誰在毀我？走近IT審計之二IT審計審什么

2014-11-08 22:25:42 大云網(wǎng)　點擊量：評論 (0)

聽了國都興業(yè)的技術(shù)專家的介紹，李強（備注，本文人物均為化名）對IT審計產(chǎn)品提起了濃厚的興趣，單是針對信息系統(tǒng)的安全性、符合性、可靠性和有效性進行審計這一項，就讓李強看到了IT審計產(chǎn)品的真正價值。　　不

聽了國都興業(yè)的技術(shù)專家的介紹，李強（備注，“本文人物均為化名”）對IT審計產(chǎn)品提起了濃厚的興趣，單是“針對信息系統(tǒng)的安全性、符合性、可靠性和有效性進行審計”這一項，就讓李強看到了IT審計產(chǎn)品的真正價值。

　　不過，在此之前，李強只知道有財務(wù)審計。財務(wù)審計的目標(biāo)很明確，就是審查組織的財務(wù)報表，識別組織經(jīng)濟活動中的舞弊行為。那么，IT審計要審什么，難道是審計信息系統(tǒng)的？

　　答案，對，也不對。說“對”，是因為既然IT審計也稱作信息系統(tǒng)審計，必然與信息系統(tǒng)有著莫大的聯(lián)系，必然是圍繞信息系統(tǒng)展開。說“不對”，是因為回答不夠準(zhǔn)確。審計作為獨立于組織業(yè)務(wù)鏈之外的結(jié)構(gòu)，監(jiān)督并客觀評價與業(yè)務(wù)相關(guān)的控制在設(shè)計和執(zhí)行方面的效果、效率，為完善組織內(nèi)控框架提供建議，確保組織的利益相關(guān)者的利益不遭受損害并能夠順利獲得。

　　準(zhǔn)確來說，IT審計需要針對IT控制的設(shè)計和執(zhí)行情況進行監(jiān)督及評估。

　　依據(jù)控制的設(shè)計及效果進行區(qū)別，IT控制可以分成預(yù)防性控制、檢查性控制和糾正性控制。其中，預(yù)防性控制屬于事前防范措施，有效部署預(yù)防性控制可以避免事故或問題發(fā)生，使危害或損失為零；檢查性控制屬于事中舉措，在錯誤或事故發(fā)生的時刻能夠及時對其進行識別；檢查性措施和糾正性措施通常組合部署，以便在無法規(guī)避風(fēng)險的條件下，采取措施使危害或損失的程度降至最低，只是，糾正性控制需要以檢查性控制作為條件，二者不可分割。

　　當(dāng)然，IT控制有很多不同的分類方式，例如：從普適性和針對性角度來分，IT控制可以分成一般控制和應(yīng)用控制；從組織架構(gòu)、基于IT控制設(shè)計和實施的相關(guān)角色的職責(zé)來分，IT控制又可以分成治理控制、管理控制和技術(shù)控制。

　　不過，不管怎樣，IT控制都要滿足以下四個要求：1.有效地交付可靠信息，確保安全的IT服務(wù)符合本組織的戰(zhàn)略、政策、外部需求和風(fēng)險偏好；2.保障利益相關(guān)者的利益；3.實現(xiàn)客戶、商業(yè)伙伴和其他外部各方完成業(yè)務(wù)目標(biāo)的互惠互利關(guān)系；4.適當(dāng)?shù)刈R別并應(yīng)對威脅和潛在的情況。

　　IT審計產(chǎn)品作為監(jiān)督評估IT控制的角色，需要在理解了IT控制的目標(biāo)之后，有針對性的取證分析，做出客觀的判斷并向管理層匯報，同時針對不當(dāng)?shù)目刂铺岢龈倪M建議。

　　ISACA編訂并發(fā)布COBIT（Control Object of Information related Technologies）指導(dǎo)信息系統(tǒng)實施單位和IT審計人員更清晰地了解和把握IT控制。COBIT是IT管理和IT審計的最佳實踐框架，將包含IT基礎(chǔ)設(shè)施、IT應(yīng)用、人員和信息四類要素的IT資源分配到信息系統(tǒng)生命周期的4個域、34個流程的控制中，并針對每個流程依據(jù)包含機密、完整、可靠、合規(guī)、效果、效率、可用等七個屬性的業(yè)務(wù)目標(biāo)分別定義了各流程的IT控制目標(biāo)及活動目標(biāo)。

　　COBIT建議按照業(yè)務(wù)、信息系統(tǒng)整體、IT流程、流程活動的順序自上而下的對業(yè)務(wù)目標(biāo)進行分解，從而確保IT目標(biāo)與業(yè)務(wù)目標(biāo)的關(guān)聯(lián)；同時按照從流程活動、IT流程、信息系統(tǒng)整體、業(yè)務(wù)的順序自下而上的進行指標(biāo)的衡量，以保證及時發(fā)現(xiàn)并糾正IT控制中的偏差，確保IT控制與業(yè)務(wù)目標(biāo)的一致性。COBIT不僅適合指導(dǎo)單位依據(jù)IT控制目標(biāo)對IT進行管理，同時也適合IT審計人員參考進行IT控制的審核。

　　李強不禁感嘆，如果自己所在的企業(yè)當(dāng)初用了IT審計產(chǎn)品，肯定能做到有效的IT控制，讓IT更好地為業(yè)務(wù)發(fā)展提供動力，也不至于落到如此窘迫的地步啊。不過，再好的產(chǎn)品如果使用不得當(dāng)，也發(fā)揮不出真正的價值，因此，李強心中也有一個疑問：到底怎么審，才能真正有助于企業(yè)的發(fā)展？請看《走近IT審計系列之三：審之有道才是真》。

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊

誰在毀我？走近IT審計之二IT審計審什么