CIO應(yīng)正確認識IT外包服務(wù)審計

2014-11-08 22:34:42 大云網(wǎng)　點擊量：評論 (0)

　IT與業(yè)務(wù)的不斷融合正在讓越來越多的CIO面臨前所未有的壓力。一方面，IT的任何風吹草動，都可能對高度依賴IT的業(yè)務(wù)造成影響，這使得CIO必須格外關(guān)注IT的任何潛在風險。另一方面，隨著業(yè)務(wù)流程逐漸被IT系統(tǒng)所固

　IT與業(yè)務(wù)的不斷融合正在讓越來越多的CIO面臨前所未有的壓力。一方面，IT的任何風吹草動，都可能對高度依賴IT的業(yè)務(wù)造成影響，這使得CIO必須格外關(guān)注IT的任何潛在風險。另一方面，隨著業(yè)務(wù)流程逐漸被IT系統(tǒng)所固化，一些原本屬于其他部門的風險開始轉(zhuǎn)化給了IT部門和CIO。

　　為了緩解這種壓力，CIO必須盡可能地發(fā)現(xiàn)IT系統(tǒng)的任何潛在風險，因為一旦這些風險演變?yōu)槭鹿剩珻IO必須為此承擔責任并付出代價。而信息系統(tǒng)審計的重要職責之一，就是幫助CIO發(fā)現(xiàn)這些潛在風險。

　　IT 審計最早出現(xiàn)在IT應(yīng)用比較深入的金融業(yè)，后來逐漸擴展到其他行業(yè)。IT審計的目標是協(xié)助組織信息技術(shù)管理人員有效地履行其責任，以達成組織的信息技術(shù)管理目標。組織的信息技術(shù)管理目標是保證組織的信息技術(shù)戰(zhàn)略，充分反映該組織的業(yè)務(wù)戰(zhàn)略目標，提高組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準確性，提高信息系統(tǒng)運行的效果與效率，保證信息系統(tǒng)的運行符合法律、法規(guī)及監(jiān)管的相關(guān)要求。

　　遺憾的是，并不是所有的CIO都認為IT 審計是在幫他們？？由于不了解，造成了很多CIO對IT審計的種種誤解和偏見。那么，對于CIO來講，究竟該如何看待IT審計？又該如何配合IT審計？面對IT審計師出具的報告，CIO又該如何做？為此，CIOINSIGHT雜志邀請到了中國IT治理研究中心研究員王東紅、巨人網(wǎng)絡(luò)集團有限公司內(nèi)部監(jiān)察審計部副部長朱永明、金茂集團IT經(jīng)理王浩，就IT審計的相關(guān)話題，展開了討論。據(jù)我了解，金茂集團在今年3月剛剛請外部機構(gòu)做了IT審計。王浩，請你先來談?wù)劊銓@次審計的切身感受。

　　王浩：這是我們第一次經(jīng)歷IT審計。整個審計持續(xù)了大概一個月，審得比較細致，審計內(nèi)容涉及到了過去3年所有系統(tǒng)的變更記錄、人員權(quán)限、數(shù)據(jù)備份、故障管理、業(yè)務(wù)系統(tǒng)風險等很多方面。

　　雖然我們一直非常關(guān)注信息系統(tǒng)可能潛在的各種風險，但是確實沒有IT審計師們看得這么細。因此這次審計也指出了我們在風險控制方面存在的一些不足，特別是對一些文檔制度建設(shè)的重要性，讓我們有了更加深刻的認識。

　　最近，我正在對今年原定的IT計劃做調(diào)整，如何彌補IT審計中發(fā)現(xiàn)的不足也被列進了我們今年的IT工作計劃中。

　　CIOI:IT審計很重要的內(nèi)容之一就是發(fā)現(xiàn)系統(tǒng)的潛在風險，王浩也提到了IT部門對IT風險一直是很關(guān)注的。那么IT審計師看待或者查找IT風險的角度與IT部門自己相比主要有哪些不同？

　　朱永明：據(jù)我了解，IT風險是指在信息處理和信息技術(shù)運用過程中產(chǎn)生的，可能成為影響組織目標實現(xiàn)的各種不確定因素。IT風險包括組織層面的信息技術(shù)風險、一般性控制層面的信息技術(shù)風險，以及業(yè)務(wù)流程層面的信息技術(shù)風險等。

　　我們的內(nèi)部IT審計師的主要工作就是評估現(xiàn)有IT基礎(chǔ)設(shè)施、組織、流程的風險，制定審計計劃，實施審計，并就發(fā)現(xiàn)的缺陷與管理層討論，跟蹤后續(xù)整改，改進IT業(yè)務(wù)。

　　與CIO看待IT系統(tǒng)風險的角度相比，IT審計師更測重于管理而非技術(shù)方面，比如在安全方面更側(cè)重于訪問控制的措施，以及是否有定期回顧，還有就是該崗位的人員能否勝任工作，有無進行過適當培訓以保障其勝任工作的能力等。

　　王東紅：從我的經(jīng)驗看，CIO和IT部門面臨的工作眾多，識別潛在的IT風險并進行及時規(guī)避只是他們工作中的一部分。相比之下，IT審計師最重要的職責就是識別IT系統(tǒng)的潛在風險，所以，在一定程度上，IT審計師顯得更專業(yè)。

　　據(jù)我們了解，大部分企業(yè)都沒有建立相應(yīng)的IT系統(tǒng)風險管理體系，這就造成了CIO看待IT風險的時候，往往是局部的，很難站在全局的角度，系統(tǒng)地去考慮可能存在的IT風險，這必然會忽略一些IT風險的存在。

　　任何審計都有詳細的流程和標準，IT審計也是如此。IT審計師對IT系統(tǒng)進行審計時，會遵照既定的流程和標準一項項排查，比CIO和IT部門考慮得更細致，也更容易發(fā)現(xiàn)潛在的風險。比如，現(xiàn)在普遍存在的IT外包，很多企業(yè)對IT外包的管理非常粗放，IT審計師就會關(guān)注這些外包出去的環(huán)節(jié)，如其變更怎么管理、安全怎么管理等，這些都是CIO比較容易忽視的細節(jié)。

　　但是，有時候CIO的某些做法也是“迫不得已”，因為他們要考慮到業(yè)務(wù)的靈活性，必須對系統(tǒng)做一些臨時的改動，即便這樣的改動是存在風險的。

　　CIOI:在發(fā)現(xiàn)IT風險方面，IT審計師的工作確實是CIO工作很好的補充，這是否可以認為是IT審計受到重視的一個重要原因？