第三,要弄清楚为什么IT审计师要审计这些控制点,审计的目的又是什么。对相应的控制点有深入的了解后,在下次审计时,就能赶在审计师前面,把相应的控制点做好。
与此同时,CIO可以建立一套自我评估的体系,在IT审计来临之前,在部门内部先自行进行自我评估。根据审计师的审计要点自我检查。这套自我评估体系其实就是风险管理体系。
CIOI:在IT审计过程中,CIO又该如何支持IT审计师的工作呢?
朱永明:IT审计的流程一般包括这么几个阶段:了解审计对象、制定审计计划、审计准备、制定审计方案、现场审计、就审计发现与业务部门进行沟通、出具审计报告、报告审计结果等。IT审计是基于常规审计的程序,借鉴IT治理的框架开展审计的,实际上是对公司IT治理的检验,也是对CIO负责的核心业务的检验,所以在每一个环节,都需要CIO的配合。至于如何配合,我觉得最重要的还是要正视IT审计工作,只要认识到可以借助IT审计提升IT业务水平并降低风险,CIO一定会给予非常好的配合。
王东红:在审计过程中,审计师会要求CIO出具各种相关数据和材料,对于审计师的这些要求,CIO的态度不同,可能会造成截然不同的结果。
CIOI:一种是要什么给什么,另一种是要什么不给什么,这两种态度哪种好呢?
中国网管联盟www_bitscn_com
都不好!这两个极端都是不可取的。CIO对IT审计的配合要适度,至于这个度怎么把握,主要在于CIO与IT审计师的沟通。当然,我主要是针对外部审计说的,对待内部IT审计的时候,确实应该全面配合。内部审计与外部审计要区别对待。
王浩:我就谈一条,那就是要理解。比如我们在做IT审计时,我觉得这些审计师太刻板。比方说做系统的安全性审核,他们完全从安全性角度去看,不会考虑业务的灵活度等,而我们不可能这么刻板地去考虑问题,毕竟系统要为业务提供支撑的。不过,刻板也意味着另外一个词,就是严谨,只有这样才能尽可能地发现系统的潜在风险,所以一定程度上他们这种刻板也是可以理解的。
CIOI:对于审计过程中发现的IT风险,IT审计师一般会怎么处理?
朱永明:在我们集团内部,IT内部审计结束之后的流程一般是这样的:收集审计证据,与相关业务部门确认问题,讨论风险,向管理层报告风险,最后是提出审计建议。
王东红:在审计实施结束后,审计人员应以充分的可靠的审计证据为依据,形成审计结论与建议,出具审计报告,跟进审计结果,追踪审计建议的落实并执行相应后续审计程序。
当IT审计作为其他综合性内部审计项目的一部分时,审计人员应及时与其他相关的内部审计人员沟通信息系统内部审计的发现,并考虑依据审计结果,调整其他相关审计的范围、时间及性质。 网管网bitsCN.com
