IT审计是一项伴随企业成长的价值发现工程。希望《IT审计：管好信息资产》能帮助我们企业的董事会不断优化IT治理机制，审计部门和IT部门彼此发现价值，共同创造价值，助力企业持续健康成长。

——中治研（北京）国际信息技术研究院院长 陈天晴

《IT审计：管好信息资产》为我们金融行业审计部门、IT部门提供了很好的工作理念、方法、案例和参考工具。对于金融机构管理者来说，阅读本书是一次有益的价值发现过程。

——中国金融出版社纪委书记 韩国强

不断提高银行业信息资产质量，保障银行服务持续稳健进行，是我们开展IT审计工作的一个重要方向。《IT审计：管理信息资产》为我们在这个方向上的工作提供了有益的参考。

——银监会信息科技监管部副巡视员 陈天雄

IT审计是促进信息化建设、管好信息资产和提升IT治理水平的重要手段。希望这本书对我国农村中小金融机构信息化建设和风险管理有所帮助。

——农信银资金清算中心总裁 王耀辉

过去几年，我的学生《IT审计》（第1版）作为教材。他们背景不同，但都觉得非常受用。如今，第二版加入了针对云计算和虚拟环境等新的审计内容，我们都感到非常惊喜。我们认为本书作者能准确把握IT风险管理的实质，这是一本难得的IT审计教科书。

——得克萨斯州立大学达拉斯管理学院内审中心主任 Mark Salamasick

连载来了：）
如何建立有效的IT内部审计职能（连载一）
    以下内容摘自《IT审计：管好信息资产》一书：
 
如何建立有效的、可持续的IT审计职能和最大限度运用内部审计为企业发展带来价值是IT审计部门的使命。
    审计部门的真正使命；
    独立性的概念，以及如何避免错用这一概念；
    正式审计之外，如何通过咨询和早期参与为被审计单位带来更大的价值；
    如何通过协作关系的建立，提升审计效果；
    信息技术审计的角色，以及如何选择真正的重点；
    如何构建和保持一个有效的IT审计团队。
 
如何建立审计部门的使命
 
在你建立一个有效的内部审计部门之前，必须要首先认识到设立内部审计部门的目的。内部审计部门的价值何在？最终目标是什么？
 
你觉得审计的目的是发布报告吗？是发现问题，还是可以让别人难堪？是要彰显审计师有多聪明，还是要证明公司其他人有多么不诚实、不称职？
 
是因为你可以直接向董事会报告，就能向别人证明你有多能耐、多能干吗？
 
显然，这些都不是正确的答案。
 
但是，遗憾的是，你会发现许多（可能是大多数）内部审计部门所做的工作就像是对以上一个或几个问题的肯定回答。
 
许多审计部门将自己摆在了与公司其他部门对立的一面，而且始终都乐于将自己与其他任何人隔离开来。遗憾的是，这样的审计部门没有抓住其使命的本质，因为他们没有实现他们本应给企业带来的潜在价值。
 
大多数审计部门都是由企业的审计委员会（董事会的一个下属委员会）组建的，目的是为审计委员会提供独立的保证，保证内部控制已经到位，而且正在有效运行。
 
换句话说，审计委员会希望有一个客观的群体告诉他们企业内部“究竟在发生什么”。审计委员会希望自己可以信任的人揭示出所有拒绝服从内部控制的害群之马。内部审计部门通常直接向审计委员会主席报告工作，这或许让他们感觉自己有很强的优越感。
 
尽管上一段文字描述不够严肃，但是，事实上审计委员会的确将内部审计作为他们在企业内的耳目。审计委员会要发挥正常作用并且服务于企业的股东就必须要确保这一点。
 
此外，大多数企业的审计部门还向企业管理层报告工作，比如首席执行官或首席财务官。至此，你应该知道，高级管理层就像审计委员会一样，也密切关注企业内部控制的现状。
 
从IT的角度来说，审计委员会和高级管理层都希望找到如下问题的答案：
    “我们的防火墙真的安全吗？”
    “我们制定的与最大竞争对手协作并共享网络的计划给我们造成了安全隐患吗？”
 
这当然是审计部门需要承担的重要职责，但是，这并不是全部的职责。
 
仅仅是报告问题不起任何作用，只会让被审计人员感到难堪，被解雇，并且引起对审计人员的怨恨。
 
解决问题才能产生真正的价值，换句话说，报告问题只是实现目标的手段。也就是说，最终结果是为了改善企业内部控制的现状。
 
报告问题的目的是揭露问题，从而能够获得必要的资源和关注来解决问题。如果你仅仅告诉高管层企业最重要的数据中心存在安全漏洞，这可能因揭示他人的不足而提升了你的形象，但漏洞依然存在，企业依旧面临风险。
 
只有在安全漏洞被堵住的时候，你才真正做了一件给企业带来价值的事情（前提是企业在你审计之前还不知道这个漏洞，也没有计划弥补这个漏洞）。
 
因此，内部审计部门的真正使命是帮助改善企业的内部控制的现状。毋庸置疑的是，这一点是通过实施审计并且报告结果实现的，但是这些行为本身并没有提供价值。只有在解决内部控制问题的时候才产生价值。这是你形成审计方案的时候需要牢记的一个重要本质，特别是与审计对象打交道的时候。
 
注：内部审计部门的目标应该是提升内部控制的有效性，帮助企业制定具有成本效益的解决方案。这就要求将重点从“报告”转移到“提升价值”上面来。和其他任何部门一样，审计部门的目标是通过特定的专业技能为企业创造价值——这里的专业技能就是内部控制知识以及如何评估内部控制。
 
总之，IT内部审计部门的使命应该包括两个方面：
    为审计委员会和高级管理层提供独立的审计意见，即，企业的内部控制是否已经到位，而且有效运行。
    通过帮助企业发现内部控制的不足，促进内部控制水平提升，并制定基于IT风险结构和成本效益原则的解决方案，以改善信息时代企业内部控制现状。
    -----连载未完待续，敬请期待，团购 请 联 系 微信：itshenji