CIO应如何控制IT审计缺失的信息系统风险

三、IT审计实施的必需困素

 

　　1、提高IT审计人员的意识

 

　　做信息化并不难，难得对于企业老板对于信息化的看法和理解程度，同样，对于IT审计也是一样的道理，我们知道IT审计的职能来划分主要是两方面， 内审和外审。

 

　　外审主要参照第三方咨询机构来帮助企业IT部门进行信息系统审计， 如中国人民银行早在2000年时候就开始了IT审计，在2004的时候就邀请ITGov中国IT治理研究中心（简称ITGov）对来自全行各分支机构的40名内部审计人员参加了为期4天的信息系统审计培训，强化信息系统审计中理论与实践的结合，全面提升了信息系统审计人员的综合素质。而内审，主要在企业内部成立于IT审计部门，这个IT审计部门不属于IT部门也不属于业务部门，它是一个单独的部门，用以审计企业的信息系统。  做好IT审计需要提高企业对于审计的认识。企业的管理不仅要对于外审了如指掌，还要对于企业的内审尤期是IT的内外审都要所有了解 ， 做不到精通阶段 ，但必须要处于了解的阶段。从CIO的角度来看，同样也是相似的道理，必须要去对于IT审计要有一个清晰的认识,只有对于IT审计在意识和思路上认识了，才能做好IT审计的第一步。

 

　　“在技术层面，没有实现不了的关健是审计意识的提高”业内某着名的IT审计专家指出， 同时他强调IT审计重点要把握“三大关”：

 

　　第一、人员因素都直接影响IT审计的效果，这是IT审计的关键也是根本。

 

　　第二、IT风险管理。

 

　　第三、IT本身审计。

 

　　2、找准IT审计定位点

 

　　做好IT审计并不难，资料显示，大多数的IT审计师认为，做好信息系统审计就是要找好企业信息系统的切入点或者叫做定位点。我们知道任何系统都有漏洞，从程序员开发设计到业务的应用信息系统不可避免的会遇到各种各样的问题。对于CIO来讲在配合企业IT审计部门做IT审计前要首先自身检查信息系统存在的的问题，然后，在做系统开发或者项目时，按照Cobit IT治理框架、Iso1335、Iso27001，、COSO、ITIL等来提高信息系统的可用性。

 

　　实践证明，IT审计必须符合科学、独立、审慎的精神。CIO要进行认真细致的工作安排，从审计的实际目标出发，选择实用的方法，依据相关的国际IT审计准则开展相关工作，通过长期的、持续的改进，强化IT风险控制能力，最终降低经营风险。