為了緩解這種壓力，CIO必須盡可能地發(fā)現(xiàn)IT系統(tǒng)的任何潛在風(fēng)險，因?yàn)橐坏┻@些風(fēng)險演變?yōu)槭鹿?，CIO必須為此承擔(dān)責(zé)任并付出代價。而信息系統(tǒng)審計(jì)（以下簡稱“IT審計(jì)”）的重要職責(zé)之一，就是幫助CIO發(fā)現(xiàn)這些潛在風(fēng)險。

　　IT 審計(jì)最早出現(xiàn)在IT應(yīng)用比較深入的金融業(yè)，后來逐漸擴(kuò)展到其他行業(yè)。IT審計(jì)的目標(biāo)是協(xié)助組織信息技術(shù)管理人員有效地履行其責(zé)任，以達(dá)成組織的信息技術(shù)管理目標(biāo)。組織的信息技術(shù)管理目標(biāo)是保證組織的信息技術(shù)戰(zhàn)略，充分反映該組織的業(yè)務(wù)戰(zhàn)略目標(biāo)，提高組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準(zhǔn)確性，提高信息系統(tǒng)運(yùn)行的效果與效率，保證信息系統(tǒng)的運(yùn)行符合法律、法規(guī)及監(jiān)管的相關(guān)要求。

　　遺憾的是，并不是所有的CIO都認(rèn)為IT 審計(jì)是在幫他們——由于不了解，造成了很多CIO對IT審計(jì)的種種誤解和偏見。那么，對于CIO來講，究竟該如何看待IT審計(jì)？又該如何配合IT審計(jì)？面對IT審計(jì)師出具的報告，CIO又該如何做？為此，記者邀請到了中國IT治理研究中心研究員王東紅、巨人網(wǎng)絡(luò)集團(tuán)有限公司內(nèi)部監(jiān)察審計(jì)部副部長朱永明、金茂集團(tuán)IT經(jīng)理王浩，就IT審計(jì)的相關(guān)話題，展開了討論。據(jù)我了解，金茂集團(tuán)在今年3月剛剛請外部機(jī)構(gòu)做了IT審計(jì)。王浩，請你先來談?wù)?，你對這次審計(jì)的切身感受。

　　王浩：這是我們第一次經(jīng)歷IT審計(jì)。整個審計(jì)持續(xù)了大概一個月，審得比較細(xì)致，審計(jì)內(nèi)容涉及到了過去3年所有系統(tǒng)的變更記錄、人員權(quán)限、數(shù)據(jù)備份、故障管理、業(yè)務(wù)系統(tǒng)風(fēng)險等很多方面。

　　雖然我們一直非常關(guān)注信息系統(tǒng)可能潛在的各種風(fēng)險，但是確實(shí)沒有IT審計(jì)師們看得這么細(xì)。因此這次審計(jì)也指出了我們在風(fēng)險控制方面存在的一些不足，特別是對一些文檔制度建設(shè)的重要性，讓我們有了更加深刻的認(rèn)識。

　　最近，我正在對今年原定的IT計(jì)劃做調(diào)整，如何彌補(bǔ)IT審計(jì)中發(fā)現(xiàn)的不足也被列進(jìn)了我們今年的IT工作計(jì)劃中。

　　記者:IT審計(jì)很重要的內(nèi)容之一就是發(fā)現(xiàn)系統(tǒng)的潛在風(fēng)險，王浩也提到了IT部門對IT風(fēng)險一直是很關(guān)注的。那么IT審計(jì)師看待或者查找IT風(fēng)險的角度與IT部門自己相比主要有哪些不同？

　　朱永明：據(jù)我了解，IT風(fēng)險是指在信息處理和信息技術(shù)運(yùn)用過程中產(chǎn)生的，可能成為影響組織目標(biāo)實(shí)現(xiàn)的各種不確定因素。IT風(fēng)險包括組織層面的信息技術(shù)風(fēng)險、一般性控制層面的信息技術(shù)風(fēng)險，以及業(yè)務(wù)流程層面的信息技術(shù)風(fēng)險等。

　　我們的內(nèi)部IT審計(jì)師的主要工作就是評估現(xiàn)有IT基礎(chǔ)設(shè)施、組織、流程的風(fēng)險，制定審計(jì)計(jì)劃，實(shí)施審計(jì)，并就發(fā)現(xiàn)的缺陷與管理層討論，跟蹤后續(xù)整改，改進(jìn)IT業(yè)務(wù)。

　　與CIO看待IT系統(tǒng)風(fēng)險的角度相比，IT審計(jì)師更測重于管理而非技術(shù)方面，比如在安全方面更側(cè)重于訪問控制的措施，以及是否有定期回顧，還有就是該崗位的人員能否勝任工作，有無進(jìn)行過適當(dāng)培訓(xùn)以保障其勝任工作的能力等。

　　王東紅：從我的經(jīng)驗(yàn)看，CIO和IT部門面臨的工作眾多，識別潛在的IT風(fēng)險并進(jìn)行及時規(guī)避只是他們工作中的一部分。相比之下，IT審計(jì)師最重要的職責(zé)就是識別IT系統(tǒng)的潛在風(fēng)險，所以，在一定程度上，IT審計(jì)師顯得更專業(yè)。

　　據(jù)我們了解，大部分企業(yè)都沒有建立相應(yīng)的IT系統(tǒng)風(fēng)險管理體系，這就造成了CIO看待IT風(fēng)險的時候，往往是局部的，很難站在全局的角度，系統(tǒng)地去考慮可能存在的IT風(fēng)險，這必然會忽略一些IT風(fēng)險的存在。

　　任何審計(jì)都有詳細(xì)的流程和標(biāo)準(zhǔn)，IT審計(jì)也是如此。IT審計(jì)師對IT系統(tǒng)進(jìn)行審計(jì)時，會遵照既定的流程和標(biāo)準(zhǔn)一項(xiàng)項(xiàng)排查，比CIO和IT部門考慮得更細(xì)致，也更容易發(fā)現(xiàn)潛在的風(fēng)險。比如，現(xiàn)在普遍存在的IT外包，很多企業(yè)對IT外包的管理非常粗放，IT審計(jì)師就會關(guān)注這些外包出去的環(huán)節(jié)，如其變更怎么管理、安全怎么管理等，這些都是CIO比較容易忽視的細(xì)節(jié)。

　　但是，有時候CIO的某些做法也是“迫不得已”，因?yàn)樗麄円紤]到業(yè)務(wù)的靈活性，必須對系統(tǒng)做一些臨時的改動，即便這樣的改動是存在風(fēng)險的。

　　記者:在發(fā)現(xiàn)IT風(fēng)險方面，IT審計(jì)師的工作確實(shí)是CIO工作很好的補(bǔ)充，這是否可以認(rèn)為是IT審計(jì)受到重視的一個重要原因？

　　王東紅：目前將IT看成是業(yè)務(wù)的一部分已經(jīng)成為一種共識。企業(yè)對IT系統(tǒng)的依賴程度不斷加強(qiáng)的同時，IT系統(tǒng)正面臨不斷增多的各種各樣的威脅。在全球加強(qiáng)行業(yè)監(jiān)管和內(nèi)部控制的趨勢中，IT越來越充當(dāng)重要角色，IT不僅要為業(yè)務(wù)的風(fēng)險控制提供保障環(huán)境，而且其自身的風(fēng)險控制也備受關(guān)注。IT風(fēng)險也隨之成為業(yè)務(wù)風(fēng)險的一部分。

　　因此，IT審計(jì)之所以受到越來越多企業(yè)的重視，正是出于業(yè)務(wù)穩(wěn)定性和IT風(fēng)險方面的考慮。在應(yīng)對IT風(fēng)險方面，IT審計(jì)的重要性包括兩個層面：第一是預(yù)防風(fēng)險，IT審計(jì)可以幫助企業(yè)識別并預(yù)防支撐業(yè)務(wù)的IT系統(tǒng)存在的風(fēng)險，也可以幫助企業(yè)審核IT系統(tǒng)對外部法規(guī)的遵從性，從而避免來自外部法規(guī)監(jiān)管可能存在的風(fēng)險等。第二是幫助改進(jìn)，特別是內(nèi)審，不僅要發(fā)現(xiàn)風(fēng)險，還要配合CIO針對審計(jì)中發(fā)現(xiàn)的風(fēng)險進(jìn)行有效管理，把風(fēng)險防范做得更好。

　　那么總體來看，CIO是否已經(jīng)對IT審計(jì)的這些重要性有了足夠認(rèn)識？朱永明：業(yè)務(wù)對IT的依賴越來越大，由于IT本身的復(fù)雜性以及IT部門人員的工作特點(diǎn)，導(dǎo)致的IT風(fēng)險越來越大。如果沒有一些審計(jì)機(jī)制的建立，業(yè)務(wù)上將會受到重大影響。雖然我們是公司內(nèi)部人員，但是，我還是能夠比較深刻地感受到，CIO和 IT部門對IT審計(jì)比較普遍地存在著這樣的認(rèn)識——他們認(rèn)為IT審計(jì)人員不懂IT部門的業(yè)務(wù)和技術(shù)，完全是外行，因此對IT審計(jì)消極對待，這樣他們自然也就無法理解IT審計(jì)工作的意義以及在組織中的重要作用了。

　　王東紅：我們作為“外來的和尚”對這方面的感受更深，CIO對于IT審計(jì)還有一種比較普遍的偏見——認(rèn)為IT審計(jì)就是對IT部門的工作挑毛病，所以很多人對此比較抵觸。不僅是對外部IT審計(jì)，甚至就像朱永明所說的，有些CIO對內(nèi)部IT審計(jì)也抱著同樣的態(tài)度。

　　記者:朱永明、王東紅提到的CIO以及IT部門對IT審計(jì)人員的誤解，王浩，這種情況在你們那里是否也多多少少存在？

　　王浩：舉個例子。給我們這次做IT審計(jì)的一些審計(jì)師也是剛畢業(yè)的大學(xué)生或者研究生，他們對IT部門的業(yè)務(wù)和技術(shù)確實(shí)了解不多。

　　不過，這并不會對審計(jì)的結(jié)果產(chǎn)生太大影響，因?yàn)镮T審計(jì)有嚴(yán)格的流程和標(biāo)準(zhǔn)，這些審計(jì)師只要按照流程一步步走下來就可以了。王浩說的這種情況是否也存在？

　　王東紅：這是一個更深層次的問題——目前國內(nèi)的大部分IT審計(jì)師是否已經(jīng)有足夠能力勝任IT審計(jì)工作呢？我覺得還遠(yuǎn)遠(yuǎn)不夠。嚴(yán)格意義上來講，IT審計(jì)師應(yīng)該需要有多方面的知識儲備，不僅要懂IT、懂財務(wù)，還要懂審計(jì)、懂內(nèi)控。就拿IT來講，規(guī)劃、開發(fā)、建設(shè)、運(yùn)維等全生命周期的知識，IT審計(jì)師都應(yīng)該具備。

　　但是，目前在國內(nèi)這樣的復(fù)合型人才確實(shí)非常稀缺。要彌補(bǔ)這種人才短缺，有幾種方法，一是依靠團(tuán)隊(duì)的力量，每個IT審計(jì)師只負(fù)責(zé)一塊任務(wù)，比如專門對ERP進(jìn)行審計(jì)、專門對安全進(jìn)行審計(jì)等；第二要有規(guī)范的流程，這也是剛剛王浩提到的，這樣可以彌補(bǔ)審計(jì)師的個人素質(zhì)不足。

　　記者:剛剛談到一些CIO會認(rèn)為IT審計(jì)是在“挑毛病”，我很想問問王浩，你也有這樣的感覺嗎？

　　王浩：經(jīng)歷過上次的IT審計(jì)之后，我一直在不斷地補(bǔ)充IT審計(jì)相關(guān)的知識，也看了一些書，對IT審計(jì)確實(shí)有了更深刻的認(rèn)識。所以我并不認(rèn)為IT審計(jì)是“挑毛病”。我倒是覺得IT審計(jì)是好事情，因?yàn)榻?jīng)過一次審計(jì)，肯定會知道哪些地方存在不足，還需要改進(jìn)，這對IT部門的工作開展是有幫助的。

　　之所以有些CIO對IT審計(jì)有誤解，我覺得可能還是他們對IT審計(jì)接觸得比較少。我們在做IT審計(jì)之前，咨詢了很多企業(yè)的IT主管，除了金融行業(yè)外，其他的基本上都沒有接觸過IT審計(jì)，所以有偏見也屬正常。

　　記者:各位都提到了CIO應(yīng)該了解IT審計(jì)的相關(guān)知識，具體來講，應(yīng)該了解哪些呢？

　　王東紅：我們當(dāng)然希望所有的CIO同時又是IT審計(jì)的專家，這樣在面對IT審計(jì)師時，CIO一定會底氣十足。因?yàn)镃IO對IT審計(jì)師的工作了如指掌，甚至對他們可能問到的每一個問題、每一份材料都可以提前準(zhǔn)備好。但是，要做到這點(diǎn)確實(shí)是不太可能。這就需要CIO對IT審計(jì)能有最起碼的認(rèn)識。

　　首先，CIO應(yīng)該了解IT審計(jì)師的溝通語言是什么，這是溝通的基礎(chǔ)，只有溝通語言是一致的，才有可能進(jìn)行溝通。那么IT審計(jì)師的溝通語言是什么呢？毫無疑問，就是COBIT、COSO、ITIL、BS7799這些大家公認(rèn)的控制框架。

　　其次，CIO要改變觀念，必須正確看待IT審計(jì)——他們不是來挑毛病的，而是來幫助IT部門發(fā)現(xiàn)問題、解決問題的。

　　第三，要弄清楚為什么IT審計(jì)師要審計(jì)這些控制點(diǎn)，審計(jì)的目的又是什么。對相應(yīng)的控制點(diǎn)有深入的了解后，在下次審計(jì)時，就能趕在審計(jì)師前面，把相應(yīng)的控制點(diǎn)做好。

　　與此同時，CIO可以建立一套自我評估的體系，在IT審計(jì)來臨之前，在部門內(nèi)部先自行進(jìn)行自我評估。根據(jù)審計(jì)師的審計(jì)要點(diǎn)自我檢查。這套自我評估體系其實(shí)就是風(fēng)險管理體系。

　　記者:在IT審計(jì)過程中，CIO又該如何支持IT審計(jì)師的工作呢？

　　朱永明：IT審計(jì)的流程一般包括這么幾個階段：了解審計(jì)對象、制定審計(jì)計(jì)劃、審計(jì)準(zhǔn)備、制定審計(jì)方案、現(xiàn)場審計(jì)、就審計(jì)發(fā)現(xiàn)與業(yè)務(wù)部門進(jìn)行溝通、出具審計(jì)報告、報告審計(jì)結(jié)果等。IT審計(jì)是基于常規(guī)審計(jì)的程序，借鑒IT治理的框架開展審計(jì)的，實(shí)際上是對公司IT治理的檢驗(yàn)，也是對CIO負(fù)責(zé)的核心業(yè)務(wù)的檢驗(yàn)，所以在每一個環(huán)節(jié)，都需要CIO的配合。至于如何配合，我覺得最重要的還是要正視IT審計(jì)工作，只要認(rèn)識到可以借助IT審計(jì)提升IT業(yè)務(wù)水平并降低風(fēng)險， CIO一定會給予非常好的配合。

　　王東紅：在審計(jì)過程中，審計(jì)師會要求CIO出具各種相關(guān)數(shù)據(jù)和材料，對于審計(jì)師的這些要求，CIO的態(tài)度不同，可能會造成截然不同的結(jié)果。

　　記者:一種是要什么給什么，另一種是要什么不給什么，這兩種態(tài)度哪種好呢？

　　都不好！這兩個極端都是不可取的。CIO對IT審計(jì)的配合要適度，至于這個度怎么把握，主要在于CIO與IT審計(jì)師的溝通。當(dāng)然，我主要是針對外部審計(jì)說的，對待內(nèi)部IT審計(jì)的時候，確實(shí)應(yīng)該全面配合。內(nèi)部審計(jì)與外部審計(jì)要區(qū)別對待。

　　王浩：我就談一條，那就是要理解。比如我們在做IT審計(jì)時，我覺得這些審計(jì)師太刻板。比方說做系統(tǒng)的安全性審核，他們完全從安全性角度去看，不會考慮業(yè)務(wù)的靈活度等，而我們不可能這么刻板地去考慮問題，畢竟系統(tǒng)要為業(yè)務(wù)提供支撐的。不過，刻板也意味著另外一個詞，就是嚴(yán)謹(jǐn)，只有這樣才能盡可能地發(fā)現(xiàn)系統(tǒng)的潛在風(fēng)險，所以一定程度上他們這種刻板也是可以理解的。

　　記者:對于審計(jì)過程中發(fā)現(xiàn)的IT風(fēng)險，IT審計(jì)師一般會怎么處理？

　　朱永明：在我們集團(tuán)內(nèi)部，IT內(nèi)部審計(jì)結(jié)束之后的流程一般是這樣的：收集審計(jì)證據(jù)，與相關(guān)業(yè)務(wù)部門確認(rèn)問題，討論風(fēng)險，向管理層報告風(fēng)險，最后是提出審計(jì)建議。

　　王東紅：在審計(jì)實(shí)施結(jié)束后，審計(jì)人員應(yīng)以充分的可靠的審計(jì)證據(jù)為依據(jù)，形成審計(jì)結(jié)論與建議，出具審計(jì)報告，跟進(jìn)審計(jì)結(jié)果，追蹤審計(jì)建議的落實(shí)并執(zhí)行相應(yīng)后續(xù)審計(jì)程序。

　　當(dāng)IT審計(jì)作為其他綜合性內(nèi)部審計(jì)項(xiàng)目的一部分時，審計(jì)人員應(yīng)及時與其他相關(guān)的內(nèi)部審計(jì)人員溝通信息系統(tǒng)內(nèi)部審計(jì)的發(fā)現(xiàn)，并考慮依據(jù)審計(jì)結(jié)果，調(diào)整其他相關(guān)審計(jì)的范圍、時間及性質(zhì)。