而信息系統(tǒng)審計(jì)（又稱IT審計(jì)）正是幫助企業(yè)及CIO為了解決上述問(wèn)題，提高信息系統(tǒng)的安全性、可靠性和開(kāi)發(fā)、運(yùn)營(yíng)效率，使企業(yè)信息化得到健康、全面的發(fā)展而引入的預(yù)防機(jī)制。同時(shí)，為了確保信息系統(tǒng)的安全、可靠和有效，需要開(kāi)展由獨(dú)立的具有資格的IT審計(jì)師對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行的IT審計(jì)。對(duì)于企業(yè)來(lái)講管理和業(yè)務(wù)的增加，企業(yè)對(duì)于內(nèi)部IT治理的審計(jì)更加嚴(yán)格。每年都會(huì)有大量的各種級(jí)別的內(nèi)外審計(jì)，而IT審計(jì)也是非常的重要內(nèi)容， 如何做好IT審計(jì)成為企業(yè)及CIO關(guān)注的焦點(diǎn)。

 

　　一、IT審計(jì)的作用

 

　　1、IT審計(jì)顧明思議，就是為了更好的控制IT的風(fēng)險(xiǎn)，有效的的幫助規(guī)避風(fēng)險(xiǎn)。現(xiàn)階段企業(yè)業(yè)務(wù)的增長(zhǎng)，需要信息系統(tǒng)支撐的業(yè)務(wù)是越來(lái)越多， 促使企業(yè)在經(jīng)營(yíng)管理過(guò)程中遇到很多的風(fēng)險(xiǎn)，企業(yè)在經(jīng)營(yíng)過(guò)程中可以規(guī)避各種各樣的容易看得到的風(fēng)險(xiǎn)，比如管理上的缺陷、市場(chǎng)的變化都會(huì)企業(yè)的經(jīng)營(yíng)管理層，做出及時(shí)的調(diào)整來(lái)應(yīng)對(duì)不同的風(fēng)險(xiǎn)，而潛在的一個(gè)些風(fēng)險(xiǎn)，如信息系統(tǒng)存在的風(fēng)險(xiǎn)，企業(yè)的經(jīng)營(yíng)管理層看不到，也意識(shí)不到他們會(huì)存在風(fēng)險(xiǎn) ， 而許多企業(yè)在某些項(xiàng)目或者企業(yè)退出往往正是由一部分信息系統(tǒng)中的數(shù)據(jù)泄露，而使企業(yè)破產(chǎn)，因此，必須加大對(duì)于企業(yè)不僅要對(duì)企業(yè)本身的經(jīng)營(yíng)管理內(nèi)部進(jìn)行審計(jì)，同時(shí)還要對(duì)于支撐管理的信息系統(tǒng)進(jìn)行審計(jì)，從而降低企業(yè)的風(fēng)險(xiǎn)。

 

　　2、提高IT的價(jià)值及CIO的管理思維

 

　　信息系統(tǒng)最大的價(jià)值是提高企業(yè)的管理及支撐企業(yè)的業(yè)務(wù)，一旦信息系統(tǒng)本身設(shè)計(jì)、開(kāi)發(fā)存在安全風(fēng)險(xiǎn)，那么對(duì)于企業(yè)來(lái)講， 不僅沒(méi)有幫助企業(yè)，反而運(yùn)用信息系統(tǒng)使企業(yè)面臨比沒(méi)有上系統(tǒng)更大的風(fēng)險(xiǎn)，因此，加強(qiáng)信息系統(tǒng)本身的審計(jì)，才能規(guī)避信息系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)，實(shí)現(xiàn)出信息系統(tǒng)的潛在價(jià)值。 同時(shí)，在做每一個(gè)信息系統(tǒng)開(kāi)發(fā)時(shí)， 如果參與國(guó)際審計(jì)的標(biāo)準(zhǔn)，可有效的降低風(fēng)險(xiǎn)， 同時(shí)， 也可提高CIO或者IT經(jīng)理防范風(fēng)險(xiǎn)的管理思維。

 

　　二、IT審計(jì)的現(xiàn)狀及存在的問(wèn)題

 

　　縱觀現(xiàn)狀，IT審計(jì)在國(guó)內(nèi)并不是很成熟，企業(yè)的IT審計(jì)并不完善，IT審計(jì)更多的是應(yīng)用于銀行、保險(xiǎn)等大型的金融類企業(yè)，一些中小企業(yè)對(duì)于IT審計(jì)的認(rèn)識(shí)存在偏見(jiàn)，導(dǎo)致了IT審計(jì)在部分中企業(yè)中并沒(méi)有應(yīng)用也不成熟。同時(shí)，企業(yè)的CIO對(duì)IT審計(jì)存在一定的認(rèn)識(shí)，企業(yè)加強(qiáng)IT審計(jì)顯得尤為重要。

 

　　1、IT審計(jì)標(biāo)準(zhǔn)不成熟

 

　　我們目前所指的IT審計(jì)標(biāo)準(zhǔn)一般是指ISACA制定的信息系統(tǒng)審計(jì)準(zhǔn)則。IT審計(jì)標(biāo)準(zhǔn)是一套以管理為核心，以法律法規(guī)為保障，以技術(shù)為支撐的信息系統(tǒng)審計(jì)框架體系。它同時(shí)是一套規(guī)范化的管理框架，詳細(xì)地描述了審計(jì)方、開(kāi)發(fā)方、用戶方的關(guān)系及各方的定位、權(quán)利、義務(wù)和職責(zé)等，并從標(biāo)準(zhǔn)的角度對(duì)IT審計(jì)師能力考核的限定、IT審計(jì)機(jī)構(gòu)的資質(zhì)認(rèn)定給予了限定。從目標(biāo)上講，IT審計(jì)標(biāo)準(zhǔn)跟著眼的目的是信息系統(tǒng)的安全性、穩(wěn)定性、有效性。 然而， 現(xiàn)階段的IT審計(jì)因企業(yè)的不同經(jīng)營(yíng)性性質(zhì)的不同，很難一套成熟的標(biāo)準(zhǔn)來(lái)做。而且不同行業(yè)，不同企業(yè)會(huì)有不同的IT審計(jì)的標(biāo)準(zhǔn)也不同，因此， 建立行業(yè)化的IT審計(jì)標(biāo)準(zhǔn)體系是下一步的CIO所需要考慮的。

 

　　2、IT審計(jì)人才急缺

 

　　審計(jì)業(yè)務(wù)發(fā)展至今，傳統(tǒng)IT審計(jì)工作只是現(xiàn)代審計(jì)中一個(gè)特別小的組成部分。IT審計(jì)最重要工作之一，是發(fā)現(xiàn)被審計(jì)單位最重大的風(fēng)險(xiǎn)隱患，在認(rèn)定其持續(xù)經(jīng)營(yíng)的基礎(chǔ)上，再對(duì)潛在的真實(shí)、公允性發(fā)表審計(jì)意見(jiàn)。如果IT審計(jì)師認(rèn)為被審計(jì)單位的信息系統(tǒng)是業(yè)務(wù)運(yùn)轉(zhuǎn)的平臺(tái)，是風(fēng)險(xiǎn)高發(fā)區(qū)，那么對(duì)信息系統(tǒng)的安全、穩(wěn)定和有效的評(píng)價(jià)就成為審計(jì)的基礎(chǔ)和重點(diǎn)。因此，IT審計(jì)師是開(kāi)展計(jì)算機(jī)審計(jì)工作的重要推動(dòng)力量。但目前，因國(guó)內(nèi)對(duì)于IT審計(jì)的重視程度不夠，同時(shí)審計(jì)水平不是很高， 導(dǎo)致審才人才非常奇缺，如何快速的培養(yǎng)優(yōu)秀的審計(jì)人才迫在眉睫。

 

　　三、IT審計(jì)實(shí)施的必需困素

 

　　1、提高IT審計(jì)人員的意識(shí)

 

　　做信息化并不難，難得對(duì)于企業(yè)老板對(duì)于信息化的看法和理解程度，同樣，對(duì)于IT審計(jì)也是一樣的道理，我們知道IT審計(jì)的職能來(lái)劃分主要是兩方面， 內(nèi)審和外審。

 

　　外審主要參照第三方咨詢機(jī)構(gòu)來(lái)幫助企業(yè)IT部門進(jìn)行信息系統(tǒng)審計(jì)， 如中國(guó)人民銀行早在2000年時(shí)候就開(kāi)始了IT審計(jì)，在2004的時(shí)候就邀請(qǐng)ITGov中國(guó)IT治理研究中心（簡(jiǎn)稱ITGov）對(duì)來(lái)自全行各分支機(jī)構(gòu)的40名內(nèi)部審計(jì)人員參加了為期4天的信息系統(tǒng)審計(jì)培訓(xùn)，強(qiáng)化信息系統(tǒng)審計(jì)中理論與實(shí)踐的結(jié)合，全面提升了信息系統(tǒng)審計(jì)人員的綜合素質(zhì)。而內(nèi)審，主要在企業(yè)內(nèi)部成立于IT審計(jì)部門，這個(gè)IT審計(jì)部門不屬于IT部門也不屬于業(yè)務(wù)部門，它是一個(gè)單獨(dú)的部門，用以審計(jì)企業(yè)的信息系統(tǒng)。 做好IT審計(jì)需要提高企業(yè)對(duì)于審計(jì)的認(rèn)識(shí)。企業(yè)的管理不僅要對(duì)于外審了如指掌，還要對(duì)于企業(yè)的內(nèi)審尤期是IT的內(nèi)外審都要所有了解 ， 做不到精通階段 ，但必須要處于了解的階段。從CIO的角度來(lái)看，同樣也是相似的道理，必須要去對(duì)于IT審計(jì)要有一個(gè)清晰的認(rèn)識(shí)，只有對(duì)于IT審計(jì)在意識(shí)和思路上認(rèn)識(shí)了，才能做好IT審計(jì)的第一步。

 

　　“在技術(shù)層面，沒(méi)有實(shí)現(xiàn)不了的關(guān)健是審計(jì)意識(shí)的提高”業(yè)內(nèi)某著名的IT審計(jì)專家指出， 同時(shí)他強(qiáng)調(diào)IT審計(jì)重點(diǎn)要把握“三大關(guān)”：

 

　　第一、人員因素都直接影響IT審計(jì)的效果，這是IT審計(jì)的關(guān)鍵也是根本。

 

　　第二、IT風(fēng)險(xiǎn)管理。

 

　　第三、IT本身審計(jì)。

 

　　2、找準(zhǔn)IT審計(jì)定位點(diǎn)

 

　　做好IT審計(jì)并不難，資料顯示，大多數(shù)的IT審計(jì)師認(rèn)為，做好信息系統(tǒng)審計(jì)就是要找好企業(yè)信息系統(tǒng)的切入點(diǎn)或者叫做定位點(diǎn)。我們知道任何系統(tǒng)都有漏洞，從程序員開(kāi)發(fā)設(shè)計(jì)到業(yè)務(wù)的應(yīng)用信息系統(tǒng)不可避免的會(huì)遇到各種各樣的問(wèn)題。對(duì)于CIO來(lái)講在配合企業(yè)IT審計(jì)部門做IT審計(jì)前要首先自身檢查信息系統(tǒng)存在的的問(wèn)題，然后，在做系統(tǒng)開(kāi)發(fā)或者項(xiàng)目時(shí)，按照Cobit IT治理框架、Iso1335、Iso27001，、COSO、ITIL等來(lái)提高信息系統(tǒng)的可用性。

 

　　實(shí)踐證明，IT審計(jì)必須符合科學(xué)、獨(dú)立、審慎的精神。CIO要進(jìn)行認(rèn)真細(xì)致的工作安排，從審計(jì)的實(shí)際目標(biāo)出發(fā)，選擇實(shí)用的方法，依據(jù)相關(guān)的國(guó)際IT審計(jì)準(zhǔn)則開(kāi)展相關(guān)工作，通過(guò)長(zhǎng)期的、持續(xù)的改進(jìn)，強(qiáng)化IT風(fēng)險(xiǎn)控制能力，最終降低經(jīng)營(yíng)風(fēng)險(xiǎn)。