IT審計實務

信息技術在企業的生產經營和業務管理活動中發揮了越來越重要的作用，信息化已經成為公司發展和管理必不可少的技術支撐手段。但正如一把雙刃劍，在信息化給企業帶來便利以及快速發展的支撐同時，如何控制信息系統風險是越來越多的企業所關注的問題。

因此，當前絕大部分企業均需要通過權威外部機構對公司的信息化管理現狀進行全面的審計，以分析評估存在的問題，提出解決方案建議，完善IT風險控制，保障各信息系統的規範運作，降低信息化風險，提高業務運營的經濟性和有效性。本文將從如何實現全面IT審計進行探討。

IT審計雖然區別於財務審計，運營審計等常規審計，但其審計方法論仍不可能脫離常規審計所用的方法論。也就是必須對審計目標，審計範圍，審計計畫等等均需進行清晰闡述，並在實施IT審計後，出具具有充分、適當的審計證據支持的IT審計報告。

當然，很多企業在請外部權威機構進行IT審計的同時，更多的是希望得到好的IT風險控制建議，而不僅僅是一份審計報告。這通常是IT審計業務與財務審計業務不太一樣的需求。因此往往在出具IT審計報告的同時，企業也經常請權威機構協助建立企業內部的IT審計體系，並進行知識轉移，推動IT內審機制在本企業內開展與落實。

一般來說，實現全面的IT審計，應當從審計對象的整個生命周期領域、審計對象及組織層次來開展審計共組。進行IT審計的對象包括但不限於以下領域：

ØIT管理組織與制度

ØIT項目管理流程規範性 ，包括套用系統的開發、測試與上線管理

ØIT基礎設施及運維管理

Ø信息安全管理

IT審計涉及的套用系統包括但不限於以下領域：

Ø生產系統

Ø行銷系統

Ø辦公自動化系統

IT審計涉及的組織層次包括但不限於以下領域：

Ø高層決策者

Ø中層管理者

Ø技術部門員工

Ø業務部門員工

IT審計依據的來源基本上業界都有很充分的理論依據以及最佳實踐，以下IT控制標準、法律法規、行業最佳實踐都可作為IT審計的依據。

國家政府機關制定的法律法規、行業監管部門頒布的規章制度及組織自身制定的規範要求都可作為IT審計的標準，例如：

Ø公安部《信息系統等級保護實施規範》

Ø國家保密局《計算機信息系統保密管理暫行規定》

Ø工信部《信息安全風險評估指南》、《信息安全管理規範與實施細則》

Ø財政部、證監會、審計署、銀監會、保監會聯合發布的《企業內部控制基本規範》

Ø國資委[2007]8號文對中央企業加強信息化工作的相關要求

Ø國資委[2009]102號文對中央企業開展信息化水平評價，制訂信息化發展“登高計畫”的相關要求。

Ø國資委[2010]41號文，對中央企業實施《中央企業商業秘密保護暫行規定》的相關要求。

Ø監管機構有關信息化規劃、信息安全管理、IT風險控制的相關要求。

Ø企業內部有關IT治理、管理及操作方面的相關制度與規範等。

IT審計過程仍遵循常規審計步驟，包括審計策劃、審計準備、審計對象調查、實施審計、審計發現覆核及溝通、審計報告六大步驟。與財務審計等不同之處主要在於審計框架是否全面。但就如本文2.1所述，被審計對象往往對於IT審計的要求，更希望的是得到有效的IT風險控制方法，而不僅僅是審計報告，因此如何幫助企業建立可運轉的IT審計體系也是一個需要解決的問題。

如何在企業內建立IT審計體系，首先內部審計機構的建立是必要，並需要給予該機構充分的權利來制定IT控制內部審計相關的管理制度、審計方法流程及操作手冊，用以指導企業開展IT控制內部審計。

除了建立合理的IT審計機制，另外還有一個非常重要的工作就是企業必須培養IT審計人才。目前國內對於財務審計，運營審計的人才培養已經有10多年的歷史，無論從國家政府機構如審計署，到民間組織如內部審計協會，從CPA考試到高校所成立的會計專業等等，都逐漸形成了相應的人才建設與培養體系，但是對於IT審計人才的培養仍處於比較初級的階段，因此IT審計人才的培育也是企業在實施全面IT審計後，所面臨的一個需要重點解決的IT風險問題。

北京谷安天下公司根據多年的企業信息安全管理與控制經驗，並結合國內知名信息系統審計師、信息系統專業人員，精心設計了信息系統審計培訓整體方案，方案考慮到“信息系統審計”對國內企事業單位還是一個新生的事件，特別是信息技術從業人員對此還較為陌生，培訓方案從內部審計的概念、原理出發，一步步引入信息系統審計的方法，從理念到實踐，從靜態到動態，從管理到技術，從組織到制度，覆蓋整個組織的IT系統生命周期的風險控制。谷安IT審計實務培訓課程將講解如何利用IT最佳實踐標準、方法和工具，針對組織的IT系統進行審計，以發現組織IT系統在IT治理、安全、運維、開發及業務連續性等方面存在的技術脆弱性和管理薄弱環節，以適宜的方式向管理當局報告所發現的風險，並對風險進行持續的追蹤，不斷提高組織的IT風險控制水平。