CIO应如何控制IT审计缺失的信息系统风险

2014-11-08 22:32:06 大云网  点击量: 评论 (0)
随着企业实施信息化进程的不断深入,从信息系统安全性方面我们看到硬件故障、程序故障、操作系统错误、计算机犯罪,设备灾害以及保密数据泄漏等现象发生的可能性越来来越高。此外,从投资的角度上看,我们看到随
随着企业实施信息化进程的不断深入,从信息系统安全性方面我们看到硬件故障、程序故障、操作系统错误、计算机犯罪,设备灾害以及保密数据泄漏等现象发生的可能性越来来越高。此外,从投资的角度上看,我们看到随着信息化投资成本的不断增加,企业领导看到投资效果反而不明显。还有还会出现信息系统用户不满以及信息化产品落后于竞争对手、无法在市场上立足等问题。
 
  而信息系统审计(又称IT审计)正是帮助企业及CIO为了解决上述问题,提高信息系统的安全性、可靠性和开发、运营效率,使企业信息化得到健康、全面的发展而引入的预防机制。同时,为了确保信息系统的安全、可靠和有效,需要开展由独立的具有资格的IT审计师对以计算机为核心的信息系统进行的IT审计。对于企业来讲管理和业务的增加,企业对于内部IT治理的审计更加严格。每年都会有大量的各种级别的内外审计,而IT审计也是非常的重要内容, 如何做好IT审计成为企业及CIO关注的焦点。
 
  一、IT审计的作用
 
  1、IT审计顾明思议,就是为了更好的控制IT的风险,有效的的帮助规避风险。现阶段企业业务的增长,需要信息系统支撑的业务是越来越多, 促使企业在经营管理过程中遇到很多的风险,企业在经营过程中可以规避各种各样的容易看得到的风险,比如管理上的缺陷、市场的变化都会企业的经营管理层,做出及时的调整来应对不同的风险,而潜在的一个些风险,如信息系统存在的风险,企业的经营管理层看不到,也意识不到他们会存在风险 , 而许多企业在某些项目或者企业退出往往正是由一部分信息系统中的数据泄露,而使企业破产,因此,必须加大对于企业不仅要对企业本身的经营管理内部进行审计,同时还要对于支撑管理的信息系统进行审计,从而降低企业的风险。
 
  2、提高IT的价值及CIO的管理思维
 
  信息系统最大的价值是提高企业的管理及支撑企业的业务,一旦信息系统本身设计、开发存在安全风险,那么对于企业来讲, 不仅没有帮助企业,反而运用信息系统使企业面临比没有上系统更大的风险,因此,加强信息系统本身的审计,才能规避信息系统带来的风险,实现出信息系统的潜在价值。 同时,在做每一个信息系统开发时, 如果参与国际审计的标准,可有效的降低风险, 同时, 也可提高CIO或者IT经理防范风险的管理思维。
 
  二、IT审计的现状及存在的问题
 
  纵观现状,IT审计在国内并不是很成熟,企业的IT审计并不完善,IT审计更多的是应用于银行、保险等大型的金融类企业,一些中小企业对于IT审计的认识存在偏见,,导致了IT审计在部分中企业中并没有应用也不成熟。同时,企业的CIO对IT审计存在一定的认识,企业加强IT审计显得尤为重要。
 
  1、IT审计标准不成熟
 
  我们目前所指的IT审计标准一般是指ISACA制定的信息系统审计准则。IT审计标准是一套以管理为核心,以法律法规为保障,以技术为支撑的信息系统审计框架体系。它同时是一套规范化的管理框架,详细地描述了审计方、开发方、用户方的关系及各方的定位、权利、义务和职责等,并从标准的角度对IT审计师能力考核的限定、IT审计机构的资质认定给予了限定。从目标上讲,IT审计标准跟着眼的目的是信息系统的安全性、稳定性、有效性。 然而, 现阶段的IT审计因企业的不同经营性性质的不同,很难一套成熟的标准来做。而且不同行业,不同企业会有不同的IT审计的标准也不同,因此, 建立行业化的IT审计标准体系是下一步的CIO所需要考虑的。
 
  2、IT审计人才急缺
 
  审计业务发展至今,传统IT审计工作只是现代审计中一个特别小的组成部分。IT审计最重要工作之一,是发现被审计单位最重大的风险隐患,在认定其持续经营的基础上,再对潜在的真实、公允性发表审计意见。如果IT审计师认为被审计单位的信息系统是业务运转的平台,是风险高发区,那么对信息系统的安全、稳定和有效的评价就成为审计的基础和重点。因此,IT审计师是开展计算机审计工作的重要推动力量。但目前,因国内对于IT审计的重视程度不够,同时审计水平不是很高, 导致审才人才非常奇缺,如何快速的培养优秀的审计人才迫在眉睫。

大云网官方微信售电那点事儿
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞