三、IT審計實施的必需困素

 

　　1、提高IT審計人員的意識

 

　　做信息化并不難，難得對于企業老板對于信息化的看法和理解程度，同樣，對于IT審計也是一樣的道理，我們知道IT審計的職能來劃分主要是兩方面， 內審和外審。

 

　　外審主要參照第三方咨詢機構來幫助企業IT部門進行信息系統審計， 如中國人民銀行早在2000年時候就開始了IT審計，在2004的時候就邀請ITGov中國IT治理研究中心（簡稱ITGov）對來自全行各分支機構的40名內部審計人員參加了為期4天的信息系統審計培訓，強化信息系統審計中理論與實踐的結合，全面提升了信息系統審計人員的綜合素質。而內審，主要在企業內部成立于IT審計部門，這個IT審計部門不屬于IT部門也不屬于業務部門，它是一個單獨的部門，用以審計企業的信息系統。  做好IT審計需要提高企業對于審計的認識。企業的管理不僅要對于外審了如指掌，還要對于企業的內審尤期是IT的內外審都要所有了解 ， 做不到精通階段 ，但必須要處于了解的階段。從CIO的角度來看，同樣也是相似的道理，必須要去對于IT審計要有一個清晰的認識,只有對于IT審計在意識和思路上認識了，才能做好IT審計的第一步。

 

　　“在技術層面，沒有實現不了的關健是審計意識的提高”業內某著名的IT審計專家指出， 同時他強調IT審計重點要把握“三大關”：

 

　　第一、人員因素都直接影響IT審計的效果，這是IT審計的關鍵也是根本。

 

　　第二、IT風險管理。

 

　　第三、IT本身審計。

 

　　2、找準IT審計定位點

 

　　做好IT審計并不難，資料顯示，大多數的IT審計師認為，做好信息系統審計就是要找好企業信息系統的切入點或者叫做定位點。我們知道任何系統都有漏洞，從程序員開發設計到業務的應用信息系統不可避免的會遇到各種各樣的問題。對于CIO來講在配合企業IT審計部門做IT審計前要首先自身檢查信息系統存在的的問題，然后，在做系統開發或者項目時，按照Cobit IT治理框架、Iso1335、Iso27001，、COSO、ITIL等來提高信息系統的可用性。

 

　　實踐證明，IT審計必須符合科學、獨立、審慎的精神。CIO要進行認真細致的工作安排，從審計的實際目標出發，選擇實用的方法，依據相關的國際IT審計準則開展相關工作，通過長期的、持續的改進，強化IT風險控制能力，最終降低經營風險。