【摘要】信息化已经成为公司发展和管理必不可少的技术支撑手段。但正如一把双刃剑，在信息化给企业带来便利以及快速发展的支撑同时，如何控制信息系统风险是越来越多的企业所关注的问题。
【关键词】IT审计；信息系统；

1.    引言


现代企业基本上逐渐形成了依托信息技术以及系统的支撑，向业务管理信息化、日常管理规范化的局面。并且信息技术在企业的生产经营和业务管理活动中发挥了越来越重要的作用，信息化已经成为公司发展和管理必不可少的技术支撑手段。但正如一把双刃剑，在信息化给企业带来便利以及快速发展的支撑同时，如何控制信息系统风险是越来越多的企业所关注的问题。
因此，当前绝大部分企业均需要通过权威外部机构对公司的信息化管理现状进行全面的审计，以分析评估存在的问题，提出解决方案建议，完善IT风险控制，保障各信息系统的规范运作，降低信息化风险，提高业务运营的经济性和有效性。本文将从如何实现全面IT审计进行探讨。

2.    谷安IT审计方法论



2.1.    审计基本要求


IT 审计虽然区别于财务审计，运营审计等常规审计，但其审计方法论仍不可能脱离常规审计所用的方法论。也就是必须对审计目标，审计范围，审计计划等等均需进行清晰阐述，并在实施IT审计后，出具具有充分、适当的审计证据支持的IT审计报告。
当然，很多企业在请外部权威机构进行IT审计的同时，更多的是希望得到好的IT风险控制建议，而不仅仅是一份审计报告。这通常是IT审计业务与财务审计业务不太一样的需求。因此往往在出具IT审计报告的同时，企业也经常请权威机构协助建立企业内部的IT审计体系，并进行知识转移，推动IT内审机制在本企业内开展与落实。
一般来说，实现全面的IT审计，应当从审计对象的整个生命周期领域、审计对象及组织层次来开展审计共组。进行IT审计的对象包括但不限于以下领域：

嬀猀椀稀攀=1] IT管理组织与制度

嬀猀椀稀攀=1] IT项目管理流程规范性 ，包括应用系统的开发、测试与上线管理

嬀猀椀稀攀=1] IT基础设施及运维管理

嬀猀椀稀攀=1] 信息安全管理

IT审计涉及的应用系统包括但不限于以下领域：

嬀猀椀稀攀=1] 生产系统

嬀猀椀稀攀=1] 营销系统

嬀猀椀稀攀=1] 办公自动化系统

IT审计涉及的组织层次包括但不限于以下领域：

嬀猀椀稀攀=1] 高层决策者

嬀猀椀稀攀=1] 中层管理者

嬀猀椀稀攀=1] 技术部门员工

嬀猀椀稀攀=1] 业务部门员工

2.1.     IT审计依据


IT审计依据的来源基本上业界都有很充分的理论依据以及最佳实践，以下IT控制标准、法律法规、行业最佳实践都可作为IT审计的依据。
l  IT标准、规范及最佳实践

嬀猀椀稀攀=1]  企业内控框架－COSO

嬀猀椀稀攀=1]  IT治理－COBIT、ISO 38500

嬀猀椀稀攀=1]  IT规划与架构设计－Zachman、TOGAF、FEA

嬀猀椀稀攀=1]  IT应用系统开发与运维－软件开发规范、CMMI、ISO9126

嬀猀椀稀攀=1]  IT基础设施生命周期管理－网络、主机、安全等设备管理规范

嬀猀椀稀攀=1]  IT服务管理－ITIL、ISO20000

嬀猀椀稀攀=1]  IT项目控制－PMP、Prince2、项目监理规范

嬀猀椀稀攀=1]  信息安全管理－ISO27001、ISO27002

嬀猀椀稀攀=1]  业务连续性计划－BS25999、ANSI/NFPA 1600

嬀猀椀稀攀=1]  IT应用控制－输入控制、处理控制及输出控制

嬀猀椀稀攀=1]  IT资源协同－EAI、SOA、共享中心等……

l  法律法规与行业监管要求
国家政府机关制定的法律法规、行业监管部门颁布的规章制度及组织自身制定的规范要求都可作为IT审计的标准，例如：

嬀猀椀稀攀=1] 公安部《信息系统等级保护实施规范》

嬀猀椀稀攀=1] 国家保密局《计算机信息系统保密管理暂行规定》

嬀猀椀稀攀=1] 工信部《信息安全风险评估指南》、《信息安全管理规范与实施细则》

嬀猀椀稀攀=1] 财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》

嬀猀椀稀攀=1] 国资委[2007]8号文对中央企业加强信息化工作的相关要求

嬀猀椀稀攀=1] 国资委[2009]102号文对中央企业开展信息化水平评价，制订信息化发展“登高计划”的相关要求。

嬀猀椀稀攀=1] 国资委 [2010]41号文，对中央企业实施《中央企业商业秘密保护暂行规定》的相关要求。

嬀猀椀稀攀=1] 监管机构有关信息化规划、信息安全管理、IT风险控制的相关要求。

嬀猀椀稀攀=1] 企业内部有关IT治理、管理及操作方面的相关制度与规范等。

2.2.      总结


IT审计过程仍遵循常规审计步骤，包括审计策划、审计准备、审计对象调查、实施审计、审计发现复核及沟通、审计报告六大步骤。与财务审计等不同之处主要在于审计框架是否全面。但就如本文2.1所述，被审计对象往往对于IT审计的要求，更希望的是得到有效的IT风险控制方法，而不仅仅是审计报告，因此如何帮助企业建立可运转的IT审计体系也是一个需要解决的问题。
如何在企业内建立IT审计体系，首先内部审计机构的建立是必要，并需要给予该机构充分的权利来制定IT控制内部审计相关的管理制度、审计方法流程及操作手册，用以指导企业开展IT控制内部审计。
除了建立合理的IT审计机制，另外还有一个非常重要的工作就是企业必须培养IT审计人才。目前国内对于财务审计，运营审计的人才培养已经有10多年的历史，无论从国家政府机构如审计署，到民间组织如内部审计协会，从CPA考试到高校所成立的会计专业等等，都逐渐形成了相应的人才建设与培养体系，但是对于IT审计人才的培养仍处于比较初级的阶段，因此IT审计人才的培育也是企业在实施全面IT审计后，所面临的一个需要重点解决的IT风险问题。
北京谷安天下公司根据多年的企业信息安全管理与控制经验，并结合国内知名信息系统审计师、信息系统专业人员，精心设计了信息系统审计培训整体方案，方案考虑到“信息系统审计”对国内企事业单位还是一个新生的事件，特别是信息技术从业人员对此还较为陌生，培训方案从内部审计的概念、原理出发，一步步引入信息系统审计的方法，从理念到实践，从静态到动态，从管理到技术，从组织到制度，覆盖整个组织的IT系统生命周期的风险控制。谷安IT审计实务培训课程将讲解如何利用IT最佳实践标准、方法和工具，针对组织的IT系统进行审计，以发现组织IT系统在IT治理、安全、运维、开发及业务连续性等方面存在的技术脆弱性和管理薄弱环节，以适宜的方式向管理当局报告所发现的风险，并对风险进行持续的追踪，不断提高组织的IT风险控制水平。