面對風險 CIO如何正確認識IT審計
IT與業務的不斷融合正在讓越來越多的CIO面臨前所未有的壓力。一方面,IT的任何風吹草動,都可能對高度依賴IT的業務造成影響,這使得CIO必須格外關注IT的任何潛在風險。另一方面,隨著業務流程逐漸被IT系統所固
IT與業務的不斷融合正在讓越來越多的CIO面臨前所未有的壓力。一方面,IT的任何風吹草動,都可能對高度依賴IT的業務造成影響,這使得CIO必須格外關注IT的任何潛在風險。另一方面,隨著業務流程逐漸被IT系統所固化,一些原本屬于其他部門的風險開始轉化給了IT部門和CIO。
為了緩解這種壓力,CIO必須盡可能地發現IT系統的任何潛在風險,因為一旦這些風險演變為事故,CIO必須為此承擔責任并付出代價。而信息系統審計(以下簡稱“IT審計”)的重要職責之一,就是幫助CIO發現這些潛在風險。
IT 審計最早出現在IT應用比較深入的金融業,后來逐漸擴展到其他行業。IT審計的目標是協助組織信息技術管理人員有效地履行其責任,以達成組織的信息技術管理目標。組織的信息技術管理目標是保證組織的信息技術戰略,充分反映該組織的業務戰略目標,提高組織所依賴的信息系統的可靠性、穩定性、安全性及數據處理的完整性和準確性,提高信息系統運行的效果與效率,保證信息系統的運行符合法律、法規及監管的相關要求。
遺憾的是,并不是所有的CIO都認為IT 審計是在幫他們——由于不了解,造成了很多CIO對IT審計的種種誤解和偏見。那么,對于CIO來講,究竟該如何看待IT審計?又該如何配合IT審計?面對IT審計師出具的報告,CIO又該如何做?為此,中國IT治理研究中心研究員王東紅、巨人網絡集團有限公司內部監察審計部副部長朱永明、金茂集團IT經理王浩,就IT審計的相關話題,展開了討論。據我了解,金茂集團在今年3月剛剛請外部機構做了IT審計。王浩,請你先來談談,你對這次審計的切身感受。
王浩:這是我們第一次經歷IT審計。整個審計持續了大概一個月,審得比較細致,審計內容涉及到了過去3年所有系統的變更記錄、人員權限、數據備份、故障管理、業務系統風險等很多方面。
雖然我們一直非常關注信息系統可能潛在的各種風險,但是確實沒有IT審計師們看得這么細。因此這次審計也指出了我們在風險控制方面存在的一些不足,特別是對一些文檔制度建設的重要性,讓我們有了更加深刻的認識。
最近,我正在對今年原定的IT計劃做調整,如何彌補IT審計中發現的不足也被列進了我們今年的IT工作計劃中。
記者:IT審計很重要的內容之一就是發現系統的潛在風險,王浩也提到了IT部門對IT風險一直是很關注的。那么IT審計師看待或者查找IT風險的角度與IT部門自己相比主要有哪些不同?
朱永明:據我了解,IT風險是指在信息處理和信息技術運用過程中產生的,可能成為影響組織目標實現的各種不確定因素。IT風險包括組織層面的信息技術風險、一般性控制層面的信息技術風險,以及業務流程層面的信息技術風險等。
我們的內部IT審計師的主要工作就是評估現有IT基礎設施、組織、流程的風險,制定審計計劃,實施審計,并就發現的缺陷與管理層討論,跟蹤后續整改,改進IT業務。
與CIO看待IT系統風險的角度相比,IT審計師更測重于管理而非技術方面,比如在安全方面更側重于訪問控制的措施,以及是否有定期回顧,還有就是該崗位的人員能否勝任工作,有無進行過適當培訓以保障其勝任工作的能力等。
王東紅:從我的經驗看,CIO和IT部門面臨的工作眾多,識別潛在的IT風險并進行及時規避只是他們工作中的一部分。相比之下,IT審計師最重要的職責就是識別IT系統的潛在風險,所以,在一定程度上,IT審計師顯得更專業。
據我們了解,大部分企業都沒有建立相應的IT系統風險管理體系,這就造成了CIO看待IT風險的時候,往往是局部的,很難站在全局的角度,系統地去考慮可能存在的IT風險,這必然會忽略一些IT風險的存在。
任何審計都有詳細的流程和標準,IT審計也是如此。IT審計師對IT系統進行審計時,會遵照既定的流程和標準一項項排查,比CIO和IT部門考慮得更細致,也更容易發現潛在的風險。比如,現在普遍存在的IT外包,很多企業對IT外包的管理非常粗放,IT審計師就會關注這些外包出去的環節,如其變更怎么管理、安全怎么管理等,這些都是CIO比較容易忽視的細節。
但是,有時候CIO的某些做法也是“迫不得已”,因為他們要考慮到業務的靈活性,必須對系統做一些臨時的改動,即便這樣的改動是存在風險的。
記者:在發現IT風險方面,IT審計師的工作確實是CIO工作很好的補充,這是否可以認為是IT審計受到重視的一個重要原因?
王東紅:目前將IT看成是業務的一部分已經成為一種共識。企業對IT系統的依賴程度不斷加強的同時,IT系統正面臨不斷增多的各種各樣的威脅。在全球加強行業監管和內部控制的趨勢中,IT越來越充當重要角色,IT不僅要為業務的風險控制提供保障環境,而且其自身的風險控制也備受關注。IT風險也隨之成為業務風險的一部分。
因此,IT審計之所以受到越來越多企業的重視,正是出于業務穩定性和IT風險方面的考慮。在應對IT風險方面,IT審計的重要性包括兩個層面:第一是預防風險,IT審計可以幫助企業識別并預防支撐業務的IT系統存在的風險,也可以幫助企業審核IT系統對外部法規的遵從性,從而避免來自外部法規監管可能存在的風險等。第二是幫助改進,特別是內審,不僅要發現風險,還要配合CIO針對審計中發現的風險進行有效管理,把風險防范做得更好。
那么總體來看,CIO是否已經對IT審計的這些重要性有了足夠認識?朱永明:業務對IT的依賴越來越大,由于IT本身的復雜性以及IT部門人員的工作特點,導致的IT風險越來越大。如果沒有一些審計機制的建立,業務上將會受到重大影響。雖然我們是公司內部人員,但是,我還是能夠比較深刻地感受到,CIO和 IT部門對IT審計比較普遍地存在著這樣的認識——他們認為IT審計人員不懂IT部門的業務和技術,完全是外行,因此對IT審計消極對待,這樣他們自然也就無法理解IT審計工作的意義以及在組織中的重要作用了。
王東紅:我們作為“外來的和尚”對這方面的感受更深,CIO對于IT審計還有一種比較普遍的偏見——認為IT審計就是對IT部門的工作挑毛病,所以很多人對此比較抵觸。不僅是對外部IT審計,甚至就像朱永明所說的,有些CIO對內部IT審計也抱著同樣的態度。
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
