新管理

作者：許曉鷺

信息係統已成為現代社會中不可缺少的基礎設施。在為人們提供便利、滿足社會服務需求的同時，信息係統自身的結構和功能也越來越複雜。對信息係統的錯誤操作、濫用和不正當使用，給社會帶來了巨大的經濟損失。為應對信息係統風險，確保其服務價值得以體現，必須對信息係統的安全性、投資效果、實施進程和實施效果進行評估、指導和改進，即IT審計（Information Technology Audit，或稱IT監查）。

IT審計：

本世紀最重要的審計領域

從財務審計到IT審計

IT審計是指根據公認的標準和指導規範對信息係統及其業務應用的效能、效率、安全性進行監測、評估和控製的過程，以確認預定的業務目標得以實現。IT審計是獨立於信息係統本身、信息係統相關開發、使用人員的第三方——IT審計師采用客觀的標準對信息係統的策劃、開發、使用維護等相關活動和產物進行完整、有效檢查和評估。

從企業經營和管理角度來看，審計包括：財務審計，指針對於企業財務問題的審計；管理審計，指針對企業管理行為的審計；IT審計，指針對企業信息係統進行的審計。IT審計並非獨立於財務審計和管理審計之外，而是與後兩者密切相關的第三大審計領域。在財務審計中，既要保證會計報表等財務信息真實可靠，還要保證軟、硬件係統同時可靠，這就涉及IT審計的內容。同樣，在管理審計中，如對環境管理的審計，同時要求對企業的生產工藝與生產技術進行審計，也涉及IT審計的範疇。

可以說，審計領域經過了財務審計一統天下，到管理審計與財務審計並存，再到IT審計與前兩者並駕齊驅的過程。隨著信息係統的廣泛應用，IT審計將成為21世紀最重要的審計領域。

五類審計涵蓋生命周期

IT審計強調對信息係統軟、硬件的審計，注重對信息係統整個生命周期的審計，包括信息係統的所有活動和中間產物，以及信息係統實施相關的外部環境等。按照信息係統的生命周期，可將IT審計分為業務計劃審計、業務開發審計、業務執行審計、業務維護審計和共通業務審計五類。

1.業務計劃審計

對信息係統的設計規劃、投資可行性、信息係統與公司戰略的相關性、計劃可行性、係統完整性和正確性等進行審核和驗證。

2.業務開發審計

注重對信息係統開發環節的審查，包括對開發人員的活動、信息、中間產物進行審核，確認這些活動、信息和中間產物的規範性、有效性和對於信息係統目標的針對性。

3.業務執行審計

確認與信息係統運行相關的數據、軟硬件、安裝環境等是否符合信息係統的運營要求，同時對信息係統的功能、性能、易用度、可操作性等進行評估。

4.業務維護審計

對信息係統的維護活動和維護結果實施審核和評價，發現在維護中可能出現的各種漏洞和信息係統維護中亟待改善的問題。

5.共通業務審計

涉及文檔管理、進度管理、人員管理、采購管理、風險管理等，檢查這些過程的規範性和有效性，並提出改良建議。

IT審計的內容

按國際上通行的規範，信息係統審計有6個方麵主要內容：評估信息係統計劃、管理及組織架構的戰略、政策、標準及相應的實踐過程；評估技術基礎設施及運行實踐的效能和效率；評估信息資源在邏輯訪問、運行環境以及IT基礎設施各方麵的安全性；評估係統災難恢複及保證業務連續性的能力；評估業務應用係統開發、實施與維護的方法和過程；評估業務流程的風險管理水平。

IT審計不僅對技術基礎設施、業務應用係統的安全性、可靠性進行全麵的監測，同時也對信息係統的組織結構進行審查，並以確保係統的安全性和災難恢複能力為基礎。因此，IT審計對IT審計從業人員提出相當高的要求，IT審計師必須具備相當廣泛的基礎知識、專業技巧和實踐經驗。

重視並穩步推進IT審計

IT審計在我國才剛剛起步

目前，我國IT審計的發展尚屬初期。20世紀90年代後期，信息係統控製與審計思想傳播到我國，2002年6月，國際信息係統審計與控製協會（Information System Audit and Control Association，簡稱ISACA）在我國舉辦了首次注冊信息係統審計師（CISA）資格考試，與信息係統控製與審計相關的概念、技術、實踐才慢慢引入我國。