CIO應如何控制IT審計缺失的信息系統風險

2014-11-08 22:32:06 大云網　點擊量：評論 (0)

隨著企業實施信息化進程的不斷深入，從信息系統安全性方面我們看到硬件故障、程序故障、操作系統錯誤、計算機犯罪，設備災害以及保密數據泄漏等現象發生的可能性越來來越高。此外，從投資的角度上看，我們看到隨

隨著企業實施信息化進程的不斷深入，從信息系統安全性方面我們看到硬件故障、程序故障、操作系統錯誤、計算機犯罪，設備災害以及保密數據泄漏等現象發生的可能性越來來越高。此外，從投資的角度上看，我們看到隨著信息化投資成本的不斷增加，企業領導看到投資效果反而不明顯。還有還會出現信息系統用戶不滿以及信息化產品落后于競爭對手、無法在市場上立足等問題。

　　而信息系統審計（又稱IT審計）正是幫助企業及CIO為了解決上述問題，提高信息系統的安全性、可靠性和開發、運營效率，使企業信息化得到健康、全面的發展而引入的預防機制。同時，為了確保信息系統的安全、可靠和有效，需要開展由獨立的具有資格的IT審計師對以計算機為核心的信息系統進行的IT審計。對于企業來講管理和業務的增加，企業對于內部IT治理的審計更加嚴格。每年都會有大量的各種級別的內外審計，而IT審計也是非常的重要內容，如何做好IT審計成為企業及CIO關注的焦點。

　　一、IT審計的作用

　　1、IT審計顧明思議,就是為了更好的控制IT的風險，有效的的幫助規避風險。現階段企業業務的增長，需要信息系統支撐的業務是越來越多，促使企業在經營管理過程中遇到很多的風險，企業在經營過程中可以規避各種各樣的容易看得到的風險，比如管理上的缺陷、市場的變化都會企業的經營管理層，做出及時的調整來應對不同的風險，而潛在的一個些風險，如信息系統存在的風險，企業的經營管理層看不到，也意識不到他們會存在風險，而許多企業在某些項目或者企業退出往往正是由一部分信息系統中的數據泄露，而使企業破產，因此，必須加大對于企業不僅要對企業本身的經營管理內部進行審計，同時還要對于支撐管理的信息系統進行審計，從而降低企業的風險。

　　2、提高IT的價值及CIO的管理思維

　　信息系統最大的價值是提高企業的管理及支撐企業的業務，一旦信息系統本身設計、開發存在安全風險，那么對于企業來講，不僅沒有幫助企業，反而運用信息系統使企業面臨比沒有上系統更大的風險，因此，加強信息系統本身的審計，才能規避信息系統帶來的風險，實現出信息系統的潛在價值。同時,在做每一個信息系統開發時，如果參與國際審計的標準，可有效的降低風險，同時，也可提高CIO或者IT經理防范風險的管理思維。

　　二、IT審計的現狀及存在的問題

　　縱觀現狀，IT審計在國內并不是很成熟，企業的IT審計并不完善，IT審計更多的是應用于銀行、保險等大型的金融類企業，一些中小企業對于IT審計的認識存在偏見，,導致了IT審計在部分中企業中并沒有應用也不成熟。同時，企業的CIO對IT審計存在一定的認識，企業加強IT審計顯得尤為重要。

　　1、IT審計標準不成熟

　　我們目前所指的IT審計標準一般是指ISACA制定的信息系統審計準則。IT審計標準是一套以管理為核心，以法律法規為保障，以技術為支撐的信息系統審計框架體系。它同時是一套規范化的管理框架，詳細地描述了審計方、開發方、用戶方的關系及各方的定位、權利、義務和職責等，并從標準的角度對IT審計師能力考核的限定、IT審計機構的資質認定給予了限定。從目標上講，IT審計標準跟著眼的目的是信息系統的安全性、穩定性、有效性。然而，現階段的IT審計因企業的不同經營性性質的不同，很難一套成熟的標準來做。而且不同行業，不同企業會有不同的IT審計的標準也不同，因此，建立行業化的IT審計標準體系是下一步的CIO所需要考慮的。

　　2、IT審計人才急缺

　　審計業務發展至今，傳統IT審計工作只是現代審計中一個特別小的組成部分。IT審計最重要工作之一，是發現被審計單位最重大的風險隱患，在認定其持續經營的基礎上，再對潛在的真實、公允性發表審計意見。如果IT審計師認為被審計單位的信息系統是業務運轉的平臺，是風險高發區，那么對信息系統的安全、穩定和有效的評價就成為審計的基礎和重點。因此，IT審計師是開展計算機審計工作的重要推動力量。但目前，因國內對于IT審計的重視程度不夠，同時審計水平不是很高，導致審才人才非常奇缺，如何快速的培養優秀的審計人才迫在眉睫。