让IT审计引领企业前行
当前,随着企业信息化建设力度的加大,如何通过IT审计去获取最佳证据,以评判信息系统规划、建设和运行的有效性、安全性和可靠性已成为广大企业关注的重点。
那么到底何为IT审计?到底为何要进行企业的IT审计?企业在IT审计过程中要密切关注那些方面呢?
一、企业风险控制的“阀门”
在当前信息时代,信息技术在各行各业的经营与管理领域得到了广泛与深入的运用,信息系统的稳定可靠运行、应用系统中敏感业务信息的保护已逐步成为企业管理者关注的焦点,企业开始应用IT审计来保证信息系统安全性与有效性。那么到底何为IT审计呢?
信息系统审计是一个获取并评价证据,以判断计算机系统是否存在充分的控制,以保证资产的安全和数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程。通俗地说,就是由一个独立的第三方机构,依据各类法规、标准及规范,对组织信息化过程中的基础设施、信息系统、数据资产、管理制度、运行流程等要素进行审查和评估,以促进内部IT控制对信息化风险防范的有效性,并对企业具有风险暴露而尚未建立的内部IT控制缺失,提出有效的建立适当内部控制的建议,从而将企业面临的IT风险所带来的影响控制在一个可以接受的低水平。
据悉,IT审计的概念是从财务领域中的审计引用过来的。在财务管理领域,最早也没有审计职能,从十六世纪开始,随着西方资本主义的发展,企业的所有权与经营权逐步分开,企业的所有者为及时了解企业财务状况,控制财务风险,需要由第三方出面对企业经营情况进行独立的审查,并出具权威性的审计报告。因此,专门对企业财务进行审计的注册会计师就应用而生了。
信息系统审计的理论与方法来源于传统的财务审计,最早的信息系统审计萌芽于20世纪60年代,到20世纪90年代在发达国家得到了全面普及与快速发展。在建立信息系统审计制度和开展信息系审计研究方面,美国走在了前面。在中国,中国注册会计师协会于1999年2月颁布的《独立审计具体准则第20号—计算机信息系统环境下的审计》是我国最早的关于信息系统审计的规范性文件。现如今,国内金融、电信、能源等企业已经开始实施推广IT审计,政府部门也开始进行试点。总的来说,目前我国的信息系统审计工作目前还处于探索阶段,还没有建立起完备的专业规范,也没有形成一支与企业需求适应的、能独立开展信息系统审计专业队伍。
针对日益增加的IT风险,除了企业内部各相关部门要对信息系统风险进行控制以外,还需要由第三方对信息系统进行独立的审计,并出具权威性报告,以证实企业IT风险控制措施的存在性与有效性,揭示可能存在的IT风险隐患,促进企业及时进行整改。
二、未来风险管控落地的“风向标”
企业中的IT审计可以说是衡量企业信息化风险控制水平的风向标。引发企业开展IT审计的初衷又是什么呢?
近年来企业信息化在业务发展与科技创新方面发挥着越来越重要的作用,信息化不仅帮助企业建立了运作流畅、适用高效的平台,推动组织工作效率提高与管理的优化,还为客户提供了更为灵活的服务,为企业帯来了许多新的业务增长点与赢利模式。但同时,由于IT治理缺失、业务支持不足、管理低效、系统故障等原因造成应用系统中断和敏感信息泄露的事件不断增加,信息系统故障和安全事件给企业带来了巨大的经济损失和严重的声誉影响。
当前我国企业信息化正处在一个由初级水平的投入期向中高级水平的见效期过渡的关键时期,这个时期的信息化更加重视IT风险控制与IT价值实现两大目标,IT审计是保证此目标实现的有效手段,组织当前对建立IT审计机制的需求越来越迫切,究其原因主要有以下几方面:
其一,IT部门自身进行风险管理具有一定的局限性。虽然IT部门自身也可以进行IT风险评估与管理,但出于自身利益的考虑,面对存在的许多安全风险,IT部门往往视而不见,或者语焉不详,这样会影响到组织对IT风险进行及时有效的管控。
此外,IT风险完全靠IT部门自身已经无法有效地进行管控,特别是IT治理缺失、业务支持不足、管理低效等IT风险已经不完全是IT部门的事情,这些风险与组织的各个部门都有一定的关联,更是管理层应当关注的问题,因此需要更高层级的部门参与到IT风险管理中。
最后,组织管理层对审计发现的整改具有直接的推动作用。由于IT审计报告的汇报对象为组织的最高管理者,因此,IT审计报告可以促进管理层了解IT审计所揭示的风险,并可借助管理层的领导力,有效地推进IT风险管理体系的建立所需资源的落实;同时,由于管理层的参与,被审计对象对审计报告的重视程度要大于其自评估的安全报告,因此,通过IT审计报告揭示的IT风险可以得到有效的整改与落实。
因此,把IT审计纳入相对独立的、具有较强监督职能的审计部门中,建立有效的IT审计机制,已经成为组织有效管理IT风险的重要手段。组织IT风险的重视程度和资金投入,已逐渐从单一的产品和技术向体系化的解决方案过渡,IT风险控制机制的建立也逐步从封闭式的设计、实施与管理模式,逐步过渡到与完善的、具有适当资质的、独立的第三方审计相结合的多防线模式,这是未来IT风险管理的一个趋势。
三、三大价值让企业获益匪浅
IT审计对于企业IT内控体系的效率与效果的衡量具有积极作用,那么IT审计到底有哪些形式?IT审计会对于企业产生哪些价值呢?
针对这一问题,陈伟认为组织中的IT审计主要分为两种形式,即IT内部审计和IT外部审计。内部审计是在组织的内部专设审计机构和人员来进行,该审计机构独立于单位IT部门之外,直接接受单位负责人领导,根据有关法规和内部管理的要求,对单位的IT控制措施的建立及落实情况进行审计。这种方式的优点是内部审计机构比较了解组织业务特点和IT控制现状,给出的审计发现与整改建议更能因地制宜,但由于内部审计是由单位内部审计人员实施的,其审计结论在公正性与独立性上往往会有一定的局限性;区别于内部审计,IT外部审计是由会计师事务所或专业IT审计服务机构完成的外部审计。这类审计机构不依附于被审计单位和任何政府机构,自收自支、独立核算、自负盈亏,在业务上具有较强的专业性、独立性、客观性和公正性,其审计结论更容易得到社会的认可。外部审计与内部审计都是组织所需要的外部监督力量,他们不是相互取代的关系,而是一种可以相互补充的关系。
IT审计为企业所带来的价值主要体现在鉴证、促进和咨询三个方面。所谓鉴证价值,即信息系统审计师以其独立的身份,对企业的信息系统及其输出的信息进行审计,查出IT系统的各种控制缺失,合理地保证被审计企业信息系统及其处理、产生的信息的真实性、完整性、可靠性和合规性,以保护企业业务的健康发展。
促进价值则体现在审计师的证明可以增强人们对组织信息系统的信任程度,提高组织的声誉,促进组织的产品与服务更好地得到社会的认可。此外,通过审计发现控制缺陷或漏洞,提出解决问题的建议,可以促进被审计单位提高IT风险管理水平。
至于咨询价值则体现在IT审计师可以推动企业建立健全IT内控体系,科学地进行IT系统诊断,提出风险整改的方向性建议,客观中立地帮助企业降低信息化建设过程中的风险。
来源:中国内部审计
本帖包含附件,登录后才能下载! 登录
让IT审计引领企业前行
IT审计方丈
会员积分:520
当前,随着企业信息化建设力度的加大,如何通过IT审计去获取最佳证据,以评判信息系统规划、建设和运行的有效性、安全性和可靠性已成为广大企业关注的重点。
那么到底何为IT审计?到底为何要进行企业的IT审计?企业在IT审计过程中要密切关注那些方面呢?
一、企业风险控制的“阀门”
在当前信息时代,信息技术在各行各业的经营与管理领域得到了广泛与深入的运用,信息系统的稳定可靠运行、应用系统中敏感业务信息的保护已逐步成为企业管理者关注的焦点,企业开始应用IT审计来保证信息系统安全性与有效性。那么到底何为IT审计呢?
信息系统审计是一个获取并评价证据,以判断计算机系统是否存在充分的控制,以保证资产的安全和数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程。通俗地说,就是由一个独立的第三方机构,依据各类法规、标准及规范,对组织信息化过程中的基础设施、信息系统、数据资产、管理制度、运行流程等要素进行审查和评估,以促进内部IT控制对信息化风险防范的有效性,并对企业具有风险暴露而尚未建立的内部IT控制缺失,提出有效的建立适当内部控制的建议,从而将企业面临的IT风险所带来的影响控制在一个可以接受的低水平。
据悉,IT审计的概念是从财务领域中的审计引用过来的。在财务管理领域,最早也没有审计职能,从十六世纪开始,随着西方资本主义的发展,企业的所有权与经营权逐步分开,企业的所有者为及时了解企业财务状况,控制财务风险,需要由第三方出面对企业经营情况进行独立的审查,并出具权威性的审计报告。因此,专门对企业财务进行审计的注册会计师就应用而生了。
信息系统审计的理论与方法来源于传统的财务审计,最早的信息系统审计萌芽于20世纪60年代,到20世纪90年代在发达国家得到了全面普及与快速发展。在建立信息系统审计制度和开展信息系审计研究方面,美国走在了前面。在中国,中国注册会计师协会于1999年2月颁布的《独立审计具体准则第20号—计算机信息系统环境下的审计》是我国最早的关于信息系统审计的规范性文件。现如今,国内金融、电信、能源等企业已经开始实施推广IT审计,政府部门也开始进行试点。总的来说,目前我国的信息系统审计工作目前还处于探索阶段,还没有建立起完备的专业规范,也没有形成一支与企业需求适应的、能独立开展信息系统审计专业队伍。
针对日益增加的IT风险,除了企业内部各相关部门要对信息系统风险进行控制以外,还需要由第三方对信息系统进行独立的审计,并出具权威性报告,以证实企业IT风险控制措施的存在性与有效性,揭示可能存在的IT风险隐患,促进企业及时进行整改。
二、未来风险管控落地的“风向标”
企业中的IT审计可以说是衡量企业信息化风险控制水平的风向标。引发企业开展IT审计的初衷又是什么呢?
近年来企业信息化在业务发展与科技创新方面发挥着越来越重要的作用,信息化不仅帮助企业建立了运作流畅、适用高效的平台,推动组织工作效率提高与管理的优化,还为客户提供了更为灵活的服务,为企业帯来了许多新的业务增长点与赢利模式。但同时,由于IT治理缺失、业务支持不足、管理低效、系统故障等原因造成应用系统中断和敏感信息泄露的事件不断增加,信息系统故障和安全事件给企业带来了巨大的经济损失和严重的声誉影响。
当前我国企业信息化正处在一个由初级水平的投入期向中高级水平的见效期过渡的关键时期,这个时期的信息化更加重视IT风险控制与IT价值实现两大目标,IT审计是保证此目标实现的有效手段,组织当前对建立IT审计机制的需求越来越迫切,究其原因主要有以下几方面:
其一,IT部门自身进行风险管理具有一定的局限性。虽然IT部门自身也可以进行IT风险评估与管理,但出于自身利益的考虑,面对存在的许多安全风险,IT部门往往视而不见,或者语焉不详,这样会影响到组织对IT风险进行及时有效的管控。
此外,IT风险完全靠IT部门自身已经无法有效地进行管控,特别是IT治理缺失、业务支持不足、管理低效等IT风险已经不完全是IT部门的事情,这些风险与组织的各个部门都有一定的关联,更是管理层应当关注的问题,因此需要更高层级的部门参与到IT风险管理中。
最后,组织管理层对审计发现的整改具有直接的推动作用。由于IT审计报告的汇报对象为组织的最高管理者,因此,IT审计报告可以促进管理层了解IT审计所揭示的风险,并可借助管理层的领导力,有效地推进IT风险管理体系的建立所需资源的落实;同时,由于管理层的参与,被审计对象对审计报告的重视程度要大于其自评估的安全报告,因此,通过IT审计报告揭示的IT风险可以得到有效的整改与落实。
因此,把IT审计纳入相对独立的、具有较强监督职能的审计部门中,建立有效的IT审计机制,已经成为组织有效管理IT风险的重要手段。组织IT风险的重视程度和资金投入,已逐渐从单一的产品和技术向体系化的解决方案过渡,IT风险控制机制的建立也逐步从封闭式的设计、实施与管理模式,逐步过渡到与完善的、具有适当资质的、独立的第三方审计相结合的多防线模式,这是未来IT风险管理的一个趋势。
三、三大价值让企业获益匪浅
IT审计对于企业IT内控体系的效率与效果的衡量具有积极作用,那么IT审计到底有哪些形式?IT审计会对于企业产生哪些价值呢?
针对这一问题,陈伟认为组织中的IT审计主要分为两种形式,即IT内部审计和IT外部审计。内部审计是在组织的内部专设审计机构和人员来进行,该审计机构独立于单位IT部门之外,直接接受单位负责人领导,根据有关法规和内部管理的要求,对单位的IT控制措施的建立及落实情况进行审计。这种方式的优点是内部审计机构比较了解组织业务特点和IT控制现状,给出的审计发现与整改建议更能因地制宜,但由于内部审计是由单位内部审计人员实施的,其审计结论在公正性与独立性上往往会有一定的局限性;区别于内部审计,IT外部审计是由会计师事务所或专业IT审计服务机构完成的外部审计。这类审计机构不依附于被审计单位和任何政府机构,自收自支、独立核算、自负盈亏,在业务上具有较强的专业性、独立性、客观性和公正性,其审计结论更容易得到社会的认可。外部审计与内部审计都是组织所需要的外部监督力量,他们不是相互取代的关系,而是一种可以相互补充的关系。
IT审计为企业所带来的价值主要体现在鉴证、促进和咨询三个方面。所谓鉴证价值,即信息系统审计师以其独立的身份,对企业的信息系统及其输出的信息进行审计,查出IT系统的各种控制缺失,合理地保证被审计企业信息系统及其处理、产生的信息的真实性、完整性、可靠性和合规性,以保护企业业务的健康发展。
促进价值则体现在审计师的证明可以增强人们对组织信息系统的信任程度,提高组织的声誉,促进组织的产品与服务更好地得到社会的认可。此外,通过审计发现控制缺陷或漏洞,提出解决问题的建议,可以促进被审计单位提高IT风险管理水平。
至于咨询价值则体现在IT审计师可以推动企业建立健全IT内控体系,科学地进行IT系统诊断,提出风险整改的方向性建议,客观中立地帮助企业降低信息化建设过程中的风险。
来源:中国内部审计
本帖包含附件,登录后才能下载! 登录
18-06-30 19:43
3919
0
回复
暂无评论
