IT审计应该在哪里发力？

国际信息系统审计协会(ISACA)和甫瀚咨询公司最近发布的IT审计基准研究报告发现：大多数IT审计没有参与到...

近90％的受访者表示，他们在过去三年内实施了一个IT系统或应用程序，其中过程自动化和核心基础设施的改进是最常见的项目，远远超过涉及商业智能、客户用户界面和协作的计划。在所有地区，受访者表示大多数项目都是成功的。但是，报告引用了麦肯锡咨询公司和牛津大学的一项研究，发现IT项目平均超过预算45％，超过预计时间7％，而实现的价值只有承诺的56％。

在最大的公司中，IT审计参与到IT项目的71%。问题的关键是他们最有可能在项目结束时参与。虽然43％的受访者表示在IT审计规划阶段参与项目，但是65％参与了实施后即通常是评估项目的完成情况。在执行大量工作时，IT审计不太参与设计、测试和实施。

ISACA主席Christos Dimitriadis说，“组织在项目早期而不是下游参与IT审计，有机会从IT项目中挖掘更多的价值。”希腊游戏技术公司Intralot的信息安全集团总监说，“凭借在前端坚实的基础保证，组织可以有信心创新并加速追求业务目标的步伐。”

除了实施后项目审查（51％），IT审计的主要项目评估了测试阶段（48％），项目治理（48％），项目风险管理计划（45％），系统开发生命周期（45％），数据转换过程（44％），项目成功措施与预期业务成果（41％），项目计划（41％）和项目需求（40％）的一致性。

26%的受访者认为最重要的风险因素是根据不断变化的业务需求更新项目目标和结果的频率。其他包括没有明确定义的目标（17％），没有正式评估的项目规格变化频率（14％），缺乏定义和记录的项目管理方法（13％），项目经理的能力和技能和团队（12％），以及项目团队的员工流动水平（7％）。



该报告指出，在组织内部提高IT审计的资质可以帮助其更多地参与项目。一个积极的迹象是55％的受访者表示他们组织的IT审计主任定期出席董事会会议，去年该比率仅有49％。甫瀚咨询的IT审计实务总经理Gordon Braun说：“审计委员会成员特别是那些正在寻求对关键IT风险和控制获取更大保证的，内部审计和IT审计负责人必须准备好展示关键领域的审计覆盖面，并阐明最高风险在哪里。

报告发现，越来越多的首席审计执行官（CAE）能够为IT风险的提供保证。近四分之三的受访者表示，他们的组织的CAE有足够的知识与审计委员会讨论IT审计事宜。但是有些组织的IT运营缺少一些东西：IT审计风险评估。在所有接受调查的组织中，IT审计风险评估通常作为内部审计整体风险评估的一部分。综上，如果IT审计员参与其整个开发过程而不仅仅是后期完成阶段，那么IT审计师可以为IT项目的成功做出更多贡献。

    关注 首席审计官