IT审计的战略定位和机构组织环境 问题1:IT审计的地位与实践没有得到管理层深刻的理解和具体的支持 我们在实践中注意到,有些管理层在概念上理解并支持IT、IT风险和IT审计在企业整体运营与发展中的战略性作用和地位,形成或发布了各种规章制度和实施办法,但在实务中如何具体地认识IT审计,并搭建和配备IT审计的组织权限、人力资源、财务预算、功能界定、绩效评估等,目前这方面存在一定的盲目性和随意性。一般来说,对IT审计理解的不明确来自于两方面。一是管理层对IT在支撑业务中的作用和IT风险缺乏全面的认知与理解。二是IT部门、风控部门和审计部门对业务运作或信息技术缺乏深入了解和沟通,使得IT被理解为技术部门或后台支持部门,等同于一个有些许特殊性的行政部门。与此相适应,就出现了对下列问题作出不一定符合企业最大利益的处理甚至困惑: ·IT审计真的要紧吗?要紧或必要到什么程度? ·IT审计应该报告给谁?是IT部门还是内审部门7 ·谁对IT审计员指导和负责?IT部门认为IT审计员是来监督的而采取保守态度;一般内审人员可能不懂IT,而IT审计员可能不懂业务与财务会计,那IT审计员应该做些什么呢? ·IT审计绩效的衡量标准是什么?IT审计的结果和建议谁负责改进和执行? ·IT审计一年要投入多少财务资源?值得吗?是自己培养还是外包? 如果管理层对上述问题持不甚了解或负面态度,就不难理解很多机构包括银行还没有建立起专门的IT审计小组或岗位的现象。同时也很难想象,一个欠缺对IT审计进行准确组织定位和资源配置的IT审计部门或人员能够有效地执行IT审计项目。对于像银行这样高度依赖IT的企业,对IT风险的无效应对意味着银行整体内部控制系统的缺陷。 虽然是老生常谈,我们仍然要呼吁管理层应当对企业自身的TI职能在战略发展中的地位进行全面的风险评估,从而界定风险控制部门和审计部门的策略性地位和组织机构。配置相应的资源,建立IT审计人员的职责,培养支持审计的文化。从硬件与软件环境上保障IT审计的有效进行。 IT控制与审计的职业标准 问题2:面对众多涉及IT的标准无所适从,不能正确、充分利用标准 目前,在执行各种审计与咨询项目的过程中涉及到一个非常普遍的问题:除了我国自己颁布的准则和指引,我们应该用哪些国际上通行的标准来指导IT审计实务。不同的国家或专业机构对IT进行过大量深入的研究,并发表了各种研究结果。一些成果已经系统化地成为某一方面公认的标准,但这些标准不具有官方强制力。在IT管理和IT审计从业人员中,经常被谈论的几个主要的IT标准有:COBIT、ITIL、ISO/IEC 27002、ITAF等。 除了上述标准,还有很多其他标准、指引和框架等。这些不同的标准在为我们优化IT建设、管理和审计的同时,也使管理层和从业人员感到无所适从。比如,一些人甚至认为COBIT本身就是“IT审计标准”。我们认为IT审计人员需要对此作一个梳理,培养对标准概念的准确把握和实际运用能力。 应当看到,IT审计准则和IT的风险、控制、安全等标准是有本质区别的,应当在不同的任务中利用不同的标准。如果IT审计人员是在进行风险评估,建立企业的IT控制体系,他们应当使用和参考具体的实体标准和方法论。如果他们对已经实施的IT控制的有效性进行核查和审计,那么他们应当遵守IT审计准则去执行审计程序,检验控制是否符合那些实体标准、建议和最佳实践。 实施IT审计的方法论 问题3:孤立实施IT审计,缺乏系统的IT审计规划和审计计划的方法和工具 概括地说,一个典型的IT审计项目过程包含下列几个环节。 计划审计目标及范围:业务目标、风险是什么?审计什么时点(时段)的哪些信息系统(流程)?IT风险和控制目标是什么? ·计划审计程序:运用哪些执业标准或指引,在审计中有什么特别的步骤需要遵从与执行? ·执行审计程序:需要什么执业能力才能有效完成设计程序? ·合并工作底稿及分析:怎样组织、分析审计证据和各种文件? ·描述关键发现:是否确认该发现是有价值的发现? ·交流与报告:什么样的结果交付给管理层? 虽然每一个环节都有其重要性,实践中我们发现审计计划往往更基础、更主导。IT审计计划的成功与否,直接影响到企业IT审计工作或某个IT审计项目的有效实行。我们经常发现的实际问题是,企业没有IT审计规划,没有明确应当审什么?为什么审?什么时间审?也缺乏编制这些计划的手段和理论基础。造成的结果是,忽而要审信息安全,忽而要审灾难恢复计划,又忽而要审系统开发。正因为这种缺乏系统的规划,使IT风险没有被足够地、及时地控制起来,比如常见的程序员的生产环境系统权限扩张,后端系统数据库权限过大,一个数据库管理员负责所有数据库管理,核心业务系统权限没有分离,系统上马期间没有应用控制设计,等等。 从单个项目审计计划来看,我们也发现类似的问题:要么审计计划缺失,要么审计计划出现对系统支持的业务流程或功能没有评估,从而使得审计目标含混、系统范围过大或过小、审计程序僵化、抽样方法有缺陷、非关键控制测试过多、重要业务应用控制遗漏等现象。