王东红:从我的经验看,CIO和IT部门面临的工作众多,识别潜在的IT风险并进行及时规避只是他们工作中的一部分。相比之下,IT审计师最重要的职责就是识别IT系统的潜在风险,所以,在一定程度上,IT审计师显得更专业。
据我们了解,大部分企业都没有建立相应的IT系统风险管理体系,这就造成了CIO看待IT风险的时候,往往是局部的,很难站在全局的角度,系统地去考虑可能存在的IT风险,这必然会忽略一些IT风险的存在。
任何审计都有详细的流程和标准,IT审计也是如此。IT审计师对IT系统进行审计时,会遵照既定的流程和标准一项项排查,比CIO和IT部门考虑得更细致,也更容易发现潜在的风险。比如,现在普遍存在的IT外包,很多企业对IT外包的管理非常粗放,IT审计师就会关注这些外包出去的环节,如其变更怎么管理、安全怎么管理等,这些都是CIO比较容易忽视的细节。
但是,有时候CIO的某些做法也是“迫不得已”,因为他们要考虑到业务的灵活性,必须对系统做一些临时的改动,即便这样的改动是存在风险的。
CIOI:在发现IT风险方面,IT审计师的工作确实是CIO工作很好的补充,这是否可以认为是IT审计受到重视的一个重要原因?
王东红:目前将IT看成是业务的一部分已经成为一种共识。企业对IT系统的依赖程度不断加强的同时,IT系统正面临不断增多的各种各样的威胁。在全球加强行业监管和内部控制的趋势中,IT越来越充当重要角色,IT不仅要为业务的风险控制提供保障环境,而且其自身的风险控制也备受关注。IT风险也随之成为业务风险的一部分。 中国网管联盟www.bitscn.com
因此,IT审计之所以受到越来越多企业的重视,正是出于业务稳定性和IT风险方面的考虑。在应对IT风险方面,IT审计的重要性包括两个层面:第一是预防风险,IT审计可以帮助企业识别并预防支撑业务的IT系统存在的风险,也可以帮助企业审核IT系统对外部法规的遵从性,从而避免来自外部法规监管可能存在的风险等。第二是帮助改进,特别是内审,不仅要发现风险,还要配合CIO针对审计中发现的风险进行有效管理,把风险防范做得更好。
那么总体来看,CIO是否已经对IT审计的这些重要性有了足够认识?朱永明:业务对IT的依赖越来越大,由于IT本身的复杂性以及IT部门人员的工作特点,导致的IT风险越来越大。如果没有一些审计机制的建立,业务上将会受到重大影响。虽然我们是公司内部人员,但是,我还是能够比较深刻地感受到,CIO和IT部门对IT审计比较普遍地存在着这样的认识——他们认为IT审计人员不懂IT部门的业务和技术,完全是外行,因此对IT审计消极对待,这样他们自然也就无法理解IT审计工作的意义以及在组织中的重要作用了。
王东红:我们作为“外来的和尚”对这方面的感受更深,CIO对于IT审计还有一种比较普遍的偏见——认为IT审计就是对IT部门的工作挑毛病,所以很多人对此比较抵触。不仅是对外部IT审计,甚至就像朱永明所说的,有些CIO对内部IT审计也抱着同样的态度。
中国网管联盟www、bitsCN、com
