CIO如何控制IT审计缺失的信息系统风险
摘要:而信息系统审计(又称IT审计)正是帮助企业及CIO为了解决上述问题,提高信息系统的安全性、可靠性和开发、运营效率,使企业信息化得到健康、全面的发展而引入的预防机制。
关键词:IT审计
随着企业实施信息化进程的不断深入,从信息系统安全性方面我们看到硬件故障、程序故障、操作系统错误、计算机犯罪,设备灾害以及保密数据泄漏等现象发生的可能性越来来越高。此外,从投资的角度上看,我们看到随着信息化投资成本的不断增加,企业领导看到投资效果反而不明显。还有还会出现信息系统用户不满以及信息化产品落后于竞争对手、无法在市场上立足等问题。
而信息系统审计(又称IT审计)正是帮助企业及CIO为了解决上述问题,提高信息系统的安全性、可靠性和开发、运营效率,使企业信息化得到健康、全面的发展而引入的预防机制。同时,为了确保信息系统的安全、可靠和有效,需要开展由独立的具有资格的IT审计师对以计算机为核心的信息系统进行的IT审计。对于企业来讲管理和业务的增加,企业对于内部IT治理的审计更加严格。每年都会有大量的各种级别的内外审计,而IT审计也是非常的重要内容, 如何做好IT审计成为企业及CIO关注的焦点。
一、IT审计的作用
1、IT审计顾明思议,就是为了更好的控制IT的风险,有效的的帮助规避风险。现阶段企业业务的增长,需要信息系统支撑的业务是越来越多, 促使企业在经营管理过程中遇到很多的风险,企业在经营过程中可以规避各种各样的容易看得到的风险,比如管理上的缺陷、市场的变化都会企业的经营管理层,做出及时的调整来应对不同的风险,而潜在的一个些风险,如信息系统存在的风险,企业的经营管理层看不到,也意识不到他们会存在风险 , 而许多企业在某些项目或者企业退出往往正是由一部分信息系统中的数据泄露,而使企业破产,因此,必须加大对于企业不仅要对企业本身的经营管理内部进行审计,同时还要对于支撑管理的信息系统进行审计,从而降低企业的风险。
2、提高IT的价值及CIO的管理思维
信息系统最大的价值是提高企业的管理及支撑企业的业务,一旦信息系统本身设计、开发存在安全风险,那么对于企业来讲, 不仅没有帮助企业,反而运用信息系统使企业面临比没有上系统更大的风险,因此,加强信息系统本身的审计,才能规避信息系统带来的风险,实现出信息系统的潜在价值。 同时,在做每一个信息系统开发时, 如果参与国际审计的标准,可有效的降低风险, 同时, 也可提高CIO或者IT经理防范风险的管理思维。
二、IT审计的现状及存在的问题
纵观现状,IT审计在国内并不是很成熟,企业的IT审计并不完善,IT审计更多的是应用于银行、保险等大型的金融类企业,一些中小企业对于IT审计的认识存在偏见,导致了IT审计在部分中企业中并没有应用也不成熟。同时,企业的CIO对IT审计存在一定的认识,企业加强IT审计显得尤为重要。
1、IT审计标准不成熟
我们目前所指的IT审计标准一般是指ISACA制定的信息系统审计准则。IT审计标准是一套以管理为核心,以法律法规为保障,以技术为支撑的信息系统审计框架体系。它同时是一套规范化的管理框架,详细地描述了审计方、开发方、用户方的关系及各方的定位、权利、义务和职责等,并从标准的角度对IT审计师能力考核的限定、IT审计机构的资质认定给予了限定。从目标上讲,IT审计标准跟着眼的目的是信息系统的安全性、稳定性、有效性。 然而, 现阶段的IT审计因企业的不同经营性性质的不同,很难一套成熟的标准来做。而且不同行业,不同企业会有不同的IT审计的标准也不同,因此, 建立行业化的IT审计标准体系是下一步的CIO所需要考虑的。
2、IT审计人才急缺
审计业务发展至今,传统IT审计工作只是现代审计中一个特别小的组成部分。IT审计最重要工作之一,是发现被审计单位最重大的风险隐患,在认定其持续经营的基础上,再对潜在的真实、公允性发表审计意见。如果IT审计师认为被审计单位的信息系统是业务运转的平台,是风险高发区,那么对信息系统的安全、稳定和有效的评价就成为审计的基础和重点。因此,IT审计师是开展计算机审计工作的重要推动力量。但目前,因国内对于IT审计的重视程度不够,同时审计水平不是很高, 导致审才人才非常奇缺,如何快速的培养优秀的审计人才迫在眉睫。
三、IT审计实施的必需困素
1、提高IT审计人员的意识
做信息化并不难,难得对于企业老板对于信息化的看法和理解程度,同样,对于IT审计也是一样的道理,我们知道IT审计的职能来划分主要是两方面, 内审和外审。
外审主要参照第三方咨询机构来帮助企业IT部门进行信息系统审计, 如中国人民银行早在2000年时候就开始了IT审计,在2004的时候就邀请ITGov中国IT治理研究中心(简称ITGov)对来自全行各分支机构的40名内部审计人员参加了为期4天的信息系统审计培训,强化信息系统审计中理论与实践的结合,全面提升了信息系统审计人员的综合素质。而内审,主要在企业内部成立于IT审计部门,这个IT审计部门不属于IT部门也不属于业务部门,它是一个单独的部门,用以审计企业的信息系统。 做好IT审计需要提高企业对于审计的认识。企业的管理不仅要对于外审了如指掌,还要对于企业的内审尤期是IT的内外审都要所有了解 , 做不到精通阶段 ,但必须要处于了解的阶段。从CIO的角度来看,同样也是相似的道理,必须要去对于IT审计要有一个清晰的认识,只有对于IT审计在意识和思路上认识了,才能做好IT审计的第一步。
“在技术层面,没有实现不了的关健是审计意识的提高”业内某着名的IT审计专家指出, 同时他强调IT审计重点要把握“三大关”:
第一、人员因素都直接影响IT审计的效果,这是IT审计的关键也是根本。
第二、IT风险管理。
第三、IT本身审计。
2、找准IT审计定位点
做好IT审计并不难,资料显示,大多数的IT审计师认为,做好信息系统审计就是要找好企业信息系统的切入点或者叫做定位点。我们知道任何系统都有漏洞,从程序员开发设计到业务的应用信息系统不可避免的会遇到各种各样的问题。对于CIO来讲在配合企业IT审计部门做IT审计前要首先自身检查信息系统存在的的问题,然后,在做系统开发或者项目时,按照Cobit IT治理框架、Iso1335、Iso27001,、COSO、ITIL等来提高信息系统的可用性。
实践证明,IT审计必须符合科学、独立、审慎的精神。CIO要进行认真细致的工作安排,从审计的实际目标出发,选择实用的方法,依据相关的国际IT审计准则开展相关工作,通过长期的、持续的改进,强化IT风险控制能力,最终降低经营风险。
责编:chaisenshark