為了緩解這種壓力，CIO必須盡可能地發(fā)現(xiàn)IT系統(tǒng)的任何潛在風(fēng)險(xiǎn)，因?yàn)橐坏┻@些風(fēng)險(xiǎn)演變?yōu)槭鹿剩珻IO必須為此承擔(dān)責(zé)任并付出代價(jià)。而信息系統(tǒng)審計(jì)的重要職責(zé)之一，就是幫助CIO發(fā)現(xiàn)這些潛在風(fēng)險(xiǎn)。

 

　　IT 審計(jì)最早出現(xiàn)在IT應(yīng)用比較深入的金融業(yè)，后來(lái)逐漸擴(kuò)展到其他行業(yè)。IT審計(jì)的目標(biāo)是協(xié)助組織信息技術(shù)管理人員有效地履行其責(zé)任，以達(dá)成組織的信息技術(shù)管理目標(biāo)。組織的信息技術(shù)管理目標(biāo)是保證組織的信息技術(shù)戰(zhàn)略，充分反映該組織的業(yè)務(wù)戰(zhàn)略目標(biāo)，提高組織所依賴(lài)的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準(zhǔn)確性，提高信息系統(tǒng)運(yùn)行的效果與效率，保證信息系統(tǒng)的運(yùn)行符合法律、法規(guī)及監(jiān)管的相關(guān)要求。

 

　　遺憾的是，并不是所有的CIO都認(rèn)為IT 審計(jì)是在幫他們？？由于不了解，造成了很多CIO對(duì)IT審計(jì)的種種誤解和偏見(jiàn)。那么，對(duì)于CIO來(lái)講，究竟該如何看待IT審計(jì)？又該如何配合IT審計(jì)？面對(duì)IT審計(jì)師出具的報(bào)告，CIO又該如何做？為此，CIOINSIGHT雜志邀請(qǐng)到了中國(guó)IT治理研究中心研究員王東紅、巨人網(wǎng)絡(luò)集團(tuán)有限公司內(nèi)部監(jiān)察審計(jì)部副部長(zhǎng)朱永明、金茂集團(tuán)IT經(jīng)理王浩，就IT審計(jì)的相關(guān)話題，展開(kāi)了討論。據(jù)我了解，金茂集團(tuán)在今年3月剛剛請(qǐng)外部機(jī)構(gòu)做了IT審計(jì)。王浩，請(qǐng)你先來(lái)談?wù)劊銓?duì)這次審計(jì)的切身感受。

 

　　王浩：這是我們第一次經(jīng)歷IT審計(jì)。整個(gè)審計(jì)持續(xù)了大概一個(gè)月，審得比較細(xì)致，審計(jì)內(nèi)容涉及到了過(guò)去3年所有系統(tǒng)的變更記錄、人員權(quán)限、數(shù)據(jù)備份、故障管理、業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)等很多方面。

 

　　雖然我們一直非常關(guān)注信息系統(tǒng)可能潛在的各種風(fēng)險(xiǎn)，但是確實(shí)沒(méi)有IT審計(jì)師們看得這么細(xì)。因此這次審計(jì)也指出了我們?cè)陲L(fēng)險(xiǎn)控制方面存在的一些不足，特別是對(duì)一些文檔制度建設(shè)的重要性，讓我們有了更加深刻的認(rèn)識(shí)。

 

　　最近，我正在對(duì)今年原定的IT計(jì)劃做調(diào)整，如何彌補(bǔ)IT審計(jì)中發(fā)現(xiàn)的不足也被列進(jìn)了我們今年的IT工作計(jì)劃中。

 

　　CIOI:IT審計(jì)很重要的內(nèi)容之一就是發(fā)現(xiàn)系統(tǒng)的潛在風(fēng)險(xiǎn)，王浩也提到了IT部門(mén)對(duì)IT風(fēng)險(xiǎn)一直是很關(guān)注的。那么IT審計(jì)師看待或者查找IT風(fēng)險(xiǎn)的角度與IT部門(mén)自己相比主要有哪些不同？

 

　　朱永明：據(jù)我了解，IT風(fēng)險(xiǎn)是指在信息處理和信息技術(shù)運(yùn)用過(guò)程中產(chǎn)生的，可能成為影響組織目標(biāo)實(shí)現(xiàn)的各種不確定因素。IT風(fēng)險(xiǎn)包括組織層面的信息技術(shù)風(fēng)險(xiǎn)、一般性控制層面的信息技術(shù)風(fēng)險(xiǎn)，以及業(yè)務(wù)流程層面的信息技術(shù)風(fēng)險(xiǎn)等。

 

　　我們的內(nèi)部IT審計(jì)師的主要工作就是評(píng)估現(xiàn)有IT基礎(chǔ)設(shè)施、組織、流程的風(fēng)險(xiǎn)，制定審計(jì)計(jì)劃，實(shí)施審計(jì)，并就發(fā)現(xiàn)的缺陷與管理層討論，跟蹤后續(xù)整改，改進(jìn)IT業(yè)務(wù)。

 

　　與CIO看待IT系統(tǒng)風(fēng)險(xiǎn)的角度相比，IT審計(jì)師更測(cè)重于管理而非技術(shù)方面，比如在安全方面更側(cè)重于訪問(wèn)控制的措施，以及是否有定期回顧，還有就是該崗位的人員能否勝任工作，有無(wú)進(jìn)行過(guò)適當(dāng)培訓(xùn)以保障其勝任工作的能力等。

 

　　王東紅：從我的經(jīng)驗(yàn)看，CIO和IT部門(mén)面臨的工作眾多，識(shí)別潛在的IT風(fēng)險(xiǎn)并進(jìn)行及時(shí)規(guī)避只是他們工作中的一部分。相比之下，IT審計(jì)師最重要的職責(zé)就是識(shí)別IT系統(tǒng)的潛在風(fēng)險(xiǎn)，所以，在一定程度上，IT審計(jì)師顯得更專(zhuān)業(yè)。

 

　　據(jù)我們了解，大部分企業(yè)都沒(méi)有建立相應(yīng)的IT系統(tǒng)風(fēng)險(xiǎn)管理體系，這就造成了CIO看待IT風(fēng)險(xiǎn)的時(shí)候，往往是局部的，很難站在全局的角度，系統(tǒng)地去考慮可能存在的IT風(fēng)險(xiǎn)，這必然會(huì)忽略一些IT風(fēng)險(xiǎn)的存在。

 

　　任何審計(jì)都有詳細(xì)的流程和標(biāo)準(zhǔn)，IT審計(jì)也是如此。IT審計(jì)師對(duì)IT系統(tǒng)進(jìn)行審計(jì)時(shí)，會(huì)遵照既定的流程和標(biāo)準(zhǔn)一項(xiàng)項(xiàng)排查，比CIO和IT部門(mén)考慮得更細(xì)致，也更容易發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)。比如，現(xiàn)在普遍存在的IT外包，很多企業(yè)對(duì)IT外包的管理非常粗放，IT審計(jì)師就會(huì)關(guān)注這些外包出去的環(huán)節(jié)，如其變更怎么管理、安全怎么管理等，這些都是CIO比較容易忽視的細(xì)節(jié)。

 

　　但是，有時(shí)候CIO的某些做法也是“迫不得已”，因?yàn)樗麄円紤]到業(yè)務(wù)的靈活性，必須對(duì)系統(tǒng)做一些臨時(shí)的改動(dòng)，即便這樣的改動(dòng)是存在風(fēng)險(xiǎn)的。

 

　　CIOI:在發(fā)現(xiàn)IT風(fēng)險(xiǎn)方面，IT審計(jì)師的工作確實(shí)是CIO工作很好的補(bǔ)充，這是否可以認(rèn)為是IT審計(jì)受到重視的一個(gè)重要原因？