IT審計的重要認知

2014-11-08 22:42:21 大云網　點擊量：評論 (0)

IT與業(yè)務的不斷融合正在讓越來越多的CIO面臨前所未有的壓力。一方面，IT的任何風吹草動，都可能對高度依賴IT的業(yè)務造成影響，這使得CIO必須格外關注IT的任何潛在風險。另一方面，隨著業(yè)務流程逐漸被IT系統所固化

IT與業(yè)務的不斷融合正在讓越來越多的CIO面臨前所未有的壓力。一方面，IT的任何風吹草動，都可能對高度依賴IT的業(yè)務造成影響，這使得CIO必須格外關注IT的任何潛在風險。另一方面，隨著業(yè)務流程逐漸被IT系統所固化，一些原本屬于其他部門的風險開始轉化給了IT部門和CIO。

為了緩解這種壓力，CIO必須盡可能地發(fā)現IT系統的任何潛在風險，因為一旦這些風險演變?yōu)槭鹿?，CIO必須為此承擔責任并付出代價。而信息系統審計的重要職責之一，就是幫助CIO發(fā)現這些潛在風險。

IT 審計最早出現在IT應用比較深入的金融業(yè)，后來逐漸擴展到其他行業(yè)。IT審計的目標是協助組織信息技術管理人員有效地履行其責任，以達成組織的信息技術管理目標。組織的信息技術管理目標是保證組織的信息技術戰(zhàn)略，充分反映該組織的業(yè)務戰(zhàn)略目標，提高組織所依賴的信息系統的可靠性、穩(wěn)定性、安全性及數據處理的完整性和準確性，提高信息系統運行的效果與效率，保證信息系統的運行符合法律、法規(guī)及監(jiān)管的相關要求。

遺憾的是，并不是所有的CIO都認為IT 審計是在幫他們――由于不了解，造成了很多CIO對IT審計的種種誤解和偏見。

IT審計很重要的內容之一就是發(fā)現系統的潛在風險，IT部門對IT風險一直是很關注的。

IT風險是指在信息處理和信息技術運用過程中產生的，可能成為影響組織目標實現的各種不確定因素。IT風險包括組織層面的信息技術風險、一般性控制層面的信息技術風險，以及業(yè)務流程層面的信息技術風險等。

我們的內部IT審計師的主要工作就是評估現有IT基礎設施、組織、流程的風險，制定審計計劃，實施審計，并就發(fā)現的缺陷與管理層討論，跟蹤后續(xù)整改，改進IT業(yè)務。

與CIO看待IT系統風險的角度相比，IT審計師更測重于管理而非技術方面，比如在安全方面更側重于訪問控制的措施，以及是否有定期回顧，還有就是該崗位的人員能否勝任工作，有無進行過適當培訓以保障其勝任工作的能力等。

當IT審計作為其他綜合性內部審計項目的一部分時，審計人員應及時與其他相關的內部審計人員溝通信息系統內部審計的發(fā)現，并考慮依據審計結果，調整其他相關審計的范圍、時間及性質。