事实上,IT审计是一个对从业者无论知识技能还是实际经验,要求均非常高的专业领域。我们知道,信息系统本身具有很强的复杂性,当把多个复杂的对象糅合在一起,其结果势必像一团乱麻,因此要求梳理这团乱麻的人必须具备足够的素质才能获得期望中的结果,否则,结局只会是使眼前复杂的问题变得更加复杂。因此,IT审计师必须具备专业的能力和良好的素质,具备CISA资格认证,才能针对审计对象做出合理有效的评价。
IT审计要求审计师必须以独立客观的身份执行审查。独立客观,强调IT审计师执行某项IT审计任务时,必须与被审计信息系统不存在任何的利益关系,既包含不参与(包括不曾参与)信息系统生命周期的有关活动,也包含不涉及被审计信息系统的业务和经济利益。
原因很简单,IT审计师作为第三方人员,负责检查信息系统情况,具有比较大的权限,如果IT审计师与信息系统业务有关,则无法排除IT审计师利用其拥有的高权限,对业务信息进行修改,或者隐藏系统中的部分漏洞,以便窃取机密为自己谋利……这一系列行为的发生,哪怕只是发生其中的一件,也足以让企业蒙受巨大的损失。
当IT审计师以不独立于被审计对象身份执行审计任务时,带给被审计组织的价值就会发生变化,不但无法保证其针对信息系统使用和维护过程中相关控制有效评价,促进组织管理结构和控制框架完善,而是组织产生高系数的IT风险。