IT审计重磅会议：国会大讲堂之内部审计

由北京国家会计学院、中国内部审计协会主办，谷安天下、北京市内部审计协会等单位协办的“国会大讲堂”第1讲——内部审计专题，于上周正式在北京国家会计学院开讲。

此次内部审计专题的主题是：数字经济时代下的内部审计转型。安全牛小编特地前往审计大牛云集的会场听讲学习，并将部分演讲嘉宾核心观点整理如下。

一、《中国新经济审计新机遇》

北京国家会计学院党委书记、院长 秦荣生

目前数字经济正处于数字化转型阶段，数据已成为驱动经济增长的核心生产要素，而大数据也正成为新的国家核心资产。同时，数字基础设施也将成为新的国家基础设施。

《关于深化国有企业和国有资本审计监督的若干意见》中提到，数字经济下的审计新模式，要建立健全联网审计制度和大数据审计工作机制。建议包括：

• 实施联网审计，审计全覆盖，实时监控，提高审计效率；
• 建设云审计平台，关注于看到问题而不是寻找数据；
• 实施大数据审计，审计证据收集有内部向外部发展；
• 实时审计智能化，根据已有结果深度学习，发现未知问题；
• 实时虚拟现实和区块链自主审计，降低审计成本。

二、《面向数字经济的审计人才培养》

ISACA总裁CEO Matt Loeb

Matt Loeb

最近一次ISACA对全球超过1000名专业IT审计人员的年度调查显示出企业高管的IT审计的重视程度日益加大，IT审计的工作由企业首席审计官(CAE)直接负责，大多数IT审计人员参与企业的重点技术项目，并负责审计风险评估工作。而审计专业界本身也越来越重视采用信息技术改进内部审计工作，推动企业业务增长。

同时，个人隐私数据的保护、网络安全合规和风险承担常规化，都需要企业审计部门、IT部门、人力资源和相关业务等部门的积极全面参与。审计的目的是合适控制措施是否到位，以及其能够有效降低和资产相关的风险。在提高审计工作的曝光率方面，可以通过扩大IT以外诸如云、移动、社交等技术的采购和运营，更多的董事会及高管接触，以及加大对重点项目如供应链风险分析与审查的参与来实现。不仅如此，审计工作还将越来越偏向风险管理，而采取基于威胁情报的方法也将更为重要。

在审计人才培训方面，将根据审计人员和企业的需求，使得审计工作更加灵活，并加深对技术的理解，以支持企业网络安全评估等工作；而大数据分析、区块链等技术的参与，也会发挥更好的作用。同时，帮助企业评估技术应用状况，尤其是关键技术的表现，以及其可能存在的提高的机会和不继续提高可能带来的风险。

三、《数字经济时代下的IT审计模式创新》

谷安天下CTO ISACA中国区专家 陈伟

陈伟

我国企业数字化水平尚处于起步阶段，对于风险的把握，需要精准认识。IT审计之前更关注合规和信息安全，但数字化转型阶段，还需要关注其它内容。企业需要灵活的IT基础架构、自适应的安全、数据分析、支持业务创新等能力，以应对IT治理、IT架构、信息安全等风险。

1. IT风险控制的新变化

Gartner在2016年的一项研究表明，管理层对企业数字风险管理的关注度在提高，其中77%调查对象表明其公司的数字业务将引入新的风险类型和风险等级。同时企业IT风险控制的方法也在演变。包括：

• 技术设施防护->业务安全
• 保卫者->服务者
• 防护->检测&响应
• 技术为核心->以人为本
• 信息保护->数据流控制
• 合规检查->风险导向

IT风险控制，在横向上要扩展到全方位的数字风险管理，包括企业数字化战略风险、IT治理风险、面向客户的产品研发与运营凤县、数字业务流程/数据风险、新技术安全风险等，纵向上则要促进与数字业务同步规划、同步设计、同步运行的内嵌风险控制。

2. IT能力培养的思路变化

在IT能力培育思路上，要更加关注灵活、弹性和安全的IT能力，包括：

• 战略快速决策
• 需求（不只客户，还包括系统需求和需求的跟踪评价）有效把握
• 项目快速实施
• 系统部署与服务
• 自适应信息安全
• IT投资管理

而IT对数字化业务的支持，则更关注其在数据分析、客户体验、数字营销与数字运营这四个方面的能力。

3. IT审计新模式的定位与开展

新时期下，IT审计的定位和关注点，也将从传统的信息/系统运维安全和合规审计，转向从管理者的视角出发（不再是发现问题免责），具有风险和价值导向、关注企业数字化战略，IT治理机制优化和能力提升，并试图在IT风险控制、价值创造和资源利用三者间找到平衡点的新时期IT审计。

IT审计的开展，可以遵循新环境下的IT控制框架，包括：机会识别与战略制定、数字化业务和产品规划、业务运营与IT服务模式设计、技术架构与资源配置、数字化产品研发与投产、数字化产品运营与监测、互联网安全控制、IT组织与人力管理等。

特别强调，要善于利用外部威胁情报数据资源通过大数据分析手段辅助实施新型IT审计，进行风险的评估与量化评价，并在此基础上建立监测和通报机制，推动组织的风险监督与整改工作。

四、《建行IT审计实践分享》

中国建设银行审计部处长 王卫东

银行对IT应用广泛，IT风险不仅能让银行突然死亡，还可能带来灾难性的影响。

在IT审计能力方面（即“内功”），知识，例如IT审计基础知识（CISA课程内容）以及管理和高层的IT治理知识(COBIT)是所有的基础，逐层往上包括认知、查证、分析、沟通和表达。而中间一层是IT操作，也就是技术能力，包括对基础设施、系统开发、系统运维、安全管理、应用系统等方面的技术技能。知识需要与IT操作互动。而在IT管理类专业化建设方面，主要包括IT架构、物理和环境安全、远程通信和网络安全、操作系统安全体系结构、项目开发及应用程序安全、业务连续性、系统运行维护等。

在IT审计“招式”方面，则包括建行的IT审计规范体系、IT审计测试库、基于流程的审计方法（流程识别->流程能力分析->流程初评估->测试方案->审计测试->流程评价->报告）、审计管理工具（全审计流程管理平台）。

建行认为IT审计有三个层次的目标，最底层是“发现”，即发现问题和风险；中间一层是“鉴证”，即对信息系统的可用性、可靠性、安全性和有效性进行测试和评价；而最上面一层是“咨询”，即通过IT治理、流程管理、技术/应用架构实现对业务的有效支持。

随着审计模型的建立和自动化分析的实现，审计工具在不断演进，发现的问题也越来越多，但真正得到解决的却很少。审计过程往往因为忽略了流程、岗位和人，没能找到真正的原因和合适的解决办法。所以目前建行在往现场审计回顾，并要求审计人员在审计前充分了解审计对象、流程和管理层的风险偏好等信息。0day