陳浙一：IT審計的綜合趨勢談

2014-11-08 22:18:42 大云網　點擊量：評論 (0)

哪個行業(yè)的資格認證是當今最殘酷的考試？ CISA肯定是答案之一。CISA是國際注冊信息系統(tǒng)審計師的簡稱，又稱IT審計師，目前在全球有2萬人。由于普遍使用大型管理信息系統(tǒng)，跨國公司都非常重視對信息系統(tǒng)安全和穩(wěn)定

哪個行業(yè)的資格認證是當今最殘酷的考試？ CISA肯定是答案之一。CISA是國際注冊信息系統(tǒng)審計師的簡稱，又稱IT審計師，目前在全球有2萬人。由于普遍使用大型管理信息系統(tǒng)，跨國公司都非常重視對信息系統(tǒng)安全和穩(wěn)定性的控制，常常高薪聘請IT審計師進行內部審計。IT審計師目前已經成為全球范圍內幾乎所有的大型跨國公司最搶手的高級人才。

　　IT審計師的興起，完全歸因于所謂的IT審計。IT審計顧名思義,就是為了更好的控制IT的風險，有效的幫助企業(yè)規(guī)避風險。具體而言，IT審計是為了提高企業(yè)信息系統(tǒng)的安全性、可靠性以及開發(fā)、運營效率，使企業(yè)信息化得到健康、全面的發(fā)展而引入的預防機制。

　　隨著計算機技術在管理中的廣泛運用，信息系統(tǒng)逐漸從傳統(tǒng)的后臺支持而步入前臺，成為企業(yè)競爭的重要支撐，企業(yè)憑借信息系統(tǒng)的強大功能優(yōu)勢，完成其業(yè)務流程的再造，但與此同時，從信息系統(tǒng)安全性方面我們看到硬件故障、程序故障、操作系統(tǒng)錯誤、計算機犯罪，設備災害以及保密數據泄漏等現象發(fā)生的可能性越來來越高，傳統(tǒng)的控制、管理、檢查和審計技術都受到了巨大的挑戰(zhàn)。

　　“IT審計，本質上是一種IT風險控制的方法，通過IT審計可以確認IT系統(tǒng)是否安全、合規(guī)、可靠、有效”，國都興業(yè)信息審計系統(tǒng)技術（北京）有限公司信息系統(tǒng)審計技術研究部總監(jiān)陳浙一從事IT審計服務多年，對于IT風險評估、IT審計解決方案有著深刻認識，而其所在的國都興業(yè)公司作為國內IT審計技術應用的倡導者之一，已經以COBIT模型為基礎，創(chuàng)建了獨具特色的IT審計技術體系。“信息系統(tǒng)給用戶業(yè)務帶來高效和便捷的同時，也給外部和內部利用信息系統(tǒng)犯罪帶來了容易性和隱蔽性。要規(guī)避管理信息系統(tǒng)的風險，先進的IT審計技術不容缺失”

　　另一方面，雖然信息系統(tǒng)審計承擔著企業(yè)經濟“免疫系統(tǒng)”的重要作用，但從國內來看，IT審計的實踐和普及工作卻一直處于較為緩慢的進程之中，原因何在？未來IT審計的發(fā)展趨勢會是怎樣？帶著這些疑問，筆者走訪了IT審計專家陳浙一。

　　IT審計現狀：蓄勢待發(fā)

　　記者：主要是哪些類型的企業(yè)對IT審計需求較強？是否主要是大型央企？

　　陳浙一：從應用企業(yè)類型來看，中小企業(yè)用戶目前確實較少，IT審計主要還是集中在信息化程度要求較高、國家安全緊密相關的政企單位。比如電信運營商、各大銀行金融機構、國家部委、軍隊等。

　　記者：能否簡單介紹下IT審計在當前國內企事業(yè)單位中的應用處于什么階段？

　　陳浙一：據我所知，此前企業(yè)中還沒有純粹意義上的信息系統(tǒng)審計項目，而是往往從安全風險評估角度切入，面向業(yè)務評估系統(tǒng)安全，進行風險管理等。直至08年末審計署在某央企試點，進行了第一次沒有摻雜任何經濟性質審計的IT審計。，

　　記者：您如何理解審計署試點IT審計的舉措？

　　陳浙一：審計署已經率先認識到了在信息化時代，大型國有企業(yè)開展IT審計，提升信息系統(tǒng)風險管理水平的必要性。審計署正在編撰《信息系統(tǒng)審計指南》，從而為2010年指導、推廣央企未來IT審計工作奠定堅實基礎。

　　記者：指南會帶來很好的指引嗎？

　　陳浙一：指南一方面為國家審計機構如何進行IT審計提供指導，另一方面也可以作為企業(yè)自身在做IT審計時提供有效的參考、規(guī)范，用以幫助企業(yè)CIO更好做好內控及IT本身的控制。但IT審計的實施還需要政府、企業(yè)、廠商產業(yè)鏈各環(huán)節(jié)的通力合作。

　　繞不開的幾道坎

　　記者：目前IT審計人才的培養(yǎng)、具體的實踐等方面的工作均不夠完善。您認為導致這種現象的原因？

　　陳浙一：由于信息系統(tǒng)審計工作目前的整體環(huán)境還在發(fā)展階段，企業(yè)對于IT審計人才的培養(yǎng)也處于初級階段，目前的狀況是懂IT的人才不少，但是這些專業(yè)人才往往缺少對企業(yè)的業(yè)務、審計的相關知識。因此，如何培養(yǎng)復合型的人才已經成為IT審計實施的關健。

　　記者：信息系統(tǒng)審計資格證書考試的推廣能否解決人才培養(yǎng)問題？

　　陳浙一：認證肯定是可以促進人才的培養(yǎng)的，尤其是對傳統(tǒng)審計人員從事IT審計而言。對于IT人員從事IT審計而言感覺該考試更多在于考核對信息系統(tǒng)的理解，有必要適當增強審計方面的考核，讓IT人員更快的進入審計狀態(tài)。

　　記者：除人才培養(yǎng)外，IT審計的推廣還有哪些困難？

　　陳浙一：首先是企業(yè)對IT審計的認識，企業(yè)已經意識到系統(tǒng)安全重要性，因此愿意主動啟動系統(tǒng)風險評估，但是對IT審計的認識還有待提高，只有企業(yè)認可了IT審計對于企業(yè)主營業(yè)務的重要性，才會真正重視起來；其次，適應變化，企業(yè)的組織在不斷調整、業(yè)務流程在不斷變化，比如最簡單的人員變動，門卡注銷等，都需要信息系統(tǒng)能夠根據外部環(huán)境變化進行及時調整。

　　最佳實踐/ IT審計的自我證明

　　記者：企業(yè)對于IT審計的猶豫，是出于成本、運營效率等方面的考慮。能否舉幾個實例，證明發(fā)揮好IT審計工作對于經濟、管理工作的效用？

　　陳浙一：區(qū)別于四大會計師事務所的是，國都興業(yè)更側重于從審計視角提供解決方案，而不僅僅出具審計報告。基于這種背景認識，07年我們在XX機場做過一個IT審計類的項目，上線后效果非常好。當時機場的業(yè)務系統(tǒng)，有17個子系統(tǒng)，存在協(xié)調工作難的問題，比如乘客辦登機牌時把行李托運，行李會陸續(xù)經過多個子系統(tǒng)的流轉，而這樣的運行過程中經常會出現協(xié)調上的問題。有些可以人工及時排除，而更多的人工不易檢查出來，不知道問題所在。

　　為了及時排查行李在哪個環(huán)節(jié)出了問題，我們基于機場特點開發(fā)了一套信息系統(tǒng)審計軟件，對全流程保持全程監(jiān)控，行李是什么時候過去的，下方回應了沒有。上方是否發(fā)出請求，下方是否回應，都能很快定位，同時軟件自動把中間傳遞的相應時間給審計出來，通過這種方式可以查看系統(tǒng)效率并及時發(fā)現問題。該軟件一經應用，立刻解決了困擾客戶許久的問題，對提升客戶的工作效率起到了很好的作用。

　　記者：近期在其他行業(yè)還有同樣的成功案例嗎？

　　陳浙一：09年國都興業(yè)的IT審計產品開始在電信行業(yè)應用，以基于計費協(xié)議的審計為切入口。主要是協(xié)助客戶從兩個層面為客戶驗證收入計費邏輯，進而規(guī)避收入流失風險。第一個層面是基礎層，主要包括驗證計費邏輯是否正確，計費協(xié)議有無違反約定；第二個層面是業(yè)務層，主要驗證業(yè)務運營，業(yè)務邏輯，業(yè)務控制各個環(huán)節(jié)是否合理。通過審計視角展示給客戶最終的驗證成果，取到了較好的效果。

　　創(chuàng)新技術方案

　　記者：基于COBIT的綜合審計平臺是目前IT審計界的一個技術新趨勢，事實上它也是基于用戶市場的強大需求應運而生的。COBIT與傳統(tǒng)的ITIL的區(qū)別在哪？

　　陳浙一：ITIL專注于IT運維管理和業(yè)務流程，并指導企業(yè)如何建立某個具體的流程。而COBIT的關注角度更廣， COBIT的范疇不僅僅在運維方面，還在戰(zhàn)略、組織方面，另一方面COBIT更多描述的是各個流程需要達到的目標。具體來說，COBIT著眼于與企業(yè)業(yè)務密切相關的IT資源的審計與評估，通過對IT審計流程的分析解剖，確認IT事件審計風險點、控制目標，從業(yè)務效果、效率、保密性、完整性、可用性、合規(guī)性、可靠性多個維度給出IT系統(tǒng)審計評價。以COBIT為基礎是IT審計的必然方向。

　　記者：能否簡單介紹下基于COBIT的綜合審計平臺？

　　陳浙一：IT審計一般可再細化為一般性控制審計與應用控制審計，在一般性審計方面基本已經規(guī)范化；而在應用控制審計上，則已經涌現了一定量技術、理念都比較先進的應用，比如綜合審計平臺。綜合審計平臺的出發(fā)點由傳統(tǒng)的面向資產轉為直接面向業(yè)務，關注基礎設施， COBIT效率、效果等，具體而言，綜合審計平臺提供解決方案來審計系統(tǒng)接口、流程規(guī)范，系統(tǒng)日志防篡改，幫助用戶解決一系列的實際問題。