誰在毀我？走近IT審計之二IT審計審什么

2014-11-08 22:25:42 大云網　點擊量：評論 (0)

聽了國都興業的技術專家的介紹，李強（備注，本文人物均為化名）對IT審計產品提起了濃厚的興趣，單是針對信息系統的安全性、符合性、可靠性和有效性進行審計這一項，就讓李強看到了IT審計產品的真正價值。　　不

聽了國都興業的技術專家的介紹，李強（備注，“本文人物均為化名”）對IT審計產品提起了濃厚的興趣，單是“針對信息系統的安全性、符合性、可靠性和有效性進行審計”這一項，就讓李強看到了IT審計產品的真正價值。

　　不過，在此之前，李強只知道有財務審計。財務審計的目標很明確，就是審查組織的財務報表，識別組織經濟活動中的舞弊行為。那么，IT審計要審什么，難道是審計信息系統的？

　　答案，對，也不對。說“對”，是因為既然IT審計也稱作信息系統審計，必然與信息系統有著莫大的聯系，必然是圍繞信息系統展開。說“不對”，是因為回答不夠準確。審計作為獨立于組織業務鏈之外的結構，監督并客觀評價與業務相關的控制在設計和執行方面的效果、效率，為完善組織內控框架提供建議，確保組織的利益相關者的利益不遭受損害并能夠順利獲得。

　　準確來說，IT審計需要針對IT控制的設計和執行情況進行監督及評估。

　　依據控制的設計及效果進行區別，IT控制可以分成預防性控制、檢查性控制和糾正性控制。其中，預防性控制屬于事前防范措施，有效部署預防性控制可以避免事故或問題發生，使危害或損失為零；檢查性控制屬于事中舉措，在錯誤或事故發生的時刻能夠及時對其進行識別；檢查性措施和糾正性措施通常組合部署，以便在無法規避風險的條件下，采取措施使危害或損失的程度降至最低，只是，糾正性控制需要以檢查性控制作為條件，二者不可分割。

　　當然，IT控制有很多不同的分類方式，例如：從普適性和針對性角度來分，IT控制可以分成一般控制和應用控制；從組織架構、基于IT控制設計和實施的相關角色的職責來分，IT控制又可以分成治理控制、管理控制和技術控制。

　　不過，不管怎樣，IT控制都要滿足以下四個要求：1.有效地交付可靠信息，確保安全的IT服務符合本組織的戰略、政策、外部需求和風險偏好；2.保障利益相關者的利益；3.實現客戶、商業伙伴和其他外部各方完成業務目標的互惠互利關系；4.適當地識別并應對威脅和潛在的情況。

　　IT審計產品作為監督評估IT控制的角色，需要在理解了IT控制的目標之后，有針對性的取證分析，做出客觀的判斷并向管理層匯報，同時針對不當的控制提出改進建議。

　　ISACA編訂并發布COBIT（Control Object of Information related Technologies）指導信息系統實施單位和IT審計人員更清晰地了解和把握IT控制。COBIT是IT管理和IT審計的最佳實踐框架，將包含IT基礎設施、IT應用、人員和信息四類要素的IT資源分配到信息系統生命周期的4個域、34個流程的控制中，并針對每個流程依據包含機密、完整、可靠、合規、效果、效率、可用等七個屬性的業務目標分別定義了各流程的IT控制目標及活動目標。

　　COBIT建議按照業務、信息系統整體、IT流程、流程活動的順序自上而下的對業務目標進行分解，從而確保IT目標與業務目標的關聯；同時按照從流程活動、IT流程、信息系統整體、業務的順序自下而上的進行指標的衡量，以保證及時發現并糾正IT控制中的偏差，確保IT控制與業務目標的一致性。COBIT不僅適合指導單位依據IT控制目標對IT進行管理，同時也適合IT審計人員參考進行IT控制的審核。

　　李強不禁感嘆，如果自己所在的企業當初用了IT審計產品，肯定能做到有效的IT控制，讓IT更好地為業務發展提供動力，也不至于落到如此窘迫的地步啊。不過，再好的產品如果使用不得當，也發揮不出真正的價值，因此，李強心中也有一個疑問：到底怎么審，才能真正有助于企業的發展？請看《走近IT審計系列之三：審之有道才是真》。