陈浙一：IT审计的综合趋势谈

2014-11-08 22:18:42 大云网　点击量：评论 (0)

哪个行业的资格认证是当今最残酷的考试？ CISA肯定是答案之一。CISA是国际注册信息系统审计师的简称，又称IT审计师，目前在全球有2万人。由于普遍使用大型管理信息系统，跨国公司都非常重视对信息系统安全和稳定

哪个行业的资格认证是当今最残酷的考试？ CISA肯定是答案之一。CISA是国际注册信息系统审计师的简称，又称IT审计师，目前在全球有2万人。由于普遍使用大型管理信息系统，跨国公司都非常重视对信息系统安全和稳定性的控制，常常高薪聘请IT审计师进行内部审计。IT审计师目前已经成为全球范围内几乎所有的大型跨国公司最抢手的高级人才。

　　IT审计师的兴起，完全归因于所谓的IT审计。IT审计顾名思义,就是为了更好的控制IT的风险，有效的帮助企业规避风险。具体而言，IT审计是为了提高企业信息系统的安全性、可靠性以及开发、运营效率，使企业信息化得到健康、全面的发展而引入的预防机制。

　　随着计算机技术在管理中的广泛运用，信息系统逐渐从传统的后台支持而步入前台，成为企业竞争的重要支撑，企业凭借信息系统的强大功能优势，完成其业务流程的再造，但与此同时，从信息系统安全性方面我们看到硬件故障、程序故障、操作系统错误、计算机犯罪，设备灾害以及保密数据泄漏等现象发生的可能性越来来越高，传统的控制、管理、检查和审计技术都受到了巨大的挑战。

　　“IT审计，本质上是一种IT风险控制的方法，通过IT审计可以确认IT系统是否安全、合规、可靠、有效”，国都兴业信息审计系统技术（北京）有限公司信息系统审计技术研究部总监陈浙一从事IT审计服务多年，对于IT风险评估、IT审计解决方案有着深刻认识，而其所在的国都兴业公司作为国内IT审计技术应用的倡导者之一，已经以COBIT模型为基础，创建了独具特色的IT审计技术体系。“信息系统给用户业务带来高效和便捷的同时，也给外部和内部利用信息系统犯罪带来了容易性和隐蔽性。要规避管理信息系统的风险，先进的IT审计技术不容缺失”

　　另一方面，虽然信息系统审计承担着企业经济“免疫系统”的重要作用，但从国内来看，IT审计的实践和普及工作却一直处于较为缓慢的进程之中，原因何在？未来IT审计的发展趋势会是怎样？带着这些疑问，笔者走访了IT审计专家陈浙一。

　　IT审计现状：蓄势待发

　　记者：主要是哪些类型的企业对IT审计需求较强？是否主要是大型央企？

　　陈浙一：从应用企业类型来看，中小企业用户目前确实较少，IT审计主要还是集中在信息化程度要求较高、国家安全紧密相关的政企单位。比如电信运营商、各大银行金融机构、国家部委、军队等。

　　记者：能否简单介绍下IT审计在当前国内企事业单位中的应用处于什么阶段？

　　陈浙一：据我所知，此前企业中还没有纯粹意义上的信息系统审计项目，而是往往从安全风险评估角度切入，面向业务评估系统安全，进行风险管理等。直至08年末审计署在某央企试点，进行了第一次没有掺杂任何经济性质审计的IT审计。，

　　记者：您如何理解审计署试点IT审计的举措？

　　陈浙一：审计署已经率先认识到了在信息化时代，大型国有企业开展IT审计，提升信息系统风险管理水平的必要性。审计署正在编撰《信息系统审计指南》，从而为2010年指导、推广央企未来IT审计工作奠定坚实基础。

　　记者：指南会带来很好的指引吗？

　　陈浙一：指南一方面为国家审计机构如何进行IT审计提供指导，另一方面也可以作为企业自身在做IT审计时提供有效的参考、规范，用以帮助企业CIO更好做好内控及IT本身的控制。但IT审计的实施还需要政府、企业、厂商产业链各环节的通力合作。

　　绕不开的几道坎

　　记者：目前IT审计人才的培养、具体的实践等方面的工作均不够完善。您认为导致这种现象的原因？

　　陈浙一：由于信息系统审计工作目前的整体环境还在发展阶段，企业对于IT审计人才的培养也处于初级阶段，目前的状况是懂IT的人才不少，但是这些专业人才往往缺少对企业的业务、审计的相关知识。因此，如何培养复合型的人才已经成为IT审计实施的关健。

　　记者：信息系统审计资格证书考试的推广能否解决人才培养问题？

　　陈浙一：认证肯定是可以促进人才的培养的，尤其是对传统审计人员从事IT审计而言。对于IT人员从事IT审计而言感觉该考试更多在于考核对信息系统的理解，有必要适当增强审计方面的考核，让IT人员更快的进入审计状态。

　　记者：除人才培养外，IT审计的推广还有哪些困难？

　　陈浙一：首先是企业对IT审计的认识，企业已经意识到系统安全重要性，因此愿意主动启动系统风险评估，但是对IT审计的认识还有待提高，只有企业认可了IT审计对于企业主营业务的重要性，才会真正重视起来；其次，适应变化，企业的组织在不断调整、业务流程在不断变化，比如最简单的人员变动，门卡注销等，都需要信息系统能够根据外部环境变化进行及时调整。

　　最佳实践/ IT审计的自我证明

　　记者：企业对于IT审计的犹豫，是出于成本、运营效率等方面的考虑。能否举几个实例，证明发挥好IT审计工作对于经济、管理工作的效用？

　　陈浙一：区别于四大会计师事务所的是，国都兴业更侧重于从审计视角提供解决方案，而不仅仅出具审计报告。基于这种背景认识，07年我们在XX机场做过一个IT审计类的项目，上线后效果非常好。当时机场的业务系统，有17个子系统，存在协调工作难的问题，比如乘客办登机牌时把行李托运，行李会陆续经过多个子系统的流转，而这样的运行过程中经常会出现协调上的问题。有些可以人工及时排除，而更多的人工不易检查出来，不知道问题所在。

　　为了及时排查行李在哪个环节出了问题，我们基于机场特点开发了一套信息系统审计软件，对全流程保持全程监控，行李是什么时候过去的，下方回应了没有。上方是否发出请求，下方是否回应，都能很快定位，同时软件自动把中间传递的相应时间给审计出来，通过这种方式可以查看系统效率并及时发现问题。该软件一经应用，立刻解决了困扰客户许久的问题，对提升客户的工作效率起到了很好的作用。

　　记者：近期在其他行业还有同样的成功案例吗？

　　陈浙一：09年国都兴业的IT审计产品开始在电信行业应用，以基于计费协议的审计为切入口。主要是协助客户从两个层面为客户验证收入计费逻辑，进而规避收入流失风险。第一个层面是基础层，主要包括验证计费逻辑是否正确，计费协议有无违反约定；第二个层面是业务层，主要验证业务运营，业务逻辑，业务控制各个环节是否合理。通过审计视角展示给客户最终的验证成果，取到了较好的效果。

　　创新技术方案

　　记者：基于COBIT的综合审计平台是目前IT审计界的一个技术新趋势，事实上它也是基于用户市场的强大需求应运而生的。COBIT与传统的ITIL的区别在哪？

　　陈浙一：ITIL专注于IT运维管理和业务流程，并指导企业如何建立某个具体的流程。而COBIT的关注角度更广， COBIT的范畴不仅仅在运维方面，还在战略、组织方面，另一方面COBIT更多描述的是各个流程需要达到的目标。具体来说，COBIT着眼于与企业业务密切相关的IT资源的审计与评估，通过对IT审计流程的分析解剖，确认IT事件审计风险点、控制目标，从业务效果、效率、保密性、完整性、可用性、合规性、可靠性多个维度给出IT系统审计评价。以COBIT为基础是IT审计的必然方向。

　　记者：能否简单介绍下基于COBIT的综合审计平台？

　　陈浙一：IT审计一般可再细化为一般性控制审计与应用控制审计，在一般性审计方面基本已经规范化；而在应用控制审计上，则已经涌现了一定量技术、理念都比较先进的应用，比如综合审计平台。综合审计平台的出发点由传统的面向资产转为直接面向业务，关注基础设施， COBIT效率、效果等，具体而言，综合审计平台提供解决方案来审计系统接口、流程规范，系统日志防篡改，帮助用户解决一系列的实际问题。