国家审计署信息部门的领导表示，我国的IT审计目前经历了两个阶段，先是借助计算机等数字化工具辅助对企业业务进行审计的辅助审计阶段，后来随着信息系统的发展，逐步形成了专门针对信息系统的审计工作。

从目前的状况来看，我国的IT审计发展水平不均衡。信息系统依赖比较高的行业，如金融、能源、资产管理等重点行业和大型央企，如银监会、人民银行等，不仅对 其审计的监管要求比较高，其自身的审计水平也比较高。而许多信息系统依赖程度较低或业务相对来说对国计民生不那么重要的企业，基本没有实施过IT系统审计 也很少有此需求。相信随着信息化发展的深入，IT审计工作的规范，这种不均衡的状态会逐渐改善。

“随着信息化发展的深入，工作的规范，IT审计不均衡的状态会逐渐改善。”

另外，国家审计署近两年来在IT审计方面做了几项重要的规划和指导工作。2010年，为使审计机关检查信息系统相关审计事项有所遵循，国家审计署在总结各地 经验的基础上，下发了《关于印发检查信息系统相关审计事项指导意见的通知》。2012年，为进一步指导和规范国家审计机关组织开展的信息系统审计活动，提 高审计效率，保证审计质量，审计署印发了《信息系统审计指南－－计算机审计实务公告第34号》。

IT审计工作在银行业

国有大型银行的安全负责人表示，每家银行的组织架构中都有审计这个部门，这是金融或说银行业其业务性质决定的。然后这个行业对信息系统的依赖程度极高，基本 所有的业务都需要通过IT系统完成。如果没有IT审计，其他的审计工作几乎无法开展。所有的财务数据、业务数据、客户数据都通过系统来存储和使用，因此 IT审计不可或缺，是整个审计工作的一个重要组织部分。所有的大型银行即使没有建立专门的IT审计部门，也一定会有IT审计团队，分行则会有IT审计小组 或岗位。按照国内的监管要求，IT审计工作在三年内要覆盖到全国三十多个省市所有的分行机构。

“所有的业务行为、规范流程都需要第三只眼来监督。”

谈到银行业审计方式的特点，这位负责人表示，银行的IT审计类似于某些行政机关的垂直管理，某地区分行的IT审计工作是由总行来调配实施和考核评价的，从而 避免了本地机构带来的影响，保证了独立性原则。另外，对IT审计人员专业性的要求很高。随着新兴信息技术的飞速发展，IT审计人员除了审计知识以外，如果 没有相应的IT专业知识和背景，则几乎无法审计出信息系统中存在的问题。因此，总行会鼓励相关人员参加CISA、CISSP等国际认证的资格考试，并在某 些岗位设置资质门槛，从而提高IT审计水平，保证了国际金融业务的交流与合作。

针对IT审计人才建设与培训这 个话题，谷安天下首席顾问、知名CISA讲师陈伟接受了安全牛的采访。陈伟先生在采访中表示，当前企业中实施IT审计的人员许多是由传统的审计人员转行， 缺乏对信息化的深入了解， IT方面的知识技能普遍不足。另一部分IT审计人员是从IT部门转行过来，他们虽然有IT的背景，但对审计方法缺乏了解。国内IT审计人员由于在理论方法 和知识技能方面的先天不足，造成IT审计质量达不到企业IT风险控制的要求。

IT审计不同于传统的安全检查，IT审计对象应针对组 织信息化过程中的重要控制来进行，而国内许多企业对信息化中重要控制是什么还没有清醒的认识，往往只关注制度合规、网络安全等内容；对IT治理、总体架 构、业务需求、数据安全、外包安全等内容缺乏深入的审计；审计过程中多以访谈及文件检查为主，缺乏客观性较强的技术取证及量化评价方法。

 “当前对IT审计人员的专业培养尤为重要。”

因此，当前对IT审计人员的专业培养就显得尤为重要。对IT审计人才的培养一方面是要加强IT审计方法的培训。IT审计人员要了解IT审计的基本原理，掌握 现场IT调查取证的方法，具备通过所获得的证据对IT控制的存在性和有效性进行分析判断的能力； 另一方面，要加深IT审计人员对企业信息化的认识，只有深刻理解信息及信息系统对企业在不同发展阶段的作用，才能对企业IT控制的有效性做出合理的判断， 为管理当局提出与时俱进的建议，以促进企业信息化的健康发展。

－－－

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛！