谷安主页 咨询服务 IT审计 软件产品 培训教育 安全意识 谷安在线 安全商城 网站首页
IT审计 行业解决方案 成功案例 新闻动态 IT审计师联盟 关于我们
谷安天下:让IT审计为企业保驾护航

 

当前,随着企业信息化建设力度的加大,如何通过IT审计去获取最佳证据,以评判信息系统规划、建设和运行的有效性、安全性和可靠性已成为广大企业关注的重点。

那么到底何为IT审计?到底为何要进行企业的IT审计?企业在IT审计过程中要密切关注那些方面呢?近日,记者采访了谷安天下副总经理兼技术总监陈伟先生。

企业风险控制的“阀门”

在当前信息时代,信息技术在各行各业的经营与管理领域得到了广泛与深入的运用,信息系统的稳定可靠运行、应用系统中敏感业务信息的保护已逐步成为企业管理者关注的焦点,企业开始应用IT审计来保证信息系统安全性与有效性。那么到底何为IT审计呢?

对此,陈伟表示,信息系统审计是一个获取并评价证据,以判断计算机系统是否存在充分的控制,以保证资产的安全和数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程。通俗地说,就是由一个独立的第三方机构,依据各类法规、标准及规范,对组织信息化过程中的基础设施、信息系统、数据资产、管理制度、运行流程等要素进行审查和评估,以促进内部IT控制对信息化风险防范的有效性,并对企业具有风险暴露而尚未建立的内部IT控制缺失,提出有效的建立适当内部控制的建议,从而将企业面临的IT风险所带来的影响控制在一个可以接受的低水平。

据悉,IT审计的概念是从财务领域中的审计引用过来的。在财务管理领域,最早也没有审计职能,从十六世纪开始,随着西方资本主义的发展,企业的所有权与经营权逐步分开,企业的所有者为及时了解企业财务状况,控制财务风险,需要由第三方出面对企业经营情况进行独立的审查,并出具权威性的审计报告。因此,专门对企业财务进行审计的注册会计师就应用而生了。

信息系统审计的理论与方法来源于传统的财务审计,最早的信息系统审计萌芽于20世纪60年代,到20世纪90年代在发达国家得到了全面普及与快速发展。在建立信息系统审计制度和开展信息系审计研究方面,美国走在了前面。在中国,中国注册会计师协会于19992月颁布的《独立审计具体准则第20号—计算机信息系统环境下的审计》是我国最早的关于信息系统审计的规范性文件。现如今,国内金融、电信、能源等企业已经开始实施推广IT审计,政府部门也开始进行试点。总的来说,目前我国的信息系统审计工作目前还处于探索阶段,还没有建立起完备的专业规范,也没有形成一支与企业需求适应的、能独立开展信息系统审计专业队伍。

针对日益增加的IT风险,除了企业内部各相关部门要对信息系统风险进行控制以外,还需要由第三方对信息系统进行独立的审计,并出具权威性报告,以证实企业IT风险控制措施的存在性与有效性,揭示可能存在的IT风险隐患,促进企业及时进行整改。

未来风险管控落地的“风向标”

企业中的IT审计可以说是衡量企业信息化风险控制水平的风向标。引发企业开展IT审计的初衷又是什么呢?

当谈及到企业开展IT审计的原因时,陈伟强调,近年来企业信息化在业务发展与科技创新方面发挥着越来越重要的作用,信息化不仅帮助企业建立了运作流畅、适用高效的平台,推动组织工作效率提高与管理的优化,还为客户提供了更为灵活的服务,为企业帯来了许多新的业务增长点与赢利模式。但同时,由于IT治理缺失、业务支持不足、管理低效、系统故障等原因造成应用系统中断和敏感信息泄露的事件不断增加,信息系统故障和安全事件给企业带来了巨大的经济损失和严重的声誉影响。

当前我国企业信息化正处在一个由初级水平的投入期向中高级水平的见效期过渡的关键时期,这个时期的信息化更加重视IT风险控制与IT价值实现两大目标,IT审计是保证此目标实现的有效手段,组织当前对建立IT审计机制的需求越来越迫切,究其原因主要有以下几方面:

其一,IT部门自身进行风险管理具有一定的局限性。虽然IT部门自身也可以进行IT风险评估与管理,但出于自身利益的考虑,面对存在的许多安全风险,IT部门往往视而不见,或者语焉不详,这样会影响到组织对IT风险进行及时有效的管控。

此外,IT风险完全靠IT部门自身已经无法有效地进行管控,特别是IT治理缺失、业务支持不足、管理低效等IT风险已经不完全是IT部门的事情,这些风险与组织的各个部门都有一定的关联,更是管理层应当关注的问题,因此需要更高层级的部门参与到IT风险管理中。

最后,组织管理层对审计发现的整改具有直接的推动作用。由于IT审计报告的汇报对象为组织的最高管理者,因此,IT审计报告可以促进管理层了解IT审计所揭示的风险,并可借助管理层的领导力,有效地推进IT风险管理体系的建立所需资源的落实;同时,由于管理层的参与,被审计对象对审计报告的重视程度要大于其自评估的安全报告,因此,通过IT审计报告揭示的IT风险可以得到有效的整改与落实。

因此,把IT审计纳入相对独立的、具有较强监督职能的审计部门中,建立有效的IT审计机制,已经成为组织有效管理IT风险的重要手段。组织IT风险的重视程度和资金投入,已逐渐从单一的产品和技术向体系化的解决方案过渡,IT风险控制机制的建立也逐步从封闭式的设计、实施与管理模式,逐步过渡到与完善的、具有适当资质的、独立的第三方审计相结合的多防线模式,这是未来IT风险管理的一个趋势。

三大价值让企业获益匪浅

IT审计对于企业IT内控体系的效率与效果的衡量具有积极作用,那么IT审计到底有哪些形式?IT审计会对于企业产生哪些价值呢?

针对这一问题,陈伟认为组织中的IT审计主要分为两种形式,即IT内部审计和IT外部审计。内部审计是在组织的内部专设审计机构和人员来进行,该审计机构独立于单位IT部门之外,直接接受单位负责人领导,根据有关法规和内部管理的要求,对单位的IT控制措施的建立及落实情况进行审计。这种方式的优点是内部审计机构比较了解组织业务特点和IT控制现状,给出的审计发现与整改建议更能因地制宜,但由于内部审计是由单位内部审计人员实施的,其审计结论在公正性与独立性上往往会有一定的局限性;区别于内部审计,IT外部审计是由会计师事务所或专业IT审计服务机构完成的外部审计。这类审计机构不依附于被审计单位和任何政府机构,自收自支、独立核算、自负盈亏,在业务上具有较强的专业性、独立性、客观性和公正性,其审计结论更容易得到社会的认可。外部审计与内部审计都是组织所需要的外部监督力量,他们不是相互取代的关系,而是一种可以相互补充的关系。

IT审计为企业所带来的价值主要体现在鉴证、促进和咨询三个方面。所谓鉴证价值,即信息系统审计师以其独立的身份,对企业的信息系统及其输出的信息进行审计,查出IT系统的各种控制缺失,合理地保证被审计企业信息系统及其处理、产生的信息的真实性、完整性、可靠性和合规性,以保护企业业务的健康发展。

促进价值则体现在审计师的证明可以增强人们对组织信息系统的信任程度,提高组织的声誉,促进组织的产品与服务更好地得到社会的认可。此外,通过审计发现控制缺陷或漏洞,提出解决问题的建议,可以促进被审计单位提高IT风险管理水平。

至于咨询价值则体现在IT审计师可以推动企业建立健全IT内控体系,科学地进行IT系统诊断,提出风险整改的方向性建议,客观中立地帮助企业降低信息化建设过程中的风险。

实践性和专业性让谷安IT审计 “异军突起”

目前IT审计的在中国还处于起步阶段,组织在实施IT审计方面还存在各种问题,主要表现在对IT审计重要性认识不足,IT审计机制尚未建立,缺乏科学的IT审计方法等方面。造成上述问题的原因有多种,例如:领导层关注度不足, IT审计机构建设和人员配置的不完善,IT审计人员的专业技能薄弱,对于信息化控制节点不清晰,没有真正了解IT审计的实质等。

面对当前的IT审计市场,谷安天下又具备什么样的优势呢?

对于这一问题,陈伟表示,在IT审计方面,谷安天下最大的亮点是组建了一支专业化的IT审计师队伍,具有丰富的IT审计项目实施经验,形成了国内领先的IT审计师认证培训体系。谷安天下长期从事IT风险管理的研究与实践,实施了多个大型企业的IT风险管理与信息安全管理项目,对企业IT风险控制体系的建立有着成熟的方法论,特别是在IT审计方面走在了行业的前列。近年来实施过IT审计项目的企业有:中广核集团、中国电信集团、大唐电信集团、南方电网集团、中国农业银行、招商银行、广发银行、北京银行、晋商银行、太平保险集团、中美大都会保险公司、深圳证券交易所、国信证券、世纪证券等。谷安天下还自主开发了IT审计管理软件,对IT审计过程进行管理,提高了IT审计的效率。

此外,谷安天下为提高企业IT审计水平,结合IT审计的理论、标准及方法,设计了IT审计实务系列课程,旨在为企业IT审计专业人员介绍国内外IT风险管理动态、各级监管要求、IT审计的理论方法,并对某些热点领域详细介绍实施IT审计的过程与方法。谷安天下还长期从事信息系统审计师CISA认证培训,填补了国内信息系统审计师资质认证培训方面的空白,为企业审计行业培训了大批IT审计人才,为IT审计在企业的推广与应用做出了重要贡献。谷安天下的IT审计培训讲师均由一线的IT审计师及咨询顾问担任,具备丰富的IT审计实践经验,真正做到了理论联系实际。谷安天下针对IT审计的特点,精心编写了教材与课堂讲义,并对培训过程进行严格的质量控制,后期进行学员的跟踪服务,得到了广大学员的认可,IT审计培训在国内处于领先水平。

原文出自【比特网】,转载请保留原文链接:http://www.chinabyte.com/370/12524870_2.shtml

联系我们
谷安咨询服务 谷安IT审计 谷安软件产品 谷安培训教育 谷安安全意识
IT治理咨询
IT内控咨询
信息安全管理咨询
业务相关安全咨询
IT服务管理咨询
业务连续性咨询
IT审计服务
专业安全技术服务
IT审计服务
IT审计培训
IT审计软件
信息安全风险管理系统
合规管理系统--等级保护
合规管理系统---ISO27000
信息安全管理平台
信息安全认证类培训
信息安全技术类培训
信息安全管理类培训
信息安全实践类培训
IT审计培训
开发安全培训
信息安全定制类培训
信息安全意识短片
信息安全海报
信息安全手册
现场培训与电子课件
信息安全屏保
信息安全电子报
其他信息安全意识产品
  京ICP备13013886号-9 Copyright © 2012-2018 谷安天下 All Rights Reserved