三、IT審計實施的必需困素

 

　　1、提高IT審計人員的意識

 

　　做信息化并不難，難得對于企業(yè)老板對于信息化的看法和理解程度，同樣，對于IT審計也是一樣的道理，我們知道IT審計的職能來劃分主要是兩方面， 內(nèi)審和外審。

 

　　外審主要參照第三方咨詢機構來幫助企業(yè)IT部門進行信息系統(tǒng)審計， 如中國人民銀行早在2000年時候就開始了IT審計，在2004的時候就邀請ITGov中國IT治理研究中心（簡稱ITGov）對來自全行各分支機構的40名內(nèi)部審計人員參加了為期4天的信息系統(tǒng)審計培訓，強化信息系統(tǒng)審計中理論與實踐的結(jié)合，全面提升了信息系統(tǒng)審計人員的綜合素質(zhì)。而內(nèi)審，主要在企業(yè)內(nèi)部成立于IT審計部門，這個IT審計部門不屬于IT部門也不屬于業(yè)務部門，它是一個單獨的部門，用以審計企業(yè)的信息系統(tǒng)。  做好IT審計需要提高企業(yè)對于審計的認識。企業(yè)的管理不僅要對于外審了如指掌，還要對于企業(yè)的內(nèi)審尤期是IT的內(nèi)外審都要所有了解 ， 做不到精通階段 ，但必須要處于了解的階段。從CIO的角度來看，同樣也是相似的道理，必須要去對于IT審計要有一個清晰的認識,只有對于IT審計在意識和思路上認識了，才能做好IT審計的第一步。

 

　　“在技術層面，沒有實現(xiàn)不了的關健是審計意識的提高”業(yè)內(nèi)某著名的IT審計專家指出， 同時他強調(diào)IT審計重點要把握“三大關”：

 

　　第一、人員因素都直接影響IT審計的效果，這是IT審計的關鍵也是根本。

 

　　第二、IT風險管理。

 

　　第三、IT本身審計。

 

　　2、找準IT審計定位點

 

　　做好IT審計并不難，資料顯示，大多數(shù)的IT審計師認為，做好信息系統(tǒng)審計就是要找好企業(yè)信息系統(tǒng)的切入點或者叫做定位點。我們知道任何系統(tǒng)都有漏洞，從程序員開發(fā)設計到業(yè)務的應用信息系統(tǒng)不可避免的會遇到各種各樣的問題。對于CIO來講在配合企業(yè)IT審計部門做IT審計前要首先自身檢查信息系統(tǒng)存在的的問題，然后，在做系統(tǒng)開發(fā)或者項目時，按照Cobit IT治理框架、Iso1335、Iso27001，、COSO、ITIL等來提高信息系統(tǒng)的可用性。

 

　　實踐證明，IT審計必須符合科學、獨立、審慎的精神。CIO要進行認真細致的工作安排，從審計的實際目標出發(fā)，選擇實用的方法，依據(jù)相關的國際IT審計準則開展相關工作，通過長期的、持續(xù)的改進，強化IT風險控制能力，最終降低經(jīng)營風險。