IT审计 独立于IT管理的监督过程

日期: 2008-06-30 来源:TechTarget中国

  IT审计是伴随着IT的飞速发展而产生的。当前,IT应用的进步导致了需要有专门的内部控制措施才能控制新的风险。这就需要新的技术来评估控制的有效性,确保企业数据以及生成这些数据的信息系统的安全。

  目前还没有一个IT审计的权威定义。IT审计一般指对信息系统的规划、开发、实施、运行和维护等各个环节进行评价,确保与IT相关的风险控制在可接受水平的过程。

  IT审计要回答什么

  与一般的审计一样,IT审计的任务与使命也是通过评价内部控制,确保风险控制在可接受的水平。

  但与一般审计不同的是,IT审计除了关注操作层面的风险外,还应关注战略层面的风险,因为IT已经成为企业的战略问题。

  另外,IT审计关注的风险主要与IT相关。具体来讲,IT审计的任务与使命可以概括为三个方面:

  一是确保IT项目管理风险控制在合理水平;

  二是确保业务流程中与IT相关风险控制在可接受水平;

  三是确保信息和信息系统的安全。

  三个方面既涉及战略风险,也涉及操作风险。

  第一要务:IT项目管理风险“控制阀”

  为了维持并提高竞争力,企业在持续地维持并更新现有的信息系统,并持续地开发和应用新的信息系统。

  资料研究表明,我国企业每年IT投入近万亿元,每年仅在ERP项目上的投资就超过80亿元。以信息化程度名列前茅的金融业为例,2004年,全国金融业IT投资规模达到248.85亿元,比2003年的237亿元增长5.0%,其中银行业IT投资规模达到212.35亿元,比2003年的200亿元增长6.2%。大集中处理系统、客户关系管理系统和网上交易系统等,已成为金融企业IT建设的热门话题。

  但是,IT项目完全成功的企业寥寥无几,要么延期完成项目,要么超过预算,要么功能不足,甚至完全失败,IT投资正陷入巨大的“黑洞”。据Gartner集团2002年对北美IT业1375家公司的调查发现,大约有40%的IT项目没有达到预期的结果,研究还发现一个原计划27周的IT项目在仅仅持续了14周后被取消。在我国,有人估计80%的系统失败或未达到预期目标,某证券公司花巨资建设的大集中系统半途夭折就是一个典型例子。

  与IT项目相关的风险包括:IT项目与企业目标不一致、IT项目部分或全部失败、开发商倒闭、与开发商的合同存在的风险、项目外包风险和财务风险等。

  IT审计的第一个任务与使命,就是通过评价IT项目管理过程中内部控制的适当性,确保风险控制在合理水平。

  例如,IT项目与企业目标不一致的风险实际上涉及到IT的战略问题。要解决好IT的战略问题,就要解决两个动态过程的匹配问题,一是变化很快的企业环境,二是更新很快的信息技术。

  两者的匹配又和诸多问题相关,如企业选择IT的目的,主要为了提高效率,还是主要为了提高响应速度?还是主要为了引入新产品?由于IT的战略问题,对IT已不能局限于管理,应当上升到治理,根据公司治理的要求,董事会应当对IT治理负最终责任。IT审计师通过评价内部控制的适当性,如董事会是否在确定IT战略过程中发挥了应有的作用,帮助企业将风险控制到合理水平。

  第二要务:业务流程与IT相关风险“调控钮”

  业务流程再造(Business Process Reengineering, 简称BPR)是企业为了在现代经营环境中求得生存和发展,应对竞争和顾客需求双重压力的一个措施。业务流程再造通过对系统过程的自动化,减少人工干预和控制,满足顾客需求,实现成本节约,其特征是:根本性的思考,彻底的再设计,使企业效益获得巨大的提高。

  IT与业务流程再造是密不可分的,业务流程再造通常需要借助IT加以实现,如果没有IT的支持,就无法达到业务流程的再造;IT项目也一般需要业务流程再造才能成功实施,因为业务流程再造是IT的内在驱动力。人们对业务流程再造的最大担忧就是,企业流程中的主要控制会在提高效率的再造过程中被削弱甚至完全消失,从而给企业带来风险。

  效率和控制往往是一对矛盾,而削弱控制则容易带来风险。因此需要在效率和控制之间找到一个平衡,或者在削弱原有控制提高效率的同时,需要找到补偿控制。

  IT审计师的任务和使命就是要识别原有业务流程中的主要控制,评价这些主要控制被削弱或消失后的影响,向企业领导层提出建议,确保通过实施IT项目进行业务流程再造后,企业风险控制在可接受的水平。

  第三要务:信息和信息系统安全的“护航者”

  在信息社会,信息和产生该信息的信息系统是企业的重要资产,这已经得到社会的广泛认同。但是,信息和信息系统的安全问题却异常严峻,病毒、木马、逻辑炮弹、蠕虫、非授权访问、网络拒绝服务、计算机犯罪等,各种安全威胁应有尽有。

  根据美国计算机安全事件响应组协调中心(CERT)统计,1988年至2003年报告的安全事件总计319992件,其中1998年为6件,2003年增至137529件。

  信息资产的安全问题是一个极其复杂的问题,涉及到技术、法律、管理等诸多方面。IT审计在信息安全方面的任务和使命,就是通过评价相关的内部控制的适当性,确保信息资产的安全,包括保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。

  需要说明的是,IT审计并不能代替IT管理的责任,IT审计应当是独立于IT管理的一种监督过程。但是,IT审计确实能够为企业增加价值。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 企业如何应对数字变革

    当西班牙银行业巨头BBVA在应对数字化变革时,他们采用了每家银行都知道的方法:风险控制。 BBVA银行基础设施 […]

  • 研究称机器学习、大数据将重塑业务流程

    当我们在未来回顾2014年时,会把它看作为企业新时代的一年吗?根据国际数据分析研究所(IIA)的相关数据,大数据的发展,以及机器学习和嵌入式分析,将推动新产品,彻底改变旧的业务流程,并很可能意味着律师们将会有大量的工作。

  • 前GE、BP公司CIO:CIO要为业务负责

    Jim Noble是本周在纽约举行的世界BPO/ITO(业务流程外包/IT外包)论坛活动的主席, Noble告诉TechTarget记者,简而言之,业务流程和IT外包世界正在发生“翻天覆地的变化”。

  • 斯诺登事件后,IT人员还值得信任吗?

    对于那些对保持系统运行至关重要而且往往有权限访问一切数据的信息技术管理员来说,泄露敏感信息或敲诈高层官员简直易如反掌。接下来我们不妨来思考一下:IT人员还值得信任吗?