綜合大型企業集團的IT風險管理和審計課題研究報告

吳永林

（江蘇省蘇豪控股集團有限公司，江蘇南京 210012）

本研究將以IT風險管理和審計為研究對象，對綜合大型企業集團進行行業風險分析，對IT風控和審計現狀進行客觀描述，進一步探討符合IT風險管理和IT審計的解決方案。

1 行業背景

國有企業改革是我國經濟體制改革的中心環節，我國國有企業多年來先后進行了擴權讓利、承包經營責任制、股份制、政企分開、戰略調整等方面的改革[1]。許多傳統意義上的國企已經成為大型綜合國企，然而這些大型國企至今仍處于攻堅階段，運行機制不合理等矛盾得不到合理解決。因此，深化大型國有企業改革成為現今大型國有企業提高競爭力的關鍵。

1.1 企業混合所有制改革

當前，推進國有企業混合所有制改革成為促進公平市場的當務之急。在十三屆全國人大二次會議上，國家發改委副主任連維良表示，在加大國企混改方面，2019年將推出第四批100家以上的混改試點[2]。

當下，大多數行業都處于國有企業和民營企業共存的狀態。而兩種企業的特點都是很顯著的：國有企業享有較高的信譽和穩定性、特殊的融資渠道，且在國計民生等方面存在優勢；民營企業在運營方面更具有靈活性，對于競爭性行業和科技創業型行業的創辦和運營具有優勢。而“國企混改”將促進國有資本和其他所有制資本取長補短、共同發展。

1.2 集團化戰略

在復雜的市場競爭環境下，國內企業面臨巨大的機遇和挑戰，大型綜合國企集團可以利用集團化戰略優勢，使母公司以資本運作的方式將企業做大，使子公司避免由于某一方面的失利而全盤皆輸，各成員企業可以利用專業化分工與合作，共同實現集團的綜合運營。在集團化管理下，成員企業可以結合優勢企業的優良企業文化和管理方法，提高企業的管理水平。企業集團利用各企業的經濟和技術優勢，形成最佳產業布局，最終達到規模效益。

1.3 外資并購

在國際競爭國內化和國內競爭國際化的條件下，如何提升企業綜合競爭力成為我國國有企業改革面臨的問題。國有企業綜合競爭力的強弱與我國的綜合國力的興衰是密切相關的。大型國有企業利用外資并購改造國有企業是新形勢下的新趨勢。原因是，外資并購須遵循國際通行的慣例規則，將其引入國有企業改革，在國內必然會創造出新的市場運營機制，尋求出發展的新途徑[3]。從傳統的合資合作方式到運行利用跨國并購方式，這意味著一些傳統的國有企業正逐步轉變為與經濟發展趨勢相適應的綜合性國有企業集團。

2 行業風險

2.1 運營風險

隨著國民經濟的提升和企業發展機會的擴展，企業面臨的經營環境日益復雜，在運營過程中必然出現新型風險，特別在日常運營、操作方面。運營風險包括由于程序、系統或政策的不足而造成損失的可能性，具體因素包括：系統故障、誤操作、欺詐或其他任何干擾業務流程的事件。在日益激烈的市場競爭中，企業若想維持核心競爭力，就應充分考慮運營風險帶來的影響。結合我國企業的現狀來看，國內絕大部分企業都缺乏運營風險的識別和防范能力。企業監督層、管理層和經營者缺乏運營風險意識，對內部風險管理的認知非常有限。企業在日常運營中未制定完善的內部控制制度，且內控人員并不具備足夠的監督管理經驗，導致企業的內控管理水平在日益復雜的運營情況下停滯不前。

2.2 IT風險

隨著科學技術的成熟，信息化技術在企業管理方面得到廣泛應用。ERP系統是符合社會發展潮流的管理方式，在我國大部分企業都得到了應用。該系統可以快速準確進行企業成本核算、高效全面處理人力資源信息、整合存儲企業管理信息等。在企業管理方面，不僅能大幅度提升企業決策的效率，還能幫助企業獲取全面準確的信息。然而，IT技術在維持和推動企業運營的同時，其本身對于企業也存在一定的風險。近幾年，國內外IT風險事件的頻發引來IT界、商業界和學術界的密切關注。在極端情況下，IT風險事件可能會給企業帶來致命的打擊。比如，同樣是關于ERP系統，其本身存在多種風險：（1）質量風險，若開發商采用低成本的開發平臺和開發工具，勢必對系統的開發進度和質量造成損害，對ERP長遠的發展產生制約；（2）移植風險，若開發商的開發環境簡單封閉，而系統的生產環境開發復雜，ERP系統將無法實現其預期的價值。因此，關于如何防范IT風險，如何建立IT風險管理機制，成為企業管理領域不可回避的問題。

3 大型綜合性國企集團IT審計現狀及關注點

隨著業務和管理需求的增長，綜合性國企越來越重視業務信息化發展和轉型，IT審計已成為大型企業業務信息化的重要組成部分，同時也是業務信息化的內在需要。

IT審計在我國起步較晚，由起初的理論框架構建及對傳統審計的影響分析逐步向具體行業適用性的研究過渡，多集中于銀行體系內IT審計的應用和電力、地鐵等大型企業IT審計的構建[4]。現今，相當數量和規模的綜合性大型企業統一受政府或者代表政府的國資委機構管理，企業的審計工作對企業制度規范、資金使用和信息質量管理具有關鍵的指引和監督作用。隨著綜合性大型企業的改革深入，扮演企業出資人角色的國資委，通過分析和評估綜合性大型企業的審計風險，從而健全企業的監管體系，建立專業的審計制度和實施舉措，使綜合性大型企業穩健前行。

除了AICPA、CICA、IFAC等組織對信息技術環境下的審計制度有所規定外，國際上ISACA的信息系統審計準則是目前較權威的IT審計標準。以上這些制度都是我國IT審計在發展中可以借鑒的。此外，我國引入或參照先進國家的IT應用技術，這一因素增加了借鑒國際IT審計準則的實用性。由于我國在IT應用方面與發達國家還是存在一定差距，在借鑒國際IT審計制度的同時，也要考慮中國國情。具體來說，我國IT審計領域尚不成熟且IT審計工作也不普遍，故我國有必要選擇性地采用國際準則，并有針對性地進行修訂，才能量身定制出符合實際情況的IT審計準則。

綜合性大型企業的信息系統往往具有覆蓋面廣、用戶量大、軟件眾多且流程復雜的特點。特別是信息化管理程度較高的企業，管理層需充分認識到信息技術潛在的風險并制定出相應的信息系統審計實務操作指導性文件。隨著信息技術逐漸成為企業管理與內控的重要手段，綜合性大型企業對IT審計的重視也逐步增強。與其他審計不同，IT審計流程主要關注于大量的信息處理技術。傳統的IT審計方法包括：（1）數據測試，將預先設定好的錯誤/正確信息輸入系統以查看系統是否能有效處理數據；（2）程序流程檢查，審計人員通過觀察信息化業務流程運行以檢測系統邏輯設計是否合理及運行是否準確；（3）系統運行日志檢查，審計人員隨機根據導出日志發現內在風險等。隨著IT審計領域逐漸成熟，大量新興技術也被應用到IT審計中，比如：數據挖掘式審計、數據結構驗證、程序編碼審查及征兆發現技術等。IT審計新手段的出現也對審計人員提出了更高的要求。

4 綜合大型企業集團的IT風控和審計趨勢

隨著組織的發展對IT的依賴逐漸增加，面對信息技術發展所帶來的挑戰，企業應該多方位、多角度制定IT治理體系，對一般信息技術控制環境和業務應用控制環境進行監控。在IT治理領域，IT風控是IT治理過程中的風險管理，而IT審計是IT治理的雙重保證，IT審計又是IT風控的定期評估，三者關系可參見圖1。

圖1 IT審計、IT風控和IT治理關系圖

4.1 IT風險控制

4.1.1 組織形式

風險控制在組織形式上包括：IT部門、風險控制部門、內部IT審計專業人員。

4.1.1.1 “防線 1” ：IT 部門

隨著信息資源變得日益重要，與資金、物資和人力一樣，信息資源也需要專門的部門進行管理。一個企業若想增強IT風險控制能力，必須具備專門的IT組織，設立各級信息化機構，并配置相應的專業人員，由管理層根據監管政策要求界定各部門的職責和權限。IT職能包括企業IT管理、系統建設開發、運行維護等。IT部門作為IT風險管理的“第一道防線”，承擔識別風險、監控IT風險、實施IT風險管控、應急響應等職責。為實現風險控制的完備性、及時性、靈活性，企業對于IT人員能力的要求越來越高。IT組織的專業及管理能力不足不僅使企業在高度信息化競爭環境中處于被動地位，還容易給企業的信息安全、業務流程的正常運行帶來潛在風險。

此外，越來越多企業為了迅速具備IT風控能力，選擇將企業的信息技術資源外包，即將全部或部分信息科技服務委托外部專業資源進行管理。外部專業資源包括：獨立第三方、合作伙伴集團內其他子公司、外包技術支持等。不可否認的是，IT外包管理有利于企業集中資源專注于主營業務，從而降低人才流動或組織架構變動帶來的風險。但是，外包也是一把雙刃劍，由于企業IT外包存在很多不確定因素，外包也自帶風險，包括信息泄漏的風險、承包商選擇錯誤的風險、IT外包合同風險等。故有效的IT服務外包要求企業建立IT外包風險管理制度，包括外包風險識別分析、監管制度、風險應對方案等。

4.1.1.2 “防線2”：風險控制部門

在風險管理領域，內部控制常被看作風險控制的主要內容，但是由于風險管理與內控的職責與工作內容不一樣，所以不論是從理論還是實際角度，二者都不應該混為一談。然而，我國許多大型綜合性企業為節省人力資源、簡化管理流程，選擇將內部控制組織取代風險控制組織，或者將二者融合，這樣的組織職責分配不利于有效的風險管理。從理論角度看，企業的風險管理部門承擔以下職責：根據公司整體風險管理策略確定IT風險管理策略、制定風險計量標準；根據公司運營情況及監管要求進行重要風險提示；定期進行風險評估、監控重大IT風險，以及督促風險糾正。內部控制是管理操作風險的終極手段，涉及風險管理策略的制定。就實際情況分析，風險管理是一個動態過程，IT風險敞口的發現、計量、提示、監控都需要風控人才的工作投入。 我國大型綜合企業照搬相似企業制度的現象普遍存在，內部控制制度本身存在形式化的特點，使內控部門的工作內容趨于“單一化”，使內控部門的職能定位及專業能力往往無法達到“動態的”IT風險管理的要求。

4.1.1.3 “防線3”：內部IT審計

我國大部分大型綜合企業具備專門的內審團隊，并定期對財務情況進行審查，然而內審團隊往往不包含信息技術審計人員。隨著信息技術和業務發展，業務信息往往來自于不同的信息系統，這些系統又包含很多子系統。比如，現在很多企業推行的ERP、CRM系統，包含的子系統模塊眾多，覆蓋企業的客戶信息管理、供應鏈流程管理、生產過程控制、財務數據管理等。面對如此復雜的系統，僅依靠常規內部審計方法是不能全面展開審計工作的，欠缺信息技術審計能力的審計人員往往感到力不從心，進而影響內審質量和進度。因此，根據業務信息化發展的實際需要，企業可以培養專業的信息技術審計團隊，或聘請相應的外包團隊，如信息安全專項審計、信息系統專項審計團隊等執行內部審計，可以有效提升內部審計的質量，進而更好地滿足風險管理的要求。

4.1.2 IT部門的定位

我國的企業經過幾十年的發展，大部分已經經過了生存階段，步入了生長和成熟階段。該階段的企業具備了一定的管理水平，在資金管理、市場銷售、人力資源等多方面都相對規范化。然而，不同行業、不同企業對IT部門的定位大相徑庭。對于以“線上業務”為主的大型企業，比如攜程、阿里巴巴，IT部門作為企業的核心部門，與業務部門緊密聯系；對于一些傳統的、以“線下業務”為主的企業，IT部門的地位相對比較低，在企業內部容易被邊緣化，甚至存在不設置獨立IT部門的情況，相關IT人員可能掛靠在行政部、財務部或其他部門之下。

過去，我國大多數的企業對IT價值的定位是為“技術支撐性”。該類型IT服務定位主要關注在以低成本方式為業務部門提供基礎信息技術建設，對信息系統環境進行維護。由于大部分企業以線下業務為主，信息系統多是相對封閉于企業內部的，而對外業務大多與這些內部系統相隔離，所以IT部門執行支持性職能便可使企業有效運作；隨著IT應用融入各種業務，業務模式已由“純線下”轉變為“線上”或“線上線下融合”的模式，然而業務與IT的關系并沒有如預期那樣得到調整，“技術支撐性”這個IT戰略定位不再足以支撐業務需求。國內企業應該跟上業務與信息技術融合的步伐，對IT戰略作進一步調整。

（1）應用導向型。該類型的IT部門在考慮成本的情況下，注重提供優化的應用方案來改進業務部門的運營績效。

（2）業務伙伴型。該類型下的IT部門主動理解業務戰略，進行配套的IT項目規劃，幫助業務部門提高業務的覆蓋面和滲透率。

（3）戰略推動型。許多全球領先企業的IT戰略定位為戰略推動型，該類型下的IT部門參與業務戰略規劃，推動企業業務創新和戰略信息技術方案的落實。

綜上，IT部門在這個信息化建設加速發展的時代，應扮演更加有影響力的角色，而非傳統觀念里的與業務部門“各自為政”。

4.1.3 “新技術”應用對企業信息技術風險的影響

新技術正加快推動企業業務模式和管理模式的轉變。以支付業務流程為例，無現金支付時代已經慢慢走進了我們的生活，這是科技帶給我們的便捷。目前，常見的支付“新科技”包括：“刷臉”支付、AR/VR支付等。支付方式的“新技術應用”將全面影響支付流程涉及的基礎設施，包括支付工具、交易模式、支付中介與組織、支付賬戶體系、監管政策等。然而，隨著支付新技術的快速發展，對信息技術風險管理提出了更高的要求和標準。當前，支付新技術給相關企業帶來網絡安全、平臺安全和信息與數據安全等多種安全風險隱患。一旦發生安全風險，不但威脅到用戶的利益，也會給企業帶來巨大的損失，破壞整個行業的發展，甚至還會帶來系統性金融風險。因此，支付業務流程采用“新技術”的企業需要高度關注金融科技行業的信息技術風險，充分發揮企業信息科技審計團隊的作用。

與支付業務流程 “新技術”一樣，其他新技術的應用在提供企業競爭力的同時，也存在很多風險防控的問題需要解決。企業信息化管理是一個長期的過程，需要管理層提高重視，在發展信息化技術的同時，完善自身管理，配備專業的技術人員團隊對新技術進行評估和審查，以降低新技術應用帶來的風險。

4.1.4 IT風險控制的方法建議

對于大型綜合企業，信息技術部門、業務部門涉及繁瑣的風險管理制度和措施的執行。在此將對IT風險管理與控制提出建議，包括信息技術網絡安全、系統實施風險、信息安全與授權、安全技術存在的風險、外包風險、數據中心存在的風險。

關于信息系統、網絡和數據的管理，信息所有者與管理者必須采取一種未雨綢繆的方法來應對網絡的安全問題。這種方法從信息安全技術評估開始，通過技術評估來識別目標系統與網絡中存在的潛在技術風險，并對其進行分類分析。信息技術評估是任何系統安全周期中不可或缺的部分。安全掃描及漏斗分析作為信息技術評估的核心組成部分，通過手動與自動化相結合的方法檢測、識別目標系統與網絡中存在的各類安全漏洞，并根據其對系統可用性、數據安全性等核心關注點的影響為依據進行風險分析，給出漏洞補給及IT內控管理提升建議；滲透測試作為信息安全技術評估的一種高級方法，注重從攻擊者的角度，檢驗業務系統的安全措施是否有效，各項安全策略是否配置合理，將潛在的風險以事件的方式凸顯出來，從而有助于提高相關人員對安全問題的認識，對系統與網絡進行安全加固，解決測試中發現的安全問題，從而防止真實安全事件的發生。

在重大信息系統實施的過程中，需要使用合理的方法來減小系統實施的風險。供應商的選擇，清晰的要求和整合管理是實施項目的關鍵因素。在整個項目實施的過程中，有3個層面的風險需要注意：（1）流程層面，包括在新的系統中未考慮實際需求，現有的手工流程仍然在系統外執行和管理，流程的設計不夠詳細等；（2）技術層面，系統解決方案的選擇未考慮未來發展的擴展性，歷史數據沒有被正確地識別并導入新的系統，切換日期前用戶和權限沒有測試等；（3）人員管理，包括日常操作人員沒有介入系統設計導致對新系統的抵觸，現有人員不具備足夠的經驗，項目小組成員超負荷工作等。而流程整合項目管理可有效降低上述風險。

在信息安全和授權評估中，可能存在的關注點主要體現在權限上，部分系統平臺角色定義不規范，授權對象不清晰，角色權限設計與職責不相容等；職責分工上，業務層面和系統層面存在職責不相容，控制缺失等；賬號監控上，root等賬號多人持有且監控缺失；冗余賬號上，測試用戶和離職用戶未刪除等。這些缺陷會帶來嚴重的損失和風險，比如信息泄露、虛假交易、內部舞弊等。由于用戶管理、信息技術管理與某些業務流程上均存在一定的關聯，會直接地影響其他領域控制的有效性，且授權異常的風險敞口較大，建議企業應基于對于指責分離的充分考慮，明確定義用戶角色和權限，合理地管理高權限賬號,以互相牽制的方法規避風險。

關于安全技術評估，可以通過專業技術手段，先行識別影響程度更高的信息安全風險和安全漏洞，隨著技術評估與測試的深入，再著眼次風險領域。根據影響程度從高到低，可以進行4個層面的測試：外部網絡滲透測試，模擬一般外部攻擊者；外部網絡滲透測試，模擬掌握一定信息的外部攻擊者；內部網絡漏洞分析與滲透測試，模擬非授權的內部攻擊者；做好審閱與系統設計安全性評估。

關于信息技術外包風險和評估，IT外包在將信息科技活動委托給服務提供商進行處理的同時，會給企業帶來戰略、聲譽、合規風險。具體風險包括：企業過度依賴外部資源導致失去科技控制及創新能力，支持外營的外包服務無法持續提供導致業務中斷，包含客戶信息在內的非公開數據被服務提供商非法泄露，信息科技外包采購沒有遵循標準的流程規范，將外包服務集中交由少量服務提供商承接而產生的風險等，都可能造成服務中斷。對信息科技外包進行評估應該從這些風險出發，評估相關控制的實用性和充分性。

關于數據中心審計，審計內容包括機房訪問管理（機房授權人員審批、外部人員審批等）、機房環境管理（機房無力環境配置、環境監控流程等）、外包服務管理與監控（外包合同和SLA審閱，對照SLA的監控評估流程及結果審閱等）和應急管理（數據中心連續性計劃、數據中心應急演練等）。

4.2 IT審計

除了IT風險控制，IT治理領域的另外一個關鍵流程為IT審計，價值在于控制風險，最大化科技的效益。實施信息技術審計能夠強化信息科技投資效果，提高信息系統的安全性，客觀評價信息系統運行及信息系統開發。

4.2.1 引入IT審計的意義

傳統審計線索的消失是引入IT審計的一個內在原因。在信息化與工業化密切融合的時代，財務信息化已遍布各行各業。如今，企業可以利用信息系統記錄收入、支出、資產、負債等，這些數字進而組成財務報表，繼而產出一個個指標數字以量化企業的業績活動。審計人員無法直接觀察到這些數字的記錄過程和篡改痕跡，導致一定的風險存在。財報數字的來源是否可信？每一個數據是否產自安全的信息環境？信息是否全面和準確？這一連串問題，在對企業進行內部財務報表控制和外部財務報表審核的時候都需謹慎考慮。

雖然我國尚未就信息技術審計出臺法律法規，但中國注冊會計師準則已間接對信息系統審計做出要求。正如中國注冊會計師準則第1211號十七條所述，“注冊會計師應當了解控制環境，控制環境總體上的優勢是否為內部控制的其他要素奠定了適當的基礎，以及這些其他要素是否被控制環境中存在的缺陷所削弱”。為了實現這一準則，知曉與財務報告相關的信息系統的運行邏輯和其可能存在的風險，是企業內外審計師需要了解的內容之一。

4.2.2 大型國有企業IT風險控制成熟度

改革開放以來，我國政府根據不同階段的國情對企業信息化提出了信息化戰略和工作要求。眾多企業為緊隨市場競爭趨勢、發展自身競爭力，積極開展信息系統建設。2014年，中央網絡安全和信息化領導小組成立。之后，各地方政府也響應號召，紛紛成立地方信息化工作小組。目前，大型國有企業的信息系統經過幾十年的建設，信息化基礎設施已比較完善，相應的管理規范基本已經得到確定。

然而，大型國有企業的IT風險管理模式尚不足以規避IT建設帶來的潛在風險，主要有以下兩個原因。

（1）有些企業的初期資金投入量大，考慮到短期效益，后期IT風險管理的投入不足，或者IT風險管理的投入在短期內未見成效故在后期放棄，導致大部分國有企業的管理模式未跟上其信息技術更新和商業模式調整速度。

（2）對比其他發達國家，由于信息化建設起步晚，我國國有企業信息建設經驗不足，導致IT風險的事先預防和事后處理缺乏有效的控制方法。

4.2.3 IT審計方法論

任何形式的審計都應以風險為導向，針對各領域的風險，對各控制的設計、實施以及執行進行測試。而IT審計，則是將IT技術融入審計中，對控制逐級進行評估、測試和評價。

在公司層面，審計人員首先需從公司戰略和業務運行模式出發，理解信息處理過程和IT技術；在流程控制層面，審計人員需識別自動控制和人工控制，選擇并描述控制點；在信息系統一般控制層面，審計人員需識別信息系統一般控制點，選擇并制定信息系統一般控制點；測試層面，審計人員對自動控制、手工控制以及信息系統一般控制的有效性進行測試。基于測試結果，還要對測試層面、流程控制層面和公司層面進行評價，得出對控制的結論，判斷潛在的影響。

4.2.4 IT審計的必要性

信息系統的應用涉及到企業業務流程的方方面面，很大程度上已經替代手工賬本成為承載財務信息和編制財務報表的平臺。若不進行IT審計，潛在風險將無法得到確認，這也意味著相關的系統不確定性將影響到財務數據的準確性。

其中，包括所依賴的信息系統處理數據的邏輯不正確或處理了不正確的數據；存在不相關人員在非授權的情況下訪問、修改、增加、刪除數據的情況；存在特權賬戶的人為干預的情況；系統中的數據不完整或存在丟失的情況等。

4.3 IT控制類型

根據IT控制的范圍，IT內部控制一般可分為組織層面的IT控制、一般控制和應用控制三個層面，審計人員通常也以此展開IT審計工作。

4.3.1 組織層面的IT審計

組織層面的IT審計，主要是檢查IT架構是否設計合理，是否有利實現組織目標。其核心內容為日常IT管理和IT戰略規劃，審計內容包括職責分離、授權、監督、人事管理等。

審計人員在進行測試IT管理層控制時，可以根據內部控制框架對IT管理層進行訪談，以評價企業在信息化業務管理模式下IT管理層控制的有效性。

4.3.2 一般控制的IT審計

該審計是為了確保IT系統運行的可持續性。“一般控制”指整個計算機信息系統及環境要素實施的，對系統所有的應用或功能模塊具有普遍影響的控制措施。審計內容包括機房進出管理、訪問權限管理、密碼控制、軟件升級與開發控制、備份與災備制度等。

審計人員在進行IT一般控制測試時，可以采取與相關負責人的確證訪談、直接觀察控制流程、查看系統配置、穿行測試等審計方法。對于經測試證明無效的一般控制，審計人員應進行及時的問題跟進，以確認該控制的缺陷對業務、財務等其他方面的影響程度，以及該缺陷是否已被解決或待解決。

4.3.3 應用控制層面的IT審計

該控制主要針對業務流程層面，甚至更高級別的流程控制，目的是為了確保財務報告相關信息的完整性和準確性。應用控制層面的IT審計可以分為自動控制和帶有自動組件的手動控制。這些控制有助于確保相關交易的發生是被授權的，且被完整、準確地記錄和處理。

為了測試系統的可信程度以及相關數據的產生、傳輸、處理、分析等流程是否符合規定。應用控制層面的IT審計通常分為4個方面：系統訪問控制、系統配置、接口控制和系統報表。

4.3.3.1 訪問控制測試

訪問控制一般包括兩個層面的內容：一是權限設計是否合理；二是權限賦予的對象是否合理。所以，測試人員在進行系統訪問控制驗證的過程中，需要對這兩方面執行相應的審計工作。

在驗證權限設計的合理性時，測試人員應關注權限設計是否滿足了風險管理的需求；在驗證權限賦予的合理性時，測試人員應測試相關人員的權限是否是被合理授權的，是否符合了權限職責分離的原則。

一般情況下，測試人員通過執行以下審計程序來進行訪問控制測試：

（1）訪談與權限管理相關的負責人員，了解系統權限設計及賦予的規則和方法。權限賦予方法可能是企業直接將權限賦予給賬號，也可能是先將權限賦予給特定的角色，再由角色賦予給賬戶。

（2）對選定需進行測試的訪問權限，通過查看系統中的權限設計和配置，確定權限設計和配置是否合理。

（3）測試權限賦予是否合理。若信息系統的一般控制的測試結果為無效，或未執行信息系統一般控制，則測試人員無法使用測試的結果。此時，測試人員需要評估相關的控制缺陷和相關跟進步驟對訪問控制的影響，選擇替代性應對程序。

以國內某知名汽車配件制造商為例，IT審計人員通過交叉詢問IT部門IT應用經理和業務系統工程師，了解到只有物流部賬務崗位的人員、倉庫管理人員才能在系統中被賦予A和B角色，擁有庫存轉移的權限，可以執行實物移庫的操作。在執行測試時，審計人員獲取了系統用戶權限清單。同時，通過查詢在職用戶名單，審計人員了解到兩名財務管理中心會計在系統內被授予A角色,屬于非授權人員。[5]該發現說明企業缺少對實物移庫系統角色和操作權限的有效性管理，可能導致財務人員和計劃物流人員在未經授權的情況下，將倉庫中的貨品進行非授權發貨操作，對企業造成損失。

4.3.3.2 系統接口控制測試

在測試系統接口控制的有效性時，保證數據在系統間傳輸的完整性和準確性，確保傳輸中發生任何問題都能夠被及時地監測和跟進。接口控制一般由自動控制完成，例如系統通過特定處理定時任務，將數據從源系統傳輸至目標系統。

對于系統接口控制的測試，測試人員通常需進行如以下幾個方面的測試：

（1）訪問限制，查看是否僅被賦予合理權限的人員的賬號才能對接口程序進行訪問和修改。比如，有些企業只允許被授權的系統開發人員對接口進行變更。

（2）完整性驗證，確認測試系統是否將數據完整地從源系統傳輸到了目標系統。比如，系統自動計算目標系統接收到數據的總數，并與源系統進行比對，確保數據傳輸的完整性。

（3）準確性驗證，確認系統是否將數據準確地從源系統傳輸到了目標系統。常見的控制手段有，系統自動設置校驗位，對于傳輸數據的準確性進行自動校驗。

（4）傳輸及時性，判斷系統是否在正確的時間內傳輸了數據，對于傳輸失敗的數據，是否及時進行補傳，直至成功為止。

（5）變更控制，判斷是否由授權賬戶進行系統接口的變更，且變更是否滿足實際業務需求。通常情況下，該驗證工作會在信息系統一般控制的測試過程中完成。

（6）傳輸監控及異常處理，確認判斷被審計單位在系統中是否存在一定的機制，以確保數據在傳輸過程中的任何問題被及時發現和跟進。

4.3.3.3 系統報表測試

系統報表是由系統生成的符合一定業務邏輯的數據匯總。系統報表通常被用來執行相關的控制或者用于下一步實質性程序。如果系統報表中的數據不準確或不完整，將導致后續控制執行和測試結果無效。

測試人員在進行報表測試時通常依靠職業判斷。需要考慮的因素包括：需要從控制或實質性程序獲得審計證據水平，了解相關財務報表列示項目的重大錯報風險，控制有效運行或實質性測試設計對報表、數據完整性和準確性的依賴程度，掌握報表，數據的性質、類型、來源以及往年的審計經驗，知曉前年度的控制缺陷，控制環境的變化等。

舉個例子，測試人員在審計某汽車配件公司的財務系統時，通過與系統管理員的訪談，了解到財務人員在進行發票維護后，通過運行“經營實務過賬”程序，系統自動根據發票維護的信息在系統中批量生成財務憑證。審計人員在執行測試時，發現系統未對銷售發票開具價格進行限制，財務人員開票時可在“待開發票維護界面”修改銷售價格，而不采用系統自動調用有效期內的銷售價格。該測試結果表明，相關部門缺少對系統銷售發票開具價格的限制，這可能導致會計篡改銷售發票金額，影響收入確認。

4.3.3.4 系統配置控制測試

對于自動控制和系統自動計算而言，測試人員需要通過一定的審計程序驗證控制的有效性和計算的正確性。由于系統處理的內在一致性，系統配置控制一般都按預設的邏輯持續進行。若測試結果與邏輯設置不一致，則可能對財務報告產生一定影響。

以國內某個大型知名超市為例，對于某品牌服裝類產品，在系統中的預設邏輯是對存貨的庫齡大于6個月的商品進行減值處理，后期通過測試發現，某個庫齡只有4個月的產品已進行了減值，該測試結果與減值系統邏輯不一致。由于該不恰當減值對資產和利潤都產生了影響，故財務審計人員應根據該發現結果對財務報表進行進一步評估。

在系統一般控制有效的前提下，系統配置控制的測試方法有很多，常用的是穿行測試。在進行該測試的過程中，通過詢問、觀察、檢查或重新執行程序獲取審計證據。測試人員需注意的是，在執行穿行測試的過程中，務必要保證各重要場景的全覆蓋。因此，在進行測試前，測試人員需要通過多方詢問、檢查等手段先對控制和計算的場景進行了解，在對整體有一點了解之后，選擇重要的和審計相關的場景進行驗證。

除了以上技術和方法上的建議，在綜合大型企業集團還需要實施幾個轉變以實現有效的IT審計。

（1）建立IT審計的正確看法。IT審計不應停留在糾錯上，而應要求審核員樹立服務意識，分析錯誤產生原因，主動向有關部門提供建議，著眼于服務。

（2）將重點放在“預防”而非“事后”。審計從發展開始介入比最終的全面審計，更有利于對整體的了解和監督。

（3）鼓勵內審人員的再教育，IT審計發展日新月異，具備健全的知識儲備對實際工作有至關重要的作用。

若想利用IT風險控制和IT審計策略覆蓋所有的漏洞，還要求企業的管理者對風險有清楚的認識，向員工表明企業對風險的態度，了解合規要求，設計科學的組織架構和職責說明，以達到將風控與職責結合的目的。

5 結語

當前，我國的IT風險管理和IT審計正處于起步階段，而企業業務信息化的趨勢決定了IT風險管理和審計的發展勢在必行。但是，一種新技術和方法的引入和實施必定會給企業和審計人員帶來巨大的挑戰，如何通過有效的手段強化專業能力，是企業面臨日趨激烈的市場競爭時不得不思考的問題。有效的IT風險管理能夠加強企業風險防范和管控能力，而IT審計則是企業在信息化背景下對于全面審計的必要輔助，可以幫助企業在激烈的市場競爭環境中立于不敗之地。