隨著科技的發(fā)展，信息系統(tǒng)在當(dāng)今社會(huì)所扮演的角色已經(jīng)從幕后走到了臺(tái)前，IT技術(shù)不再是僅僅用來(lái)提高計(jì)算速率的加分項(xiàng)，而是作為保證單位/企業(yè)順利地開(kāi)展業(yè)務(wù)、實(shí)現(xiàn)目標(biāo)、獲得利益的基礎(chǔ)條件。IT審計(jì)迅速發(fā)展，仿佛突然之間成為高檢索率的熱門(mén)詞匯陣營(yíng)。我國(guó)IT審計(jì)的發(fā)展相對(duì)遲緩，對(duì)于IT審計(jì)的認(rèn)識(shí)目前仍然主要停留在計(jì)算機(jī)輔助工具層面，認(rèn)為IT審計(jì)只是通過(guò)使用計(jì)算機(jī)技術(shù)提高傳統(tǒng)審計(jì)的效率，卻很少或沒(méi)有從審計(jì)對(duì)象的角度審視信息系統(tǒng)。因此，當(dāng)身邊的人們反復(fù)提起IT審計(jì)時(shí)，我們很自然會(huì)產(chǎn)生困惑：IT審計(jì)究竟是什么、有何特點(diǎn)、為什么要開(kāi)展IT審計(jì)、如何開(kāi)展IT審計(jì)、由誰(shuí)執(zhí)行IT審計(jì)、開(kāi)展IT審計(jì)需要滿足哪些條件，等等。本文將為讀者一一解開(kāi)這些謎團(tuán)。

　　IT審計(jì)是什么

　　IT審計(jì)（Information Technology Audit），也稱作信息系統(tǒng)審計(jì)。很多研究人員認(rèn)為，IT審計(jì)的概念源于在20世紀(jì)60年代。1960年起，IBM公司相繼出版了《The Auditor Encounters Electronic Data Processing》、《In-line Electronic Processing and Audit Trail》等一系列文獻(xiàn)，介紹了電子數(shù)據(jù)環(huán)境下的內(nèi)部審計(jì)規(guī)則和組織方法，并首次將計(jì)算機(jī)審計(jì)的概念帶入人們的認(rèn)識(shí)中；1968年，美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)出版了《會(huì)計(jì)審計(jì)與計(jì)算機(jī)》，指導(dǎo)會(huì)計(jì)師事務(wù)所對(duì)利用計(jì)算機(jī)較早、較為深入的金融行業(yè)開(kāi)展審計(jì)。嚴(yán)格來(lái)講，電子數(shù)據(jù)處理審計(jì)或計(jì)算機(jī)審計(jì)并非真正意義上的信息系統(tǒng)審計(jì)，計(jì)算機(jī)審計(jì)的定位是擴(kuò)展傳統(tǒng)財(cái)務(wù)審計(jì)的一種技術(shù)資源，為審計(jì)師開(kāi)展涉及到電子數(shù)據(jù)的財(cái)務(wù)審計(jì)業(yè)務(wù)時(shí)提供必要的技術(shù)支持。

　　業(yè)界始終沒(méi)有就IT審計(jì)的定義達(dá)成統(tǒng)一的意見(jiàn)，目前使用較廣的是美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA 給出的描述。ISACA認(rèn)為，IT審計(jì)是一個(gè)過(guò)程，在這個(gè)過(guò)程中IT審計(jì)師（CISA ）通過(guò)獲取和評(píng)價(jià)相關(guān)證據(jù)，判斷被審查的信息系統(tǒng)能否保證單位或企業(yè)的資產(chǎn)安全、數(shù)據(jù)完整，以及能否有效地利用資源并高效地實(shí)現(xiàn)目標(biāo)。除ISACA的定義外，國(guó)際上認(rèn)可度相對(duì)高的IT審計(jì)定義包括，國(guó)際權(quán)威的IT審計(jì)專家Ron Weber在《Information Systems Audit and Control》一書(shū)中對(duì)IT審計(jì)的定義，他認(rèn)為IT審計(jì)是一個(gè)搜集并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)（信息系統(tǒng)）能否在經(jīng)濟(jì)劃算地利用資源的情況下，有效保護(hù)資產(chǎn)安全、維護(hù)數(shù)據(jù)完整并實(shí)現(xiàn)組織目標(biāo)的過(guò)程；日本通產(chǎn)省情報(bào)處理開(kāi)發(fā)協(xié)會(huì)信息系統(tǒng)審計(jì)委員會(huì)于1996年修訂該協(xié)會(huì)11年前對(duì)計(jì)算機(jī)審計(jì)的定義，描述信息系統(tǒng)審計(jì)是“為保證信息系統(tǒng)安全、可靠、有效，由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合檢查與評(píng)價(jià)，并向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo)層指出系統(tǒng)存在的問(wèn)題及改進(jìn)建議的一組連續(xù)的活動(dòng)”。由于IT審計(jì)在我國(guó)的發(fā)展相對(duì)遲緩，目前尚未形成被普遍認(rèn)可的IT審計(jì)定義。

　　雖然對(duì)IT審計(jì)的描述沒(méi)有達(dá)成統(tǒng)一，但是我們不難發(fā)現(xiàn)，專家們對(duì)IT審計(jì)的理解至少在以下幾個(gè)方面是一致的：首先，IT審計(jì)是一個(gè)過(guò)程，這個(gè)過(guò)程需要由獲得CISA認(rèn)證的IT審計(jì)師，以獨(dú)立客觀的身份執(zhí)行；其次，IT審計(jì)的過(guò)程中，IT審計(jì)師需要獲取證據(jù)并分析證據(jù)，目的是檢查信息系統(tǒng)的安全性、可靠性、有效性以及高效性；第三，審計(jì)師得到結(jié)果并不意味IT審計(jì)過(guò)程的完結(jié)，還需要向被審計(jì)單位報(bào)告審計(jì)結(jié)果，指明審查過(guò)程中發(fā)現(xiàn)的、信息系統(tǒng)存在的問(wèn)題，以及針對(duì)這些問(wèn)題向被審計(jì)單位的高層提供改進(jìn)的建議。

　　IT審計(jì)由誰(shuí)審

　　IT審計(jì)要求執(zhí)行者必須具備CISA資格認(rèn)證。作為一門(mén)跨領(lǐng)域的邊緣性學(xué)科，信息系統(tǒng)審計(jì)與控制協(xié)會(huì)嚴(yán)格考核從業(yè)者的知識(shí)和技能，從傳統(tǒng)審計(jì)理論、信息系統(tǒng)管理理論、行為科學(xué)理論和計(jì)算機(jī)科學(xué)等四個(gè)領(lǐng)域的要求，綜合評(píng)價(jià)申請(qǐng)者知識(shí)技能的掌握程度，判斷是否認(rèn)可申請(qǐng)者的IT審計(jì)從業(yè)資格。IT審計(jì)是一個(gè)對(duì)從業(yè)者無(wú)論知識(shí)技能還是實(shí)際經(jīng)驗(yàn)，要求均非常高的專業(yè)領(lǐng)域。我們知道，信息系統(tǒng)本身具有很強(qiáng)的復(fù)雜性，當(dāng)把多個(gè)復(fù)雜的對(duì)象糅合在一起，其結(jié)果很明顯：正如一團(tuán)亂麻，要求梳理這團(tuán)亂麻的人員必須具備足夠的素質(zhì)才能獲得期望中的結(jié)果，否則，結(jié)局只會(huì)是使眼前復(fù)雜的問(wèn)題變得更加復(fù)雜。因此，IT審計(jì)師必須具備專業(yè)的能力和良好的素質(zhì)，才能針對(duì)審計(jì)對(duì)象做出合理有效的評(píng)價(jià)。

　　IT審計(jì)要求審計(jì)師必須以獨(dú)立客觀的身份執(zhí)行審查。獨(dú)立客觀，強(qiáng)調(diào)IT審計(jì)師執(zhí)行某項(xiàng)IT審計(jì)任務(wù)時(shí)，必須與被審計(jì)信息系統(tǒng)不存在任何的利益關(guān)系。此處的利益關(guān)系，既包含不參與（包括不曾參與）信息系統(tǒng)生命周期的有關(guān)活動(dòng)，信息系統(tǒng)生命周期包括設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、部署、維護(hù)等環(huán)節(jié)；也包含不涉及被審計(jì)信息系統(tǒng)的業(yè)務(wù)和經(jīng)濟(jì)利益。

　　傳統(tǒng)財(cái)務(wù)審計(jì)活動(dòng)中，明確要求審計(jì)師具有獨(dú)立客觀的性質(zhì)，目的是避免因?qū)徲?jì)師舞弊風(fēng)險(xiǎn)，導(dǎo)致結(jié)果失去公平公正的基本原則，損害到被審計(jì)對(duì)象的利益相關(guān)者的合法利益。但是，如何將這一要求與IT審計(jì)師的獨(dú)立客觀性進(jìn)行合理的關(guān)聯(lián)？

　　信息技術(shù)的應(yīng)用是一把雙刃劍，在提高效率的同時(shí)，引入大量安全威脅。我們都很清楚，法律上明令要求，電子數(shù)據(jù)不能作為證據(jù)。這是由于電子數(shù)據(jù)具有易于修改的特征，正如筆者此刻假若修改本文的某一處字詞，是非常容易的事情；尤其對(duì)于安全保護(hù)措施不完善的信息系統(tǒng)，其遭遇黑客攻擊、蒙受損失的可能性要遠(yuǎn)高于其他部署了良好的信息安全防護(hù)手段并定期接受專家查驗(yàn)的系統(tǒng)。IT審計(jì)師作為第三方人員，負(fù)責(zé)檢查信息系統(tǒng)情況，IT審計(jì)師具有比較大的權(quán)限，可以這樣設(shè)想：如果，IT審計(jì)師與信息系統(tǒng)業(yè)務(wù)有關(guān)，則無(wú)法排除IT審計(jì)師利用其擁有的高權(quán)限，對(duì)業(yè)務(wù)信息進(jìn)行修改，或者隱藏系統(tǒng)中的部分漏洞以便于利用這些漏洞竊取機(jī)密信息，為自己謀取福利，等等。這一系列行為的發(fā)生，哪怕只是發(fā)生其中的一件，足以導(dǎo)致企業(yè)蒙受巨大的損失。

　　可以如此理解IT審計(jì)對(duì)于審計(jì)師具備獨(dú)立客觀屬性的要求：當(dāng)IT審計(jì)師以不獨(dú)立于被審計(jì)對(duì)象身份執(zhí)行審計(jì)任務(wù)時(shí)，其帶給被審計(jì)組織的價(jià)值就會(huì)發(fā)生變化，不但無(wú)法保證其針對(duì)信息系統(tǒng)使用和維護(hù)過(guò)程中相關(guān)控制有效評(píng)價(jià)，促進(jìn)組織管理結(jié)構(gòu)和控制框架完善，而是組織產(chǎn)生高系數(shù)的IT風(fēng)險(xiǎn)。

　　IT審計(jì)審什么

　　信息系統(tǒng)審計(jì)不同于傳統(tǒng)的財(cái)務(wù)審計(jì)。當(dāng)提及財(cái)務(wù)審計(jì)的時(shí)候，目標(biāo)很明確，就是審查組織的財(cái)務(wù)報(bào)表，識(shí)別組織經(jīng)濟(jì)活動(dòng)中的舞弊行為。可是，IT審計(jì)要審什么？也許會(huì)有部分讀者認(rèn)為：IT審計(jì)既然也稱為信息系統(tǒng)審計(jì)，那么審計(jì)對(duì)象自然是信息系統(tǒng)。這個(gè)回答，然，亦不然。

　　然，是因?yàn)榧热环Q作信息系統(tǒng)審計(jì)，必然與信息系統(tǒng)有著莫大的聯(lián)系，至少I(mǎi)T審計(jì)必然是圍繞信息系統(tǒng)展開(kāi)；不然，是由于這個(gè)回答并不準(zhǔn)確。審計(jì)作為獨(dú)立于組織業(yè)務(wù)鏈之外的結(jié)構(gòu)，監(jiān)督并客觀評(píng)價(jià)與業(yè)務(wù)相關(guān)的控制在設(shè)計(jì)和執(zhí)行方面的效果、效率，為完善組織內(nèi)控框架提供建議，確保組織的利益相關(guān)者的利益不遭受損害并能夠順利獲得。我們不難發(fā)現(xiàn)，審計(jì)是圍繞著組織的控制而設(shè)計(jì)并開(kāi)展的一項(xiàng)活動(dòng)，其價(jià)值最直接地表現(xiàn)在對(duì)于控制的監(jiān)督和評(píng)價(jià)上。所以，當(dāng)對(duì)審計(jì)業(yè)務(wù)細(xì)化并指明針對(duì)信息系統(tǒng)審查時(shí)，其內(nèi)容也必須得到同等程度的明確，即，IT審計(jì)需要針對(duì)IT控制的設(shè)計(jì)和執(zhí)行情況進(jìn)行監(jiān)督及評(píng)估。

　　對(duì)于IT控制的定義，相關(guān)的權(quán)威機(jī)構(gòu)或最佳實(shí)踐分別從不同的角度進(jìn)行描述。例如，IT管理最佳實(shí)踐框架COBIT從IT控制的形態(tài)及功能的角度進(jìn)行描述，認(rèn)為IT控制是為了確保實(shí)現(xiàn)企業(yè)目標(biāo)、預(yù)防或發(fā)現(xiàn)和糾正意外事件的各種政策、程序、做法和組織結(jié)構(gòu)；而ISACA的信息系統(tǒng)審計(jì)準(zhǔn)則從信息系統(tǒng)階段生命周期的角度進(jìn)行描述，將IT控制概括為在IT系統(tǒng)和服務(wù)購(gòu)買(mǎi)、實(shí)施、交付和支持方面的控制。

　　IT控制有多種不同的分類方式。例如，從普適性和針對(duì)性角度區(qū)分，IT控制可以分成一般控制和應(yīng)用控制。其中，一般控制用以降低廣義層面上信息系統(tǒng)軟、硬件及方案整體的風(fēng)險(xiǎn)，強(qiáng)調(diào)適用于全部信息系統(tǒng)的通用的一類控制，這些控制與信息系統(tǒng)的具體業(yè)務(wù)沒(méi)有直接聯(lián)系；而應(yīng)用控制強(qiáng)調(diào)集成在應(yīng)用程序中的、具有明確針對(duì)性的控制手段，需要與信息系統(tǒng)的功能目標(biāo)相符合。IT控制涉及信息系統(tǒng)的獲取、實(shí)施、交付、支持等過(guò)程，需要從整個(gè)生命周期對(duì)信息系統(tǒng)的運(yùn)行環(huán)境、組成要素、核心數(shù)據(jù)、功能應(yīng)用及運(yùn)作流程等進(jìn)行全面的管理和監(jiān)督。IT控制的作用范圍既涉及到所有信息系統(tǒng)的共性需求，也必須滿足其特有的功能目標(biāo)，因此必須綜合運(yùn)用信息系統(tǒng)的一般控制與應(yīng)用控制，才能確保信息系統(tǒng)處于安全、可靠、高效、可控的狀態(tài)，確保系統(tǒng)的功能和效果與預(yù)期目標(biāo)統(tǒng)一。

　　再如，依據(jù)控制的設(shè)計(jì)及效果進(jìn)行區(qū)別，IT控制又可以分成預(yù)防性控制、檢查性控制和糾正性控制。預(yù)防性控制是為了防止錯(cuò)誤、遺漏或安全事故發(fā)生；檢查性控制則用以檢查繞過(guò)預(yù)防控制的錯(cuò)誤或事故；而糾正性控制則是為了糾正被檢測(cè)出的錯(cuò)誤、遺漏及安全事故。預(yù)防性控制屬于事前防范措施，有效部署預(yù)防性控制可以避免事故或問(wèn)題發(fā)生，使危害或損失為零。檢查性控制屬于事中舉措，雖然預(yù)防性控制的效果是最理想的，但是由于錯(cuò)誤、遺漏及安全事故形態(tài)特征多樣，無(wú)法確保一組控制措施足夠完整可以對(duì)所有的問(wèn)題做到有效地預(yù)防，因此在錯(cuò)誤或事故發(fā)生的時(shí)刻能夠及時(shí)對(duì)其識(shí)別是非常必要的。檢查性措施和糾正性措施通常組合部署，這是由于僅僅識(shí)別出問(wèn)題并沒(méi)有完成控制的目標(biāo)，在無(wú)法規(guī)避風(fēng)險(xiǎn)的條件下，只能退而求其次，采取措施使危害或損失的程度降至最低，這也是糾正性控制的作用；同時(shí)，糾正性控制能夠有效發(fā)揮作用需要基于準(zhǔn)確識(shí)別問(wèn)題的前提，即，糾正性控制需要以檢查性控制作為條件，二者不可分割。

　　對(duì)于IT控制的理解，還存在其他一些分類方式，例如，從組織架構(gòu)的角度、基于IT控制設(shè)計(jì)和實(shí)施的相關(guān)角色的職責(zé)進(jìn)行分類，IT控制又可以分成治理控制、管理控制和技術(shù)控制。治理層的IT控制涉及確保有效的信息管理與安全的方針、政策和過(guò)程是恰當(dāng)?shù)模⑶彝ㄟ^(guò)對(duì)績(jī)效的合規(guī)性指標(biāo)進(jìn)行度量，表明對(duì)框架的持續(xù)支持。在一個(gè)組織中，其治理控制的實(shí)體通常表現(xiàn)為組織的政策，體現(xiàn)組織的戰(zhàn)略目標(biāo)及宗旨。管理控制用以確保IT控制能夠?qū)崿F(xiàn)組織的既定目標(biāo)，并且所有適用的IT控制具備可靠性及連續(xù)性。管理控制在組織中的實(shí)體通常以標(biāo)準(zhǔn)、組織和管理、物理與環(huán)境控制的形式存在。技術(shù)控制與設(shè)計(jì)、實(shí)現(xiàn)及維護(hù)信息系統(tǒng)功能和效果聯(lián)系最緊密，是確保其他IT控制具備可靠性的基礎(chǔ)，例如信息系統(tǒng)軟件控制、獲取和實(shí)施控制、基于應(yīng)用的控制等等。

　　對(duì)于組織而言，引入并應(yīng)用IT控制的目標(biāo)集中在滿足以下四個(gè)方面的要求：

　　（1）有效地交付可靠信息，確保安全的IT服務(wù)符合本組織的戰(zhàn)略、政策、外部需求和風(fēng)險(xiǎn)偏好；

　　（2）保障利益相關(guān)者的利益；

　　（3）實(shí)現(xiàn)客戶、商業(yè)伙伴和其他外部各方完成業(yè)務(wù)目標(biāo)的互惠互利關(guān)系；

　　（4）適當(dāng)?shù)刈R(shí)別并應(yīng)對(duì)威脅和潛在的情況。

　　IT審計(jì)作為監(jiān)督評(píng)估IT控制的角色，需要在理解了IT控制的目標(biāo)之后，有針對(duì)性的取證分析，做出客觀的判斷并向管理層匯報(bào)，同時(shí)針對(duì)不當(dāng)?shù)目刂铺岢龈倪M(jìn)建議。

　　ISACA編訂并發(fā)布COBIT指導(dǎo)信息系統(tǒng)實(shí)施單位和IT審計(jì)人員更清晰地了解和把握IT控制。COBIT（Control Object of Information related Technologies）作為IT管理和IT審計(jì)的最佳實(shí)踐框架，目前的已發(fā)行到版本4.1。COBIT將包含IT基礎(chǔ)設(shè)施、IT應(yīng)用、人員和信息四類要素的IT資源分配到信息系統(tǒng)生命周期的4個(gè)域、34個(gè)流程的控制中，并針對(duì)每個(gè)流程依據(jù)包含機(jī)密、完整、可靠、合規(guī)、效果、效率、可用等七個(gè)屬性的業(yè)務(wù)目標(biāo)分別定義了各流程的IT控制目標(biāo)及活動(dòng)目標(biāo)。COBIT的4個(gè)域包括：規(guī)劃與組織PO（Planning and Organization）、獲取與實(shí)施AI（Acquisition and Implementation）、交付與支持DS（Delivery and Support）、監(jiān)控與評(píng)估ME（Monitoring and Evaluation）；每個(gè)域中包含一定數(shù)量的IT流程。

　　COBIT利用目標(biāo)和指標(biāo)的關(guān)系，實(shí)現(xiàn)信息系統(tǒng)與單位業(yè)務(wù)目標(biāo)的完美融合。COBIT建議按照業(yè)務(wù)、信息系統(tǒng)整體、IT流程、流程活動(dòng)的順序自上而下的對(duì)業(yè)務(wù)目標(biāo)進(jìn)行分解，從而確保IT目標(biāo)與業(yè)務(wù)目標(biāo)的關(guān)聯(lián)；同時(shí)按照從流程活動(dòng)、IT流程、信息系統(tǒng)整體、業(yè)務(wù)的順序自下而上的進(jìn)行指標(biāo)的衡量，以保證及時(shí)發(fā)現(xiàn)并糾正IT控制中的偏差，確保IT控制與業(yè)務(wù)目標(biāo)的一致性。COBIT不僅適合指導(dǎo)單位依據(jù)IT控制目標(biāo)對(duì)IT進(jìn)行管理，同時(shí)也適合IT審計(jì)人員參考進(jìn)行IT控制的審核。COBIT建議使用CMM模型描述被審計(jì)單位的IT控制情況，把IT控制流程作為基本對(duì)象分別進(jìn)行成熟度的評(píng)價(jià)，以展現(xiàn)被審計(jì)單位在IT控制的現(xiàn)狀及急需提升的環(huán)節(jié)。