10种方式帮你最大限度利用IT审计

ZD至顶网CIO与应用频道 12月29日 专栏：不管你喜欢与否，每个人都得留着预算，并定期进行IT审计。但是仍然有一些创造性的方法最大限度利用你的IT审计开支。这里有10种方法。

1、用最佳实践收紧政策和程序

审计公司和数千家企业合作，他们了解新法规和合规性要求。在很多情况下，这些公司制定策略模板和流程，当你与他们合作的时候他们愿意与你分享。这会简化你自己的策略和流程制定，因为一开始你就从审计师那里拿到了通用的“最佳实践”模板。

2、提高你的非正式审计能力

如果你希望提高你自己的内部审计能力，那么一个良好的开端就是，让你员工中那些负责审计的人直接在现场与审计公司工作。这是让你的员工获得最佳实践培训和知识的绝佳方法。

3、了解新的安全威胁和安全技术

你的外部审计公司深谙新的和即将出现的安全威胁，以及如何应对这些威胁。花一些时间和他们就这些问题进行交流，这将是很宝贵的。

4、与其他小公司分享审计费用

审计是很昂贵的，尤其当你是一家小公司的时候。降低开支的途径之一，就是与其他那些面临相同处境的小公司合作，看看你们是否可以达成一揽子协议，从审计公司那里获得折扣价，以换取跨多个公司的约定。

5、将审计建议与厂商SLA审查和谈判联系起来

很少有企业有时间去升级他们与厂商签订的SLA，因为技术和行业趋势是不断变化的。最佳的SLA策略是每年定期审查与关键厂商的SLA，在需要的时候对SLA进行更新。你的审计人员是在这个流程中贡献意见的极好人选，因为他们平时会看到很多不同的公司和供应商。

6、利用审计建议实现对数据保留和数据获取合规的定期审查

每年重新检查数据保留和数据访问策略对于与最终用户打交道的IT来说是最难的事情之一。主要原因是人们都很忙，审查信息存储多长时间、或者谁访问了这些信息，并不是高优先级的事情。然而，如果你让审计员来审查数据保留/数据访问并提出建议的话，那么这个事情至少要每年都做，而且是他们必须要做的，这样你会在提交给公司董事会以及高层的最终报告中了解各项需求。

7、分清数据、报告和系统的“休眠池”

因为TI设计会调查数据存储和控制点，所以审计是找出哪些数据或者IT资源（例如报告或者系统）是休眠的/未使用的理想机会。利用这个机会建议根据审计报告的结果去清理这些资产。

8、审计现场办公

让现场办公数据和安全做法符合法规，要比在总部做这些难得多，因为这些办公环境远离最新控制机制。作为审计的一部分，你将需要把多这些办公环境的审计也包括其中，确保你在现场办公条件下对IT的管理是和在总部一样的。

9、邀请你的审计员向董事会就审计与安全趋势进行报告

让审计员来向董事会汇报可能是令人崩溃的，但是这个向董事会提出安全难题的机会是非常关键的。这将会为你未来可能需要向董事会呈现的合规性和安全/隐私问题铺平道路。

10、向法律顾问简要介绍审计结果

法律的步伐总是滞后于技术的。如果你的审计员向你汇报了新的合规性、隐私、安全趋势和安全法规，一定确保不仅与你的员工、董事会以及高层分享了这些信息，而且还有你的法律顾问。