IT与业务的不断融合正在让越来越多的CIO面临前所未有的压力。一方面,IT的任何风吹草动,都可能对高度依赖IT的业务造成影响,这使得CIO必须格外关注IT的任何潜在风险。另一方面,随着业务流程逐渐被IT系统所固化,一些原本属于其他部门的风险开始转化给了IT部门和CIO。
为了缓解这种压力,CIO必须尽可能地发现IT系统的任何潜在风险,因为一旦这些风险演变为事故,CIO必须为此承担责任并付出代价。而信息系统审计(以下简称“IT审计”)的重要职责之一,就是帮助CIO发现这些潜在风险。
IT 审计最早出现在IT应用比较深入的金融业,后来逐渐扩展到其他行业。IT审计的目标是协助组织信息技术管理人员有效地履行其责任,以达成组织的信息技术管理目标。组织的信息技术管理目标是保证组织的信息技术战略,充分反映该组织的业务战略目标,提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,保证信息系统的运行符合法律、法规及监管的相关要求。
遗憾的是,并不是所有的CIO都认为IT 审计是在帮他们——由于不了解,造成了很多CIO对IT审计的种种误解和偏见。那么,对于CIO来讲,究竟该如何看待IT审计?又该如何配合IT审计?面对IT审计师出具的报告,CIO又该如何做?为此,中国IT治理研究中心研究员王东红、巨人网络集团有限公司内部监察审计部副部长朱永明、金茂集团IT经理王浩,就IT审计的相关话题,展开了讨论。据我了解,金茂集团在今年3月刚刚请外部机构做了IT审计。王浩,请你先来谈谈,你对这次审计的切身感受。
王浩:这是我们第一次经历IT审计。整个审计持续了大概一个月,审得比较细致,审计内容涉及到了过去3年所有系统的变更记录、人员权限、数据备份、故障管理、业务系统风险等很多方面。
虽然我们一直非常关注信息系统可能潜在的各种风险,但是确实没有IT审计师们看得这么细。因此这次审计也指出了我们在风险控制方面存在的一些不足,特别是对一些文档制度建设的重要性,让我们有了更加深刻的认识。
最近,我正在对今年原定的IT计划做调整,如何弥补IT审计中发现的不足也被列进了我们今年的IT工作计划中。
记者:IT审计很重要的内容之一就是发现系统的潜在风险,王浩也提到了IT部门对IT风险一直是很关注的。那么IT审计师看待或者查找IT风险的角度与IT部门自己相比主要有哪些不同?
朱永明:据我了解,IT风险是指在信息处理和信息技术运用过程中产生的,可能成为影响组织目标实现的各种不确定因素。IT风险包括组织层面的信息技术风险、一般性控制层面的信息技术风险,以及业务流程层面的信息技术风险等。
我们的内部IT审计师的主要工作就是评估现有IT基础设施、组织、流程的风险,制定审计计划,实施审计,并就发现的缺陷与管理层讨论,跟踪后续整改,改进IT业务。
与CIO看待IT系统风险的角度相比,IT审计师更测重于管理而非技术方面,比如在安全方面更侧重于访问控制的措施,以及是否有定期回顾,还有就是该岗位的人员能否胜任工作,有无进行过适当培训以保障其胜任工作的能力等。
王东红:从我的经验看,CIO和IT部门面临的工作众多,识别潜在的IT风险并进行及时规避只是他们工作中的一部分。相比之下,IT审计师最重要的职责就是识别IT系统的潜在风险,所以,在一定程度上,IT审计师显得更专业。
据我们了解,大部分企业都没有建立相应的IT系统风险管理体系,这就造成了CIO看待IT风险的时候,往往是局部的,很难站在全局的角度,系统地去考虑可能存在的IT风险,这必然会忽略一些IT风险的存在。
任何审计都有详细的流程和标准,IT审计也是如此。IT审计师对IT系统进行审计时,会遵照既定的流程和标准一项项排查,比CIO和IT部门考虑得更细致,也更容易发现潜在的风险。比如,现在普遍存在的IT外包,很多企业对IT外包的管理非常粗放,IT审计师就会关注这些外包出去的环节,如其变更怎么管理、安全怎么管理等,这些都是CIO比较容易忽视的细节。
但是,有时候CIO的某些做法也是“迫不得已”,因为他们要考虑到业务的灵活性,必须对系统做一些临时的改动,即便这样的改动是存在风险的。
记者:在发现IT风险方面,IT审计师的工作确实是CIO工作很好的补充,这是否可以认为是IT审计受到重视的一个重要原因?
王东红:目前将IT看成是业务的一部分已经成为一种共识。企业对IT系统的依赖程度不断加强的同时,IT系统正面临不断增多的各种各样的威胁。在全球加强行业监管和内部控制的趋势中,IT越来越充当重要角色,IT不仅要为业务的风险控制提供保障环境,而且其自身的风险控制也备受关注。IT风险也随之成为业务风险的一部分。
因此,IT审计之所以受到越来越多企业的重视,正是出于业务稳定性和IT风险方面的考虑。在应对IT风险方面,IT审计的重要性包括两个层面:第一是预防风险,IT审计可以帮助企业识别并预防支撑业务的IT系统存在的风险,也可以帮助企业审核IT系统对外部法规的遵从性,从而避免来自外部法规监管可能存在的风险等。第二是帮助改进,特别是内审,不仅要发现风险,还要配合CIO针对审计中发现的风险进行有效管理,把风险防范做得更好。
那么总体来看,CIO是否已经对IT审计的这些重要性有了足够认识?朱永明:业务对IT的依赖越来越大,由于IT本身的复杂性以及IT部门人员的工作特点,导致的IT风险越来越大。如果没有一些审计机制的建立,业务上将会受到重大影响。虽然我们是公司内部人员,但是,我还是能够比较深刻地感受到,CIO和 IT部门对IT审计比较普遍地存在着这样的认识——他们认为IT审计人员不懂IT部门的业务和技术,完全是外行,因此对IT审计消极对待,这样他们自然也就无法理解IT审计工作的意义以及在组织中的重要作用了。
王东红:我们作为“外来的和尚”对这方面的感受更深,CIO对于IT审计还有一种比较普遍的偏见——认为IT审计就是对IT部门的工作挑毛病,所以很多人对此比较抵触。不仅是对外部IT审计,甚至就像朱永明所说的,有些CIO对内部IT审计也抱着同样的态度。