企業(yè)如何進(jìn)行信息系統(tǒng)的審計(jì)

1.信息系統(tǒng)審計(jì)的定義

信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整，以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過(guò)程。由于信息技術(shù)在經(jīng)營(yíng)、管理領(lǐng)域的廣泛運(yùn)用，信息系統(tǒng)審計(jì)已經(jīng)貫穿在各種審計(jì)之中，成為審計(jì)全過(guò)程的一部分。

信息系統(tǒng)審計(jì)是一種控制信息系統(tǒng)風(fēng)險(xiǎn)的有效方式，它是從獨(dú)立的、第三方的角度來(lái)審視信息化過(guò)程中的各種風(fēng)險(xiǎn)，合理地鑒證被審計(jì)單位信息系統(tǒng)及其處理、生產(chǎn)的信息的真實(shí)性、完整性、可靠性，以及政策遵循的一貫性，并可對(duì)IT的績(jī)效進(jìn)行審計(jì)，以發(fā)現(xiàn)偏離，促進(jìn)及時(shí)進(jìn)行調(diào)整。

信息系統(tǒng)審計(jì)作為新興的職業(yè)和學(xué)科體系，近年來(lái)逐漸升溫，獲得信息系統(tǒng)審計(jì)師資質(zhì)認(rèn)證的專(zhuān)業(yè)人員也在快速增加，顯示了信息系統(tǒng)審計(jì)的發(fā)展需求，美國(guó)等發(fā)達(dá)國(guó)家很早就開(kāi)展有獨(dú)立資格的第三方進(jìn)行的信息系統(tǒng)審計(jì)，建立了完善的信息審計(jì)制度。從國(guó)內(nèi)信息化建設(shè)的現(xiàn)狀及對(duì)信息安全的實(shí)際需要來(lái)看，我國(guó)企業(yè)也開(kāi)始接受信息系統(tǒng)審計(jì)理論。

中國(guó)人民銀行支付與科技司司長(zhǎng)陳靜指出：“信息安全越來(lái)越成為銀行信息化建設(shè)與管理中需要密切關(guān)注的問(wèn)題。企業(yè)對(duì)信息安全的重視程度和資金投入，將逐漸從單一的產(chǎn)品和技術(shù)向整體解決方案過(guò)渡，同時(shí)從封閉式的設(shè)計(jì)、實(shí)施與管理，不斷與完善的、具有適當(dāng)資質(zhì)的、獨(dú)立的第三方審計(jì)相結(jié)合，這是未來(lái)發(fā)展的一個(gè)趨勢(shì)。

2.信息系統(tǒng)審計(jì)的內(nèi)容

對(duì)銀行信息系統(tǒng)進(jìn)行審計(jì)的內(nèi)容主要集中在以下幾個(gè)方面：

·對(duì)信息系統(tǒng)的管理、規(guī)劃與組織的審計(jì)--評(píng)價(jià)組織信息系統(tǒng)的管理、計(jì)劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。

·對(duì)信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)的審計(jì)--評(píng)價(jià)組織在技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)的管理和實(shí)施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標(biāo)。

·對(duì)信息資產(chǎn)的保護(hù)的審計(jì)--對(duì)邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià)，確保其支持組織保護(hù)信息資產(chǎn)的需要，防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。

·對(duì)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃的審計(jì)--這些計(jì)劃是在發(fā)生災(zāi)難時(shí)，能夠使組織持續(xù)進(jìn)行業(yè)務(wù)，對(duì)這種計(jì)劃的建立和維護(hù)流程需要進(jìn)行評(píng)價(jià)。

·對(duì)應(yīng)用系統(tǒng)開(kāi)發(fā)、獲得、實(shí)施與維護(hù)的審計(jì)--對(duì)組織業(yè)務(wù)應(yīng)用系統(tǒng)的開(kāi)發(fā)、獲取、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評(píng)價(jià)，以確保其滿(mǎn)足組織的業(yè)務(wù)目標(biāo)。

·對(duì)IT相關(guān)業(yè)務(wù)流程的審計(jì)--評(píng)估組織業(yè)務(wù)系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務(wù)目標(biāo)對(duì)相應(yīng)風(fēng)險(xiǎn)實(shí)施管理。

·與信息安全相關(guān)的人力資源管理的審計(jì)--評(píng)估與安全相關(guān)的人力資源管理政策、程序、實(shí)務(wù)，以及”信息安全，人人有責(zé)“的企業(yè)文化。

信息系統(tǒng)審計(jì)工作可以分為兩大類(lèi)：一種是組織自行完成的內(nèi)部審計(jì)，內(nèi)部審計(jì)的主要目的是檢查組織各部門(mén)對(duì)安全保障制度的遵守情況，要保證內(nèi)部審計(jì)師在他們能自由地和客觀地進(jìn)行工作時(shí)是獨(dú)立的，獨(dú)立性可使內(nèi)部審計(jì)師提出公正和不偏不倚的判斷意見(jiàn)。信息系統(tǒng)審計(jì)執(zhí)行主管應(yīng)該對(duì)審計(jì)委員會(huì)、董事會(huì)或其他治理機(jī)構(gòu)報(bào)告業(yè)務(wù)工作，向機(jī)構(gòu)的首席執(zhí)行官報(bào)告行政工作。另一種是由會(huì)計(jì)師事務(wù)所或?qū)I(yè)技術(shù)服務(wù)提供商完成的外部審計(jì)。外部審計(jì)通常是因?yàn)樯鲜小⒉①?gòu)、年終檢查或其他法規(guī)的要求而進(jìn)行，一般都很正規(guī)，也非常深入。進(jìn)行信息審計(jì)的受托方應(yīng)當(dāng)獨(dú)立于委托方，以保證信息系統(tǒng)審計(jì)的客觀性與公正性。

3.信息系統(tǒng)審計(jì)的過(guò)程

1）調(diào)查

該審計(jì)步驟用來(lái)將控制目標(biāo)下的相關(guān)活動(dòng)用文檔記錄下來(lái)，對(duì)組織聲稱(chēng)已實(shí)施的控制措施與程序進(jìn)行識(shí)別，并且確認(rèn)其存在。

與相關(guān)的管理者和員工進(jìn)行會(huì)見(jiàn)，以理解：

·業(yè)務(wù)需求好相關(guān)的風(fēng)險(xiǎn)。

·組織結(jié)構(gòu)。

·角色和職責(zé)。

·政策和程序。

·法律和法規(guī)。

·已有的控制措施。

·管理報(bào)告（狀態(tài)、性能、行動(dòng)項(xiàng)目）。

用文檔記錄與過(guò)程相關(guān)的IT資源，特別是那些被審計(jì)的IT流程所影響的IT資源。確認(rèn)理解了審核的過(guò)程、過(guò)程的關(guān)鍵性能指標(biāo)（KPI）、實(shí)際的控制狀況。例如，可以通過(guò)對(duì)過(guò)程的抽查來(lái)進(jìn)行了解。

2）評(píng)價(jià)控制

該審計(jì)步驟用來(lái)評(píng)估當(dāng)前已有控制措施的有效性或達(dá)到控制目標(biāo)的程度，主要是決定測(cè)試什么、是否測(cè)試及如何測(cè)試的問(wèn)題。

通過(guò)對(duì)比已確定的標(biāo)準(zhǔn)及行業(yè)最佳實(shí)踐、控制方法的關(guān)鍵成功要素（CSF）和利用審計(jì)師的職業(yè)判斷，來(lái)評(píng)價(jià)待審核過(guò)程所應(yīng)用的控制措施的適宜性。

·存在已文檔化的過(guò)程。

·存在適宜的輸出。

·職責(zé)和責(zé)任是明確的、有效的。

·在必要時(shí)，存在補(bǔ)償控制。

·對(duì)實(shí)現(xiàn)控制目標(biāo)的程度做出結(jié)論。

3）評(píng)估符合性

該審計(jì)步驟用來(lái)確定已建立的控制措施是按組織規(guī)定的方式，持續(xù)地、一致地在起作用，并且對(duì)控制環(huán)境的適宜性做出結(jié)論。

·得到所選項(xiàng)目和階段的直接或間接的證據(jù)，使用直接和間接的證據(jù)來(lái)保證待審核的項(xiàng)目和階段一直遵守相關(guān)控制程序的要求。

·對(duì)過(guò)程輸出結(jié)果的充分性進(jìn)行有限的審核。

·為了證明IT流程是分的，確定需要進(jìn)行實(shí)質(zhì)性測(cè)試的程度和其他需要進(jìn)行的工作。

4）證實(shí)風(fēng)險(xiǎn)

該審計(jì)步驟通過(guò)使用分析技術(shù)和可選的咨詢(xún)資源，證實(shí)控制目標(biāo)沒(méi)有被實(shí)現(xiàn)時(shí)所帶來(lái)的風(fēng)險(xiǎn)。目標(biāo)是支持其審計(jì)判斷，并督促管理者采取行動(dòng)。審計(jì)師要?jiǎng)?chuàng)造性地尋找和提出通常是敏感的和機(jī)密的信息。

·用文檔記錄下控制弱點(diǎn)及其引起的威脅和漏洞。

·識(shí)別并記錄實(shí)際的影響和潛在的影響，例如，利用因果分析的方法。

·提供比較信息。例如，通過(guò)基準(zhǔn)比較的方法。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。