CIO如何消除对IT审计的偏见？



--------------------------------------------------------------------------------

作者：佚名    2009-1-6 16:36:30      来源：www.iaudit.cn

--------------------------------------------------------------------------------




IT与业务的不断融合正在让越来越多的CIO面临前所未有的压力。一方面，IT的任何风吹草动，都可能对高度依赖IT的业务造成影响，这使得CIO必须格外关注IT的任何潜在风险。另一方面，随着业务流程逐渐被IT系统所固化，一些原本属于其他部门的风险开始转化给了IT部门和CIO。

为了缓解这种压力，CIO必须尽可能地发现IT系统的任何潜在风险，因为一旦这些风险演变为事故，CIO必须为此承担责任并付出代价。而信息系统审计（以下简称“IT审计”）的重要职责之一，就是帮助CIO发现这些潜在风险。

IT审计最早出现在IT应用比较深入的金融业，后来逐渐扩展到其他行业。IT审计的目标是协助组织信息技术管理人员有效地履行其责任，以达成组织的信息技术管理目标。组织的信息技术管理目标是保证组织的信息技术战略，充分反映该组织的业务战略目标，提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性，提高信息系统运行的效果与效率，保证信息系统的运行符合法律、法规及监管的相关要求。

遗憾的是，并不是所有的CIO都认为IT审计是在帮他们——由于不了解，造成了很多CIO对IT审计的种种误解和偏见。那么，对于CIO来讲，究竟该如何看待IT审计？又该如何配合IT审计？面对IT审计师出具的报告，CIO又该如何做？为此，CIOINSIGHT杂志邀请到了中国IT治理研究中心研究员王东红、巨人网络集团有限公司内部监察审计部副部长朱永明、金茂集团IT经理王浩，就IT审计的相关话题，展开了讨论。据我了解，金茂集团在今年3月刚刚请外部机构做了IT审计。王浩，请你先来谈谈，你对这次审计的切身感受。

王浩：这是我们第一次经历IT审计。整个审计持续了大概一个月，审得比较细致，审计内容涉及到了过去3年所有系统的变更记录、人员权限、数据备份、故障管理、业务系统风险等很多方面。

虽然我们一直非常关注信息系统可能潜在的各种风险，但是确实没有IT审计师们看得这么细。因此这次审计也指出了我们在风险控制方面存在的一些不足，特别是对一些文档制度建设的重要性，让我们有了更加深刻的认识。

最近，我正在对今年原定的IT计划做调整，如何弥补IT审计中发现的不足也被列进了我们今年的IT工作计划中。

CIOI:IT审计很重要的内容之一就是发现系统的潜在风险，王浩也提到了IT部门对IT风险一直是很关注的。那么IT审计师看待或者查找IT风险的角度与IT部门自己相比主要有哪些不同？

朱永明：据我了解，IT风险是指在信息处理和信息技术运用过程中产生的，可能成为影响组织目标实现的各种不确定因素。IT风险包括组织层面的信息技术风险、一般性控制层面的信息技术风险，以及业务流程层面的信息技术风险等。

我们的内部IT审计师的主要工作就是评估现有IT基础设施、组织、流程的风险，制定审计计划，实施审计，并就发现的缺陷与管理层讨论，跟踪后续整改，改进IT业务。

与CIO看待IT系统风险的角度相比，IT审计师更测重于管理而非技术方面，比如在安全方面更侧重于访问控制的措施，以及是否有定期回顾，还有就是该岗位的人员能否胜任工作，有无进行过适当培训以保障其胜任工作的能力等。

王东红：从我的经验看，CIO和IT部门面临的工作众多，识别潜在的IT风险并进行及时规避只是他们工作中的一部分。相比之下，IT审计师最重要的职责就是识别IT系统的潜在风险，所以，在一定程度上，IT审计师显得更专业。

据我们了解，大部分企业都没有建立相应的IT系统风险管理体系，这就造成了CIO看待IT风险的时候，往往是局部的，很难站在全局的角度，系统地去考虑可能存在的IT风险，这必然会忽略一些IT风险的存在。

任何审计都有详细的流程和标准，IT审计也是如此。IT审计师对IT系统进行审计时，会遵照既定的流程和标准一项项排查，比CIO和IT部门考虑得更细致，也更容易发现潜在的风险。比如，现在普遍存在的IT外包，很多企业对IT外包的管理非常粗放，IT审计师就会关注这些外包出去的环节，如其变更怎么管理、安全怎么管理等，这些都是CIO比较容易忽视的细节。

但是，有时候CIO的某些做法也是“迫不得已”，因为他们要考虑到业务的灵活性，必须对系统做一些临时的改动，即便这样的改动是存在风险的。

CIOI:在发现IT风险方面，IT审计师的工作确实是CIO工作很好的补充，这是否可以认为是IT审计受到重视的一个重要原因？

王东红：目前将IT看成是业务的一部分已经成为一种共识。企业对IT系统的依赖程度不断加强的同时，IT系统正面临不断增多的各种各样的威胁。在全球加强行业监管和内部控制的趋势中，IT越来越充当重要角色，IT不仅要为业务的风险控制提供保障环境，而且其自身的风险控制也备受关注。IT风险也随之成为业务风险的一部分。

因此，IT审计之所以受到越来越多企业的重视，正是出于业务稳定性和IT风险方面的考虑。在应对IT风险方面，IT审计的重要性包括两个层面：第一是预防风险，IT审计可以帮助企业识别并预防支撑业务的IT系统存在的风险，也可以帮助企业审核IT系统对外部法规的遵从性，从而避免来自外部法规监管可能存在的风险等。第二是帮助改进，特别是内审，不仅要发现风险，还要配合CIO针对审计中发现的风险进行有效管理，把风险防范做得更好。

那么总体来看，CIO是否已经对IT审计的这些重要性有了足够认识？朱永明：业务对IT的依赖越来越大，由于IT本身的复杂性以及IT部门人员的工作特点，导致的IT风险越来越大。如果没有一些审计机制的建立，业务上将会受到重大影响。虽然我们是公司内部人员，但是，我还是能够比较深刻地感受到，CIO和IT部门对IT审计比较普遍地存在着这样的认识——他们认为IT审计人员不懂IT部门的业务和技术，完全是外行，因此对IT审计消极对待，这样他们自然也就无法理解IT审计工作的意义以及在组织中的重要作用了。

王东红：我们作为“外来的和尚”对这方面的感受更深，CIO对于IT审计还有一种比较普遍的偏见——认为IT审计就是对IT部门的工作挑毛病，所以很多人对此比较抵触。不仅是对外部IT审计，甚至就像朱永明所说的，有些CIO对内部IT审计也抱着同样的态度。

CIOI:朱永明、王东红提到的CIO以及IT部门对IT审计人员的误解，王浩，这种情况在你们那里是否也多多少少存在？

王浩：举个例子。给我们这次做IT审计的一些审计师也是刚毕业的大学生或者研究生，他们对IT部门的业务和技术确实了解不多。

不过，这并不会对审计的结果产生太大影响，因为IT审计有严格的流程和标准，这些审计师只要按照流程一步步走下来就可以了。王浩说的这种情况是否也存在？

王东红：这是一个更深层次的问题——目前国内的大部分IT审计师是否已经有足够能力胜任IT审计工作呢？我觉得还远远不够。严格意义上来讲，IT审计师应该需要有多方面的知识储备，不仅要懂IT、懂财务，还要懂审计、懂内控。就拿IT来讲，规划、开发、建设、运维等全生命周期的知识，IT审计师都应该具备。

但是，目前在国内这样的复合型人才确实非常稀缺。要弥补这种人才短缺，有几种方法，一是依靠团队的力量，每个IT审计师只负责一块任务，比如专门对ERP进行审计、专门对安全进行审计等；第二要有规范的流程，这也是刚刚王浩提到的，这样可以弥补审计师的个人素质不足。

CIOI:刚刚谈到一些CIO会认为IT审计是在“挑毛病”，我很想问问王浩，你也有这样的感觉吗？

王浩：经历过上次的IT审计之后，我一直在不断地补充IT审计相关的知识，也看了一些书，对IT审计确实有了更深刻的认识。所以我并不认为IT审计是“挑毛病”。我倒是觉得IT审计是好事情，因为经过一次审计，肯定会知道哪些地方存在不足，还需要改进，这对IT部门的工作开展是有帮助的。

之所以有些CIO对IT审计有误解，我觉得可能还是他们对IT审计接触得比较少。我们在做IT审计之前，咨询了很多企业的IT主管，除了金融行业外，其他的基本上都没有接触过IT审计，所以有偏见也属正常。

CIOI:各位都提到了CIO应该了解IT审计的相关知识，具体来讲，应该了解哪些呢？

王东红：我们当然希望所有的CIO同时又是IT审计的专家，这样在面对IT审计师时，CIO一定会底气十足。因为CIO对IT审计师的工作了如指掌，甚至对他们可能问到的每一个问题、每一份材料都可以提前准备好。但是，要做到这点确实是不太可能。这就需要CIO对IT审计能有最起码的认识。

首先，CIO应该了解IT审计师的沟通语言是什么，这是沟通的基础，只有沟通语言是一致的，才有可能进行沟通。那么IT审计师的沟通语言是什么呢？毫无疑问，就是COBIT、COSO、ITIL、BS7799这些大家公认的控制框架。

其次，CIO要改变观念，必须正确看待IT审计——他们不是来挑毛病的，而是来帮助IT部门发现问题、解决问题的。

第三，要弄清楚为什么IT审计师要审计这些控制点，审计的目的又是什么。对相应的控制点有深入的了解后，在下次审计时，就能赶在审计师前面，把相应的控制点做好。

与此同时，CIO可以建立一套自我评估的体系，在IT审计来临之前，在部门内部先自行进行自我评估。根据审计师的审计要点自我检查。这套自我评估体系其实就是风险管理体系。

CIOI:在IT审计过程中，CIO又该如何支持IT审计师的工作呢？

朱永明：IT审计的流程一般包括这么几个阶段：了解审计对象、制定审计计划、审计准备、制定审计方案、现场审计、就审计发现与业务部门进行沟通、出具审计报告、报告审计结果等。IT审计是基于常规审计的程序，借鉴IT治理的框架开展审计的，实际上是对公司IT治理的检验，也是对CIO负责的核心业务的检验，所以在每一个环节，都需要CIO的配合。至于如何配合，我觉得最重要的还是要正视IT审计工作，只要认识到可以借助IT审计提升IT业务水平并降低风险，CIO一定会给予非常好的配合。

王东红：在审计过程中，审计师会要求CIO出具各种相关数据和材料，对于审计师的这些要求，CIO的态度不同，可能会造成截然不同的结果。

CIOI:一种是要什么给什么，另一种是要什么不给什么，这两种态度哪种好呢？

都不好！这两个极端都是不可取的。CIO对IT审计的配合要适度，至于这个度怎么把握，主要在于CIO与IT审计师的沟通。当然，我主要是针对外部审计说的，对待内部IT审计的时候，确实应该全面配合。内部审计与外部审计要区别对待。

王浩：我就谈一条，那就是要理解。比如我们在做IT审计时，我觉得这些审计师太刻板。比方说做系统的安全性审核，他们完全从安全性角度去看，不会考虑业务的灵活度等，而我们不可能这么刻板地去考虑问题，毕竟系统要为业务提供支撑的。不过，刻板也意味着另外一个词，就是严谨，只有这样才能尽可能地发现系统的潜在风险，所以一定程度上他们这种刻板也是可以理解的。

CIOI:对于审计过程中发现的IT风险，IT审计师一般会怎么处理？

朱永明：在我们集团内部，IT内部审计结束之后的流程一般是这样的：收集审计证据，与相关业务部门确认问题，讨论风险，向管理层报告风险，最后是提出审计建议。

王东红：在审计实施结束后，审计人员应以充分的可靠的审计证据为依据，形成审计结论与建议，出具审计报告，跟进审计结果，追踪审计建议的落实并执行相应后续审计程序。

当IT审计作为其他综合性内部审计项目的一部分时，审计人员应及时与其他相关的内部审计人员沟通信息系统内部审计的发现，并考虑依据审计结果，调整其他相关审计的范围、时间及性质。



文章录入：xiaochen    责任编辑：陈哲 读者：894
  

CIO如何消除对IT审计的偏见？



--------------------------------------------------------------------------------

作者：佚名    2009-1-6 16:36:30      来源：www.iaudit.cn

--------------------------------------------------------------------------------




IT与业务的不断融合正在让越来越多的CIO面临前所未有的压力。一方面，IT的任何风吹草动，都可能对高度依赖IT的业务造成影响，这使得CIO必须格外关注IT的任何潜在风险。另一方面，随着业务流程逐渐被IT系统所固化，一些原本属于其他部门的风险开始转化给了IT部门和CIO。

为了缓解这种压力，CIO必须尽可能地发现IT系统的任何潜在风险，因为一旦这些风险演变为事故，CIO必须为此承担责任并付出代价。而信息系统审计（以下简称“IT审计”）的重要职责之一，就是帮助CIO发现这些潜在风险。

IT审计最早出现在IT应用比较深入的金融业，后来逐渐扩展到其他行业。IT审计的目标是协助组织信息技术管理人员有效地履行其责任，以达成组织的信息技术管理目标。组织的信息技术管理目标是保证组织的信息技术战略，充分反映该组织的业务战略目标，提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性，提高信息系统运行的效果与效率，保证信息系统的运行符合法律、法规及监管的相关要求。

遗憾的是，并不是所有的CIO都认为IT审计是在帮他们——由于不了解，造成了很多CIO对IT审计的种种误解和偏见。那么，对于CIO来讲，究竟该如何看待IT审计？又该如何配合IT审计？面对IT审计师出具的报告，CIO又该如何做？为此，CIOINSIGHT杂志邀请到了中国IT治理研究中心研究员王东红、巨人网络集团有限公司内部监察审计部副部长朱永明、金茂集团IT经理王浩，就IT审计的相关话题，展开了讨论。据我了解，金茂集团在今年3月刚刚请外部机构做了IT审计。王浩，请你先来谈谈，你对这次审计的切身感受。

王浩：这是我们第一次经历IT审计。整个审计持续了大概一个月，审得比较细致，审计内容涉及到了过去3年所有系统的变更记录、人员权限、数据备份、故障管理、业务系统风险等很多方面。

虽然我们一直非常关注信息系统可能潜在的各种风险，但是确实没有IT审计师们看得这么细。因此这次审计也指出了我们在风险控制方面存在的一些不足，特别是对一些文档制度建设的重要性，让我们有了更加深刻的认识。

最近，我正在对今年原定的IT计划做调整，如何弥补IT审计中发现的不足也被列进了我们今年的IT工作计划中。

CIOI:IT审计很重要的内容之一就是发现系统的潜在风险，王浩也提到了IT部门对IT风险一直是很关注的。那么IT审计师看待或者查找IT风险的角度与IT部门自己相比主要有哪些不同？

朱永明：据我了解，IT风险是指在信息处理和信息技术运用过程中产生的，可能成为影响组织目标实现的各种不确定因素。IT风险包括组织层面的信息技术风险、一般性控制层面的信息技术风险，以及业务流程层面的信息技术风险等。

我们的内部IT审计师的主要工作就是评估现有IT基础设施、组织、流程的风险，制定审计计划，实施审计，并就发现的缺陷与管理层讨论，跟踪后续整改，改进IT业务。

与CIO看待IT系统风险的角度相比，IT审计师更测重于管理而非技术方面，比如在安全方面更侧重于访问控制的措施，以及是否有定期回顾，还有就是该岗位的人员能否胜任工作，有无进行过适当培训以保障其胜任工作的能力等。

王东红：从我的经验看，CIO和IT部门面临的工作众多，识别潜在的IT风险并进行及时规避只是他们工作中的一部分。相比之下，IT审计师最重要的职责就是识别IT系统的潜在风险，所以，在一定程度上，IT审计师显得更专业。

据我们了解，大部分企业都没有建立相应的IT系统风险管理体系，这就造成了CIO看待IT风险的时候，往往是局部的，很难站在全局的角度，系统地去考虑可能存在的IT风险，这必然会忽略一些IT风险的存在。

任何审计都有详细的流程和标准，IT审计也是如此。IT审计师对IT系统进行审计时，会遵照既定的流程和标准一项项排查，比CIO和IT部门考虑得更细致，也更容易发现潜在的风险。比如，现在普遍存在的IT外包，很多企业对IT外包的管理非常粗放，IT审计师就会关注这些外包出去的环节，如其变更怎么管理、安全怎么管理等，这些都是CIO比较容易忽视的细节。

但是，有时候CIO的某些做法也是“迫不得已”，因为他们要考虑到业务的灵活性，必须对系统做一些临时的改动，即便这样的改动是存在风险的。

CIOI:在发现IT风险方面，IT审计师的工作确实是CIO工作很好的补充，这是否可以认为是IT审计受到重视的一个重要原因？

王东红：目前将IT看成是业务的一部分已经成为一种共识。企业对IT系统的依赖程度不断加强的同时，IT系统正面临不断增多的各种各样的威胁。在全球加强行业监管和内部控制的趋势中，IT越来越充当重要角色，IT不仅要为业务的风险控制提供保障环境，而且其自身的风险控制也备受关注。IT风险也随之成为业务风险的一部分。

因此，IT审计之所以受到越来越多企业的重视，正是出于业务稳定性和IT风险方面的考虑。在应对IT风险方面，IT审计的重要性包括两个层面：第一是预防风险，IT审计可以帮助企业识别并预防支撑业务的IT系统存在的风险，也可以帮助企业审核IT系统对外部法规的遵从性，从而避免来自外部法规监管可能存在的风险等。第二是帮助改进，特别是内审，不仅要发现风险，还要配合CIO针对审计中发现的风险进行有效管理，把风险防范做得更好。

那么总体来看，CIO是否已经对IT审计的这些重要性有了足够认识？朱永明：业务对IT的依赖越来越大，由于IT本身的复杂性以及IT部门人员的工作特点，导致的IT风险越来越大。如果没有一些审计机制的建立，业务上将会受到重大影响。虽然我们是公司内部人员，但是，我还是能够比较深刻地感受到，CIO和IT部门对IT审计比较普遍地存在着这样的认识——他们认为IT审计人员不懂IT部门的业务和技术，完全是外行，因此对IT审计消极对待，这样他们自然也就无法理解IT审计工作的意义以及在组织中的重要作用了。

王东红：我们作为“外来的和尚”对这方面的感受更深，CIO对于IT审计还有一种比较普遍的偏见——认为IT审计就是对IT部门的工作挑毛病，所以很多人对此比较抵触。不仅是对外部IT审计，甚至就像朱永明所说的，有些CIO对内部IT审计也抱着同样的态度。

CIOI:朱永明、王东红提到的CIO以及IT部门对IT审计人员的误解，王浩，这种情况在你们那里是否也多多少少存在？

王浩：举个例子。给我们这次做IT审计的一些审计师也是刚毕业的大学生或者研究生，他们对IT部门的业务和技术确实了解不多。

不过，这并不会对审计的结果产生太大影响，因为IT审计有严格的流程和标准，这些审计师只要按照流程一步步走下来就可以了。王浩说的这种情况是否也存在？

王东红：这是一个更深层次的问题——目前国内的大部分IT审计师是否已经有足够能力胜任IT审计工作呢？我觉得还远远不够。严格意义上来讲，IT审计师应该需要有多方面的知识储备，不仅要懂IT、懂财务，还要懂审计、懂内控。就拿IT来讲，规划、开发、建设、运维等全生命周期的知识，IT审计师都应该具备。

但是，目前在国内这样的复合型人才确实非常稀缺。要弥补这种人才短缺，有几种方法，一是依靠团队的力量，每个IT审计师只负责一块任务，比如专门对ERP进行审计、专门对安全进行审计等；第二要有规范的流程，这也是刚刚王浩提到的，这样可以弥补审计师的个人素质不足。

CIOI:刚刚谈到一些CIO会认为IT审计是在“挑毛病”，我很想问问王浩，你也有这样的感觉吗？

王浩：经历过上次的IT审计之后，我一直在不断地补充IT审计相关的知识，也看了一些书，对IT审计确实有了更深刻的认识。所以我并不认为IT审计是“挑毛病”。我倒是觉得IT审计是好事情，因为经过一次审计，肯定会知道哪些地方存在不足，还需要改进，这对IT部门的工作开展是有帮助的。

之所以有些CIO对IT审计有误解，我觉得可能还是他们对IT审计接触得比较少。我们在做IT审计之前，咨询了很多企业的IT主管，除了金融行业外，其他的基本上都没有接触过IT审计，所以有偏见也属正常。

CIOI:各位都提到了CIO应该了解IT审计的相关知识，具体来讲，应该了解哪些呢？

王东红：我们当然希望所有的CIO同时又是IT审计的专家，这样在面对IT审计师时，CIO一定会底气十足。因为CIO对IT审计师的工作了如指掌，甚至对他们可能问到的每一个问题、每一份材料都可以提前准备好。但是，要做到这点确实是不太可能。这就需要CIO对IT审计能有最起码的认识。

首先，CIO应该了解IT审计师的沟通语言是什么，这是沟通的基础，只有沟通语言是一致的，才有可能进行沟通。那么IT审计师的沟通语言是什么呢？毫无疑问，就是COBIT、COSO、ITIL、BS7799这些大家公认的控制框架。

其次，CIO要改变观念，必须正确看待IT审计——他们不是来挑毛病的，而是来帮助IT部门发现问题、解决问题的。

第三，要弄清楚为什么IT审计师要审计这些控制点，审计的目的又是什么。对相应的控制点有深入的了解后，在下次审计时，就能赶在审计师前面，把相应的控制点做好。

与此同时，CIO可以建立一套自我评估的体系，在IT审计来临之前，在部门内部先自行进行自我评估。根据审计师的审计要点自我检查。这套自我评估体系其实就是风险管理体系。

CIOI:在IT审计过程中，CIO又该如何支持IT审计师的工作呢？

朱永明：IT审计的流程一般包括这么几个阶段：了解审计对象、制定审计计划、审计准备、制定审计方案、现场审计、就审计发现与业务部门进行沟通、出具审计报告、报告审计结果等。IT审计是基于常规审计的程序，借鉴IT治理的框架开展审计的，实际上是对公司IT治理的检验，也是对CIO负责的核心业务的检验，所以在每一个环节，都需要CIO的配合。至于如何配合，我觉得最重要的还是要正视IT审计工作，只要认识到可以借助IT审计提升IT业务水平并降低风险，CIO一定会给予非常好的配合。

王东红：在审计过程中，审计师会要求CIO出具各种相关数据和材料，对于审计师的这些要求，CIO的态度不同，可能会造成截然不同的结果。

CIOI:一种是要什么给什么，另一种是要什么不给什么，这两种态度哪种好呢？

都不好！这两个极端都是不可取的。CIO对IT审计的配合要适度，至于这个度怎么把握，主要在于CIO与IT审计师的沟通。当然，我主要是针对外部审计说的，对待内部IT审计的时候，确实应该全面配合。内部审计与外部审计要区别对待。

王浩：我就谈一条，那就是要理解。比如我们在做IT审计时，我觉得这些审计师太刻板。比方说做系统的安全性审核，他们完全从安全性角度去看，不会考虑业务的灵活度等，而我们不可能这么刻板地去考虑问题，毕竟系统要为业务提供支撑的。不过，刻板也意味着另外一个词，就是严谨，只有这样才能尽可能地发现系统的潜在风险，所以一定程度上他们这种刻板也是可以理解的。

CIOI:对于审计过程中发现的IT风险，IT审计师一般会怎么处理？

朱永明：在我们集团内部，IT内部审计结束之后的流程一般是这样的：收集审计证据，与相关业务部门确认问题，讨论风险，向管理层报告风险，最后是提出审计建议。

王东红：在审计实施结束后，审计人员应以充分的可靠的审计证据为依据，形成审计结论与建议，出具审计报告，跟进审计结果，追踪审计建议的落实并执行相应后续审计程序。

当IT审计作为其他综合性内部审计项目的一部分时，审计人员应及时与其他相关的内部审计人员沟通信息系统内部审计的发现，并考虑依据审计结果，调整其他相关审计的范围、时间及性质。



文章录入：xiaochen    责任编辑：陈哲 读者：894