大型企业稳健前行。

除了AICPA、CICA、IFAC等组织对信息技术环境下的审计制度有所规定外，国际上ISACA的信息系统审计准则是目前较权威的IT审计标准。以上这些制度都是我国IT审计在发展中可以借鉴的。此外，我国引入或参照先进国家的IT应用技术，这一因素增加了借鉴国际IT审计准则的实用性。由于我国在IT应用方面与发达国家还是存在一定差距，在借鉴国际IT审计制度的同时，也要考虑中国国情。具体来说，我国IT审计领域尚不成熟且IT审计工作也不普遍，故我国有必要选择性地采用国际准则，并有针对性地进行修订，才能量身定制出符合实际情况的IT审计准则。

综合性大型企业的信息系统往往具有覆盖面广、用户量大、软件众多且流程复杂的特点。特别是信息化管理程度较高的企业，管理层需充分认识到信息技术潜在的风险并制定出相应的信息系统审计实务操作指导性文件。随着信息技术逐渐成为企业管理与内控的重要手段，综合性大型企业对IT审计的重视也逐步增强。与其他审计不同，IT审计流程主要关注于大量的信息处理技术。传统的IT审计方法包括：（1）数据测试，将预先设定好的错误/正确信息输入系统以查看系统是否能有效处理数据；（2）程序流程检查，审计人员通过观察信息化业务流程运行以检测系统逻辑设计是否合理及运行是否准确；（3）系统运行日志检查，审计人员随机根据导出日志发现内在风险等。随着IT审计领域逐渐成熟，大量新兴技术也被应用到IT审计中，比如：数据挖掘式审计、数据结构验证、程序编码审查及征兆发现技术等。IT审计新手段的出现也对审计人员提出了更高的要求。

4 综合大型企业集团的IT风控和审计趋势

随着组织的发展对IT的依赖逐渐增加，面对信息技术发展所带来的挑战，企业应该多方位、多角度制定IT治理体系，对一般信息技术控制环境和业务应用控制环境进行监控。在IT治理领域，IT风控是IT治理过程中的风险管理，而IT审计是IT治理的双重保证，IT审计又是IT风控的定期评估，三者关系可参见图1。

图1 IT审计、IT风控和IT治理关系图

4.1 IT风险控制

4.1.1 组织形式

风险控制在组织形式上包括：IT部门、风险控制部门、内部IT审计专业人员。

4.1.1.1 “防线 1” ：IT 部门

随着信息资源变得日益重要，与资金、物资和人力一样，信息资源也需要专门的部门进行管理。一个企业若想增强IT风险控制能力，必须具备专门的IT组织，设立各级信息化机构，并配置相应的专业人员，由管理层根据监管政策要求界定各部门的职责和权限。IT职能包括企业IT管理、系统建设开发、运行维护等。IT部门作为IT风险管理的“第一道防线”，承担识别风险、监控IT风险、实施IT风险管控、应急响应等职责。为实现风险控制的完备性、及时性、灵活性，企业对于IT人员能力的要求越来越高。IT组织的专业及管理能力不足不仅使企业在高度信息化竞争环境中处于被动地位，还容易给企业的信息安全、业务流程的正常运行带来潜在风险。

此外，越来越多企业为了迅速具备IT风控能力，选择将企业的信息技术资源外包，即将全部或部分信息科技服务委托外部专业资源进行管理。外部专业资源包括：独立第三方、合作伙伴集团内其他子公司、外包技术支持等。不可否认的是，IT外包管理有利于企业集中资源专注于主营业务，从而降低人才流动或组织架构变动带来的风险。但是，外包也是一把双刃剑，由于企业IT外包存在很多不确定因素，外包也自带风险，包括信息泄漏的风险、承包商选择错误的风险、IT外包合同风险等。故有效的IT服务外包要求企业建立IT外包风险管理制度，包括外包风险识别分析、监管制度、风险应对方案等。

4.1.1.2 “防线2”：风险控制部门

在风险管理领域，内部控制常被看作风险控制的主要内容，但是由于风险管理与内控的职责与工作内容不一样，所以不论是从理论还是实际角度，二者都不应该混为一谈。然而，我国许多大型综合性企业为节省人力资源、简化管理流程，选择将内部控制组织取代风险控制组织，或者将二者融合，这样的组织职责分配不利于有效的风险管理。从理论角度看，企业的风险管理部门承担以下职责：根据公司整体风险管理策略确定IT风险管理策略、制定风险计量标准；根据公司运营情况及监管要求进行重要风险提示；定期进行风险评估、监控重大IT风险，以及督促风险纠正。内部控制是管理操作风险的终极手段，涉及风险管理策略的制定。就实际情况分析，风险管理是一个动态过程，IT风险敞口的发现、计量、提示、监控都需要风控人才的工作投入。 我国大型综合企业照搬相似企业制度的现象普遍存在，内部控制制度本身存在形式化的特点，使内控部门的工作内容趋于“单一化”，使内控部门的职能定位及专业能力往往无法达到“动态的”IT风险管理的要求。

4.1.1.3 “防线3”：内部IT审计

我国大部分大型综合企业具备专门的内审团队，并定期对财务情况进行审查，然而内审团队往往不包含信息技术审计人员。随着信息技术和业务发展，业务信息往往来自于不同的信息系统，这些系统又包含很多子系统。比如，现在很多企业推行的ERP、CRM系统，包含的子系统模块众多，覆盖企业的客户信息管理、供应链流程管理、生产过程控制、财务数据管理等。面对如此复杂的系统，仅依靠常规内部审计方法是不能全面展开审计工作的，欠缺信息技术审计能力的审计人员往往感到力不从心，进而影响内审质量和进度。因此，根据业务信息化发展的实际需要，企业可以培养专业的信息技术审计团队，或聘请相应的外包团队，如信息安全专项审计、信息系统专项审计团队等执行内部审计，可以有效提升内部审计的质量，进而更好地满足风险管理的要求。

4.1.2 IT部门的定位

我国的企业经过几十年的发展，大部分已经经过了生存阶段，步入了生长和成熟阶段。该阶段的企业具备了一定的管理水平，在资金管理、市场销售、人力资源等多方面都相对规范化。然而，不同行业、不同企业对IT部门的定位大相径庭。对于以“线上业务”为主的大型企业，比如携程、阿里巴巴，IT部门作为企业的核心部门，与业务部门紧密联系；对于一些传统的、以“线下业务”为主的企业，IT部门的地位相对比较低，在企业内部容易被边缘化，甚至存在不设置独立IT部门的情况，相关IT人员可能挂靠在行政部、财务部或其他部门之下。

过去，我国大多数的企业对IT价值的定位是为“技术支撑性”。该类型IT服务定位主要关注在以低成本方式为业务部门提供基础信息技术建设，对信息系统环境进行维护。由于大部分企业以线下业务为主，信息系统多是相对封闭于企业内部的，而对外业务大多与这些内部系统相隔离，所以IT部门执行支持性职能便可使企业有效运作；随着IT应用融入各种业务，业务模式已由“纯线下”转变为“线上”或“线上线下融合”的模式，然而业务与IT的关系并没有如预期那样得到调整，“技术支撑性”这个IT战略定位不再足以支撑业务需求。国内企业应该跟上业务与信息技术融合的步伐，对IT战略作进一步调整。

（1）应用导向型。该类型的IT部门在考虑成本的情况下，注重提供优化的应用方案来改进业务部门的运营绩效。

（2）业务伙伴型。该类型下的IT部门主动理解业务战略，进行配套的IT项目规划，帮助业务部门提高业务的覆盖面和渗透率。

（3）战略推动型。许多全球领先企业的IT战略定位为战略推动型，该类型下的IT部门参与业务战略规划，推动企业业务创新和战略信息技术方案的落实。

综上，IT部门在这个信息化建设加速发展的时代，应扮演更加有影响力的角色，而非传统观念里的与业务部门“各自为政”。

4.1.3 “新技术”应用对企业信息技术风险的影响

新技术正加快推动企业业务模式和管理模式的转变。以支付业务流程为例，无现金支付时代已经慢慢走进了我们的生活，这是科技带给我们的便捷。目前，常见的支付“新科技”包括：“刷脸”支付、AR/VR支付等。支付方式的“新技术应用”将全面影响支付流程涉及的基础设施，包括支付工具、交易模式、支付中介与组织、支付账户体系、监管政策等。然而，随着支付新技术的快速发展，对信息技术风险管理提出了更高的要求和标准。当前，支付新技术给相关企业带来网络安全、平台安全和信息与数据安全等多种安全风险隐患。一旦发生安全风险，不但威胁到用户的利益，也会给企业带来巨大的损失，破坏整个行业的发展，甚至还会带来系统性金融风险。因此，支付业务流程采用“新技术”的企业需要高度关注金融科技行业的信息技术风险，充分发挥企业信息科技审计团队的作用。

与支付业务流程 “新技术”一样，其他新技术的应用在提供企业竞争力的同时，也存在很多风险防控的问题需要解决。企业信息化管理是一个长期的过程，需要管理层提高重视，在发展信息化技术的同时，完善自身管理，配备专业的技术人员团队对新技术进行评估和审查，以降低新技术应用带来的风险。

4.1.4 IT风险控制的方法建议

对于大型综合企业，信息技术部门、业务部门涉及繁琐的风险管理制度和措施的执行。在此将对IT风险管理与控制提出建议，包括信息技术网络安全、系统实施风险、信息安全与授权、安全技术存在的风险、外包风险、数据中心存在的风险。

关于信息系统、网络和数据的管理，信息所有者与管理者必须采取一种未雨绸缪的方法来应对网络的安全问题。这种方法从信息安全技术评估开始，通过技术评估来识别目标系统与网络中存在的潜在技术风险，并对其进行分类分析。信息技术评估是任何系统安全周期中不可或缺的部分。安全扫描及漏斗分析作为信息技术评估的核心组成部分，通过手动与自动化相结合的方法检测、识别目标系统与网络中存在的各类安全漏洞，并根据其对系统可用性、数据安全性等核心关注点的影响为依据进行风险分析，给出漏洞补给及IT内控管理提升建议；渗透测试作为信息安全技术评估的一种高级方法，注重从攻击者的角度，检验业务系统的安全措施是否有效，各项安全策略是否配置合理，将潜在的风险以事件的方式凸显出来，从而有助于提高相关人员对安全问题的认识，对系统与网络进行安全加固，解决测试中发现的安全问题，从而防止真实安全事件的发生。

在重大信息系统实施的过程中，需要使用合理的方法来减小系统实施的风险。供应商的选择，清晰的要求和整合管理是实施项目的关键因素。在整个项目实施的过程中，有3个层面的风险需要注意：（1）流程层面，包括在新的系统中未考虑实际需求，现有的手工流程仍然在系统外执行和管理，流程的设计不够详细等；（2）技术层面，系统解决方案的选择未考虑未来发展的扩展性，历史数据没有被正确地识别并导入新的系统，切换日期前用户和权限没有测试等；（3）人员管理，包括日常操作人员没有介入系统设计导致对新系统的抵触，现有人员不具备足够的经验，项目小组成员超负荷工作等。而流程整合项目管理可有效降低上述风险。

在信息安全和授权评估中，可能存在的关注点主要体现在权限上，部分系统平台角色定义不规范，授权对象不清晰，角色权限设计与职责不相容等；职责分工上，业务层面和系统层面存在职责不相容，控制缺失等；账号监控上，root等账号多人持有且监控缺失；冗余账号上，测试用户和离职用户未删除等。这些缺陷会带来严重的损失和风险，比如信息泄露、虚假交易、内部舞弊等。由于用户管理、信息技术管理与某些业务流程上均存在一定的关联，会直接地影响其他领域控制的有效性，且授权异常的风险敞口较大，建议企业应基于对于指责分离的充分考虑，明确定义用户角色和权限，合理地管理高权限账号,以互相牵制的方法规避风险。

关于安全技术评估，可以通过专业技术手段，先行识别影响程度更高的信息安全风险和安全漏洞，随着技术评估与测试的深入，再着眼次风险领域。根据影响程度从高到低，可以进行4个层面的测试：外部网络渗透测试，模拟一般外部攻击者；外部网络渗透测试，模拟掌握一定信息的外部攻击者；内部网络漏洞分析与渗透测试，模拟非授权的内部攻击者；做好审阅与系统设计安全性评估。

关于信息技术外包风险和评估，IT外包在将信息科技活动委托给服务提供商进行处理的同时，会给企业带来战略、声誉、合规风险。具体风险包括：企业过度依赖外部资源导致失去科技控制及创新能力，支持外营的外包服务无法持续提供导致业务中断，包含客户信息在内的非公开数据被服务提供商非法泄露，信息科技外包采购没有遵循标准的流程规范，将外包服务集中交由少量服务提供商承接而产生的风险等，都可能造成服务中断。对信息科技外包进行评估应该从这些风险出发，评估相关控制的实用性和充分性。

关于数据中心审计，审计内容包括机房访问管理（机房授权人员审批、外部人员审批等）、机房环境管理（机房无力环境配置、环境监控流程等）、外包服务管理与监控（外包合同和SLA审阅，对照SLA的监控评估流程及结果审阅等）和应急管理（数据中心连续性计划、数据中心应急演练等）。

4.2 IT审计

除了IT风险控制，IT治理领域的另外一个关键流程为IT审计，价值在于控制风险，最大化科技的效益。实施信息技术审计能够强化信息科技投资效果，提高信息系统的安全性，客观评价信息系统运行及信息系统开发。

4.2.1 引入IT审计的意义

传统审计线索的消失是引入IT审计的一个内在原因。在信息化与工业化密切融合的时代，财务信息化已遍布各行各业。如今，企业可以利用信息系统记录收入、支出、资产、负债等，这些数字进而组成财务报表，继而产出一个个指标数字以量化企业的业绩活动。审计人员无法直接观察到这些数字的记录过程和篡改痕迹，导致一定的风险存在。财报数字的来源是否可信？每一个数据是否产自安全的信息环境？信息是否全面和准确？这一连串问题，在对企业进行内部财务报表控制和外部财务报表审核的时候都需谨慎考虑。

虽然我国尚未就信息技术审计出台法律法规，但中国注册会计师准则已间接对信息系统审计做出要求。正如中国注册会计师准则第1211号十七条所述，“注册会计师应当了解控制环境，控制环境总体上的优势是否为内部控制的其他要素奠定了适当的基础，以及这些其他要素是否被控制环境中存在的缺陷所削弱”。为了实现这一准则，知晓与财务报告相关的信息系统的运行逻辑和其可能存在的风险，是企业内外审计师需要了解的内容之一。

4.2.2 大型国有企业IT风险控制成熟度

改革开放以来，我国政府根据不同阶段的国情对企业信息化提出了信息化战略和工作要求。众多企业为紧随市场竞争趋势、发展自身竞争力，积极开展信息系统建设。2014年，中央网络安全和信息化领导小组成立。之后，各地方政府也响应号召，纷纷成立地方信息化工作小组。目前，大型国有企业的信息系统经过几十年的建设，信息化基础设施已比较完善，相应的管理规范基本已经得到确定。

然而，大型国有企业的IT风险管理模式尚不足以规避IT建设带来的潜在风险，主要有以下两个原因。

（1）有些企业的初期资金投入量大，考虑到短期效益，后期IT风险管理的投入不足，或者IT风险管理的投入在短期内未见成效故在后期放弃，导致大部分国有企业的管理模式未跟上其信息技术更新和商业模式调整速度。

（2）对比其他发达国家，由于信息化建设起步晚，我国国有企业信息建设经验不足，导致IT风险的事先预防和事后处理缺乏有效的控制方法。

4.2.3 IT审计方法论

任何形式的审计都应以风险为导向，针对各领域的风险，对各控制的设计、实施以及执行进行测试。而IT审计，则是将IT技术融入审计中，对控制逐级进行评估、测试和评价。

在公司层面，审计人员首先需从公司战略和业务运行模式出发，理解信息处理过程和IT技术；在流程控制层面，审计人员需识别自动控制和人工控制，选择并描述控制点；在信息系统一般控制层面，审计人员需识别信息系统一般控制点，选择并制定信息系统一般控制点；测试层面，审计人员对自动控制、手工控制以及信息系统一般控制的有效性进行测试。基于测试结果，还要对测试层面、流程控制层面和公司层面进行评价，得出对控制的结论，判断潜在的影响。

4.2.4 IT审计的必要性

信息系统的应用涉及到企业业务流程的方方面面，很大程度上已经替代手工账本成为承载财务信息和编制财务报表的平台。若不进行IT审计，潜在风险将无法得到确认，这也意味着相关的系统不确定性将影响到财务数据的准确性。

其中，包括所依赖的信息系统处理数据的逻辑不正确或处理了不正确的数据；存在不相关人员在非授权的情况下访问、修改、增加、删除数据的情况；存在特权账户的人为干预的情况；系统中的数据不完整或存在丢失的情况等。

4.3 IT控制类型

根据IT控制的范围，IT内部控制一般可分为组织层面的IT控制、一般控制和应用控制三个层面，审计人员通常也以此展开IT审计工作。

4.3.1 组织层面的IT审计

组织层面的IT审计，主要是检查IT架构是否设计合理，是否有利实现组织目标。其核心内容为日常IT管理和IT战略规划，审计内容包括职责分离、授权、监督、人事管理等。

审计人员在进行测试IT管理层控制时，可以根据内部控制框架对IT管理层进行访谈，以评价企业在信息化业务管理模式下IT管理层控制的有效性。

4.3.2 一般控制的IT审计

该审计是为了确保IT系统运行的可持续性。“一般控制”指整个计算机信息系统及环境要素实施的，对系统所有的应用或功能模块具有普遍影响的控制措施。审计内容包括机房进出管理、访问权限管理、密码控制、软件升级与开发控制、备份与灾备制度等。

审计人员在进行IT一般控制测试时，可以采取与相关负责人的确证访谈、直接观察控制流程、查看系统配置、穿行测试等审计方法。对于经测试证明无效的一般控制，审计人员应进行及时的问题跟进，以确认该控制的缺陷对业务、财务等其他方面的影响程度，以及该缺陷是否已被解决或待解决。

4.3.3 应用控制层面的IT审计

该控制主要针对业务流程层面，甚至更高级别的流程控制，目的是为了确保财务报告相关信息的完整性和准确性。应用控制层面的IT审计可以分为自动控制和带有自动组件的手动控制。这些控制有助于确保相关交易的发生是被授权的，且被完整、准确地记录和处理。

为了测试系统的可信程度以及相关数据的产生、传输、处理、分析等流程是否符合规定。应用控制层面的IT审计通常分为4个方面：系统访问控制、系统配置、接口控制和系统报表。

4.3.3.1 访问控制测试

访问控制一般包括两个层面的内容：一是权限设计是否合理；二是权限赋予的对象是否合理。所以，测试人员在进行系统访问控制验证的过程中，需要对这两方面执行相应的审计工作。

在验证权限设计的合理性时，测试人员应关注权限设计是否满足了风险管理的需求；在验证权限赋予的合理性时，测试人员应测试相关人员的权限是否是被合理授权的，是否符合了权限职责分离的原则。

一般情况下，测试人员通过执行以下审计程序来进行访问控制测试：

（1）访谈与权限管理相关的负责人员，了解系统权限设计及赋予的规则和方法。权限赋予方法可能是企业直接将权限赋予给账号，也可能是先将权限赋予给特定的角色，再由角色赋予给账户。

（2）对选定需进行测试的访问权限，通过查看系统中的权限设计和配置，确定权限设计和配置是否合理。

（3）测试权限赋予是否合理。若信息系统的一般控制的测试结果为无效，或未执行信息系统一般控制，则测试人员无法使用测试的结果。此时，测试人员需要评估相关的控制缺陷和相关跟进步骤对访问控制的影响，选择替代性应对程序。

以国内某知名汽车配件制造商为例，IT审计人员通过交叉询问IT部门IT应用经理和业务系统工程师，了解到只有物流部账务岗位的人员、仓库管理人员才能在系统中被赋予A和B角色，拥有库存转移的权限，可以执行实物移库的操作。在执行测试时，审计人员获取了系统用户权限清单。同时，通过查询在职用户名单，审计人员了解到两名财务管理中心会计在系统内被授予A角色,属于非授权人员。[5]该发现说明企业缺少对实物移库系统角色和操作权限的有效性管理，可能导致财务人员和计划物流人员在未经授权的情况下，将仓库中的货品进行非授权发货操作，对企业造成损失。

4.3.3.2 系统接口控制测试

在测试系统接口控制的有效性时，保证数据在系统间传输的完整性和准确性，确保传输中发生任何问题都能够被及时地监测和跟进。接口控制一般由自动控制完成，例如系统通过特定处理定时任务，将数据从源系统传输至目标系统。

对于系统接口控制的测试，测试人员通常需进行如以下几个方面的测试：

（1）访问限制，查看是否仅被赋予合理权限的人员的账号才能对接口程序进行访问和修改。比如，有些企业只允许被授权的系统开发人员对接口进行变更。

（2）完整性验证，确认测试系统是否将数据完整地从源系统传输到了目标系统。比如，系统自动计算目标系统接收到数据的总数，并与源系统进行比对，确保数据传输的完整性。

（3）准确性验证，确认系统是否将数据准确地从源系统传输到了目标系统。常见的控制手段有，系统自动设置校验位，对于传输数据的准确性进行自动校验。

（4）传输及时性，判断系统是否在正确的时间内传输了数据，对于传输失败的数据，是否及时进行补传，直至成功为止。

（5）变更控制，判断是否由授权账户进行系统接口的变更，且变更是否满足实际业务需求。通常情况下，该验证工作会在信息系统一般控制的测试过程中完成。

（6）传输监控及异常处理，确认判断被审计单位在系统中是否存在一定的机制，以确保数据在传输过程中的任何问题被及时发现和跟进。

4.3.3.3 系统报表测试

系统报表是由系统生成的符合一定业务逻辑的数据汇总。系统报表通常被用来执行相关的控制或者用于下一步实质性程序。如果系统报表中的数据不准确或不完整，将导致后续控制执行和测试结果无效。

测试人员在进行报表测试时通常依靠职业判断。需要考虑的因素包括：需要从控制或实质性程序获得审计证据水平，了解相关财务报表列示项目的重大错报风险，控制有效运行或实质性测试设计对报表、数据完整性和准确性的依赖程度，掌握报表，数据的性质、类型、来源以及往年的审计经验，知晓前年度的控制缺陷，控制环境的变化等。

举个例子，测试人员在审计某汽车配件公司的财务系统时，通过与系统管理员的访谈，了解到财务人员在进行发票维护后，通过运行“经营实务过账”程序，系统自动根据发票维护的信息在系统中批量生成财务凭证。审计人员在执行测试时，发现系统未对销售发票开具价格进行限制，财务人员开票时可在“待开发票维护界面”修改销售价格，而不采用系统自动调用有效期内的销售价格。该测试结果表明，相关部门缺少对系统销售发票开具价格的限制，这可能导致会计篡改销售发票金额，影响收入确认。

4.3.3.4 系统配置控制测试

对于自动控制和系统自动计算而言，测试人员需要通过一定的审计程序验证控制的有效性和计算的正确性。由于系统处理的内在一致性，系统配置控制一般都按预设的逻辑持续进行。若测试结果与逻辑设置不一致，则可能对财务报告产生一定影响。

以国内某个大型知名超市为例，对于某品牌服装类产品，在系统中的预设逻辑是对存货的库龄大于6个月的商品进行减值处理，后期通过测试发现，某个库龄只有4个月的产品已进行了减值，该测试结果与减值系统逻辑不一致。由于该不恰当减值对资产和利润都产生了影响，故财务审计人员应根据该发现结果对财务报表进行进一步评估。

在系统一般控制有效的前提下，系统配置控制的测试方法有很多，常用的是穿行测试。在进行该测试的过程中，通过询问、观察、检查或重新执行程序获取审计证据。测试人员需注意的是，在执行穿行测试的过程中，务必要保证各重要场景的全覆盖。因此，在进行测试前，测试人员需要通过多方询问、检查等手段先对控制和计算的场景进行了解，在对整体有一点了解之后，选择重要的和审计相关的场景进行验证。

除了以上技术和方法上的建议，在综合大型企业集团还需要实施几个转变以实现有效的IT审计。

（1）建立IT审计的正确看法。IT审计不应停留在纠错上，而应要求审核员树立服务意识，分析错误产生原因，主动向有关部门提供建议，着眼于服务。

（2）将重点放在“预防”而非“事后”。审计从发展开始介入比最终的全面审计，更有利于对整体的了解和监督。

（3）鼓励内审人员的再教育，IT审计发展日新月异，具备健全的知识储备对实际工作有至关重要的作用。

若想利用IT风险控制和IT审计策略覆盖所有的漏洞，还要求企业的管理者对风险有清楚的认识，向员工表明企业对风险的态度，了解合规要求，设计科学的组织架构和职责说明，以达到将风控与职责结合的目的。

5 结语

当前，我国的IT风险管理和IT审计正处于起步阶段，而企业业务信息化的趋势决定了IT风险管理和审计的发展势在必行。但是，一种新技术和方法的引入和实施必定会给企业和审计人员带来巨大的挑战，如何通过有效的手段强化专业能力，是企业面临日趋激烈的市场竞争时不得不思考的问题。有效的IT风险管理能够加强企业风险防范和管控能力，而IT审计则是企业在信息化背景下对于全面审计的必要辅助，可以帮助企业在激烈的市场竞争环境中立于不败之地。