内控条件下如何帮助CIO做好IT审计22.docx

内控背景下CIO如何做好IT审计随着市场经济的迅速推进，信息系统成为不少被企业内部管理与控制的关键工具。而同时，现阶段的《企业内部控制基本规范》以下简称内控已经开始正式实施，它将给CIO建设基于内控环境的信息系统带来新的机遇和挑战。有观点称，未来几年中，IT内控大大推动企业核心竞争力的现象也将逐步出现，或许这将帮助企业内控更好的落地，开始新一轮发展的过程中发挥出无法估量的作用。　　信息系统面临的风险分析内控中曾指出，要以信息系统来辅助整内控的执行和落地，那么企业内部控制信息系统的应用主要来源哪些方面的推动? 业内著名的内控专家曾指出：“企业内部控制信息系统的应用主要来自于两方面力量的推动。首先是外部需求特别是SOX法案颁布后加强企业内控对外报告需求的推动；其次是内部需求特别是企业加强风险管理、提高内控管理与整体流程管理水平需求的推动。”现阶段，国内现阶段基于内控背景下的信息系统不是很成熟，同时，因信息系统审计在国内起步比较晚，造成信息系统中企业存在许多的不足。主要分为：1、主观不足我们知道信息系统分按应用来划分分为两种类型一种关注企业的生产如MES，PDM等，另外一种如CRM等管理型的系统，信息系统最主要的功能是实现自动化，帮助管理者提高企业的效率，因此在人员方面，是信息系统存在的主要风险。如从信息部门的角度来看，数据库管理人员因操作把企业的数据丢失，企业CIO因失误导致信息系统崩溃等等一系列的因素，造成信息系统存在主观上的风险。内控的的主要根本是风险管控，而风险管控又侧重于人的管理，信息系统又起到管理监督的重要工具，因此，如果管理层于信息系统不是很重视，那么对于CIO来讲做内控将非常困难，同时，因人为的阻碍将使信息系统的利用率降到最低。2、客观不足在企业中CIO购买的软件或者硬件，任何产品都有它的缺点，这就造成企业无时无刻的存在着来自于IT方面的风险，比如企业的ERP系统、OA系统，因对于管理理解的不同，许多的ERP开发者更多的体现只是为了完成软件的的某种功能去开发，而没有完全去考虑软件设计开发的结构，这样导致整个产品存在着设计上漏洞，使企业的核心数据遭受具大的损失。除了在软件应用层方面，其它涉及到硬件、网络方面同样也存在安合隐患。这些客观的风险必然要需要CIO及外部人员加强对于信息系统的审计。内控环境下加强信息系统审计的必要性内控是为了提升企业的管理、效益、控制企业风险的重要规范指引。很多的企业认为，做内控给企业增加了负担、加大了企业开支，从短期的利益来看，做内控需要投入一定的成本，但是从长期的角度来析做企业内控是为了企业更有利更加健康的发展。换个角度来看，如果没有内控美国的安然事件、中国的安然事件将会再次上演，对于整个发展环境也会形成恶劣的影响，使企业在未来的运营中不能一个稳定、良好的环境。企业做内控是为了规范自己的风险管理，正如人的健康一样。如果“人”就是企业，那么内控就是“医生”，“医生”是帮助“人”检查身体，而不是去谋害“人”，而检查身体的一个重要工具——就是信息系统。“医生”只有借助工具，才能更好的查出病因。内控信息化的真实性、可靠性，保证信息的真实性可靠性是对信息系统内部控制的质量要求，信息系统是企业各种信息的载体，是信息循环运转的一个有机整体，离开这个系统，信息只是单个的符号，不能把信息所反映的真实内容整体性地呈现在信息使用者的面前。只有把一个个的信息符号真实完整的放进企业信息系统的这个循环环境，保证信息的连续性和可靠性，信息系统才有其存在的必要性。同样以这样的信息系统建立起来的信息系统内部控制才能反过来控制信息的真实性和可靠性，才能为信息使用者所接受。企业做内控，如果没有工具的支撑，首先在流程无法进行优化。内控的一个重要指标是对于企业不规范的流程变为优化的流程，但优化流程的过程当中需要信息系统来支撑，没有信息系统，强大的流程得不到有效的监督和管理，每走一步流程都很困难，甚至有可能要中断。因此，没有信息系统的内控在企业中很难做，同时也不符合内控的规定。CIO如何做好信息系统的审计信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。从该定义可以看出，其审计内容及方法是通过对系统内部控制的审计，来判断和评价系统的安全性、完整性、效果和效率等方面。那么在内控背景下CIO应该如何做好基于内控的信息系统呢？1、明确信息系统的审计目标做内控不是CIO一个人的事情，但信息系统的建设还需要CIO来落实，那么企业的CIO如何来做好信息系统的审计呢？在内控的背景下一定要确定信息系统的审计目标，要达到什么样的效果，怎么来做，信息化前期要有一个总体的规划蓝图，遵照内功的要求结合企业自身的特点，制定出一套符合内控要