一、为董事会和审计委员会准备有关信息安全方面的问题,并能明确内部审计师在这方面的作用 董事会成员对企业经营方面的知识日益增加,但对信息安全方面的知识,还相当匮乏。信息系统发展如此之快以及技术复杂程度的日益提高,使得董事会成员已应接不暇。而内部审计师必须准备提出无数的问题,并将这些问题从简单到复杂进行排列。内部审计师在检查信息安全的所有阶段时和提出不同程度的问题时,都能使董事感到比较自如。这不仅能减少误解,而且能使以后的工作更加容易。 一旦内部审计师与董事会和审计委员会有关信息安全确立了和谐而公开的对话,董事会和审计委员会应该确立内部审计师在检查中的作用。某些董事可能认为信息安全是由内部审计师审计和管理的,并且内部审计师负有最终的职责;还有人认为内部审计师只有检查和反馈的作用,而管理者则对信息安全负有最终的职责。不管董事对内部审计师在信息安全中作用的观点如何,这种对话将提供一个极好的机会去改善各方的期望,包括董事会、审计委员会、内部审计师、外部审计师和管理者。 二、通过培训,雇佣专家或外包,确保在IT领域的胜任能力 信息系统发展迅速且复杂。尽管内部审计师可能已熟谙这种系统,但是很少有人能具有所有信息安全方面的知识和技能。再者,由于技术的迅速变化,能站在"技术浪尖"上实属不易。所以,内部审计师必须要有培养和获取技术专家的计划。 获取技术专家的第一步是要有一个全面的雇佣计划。如具有高度复杂的企业资源计划系统的公司应该雇佣具有这方面特殊知识的内部审计师。同样,还应雇佣具有网页系统、电子邮件安全或分布系统方面先进知识的内部审计师。由于信息运用相当多样化,有些公司不可能奢望拥有专职的具有特殊才能的内部审计师。在这种情况下,内部审计职员应该能知道获取这种专家的方法,如通过咨询或外包。 获取技术专家的第二步是要有一个周全的、持续的人员培训计划。当然,有些培训计划可以在内部完成,然而,大多数的复杂系统需要人员参加培训研讨。另外,通过积极参加一些职业组织,内部审计师不 仅能获得持续的教育,而且可以通过与其他公司同业人员互动式的交流,获得有价值的信息。 三、在信息风险程度和有关控制的成本和收益方面,董事、行政人员和信息系统的使用者应接受培训 一旦内部审计人员努力回答所有的有关董事会、审计委员会最初有关信息安全方面的问题时,就应确认内部审计在维护信息安全方面的作用,并确保内部审计师有必要的信息安全方面的胜任能力,接着是对董事和信息安全领域的其他领导进行培训。作为一个教育者,内部审计师应该做到: 1、检查公司的信息结构; 2、区分所有类型信息的风险; 3、确认所有信息风险的控制系统; 4、确保监管控制系统的有效性。 在这个过程中,内部审计师还必须谨慎权衡信息安全系统的成本和收益。某些董事可能认为所有的风险必须通过所有可能的控制措施来确定。然而,内部审计师的作用是解释风险如何按照期望的成本来衡量,而且这些成本如何与提供控制的成本相抗衡。在某种情况下,运用所有可能的控制是不恰当的,特别是那些控制成本超过预期安全失败的成本。 四、确认和监管企业面对关键的信息安全风险 这项工作应该能每年完成一次。风险评估是信息安全关键的因素。如果内部审计师不能清楚地了解企业所面对的风险,那么,它就不可能建议和运用有效的控制。 内部审计师不仅应该完成其自身的风险评估,而且能使管理者更加有效地对关键信息安全风险进行评估。在这个过程中,应考虑构成内部和外部信息安全的威胁。每个企业将有一个唯一的持续变动的风险需要监控。例如依赖外部沟通和外包经营将增加企业的信息安全的风险。此外,如果控制的运用滞后于系统的开发,将会导致更大的风险。 企业的关键信息安全风险应该量化,并考虑潜在安全失败的可能性和估计失败带来的损失。将这样的"风险"量化可以使企业有限的资源用于控制信息安全的弱项上。 五、评价企业信息安全控制的效率性和效益性 这项工作也需每年能完成一次。在确认和监管关键信息安全风险后,内部审计师应能通过评价信息安全控制的效率性和效益性,帮助企业来管理这些风险。如上所述,管理者通过成本一效益分析最终选择忽略、减轻和消除信息安全风险。管理者承担运用和维持关键控制的责任。但是,作为一个内部监管者,内部审计师必须确保这些控制能适当地运用并能按如期设计的那样发挥作用。内部审计师还必须根据效率性和效益性,确认缺乏关键控制的方面或不必要控制的方面。 六、与管理者、IT人员和外部审计师一起努力,协调上述(四)和(五)的工作 在管理信息安全风险时,需要企业各方的共同努力。管理者最终对控制系统有效地发挥作用负责,包括确保信息安全的控制。其他各方要支持管理者,确保其能完成对信息安全的适当控制。 IT部门通常在信息开发阶段,将硬件控制与软件控制结合在一起。此外,根据各职能部门的人员输入,进行一般的控制,即使在系统开发后是无效的。 外部审计师应当执行财务审计的职能,并能对组织的内部控制进行评价。美国外部审计准则94号,关于"在进行财务报表审计时,审计师考虑内部控制的信息技术影响",提供了IT对内部控制和外部审计师对内部控制的理解和对控制风险评价方面的指南。所以,在某种程度上,外部审计师每年的审计,可以着重在信息的安全和有关的控制方面。