作者:赵建凯 / 日期:2010-03-01
导语:IT审计的作用已经被CIO认识到,但实际中还是要看企业的IT应用环境是否已经达到IT审计来介入的要求,以及做IT审计所需投入的人力和财力成本。
在美国纳斯达克上市的企业,必须遵从萨班斯法案(Sarbanes-Oxley Act,SOX),而国内的上市公司也要将在今年(2010)开始实施内控指引(《企业内部控制基本规范内控规范》)内容。内控的实施,对国内企业CIO建设基于内控环境的信息系统带来新的挑战。
IT内控通常分为一般控制和应用控制两大类。“一般控制”是指那些嵌入到IT流程和服务中的控制,如系统开发、变更管理、安全管理和计算机运行管理等;嵌入到业务应用系统的控制称为“应用控制”,如完整性、准确性、有效性、授权和职责分离等等。有数据指出,80%的非IT故障是由变动管理行动中的人员因素或存在问题造成的,而在企业中引用IT审计,可以有效控制、规避IT风险,提高企业信息系统的安全性、可靠性,并帮助企业做到有效地法规遵从。
相关法规的实施和企业日渐迫切的信息安全需求,使IT审计的市场需求越来越强烈。但采用客观标准对企业信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估的IT审计工作,到底多有用?在ITValue社区发起的“IT审计的作用”的调查中,有55.56%的人认为作用很大,并且能够帮助企业规范IT流程,找到风险点,实现风险管控的目标。而其余的44.44%的人虽然也认为IT审计有作用,但仅仅能发现一些问题。
对于企业组织而言,实施基于风险管理的IT审计,是为了保证企业组织的信息安全,并达到企业风险管控的作用。祈福集团CIO何雪峰说:集团有专职人员负责审核各下述公司IT部门是否严格执行集团的IT规范,并会对一些关键点定期上门检查。
原贝发集团股份有限公司信息管理部经理陈罡认为,IT审计的作用固然巨大,但实际情况中还是要看企业的IT应用环境是否已经达到需要IT审计来介入的程度。另外,实施IT审计也需要一定的成本投入,彩虹集团信息化管理室主任陆永清认为:对数据服务依赖性高,靠数据经营的企业——如金融、保险等行业应该严格遵循“内控”要求,引入IT审计非常必要;而对数据服务连续性要求不很高的企业,要想达到内控/SOX的要求标准,会增加企业的投入成本。
在IT审计人力方面,企业中可能没有专职的IT审计人员,陈罡举例说:企业中的操作系统管理员、数据库管理员、应用系统管理员都是需要严格区分并由不同的人来担任,以防止对系统的滥用,而在现实中,企业往往不可能有这么多人员来这么做,只是一个人兼任完事——IT审计也是如此。九州通医药集团信息技术总部部长田超波也认为,在分工没那么细的企业中,IT审计可以由相关人员兼职来做,但需要有完整的授权及对操作的详细记录。