IT審計的重要認知

2014-11-08 22:42:21 大云網　點擊量：評論 (0)

IT與業(yè)務的不斷融合正在讓越來越多的CIO面臨前所未有的壓力。一方面，IT的任何風吹草動，都可能對高度依賴IT的業(yè)務造成影響，這使得CIO必須格外關注IT的任何潛在風險。另一方面，隨著業(yè)務流程逐漸被IT系統(tǒng)所固化

IT與業(yè)務的不斷融合正在讓越來越多的CIO面臨前所未有的壓力。一方面，IT的任何風吹草動，都可能對高度依賴IT的業(yè)務造成影響，這使得CIO必須格外關注IT的任何潛在風險。另一方面，隨著業(yè)務流程逐漸被IT系統(tǒng)所固化，一些原本屬于其他部門的風險開始轉化給了IT部門和CIO。

為了緩解這種壓力，CIO必須盡可能地發(fā)現(xiàn)IT系統(tǒng)的任何潛在風險，因為一旦這些風險演變?yōu)槭鹿?，CIO必須為此承擔責任并付出代價。而信息系統(tǒng)審計的重要職責之一，就是幫助CIO發(fā)現(xiàn)這些潛在風險。

IT 審計最早出現(xiàn)在IT應用比較深入的金融業(yè)，后來逐漸擴展到其他行業(yè)。IT審計的目標是協(xié)助組織信息技術管理人員有效地履行其責任，以達成組織的信息技術管理目標。組織的信息技術管理目標是保證組織的信息技術戰(zhàn)略，充分反映該組織的業(yè)務戰(zhàn)略目標，提高組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準確性，提高信息系統(tǒng)運行的效果與效率，保證信息系統(tǒng)的運行符合法律、法規(guī)及監(jiān)管的相關要求。

遺憾的是，并不是所有的CIO都認為IT 審計是在幫他們――由于不了解，造成了很多CIO對IT審計的種種誤解和偏見。

IT審計很重要的內容之一就是發(fā)現(xiàn)系統(tǒng)的潛在風險，IT部門對IT風險一直是很關注的。

IT風險是指在信息處理和信息技術運用過程中產生的，可能成為影響組織目標實現(xiàn)的各種不確定因素。IT風險包括組織層面的信息技術風險、一般性控制層面的信息技術風險，以及業(yè)務流程層面的信息技術風險等。

我們的內部IT審計師的主要工作就是評估現(xiàn)有IT基礎設施、組織、流程的風險，制定審計計劃，實施審計，并就發(fā)現(xiàn)的缺陷與管理層討論，跟蹤后續(xù)整改，改進IT業(yè)務。

與CIO看待IT系統(tǒng)風險的角度相比，IT審計師更測重于管理而非技術方面，比如在安全方面更側重于訪問控制的措施，以及是否有定期回顧，還有就是該崗位的人員能否勝任工作，有無進行過適當培訓以保障其勝任工作的能力等。

當IT審計作為其他綜合性內部審計項目的一部分時，審計人員應及時與其他相關的內部審計人員溝通信息系統(tǒng)內部審計的發(fā)現(xiàn)，并考慮依據(jù)審計結果，調整其他相關審計的范圍、時間及性質。