IT審計方法論

現代企業基本上逐漸形成了依托信息技術以及系統的支撐，向業務管理信息化、日常管理規范化的局面。并且信息技術在企業的生產經營和業務管理活動中發揮了越來越重要的作用，信息化已經成為公司發展和管理必不可少的技術支撐手段。但正如一把雙刃劍，在信息化給企業帶來便利以及快速發展的支撐同時，如何控制信息系統風險是越來越多的企業所關注的問題。本文將重點探討如何實現全面IT審計。

目前，現代企業經營越來越依賴信息系統，信息系統管理信息、處理業務以及存儲大量的數據。也迫切需要對信息化管理現狀進行全面的審計，以分析評估存在的問題，提出解決方案，完善IT風險控制，保障各信息系統的規范運作，降低信息化風險，提高業務運營的經濟性和有效性。IT審計雖然區別于財務審計，運營審計等常規審計，但其審計方法論仍不可能脫離常規審計所用的方法論。也就是必須對審計目標，審計范圍，審計計劃等等均需進行清晰闡述，并在實施IT審計后，出具具有充分、適當的審計證據支持的IT審計報告。

一般來說，實現全面的IT審計，應當從審計對象的整個生命周期領域、審計對象及組織層次來開展。

一.IT審計范圍

進行IT審計的對象包括但不限于以下領域：1.管理組織與制度；2.項目管理流程規范性 ，包括應用系統的開發、測試與上線管理；3.基礎設施及運維管理；4.信息安全管理；

IT審計涉及的應用系統包括但不限于以下領域：1.生產系統；2.營銷系統；3.辦公自動化系統；

IT審計涉及的組織層次包括但不限于以下領域：1.高層決策者；2.中層管理者；3.技術部門員工；4.業務部門員工。

二.IT審計具體實施

ELC（entity level control）控制。關注客戶在IT治理方面的相關組織架構是否合理，管理制度是不是健全，具體的審計程序就是獲取客戶的組織結構圖，及一些比較虛的總綱類的書面管理制度如《IT管理制度》等等。

系統開發和變更。關注系統開發和系統后續變更實施中的控制，具體的審計程序首先就是獲取系統開發及變更相關的管理制度，該文原載于中國社會科學院文獻信息中心主辦的《環球市場信息導報》雜志http：//www.ems86.com總第522期2013年第39期-----轉載須注名來源如調閱《系統開發制度》《系統變更管理制度》，二是關注系統開發過程的合理性，如是否經過了需求提出、可行性研究、領導層審批，系統上線之前是否經過了充分的測試，獲取一些內控痕跡和表單，如《××系統需求報告》、《××系統可行性報告》、《××系統立項審批單》、《××系統單元測試報告》、《××系統集成測試報告》、《××系統上線審批單》，《變更審批單》，采取抽樣后穿行測試。

操作系統及數據庫控制。關注操作系統和數據庫的控制，如登錄時密碼控制強度、敏感操作的權限分配、日志的保存。

應用系統控制。關注應用系統控制的合理性。如銀行使用的綜合業務系統（有的叫核心業務系統）、國際結算系統、大小額系統、信貸管理系統等等，關注其安全配置和用戶權限。

接口控制與信息安全。關注其數據準確性、完整性、以及組織級的網絡管理的相關制度，如防火墻的架構，內外網分離程度等。

三.IT審計依據

IT審計依據的來源基本上業界都有很充分的理論依據以及最佳實踐，以下IT控制標準、法律法規、行業最佳實踐都可作為IT審計的依據。

IT標準、規范及最佳實踐； 企業內控框架-COSO；IT治理-COBIT、ISO 38500；IT規劃與架構設計-Zachman、TOGAF、FEA；IT應用系統開發與運維-軟件開發規范、CMMI、ISO9126；IT基礎設施生命周期管理-網絡、主機、安全等設備管理規范；IT服務管理-ITIL、ISO20000；IT項目控制-PMP、Prince2、項目監理規范；信息安全管理-ISO27001、ISO27002；業務連續性計劃-BS25999、ANSI/NFPA 1600；IT應用控制-輸入控制、處理控制及輸出控制；IT資源協同-EAI、SOA、共享中心等……

目前，信息系統的正常運行已經成為銀行業務正常運營的最基本條件之一，信息科技在有力提升銀行核心競爭力的同時，信息科技風險也愈發突出和集中，信息科技風險控制已成為銀行業風險管理的重要內容，而IT審計作為銀行業風險管理體系的重要組成部分，其重要性和必要性已經日益得到銀行業管理層的關注。

IT與其他如財務審計等不同之處，主要在于審計框架是否全面。審計過程仍遵循常規審計步驟，包括審計策劃、審計準備、審計對象調查、實施審計、審計發現復核及溝通、審計報告六大步驟。

如何在企業內建立IT審計體系，首先，內部審計機構的建立是必要的，并需要給予該機構充分的權利來制定IT控制內部審計相關的管理制度、審計方法流程及操作手冊，用以指導企業開展IT控制內部審計。另外，企業必須培養IT審計人才。因國內的信息系統管理相對國外起步較晚，只有近十幾年的發展，所以，對于IT審計人才的培養仍處于比較初級的階段，也是今后企業在實施全面IT審計后，所面臨的一個需要重點解決的IT風險問題。

（作者單位：中國建設銀行重慶總審計室）