IT审计

　　IT审计就是信息系统审计。

IT审计的历史和发展

　　IT审计的出处源自60年代IBM出版的《Audit encounters Electronic Data Processing》等有关在EDI环境下进行审核和组织的论述。不久后有关该方面的研究结果不断涌现， IT审计的雏形初步形成。但是由于信息系统在社会上尚未得到较为广泛的应用，因此IT审计并未在社会上形成意识。

　　七十年代中后期到八十年代初由于计算机在发达国家的企业初步普及，利用计算机犯罪和计算机系统失效的事件频频出现，使得IT审计日益得到社会重视，美国、日本先后成立了IT审计方面的协会组织。从事对IT审计规则的制定和实施指导。值得注意的是1985年日本政府出台了《IT审计标准》并根据美国劳工部的《Skill Start》和Northwest Center for Emerging Technologies（NCET）对IT信息人员的从业技能的要求制订了IT审计师（系统监查员）的技能标准并以之作为新的"IT审计师（系统监查员）"级考试的参考标准。

　　九十年代是IT审计的普及期，这主要归功于互联网的普及。互联网的普及是利用计算机犯罪的人员温床，此外日益严重的软件项目失败问题引发了是否要对信息系统的投资和开发进行审计的深思。IT审计得到了前所未有的重视。

IT审计的对象、范围和意义

　　IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方－IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。

　　由上面的定义我们可以看出，IT审计设计整个信息系统的生命周期，IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物，并包括信息系统实施相关的外部环境。

IT审计设计整个信息系统的生命周期，IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物，并包括信息系统实施相关的外部环境。一般来说，对企业实施IT审计的对象有：本企业内的IT审计师、外部IT审计事务所委托审计师和国家审计机构。IT审计按照信息系统的生命周期分为业务计划审计，业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。

　　1）业务计划审计主要面向信息系统的企划，对信息系统的投资可行性，系统规划与公司战略的相关性，系统开发计划的可行性以及系统需求的完整性和正确性进行审核和验证。

　　2）业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行审核，确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。

　　3）业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求，同时对信息系统的功能、性能、易用度、可操作性等进行评估。

　　4）业务维护审计对信息系统的维护活动和维护结果实施审核和评价。发现在维护中可能出现的各种漏洞和信息系统维护中急待改善的问题。

　　5）共通业务审计涉及文档管理、进度管理、人员管理、采购管理、风险管理等，检查这些过程的规范性和有效性，并提出改良建议。

IT审计制度

　　一般来说，对企业实施IT审计的对象有：本企业内的IT审计师、外部IT审计事务所委托审计师和国家审计机构。

　　作为企业，建立一个完善的IT审计制度需要做到以下几点：

　　（1）IT审计师是跨信息技术和审计技术的复合型人才，要实施企业的IT审计制度，必须重视和培养合格的IT审计师；

　　（2）企业应该建立相应的IT审计部门或审计岗位，确定其部门和岗位职责，并将之置于企业经营者的直接管理之内；

　　（3）企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据；

　　值得一提的是，企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行。企业的IT审计制度不是一成不变的，根据具体企业的营运情况可以在每个审计年度终结后新的审计年度开始前做相应的修改和增删。

====================================================

内控背景下 CIO如何做好IT审计

　　随着市场经济的迅速推进，信息系统成为不少被企业内部管理与控制的关键工具。而同时，现阶段的《企业内部控制基本规范》以下简称内控已经开始正式实施，它将给CIO建设基于内控环境的信息系统带来新的机遇和挑战。有观点称，未来几年中，内控大大推动企业核心竞争力的现象也将逐步出现，或许这将帮助企业内控更好的落地，开始新一轮发展的过程中发挥出无法估量的作用。

　　信息系统面临的风险分析

　　内控中曾指出，要以信息系统来辅助整内控的执行和落地，那么企业内部控制信息系统的应用主要来源哪些方面的推动? 业内著名的内控专家曾指出：“企业内部控制信息系统的应用主要来自于两方面力量的推动。首先是外部需求特别是SOX法案颁布后加强企业内控对外报告需求的推动；其次是内部需求特别是企业加强风险管理、提高内控管理与整体流程管理水平需求的推动。” 现阶段，国内现阶段基于内控背景下的信息系统不是很成熟，同时，因信息系统审计在国内起步比较晚，造成信息系统中企业存在许多的不足。主要分为：

　　1、主观不足

　　我们知道信息系统分按应用来划分分为两种类型一种关注企业的生产如MES，PDM等， 另外一种如CRM等管理型的系统，信息系统最主要的功能是实现自动化，帮助管理者提高企业的效率，因此在人员方面，是信息系统存在的主要风险。如从信息部门的角度来看，数据库管理人员因操作把企业的数据丢失，企业CIO因失误导致信息系统崩溃等等一系列的因素，造成信息系统存在主观上的风险。内控的的主要根本是风险管控，而风险管控又侧重于人的管理，信息系统又起到管理监督的重要工具， 因此，如果管理层于信息系统不是很重视，那么对于CIO来讲做内控将非常困难，同时，因人为的阻碍将使信息系统的利用率降到最低。

　　2、客观不足

　　在企业中CIO购买的软件或者硬件，任何产品都有它的缺点，这就造成企业无时无刻的存在着来自于IT方面的风险，比如企业的ERP系统、OA系统，因对于管理理解的不同，许多的ERP开发者更多的体现只是为了完成软件的的某种功能去开发， 而没有完全去考虑软件设计开发的结构，这样导致整个产品存在着设计上漏洞，使企业的核心数据遭受具大的损失。除了在软件应用层方面，其它涉及到硬件、网络方面同样也存在安合隐患。 这些客观的风险必然要需要CIO及外部人员加强对于信息系统的审计。

　　内控环境下加强信息系统审计的必要性

　　内控是为了提升企业的管理、效益、控制企业风险的重要规范指引。很多的企业认为，做内控给企业增加了负担、加大了企业 开支，从短期的利益来看，做内控需要投入一定的成本，但是从长期的角度来析做企业内控是为了企业更有利更加健康的发展。换个角度来看， 如果没有内控美国的安然事件、中国的安然事件将会再次上演，对于整个发展环境也会形成恶劣的影响，使企业在未来的运营中不能一个稳定、良好的环境。 企业做内控是为了规范自己的风险管理，正如人的健康一样。 如果“人”就是企业，那么内控就是“医生”，“医生”是帮助“人”检查身体， 而不是去谋害“人”， 而检查身体的一个重要工具——就是信息系统 。“医生”只有借助工具，才能更好的查出病因。

　　内控信息化的真实性、可靠性， 保证信息的真实性可靠性是对信息系统内部控制的质量要求，信息系统是企业各种信息的载体，是信息循环运转的一个有机整体，离开这个系统，信息只是单个的符号，不能把信息所反映的真实内容整体性地呈现在信息使用者的面前。只有把一个个的信息符号真实完整的放进企业信息系统的这个循环环境，保证信息的连续性和可靠性，信息系统才有其存在的必要性。同样以这样的信息系统建立起来的信息系统内部控制才能反过来控制信息的真实性和可靠性，才能为信息使用者所接受。

　　企业做内控，如果没有工具的支撑，首先在流程无法进行优化。内控的一个重要指标是对于企业不规范的流程变为优化的流程，但优化流程的过程当中需要信息系统来支撑，没有信息系统，强大的流程得不到有效的监督和管理，每走一步流程都很困难，甚至有可能要中断。 因此，没有信息系统的内控在企业中很难做，同时也不符合内控的规定。

　　CIO如何做好信息系统的审计

　　信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。从该定义可以看出，其审计内容及方法是通过对系统内部控制的审计，来判断和评价系统的安全性、完整性、效果和效率等方面。那么在内控背景下CIO应该如何做好基于内控的信息系统呢？

　　1、明确信息系统的审计目标

　　做内控不是CIO一个人的事情，但信息系统的建设还需要CIO来落实，那么企业的CIO如何来做好信息系统的审计呢？在内控的背景下一定要确定信息系统的审计目标，要达到什么样的效果，怎么来做，信息化前期要有一个总体的规划蓝图，遵照内功的要求结合企业自身的特点，制定出一套符合内控要求及企业自身战略的目标体系，只有明确了信息系统要做的目标，做出的内控信息系统符合标准。

　　2、根据目标选择重点区域及确定信息系统审计的具体范围；

　　当信息系统的目标建立以后，CIO所要做的工作就是分解目标，选择企业目前最为关注的区域 如企业的业务流程管理,做内控的根本目上的之一就是优化企业的流程管理，而IT的入手点，将从流程管理入手更为切实。那么， CIO的重点在流程控制系统上下“功夫”，做出一套符合内控要求的业务流程管理系统 。

　　3、借鉴跨国公司经验，遵循COBIT，加强信息系统优化；

　　CIO在做信息系统时，可多参照跨国公司信息系统建设的经验，同时也可以参考国内的上市企业，参观并学习他们的基于内控的信息系统是如何来做的，同时，在做信息系统时也要参照国际上的COBIT，从信息系统的建立初期如是规划、实施、治理等方面做好，将IT过程，IT资源与企业的策略与目标（准则）联系起来，形成一个三维的体系结构。用以把信息系统更好的在企业内控中发挥作用。

　　4、整合内部控制相关的IT系统并进行流程优化。

　　经过近几年企业对于法规的认知，企业开始考虑如何将各种与内部控制相关的IT系统进行整合，而整合的关键仍然是流程的整合。绝大多数的企业级IT应用系统均是基于流程的需求而开发，但是每套IT系统所对应的业务流程由于当初系统实施的各自为战，缺乏良好的接口整合与描述标准化。企业内控管理部门为了更好的管理众多的基于流程的风险与控制，必须寻找一个统一的平台实现与各个IT系统所对应流程描述的衔接。因此，信息系统的设计阶段一定要符合企业的业务流程。

　　同时，如何在发现风险控制缺陷的基础上进行业务流程改进，如何监控新建IT系统的流程合规与流程绩效，如何满足企业日益增长的流程优化需要，都需要企业管理层在统一的信息系统管理流程平台层面进行规划与管理。

　　通过实践我们发现建立基于内控要求的信息系统，为企业高管层（CEO、CFO）、内控管理者、内控测试人员、审计人员、其他业务人员提供一个简单易用的内部控制活动管理平台。系统不仅能够在现阶段使公司在萨班斯法案及国内内控法规遵从过程中更好地达到对内部控制、记录、测试、整改、报告、披露和归档等方面的要求，减少手工操作，提高工作效率和工作质量，同时使各项工作有机地联系起来，在公司长期战略上改进内部控制和风险管理。

　　关于COBIT

　　　COBIT(Control Objectives for Information and related Technology) 是目前国际上通用的信息系统审计的标准，由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准，目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。

　　关于内控

　　《企业内部控制基本规范内控规范》被称为中国的“萨班斯法案”，2008年6月28日，由财政部、证监会、审计署、银监会、保监会联合发布，目的在于加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展。

　　根据规范，执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。 规范原定于去年7月1日起实施，但由于企业培训等准备工作没有做完等原因，这一规范的实施范围当时被缩小至境外上市的企业，境内上市企业的实行时间则推迟到了2010年1月1日。