CIO如何消除對IT審計的誤解和偏見

2014-11-08 22:24:57 大云網　點擊量：評論 (0)

IT與業務的不斷融合正在讓越來越多的CIO面臨前所未有的壓力。一方面，IT的任何風吹草動，都可能對高度依賴IT的業務造成影響，這使得CIO必須格外關注IT的任何潛在風險。另一方面，隨著業務流程逐漸被IT系統所固化

IT與業務的不斷融合正在讓越來越多的CIO面臨前所未有的壓力。一方面，IT的任何風吹草動，都可能對高度依賴IT的業務造成影響，這使得CIO必須格外關注IT的任何潛在風險。另一方面，隨著業務流程逐漸被IT系統所固化，一些原本屬于其他部門的風險開始轉化給了IT部門和CIO。

　　為了緩解這種壓力，CIO必須盡可能地發現IT系統的任何潛在風險，因為一旦這些風險演變為事故，CIO必須為此承擔責任并付出代價。而信息系統審計（以下簡稱“IT審計”）的重要職責之一，就是幫助CIO發現這些潛在風險。

　　IT 審計最早出現在IT應用比較深入的金融業，后來逐漸擴展到其他行業。IT審計的目標是協助組織信息技術管理人員有效地履行其責任，以達成組織的信息技術管理目標。組織的信息技術管理目標是保證組織的信息技術戰略，充分反映該組織的業務戰略目標，提高組織所依賴的信息系統的可靠性、穩定性、安全性及數據處理的完整性和準確性，提高信息系統運行的效果與效率，保證信息系統的運行符合法律、法規及監管的相關要求。

　　遺憾的是，并不是所有的CIO都認為IT 審計是在幫他們——由于不了解，造成了很多CIO對IT審計的種種誤解和偏見。那么，對于CIO來講，究竟該如何看待IT審計？又該如何配合IT審計？面對IT審計師出具的報告，CIO又該如何做？為此，記者邀請到了中國IT治理研究中心研究員王東紅、巨人網絡集團有限公司內部監察審計部副部長朱永明、金茂集團IT經理王浩，就IT審計的相關話題，展開了討論。據我了解，金茂集團在今年3月剛剛請外部機構做了IT審計。王浩，請你先來談談，你對這次審計的切身感受。

　　王浩：這是我們第一次經歷IT審計。整個審計持續了大概一個月，審得比較細致，審計內容涉及到了過去3年所有系統的變更記錄、人員權限、數據備份、故障管理、業務系統風險等很多方面。

　　雖然我們一直非常關注信息系統可能潛在的各種風險，但是確實沒有IT審計師們看得這么細。因此這次審計也指出了我們在風險控制方面存在的一些不足，特別是對一些文檔制度建設的重要性，讓我們有了更加深刻的認識。

　　最近，我正在對今年原定的IT計劃做調整，如何彌補IT審計中發現的不足也被列進了我們今年的IT工作計劃中。

　　記者:IT審計很重要的內容之一就是發現系統的潛在風險，王浩也提到了IT部門對IT風險一直是很關注的。那么IT審計師看待或者查找IT風險的角度與IT部門自己相比主要有哪些不同？

　　朱永明：據我了解，IT風險是指在信息處理和信息技術運用過程中產生的，可能成為影響組織目標實現的各種不確定因素。IT風險包括組織層面的信息技術風險、一般性控制層面的信息技術風險，以及業務流程層面的信息技術風險等。

　　我們的內部IT審計師的主要工作就是評估現有IT基礎設施、組織、流程的風險，制定審計計劃，實施審計，并就發現的缺陷與管理層討論，跟蹤后續整改，改進IT業務。

　　與CIO看待IT系統風險的角度相比，IT審計師更測重于管理而非技術方面，比如在安全方面更側重于訪問控制的措施，以及是否有定期回顧，還有就是該崗位的人員能否勝任工作，有無進行過適當培訓以保障其勝任工作的能力等。

　　王東紅：從我的經驗看，CIO和IT部門面臨的工作眾多，識別潛在的IT風險并進行及時規避只是他們工作中的一部分。相比之下，IT審計師最重要的職責就是識別IT系統的潛在風險，所以，在一定程度上，IT審計師顯得更專業。

　　據我們了解，大部分企業都沒有建立相應的IT系統風險管理體系，這就造成了CIO看待IT風險的時候，往往是局部的，很難站在全局的角度，系統地去考慮可能存在的IT風險，這必然會忽略一些IT風險的存在。

　　任何審計都有詳細的流程和標準，IT審計也是如此。IT審計師對IT系統進行審計時，會遵照既定的流程和標準一項項排查，比CIO和IT部門考慮得更細致，也更容易發現潛在的風險。比如，現在普遍存在的IT外包，很多企業對IT外包的管理非常粗放，IT審計師就會關注這些外包出去的環節，如其變更怎么管理、安全怎么管理等，這些都是CIO比較容易忽視的細節。

　　但是，有時候CIO的某些做法也是“迫不得已”，因為他們要考慮到業務的靈活性，必須對系統做一些臨時的改動，即便這樣的改動是存在風險的。

　　記者:在發現IT風險方面，IT審計師的工作確實是CIO工作很好的補充，這是否可以認為是IT審計受到重視的一個重要原因？

　　王東紅：目前將IT看成是業務的一部分已經成為一種共識。企業對IT系統的依賴程度不斷加強的同時，IT系統正面臨不斷增多的各種各樣的威脅。在全球加強行業監管和內部控制的趨勢中，IT越來越充當重要角色，IT不僅要為業務的風險控制提供保障環境，而且其自身的風險控制也備受關注。IT風險也隨之成為業務風險的一部分。

　　因此，IT審計之所以受到越來越多企業的重視，正是出于業務穩定性和IT風險方面的考慮。在應對IT風險方面，IT審計的重要性包括兩個層面：第一是預防風險，IT審計可以幫助企業識別并預防支撐業務的IT系統存在的風險，也可以幫助企業審核IT系統對外部法規的遵從性，從而避免來自外部法規監管可能存在的風險等。第二是幫助改進，特別是內審，不僅要發現風險，還要配合CIO針對審計中發現的風險進行有效管理，把風險防范做得更好。

　　那么總體來看，CIO是否已經對IT審計的這些重要性有了足夠認識？朱永明：業務對IT的依賴越來越大，由于IT本身的復雜性以及IT部門人員的工作特點，導致的IT風險越來越大。如果沒有一些審計機制的建立，業務上將會受到重大影響。雖然我們是公司內部人員，但是，我還是能夠比較深刻地感受到，CIO和 IT部門對IT審計比較普遍地存在著這樣的認識——他們認為IT審計人員不懂IT部門的業務和技術，完全是外行，因此對IT審計消極對待，這樣他們自然也就無法理解IT審計工作的意義以及在組織中的重要作用了。

　　王東紅：我們作為“外來的和尚”對這方面的感受更深，CIO對于IT審計還有一種比較普遍的偏見——認為IT審計就是對IT部門的工作挑毛病，所以很多人對此比較抵觸。不僅是對外部IT審計，甚至就像朱永明所說的，有些CIO對內部IT審計也抱著同樣的態度。

　　記者:朱永明、王東紅提到的CIO以及IT部門對IT審計人員的誤解，王浩，這種情況在你們那里是否也多多少少存在？

　　王浩：舉個例子。給我們這次做IT審計的一些審計師也是剛畢業的大學生或者研究生，他們對IT部門的業務和技術確實了解不多。

　　不過，這并不會對審計的結果產生太大影響，因為IT審計有嚴格的流程和標準，這些審計師只要按照流程一步步走下來就可以了。王浩說的這種情況是否也存在？

　　王東紅：這是一個更深層次的問題——目前國內的大部分IT審計師是否已經有足夠能力勝任IT審計工作呢？我覺得還遠遠不夠。嚴格意義上來講，IT審計師應該需要有多方面的知識儲備，不僅要懂IT、懂財務，還要懂審計、懂內控。就拿IT來講，規劃、開發、建設、運維等全生命周期的知識，IT審計師都應該具備。

　　但是，目前在國內這樣的復合型人才確實非常稀缺。要彌補這種人才短缺，有幾種方法，一是依靠團隊的力量，每個IT審計師只負責一塊任務，比如專門對ERP進行審計、專門對安全進行審計等；第二要有規范的流程，這也是剛剛王浩提到的，這樣可以彌補審計師的個人素質不足。

　　記者:剛剛談到一些CIO會認為IT審計是在“挑毛病”，我很想問問王浩，你也有這樣的感覺嗎？

　　王浩：經歷過上次的IT審計之后，我一直在不斷地補充IT審計相關的知識，也看了一些書，對IT審計確實有了更深刻的認識。所以我并不認為IT審計是“挑毛病”。我倒是覺得IT審計是好事情，因為經過一次審計，肯定會知道哪些地方存在不足，還需要改進，這對IT部門的工作開展是有幫助的。

　　之所以有些CIO對IT審計有誤解，我覺得可能還是他們對IT審計接觸得比較少。我們在做IT審計之前，咨詢了很多企業的IT主管，除了金融行業外，其他的基本上都沒有接觸過IT審計，所以有偏見也屬正常。

　　記者:各位都提到了CIO應該了解IT審計的相關知識，具體來講，應該了解哪些呢？

　　王東紅：我們當然希望所有的CIO同時又是IT審計的專家，這樣在面對IT審計師時，CIO一定會底氣十足。因為CIO對IT審計師的工作了如指掌，甚至對他們可能問到的每一個問題、每一份材料都可以提前準備好。但是，要做到這點確實是不太可能。這就需要CIO對IT審計能有最起碼的認識。

　　首先，CIO應該了解IT審計師的溝通語言是什么，這是溝通的基礎，只有溝通語言是一致的，才有可能進行溝通。那么IT審計師的溝通語言是什么呢？毫無疑問，就是COBIT、COSO、ITIL、BS7799這些大家公認的控制框架。

　　其次，CIO要改變觀念，必須正確看待IT審計——他們不是來挑毛病的，而是來幫助IT部門發現問題、解決問題的。

　　第三，要弄清楚為什么IT審計師要審計這些控制點，審計的目的又是什么。對相應的控制點有深入的了解后，在下次審計時，就能趕在審計師前面，把相應的控制點做好。

　　與此同時，CIO可以建立一套自我評估的體系，在IT審計來臨之前，在部門內部先自行進行自我評估。根據審計師的審計要點自我檢查。這套自我評估體系其實就是風險管理體系。

　　記者:在IT審計過程中，CIO又該如何支持IT審計師的工作呢？

　　朱永明：IT審計的流程一般包括這么幾個階段：了解審計對象、制定審計計劃、審計準備、制定審計方案、現場審計、就審計發現與業務部門進行溝通、出具審計報告、報告審計結果等。IT審計是基于常規審計的程序，借鑒IT治理的框架開展審計的，實際上是對公司IT治理的檢驗，也是對CIO負責的核心業務的檢驗，所以在每一個環節，都需要CIO的配合。至于如何配合，我覺得最重要的還是要正視IT審計工作，只要認識到可以借助IT審計提升IT業務水平并降低風險， CIO一定會給予非常好的配合。

　　王東紅：在審計過程中，審計師會要求CIO出具各種相關數據和材料，對于審計師的這些要求，CIO的態度不同，可能會造成截然不同的結果。

　　記者:一種是要什么給什么，另一種是要什么不給什么，這兩種態度哪種好呢？

　　都不好！這兩個極端都是不可取的。CIO對IT審計的配合要適度，至于這個度怎么把握，主要在于CIO與IT審計師的溝通。當然，我主要是針對外部審計說的，對待內部IT審計的時候，確實應該全面配合。內部審計與外部審計要區別對待。

　　王浩：我就談一條，那就是要理解。比如我們在做IT審計時，我覺得這些審計師太刻板。比方說做系統的安全性審核，他們完全從安全性角度去看，不會考慮業務的靈活度等，而我們不可能這么刻板地去考慮問題，畢竟系統要為業務提供支撐的。不過，刻板也意味著另外一個詞，就是嚴謹，只有這樣才能盡可能地發現系統的潛在風險，所以一定程度上他們這種刻板也是可以理解的。

　　記者:對于審計過程中發現的IT風險，IT審計師一般會怎么處理？

　　朱永明：在我們集團內部，IT內部審計結束之后的流程一般是這樣的：收集審計證據，與相關業務部門確認問題，討論風險，向管理層報告風險，最后是提出審計建議。

　　王東紅：在審計實施結束后，審計人員應以充分的可靠的審計證據為依據，形成審計結論與建議，出具審計報告，跟進審計結果，追蹤審計建議的落實并執行相應后續審計程序。

　　當IT審計作為其他綜合性內部審計項目的一部分時，審計人員應及時與其他相關的內部審計人員溝通信息系統內部審計的發現，并考慮依據審計結果，調整其他相關審計的范圍、時間及性質。