IT与业务的不断融合正在让越来越多的CIO面临前所未有的压力。一方面,IT的任何风吹草动,都可能对高度依赖IT的业务造成影响,这使得CIO必须格外关注IT的任何潜在风险。另一方面,随着业务流程逐渐被IT系统所固化,一些原本属于其他部门的风险开始转化给了IT部门和CIO。
为了缓解这种压力,CIO必须尽可能地发现IT系统的任何潜在风险,因为一旦这些风险演变为事故,CIO必须为此承担责任并付出代价。而信息系统审计的重要职责之一,就是帮助CIO发现这些潜在风险。
IT 审计最早出现在IT应用比较深入的金融业,后来逐渐扩展到其他行业。IT审计的目标是协助组织信息技术管理人员有效地履行其责任,以达成组织的信息技术管理目标。组织的信息技术管理目标是保证组织的信息技术战略,充分反映该组织的业务战略目标,提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,保证信息系统的运行符合法律、法规及监管的相关要求。
遗憾的是,并不是所有的CIO都认为IT 审计是在帮他们――由于不了解,造成了很多CIO对IT审计的种种误解和偏见。
IT审计很重要的内容之一就是发现系统的潜在风险,IT部门对IT风险一直是很关注的。
IT风险是指在信息处理和信息技术运用过程中产生的,可能成为影响组织目标实现的各种不确定因素。IT风险包括组织层面的信息技术风险、一般性控制层面的信息技术风险,以及业务流程层面的信息技术风险等。
我们的内部IT审计师的主要工作就是评估现有IT基础设施、组织、流程的风险,制定审计计划,实施审计,并就发现的缺陷与管理层讨论,跟踪后续整改,改进IT业务。
与CIO看待IT系统风险的角度相比,IT审计师更测重于管理而非技术方面,比如在安全方面更侧重于访问控制的措施,以及是否有定期回顾,还有就是该岗位的人员能否胜任工作,有无进行过适当培训以保障其胜任工作的能力等。
当IT审计作为其他综合性内部审计项目的一部分时,审计人员应及时与其他相关的内部审计人员沟通信息系统内部审计的发现,并考虑依据审计结果,调整其他相关审计的范围、时间及性质。
