影响IT审计有效实施的八个实务问题,本文主要内容关键词为:实务论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
IT审计的战略定位和机构组织环境
问题1:IT审计的地位与实践没有得到管理层深刻的理解和具体的支持
我们在实践中注意到,有些管理层在概念上理解并支持IT、IT风险和IT审计在企业整体运营与发展中的战略性作用和地位,形成或发布了各种规章制度和实施办法,但在实务中如何具体地认识IT审计,并搭建和配备IT审计的组织权限、人力资源、财务预算、功能界定、绩效评估等,目前这方面存在一定的盲目性和随意性。一般来说,对IT审计理解的不明确来自于两方面。一是管理层对IT在支撑业务中的作用和IT风险缺乏全面的认知与理解。二是IT部门、风控部门和审计部门对业务运作或信息技术缺乏深入了解和沟通,使得IT被理解为技术部门或后台支持部门,等同于一个有些许特殊性的行政部门。与此相适应,就出现了对下列问题作出不一定符合企业最大利益的处理甚至困惑:
·IT审计真的要紧吗?要紧或必要到什么程度?
·IT审计应该报告给谁?是IT部门还是内审部门7
·谁对IT审计员指导和负责?IT部门认为IT审计员是来监督的而采取保守态度;一般内审人员可能不懂IT,而IT审计员可能不懂业务与财务会计,那IT审计员应该做些什么呢?
·IT审计绩效的衡量标准是什么?IT审计的结果和建议谁负责改进和执行?
·IT审计一年要投入多少财务资源?值得吗?是自己培养还是外包?
如果管理层对上述问题持不甚了解或负面态度,就不难理解很多机构包括银行还没有建立起专门的IT审计小组或岗位的现象。同时也很难想象,一个欠缺对IT审计进行准确组织定位和资源配置的IT审计部门或人员能够有效地执行IT审计项目。对于像银行这样高度依赖IT的企业,对IT风险的无效应对意味着银行整体内部控制系统的缺陷。
虽然是老生常谈,我们仍然要呼吁管理层应当对企业自身的TI职能在战略发展中的地位进行全面的风险评估,从而界定风险控制部门和审计部门的策略性地位和组织机构。配置相应的资源,建立IT审计人员的职责,培养支持审计的文化。从硬件与软件环境上保障IT审计的有效进行。
IT控制与审计的职业标准
问题2:面对众多涉及IT的标准无所适从,不能正确、充分利用标准
目前,在执行各种审计与咨询项目的过程中涉及到一个非常普遍的问题:除了我国自己颁布的准则和指引,我们应该用哪些国际上通行的标准来指导IT审计实务。不同的国家或专业机构对IT进行过大量深入的研究,并发表了各种研究结果。一些成果已经系统化地成为某一方面公认的标准,但这些标准不具有官方强制力。在IT管理和IT审计从业人员中,经常被谈论的几个主要的IT标准有:COBIT、ITIL、ISO/IEC 27002、ITAF等。
除了上述标准,还有很多其他标准、指引和框架等。这些不同的标准在为我们优化IT建设、管理和审计的同时,也使管理层和从业人员感到无所适从。比如,一些人甚至认为COBIT本身就是“IT审计标准”。我们认为IT审计人员需要对此作一个梳理,培养对标准概念的准确把握和实际运用能力。
应当看到,IT审计准则和IT的风险、控制、安全等标准是有本质区别的,应当在不同的任务中利用不同的标准。如果IT审计人员是在进行风险评估,建立企业的IT控制体系,他们应当使用和参考具体的实体标准和方法论。如果他们对已经实施的IT控制的有效性进行核查和审计,那么他们应当遵守IT审计准则去执行审计程序,检验控制是否符合那些实体标准、建议和最佳实践。
实施IT审计的方法论
问题3:孤立实施IT审计,缺乏系统的IT审计规划和审计计划的方法和工具
概括地说,一个典型的IT审计项目过程包含下列几个环节。
计划审计目标及范围:业务目标、风险是什么?审计什么时点(时段)的哪些信息系统(流程)?IT风险和控制目标是什么?
·计划审计程序:运用哪些执业标准或指引,在审计中有什么特别的步骤需要遵从与执行?
·执行审计程序:需要什么执业能力才能有效完成设计程序?
·合并工作底稿及分析:怎样组织、分析审计证据和各种文件?
·描述关键发现:是否确认该发现是有价值的发现?
·交流与报告:什么样的结果交付给管理层?
虽然每一个环节都有其重要性,实践中我们发现审计计划往往更基础、更主导。IT审计计划的成功与否,直接影响到企业IT审计工作或某个IT审计项目的有效实行。我们经常发现的实际问题是,企业没有IT审计规划,没有明确应当审什么?为什么审?什么时间审?也缺乏编制这些计划的手段和理论基础。造成的结果是,忽而要审信息安全,忽而要审灾难恢复计划,又忽而要审系统开发。正因为这种缺乏系统的规划,使IT风险没有被足够地、及时地控制起来,比如常见的程序员的生产环境系统权限扩张,后端系统数据库权限过大,一个数据库管理员负责所有数据库管理,核心业务系统权限没有分离,系统上马期间没有应用控制设计,等等。
从单个项目审计计划来看,我们也发现类似的问题:要么审计计划缺失,要么审计计划出现对系统支持的业务流程或功能没有评估,从而使得审计目标含混、系统范围过大或过小、审计程序僵化、抽样方法有缺陷、非关键控制测试过多、重要业务应用控制遗漏等现象。
解决这一问题的根本在于,掌握和灵活有效地运用风险评估和IT审计的方法论。具体地讲,企业的风险管理部门和审计部门应当:
·全面认真地了解和研究企业的业务性质、关键流程和关键风险点;
·建立类似风险矩阵或图表的各种适合本企业的风险评估和评分机制,对每一关键流程的关键风险点进行确认和评级;
·联系业务流程,确认支撑关键流程的所有关键系统,进而运用同样的方法和工具确认所有关键的系统元素,并评估每一个元素环节上的关键的系统风险:
·按照分析和排序的结果,有序地、系统地确认总体或单个的IT审计对象、规划或计划。
IT审计的执行实务
问题4:IT审计人员没有参与审计大型业务应用和数据管理软件系统开发及实施的生命周期全过程
信息系统开发周期包括业务项目计划立项、业务需求分析、系统设计、编程测试、上线等环节。虽然国内外对这一课题的论述、理论和实践都十分成熟,但是在我们的实践中仍然发现许多企业在系统建设中面临各种困难。造成这种结果的原因有很多,但一个共同的特点就是所有失败案例中都没有IT审计部门或人员的参与。换句话说,这些失败的系统开发实施项目在其生命周期的某个或多个环节中都没有配套执行相应的信息系统控制,也没有人员去监督这些控制。
实际中还有一种观点,IT审计人员更多的是在系统实施以后对整个系统进行评估。评价系统是否达到了预期的功能、控制、成本预算、效率提高等要求和目标。我们认为在尊重和认同这种观点的基础上,应当更广泛地利用IT审计人员的智慧,更早地让他们介入开发全过程而不是等到最后。
问题5:信息安全审计范围含混,欠缺一个有效的分层的计划和执行策略
由于对信息系统环境的技术元素和信息安全的内容缺乏了解,一些信息系统安全的审计计划失之粗糙、草率和简单,并没有到达预期的审计目标。比如,我们曾经在一个网络环境中看到的信息安全审计计划只涵盖了安全制度是否存在,应用系统中的用户账户授权管理、密码管理以及数据中心机房是否有物理安全,和对内部某个单机服务器漏洞扫描控制等内容。我们了解后惊讶地发现,这个环境中有多个核心业务应用系统、数据库系统、网络操作系统、网上WEB应用系统、数据交换界面、业务合作伙伴外网接口等技术层面的结构应用。举例,即使是一项用户授权控制,称职的IT审计师就应当查阅审计范围内所有在网络工程层面、操作系统层面、数据库层面和应用系统层面的行政授权证据和实际设置。
问题6:计算机辅助审计工具(CAATS)没有在IT审计中广泛利用
用IT来审IT的理念和实践是趋势、潮流,是提高IT审计有效性和效率的重要技术保障。IT审计和财务审计人员都应当提高自身熟悉、利用、甚至编写CATTS的专业素质。我们认为在未来相当长的一段时间内,IT审计人员可以利用以下资源和渠道提高自己:一是阅读和研究CATTS的书籍、文章、资料、网站,了解CATIS的概念和功能。二是参加CATIS软件提供商举办的推介会和网上介绍会,了解和感受某些CATIS产品的功能。如果有资源,可以参加专业的CAATS产品(包括EXCEL)用户培训。三是针对性地根据实际情况学习某些编程语言,尝试自己编写小型的辅助工具提升技能。在系统测试方面,资深的IT审计人员还可以试探接触例如perl等语言学习,在IT系统层面进行系统数据采集和分析工作。
问题7:应用界面与数据管理接口的IT应用控制和一般控制,没有在IT风险管理与审计中得到应有的重视
信息系统控制按照实施对象范围分为一般控制和应用控制,如图所示。
我们在实践中注意到,大多数企业管理层和IT审计人员对IT一般控制有更全面的了解和审计程序。相对而言,对IT应用控制的关注度、审计范围、审计手段等内容都不够重视。这主要归结于两个原因:一种观念认为应用控制是“业务上的事儿,不是IT的事儿”,与IT审计人员无关。另外,很大一部分的自动应用控制直接服务于企业的业务流程。而IT审计人员不一定对那些由系统支撑的业务流程、风险和控制措施有深入的了解和理解,因此也无法判定哪些应该是关键的应用控制,应当被验证。
除了应用控制本身,在这一环境中相应的某些IT一般控制的设计实施与核查有时也落入这样的“中间”地带。比如对用户在业务系统中菜单权限的不相容职责的隔离分析过程中,IT审计人员可能认为他不知道业务规则,不知道谁应该拥有什么权限;而业务部门或内审部门认为他们无法解读系统用户报告,不知道IT部门把权限到底分配给了谁。结果是不了了之,没有有效地执行系统中不相容职责的隔离分析程序。
因此,管理层和IT审计人员应当注重和加大对应用控制的审计,特别是一些对IT高度依赖的行业和企业。最近比较流行的一些建设企业内控的经验之一是“把控制固化在系统中”,它其实很大层面上指的就是固化在应用系统中的业务规则控制机制,即应用控制。鉴于应用控制直接与IT和业务部门相关,IT审计人员应当和业务人员一起结成项目团队对支撑关键业务的重要系统的关键应用控制制订审计计划并执行审计程序,以保证这一重要的控制区域不被遗漏。
问题8:复合型IT审计专业人才缺乏,职业培训交流渠道和体系不完善
我国的IT审计职业正处在一个初期成长的阶段,所以人才缺乏是一个共性的问题。实践表明,一个有经验的IT审计执业人员,应当具备以下专业知识和相应的实践经验,包括:计算机信息系统、财务会计、审计、项目管理、企业管理、经济学等。
标签:审计计划论文; 审计软件论文; 审计目标论文; 信息安全论文; 审计流程论文; 审计职业论文; 审计准则论文; 审计方法论文; it审计论文;