GSOL
世界经理人
论坛
  • 全站
  • 文章
  • 论坛
  • 博客
高级

IT审计(一)---企业要善用IT内部审计这个工具

分享:

随着企业信息化工作正在从初期的关注系统建设到了目前关注信息化效益,也就是所谓的由“功能驱动”转向“价值驱动”,IT系统、制度和流程等日常的执行和管控已经日益显得重要起来,并正在成为企业信息化工作的主要内容。在这种情形下,建立一套有效的IT内部审计体系以完善组织整体信息化体系,并确保信息化体系的有效运行尤为显得更有意义。

IT审计是基于“风险”的审计,风险无处不在,“信息风险管理”也是企业信息化的重要内容之一。IT内审的意义首先就在于通过建议一种机制的方式来检查企业信息化工作的各个环节所设计的管控手段的“存在性”,以及这些管控方式“有效性”。因为在组织中,IT的管控包括高层控制、应用控制和一般控制,因此相应的IT审计对这些不同层次控制的审计内容、方式方法等也不相同,但其目是一样的,就是确保“存在性”以及“有效性”。

要明确的是,组织的目标不是为了IT审计而审计,组织要通过建立有效的IT审计体系来实现对IT风险管控检查的常态化,最终是确保管控的完备和有效。一般来说,重点审计的领域包括:对IT治理与组织体系的审计,对信息化项目的审计,对IT基础设施架构的审计,对信息安全的审计,对运维保障体系的审计以及对应急保障体系的审计等。组织一般通过建立包括:章程、规范&准则、指南和程序这四个层次来实现IT审计体系的建立。简单的来说,IT审计在执行上包括四个过程:确定与记录、评价适宜性、评估符合性和证实,通过在现场执行中对证据的收集和现场对证据本身的确认来确认组织IT管控的效果。

组织以什么标准作为审计的依据呢?IT审计的依据最好是被审计对象的规范,制度,标准等,其次是行业规范、要求以及监管要求等,再其次是国家规定等,或者是最佳实践如COBIT\ITIL等,没有最佳实践的采用一般规律作为审计依据。

IT内部审计体系可以帮助企业有效避免信息化风险的发生,降低损失,提高信息化效率,但最后要强调的是,要真的做到对IT的有效内审,确保企业审计的权威性和独立性是很重要的,否则只能是流于形式,没有实际意义。

分享:

确认推荐关闭

是否确定推荐本文?

   

推荐标题:

确定 取消

 

分享

我要评论

你还没有登录,无法回复主题,请首先 登录 或 注册 (关联新浪微博帐号)

 
 
 
 

博主档案

复杂问题简单化是能力,反之是折腾! 特长:信息化+管理+服务+数据应用 基于IT的业务创新 PMP/ ITIL / COBIT/ CISA/ISO27001 企鹅号:45631151

662

77139

12


还未进入100强,请继续努力

 

最具潜力的博客新星更多>>

 
 
 
 
 
 
一键发帖 资讯订阅
世界经理人 iphone app
世界经理人微信 为你推送和解读最专业的管理资讯