面對風(fēng)險 CIO如何正確認(rèn)識IT審計

2014-11-08 22:35:02 大云網(wǎng)　點擊量：評論 (0)

　IT與業(yè)務(wù)的不斷融合正在讓越來越多的CIO面臨前所未有的壓力。一方面，IT的任何風(fēng)吹草動，都可能對高度依賴IT的業(yè)務(wù)造成影響，這使得CIO必須格外關(guān)注IT的任何潛在風(fēng)險。另一方面，隨著業(yè)務(wù)流程逐漸被IT系統(tǒng)所固

記者：朱永明、王東紅提到的CIO以及IT部門對IT審計人員的誤解，王浩，這種情況在你們那里是否也多多少少存在？

　　王浩：舉個例子。給我們這次做IT審計的一些審計師也是剛畢業(yè)的大學(xué)生或者研究生，他們對IT部門的業(yè)務(wù)和技術(shù)確實了解不多。

　　不過，這并不會對審計的結(jié)果產(chǎn)生太大影響，因為IT審計有嚴(yán)格的流程和標(biāo)準(zhǔn)，這些審計師只要按照流程一步步走下來就可以了。王浩說的這種情況是否也存在？

　　王東紅：這是一個更深層次的問題——目前國內(nèi)的大部分IT審計師是否已經(jīng)有足夠能力勝任IT審計工作呢？我覺得還遠(yuǎn)遠(yuǎn)不夠。嚴(yán)格意義上來講，IT審計師應(yīng)該需要有多方面的知識儲備，不僅要懂IT、懂財務(wù)，還要懂審計、懂內(nèi)控。就拿IT來講，規(guī)劃、開發(fā)、建設(shè)、運維等全生命周期的知識，IT審計師都應(yīng)該具備。

　　但是，目前在國內(nèi)這樣的復(fù)合型人才確實非常稀缺。要彌補(bǔ)這種人才短缺，有幾種方法，一是依靠團(tuán)隊的力量，每個IT審計師只負(fù)責(zé)一塊任務(wù)，比如專門對ERP進(jìn)行審計、專門對安全進(jìn)行審計等；第二要有規(guī)范的流程，這也是剛剛王浩提到的，這樣可以彌補(bǔ)審計師的個人素質(zhì)不足。

　　記者：剛剛談到一些CIO會認(rèn)為IT審計是在“挑毛病”，我很想問問王浩，你也有這樣的感覺嗎？

　　王浩：經(jīng)歷過上次的IT審計之后，我一直在不斷地補(bǔ)充IT審計相關(guān)的知識，也看了一些書，對IT審計確實有了更深刻的認(rèn)識。所以我并不認(rèn)為IT審計是“挑毛病”。我倒是覺得IT審計是好事情，因為經(jīng)過一次審計，肯定會知道哪些地方存在不足，還需要改進(jìn)，這對IT部門的工作開展是有幫助的。

　　之所以有些CIO對IT審計有誤解，我覺得可能還是他們對IT審計接觸得比較少。我們在做IT審計之前，咨詢了很多企業(yè)的IT主管，除了金融行業(yè)外，其他的基本上都沒有接觸過IT審計，所以有偏見也屬正常。

　　記者：各位都提到了CIO應(yīng)該了解IT審計的相關(guān)知識，具體來講，應(yīng)該了解哪些呢？

　　王東紅：我們當(dāng)然希望所有的CIO同時又是IT審計的專家，這樣在面對IT審計師時，CIO一定會底氣十足。因為CIO對IT審計師的工作了如指掌，甚至對他們可能問到的每一個問題、每一份材料都可以提前準(zhǔn)備好。但是，要做到這點確實是不太可能。這就需要CIO對IT審計能有最起碼的認(rèn)識。

　　首先，CIO應(yīng)該了解IT審計師的溝通語言是什么，這是溝通的基礎(chǔ)，只有溝通語言是一致的，才有可能進(jìn)行溝通。那么IT審計師的溝通語言是什么呢？毫無疑問，就是COBIT、COSO、ITIL、BS7799這些大家公認(rèn)的控制框架。

　　其次，CIO要改變觀念，必須正確看待IT審計——他們不是來挑毛病的，而是來幫助IT部門發(fā)現(xiàn)問題、解決問題的。

　　第三，要弄清楚為什么IT審計師要審計這些控制點，審計的目的又是什么。對相應(yīng)的控制點有深入的了解后，在下次審計時，就能趕在審計師前面，把相應(yīng)的控制點做好。

　　與此同時，CIO可以建立一套自我評估的體系，在IT審計來臨之前，在部門內(nèi)部先自行進(jìn)行自我評估。根據(jù)審計師的審計要點自我檢查。這套自我評估體系其實就是風(fēng)險管理體系。

　　記者：在IT審計過程中，CIO又該如何支持IT審計師的工作呢？

　　朱永明：IT審計的流程一般包括這么幾個階段：了解審計對象、制定審計計劃、審計準(zhǔn)備、制定審計方案、現(xiàn)場審計、就審計發(fā)現(xiàn)與業(yè)務(wù)部門進(jìn)行溝通、出具審計報告、報告審計結(jié)果等。IT審計是基于常規(guī)審計的程序，借鑒IT治理的框架開展審計的，實際上是對公司IT治理的檢驗，也是對CIO負(fù)責(zé)的核心業(yè)務(wù)的檢驗，所以在每一個環(huán)節(jié)，都需要CIO的配合。至于如何配合，我覺得最重要的還是要正視IT審計工作，只要認(rèn)識到可以借助IT審計提升IT業(yè)務(wù)水平并降低風(fēng)險， CIO一定會給予非常好的配合。

　　王東紅：在審計過程中，審計師會要求CIO出具各種相關(guān)數(shù)據(jù)和材料，對于審計師的這些要求，CIO的態(tài)度不同，可能會造成截然不同的結(jié)果。

　　記者：一種是要什么給什么，另一種是要什么不給什么，這兩種態(tài)度哪種好呢？

　　都不好！這兩個極端都是不可取的。CIO對IT審計的配合要適度，至于這個度怎么把握，主要在于CIO與IT審計師的溝通。當(dāng)然，我主要是針對外部審計說的，對待內(nèi)部IT審計的時候，確實應(yīng)該全面配合。內(nèi)部審計與外部審計要區(qū)別對待。

　　王浩：我就談一條，那就是要理解。比如我們在做IT審計時，我覺得這些審計師太刻板。比方說做系統(tǒng)的安全性審核，他們完全從安全性角度去看，不會考慮業(yè)務(wù)的靈活度等，而我們不可能這么刻板地去考慮問題，畢竟系統(tǒng)要為業(yè)務(wù)提供支撐的。不過，刻板也意味著另外一個詞，就是嚴(yán)謹(jǐn)，只有這樣才能盡可能地發(fā)現(xiàn)系統(tǒng)的潛在風(fēng)險，所以一定程度上他們這種刻板也是可以理解的。

　　記者：對于審計過程中發(fā)現(xiàn)的IT風(fēng)險，IT審計師一般會怎么處理？

　　朱永明：在我們集團(tuán)內(nèi)部，IT內(nèi)部審計結(jié)束之后的流程一般是這樣的：收集審計證據(jù)，與相關(guān)業(yè)務(wù)部門確認(rèn)問題，討論風(fēng)險，向管理層報告風(fēng)險，最后是提出審計建議。

　　王東紅：在審計實施結(jié)束后，審計人員應(yīng)以充分的可靠的審計證據(jù)為依據(jù)，形成審計結(jié)論與建議，出具審計報告，跟進(jìn)審計結(jié)果，追蹤審計建議的落實并執(zhí)行相應(yīng)后續(xù)審計程序。

　　當(dāng)IT審計作為其他綜合性內(nèi)部審計項目的一部分時，審計人員應(yīng)及時與其他相關(guān)的內(nèi)部審計人員溝通信息系統(tǒng)內(nèi)部審計的發(fā)現(xiàn)，并考慮依據(jù)審計結(jié)果，調(diào)整其他相關(guān)審計的范圍、時間及性質(zhì)。