陳浙一:IT審計(jì)的綜合趨勢(shì)談
哪個(gè)行業(yè)的資格認(rèn)證是當(dāng)今最殘酷的考試? CISA肯定是答案之一。CISA是國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師的簡(jiǎn)稱,又稱IT審計(jì)師,目前在全球有2萬(wàn)人。由于普遍使用大型管理信息系統(tǒng),跨國(guó)公司都非常重視對(duì)信息系統(tǒng)安全和穩(wěn)定
哪個(gè)行業(yè)的資格認(rèn)證是當(dāng)今最殘酷的考試? CISA肯定是答案之一。CISA是國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師的簡(jiǎn)稱,又稱IT審計(jì)師,目前在全球有2萬(wàn)人。由于普遍使用大型管理信息系統(tǒng),跨國(guó)公司都非常重視對(duì)信息系統(tǒng)安全和穩(wěn)定性的控制,常常高薪聘請(qǐng)IT審計(jì)師進(jìn)行內(nèi)部審計(jì)。IT審計(jì)師目前已經(jīng)成為全球范圍內(nèi)幾乎所有的大型跨國(guó)公司最搶手的高級(jí)人才。
IT審計(jì)師的興起,完全歸因于所謂的IT審計(jì)。IT審計(jì)顧名思義,就是為了更好的控制IT的風(fēng)險(xiǎn),有效的幫助企業(yè)規(guī)避風(fēng)險(xiǎn)。具體而言,IT審計(jì)是為了提高企業(yè)信息系統(tǒng)的安全性、可靠性以及開發(fā)、運(yùn)營(yíng)效率,使企業(yè)信息化得到健康、全面的發(fā)展而引入的預(yù)防機(jī)制。
隨著計(jì)算機(jī)技術(shù)在管理中的廣泛運(yùn)用,信息系統(tǒng)逐漸從傳統(tǒng)的后臺(tái)支持而步入前臺(tái),成為企業(yè)競(jìng)爭(zhēng)的重要支撐,企業(yè)憑借信息系統(tǒng)的強(qiáng)大功能優(yōu)勢(shì),完成其業(yè)務(wù)流程的再造,但與此同時(shí),從信息系統(tǒng)安全性方面我們看到硬件故障、程序故障、操作系統(tǒng)錯(cuò)誤、計(jì)算機(jī)犯罪,設(shè)備災(zāi)害以及保密數(shù)據(jù)泄漏等現(xiàn)象發(fā)生的可能性越來(lái)來(lái)越高,傳統(tǒng)的控制、管理、檢查和審計(jì)技術(shù)都受到了巨大的挑戰(zhàn)。
“IT審計(jì),本質(zhì)上是一種IT風(fēng)險(xiǎn)控制的方法,通過IT審計(jì)可以確認(rèn)IT系統(tǒng)是否安全、合規(guī)、可靠、有效”,國(guó)都興業(yè)信息審計(jì)系統(tǒng)技術(shù)(北京)有限公司信息系統(tǒng)審計(jì)技術(shù)研究部總監(jiān)陳浙一從事IT審計(jì)服務(wù)多年,對(duì)于IT風(fēng)險(xiǎn)評(píng)估、IT審計(jì)解決方案有著深刻認(rèn)識(shí),而其所在的國(guó)都興業(yè)公司作為國(guó)內(nèi)IT審計(jì)技術(shù)應(yīng)用的倡導(dǎo)者之一,已經(jīng)以COBIT模型為基礎(chǔ),創(chuàng)建了獨(dú)具特色的IT審計(jì)技術(shù)體系。“信息系統(tǒng)給用戶業(yè)務(wù)帶來(lái)高效和便捷的同時(shí),也給外部和內(nèi)部利用信息系統(tǒng)犯罪帶來(lái)了容易性和隱蔽性。要規(guī)避管理信息系統(tǒng)的風(fēng)險(xiǎn),先進(jìn)的IT審計(jì)技術(shù)不容缺失”
另一方面,雖然信息系統(tǒng)審計(jì)承擔(dān)著企業(yè)經(jīng)濟(jì)“免疫系統(tǒng)”的重要作用,但從國(guó)內(nèi)來(lái)看,IT審計(jì)的實(shí)踐和普及工作卻一直處于較為緩慢的進(jìn)程之中,原因何在?未來(lái)IT審計(jì)的發(fā)展趨勢(shì)會(huì)是怎樣?帶著這些疑問,筆者走訪了IT審計(jì)專家陳浙一。
IT審計(jì)現(xiàn)狀:蓄勢(shì)待發(fā)
記者:主要是哪些類型的企業(yè)對(duì)IT審計(jì)需求較強(qiáng)?是否主要是大型央企?
陳浙一:從應(yīng)用企業(yè)類型來(lái)看,中小企業(yè)用戶目前確實(shí)較少,IT審計(jì)主要還是集中在信息化程度要求較高、國(guó)家安全緊密相關(guān)的政企單位。比如電信運(yùn)營(yíng)商、各大銀行金融機(jī)構(gòu)、國(guó)家部委、軍隊(duì)等。
記者:能否簡(jiǎn)單介紹下IT審計(jì)在當(dāng)前國(guó)內(nèi)企事業(yè)單位中的應(yīng)用處于什么階段?
陳浙一:據(jù)我所知,此前企業(yè)中還沒有純粹意義上的信息系統(tǒng)審計(jì)項(xiàng)目,而是往往從安全風(fēng)險(xiǎn)評(píng)估角度切入,面向業(yè)務(wù)評(píng)估系統(tǒng)安全,進(jìn)行風(fēng)險(xiǎn)管理等。直至08年末審計(jì)署在某央企試點(diǎn),進(jìn)行了第一次沒有摻雜任何經(jīng)濟(jì)性質(zhì)審計(jì)的IT審計(jì)。,
記者:您如何理解審計(jì)署試點(diǎn)IT審計(jì)的舉措?
陳浙一:審計(jì)署已經(jīng)率先認(rèn)識(shí)到了在信息化時(shí)代,大型國(guó)有企業(yè)開展IT審計(jì),提升信息系統(tǒng)風(fēng)險(xiǎn)管理水平的必要性。審計(jì)署正在編撰《信息系統(tǒng)審計(jì)指南》,從而為2010年指導(dǎo)、推廣央企未來(lái)IT審計(jì)工作奠定堅(jiān)實(shí)基礎(chǔ)。
記者:指南會(huì)帶來(lái)很好的指引嗎?
陳浙一:指南一方面為國(guó)家審計(jì)機(jī)構(gòu)如何進(jìn)行IT審計(jì)提供指導(dǎo),另一方面也可以作為企業(yè)自身在做IT審計(jì)時(shí)提供有效的參考、規(guī)范,用以幫助企業(yè)CIO更好做好內(nèi)控及IT本身的控制。但I(xiàn)T審計(jì)的實(shí)施還需要政府、企業(yè)、廠商產(chǎn)業(yè)鏈各環(huán)節(jié)的通力合作。
繞不開的幾道坎
記者:目前IT審計(jì)人才的培養(yǎng)、具體的實(shí)踐等方面的工作均不夠完善。您認(rèn)為導(dǎo)致這種現(xiàn)象的原因?
陳浙一:由于信息系統(tǒng)審計(jì)工作目前的整體環(huán)境還在發(fā)展階段,企業(yè)對(duì)于IT審計(jì)人才的培養(yǎng)也處于初級(jí)階段,目前的狀況是懂IT的人才不少,但是這些專業(yè)人才往往缺少對(duì)企業(yè)的業(yè)務(wù)、審計(jì)的相關(guān)知識(shí)。 因此,如何培養(yǎng)復(fù)合型的人才已經(jīng)成為IT審計(jì)實(shí)施的關(guān)健。
記者:信息系統(tǒng)審計(jì)資格證書考試的推廣能否解決人才培養(yǎng)問題?
陳浙一:認(rèn)證肯定是可以促進(jìn)人才的培養(yǎng)的,尤其是對(duì)傳統(tǒng)審計(jì)人員從事IT審計(jì)而言。對(duì)于IT人員從事IT審計(jì)而言感覺該考試更多在于考核對(duì)信息系統(tǒng)的理解,有必要適當(dāng)增強(qiáng)審計(jì)方面的考核,讓IT人員更快的進(jìn)入審計(jì)狀態(tài)。
記者:除人才培養(yǎng)外,IT審計(jì)的推廣還有哪些困難?
陳浙一:首先是企業(yè)對(duì)IT審計(jì)的認(rèn)識(shí),企業(yè)已經(jīng)意識(shí)到系統(tǒng)安全重要性,因此愿意主動(dòng)啟動(dòng)系統(tǒng)風(fēng)險(xiǎn)評(píng)估,但是對(duì)IT審計(jì)的認(rèn)識(shí)還有待提高,只有企業(yè)認(rèn)可了IT審計(jì)對(duì)于企業(yè)主營(yíng)業(yè)務(wù)的重要性,才會(huì)真正重視起來(lái);其次,適應(yīng)變化,企業(yè)的組織在不斷調(diào)整、業(yè)務(wù)流程在不斷變化,比如最簡(jiǎn)單的人員變動(dòng),門卡注銷等,都需要信息系統(tǒng)能夠根據(jù)外部環(huán)境變化進(jìn)行及時(shí)調(diào)整。
最佳實(shí)踐/ IT審計(jì)的自我證明
記者:企業(yè)對(duì)于IT審計(jì)的猶豫,是出于成本、運(yùn)營(yíng)效率等方面的考慮。能否舉幾個(gè)實(shí)例,證明發(fā)揮好IT審計(jì)工作對(duì)于經(jīng)濟(jì)、管理工作的效用?
陳浙一:區(qū)別于四大會(huì)計(jì)師事務(wù)所的是,國(guó)都興業(yè)更側(cè)重于從審計(jì)視角提供解決方案,而不僅僅出具審計(jì)報(bào)告。基于這種背景認(rèn)識(shí),07年我們?cè)赬X機(jī)場(chǎng)做過一個(gè)IT審計(jì)類的項(xiàng)目,上線后效果非常好。當(dāng)時(shí)機(jī)場(chǎng)的業(yè)務(wù)系統(tǒng),有17個(gè)子系統(tǒng),存在協(xié)調(diào)工作難的問題,比如乘客辦登機(jī)牌時(shí)把行李托運(yùn),行李會(huì)陸續(xù)經(jīng)過多個(gè)子系統(tǒng)的流轉(zhuǎn),而這樣的運(yùn)行過程中經(jīng)常會(huì)出現(xiàn)協(xié)調(diào)上的問題。有些可以人工及時(shí)排除,而更多的人工不易檢查出來(lái),不知道問題所在。
為了及時(shí)排查行李在哪個(gè)環(huán)節(jié)出了問題,我們基于機(jī)場(chǎng)特點(diǎn)開發(fā)了一套信息系統(tǒng)審計(jì)軟件,對(duì)全流程保持全程監(jiān)控,行李是什么時(shí)候過去的,下方回應(yīng)了沒有。上方是否發(fā)出請(qǐng)求,下方是否回應(yīng),都能很快定位,同時(shí)軟件自動(dòng)把中間傳遞的相應(yīng)時(shí)間給審計(jì)出來(lái),通過這種方式可以查看系統(tǒng)效率并及時(shí)發(fā)現(xiàn)問題。該軟件一經(jīng)應(yīng)用,立刻解決了困擾客戶許久的問題,對(duì)提升客戶的工作效率起到了很好的作用。
記者:近期在其他行業(yè)還有同樣的成功案例嗎?
陳浙一:09年國(guó)都興業(yè)的IT審計(jì)產(chǎn)品開始在電信行業(yè)應(yīng)用,以基于計(jì)費(fèi)協(xié)議的審計(jì)為切入口。主要是協(xié)助客戶從兩個(gè)層面為客戶驗(yàn)證收入計(jì)費(fèi)邏輯,進(jìn)而規(guī)避收入流失風(fēng)險(xiǎn)。第一個(gè)層面是基礎(chǔ)層,主要包括驗(yàn)證計(jì)費(fèi)邏輯是否正確,計(jì)費(fèi)協(xié)議有無(wú)違反約定;第二個(gè)層面是業(yè)務(wù)層,主要驗(yàn)證業(yè)務(wù)運(yùn)營(yíng),業(yè)務(wù)邏輯,業(yè)務(wù)控制各個(gè)環(huán)節(jié)是否合理。通過審計(jì)視角展示給客戶最終的驗(yàn)證成果,取到了較好的效果。
創(chuàng)新技術(shù)方案
記者:基于COBIT的綜合審計(jì)平臺(tái)是目前IT審計(jì)界的一個(gè)技術(shù)新趨勢(shì),事實(shí)上它也是基于用戶市場(chǎng)的強(qiáng)大需求應(yīng)運(yùn)而生的。COBIT與傳統(tǒng)的ITIL的區(qū)別在哪?
陳浙一:ITIL專注于IT運(yùn)維管理和業(yè)務(wù)流程,并指導(dǎo)企業(yè)如何建立某個(gè)具體的流程。而COBIT的關(guān)注角度更廣, COBIT的范疇不僅僅在運(yùn)維方面,還在戰(zhàn)略、組織方面,另一方面COBIT更多描述的是各個(gè)流程需要達(dá)到的目標(biāo)。具體來(lái)說,COBIT著眼于與企業(yè)業(yè)務(wù)密切相關(guān)的IT資源的審計(jì)與評(píng)估,通過對(duì)IT審計(jì)流程的分析解剖,確認(rèn)IT事件審計(jì)風(fēng)險(xiǎn)點(diǎn)、控制目標(biāo),從業(yè)務(wù)效果、效率、保密性、完整性、可用性、合規(guī)性、可靠性多個(gè)維度給出IT系統(tǒng)審計(jì)評(píng)價(jià)。以COBIT為基礎(chǔ)是IT審計(jì)的必然方向。
記者:能否簡(jiǎn)單介紹下基于COBIT的綜合審計(jì)平臺(tái)?
陳浙一:IT審計(jì)一般可再細(xì)化為一般性控制審計(jì)與應(yīng)用控制審計(jì),在一般性審計(jì)方面基本已經(jīng)規(guī)范化;而在應(yīng)用控制審計(jì)上,則已經(jīng)涌現(xiàn)了一定量技術(shù)、理念都比較先進(jìn)的應(yīng)用,比如綜合審計(jì)平臺(tái)。綜合審計(jì)平臺(tái)的出發(fā)點(diǎn)由傳統(tǒng)的面向資產(chǎn)轉(zhuǎn)為直接面向業(yè)務(wù),關(guān)注基礎(chǔ)設(shè)施, COBIT效率、效果等,具體而言,綜合審計(jì)平臺(tái)提供解決方案來(lái)審計(jì)系統(tǒng)接口、流程規(guī)范,系統(tǒng)日志防篡改,幫助用戶解決一系列的實(shí)際問題。
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
-
電動(dòng)車產(chǎn)業(yè)紅利不好接?看看這四條缺了什么?
-
樂視網(wǎng)復(fù)牌首日即跌停 FF、Lucid、樂視汽車要被轉(zhuǎn)讓抵債?
-
科技部發(fā)布國(guó)家重點(diǎn)實(shí)驗(yàn)室2018年度評(píng)估工作的通知 多項(xiàng)電力研究實(shí)驗(yàn)室入圍
-
科技部發(fā)布國(guó)家重點(diǎn)實(shí)驗(yàn)室2018年度評(píng)估工作的通知 多項(xiàng)電力研究實(shí)驗(yàn)室入圍
-
2017年中國(guó)新能源重點(diǎn)細(xì)分行業(yè)發(fā)展現(xiàn)狀、新能源行業(yè)發(fā)展趨勢(shì)及投資前景分析【圖】
-
電力轉(zhuǎn)型是推動(dòng)能源轉(zhuǎn)型的關(guān)鍵
-
湖北2017年電力運(yùn)行情況:直接交易完成簽約電量351.44億千瓦時(shí)
-
河南12月全社會(huì)用電量275.86億千瓦時(shí) 同比增長(zhǎng)0.77%
-
成交電量923億!河南年度雙邊協(xié)商交易競(jìng)爭(zhēng)刷新紀(jì)錄 實(shí)現(xiàn)開門紅
-
微網(wǎng)工程設(shè)計(jì)解析:并網(wǎng)型微電網(wǎng)建設(shè)規(guī)模分析
-
全面解析微電網(wǎng)結(jié)構(gòu)與發(fā)展趨勢(shì)(附五大案例與經(jīng)濟(jì)效益分析)
-
售電必備 | 聚焦2018年增量配電網(wǎng)的六大熱點(diǎn)問題
-
安徽電力直接交易執(zhí)行、出清細(xì)則和電力市場(chǎng)電量結(jié)算規(guī)則發(fā)布
-
電網(wǎng)經(jīng)營(yíng)行業(yè)產(chǎn)品成本核算制度印發(fā):有配電業(yè)務(wù)的售電公司參照?qǐng)?zhí)行
-
遼寧對(duì)居民電采暖用戶試行峰谷分時(shí)電價(jià)政策
-
預(yù)計(jì)南方五省區(qū)2018年用電保持中速增長(zhǎng):南方電網(wǎng)將多措并舉 全力保障電力供應(yīng)平穩(wěn)有序
-
財(cái)政部發(fā)布:電網(wǎng)經(jīng)營(yíng)行業(yè)產(chǎn)品成本核算制度
-
聚焦:貴州電力市場(chǎng)陷入僵局 大云網(wǎng)電力分析師邀您觀望
-
電動(dòng)車產(chǎn)業(yè)紅利不好接?看看這四條缺了什么?
-
樂視網(wǎng)復(fù)牌首日即跌停 FF、Lucid、樂視汽車要被轉(zhuǎn)讓抵債?
-
多方勢(shì)力搏殺新能源車市場(chǎng) 競(jìng)爭(zhēng)激烈