三、IT審計(jì)實(shí)施的必需困素

 

　　1、提高IT審計(jì)人員的意識(shí)

 

　　做信息化并不難，難得對(duì)于企業(yè)老板對(duì)于信息化的看法和理解程度，同樣，對(duì)于IT審計(jì)也是一樣的道理，我們知道IT審計(jì)的職能來(lái)劃分主要是兩方面， 內(nèi)審和外審。

 

　　外審主要參照第三方咨詢(xún)機(jī)構(gòu)來(lái)幫助企業(yè)IT部門(mén)進(jìn)行信息系統(tǒng)審計(jì)， 如中國(guó)人民銀行早在2000年時(shí)候就開(kāi)始了IT審計(jì)，在2004的時(shí)候就邀請(qǐng)ITGov中國(guó)IT治理研究中心（簡(jiǎn)稱(chēng)ITGov）對(duì)來(lái)自全行各分支機(jī)構(gòu)的40名內(nèi)部審計(jì)人員參加了為期4天的信息系統(tǒng)審計(jì)培訓(xùn)，強(qiáng)化信息系統(tǒng)審計(jì)中理論與實(shí)踐的結(jié)合，全面提升了信息系統(tǒng)審計(jì)人員的綜合素質(zhì)。而內(nèi)審，主要在企業(yè)內(nèi)部成立于IT審計(jì)部門(mén)，這個(gè)IT審計(jì)部門(mén)不屬于IT部門(mén)也不屬于業(yè)務(wù)部門(mén)，它是一個(gè)單獨(dú)的部門(mén)，用以審計(jì)企業(yè)的信息系統(tǒng)。  做好IT審計(jì)需要提高企業(yè)對(duì)于審計(jì)的認(rèn)識(shí)。企業(yè)的管理不僅要對(duì)于外審了如指掌，還要對(duì)于企業(yè)的內(nèi)審尤期是IT的內(nèi)外審都要所有了解 ， 做不到精通階段 ，但必須要處于了解的階段。從CIO的角度來(lái)看，同樣也是相似的道理，必須要去對(duì)于IT審計(jì)要有一個(gè)清晰的認(rèn)識(shí),只有對(duì)于IT審計(jì)在意識(shí)和思路上認(rèn)識(shí)了，才能做好IT審計(jì)的第一步。

 

　　“在技術(shù)層面，沒(méi)有實(shí)現(xiàn)不了的關(guān)健是審計(jì)意識(shí)的提高”業(yè)內(nèi)某著名的IT審計(jì)專(zhuān)家指出， 同時(shí)他強(qiáng)調(diào)IT審計(jì)重點(diǎn)要把握“三大關(guān)”：

 

　　第一、人員因素都直接影響IT審計(jì)的效果，這是IT審計(jì)的關(guān)鍵也是根本。

 

　　第二、IT風(fēng)險(xiǎn)管理。

 

　　第三、IT本身審計(jì)。

 

　　2、找準(zhǔn)IT審計(jì)定位點(diǎn)

 

　　做好IT審計(jì)并不難，資料顯示，大多數(shù)的IT審計(jì)師認(rèn)為，做好信息系統(tǒng)審計(jì)就是要找好企業(yè)信息系統(tǒng)的切入點(diǎn)或者叫做定位點(diǎn)。我們知道任何系統(tǒng)都有漏洞，從程序員開(kāi)發(fā)設(shè)計(jì)到業(yè)務(wù)的應(yīng)用信息系統(tǒng)不可避免的會(huì)遇到各種各樣的問(wèn)題。對(duì)于CIO來(lái)講在配合企業(yè)IT審計(jì)部門(mén)做IT審計(jì)前要首先自身檢查信息系統(tǒng)存在的的問(wèn)題，然后，在做系統(tǒng)開(kāi)發(fā)或者項(xiàng)目時(shí)，按照Cobit IT治理框架、Iso1335、Iso27001，、COSO、ITIL等來(lái)提高信息系統(tǒng)的可用性。

 

　　實(shí)踐證明，IT審計(jì)必須符合科學(xué)、獨(dú)立、審慎的精神。CIO要進(jìn)行認(rèn)真細(xì)致的工作安排，從審計(jì)的實(shí)際目標(biāo)出發(fā)，選擇實(shí)用的方法，依據(jù)相關(guān)的國(guó)際IT審計(jì)準(zhǔn)則開(kāi)展相關(guān)工作，通過(guò)長(zhǎng)期的、持續(xù)的改進(jìn)，強(qiáng)化IT風(fēng)險(xiǎn)控制能力，最終降低經(jīng)營(yíng)風(fēng)險(xiǎn)。