走进IT审计.docx

1、走进IT审计走近IT审计某大型制造企业有一个旗鼓相当的竞争对手，整个市场份额基本被这两家公司瓜分，所以两者之间的竞争一直处于白热化状态。为了获得更多的市场份额，该企业早在一年前就开始进行一款新产品的开发，预计产品出来后，会给公司带来一笔非常可观的收益，极有可能真正领先于竞争对手。但就在开发工作接近尾声时，市场上却出现了与公司研发的新品有着同样外观、同样技术特色的产品，只不过该产品上打着竞争对手的Logo。很显然，该企业的机密信息被竞争对手窃取了，凝聚了整个企业所有员工心血和希望的成果付诸东流，这让高层领导大发雷霆，责令信息中心主管李强（备注，“本文人物均为化名”）不惜一切代价也要找出研发资料泄

2、露的原因和途径，如果可能甚至不惜借助法律武器挽回损失。系列之一：有类产品叫审计该制造企业的安保工作一直比较严格，研发人员随身带走产品资料的可能性为零，那么，信息是如何跑到竞争对手那里去的呢？可能是哪个员工在什么时候通过什么方式把什么信息发给了谁？泄密者是通过企业的业务系统泄露还是另有途径？如果即便掌握了相关情况，又是否可以作为证据使用？这让李强陷入了迷茫之中。不过，面对高层领导的怒火，李强不敢有丝毫的怠慢，从各种系统日志入手，进行了地毯式地排查。经过数天的努力，李强最终将目标锁定在研发部门的几名员工身上。原来，为了查找资料方便，研发部门允许个别员工连接互联网，但因为只涉及到极少数人，也没有想到

3、竞争对手会买通自己的研发人员，所以并没有对核心资料采取严格的保密措施，甚至没有记录员工的访问行为。但是追查工作进展到这里，就陷入了僵局虽然李强非常肯定出问题的人就在这几名员工中间，但根本无法知道究竟是谁在什么时间把信息泄露出去的，更不用谈通过证据追究个人和竞争对手的法律责任了。无奈，李强只能向前看，希望能够在今后的日常工作中，能够准确掌握各种动态，以便及时调整安全策略，避免类似事件的再次发生，即便出现问题也可以做到有据可查，甚至提供足够的证据，尽可能地挽回损失。在同行的建议下，李强找到了国都兴业信息审计系统技术（北京）有限公司，国都兴业的技术专家向他推荐了IT审计类产品。IT审计（Inform

4、ation Technology Audit），也称作信息系统审计，它提出了针对信息系统的安全性、符合性、可靠性和有效性进行审计的理念，能够帮助企业满足法律法规的相关要求。不过，业界始终没有就IT审计的定义达成统一的意见，目前使用较广的是美国信息系统审计与控制协会ISACA给出的描述。ISACA认为，IT审计是一个过程，在这个过程中IT审计师（CISA）通过获取和评价相关证据，判断被审查的信息系统能否保证单位或企业的资产安全、数据完整，以及能否有效地利用资源并高效地实现目标。虽然对IT审计的描述没有达成统一，但专家们对IT审计的理解至少在以下几个方面是一致的：首先，IT审计是一个过程，这个过程

5、需要由获得CISA认证的IT审计师，以独立客观的身份执行；其次，IT审计的过程中，IT审计师需要获取证据并分析证据，目的是检查信息系统的安全性、可靠性、有效性以及高效性；第三，审计师得到结果并不意味IT审计过程的完结，还需要向被审计单位报告审计结果，指明审查过程中发现的、信息系统存在的问题，并针对这些问题向被审计单位的高层提供改进的建议。那么，IT审计产品能够审什么？能否对李强现在或未来的工作有所帮助？能否避免同类问题的再次发生？除了记录，它还能做些什么？听了国都兴业的技术专家的介绍，李强（备注，“本文人物均为化名”）对IT审计产品提起了浓厚的兴趣，单是“针对信息系统的安全性、符合性、可靠性和

6、有效性进行审计”这一项，就让李强看到了IT审计产品的真正价值。不过，在此之前，李强只知道有财务审计。财务审计的目标很明确，就是审查组织的财务报表，识别组织经济活动中的舞弊行为。那么，IT审计要审什么，难道是审计信息系统的？答案，对，也不对。说“对”，是因为既然IT审计也称作信息系统审计，必然与信息系统有着莫大的联系，必然是围绕信息系统展开。说“不对”，是因为回答不够准确。审计作为独立于组织业务链之外的结构，监督并客观评价与业务相关的控制在设计和执行方面的效果、效率，为完善组织内控框架提供建议，确保组织的利益相关者的利益不遭受损害并能够顺利获得。准确来说，IT审计需要针对IT控制的设计和执行情况

7、进行监督及评估。依据控制的设计及效果进行区别，IT控制可以分成预防性控制、检查性控制和纠正性控制。其中，预防性控制属于事前防范措施，有效部署预防性控制可以避免事故或问题发生，使危害或损失为零；检查性控制属于事中举措，在错误或事故发生的时刻能够及时对其进行识别；检查性措施和纠正性措施通常组合部署，以便在无法规避风险的条件下，采取措施使危害或损失的程度降至最低，只是，纠正性控制需要以检查性控制作为条件，二者不可分割。当然，IT控制有很多不同的分类方式，例如：从普适性和针对性角度来分，IT控制可以分成一般控制和应用控制；从组织架构、基于IT控制设计和实施的相关角色的职责来分，IT控制又可以分成治理控

8、制、管理控制和技术控制。不过，不管怎样，IT控制都要满足以下四个要求：1.有效地交付可靠信息，确保安全的IT服务符合本组织的战略、政策、外部需求和风险偏好；2.保障利益相关者的利益；3.实现客户、商业伙伴和其他外部各方完成业务目标的互惠互利关系；4.适当地识别并应对威胁和潜在的情况。IT审计产品作为监督评估IT控制的角色，需要在理解了IT控制的目标之后，有针对性的取证分析，做出客观的判断并向管理层汇报，同时针对不当的控制提出改进建议。ISACA编订并发布COBIT（Control Object of Information related Technologies）指导信息系统实施单位和IT审

9、计人员更清晰地了解和把握IT控制。COBIT是IT管理和IT审计的最佳实践框架，将包含IT基础设施、IT应用、人员和信息四类要素的IT资源分配到信息系统生命周期的4个域、34个流程的控制中，并针对每个流程依据包含机密、完整、可靠、合规、效果、效率、可用等七个属性的业务目标分别定义了各流程的IT控制目标及活动目标。COBIT建议按照业务、信息系统整体、IT流程、流程活动的顺序自上而下的对业务目标进行分解，从而确保IT目标与业务目标的关联；同时按照从流程活动、IT流程、信息系统整体、业务的顺序自下而上的进行指标的衡量，以保证及时发现并纠正IT控制中的偏差，确保IT控制与业务目标的一致性。COBIT

10、不仅适合指导单位依据IT控制目标对IT进行管理，同时也适合IT审计人员参考进行IT控制的审核。李强不禁感叹，如果自己所在的企业当初用了IT审计产品，肯定能做到有效的IT控制，让IT更好地为业务发展提供动力，也不至于落到如此窘迫的地步啊。不过，再好的产品如果使用不得当，也发挥不出真正的价值，因此，李强心中也有一个疑问：到底怎么审，才能真正有助于企业的发展？李强（备注，“本文人物均为化名”）所以会深入了解的IT审计产品，其实是为了降低企业所面临的IT风险，即便危害发生也能快速找到防范，从而将风险降低。那么，IT审计产品是否能够真正解决李强的担心？具体该怎么去审？审计的同时是否会引入新的困扰？为了解

11、答李强的这些疑问，国都兴业技术专家开始介绍起IT审计的过程。IT审计的过程可以概括为：基于被审计信息系统的IT风险，围绕IT控制的有效性和符合性，在充分获取真实证据的条件下，经过综合分析评估，得出并报告审计结论及审计建议。由此可以看出，IT审计的关键要素包括IT风险、IT控制以及审计证据。IT审计风险主要包括固有风险、控制风险、审计风险和剩余风险四类。其中，固有风险是指在不对信息系统部署任何控制措施情况下，信息系统自身所有具有的风险；控制风险指由于控制设计以及执行的不合理或不准确，使信息系统具有的风险；审计风险，是指由第三方审计师对信息系统进行审核评估的过程中带来的风险；剩余风险，是指结合固有

12、风险、控制风险及审计风险对系统风险情况做出的综合评估。对于被审计单位而言，在IT审计过程中得到的风险结论实际是审计师对于剩余风险的描述。俗话说，无规矩不成方圆，只有以统一的标准作为基线，才能确保审计师执行IT审计过程中有章可循，提高审计效率并保证审计效果，也有助于其他审计人员在相同条件（使用相同的标准和证据）下对审计结论进行验证，规避由于审计师能力不足或评估不客观等风险，确保审计结论准确。所以，ISACA的信息系统审计准则对IT审计的执行过程做出明确要求，要求IT审计遵循一定的流程，可以粗略地划分为：制定审计计划、执行系统审计、提交审计报告以及进行后续跟踪等五个阶段。第一，建立审计章程。审计章

13、程中需要明确IT审计的总体目标及IT控制范围，并约定审计职责第二，制定审计计划。审计师首选需要对被审计单位的业务运营情况、被审计信息系统承载的业务信息以及系统结构有所了解，然后进行风险评估，对被审计系统的关键控制点以及现有的IT控制情况进行了解。审计师需要对IT控制的重要性进行评估，评估过程需要综合资产的价值及控制检查活动的投入回报比等多方面信息做出判断，决定是否需要以及需要对具体哪些控制进行检查，以控制审计风险的程度，确保剩余风险在被审计单位的风险容忍度范围之内。审计师做出综合判断后，需要根据信息系统审计准则的相关要求完成审计计划。第三，搜集证据并完成IT控制的符合性测试。所谓符合性测试，是

14、针对控制的设计的有效性进行检测，审计师通过调查取证，了解被审计单位如何设计IT控制。审计师需要结合专业知识，判断组织是否按照相关法律法规、行业标准以及最佳实践的要求设计IT控制：如果满足相关要求，则认为这些IT控制具有符合性；如果不满足相关要求，审计师就需要了解被审计单位真实的IT控制如何设计，并综合判断当前IT控制能否有效控制信息系统风险。对于被审计单位真实采用的IT控制，如果与规定、标准及最佳实践的要求不一致，则称为补偿性控制，被审计单位的补充性控制如果可以有效规避信息系统风险，则同样视被审计单位的IT控制具有符合性。审计师需要获得充分、真实的证据支持对被审计单位IT控制符合性的判断。第四

15、，搜集证据并完成IT控制的实质性测试。IT控制经过设计和执行两个阶段，才能发挥效用，因此，IT审计在执行控制测试时，同样需要针对IT控制的两个阶段分别进行测评。IT控制的实质性测试阶段，是针对通过符合性测试的IT控制的执行情况进行检测，需要大量的证据以真实反映IT控制的实施过程。理论上讲，只有对所有的操作记录进行核对检测才能完全真实地反映IT控制的实质性，但由于信息系统记录数据量巨大，且历史操作记录的保存情况与信息系统自身的技术和机制有极大的依赖关系，无法做出统一的约束，换言之，对所有的操作记录进行审查基本上是不可行的，因此，这一过程通常采用统计学的相关方法进行处理。例如，使用抽样的方法进行分

16、析，抽样的样本空间设计依据被审计信息系统的业务交易量、IT控制重要性等要素进行综合考虑。经过抽样取证分析后，如果IT控制的执行过程与控制设计的要求一致，则认为该IT控制通过实质性测试，否则认为控制无效。第五，综合评估证据以获得结论，并提交审计报告。审计报告需要按照信息系统审计准则中有关审计报告的标准要求进行撰写，报告除了审计过程的基本信息外，需要包含对被审计信息系统的IT控制现状的评价，以及对被审计单位改进当前IT控制提供的建议。IT审计报告在正式发布前，需要与被审计单位的管理层就审计初稿进行沟通修订，获得同意后才能定稿并发布。审计师需要在审计报告中说明报告的有效范围及需要明确的任何信息，同时

17、，审计师需要在审计报告中清晰、准确地表达自己的联系方式，以承诺对报告的内容负责，确保如果第三方对该报告进行利用或审核时可以获得必要的信息。当然，审计报告的提交并不意味着IT审计过程的完结，审计师需要对自己在报告中提出的建议进行跟踪。听到这里，李强又有了新的担心：即使审计流程很规范也做不好审计工作，因为自己所在企业的信息系统非常复杂，要把这些复杂的对象糅合在一起，该是怎样一片乱局啊？李强不禁发起愁来，究竟由谁来进行审计更合适呢？李强（备注，“本文人物均为化名”）的担心不无道理。要知道，一款产品能否真正发挥作用，除了产品本身具有优良品质之外，更主要的在于产品的使用者是否真的明白产品的价值，是否会把

18、它与自己的网络环境、应用环境、人文环境真正地匹配好。国都兴业技术专家同样认为，要想真正做好IT审计工作，除了选择好的产品，还必须找到懂IT审计的人。为了使审计结论最大限度地接近被审计信息系统的真实情况，审计师应该尽可能地减小审计风险，但审计力度直接影响评估IT控制的准确度，审计力度越大，取证量越多，控制风险的误差越小，但是审计风险同时增大。因此，审计师需要有足够的经验在审计风险和控制风险中取得平衡，选择合适的审计取得强度，以确保人为因素对剩余风险的影响控制在被审计单位的风险容忍度范围内。事实上，IT审计是一个对从业者无论知识技能还是实际经验，要求均非常高的专业领域。我们知道，信息系统本身具有很

19、强的复杂性，当把多个复杂的对象糅合在一起，其结果势必像一团乱麻，因此要求梳理这团乱麻的人必须具备足够的素质才能获得期望中的结果，否则，结局只会是使眼前复杂的问题变得更加复杂。因此，IT审计师必须具备专业的能力和良好的素质，具备CISA资格认证，才能针对审计对象做出合理有效的评价。IT审计要求审计师必须以独立客观的身份执行审查。独立客观，强调IT审计师执行某项IT审计任务时，必须与被审计信息系统不存在任何的利益关系，既包含不参与（包括不曾参与）信息系统生命周期的有关活动，也包含不涉及被审计信息系统的业务和经济利益。原因很简单，IT审计师作为第三方人员，负责检查信息系统情况，具有比较大的权限，如果

20、IT审计师与信息系统业务有关，则无法排除IT审计师利用其拥有的高权限，对业务信息进行修改，或者隐藏系统中的部分漏洞，以便窃取机密为自己谋利这一系列行为的发生，哪怕只是发生其中的一件，也足以让企业蒙受巨大的损失。当IT审计师以不独立于被审计对象身份执行审计任务时，带给被审计组织的价值就会发生变化，不但无法保证其针对信息系统使用和维护过程中相关控制有效评价，促进组织管理结构和控制框架完善，而是组织产生高系数的IT风险。解决了心中所有的疑团，为了避免再次发生核心信息被窃的现象，为了找出更多的系统漏洞和被忽略的角度，李强已经决定使用IT审计产品了。国都兴业专家最后提醒您：“如今，信息系统已经渗入到企业业务流程的各个环节，信息系统的安全、可靠、效果和效率直接决定着业务发展的速度，任何一个环节的错误或失败，都可能给企业带来巨大的经济损失，甚至给企业带来灭顶之灾。因此，信息系统生命周期内任何一个环节以及系统各个层面上的IT控制在设计和执行上的安全性、可靠性以及效果效率都至关重要，IT审计工作的开展也刻不容缓！”