誰(shuí)在毀我？走近IT審計(jì)之二IT審計(jì)審什么

2014-11-08 22:25:42 大云網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

聽(tīng)了國(guó)都興業(yè)的技術(shù)專家的介紹，李強(qiáng)（備注，本文人物均為化名）對(duì)IT審計(jì)產(chǎn)品提起了濃厚的興趣，單是針對(duì)信息系統(tǒng)的安全性、符合性、可靠性和有效性進(jìn)行審計(jì)這一項(xiàng)，就讓李強(qiáng)看到了IT審計(jì)產(chǎn)品的真正價(jià)值。　　不

聽(tīng)了國(guó)都興業(yè)的技術(shù)專家的介紹，李強(qiáng)（備注，“本文人物均為化名”）對(duì)IT審計(jì)產(chǎn)品提起了濃厚的興趣，單是“針對(duì)信息系統(tǒng)的安全性、符合性、可靠性和有效性進(jìn)行審計(jì)”這一項(xiàng)，就讓李強(qiáng)看到了IT審計(jì)產(chǎn)品的真正價(jià)值。

　　不過(guò)，在此之前，李強(qiáng)只知道有財(cái)務(wù)審計(jì)。財(cái)務(wù)審計(jì)的目標(biāo)很明確，就是審查組織的財(cái)務(wù)報(bào)表，識(shí)別組織經(jīng)濟(jì)活動(dòng)中的舞弊行為。那么，IT審計(jì)要審什么，難道是審計(jì)信息系統(tǒng)的？

　　答案，對(duì)，也不對(duì)。說(shuō)“對(duì)”，是因?yàn)榧热籌T審計(jì)也稱作信息系統(tǒng)審計(jì)，必然與信息系統(tǒng)有著莫大的聯(lián)系，必然是圍繞信息系統(tǒng)展開(kāi)。說(shuō)“不對(duì)”，是因?yàn)榛卮鸩粔驕?zhǔn)確。審計(jì)作為獨(dú)立于組織業(yè)務(wù)鏈之外的結(jié)構(gòu)，監(jiān)督并客觀評(píng)價(jià)與業(yè)務(wù)相關(guān)的控制在設(shè)計(jì)和執(zhí)行方面的效果、效率，為完善組織內(nèi)控框架提供建議，確保組織的利益相關(guān)者的利益不遭受損害并能夠順利獲得。

　　準(zhǔn)確來(lái)說(shuō)，IT審計(jì)需要針對(duì)IT控制的設(shè)計(jì)和執(zhí)行情況進(jìn)行監(jiān)督及評(píng)估。

　　依據(jù)控制的設(shè)計(jì)及效果進(jìn)行區(qū)別，IT控制可以分成預(yù)防性控制、檢查性控制和糾正性控制。其中，預(yù)防性控制屬于事前防范措施，有效部署預(yù)防性控制可以避免事故或問(wèn)題發(fā)生，使危害或損失為零；檢查性控制屬于事中舉措，在錯(cuò)誤或事故發(fā)生的時(shí)刻能夠及時(shí)對(duì)其進(jìn)行識(shí)別；檢查性措施和糾正性措施通常組合部署，以便在無(wú)法規(guī)避風(fēng)險(xiǎn)的條件下，采取措施使危害或損失的程度降至最低，只是，糾正性控制需要以檢查性控制作為條件，二者不可分割。

　　當(dāng)然，IT控制有很多不同的分類方式，例如：從普適性和針對(duì)性角度來(lái)分，IT控制可以分成一般控制和應(yīng)用控制；從組織架構(gòu)、基于IT控制設(shè)計(jì)和實(shí)施的相關(guān)角色的職責(zé)來(lái)分，IT控制又可以分成治理控制、管理控制和技術(shù)控制。

　　不過(guò)，不管怎樣，IT控制都要滿足以下四個(gè)要求：1.有效地交付可靠信息，確保安全的IT服務(wù)符合本組織的戰(zhàn)略、政策、外部需求和風(fēng)險(xiǎn)偏好；2.保障利益相關(guān)者的利益；3.實(shí)現(xiàn)客戶、商業(yè)伙伴和其他外部各方完成業(yè)務(wù)目標(biāo)的互惠互利關(guān)系；4.適當(dāng)?shù)刈R(shí)別并應(yīng)對(duì)威脅和潛在的情況。

　　IT審計(jì)產(chǎn)品作為監(jiān)督評(píng)估IT控制的角色，需要在理解了IT控制的目標(biāo)之后，有針對(duì)性的取證分析，做出客觀的判斷并向管理層匯報(bào)，同時(shí)針對(duì)不當(dāng)?shù)目刂铺岢龈倪M(jìn)建議。

　　ISACA編訂并發(fā)布COBIT（Control Object of Information related Technologies）指導(dǎo)信息系統(tǒng)實(shí)施單位和IT審計(jì)人員更清晰地了解和把握IT控制。COBIT是IT管理和IT審計(jì)的最佳實(shí)踐框架，將包含IT基礎(chǔ)設(shè)施、IT應(yīng)用、人員和信息四類要素的IT資源分配到信息系統(tǒng)生命周期的4個(gè)域、34個(gè)流程的控制中，并針對(duì)每個(gè)流程依據(jù)包含機(jī)密、完整、可靠、合規(guī)、效果、效率、可用等七個(gè)屬性的業(yè)務(wù)目標(biāo)分別定義了各流程的IT控制目標(biāo)及活動(dòng)目標(biāo)。

　　COBIT建議按照業(yè)務(wù)、信息系統(tǒng)整體、IT流程、流程活動(dòng)的順序自上而下的對(duì)業(yè)務(wù)目標(biāo)進(jìn)行分解，從而確保IT目標(biāo)與業(yè)務(wù)目標(biāo)的關(guān)聯(lián)；同時(shí)按照從流程活動(dòng)、IT流程、信息系統(tǒng)整體、業(yè)務(wù)的順序自下而上的進(jìn)行指標(biāo)的衡量，以保證及時(shí)發(fā)現(xiàn)并糾正IT控制中的偏差，確保IT控制與業(yè)務(wù)目標(biāo)的一致性。COBIT不僅適合指導(dǎo)單位依據(jù)IT控制目標(biāo)對(duì)IT進(jìn)行管理，同時(shí)也適合IT審計(jì)人員參考進(jìn)行IT控制的審核。

　　李強(qiáng)不禁感嘆，如果自己所在的企業(yè)當(dāng)初用了IT審計(jì)產(chǎn)品，肯定能做到有效的IT控制，讓IT更好地為業(yè)務(wù)發(fā)展提供動(dòng)力，也不至于落到如此窘迫的地步啊。不過(guò)，再好的產(chǎn)品如果使用不得當(dāng)，也發(fā)揮不出真正的價(jià)值，因此，李強(qiáng)心中也有一個(gè)疑問(wèn)：到底怎么審，才能真正有助于企業(yè)的發(fā)展？請(qǐng)看《走近IT審計(jì)系列之三：審之有道才是真》。

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊

誰(shuí)在毀我？走近IT審計(jì)之二IT審計(jì)審什么