随着信息技术在企业运营中的广泛应用,信息科技风险对企业的影响日益显著。为进一步提升信息化管理水平,评估公司信息科技风险管理的有效性,确保信息系统的安全、可靠和稳定运行,财务公司于近期对公司信息科技风险管理工作进行专项审计。
财务公司成立以来共开展三次信息科技风险管理专项审计,前两次均聘请外部会计师事务所实施,本次专项审计为财务公司首次自主实施。该公司组建了既具备审计专业知识又具有信息科技背景的专业化审计团队,配置了具备国际信息系统审计师(CISA)资质的审计人员以及具有多年信息技术运维经验的专业人员。相比外部会计师事务所,财务公司自主实施该项目优势在于以下四个方面:
一是了解公司情况更加深入细致。内审人员长期在公司工作,基于对公司实况熟悉程度及专业判断能力,审计组选定合理的审计程序,获取详实的审计证据,打通与被审计部门的沟通障碍,提高审计工作配合度。
二是提供管理建议更加合理可行。审计组对公司的管理政策、业务程序和人事状况有深入的了解,能够更加深入、透明、全面地剖析公司信息科技风险管理存在的主要问题,并提出更为合理可行的管理建议。同时,内部审计结果可以更快地反馈给公司管理层,以便及时采取措施改进管理。
三是监督整改落实更加持续有效。通过全过程、全方位、持续性的内部审计监督,促使发现问题逐一落实,并做到持续追踪与有效性验证,推动公司信息科技风险管理稳健合规。
四是控制管理成本更加提质增效。据调查,由外聘会计师事务所实施该项审计的单次审计费用不低于14万元。在保证审计质量的前提下,公司自主实施能够节约该项审计费用,有效降低管理成本,提升经济效益。
审计期间,审计团队充分履行审计监督职能,通过一系列审计程序,包括审阅信息科技治理架构与制度、评估信息科技风险、实地检查数据中心、进行业务连续性和外包管理全流程穿行测试等,全面评价公司信息科技内控机制的充分性和有效性,发现信息科技风险管理工作中存在的潜在风险和薄弱环节,提出切实可行的意见及建议,促进公司信息科技风险管理体系的持续完善。(严嫱)
