企业处理信息系统的方式发生了许多变化,这些新变化形成了一个新的框架---IT治理。简单地讲,IT治理就是对企业的IT进行指导与管理的过程。有效的IT治理有助于确保IT支持商业目标,使企业对IT进行最大的投资并适当地规避与IT有关的风险。IT治理通过快速有效地运用安全可靠的信息和实用性技术也有助于确保成功的实现。公司总裁、财务总监、首席运营官、技术总监和首席信息运营官在IT治理框架下形成的基本原则意见一致,他们都同意将IT目标和企业目标进行战略性组合,这样也使企业的IT战略管理和日常经营管理产生变化。 计算机应用软件几乎渗透到所有的商业活动中,各单位将从供应商手中购得的硬件平台与市场上出售的软件和内部开发的软件混合起来。IT治理、国际信息基础设施、电子商务以及对公共信息和企业信息的管理等使自我检测与自我保证变得很有必要。 商业风险的相应增加使得进行IT审计成为必要,以此评价信息技术满足运行需求的程度、评价内部控制的充分性和保证信息系统所管理的资产得到充分的保护。美国2002年所通过的"萨博尼斯-奥克利"法为各单位清理自身行为并依赖自身审计能力提供了支持。 在目前的经济环境下,IT审计师供不应求。IT治理已经开始为IT审计师创造机遇。 对信息系统进行检查的审计师应将注意力集中在系统的管理方面。他们必须要考虑总体系统环境,而不仅仅考虑计算机化的环境。这就要求审计师从交易之初就参与进来,直到交易结果被纳入公司总账。具体来讲,IT审计师的主要审计任务是: 建立一个完备的审计踪迹,通过它来回溯或前瞻交易过程; 对所有输入系统的数据进行记录并对数据的描写进行监控,对通过系统计算机化部分进行的交易的准确性进行记录并对记录的描述进行监控; 处理计算机系统的意外情况以及计算机系统停止工作时的情况;进行单元测试或综合性测试,保证监督措施到位以确定这些系统是否按计划运行; 对计算机系统的变化进行监督,以确定是否可以经适当的授权而进行改变并将变化记录下来; 建立系统重置的授权程序并将该程序记录下来; 在系统实施过程中确定单位及政府政策和程序的调整情况; 对系统操作用户人员的培训;制定详细的评价标准,以确定被实施的系统是否符合事先的详细规定; 对互连计算机系统进行充分地监督; 采取安全程序来保护用户数据; 为系统运营提供备份和恢复程序,保证商业持续经营; 保证不同供应商所提供的技术是兼容的并且对它们进行监督; 建立设计得当、控制合理的数据库,保证在全单位运用共同的数据定义,将数据冗余删除并进行监督,保证将存在于不同数据库中的数据同时进行更新。 IT审计师的职责表明他们最为关注的是单位资产确保有足够的监督措施保证,在这种监督活动中,将由"萨博尼斯-奥克利"法确保监督质量和独立性。 世界上很多国家对它们的会计行业进行认证,也就是"特许注册会计师"和"注册会计师",作为对从事这种职业的经验和教育水平的认证。IT审计师资格则由信息系统审计和控制协会(ISACA)来颁发认证。信息系统审计师考试每年在全球以数种语言进行。 对复杂的信息系统进行评价的审计师必须掌握高超的技术技巧来了解不断发展的信息处理方法。当前的信息系统存在一些风险,比如不兼容的平台、通过通信网络(互联网)探测安全性的新方法以及信息运行系统的快速分散(它往往造成集中控制的丧失),等等。 对运行环境的审计分为两部分。第一部分技术含量最高的审计是对操作环境的评价,主要的软件包代表自动处理环境下的总体控制或环境控制。对这一部分的审计通常由IT审计专家来完成。运行环境的第二部分是自动应用程序,这一部分由掌握了一定计算机技术的一般审计师进行审计。 各单位对IT的运用日益广泛,对计算机系统的审计无须遵守许多传统的审计指导原则就可以完成。此外,信息技术在新领域的利用也带来了一些新的风险,新的风险要求采取新的监督措施。IT审计师处于独特的地位并对某系统与某企业总体相关性作出评价。由于上述原因,IT审计师往往在高级管理层决策过程中发挥作用。 对IT审计师的作用进行检测可通过IT治理的过程和为本行业所制定的职业实践标准。IT会对整个单位的经营情况产生影响,所以我们应对IT治理给予关注并参与IT治理的有关活动。