2010-11-19 10:40:43 来源:IT168
听了国都兴业的技术专家的介绍,李强(备注,“本文人物均为化名”)对IT审计产品提起了浓厚的兴趣,单是“针对信息系统的安全性、符合性、可靠性和有效性进行审计”这一项,就让李强看到了IT审计产品的真正价值。
不过,在此之前,李强只知道有财务审计。财务审计的目标很明确,就是审查组织的财务报表,识别组织经济活动中的舞弊行为。那么,IT审计要审什么,难道是审计信息系统的?
答案,对,也不对。说“对”,是因为既然IT审计也称作信息系统审计,必然与信息系统有着莫大的联系,必然是围绕信息系统展开。说“不对”,是因为回答不够准确。审计作为独立于组织业务链之外的结构,监督并客观评价与业务相关的控制在设计和执行方面的效果、效率,为完善组织内控框架提供建议,确保组织的利益相关者的利益不遭受损害并能够顺利获得。
准确来说,IT审计需要针对IT控制的设计和执行情况进行监督及评估。
依据控制的设计及效果进行区别,IT控制可以分成预防性控制、检查性控制和纠正性控制。其中,预防性控制属于事前防范措施,有效部署预防性控制可以避免事故或问题发生,使危害或损失为零;检查性控制属于事中举措,在错误或事故发生的时刻能够及时对其进行识别;检查性措施和纠正性措施通常组合部署,以便在无法规避风险的条件下,采取措施使危害或损失的程度降至最低,只是,纠正性控制需要以检查性控制作为条件,二者不可分割。
当然,IT控制有很多不同的分类方式,例如:从普适性和针对性角度来分,IT控制可以分成一般控制和应用控制;从组织架构、基于IT控制设计和实施的相关角色的职责来分,IT控制又可以分成治理控制、管理控制和技术控制。
不过,不管怎样,IT控制都要满足以下四个要求:1.有效地交付可靠信息,确保安全的IT服务符合本组织的战略、政策、外部需求和风险偏好;2.保障利益相关者的利益;3.实现客户、商业伙伴和其他外部各方完成业务目标的互惠互利关系;4.适当地识别并应对威胁和潜在的情况。
IT审计产品作为监督评估IT控制的角色,需要在理解了IT控制的目标之后,有针对性的取证分析,做出客观的判断并向管理层汇报,同时针对不当的控制提出改进建议。
ISACA编订并发布COBIT(Control Object of Information related Technologies)指导信息系统实施单位和IT审计人员更清晰地了解和把握IT控制。COBIT是IT管理和IT审计的最佳实践框架,将包含IT基础设施、IT应用、人员和信息四类要素的IT资源分配到信息系统生命周期的4个域、34个流程的控制中,并针对每个流程依据包含机密、完整、可靠、合规、效果、效率、可用等七个属性的业务目标分别定义了各流程的IT控制目标及活动目标。
COBIT建议按照业务、信息系统整体、IT流程、流程活动的顺序自上而下的对业务目标进行分解,从而确保IT目标与业务目标的关联;同时按照从流程活动、IT流程、信息系统整体、业务的顺序自下而上的进行指标的衡量,以保证及时发现并纠正IT控制中的偏差,确保IT控制与业务目标的一致性。COBIT不仅适合指导单位依据IT控制目标对IT进行管理,同时也适合IT审计人员参考进行IT控制的审核。
李强不禁感叹,如果自己所在的企业当初用了IT审计产品,肯定能做到有效的IT控制,让IT更好地为业务发展提供动力,也不至于落到如此窘迫的地步啊。不过,再好的产品如果使用不得当,也发挥不出真正的价值,因此,李强心中也有一个疑问:到底怎么审,才能真正有助于企业的发展?请看《走近IT审计系列之三:审之有道才是真》。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。