黄力

摘 要：积极构建以风险为导向的审计机制，是有效降低IT风险的可行手段，对通信企业而言意义重大。本文将积极探讨通信企业对风险导向IT审计的应用，通过策略构思、审计实施两部分内容，详细阐述通信企业中的IT审计应用，以期为其他企业应用提供参考。

关键词：风险导向 IT审计 通信企业

如今，通信5G时代正在悄然向人们走来，通信行业迎来了新的发展机遇与挑战。作为通信企业中的重要活跃因素与信息特色，IT的作用举足轻重。以中国移动为例，多年来其年度财务报表在通信企业中扮演着重要的角色，信息技术的应用所形成的产业化价值占到总资产价值的八成以上。当前的通信企业需要关注的课题在于，如何能够在日益增多的IT资源中合理降低风险隐患，从而不断推动企业赢得各项业务的综合发展。在合理降低风险隐患方面，积极构建以风险为导向的审计机制，是有效控制并降低IT风险的可行手段。

一、IT审计策略构思

IT审计策略的构思建设，理论模型上应该与当前的通信企业内部审计框架保持一致。按照内审框架原则，IT审计主策略涉及三大层次即组织结构、人员、基建，组织结构层次强调要对具体的IT审计工作提出合理可行的目标与任务流；人员层次强调应关注企业人力资源及其他公共资源管理，增进人员综合技能，有效实现人才保值和增值；基建层次所强调的机制评估要素包括政策及方法论、工具和技术、专业知识与管理经验、运营目标与指标、业绩考核、运营质量指标等。针对三个层次的内容建立IT审计策略。

二、IT审计的实施关键点

通常，IT审计可分解为三阶段，其一为IT审计计划、其二为IT审计实施、其三为IT审计的报告与发展。在探讨风险导向IT审计应用中，风险的评估要合理分布在上述三个阶段中，发挥相应的作用。

第一阶段：IT审计计划。计划阶段的主要任务自然涵盖审计目标计划的设定，着重评估审计风险，估量审计的资源消耗量，明确审计工作次序与相关执法人员职责。因此通信企业在具体IT审计应用过程中，不能忽视对主要因素的考量，有效把握审计业务流程中所凭借的信息技术与信息系统科学性与可靠性，把握提升信息技术管理效能的组织架构合理性，深层考虑IT信息系统的框架规范性以及信息系统中长期发展规划，有效分析掌握信息系统及相关业务流程的变更，统筹梳理信息系统的复杂度，合理确定IT审计应用的情况发展。通信企业要紧密关注IT审计架构中不同信息层面的风险，如组织或控制层面的风险主要来自于业务关注度、信息量价值、信息技术与专业人员依赖度、信息系统及运行环境的安全性、信息系统及技术应用的法律支撑规范性。而在通信企业的IT业务流程层面，由于大量信息数据的输入输出与计算处理可能存在信息缺失或失真而导致风险隐患增大，需要对信息的输入、输出、运算、分析处理等环节的风险提高安全防范。

第二阶段：IT审计实施。进入IT审计实施阶段后，组织层面的IT控制要素将主要分成四个模块，分别为控制环境、风险评估管理机制、信息系统与构图中和监控管理。业务流程层面的IT控制要素分类更加具体且复杂，主要的要素体现在业务授权、业务批准、业务系统配置、异常及差错报告等。特别是对于信息技术的一般性IT控制而言，要素主要体现在信息安全、系统变更、开发与采购、系统运行等四个方面。

基于风险导向的IT审计工作应用在通信企业后，往往沿用典型方法来达到理想的IT审计工作效果。首先要与具体的IT信息技术控制人员取得联系，在实施合理询问机制的基础上，对于IT审计控制中的典型或特定运用模式与效果进行观察，有效收集整理IT审计的相关文件资料或数据报告，对当前企业所使用的信息系统特性进行剖析和梳理，完成穿行测试与追踪交易，主动通过技术手段来验证系统处于控制状态所赋予的计算逻辑，灵活选择时间点进行系统登录操作完成系统主要信息的查询，同时优化计算机操作方法来辅助完成审计工具与技术的改进，充分保证独立性和客观性，突出强调职业技能质量控制前提，积极参照相关专业机构所做出的IT审计结果，同时加大对信息技术内部控制的自我评估结果的形成和整理。需要注意的是，若IT审计作为独立单元并入综合性审计项目时，操作人员应该与综合审计工作中的其他人员保持紧密沟通，相互共享审计发现内容，广泛参考依据不同的审计结果来合理调整其他相关审计的范围、时间及性质。

三、計算机辅助审计技术在通讯企业中的应用

计算机辅助审计技术，简称CAATs，官方定义是能够辅助完成IT审计工作的所有自动化技术集合，其中包括审计通用软件、专业功能性软件、实验测试数据、审计专家系统等，同时还可包括审计工作中需要大量应用的文字处理软件、电子表格、数据库软件等载体或平台。在通信企业中，可使用计算机辅助审计技术的情况主要涉及：审计工作的规划、信息系统的分析记录、信息系统的测试运营、数据类测试、交易行为测试、问题解决机制以及办公自动化。计算机辅助审计技术应用效果受计算机理论与操作技能、审计人员工作经验、高度匹配设备、运行场所、由CAATs取代人工作业的实际效率、耗时限制、信息系统可靠性、和技术运行环境真实性、审计风险级别等不同要素的影响。通信企业应用计算机辅助审计技术可分计划、执行、报告三个阶段来实施。

结束语

风险导向IT审计在通信企业中的应用，应该积极考虑通信企业的IT系统状况、IT治理结构以及IT审计资源基础，有效借鉴并广泛吸收世界范围内的通信企业IT审计经验，整理上抬高IT审计水平，并强化IT审计人员素质，有效规避IT风险。

参考文献：

[1] 胡尚可. 风险导向IT审计在通信企业中的应用[J]. 中国内部审计， 2010（11）：60-62.

[2] 杨明， 郭树旭， 王隽. 电信企业信息技术审计的实践与思考[J]. 通信技术， 2010， 43（4）：147-148.

[3] 董骅. XX通信公司的IT审计风险研究[D]. 北京交通大学， 2016.