CIO應如何控制IT審計缺失的信息系統(tǒng)風險

2014-11-08 22:32:06 大云網(wǎng)　點擊量：評論 (0)

隨著企業(yè)實施信息化進程的不斷深入，從信息系統(tǒng)安全性方面我們看到硬件故障、程序故障、操作系統(tǒng)錯誤、計算機犯罪，設(shè)備災害以及保密數(shù)據(jù)泄漏等現(xiàn)象發(fā)生的可能性越來來越高。此外，從投資的角度上看，我們看到隨

隨著企業(yè)實施信息化進程的不斷深入，從信息系統(tǒng)安全性方面我們看到硬件故障、程序故障、操作系統(tǒng)錯誤、計算機犯罪，設(shè)備災害以及保密數(shù)據(jù)泄漏等現(xiàn)象發(fā)生的可能性越來來越高。此外，從投資的角度上看，我們看到隨著信息化投資成本的不斷增加，企業(yè)領(lǐng)導看到投資效果反而不明顯。還有還會出現(xiàn)信息系統(tǒng)用戶不滿以及信息化產(chǎn)品落后于競爭對手、無法在市場上立足等問題。

　　而信息系統(tǒng)審計（又稱IT審計）正是幫助企業(yè)及CIO為了解決上述問題，提高信息系統(tǒng)的安全性、可靠性和開發(fā)、運營效率，使企業(yè)信息化得到健康、全面的發(fā)展而引入的預防機制。同時，為了確保信息系統(tǒng)的安全、可靠和有效，需要開展由獨立的具有資格的IT審計師對以計算機為核心的信息系統(tǒng)進行的IT審計。對于企業(yè)來講管理和業(yè)務的增加，企業(yè)對于內(nèi)部IT治理的審計更加嚴格。每年都會有大量的各種級別的內(nèi)外審計，而IT審計也是非常的重要內(nèi)容，如何做好IT審計成為企業(yè)及CIO關(guān)注的焦點。

　　一、IT審計的作用

　　1、IT審計顧明思議,就是為了更好的控制IT的風險，有效的的幫助規(guī)避風險。現(xiàn)階段企業(yè)業(yè)務的增長，需要信息系統(tǒng)支撐的業(yè)務是越來越多，促使企業(yè)在經(jīng)營管理過程中遇到很多的風險，企業(yè)在經(jīng)營過程中可以規(guī)避各種各樣的容易看得到的風險，比如管理上的缺陷、市場的變化都會企業(yè)的經(jīng)營管理層，做出及時的調(diào)整來應對不同的風險，而潛在的一個些風險，如信息系統(tǒng)存在的風險，企業(yè)的經(jīng)營管理層看不到，也意識不到他們會存在風險，而許多企業(yè)在某些項目或者企業(yè)退出往往正是由一部分信息系統(tǒng)中的數(shù)據(jù)泄露，而使企業(yè)破產(chǎn)，因此，必須加大對于企業(yè)不僅要對企業(yè)本身的經(jīng)營管理內(nèi)部進行審計，同時還要對于支撐管理的信息系統(tǒng)進行審計，從而降低企業(yè)的風險。

　　2、提高IT的價值及CIO的管理思維

　　信息系統(tǒng)最大的價值是提高企業(yè)的管理及支撐企業(yè)的業(yè)務，一旦信息系統(tǒng)本身設(shè)計、開發(fā)存在安全風險，那么對于企業(yè)來講，不僅沒有幫助企業(yè)，反而運用信息系統(tǒng)使企業(yè)面臨比沒有上系統(tǒng)更大的風險，因此，加強信息系統(tǒng)本身的審計，才能規(guī)避信息系統(tǒng)帶來的風險，實現(xiàn)出信息系統(tǒng)的潛在價值。同時,在做每一個信息系統(tǒng)開發(fā)時，如果參與國際審計的標準，可有效的降低風險，同時，也可提高CIO或者IT經(jīng)理防范風險的管理思維。

　　二、IT審計的現(xiàn)狀及存在的問題

　　縱觀現(xiàn)狀，IT審計在國內(nèi)并不是很成熟，企業(yè)的IT審計并不完善，IT審計更多的是應用于銀行、保險等大型的金融類企業(yè)，一些中小企業(yè)對于IT審計的認識存在偏見，,導致了IT審計在部分中企業(yè)中并沒有應用也不成熟。同時，企業(yè)的CIO對IT審計存在一定的認識，企業(yè)加強IT審計顯得尤為重要。

　　1、IT審計標準不成熟

　　我們目前所指的IT審計標準一般是指ISACA制定的信息系統(tǒng)審計準則。IT審計標準是一套以管理為核心，以法律法規(guī)為保障，以技術(shù)為支撐的信息系統(tǒng)審計框架體系。它同時是一套規(guī)范化的管理框架，詳細地描述了審計方、開發(fā)方、用戶方的關(guān)系及各方的定位、權(quán)利、義務和職責等，并從標準的角度對IT審計師能力考核的限定、IT審計機構(gòu)的資質(zhì)認定給予了限定。從目標上講，IT審計標準跟著眼的目的是信息系統(tǒng)的安全性、穩(wěn)定性、有效性。然而，現(xiàn)階段的IT審計因企業(yè)的不同經(jīng)營性性質(zhì)的不同，很難一套成熟的標準來做。而且不同行業(yè)，不同企業(yè)會有不同的IT審計的標準也不同，因此，建立行業(yè)化的IT審計標準體系是下一步的CIO所需要考慮的。

　　2、IT審計人才急缺

　　審計業(yè)務發(fā)展至今，傳統(tǒng)IT審計工作只是現(xiàn)代審計中一個特別小的組成部分。IT審計最重要工作之一，是發(fā)現(xiàn)被審計單位最重大的風險隱患，在認定其持續(xù)經(jīng)營的基礎(chǔ)上，再對潛在的真實、公允性發(fā)表審計意見。如果IT審計師認為被審計單位的信息系統(tǒng)是業(yè)務運轉(zhuǎn)的平臺，是風險高發(fā)區(qū)，那么對信息系統(tǒng)的安全、穩(wěn)定和有效的評價就成為審計的基礎(chǔ)和重點。因此，IT審計師是開展計算機審計工作的重要推動力量。但目前，因國內(nèi)對于IT審計的重視程度不夠，同時審計水平不是很高，導致審才人才非常奇缺，如何快速的培養(yǎng)優(yōu)秀的審計人才迫在眉睫。