听了国都兴业的技术专家的介绍,李强(备注,“本文人物均为化名”)对IT审计产品提起了浓厚的兴趣,单是“针对信息系统的安全性、符合性、可靠性和有效性进行审计”这一项,就让李强看到了IT审计产品的真正价值。
不过,在此之前,李强只知道有财务审计。财务审计的目标很明确,就是审查组织的财务报表,识别组织经济活动中的舞弊行为。那么,IT审计要审什么,难道是审计信息系统的?
答案,对,也不对。说“对”,是因为既然IT审计也称作信息系统审计,必然与信息系统有着莫大的联系,必然是围绕信息系统展开。说“不对”,是因为回答不够准确。审计作为独立于组织业务链之外的结构,监督并客观评价与业务相关的控制在设计和执行方面的效果、效率,为完善组织内控框架提供建议,确保组织的利益相关者的利益不遭受损害并能够顺利获得。
准确来说,IT审计需要针对IT控制的设计和执行情况进行监督及评估。
依据控制的设计及效果进行区别,IT控制可以分成预防性控制、检查性控制和纠正性控制。其中,预防性控制属于事前防范措施,有效部署预防性控制可以避免事故或问题发生,使危害或损失为零;检查性控制属于事中举措,在错误或事故发生的时刻能够及时对其进行识别;检查性措施和纠正性措施通常组合部署,以便在无法规避风险的条件下,采取措施使危害或损失的程度降至最低,只是,纠正性控制需要以检查性控制作为条件,二者不可分割。
当然,IT控制有很多不同的分类方式,例如:从普适性和针对性角度来分,IT控制可以分成一般控制和应用控制;从组织架构、基于IT控制设计和实施的相关角色的职责来分,IT控制又可以分成治理控制、管理控制和技术控制。
不过,不管怎样,IT控制都要满足以下四个要求:1.有效地交付可靠信息,确保安全的IT服务符合本组织的战略、政策、外部需求和风险偏好;2.保障利益相关者的利益;3.实现客户、商业伙伴和其他外部各方完成业务目标的互惠互利关系;4.适当地识别并应对威胁和潜在的情况。
IT审计产品作为监督评估IT控制的角色,需要在理解了IT控制的目标之后,有针对性的取证分析,做出客观的判断并向管理层汇报,同时针对不当的控制提出改进建议。
ISACA编订并发布COBIT(Control Object of Information related Technologies)指导信息系统实施单位和IT审计人员更清晰地了解和把握IT控制。COBIT是IT管理和IT审计的最佳实践框架,将包含IT基础设施、IT应用、人员和信息四类要素的IT资源分配到信息系统生命周期的4个域、34个流程的控制中,并针对每个流程依据包含机密、完整、可靠、合规、效果、效率、可用等七个属性的业务目标分别定义了各流程的IT控制目标及活动目标。
COBIT建议按照业务、信息系统整体、IT流程、流程活动的顺序自上而下的对业务目标进行分解,从而确保IT目标与业务目标的关联;同时按照从流程活动、IT流程、信息系统整体、业务的顺序自下而上的进行指标的衡量,以保证及时发现并纠正IT控制中的偏差,确保IT控制与业务目标的一致性。COBIT不仅适合指导单位依据IT控制目标对IT进行管理,同时也适合IT审计人员参考进行IT控制的审核。
李强不禁感叹,如果自己所在的企业当初用了IT审计产品,肯定能做到有效的IT控制,让IT更好地为业务发展提供动力,也不至于落到如此窘迫的地步啊。不过,再好的产品如果使用不得当,也发挥不出真正的价值,因此,李强心中也有一个疑问:到底怎么审,才能真正有助于企业的发展?请看《走近IT审计系列之三:审之有道才是真》。