面对风险 CIO如何正确认识IT审计

2014-11-08 22:35:02 大云网　点击量：评论 (0)

　IT与业务的不断融合正在让越来越多的CIO面临前所未有的压力。一方面，IT的任何风吹草动，都可能对高度依赖IT的业务造成影响，这使得CIO必须格外关注IT的任何潜在风险。另一方面，随着业务流程逐渐被IT系统所固

记者：朱永明、王东红提到的CIO以及IT部门对IT审计人员的误解，王浩，这种情况在你们那里是否也多多少少存在？

　　王浩：举个例子。给我们这次做IT审计的一些审计师也是刚毕业的大学生或者研究生，他们对IT部门的业务和技术确实了解不多。

　　不过，这并不会对审计的结果产生太大影响，因为IT审计有严格的流程和标准，这些审计师只要按照流程一步步走下来就可以了。王浩说的这种情况是否也存在？

　　王东红：这是一个更深层次的问题——目前国内的大部分IT审计师是否已经有足够能力胜任IT审计工作呢？我觉得还远远不够。严格意义上来讲，IT审计师应该需要有多方面的知识储备，不仅要懂IT、懂财务，还要懂审计、懂内控。就拿IT来讲，规划、开发、建设、运维等全生命周期的知识，IT审计师都应该具备。

　　但是，目前在国内这样的复合型人才确实非常稀缺。要弥补这种人才短缺，有几种方法，一是依靠团队的力量，每个IT审计师只负责一块任务，比如专门对ERP进行审计、专门对安全进行审计等；第二要有规范的流程，这也是刚刚王浩提到的，这样可以弥补审计师的个人素质不足。

　　记者：刚刚谈到一些CIO会认为IT审计是在“挑毛病”，我很想问问王浩，你也有这样的感觉吗？

　　王浩：经历过上次的IT审计之后，我一直在不断地补充IT审计相关的知识，也看了一些书，对IT审计确实有了更深刻的认识。所以我并不认为IT审计是“挑毛病”。我倒是觉得IT审计是好事情，因为经过一次审计，肯定会知道哪些地方存在不足，还需要改进，这对IT部门的工作开展是有帮助的。

　　之所以有些CIO对IT审计有误解，我觉得可能还是他们对IT审计接触得比较少。我们在做IT审计之前，咨询了很多企业的IT主管，除了金融行业外，其他的基本上都没有接触过IT审计，所以有偏见也属正常。

　　记者：各位都提到了CIO应该了解IT审计的相关知识，具体来讲，应该了解哪些呢？

　　王东红：我们当然希望所有的CIO同时又是IT审计的专家，这样在面对IT审计师时，CIO一定会底气十足。因为CIO对IT审计师的工作了如指掌，甚至对他们可能问到的每一个问题、每一份材料都可以提前准备好。但是，要做到这点确实是不太可能。这就需要CIO对IT审计能有最起码的认识。

　　首先，CIO应该了解IT审计师的沟通语言是什么，这是沟通的基础，只有沟通语言是一致的，才有可能进行沟通。那么IT审计师的沟通语言是什么呢？毫无疑问，就是COBIT、COSO、ITIL、BS7799这些大家公认的控制框架。

　　其次，CIO要改变观念，必须正确看待IT审计——他们不是来挑毛病的，而是来帮助IT部门发现问题、解决问题的。

　　第三，要弄清楚为什么IT审计师要审计这些控制点，审计的目的又是什么。对相应的控制点有深入的了解后，在下次审计时，就能赶在审计师前面，把相应的控制点做好。

　　与此同时，CIO可以建立一套自我评估的体系，在IT审计来临之前，在部门内部先自行进行自我评估。根据审计师的审计要点自我检查。这套自我评估体系其实就是风险管理体系。

　　记者：在IT审计过程中，CIO又该如何支持IT审计师的工作呢？

　　朱永明：IT审计的流程一般包括这么几个阶段：了解审计对象、制定审计计划、审计准备、制定审计方案、现场审计、就审计发现与业务部门进行沟通、出具审计报告、报告审计结果等。IT审计是基于常规审计的程序，借鉴IT治理的框架开展审计的，实际上是对公司IT治理的检验，也是对CIO负责的核心业务的检验，所以在每一个环节，都需要CIO的配合。至于如何配合，我觉得最重要的还是要正视IT审计工作，只要认识到可以借助IT审计提升IT业务水平并降低风险， CIO一定会给予非常好的配合。

　　王东红：在审计过程中，审计师会要求CIO出具各种相关数据和材料，对于审计师的这些要求，CIO的态度不同，可能会造成截然不同的结果。

　　记者：一种是要什么给什么，另一种是要什么不给什么，这两种态度哪种好呢？

　　都不好！这两个极端都是不可取的。CIO对IT审计的配合要适度，至于这个度怎么把握，主要在于CIO与IT审计师的沟通。当然，我主要是针对外部审计说的，对待内部IT审计的时候，确实应该全面配合。内部审计与外部审计要区别对待。

　　王浩：我就谈一条，那就是要理解。比如我们在做IT审计时，我觉得这些审计师太刻板。比方说做系统的安全性审核，他们完全从安全性角度去看，不会考虑业务的灵活度等，而我们不可能这么刻板地去考虑问题，毕竟系统要为业务提供支撑的。不过，刻板也意味着另外一个词，就是严谨，只有这样才能尽可能地发现系统的潜在风险，所以一定程度上他们这种刻板也是可以理解的。

　　记者：对于审计过程中发现的IT风险，IT审计师一般会怎么处理？

　　朱永明：在我们集团内部，IT内部审计结束之后的流程一般是这样的：收集审计证据，与相关业务部门确认问题，讨论风险，向管理层报告风险，最后是提出审计建议。

　　王东红：在审计实施结束后，审计人员应以充分的可靠的审计证据为依据，形成审计结论与建议，出具审计报告，跟进审计结果，追踪审计建议的落实并执行相应后续审计程序。

　　当IT审计作为其他综合性内部审计项目的一部分时，审计人员应及时与其他相关的内部审计人员沟通信息系统内部审计的发现，并考虑依据审计结果，调整其他相关审计的范围、时间及性质。