www.e4938.cn-老师你下面太紧了拔不出来,99re8这里有精品热视频免费,国产第一视频一区二区三区,青青草国产成人久久

<button id="60qo0"></button>

<strike id="60qo0"></strike>
<del id="60qo0"></del>
<fieldset id="60qo0"><menu id="60qo0"></menu></fieldset>
  • 面對風險 CIO如何正確認識IT審計

    2014-11-08 22:35:02 大云網(wǎng)  點擊量: 評論 (0)
     IT與業(yè)務的不斷融合正在讓越來越多的CIO面臨前所未有的壓力。一方面,IT的任何風吹草動,都可能對高度依賴IT的業(yè)務造成影響,這使得CIO必須格外關注IT的任何潛在風險。另一方面,隨著業(yè)務流程逐漸被IT系統(tǒng)所固


    記者:朱永明、王東紅提到的CIO以及IT部門對IT審計人員的誤解,王浩,這種情況在你們那里是否也多多少少存在?
     
      王浩:舉個例子。給我們這次做IT審計的一些審計師也是剛畢業(yè)的大學生或者研究生,他們對IT部門的業(yè)務和技術確實了解不多。
     
      不過,這并不會對審計的結果產(chǎn)生太大影響,因為IT審計有嚴格的流程和標準,這些審計師只要按照流程一步步走下來就可以了。王浩說的這種情況是否也存在?
     
      王東紅:這是一個更深層次的問題——目前國內(nèi)的大部分IT審計師是否已經(jīng)有足夠能力勝任IT審計工作呢?我覺得還遠遠不夠。嚴格意義上來講,IT審計師應該需要有多方面的知識儲備,不僅要懂IT、懂財務,還要懂審計、懂內(nèi)控。就拿IT來講,規(guī)劃、開發(fā)、建設、運維等全生命周期的知識,IT審計師都應該具備。
     
      但是,目前在國內(nèi)這樣的復合型人才確實非常稀缺。要彌補這種人才短缺,有幾種方法,一是依靠團隊的力量,每個IT審計師只負責一塊任務,比如專門對ERP進行審計、專門對安全進行審計等;第二要有規(guī)范的流程,這也是剛剛王浩提到的,這樣可以彌補審計師的個人素質不足。
     
      記者:剛剛談到一些CIO會認為IT審計是在“挑毛病”,我很想問問王浩,你也有這樣的感覺嗎?
     
      王浩:經(jīng)歷過上次的IT審計之后,我一直在不斷地補充IT審計相關的知識,也看了一些書,對IT審計確實有了更深刻的認識。所以我并不認為IT審計是“挑毛病”。我倒是覺得IT審計是好事情,因為經(jīng)過一次審計,肯定會知道哪些地方存在不足,還需要改進,這對IT部門的工作開展是有幫助的。
     
      之所以有些CIO對IT審計有誤解,我覺得可能還是他們對IT審計接觸得比較少。我們在做IT審計之前,咨詢了很多企業(yè)的IT主管,除了金融行業(yè)外,其他的基本上都沒有接觸過IT審計,所以有偏見也屬正常。
     
      記者:各位都提到了CIO應該了解IT審計的相關知識,具體來講,應該了解哪些呢?
     
      王東紅:我們當然希望所有的CIO同時又是IT審計的專家,這樣在面對IT審計師時,CIO一定會底氣十足。因為CIO對IT審計師的工作了如指掌,甚至對他們可能問到的每一個問題、每一份材料都可以提前準備好。但是,要做到這點確實是不太可能。這就需要CIO對IT審計能有最起碼的認識。
     
      首先,CIO應該了解IT審計師的溝通語言是什么,這是溝通的基礎,只有溝通語言是一致的,才有可能進行溝通。那么IT審計師的溝通語言是什么呢?毫無疑問,就是COBIT、COSO、ITIL、BS7799這些大家公認的控制框架。
     
      其次,CIO要改變觀念,必須正確看待IT審計——他們不是來挑毛病的,而是來幫助IT部門發(fā)現(xiàn)問題、解決問題的。
     
      第三,要弄清楚為什么IT審計師要審計這些控制點,審計的目的又是什么。對相應的控制點有深入的了解后,在下次審計時,就能趕在審計師前面,把相應的控制點做好。
     
      與此同時,CIO可以建立一套自我評估的體系,在IT審計來臨之前,在部門內(nèi)部先自行進行自我評估。根據(jù)審計師的審計要點自我檢查。這套自我評估體系其實就是風險管理體系。
     
      記者:在IT審計過程中,CIO又該如何支持IT審計師的工作呢?
     
      朱永明:IT審計的流程一般包括這么幾個階段:了解審計對象、制定審計計劃、審計準備、制定審計方案、現(xiàn)場審計、就審計發(fā)現(xiàn)與業(yè)務部門進行溝通、出具審計報告、報告審計結果等。IT審計是基于常規(guī)審計的程序,借鑒IT治理的框架開展審計的,實際上是對公司IT治理的檢驗,也是對CIO負責的核心業(yè)務的檢驗,所以在每一個環(huán)節(jié),都需要CIO的配合。至于如何配合,我覺得最重要的還是要正視IT審計工作,只要認識到可以借助IT審計提升IT業(yè)務水平并降低風險, CIO一定會給予非常好的配合。
     
      王東紅:在審計過程中,審計師會要求CIO出具各種相關數(shù)據(jù)和材料,對于審計師的這些要求,CIO的態(tài)度不同,可能會造成截然不同的結果。
     
      記者:一種是要什么給什么,另一種是要什么不給什么,這兩種態(tài)度哪種好呢?
     
      都不好!這兩個極端都是不可取的。CIO對IT審計的配合要適度,至于這個度怎么把握,主要在于CIO與IT審計師的溝通。當然,我主要是針對外部審計說的,對待內(nèi)部IT審計的時候,確實應該全面配合。內(nèi)部審計與外部審計要區(qū)別對待。
     
      王浩:我就談一條,那就是要理解。比如我們在做IT審計時,我覺得這些審計師太刻板。比方說做系統(tǒng)的安全性審核,他們完全從安全性角度去看,不會考慮業(yè)務的靈活度等,而我們不可能這么刻板地去考慮問題,畢竟系統(tǒng)要為業(yè)務提供支撐的。不過,刻板也意味著另外一個詞,就是嚴謹,只有這樣才能盡可能地發(fā)現(xiàn)系統(tǒng)的潛在風險,所以一定程度上他們這種刻板也是可以理解的。
     
      記者:對于審計過程中發(fā)現(xiàn)的IT風險,IT審計師一般會怎么處理?
     
      朱永明:在我們集團內(nèi)部,IT內(nèi)部審計結束之后的流程一般是這樣的:收集審計證據(jù),與相關業(yè)務部門確認問題,討論風險,向管理層報告風險,最后是提出審計建議。
     
      王東紅:在審計實施結束后,審計人員應以充分的可靠的審計證據(jù)為依據(jù),形成審計結論與建議,出具審計報告,跟進審計結果,追蹤審計建議的落實并執(zhí)行相應后續(xù)審計程序。
     
      當IT審計作為其他綜合性內(nèi)部審計項目的一部分時,審計人員應及時與其他相關的內(nèi)部審計人員溝通信息系統(tǒng)內(nèi)部審計的發(fā)現(xiàn),并考慮依據(jù)審計結果,調(diào)整其他相關審計的范圍、時間及性質。

    大云網(wǎng)官方微信售電那點事兒
    免責聲明:本文僅代表作者個人觀點,與本站無關。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內(nèi)容。
    分享到微博分享到微信
    我要收藏
    個贊
    風險
    評論
    點擊加載更多
    ?
    国产欧美综合精品一区二区| 久久精品国产亚洲av麻豆| 中文字幕在线播放| 国产CHINESE男男GAYGAY网站| 国产成人av区一区| 国产伦精品一区二区三区视频抖音| 伦理电影院| 最好看免费观看高清视频大全| 国产精品视频白浆免费视频| 青柠影院免费观看电视剧高清8|