www.e4938.cn-老师你下面太紧了拔不出来,99re8这里有精品热视频免费,国产第一视频一区二区三区,青青草国产成人久久

<button id="60qo0"></button>

<strike id="60qo0"></strike>
<del id="60qo0"></del>
<fieldset id="60qo0"><menu id="60qo0"></menu></fieldset>
  • CIO如何消除對(duì)IT審計(jì)的誤解和偏見(jiàn)

    2014-11-08 22:24:57 大云網(wǎng)  點(diǎn)擊量: 評(píng)論 (0)
    IT與業(yè)務(wù)的不斷融合正在讓越來(lái)越多的CIO面臨前所未有的壓力。一方面,IT的任何風(fēng)吹草動(dòng),都可能對(duì)高度依賴(lài)IT的業(yè)務(wù)造成影響,這使得CIO必須格外關(guān)注IT的任何潛在風(fēng)險(xiǎn)。另一方面,隨著業(yè)務(wù)流程逐漸被IT系統(tǒng)所固化
    IT與業(yè)務(wù)的不斷融合正在讓越來(lái)越多的CIO面臨前所未有的壓力。一方面,IT的任何風(fēng)吹草動(dòng),都可能對(duì)高度依賴(lài)IT的業(yè)務(wù)造成影響,這使得CIO必須格外關(guān)注IT的任何潛在風(fēng)險(xiǎn)。另一方面,隨著業(yè)務(wù)流程逐漸被IT系統(tǒng)所固化,一些原本屬于其他部門(mén)的風(fēng)險(xiǎn)開(kāi)始轉(zhuǎn)化給了IT部門(mén)和CIO。
      為了緩解這種壓力,CIO必須盡可能地發(fā)現(xiàn)IT系統(tǒng)的任何潛在風(fēng)險(xiǎn),因?yàn)橐坏┻@些風(fēng)險(xiǎn)演變?yōu)槭鹿剩珻IO必須為此承擔(dān)責(zé)任并付出代價(jià)。而信息系統(tǒng)審計(jì)(以下簡(jiǎn)稱(chēng)“IT審計(jì)”)的重要職責(zé)之一,就是幫助CIO發(fā)現(xiàn)這些潛在風(fēng)險(xiǎn)。
      IT 審計(jì)最早出現(xiàn)在IT應(yīng)用比較深入的金融業(yè),后來(lái)逐漸擴(kuò)展到其他行業(yè)。IT審計(jì)的目標(biāo)是協(xié)助組織信息技術(shù)管理人員有效地履行其責(zé)任,以達(dá)成組織的信息技術(shù)管理目標(biāo)。組織的信息技術(shù)管理目標(biāo)是保證組織的信息技術(shù)戰(zhàn)略,充分反映該組織的業(yè)務(wù)戰(zhàn)略目標(biāo),提高組織所依賴(lài)的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準(zhǔn)確性,提高信息系統(tǒng)運(yùn)行的效果與效率,保證信息系統(tǒng)的運(yùn)行符合法律、法規(guī)及監(jiān)管的相關(guān)要求。
      遺憾的是,并不是所有的CIO都認(rèn)為IT 審計(jì)是在幫他們——由于不了解,造成了很多CIO對(duì)IT審計(jì)的種種誤解和偏見(jiàn)。那么,對(duì)于CIO來(lái)講,究竟該如何看待IT審計(jì)?又該如何配合IT審計(jì)?面對(duì)IT審計(jì)師出具的報(bào)告,CIO又該如何做?為此,記者邀請(qǐng)到了中國(guó)IT治理研究中心研究員王東紅、巨人網(wǎng)絡(luò)集團(tuán)有限公司內(nèi)部監(jiān)察審計(jì)部副部長(zhǎng)朱永明、金茂集團(tuán)IT經(jīng)理王浩,就IT審計(jì)的相關(guān)話(huà)題,展開(kāi)了討論。據(jù)我了解,金茂集團(tuán)在今年3月剛剛請(qǐng)外部機(jī)構(gòu)做了IT審計(jì)。王浩,請(qǐng)你先來(lái)談?wù)劊銓?duì)這次審計(jì)的切身感受。
      王浩:這是我們第一次經(jīng)歷IT審計(jì)。整個(gè)審計(jì)持續(xù)了大概一個(gè)月,審得比較細(xì)致,審計(jì)內(nèi)容涉及到了過(guò)去3年所有系統(tǒng)的變更記錄、人員權(quán)限、數(shù)據(jù)備份、故障管理、業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)等很多方面。
      雖然我們一直非常關(guān)注信息系統(tǒng)可能潛在的各種風(fēng)險(xiǎn),但是確實(shí)沒(méi)有IT審計(jì)師們看得這么細(xì)。因此這次審計(jì)也指出了我們?cè)陲L(fēng)險(xiǎn)控制方面存在的一些不足,特別是對(duì)一些文檔制度建設(shè)的重要性,讓我們有了更加深刻的認(rèn)識(shí)。
      最近,我正在對(duì)今年原定的IT計(jì)劃做調(diào)整,如何彌補(bǔ)IT審計(jì)中發(fā)現(xiàn)的不足也被列進(jìn)了我們今年的IT工作計(jì)劃中。
      記者:IT審計(jì)很重要的內(nèi)容之一就是發(fā)現(xiàn)系統(tǒng)的潛在風(fēng)險(xiǎn),王浩也提到了IT部門(mén)對(duì)IT風(fēng)險(xiǎn)一直是很關(guān)注的。那么IT審計(jì)師看待或者查找IT風(fēng)險(xiǎn)的角度與IT部門(mén)自己相比主要有哪些不同?
      朱永明:據(jù)我了解,IT風(fēng)險(xiǎn)是指在信息處理和信息技術(shù)運(yùn)用過(guò)程中產(chǎn)生的,可能成為影響組織目標(biāo)實(shí)現(xiàn)的各種不確定因素。IT風(fēng)險(xiǎn)包括組織層面的信息技術(shù)風(fēng)險(xiǎn)、一般性控制層面的信息技術(shù)風(fēng)險(xiǎn),以及業(yè)務(wù)流程層面的信息技術(shù)風(fēng)險(xiǎn)等。
      我們的內(nèi)部IT審計(jì)師的主要工作就是評(píng)估現(xiàn)有IT基礎(chǔ)設(shè)施、組織、流程的風(fēng)險(xiǎn),制定審計(jì)計(jì)劃,實(shí)施審計(jì),并就發(fā)現(xiàn)的缺陷與管理層討論,跟蹤后續(xù)整改,改進(jìn)IT業(yè)務(wù)。
      與CIO看待IT系統(tǒng)風(fēng)險(xiǎn)的角度相比,IT審計(jì)師更測(cè)重于管理而非技術(shù)方面,比如在安全方面更側(cè)重于訪問(wèn)控制的措施,以及是否有定期回顧,還有就是該崗位的人員能否勝任工作,有無(wú)進(jìn)行過(guò)適當(dāng)培訓(xùn)以保障其勝任工作的能力等。
      王東紅:從我的經(jīng)驗(yàn)看,CIO和IT部門(mén)面臨的工作眾多,識(shí)別潛在的IT風(fēng)險(xiǎn)并進(jìn)行及時(shí)規(guī)避只是他們工作中的一部分。相比之下,IT審計(jì)師最重要的職責(zé)就是識(shí)別IT系統(tǒng)的潛在風(fēng)險(xiǎn),所以,在一定程度上,IT審計(jì)師顯得更專(zhuān)業(yè)。
      據(jù)我們了解,大部分企業(yè)都沒(méi)有建立相應(yīng)的IT系統(tǒng)風(fēng)險(xiǎn)管理體系,這就造成了CIO看待IT風(fēng)險(xiǎn)的時(shí)候,往往是局部的,很難站在全局的角度,系統(tǒng)地去考慮可能存在的IT風(fēng)險(xiǎn),這必然會(huì)忽略一些IT風(fēng)險(xiǎn)的存在。
      任何審計(jì)都有詳細(xì)的流程和標(biāo)準(zhǔn),IT審計(jì)也是如此。IT審計(jì)師對(duì)IT系統(tǒng)進(jìn)行審計(jì)時(shí),會(huì)遵照既定的流程和標(biāo)準(zhǔn)一項(xiàng)項(xiàng)排查,比CIO和IT部門(mén)考慮得更細(xì)致,也更容易發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)。比如,現(xiàn)在普遍存在的IT外包,很多企業(yè)對(duì)IT外包的管理非常粗放,IT審計(jì)師就會(huì)關(guān)注這些外包出去的環(huán)節(jié),如其變更怎么管理、安全怎么管理等,這些都是CIO比較容易忽視的細(xì)節(jié)。
      但是,有時(shí)候CIO的某些做法也是“迫不得已”,因?yàn)樗麄円紤]到業(yè)務(wù)的靈活性,必須對(duì)系統(tǒng)做一些臨時(shí)的改動(dòng),即便這樣的改動(dòng)是存在風(fēng)險(xiǎn)的。
      記者:在發(fā)現(xiàn)IT風(fēng)險(xiǎn)方面,IT審計(jì)師的工作確實(shí)是CIO工作很好的補(bǔ)充,這是否可以認(rèn)為是IT審計(jì)受到重視的一個(gè)重要原因?
      王東紅:目前將IT看成是業(yè)務(wù)的一部分已經(jīng)成為一種共識(shí)。企業(yè)對(duì)IT系統(tǒng)的依賴(lài)程度不斷加強(qiáng)的同時(shí),IT系統(tǒng)正面臨不斷增多的各種各樣的威脅。在全球加強(qiáng)行業(yè)監(jiān)管和內(nèi)部控制的趨勢(shì)中,IT越來(lái)越充當(dāng)重要角色,IT不僅要為業(yè)務(wù)的風(fēng)險(xiǎn)控制提供保障環(huán)境,而且其自身的風(fēng)險(xiǎn)控制也備受關(guān)注。IT風(fēng)險(xiǎn)也隨之成為業(yè)務(wù)風(fēng)險(xiǎn)的一部分。
      因此,IT審計(jì)之所以受到越來(lái)越多企業(yè)的重視,正是出于業(yè)務(wù)穩(wěn)定性和IT風(fēng)險(xiǎn)方面的考慮。在應(yīng)對(duì)IT風(fēng)險(xiǎn)方面,IT審計(jì)的重要性包括兩個(gè)層面:第一是預(yù)防風(fēng)險(xiǎn),IT審計(jì)可以幫助企業(yè)識(shí)別并預(yù)防支撐業(yè)務(wù)的IT系統(tǒng)存在的風(fēng)險(xiǎn),也可以幫助企業(yè)審核IT系統(tǒng)對(duì)外部法規(guī)的遵從性,從而避免來(lái)自外部法規(guī)監(jiān)管可能存在的風(fēng)險(xiǎn)等。第二是幫助改進(jìn),特別是內(nèi)審,不僅要發(fā)現(xiàn)風(fēng)險(xiǎn),還要配合CIO針對(duì)審計(jì)中發(fā)現(xiàn)的風(fēng)險(xiǎn)進(jìn)行有效管理,把風(fēng)險(xiǎn)防范做得更好。
      那么總體來(lái)看,CIO是否已經(jīng)對(duì)IT審計(jì)的這些重要性有了足夠認(rèn)識(shí)?朱永明:業(yè)務(wù)對(duì)IT的依賴(lài)越來(lái)越大,由于IT本身的復(fù)雜性以及IT部門(mén)人員的工作特點(diǎn),導(dǎo)致的IT風(fēng)險(xiǎn)越來(lái)越大。如果沒(méi)有一些審計(jì)機(jī)制的建立,業(yè)務(wù)上將會(huì)受到重大影響。雖然我們是公司內(nèi)部人員,但是,我還是能夠比較深刻地感受到,CIO和 IT部門(mén)對(duì)IT審計(jì)比較普遍地存在著這樣的認(rèn)識(shí)——他們認(rèn)為IT審計(jì)人員不懂IT部門(mén)的業(yè)務(wù)和技術(shù),完全是外行,因此對(duì)IT審計(jì)消極對(duì)待,這樣他們自然也就無(wú)法理解IT審計(jì)工作的意義以及在組織中的重要作用了。
      王東紅:我們作為“外來(lái)的和尚”對(duì)這方面的感受更深,CIO對(duì)于IT審計(jì)還有一種比較普遍的偏見(jiàn)——認(rèn)為IT審計(jì)就是對(duì)IT部門(mén)的工作挑毛病,所以很多人對(duì)此比較抵觸。不僅是對(duì)外部IT審計(jì),甚至就像朱永明所說(shuō)的,有些CIO對(duì)內(nèi)部IT審計(jì)也抱著同樣的態(tài)度。
      記者:朱永明、王東紅提到的CIO以及IT部門(mén)對(duì)IT審計(jì)人員的誤解,王浩,這種情況在你們那里是否也多多少少存在?
      王浩:舉個(gè)例子。給我們這次做IT審計(jì)的一些審計(jì)師也是剛畢業(yè)的大學(xué)生或者研究生,他們對(duì)IT部門(mén)的業(yè)務(wù)和技術(shù)確實(shí)了解不多。
      不過(guò),這并不會(huì)對(duì)審計(jì)的結(jié)果產(chǎn)生太大影響,因?yàn)镮T審計(jì)有嚴(yán)格的流程和標(biāo)準(zhǔn),這些審計(jì)師只要按照流程一步步走下來(lái)就可以了。王浩說(shuō)的這種情況是否也存在?
      王東紅:這是一個(gè)更深層次的問(wèn)題——目前國(guó)內(nèi)的大部分IT審計(jì)師是否已經(jīng)有足夠能力勝任IT審計(jì)工作呢?我覺(jué)得還遠(yuǎn)遠(yuǎn)不夠。嚴(yán)格意義上來(lái)講,IT審計(jì)師應(yīng)該需要有多方面的知識(shí)儲(chǔ)備,不僅要懂IT、懂財(cái)務(wù),還要懂審計(jì)、懂內(nèi)控。就拿IT來(lái)講,規(guī)劃、開(kāi)發(fā)、建設(shè)、運(yùn)維等全生命周期的知識(shí),IT審計(jì)師都應(yīng)該具備。
      但是,目前在國(guó)內(nèi)這樣的復(fù)合型人才確實(shí)非常稀缺。要彌補(bǔ)這種人才短缺,有幾種方法,一是依靠團(tuán)隊(duì)的力量,每個(gè)IT審計(jì)師只負(fù)責(zé)一塊任務(wù),比如專(zhuān)門(mén)對(duì)ERP進(jìn)行審計(jì)、專(zhuān)門(mén)對(duì)安全進(jìn)行審計(jì)等;第二要有規(guī)范的流程,這也是剛剛王浩提到的,這樣可以彌補(bǔ)審計(jì)師的個(gè)人素質(zhì)不足。
      記者:剛剛談到一些CIO會(huì)認(rèn)為IT審計(jì)是在“挑毛病”,我很想問(wèn)問(wèn)王浩,你也有這樣的感覺(jué)嗎?
      王浩:經(jīng)歷過(guò)上次的IT審計(jì)之后,我一直在不斷地補(bǔ)充IT審計(jì)相關(guān)的知識(shí),也看了一些書(shū),對(duì)IT審計(jì)確實(shí)有了更深刻的認(rèn)識(shí)。所以我并不認(rèn)為IT審計(jì)是“挑毛病”。我倒是覺(jué)得IT審計(jì)是好事情,因?yàn)榻?jīng)過(guò)一次審計(jì),肯定會(huì)知道哪些地方存在不足,還需要改進(jìn),這對(duì)IT部門(mén)的工作開(kāi)展是有幫助的。
      之所以有些CIO對(duì)IT審計(jì)有誤解,我覺(jué)得可能還是他們對(duì)IT審計(jì)接觸得比較少。我們?cè)谧鯥T審計(jì)之前,咨詢(xún)了很多企業(yè)的IT主管,除了金融行業(yè)外,其他的基本上都沒(méi)有接觸過(guò)IT審計(jì),所以有偏見(jiàn)也屬正常。
      記者:各位都提到了CIO應(yīng)該了解IT審計(jì)的相關(guān)知識(shí),具體來(lái)講,應(yīng)該了解哪些呢?
      王東紅:我們當(dāng)然希望所有的CIO同時(shí)又是IT審計(jì)的專(zhuān)家,這樣在面對(duì)IT審計(jì)師時(shí),CIO一定會(huì)底氣十足。因?yàn)镃IO對(duì)IT審計(jì)師的工作了如指掌,甚至對(duì)他們可能問(wèn)到的每一個(gè)問(wèn)題、每一份材料都可以提前準(zhǔn)備好。但是,要做到這點(diǎn)確實(shí)是不太可能。這就需要CIO對(duì)IT審計(jì)能有最起碼的認(rèn)識(shí)。
      首先,CIO應(yīng)該了解IT審計(jì)師的溝通語(yǔ)言是什么,這是溝通的基礎(chǔ),只有溝通語(yǔ)言是一致的,才有可能進(jìn)行溝通。那么IT審計(jì)師的溝通語(yǔ)言是什么呢?毫無(wú)疑問(wèn),就是COBIT、COSO、ITIL、BS7799這些大家公認(rèn)的控制框架。
      其次,CIO要改變觀念,必須正確看待IT審計(jì)——他們不是來(lái)挑毛病的,而是來(lái)幫助IT部門(mén)發(fā)現(xiàn)問(wèn)題、解決問(wèn)題的。
      第三,要弄清楚為什么IT審計(jì)師要審計(jì)這些控制點(diǎn),審計(jì)的目的又是什么。對(duì)相應(yīng)的控制點(diǎn)有深入的了解后,在下次審計(jì)時(shí),就能趕在審計(jì)師前面,把相應(yīng)的控制點(diǎn)做好。
      與此同時(shí),CIO可以建立一套自我評(píng)估的體系,在IT審計(jì)來(lái)臨之前,在部門(mén)內(nèi)部先自行進(jìn)行自我評(píng)估。根據(jù)審計(jì)師的審計(jì)要點(diǎn)自我檢查。這套自我評(píng)估體系其實(shí)就是風(fēng)險(xiǎn)管理體系。
      記者:在IT審計(jì)過(guò)程中,CIO又該如何支持IT審計(jì)師的工作呢?
      朱永明:IT審計(jì)的流程一般包括這么幾個(gè)階段:了解審計(jì)對(duì)象、制定審計(jì)計(jì)劃、審計(jì)準(zhǔn)備、制定審計(jì)方案、現(xiàn)場(chǎng)審計(jì)、就審計(jì)發(fā)現(xiàn)與業(yè)務(wù)部門(mén)進(jìn)行溝通、出具審計(jì)報(bào)告、報(bào)告審計(jì)結(jié)果等。IT審計(jì)是基于常規(guī)審計(jì)的程序,借鑒IT治理的框架開(kāi)展審計(jì)的,實(shí)際上是對(duì)公司IT治理的檢驗(yàn),也是對(duì)CIO負(fù)責(zé)的核心業(yè)務(wù)的檢驗(yàn),所以在每一個(gè)環(huán)節(jié),都需要CIO的配合。至于如何配合,我覺(jué)得最重要的還是要正視IT審計(jì)工作,只要認(rèn)識(shí)到可以借助IT審計(jì)提升IT業(yè)務(wù)水平并降低風(fēng)險(xiǎn), CIO一定會(huì)給予非常好的配合。
      王東紅:在審計(jì)過(guò)程中,審計(jì)師會(huì)要求CIO出具各種相關(guān)數(shù)據(jù)和材料,對(duì)于審計(jì)師的這些要求,CIO的態(tài)度不同,可能會(huì)造成截然不同的結(jié)果。
      記者:一種是要什么給什么,另一種是要什么不給什么,這兩種態(tài)度哪種好呢?
      都不好!這兩個(gè)極端都是不可取的。CIO對(duì)IT審計(jì)的配合要適度,至于這個(gè)度怎么把握,主要在于CIO與IT審計(jì)師的溝通。當(dāng)然,我主要是針對(duì)外部審計(jì)說(shuō)的,對(duì)待內(nèi)部IT審計(jì)的時(shí)候,確實(shí)應(yīng)該全面配合。內(nèi)部審計(jì)與外部審計(jì)要區(qū)別對(duì)待。
      王浩:我就談一條,那就是要理解。比如我們?cè)谧鯥T審計(jì)時(shí),我覺(jué)得這些審計(jì)師太刻板。比方說(shuō)做系統(tǒng)的安全性審核,他們完全從安全性角度去看,不會(huì)考慮業(yè)務(wù)的靈活度等,而我們不可能這么刻板地去考慮問(wèn)題,畢竟系統(tǒng)要為業(yè)務(wù)提供支撐的。不過(guò),刻板也意味著另外一個(gè)詞,就是嚴(yán)謹(jǐn),只有這樣才能盡可能地發(fā)現(xiàn)系統(tǒng)的潛在風(fēng)險(xiǎn),所以一定程度上他們這種刻板也是可以理解的。
      記者:對(duì)于審計(jì)過(guò)程中發(fā)現(xiàn)的IT風(fēng)險(xiǎn),IT審計(jì)師一般會(huì)怎么處理?
      朱永明:在我們集團(tuán)內(nèi)部,IT內(nèi)部審計(jì)結(jié)束之后的流程一般是這樣的:收集審計(jì)證據(jù),與相關(guān)業(yè)務(wù)部門(mén)確認(rèn)問(wèn)題,討論風(fēng)險(xiǎn),向管理層報(bào)告風(fēng)險(xiǎn),最后是提出審計(jì)建議。
      王東紅:在審計(jì)實(shí)施結(jié)束后,審計(jì)人員應(yīng)以充分的可靠的審計(jì)證據(jù)為依據(jù),形成審計(jì)結(jié)論與建議,出具審計(jì)報(bào)告,跟進(jìn)審計(jì)結(jié)果,追蹤審計(jì)建議的落實(shí)并執(zhí)行相應(yīng)后續(xù)審計(jì)程序。
      當(dāng)IT審計(jì)作為其他綜合性?xún)?nèi)部審計(jì)項(xiàng)目的一部分時(shí),審計(jì)人員應(yīng)及時(shí)與其他相關(guān)的內(nèi)部審計(jì)人員溝通信息系統(tǒng)內(nèi)部審計(jì)的發(fā)現(xiàn),并考慮依據(jù)審計(jì)結(jié)果,調(diào)整其他相關(guān)審計(jì)的范圍、時(shí)間及性質(zhì)。
    大云網(wǎng)官方微信售電那點(diǎn)事兒

    責(zé)任編輯:葉雨田

    免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
    我要收藏
    個(gè)贊
    ?
    久久成人国产精品一区二区| 国产综合成人久久大片91| 国产麻豆剧传媒精品国产AV蜜桃| 亚洲国产长腿丝袜在线观看| 亚洲日韩中文字幕一区| 高清在线一区二区三区视频| 大地资源影院在线播放| 日韩人妻AV无码一区二区| 国产AⅤ精品一区二区三区久久| 久久久久99|