CIO如何做好信息系统的审计

　　信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。从该定义可以看出，其审计内容及方法是通过对系统内部控制的审计，来判断和评价系统的安全性、完整性、效果和效率等方面。那么在内控背景下CIO应该如何做好基于内控的信息系统呢？

　　1、明确信息系统的审计目标

　　做内控不是CIO一个人的事情，但信息系统的建设还需要CIO来落实，那么企业的CIO如何来做好信息系统的审计呢？在内控的背景下一定要确定信息系统的审计目标，要达到什么样的效果，怎么来做，信息化前期要有一个总体的规划蓝图，遵照内功的要求结合企业自身的特点，制定出一套符合内控要求及企业自身战略的目标体系，只有明确了信息系统要做的目标，做出的内控信息系统符合标准。

　　2、根据目标选择重点区域及确定信息系统审计的具体范围；

　　当信息系统的目标建立以后，CIO所要做的工作就是分解目标，选择企业目前最为关注的区域 如企业的业务流程管理,做内控的根本目上的之一就是优化企业的流程管理，而IT的入手点，将从流程管理入手更为切实。那么， CIO的重点在流程控制系统上下“功夫”，做出一套符合内控要求的业务流程管理系统 。

　　3、借鉴跨国公司经验，遵循COBIT，加强信息系统优化；

　　CIO在做信息系统时，可多参照跨国公司信息系统建设的经验，同时也可以参考国内的上市企业，参观并学习他们的基于内控的信息系统是如何来做的，同时，在做信息系统时也要参照国际上的COBIT，从信息系统的建立初期如是规划、实施、治理等方面做好，将IT过程，IT资源与企业的策略与目标（准则）联系起来，形成一个三维的体系结构。用以把信息系统更好的在企业内控中发挥作用。

　　4、整合内部控制相关的IT系统并进行流程优化。

　　经过近几年企业对于法规的认知，企业开始考虑如何将各种与内部控制相关的IT系统进行整合，而整合的关键仍然是流程的整合。绝大多数的企业级IT应用系统均是基于流程的需求而开发，但是每套IT系统所对应的业务流程由于当初系统实施的各自为战，缺乏良好的接口整合与描述标准化。企业内控管理部门为了更好的管理众多的基于流程的风险与控制，必须寻找一个统一的平台实现与各个IT系统所对应流程描述的衔接。因此，信息系统的设计阶段一定要符合企业的业务流程。

　　同时，如何在发现风险控制缺陷的基础上进行业务流程改进，如何监控新建IT系统的流程合规与流程绩效，如何满足企业日益增长的流程优化需要，都需要企业管理层在统一的信息系统管理流程平台层面进行规划与管理。

　　通过实践我们发现建立基于内控要求的信息系统，为企业高管层（CEO、CFO）、内控管理者、内控测试人员、审计人员、其他业务人员提供一个简单易用的内部控制活动管理平台。系统不仅能够在现阶段使公司在萨班斯法案及国内内控法规遵从过程中更好地达到对内部控制、记录、测试、整改、报告、披露和归档等方面的要求，减少手工操作，提高工作效率和工作质量，同时使各项工作有机地联系起来，在公司长期战略上改进内部控制和风险管理。

　　关于COBIT

　　　COBIT(Control Objectives for Information and related Technology) 是目前国际上通用的信息系统审计的标准，由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准，目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。

　　关于内控

　　《企业内部控制基本规范内控规范》被称为中国的“萨班斯法案”，2008年6月28日，由财政部、证监会、审计署、银监会、保监会联合发布，目的在于加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展。

　　根据规范，执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。 规范原定于去年7月1日起实施，但由于企业培训等准备工作没有做完等原因，这一规范的实施范围当时被缩小至境外上市的企业，境内上市企业的实行时间则推迟到了2010年1月1日。