CIO如何消除對IT審計的誤解和偏見
IT與業(yè)務的不斷融合正在讓越來越多的CIO面臨前所未有的壓力。一方面,IT的任何風吹草動,都可能對高度依賴IT的業(yè)務造成影響,這使得CIO必須格外關(guān)注IT的任何潛在風險。另一方面,隨著業(yè)務流程逐漸被IT系統(tǒng)所固化
IT與業(yè)務的不斷融合正在讓越來越多的CIO面臨前所未有的壓力。一方面,IT的任何風吹草動,都可能對高度依賴IT的業(yè)務造成影響,這使得CIO必須格外關(guān)注IT的任何潛在風險。另一方面,隨著業(yè)務流程逐漸被IT系統(tǒng)所固化,一些原本屬于其他部門的風險開始轉(zhuǎn)化給了IT部門和CIO。
為了緩解這種壓力,CIO必須盡可能地發(fā)現(xiàn)IT系統(tǒng)的任何潛在風險,因為一旦這些風險演變?yōu)槭鹿剩珻IO必須為此承擔責任并付出代價。而信息系統(tǒng)審計(以下簡稱“IT審計”)的重要職責之一,就是幫助CIO發(fā)現(xiàn)這些潛在風險。
IT 審計最早出現(xiàn)在IT應用比較深入的金融業(yè),后來逐漸擴展到其他行業(yè)。IT審計的目標是協(xié)助組織信息技術(shù)管理人員有效地履行其責任,以達成組織的信息技術(shù)管理目標。組織的信息技術(shù)管理目標是保證組織的信息技術(shù)戰(zhàn)略,充分反映該組織的業(yè)務戰(zhàn)略目標,提高組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準確性,提高信息系統(tǒng)運行的效果與效率,保證信息系統(tǒng)的運行符合法律、法規(guī)及監(jiān)管的相關(guān)要求。
遺憾的是,并不是所有的CIO都認為IT 審計是在幫他們——由于不了解,造成了很多CIO對IT審計的種種誤解和偏見。那么,對于CIO來講,究竟該如何看待IT審計?又該如何配合IT審計?面對IT審計師出具的報告,CIO又該如何做?為此,記者邀請到了中國IT治理研究中心研究員王東紅、巨人網(wǎng)絡集團有限公司內(nèi)部監(jiān)察審計部副部長朱永明、金茂集團IT經(jīng)理王浩,就IT審計的相關(guān)話題,展開了討論。據(jù)我了解,金茂集團在今年3月剛剛請外部機構(gòu)做了IT審計。王浩,請你先來談談,你對這次審計的切身感受。
王浩:這是我們第一次經(jīng)歷IT審計。整個審計持續(xù)了大概一個月,審得比較細致,審計內(nèi)容涉及到了過去3年所有系統(tǒng)的變更記錄、人員權(quán)限、數(shù)據(jù)備份、故障管理、業(yè)務系統(tǒng)風險等很多方面。
雖然我們一直非常關(guān)注信息系統(tǒng)可能潛在的各種風險,但是確實沒有IT審計師們看得這么細。因此這次審計也指出了我們在風險控制方面存在的一些不足,特別是對一些文檔制度建設(shè)的重要性,讓我們有了更加深刻的認識。
最近,我正在對今年原定的IT計劃做調(diào)整,如何彌補IT審計中發(fā)現(xiàn)的不足也被列進了我們今年的IT工作計劃中。
記者:IT審計很重要的內(nèi)容之一就是發(fā)現(xiàn)系統(tǒng)的潛在風險,王浩也提到了IT部門對IT風險一直是很關(guān)注的。那么IT審計師看待或者查找IT風險的角度與IT部門自己相比主要有哪些不同?
朱永明:據(jù)我了解,IT風險是指在信息處理和信息技術(shù)運用過程中產(chǎn)生的,可能成為影響組織目標實現(xiàn)的各種不確定因素。IT風險包括組織層面的信息技術(shù)風險、一般性控制層面的信息技術(shù)風險,以及業(yè)務流程層面的信息技術(shù)風險等。
我們的內(nèi)部IT審計師的主要工作就是評估現(xiàn)有IT基礎(chǔ)設(shè)施、組織、流程的風險,制定審計計劃,實施審計,并就發(fā)現(xiàn)的缺陷與管理層討論,跟蹤后續(xù)整改,改進IT業(yè)務。
與CIO看待IT系統(tǒng)風險的角度相比,IT審計師更測重于管理而非技術(shù)方面,比如在安全方面更側(cè)重于訪問控制的措施,以及是否有定期回顧,還有就是該崗位的人員能否勝任工作,有無進行過適當培訓以保障其勝任工作的能力等。
王東紅:從我的經(jīng)驗看,CIO和IT部門面臨的工作眾多,識別潛在的IT風險并進行及時規(guī)避只是他們工作中的一部分。相比之下,IT審計師最重要的職責就是識別IT系統(tǒng)的潛在風險,所以,在一定程度上,IT審計師顯得更專業(yè)。
據(jù)我們了解,大部分企業(yè)都沒有建立相應的IT系統(tǒng)風險管理體系,這就造成了CIO看待IT風險的時候,往往是局部的,很難站在全局的角度,系統(tǒng)地去考慮可能存在的IT風險,這必然會忽略一些IT風險的存在。
任何審計都有詳細的流程和標準,IT審計也是如此。IT審計師對IT系統(tǒng)進行審計時,會遵照既定的流程和標準一項項排查,比CIO和IT部門考慮得更細致,也更容易發(fā)現(xiàn)潛在的風險。比如,現(xiàn)在普遍存在的IT外包,很多企業(yè)對IT外包的管理非常粗放,IT審計師就會關(guān)注這些外包出去的環(huán)節(jié),如其變更怎么管理、安全怎么管理等,這些都是CIO比較容易忽視的細節(jié)。
但是,有時候CIO的某些做法也是“迫不得已”,因為他們要考慮到業(yè)務的靈活性,必須對系統(tǒng)做一些臨時的改動,即便這樣的改動是存在風險的。
記者:在發(fā)現(xiàn)IT風險方面,IT審計師的工作確實是CIO工作很好的補充,這是否可以認為是IT審計受到重視的一個重要原因?
王東紅:目前將IT看成是業(yè)務的一部分已經(jīng)成為一種共識。企業(yè)對IT系統(tǒng)的依賴程度不斷加強的同時,IT系統(tǒng)正面臨不斷增多的各種各樣的威脅。在全球加強行業(yè)監(jiān)管和內(nèi)部控制的趨勢中,IT越來越充當重要角色,IT不僅要為業(yè)務的風險控制提供保障環(huán)境,而且其自身的風險控制也備受關(guān)注。IT風險也隨之成為業(yè)務風險的一部分。
因此,IT審計之所以受到越來越多企業(yè)的重視,正是出于業(yè)務穩(wěn)定性和IT風險方面的考慮。在應對IT風險方面,IT審計的重要性包括兩個層面:第一是預防風險,IT審計可以幫助企業(yè)識別并預防支撐業(yè)務的IT系統(tǒng)存在的風險,也可以幫助企業(yè)審核IT系統(tǒng)對外部法規(guī)的遵從性,從而避免來自外部法規(guī)監(jiān)管可能存在的風險等。第二是幫助改進,特別是內(nèi)審,不僅要發(fā)現(xiàn)風險,還要配合CIO針對審計中發(fā)現(xiàn)的風險進行有效管理,把風險防范做得更好。
那么總體來看,CIO是否已經(jīng)對IT審計的這些重要性有了足夠認識?朱永明:業(yè)務對IT的依賴越來越大,由于IT本身的復雜性以及IT部門人員的工作特點,導致的IT風險越來越大。如果沒有一些審計機制的建立,業(yè)務上將會受到重大影響。雖然我們是公司內(nèi)部人員,但是,我還是能夠比較深刻地感受到,CIO和 IT部門對IT審計比較普遍地存在著這樣的認識——他們認為IT審計人員不懂IT部門的業(yè)務和技術(shù),完全是外行,因此對IT審計消極對待,這樣他們自然也就無法理解IT審計工作的意義以及在組織中的重要作用了。
王東紅:我們作為“外來的和尚”對這方面的感受更深,CIO對于IT審計還有一種比較普遍的偏見——認為IT審計就是對IT部門的工作挑毛病,所以很多人對此比較抵觸。不僅是對外部IT審計,甚至就像朱永明所說的,有些CIO對內(nèi)部IT審計也抱著同樣的態(tài)度。
記者:朱永明、王東紅提到的CIO以及IT部門對IT審計人員的誤解,王浩,這種情況在你們那里是否也多多少少存在?
王浩:舉個例子。給我們這次做IT審計的一些審計師也是剛畢業(yè)的大學生或者研究生,他們對IT部門的業(yè)務和技術(shù)確實了解不多。
不過,這并不會對審計的結(jié)果產(chǎn)生太大影響,因為IT審計有嚴格的流程和標準,這些審計師只要按照流程一步步走下來就可以了。王浩說的這種情況是否也存在?
王東紅:這是一個更深層次的問題——目前國內(nèi)的大部分IT審計師是否已經(jīng)有足夠能力勝任IT審計工作呢?我覺得還遠遠不夠。嚴格意義上來講,IT審計師應該需要有多方面的知識儲備,不僅要懂IT、懂財務,還要懂審計、懂內(nèi)控。就拿IT來講,規(guī)劃、開發(fā)、建設(shè)、運維等全生命周期的知識,IT審計師都應該具備。
但是,目前在國內(nèi)這樣的復合型人才確實非常稀缺。要彌補這種人才短缺,有幾種方法,一是依靠團隊的力量,每個IT審計師只負責一塊任務,比如專門對ERP進行審計、專門對安全進行審計等;第二要有規(guī)范的流程,這也是剛剛王浩提到的,這樣可以彌補審計師的個人素質(zhì)不足。
記者:剛剛談到一些CIO會認為IT審計是在“挑毛病”,我很想問問王浩,你也有這樣的感覺嗎?
王浩:經(jīng)歷過上次的IT審計之后,我一直在不斷地補充IT審計相關(guān)的知識,也看了一些書,對IT審計確實有了更深刻的認識。所以我并不認為IT審計是“挑毛病”。我倒是覺得IT審計是好事情,因為經(jīng)過一次審計,肯定會知道哪些地方存在不足,還需要改進,這對IT部門的工作開展是有幫助的。
之所以有些CIO對IT審計有誤解,我覺得可能還是他們對IT審計接觸得比較少。我們在做IT審計之前,咨詢了很多企業(yè)的IT主管,除了金融行業(yè)外,其他的基本上都沒有接觸過IT審計,所以有偏見也屬正常。
記者:各位都提到了CIO應該了解IT審計的相關(guān)知識,具體來講,應該了解哪些呢?
王東紅:我們當然希望所有的CIO同時又是IT審計的專家,這樣在面對IT審計師時,CIO一定會底氣十足。因為CIO對IT審計師的工作了如指掌,甚至對他們可能問到的每一個問題、每一份材料都可以提前準備好。但是,要做到這點確實是不太可能。這就需要CIO對IT審計能有最起碼的認識。
首先,CIO應該了解IT審計師的溝通語言是什么,這是溝通的基礎(chǔ),只有溝通語言是一致的,才有可能進行溝通。那么IT審計師的溝通語言是什么呢?毫無疑問,就是COBIT、COSO、ITIL、BS7799這些大家公認的控制框架。
其次,CIO要改變觀念,必須正確看待IT審計——他們不是來挑毛病的,而是來幫助IT部門發(fā)現(xiàn)問題、解決問題的。
第三,要弄清楚為什么IT審計師要審計這些控制點,審計的目的又是什么。對相應的控制點有深入的了解后,在下次審計時,就能趕在審計師前面,把相應的控制點做好。
與此同時,CIO可以建立一套自我評估的體系,在IT審計來臨之前,在部門內(nèi)部先自行進行自我評估。根據(jù)審計師的審計要點自我檢查。這套自我評估體系其實就是風險管理體系。
記者:在IT審計過程中,CIO又該如何支持IT審計師的工作呢?
朱永明:IT審計的流程一般包括這么幾個階段:了解審計對象、制定審計計劃、審計準備、制定審計方案、現(xiàn)場審計、就審計發(fā)現(xiàn)與業(yè)務部門進行溝通、出具審計報告、報告審計結(jié)果等。IT審計是基于常規(guī)審計的程序,借鑒IT治理的框架開展審計的,實際上是對公司IT治理的檢驗,也是對CIO負責的核心業(yè)務的檢驗,所以在每一個環(huán)節(jié),都需要CIO的配合。至于如何配合,我覺得最重要的還是要正視IT審計工作,只要認識到可以借助IT審計提升IT業(yè)務水平并降低風險, CIO一定會給予非常好的配合。
王東紅:在審計過程中,審計師會要求CIO出具各種相關(guān)數(shù)據(jù)和材料,對于審計師的這些要求,CIO的態(tài)度不同,可能會造成截然不同的結(jié)果。
記者:一種是要什么給什么,另一種是要什么不給什么,這兩種態(tài)度哪種好呢?
都不好!這兩個極端都是不可取的。CIO對IT審計的配合要適度,至于這個度怎么把握,主要在于CIO與IT審計師的溝通。當然,我主要是針對外部審計說的,對待內(nèi)部IT審計的時候,確實應該全面配合。內(nèi)部審計與外部審計要區(qū)別對待。
王浩:我就談一條,那就是要理解。比如我們在做IT審計時,我覺得這些審計師太刻板。比方說做系統(tǒng)的安全性審核,他們完全從安全性角度去看,不會考慮業(yè)務的靈活度等,而我們不可能這么刻板地去考慮問題,畢竟系統(tǒng)要為業(yè)務提供支撐的。不過,刻板也意味著另外一個詞,就是嚴謹,只有這樣才能盡可能地發(fā)現(xiàn)系統(tǒng)的潛在風險,所以一定程度上他們這種刻板也是可以理解的。
記者:對于審計過程中發(fā)現(xiàn)的IT風險,IT審計師一般會怎么處理?
朱永明:在我們集團內(nèi)部,IT內(nèi)部審計結(jié)束之后的流程一般是這樣的:收集審計證據(jù),與相關(guān)業(yè)務部門確認問題,討論風險,向管理層報告風險,最后是提出審計建議。
王東紅:在審計實施結(jié)束后,審計人員應以充分的可靠的審計證據(jù)為依據(jù),形成審計結(jié)論與建議,出具審計報告,跟進審計結(jié)果,追蹤審計建議的落實并執(zhí)行相應后續(xù)審計程序。
當IT審計作為其他綜合性內(nèi)部審計項目的一部分時,審計人員應及時與其他相關(guān)的內(nèi)部審計人員溝通信息系統(tǒng)內(nèi)部審計的發(fā)現(xiàn),并考慮依據(jù)審計結(jié)果,調(diào)整其他相關(guān)審計的范圍、時間及性質(zhì)。
免責聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
電動車產(chǎn)業(yè)紅利不好接?看看這四條缺了什么?
-
樂視網(wǎng)復牌首日即跌停 FF、Lucid、樂視汽車要被轉(zhuǎn)讓抵債?
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
2017年中國新能源重點細分行業(yè)發(fā)展現(xiàn)狀、新能源行業(yè)發(fā)展趨勢及投資前景分析【圖】
-
電力轉(zhuǎn)型是推動能源轉(zhuǎn)型的關(guān)鍵
-
湖北2017年電力運行情況:直接交易完成簽約電量351.44億千瓦時
-
河南12月全社會用電量275.86億千瓦時 同比增長0.77%
-
成交電量923億!河南年度雙邊協(xié)商交易競爭刷新紀錄 實現(xiàn)開門紅
-
微網(wǎng)工程設(shè)計解析:并網(wǎng)型微電網(wǎng)建設(shè)規(guī)模分析
-
全面解析微電網(wǎng)結(jié)構(gòu)與發(fā)展趨勢(附五大案例與經(jīng)濟效益分析)
-
售電必備 | 聚焦2018年增量配電網(wǎng)的六大熱點問題
-
安徽電力直接交易執(zhí)行、出清細則和電力市場電量結(jié)算規(guī)則發(fā)布
-
電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度印發(fā):有配電業(yè)務的售電公司參照執(zhí)行
-
遼寧對居民電采暖用戶試行峰谷分時電價政策
-
預計南方五省區(qū)2018年用電保持中速增長:南方電網(wǎng)將多措并舉 全力保障電力供應平穩(wěn)有序
-
財政部發(fā)布:電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度
-
聚焦:貴州電力市場陷入僵局 大云網(wǎng)電力分析師邀您觀望