企業(yè)如何進(jìn)行信息系統(tǒng)的審計(jì)

1.信息系統(tǒng)審計(jì)的定義

信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù),以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整,以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過程。由于信息技術(shù)在經(jīng)營、管理領(lǐng)域的廣泛運(yùn)用,信息系統(tǒng)審計(jì)已經(jīng)貫穿在各種審計(jì)之中,成為審計(jì)全過程的一部分。

信息系統(tǒng)審計(jì)是一種控制信息系統(tǒng)風(fēng)險(xiǎn)的有效方式,它是從獨(dú)立的、第三方的角度來審視信息化過程中的各種風(fēng)險(xiǎn),合理地鑒證被審計(jì)單位信息系統(tǒng)及其處理、生產(chǎn)的信息的真實(shí)性、完整性、可靠性,以及政策遵循的一貫性,并可對(duì)IT的績效進(jìn)行審計(jì),以發(fā)現(xiàn)偏離,促進(jìn)及時(shí)進(jìn)行調(diào)整。

信息系統(tǒng)審計(jì)作為新興的職業(yè)和學(xué)科體系,近年來逐漸升溫,獲得信息系統(tǒng)審計(jì)師資質(zhì)認(rèn)證的專業(yè)人員也在快速增加,顯示了信息系統(tǒng)審計(jì)的發(fā)展需求,美國等發(fā)達(dá)國家很早就開展有獨(dú)立資格的第三方進(jìn)行的信息系統(tǒng)審計(jì),建立了完善的信息審計(jì)制度。從國內(nèi)信息化建設(shè)的現(xiàn)狀及對(duì)信息安全的實(shí)際需要來看,我國企業(yè)也開始接受信息系統(tǒng)審計(jì)理論。

中國人民銀行支付與科技司司長陳靜指出:“信息安全越來越成為銀行信息化建設(shè)與管理中需要密切關(guān)注的問題。企業(yè)對(duì)信息安全的重視程度和資金投入,將逐漸從單一的產(chǎn)品和技術(shù)向整體解決方案過渡,同時(shí)從封閉式的設(shè)計(jì)、實(shí)施與管理,不斷與完善的、具有適當(dāng)資質(zhì)的、獨(dú)立的第三方審計(jì)相結(jié)合,這是未來發(fā)展的一個(gè)趨勢(shì)。

2.信息系統(tǒng)審計(jì)的內(nèi)容

對(duì)銀行信息系統(tǒng)進(jìn)行審計(jì)的內(nèi)容主要集中在以下幾個(gè)方面:

·對(duì)信息系統(tǒng)的管理、規(guī)劃與組織的審計(jì)--評(píng)價(jià)組織信息系統(tǒng)的管理、計(jì)劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。

·對(duì)信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)的審計(jì)--評(píng)價(jià)組織在技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)的管理和實(shí)施方面的有效性及效率,以確保其充分支持組織的商業(yè)目標(biāo)。

·對(duì)信息資產(chǎn)的保護(hù)的審計(jì)--對(duì)邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià),確保其支持組織保護(hù)信息資產(chǎn)的需要,防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。

·對(duì)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃的審計(jì)--這些計(jì)劃是在發(fā)生災(zāi)難時(shí),能夠使組織持續(xù)進(jìn)行業(yè)務(wù),對(duì)這種計(jì)劃的建立和維護(hù)流程需要進(jìn)行評(píng)價(jià)。

·對(duì)應(yīng)用系統(tǒng)開發(fā)、獲得、實(shí)施與維護(hù)的審計(jì)--對(duì)組織業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)、獲取、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評(píng)價(jià),以確保其滿足組織的業(yè)務(wù)目標(biāo)。

·對(duì)IT相關(guān)業(yè)務(wù)流程的審計(jì)--評(píng)估組織業(yè)務(wù)系統(tǒng)與處理流程,確保根據(jù)組織的業(yè)務(wù)目標(biāo)對(duì)相應(yīng)風(fēng)險(xiǎn)實(shí)施管理。

·與信息安全相關(guān)的人力資源管理的審計(jì)--評(píng)估與安全相關(guān)的人力資源管理政策、程序、實(shí)務(wù),以及”信息安全,人人有責(zé)“的企業(yè)文化。

信息系統(tǒng)審計(jì)工作可以分為兩大類:一種是組織自行完成的內(nèi)部審計(jì),內(nèi)部審計(jì)的主要目的是檢查組織各部門對(duì)安全保障制度的遵守情況,要保證內(nèi)部審計(jì)師在他們能自由地和客觀地進(jìn)行工作時(shí)是獨(dú)立的,獨(dú)立性可使內(nèi)部審計(jì)師提出公正和不偏不倚的判斷意見。信息系統(tǒng)審計(jì)執(zhí)行主管應(yīng)該對(duì)審計(jì)委員會(huì)、董事會(huì)或其他治理機(jī)構(gòu)報(bào)告業(yè)務(wù)工作,向機(jī)構(gòu)的首席執(zhí)行官報(bào)告行政工作。另一種是由會(huì)計(jì)師事務(wù)所或?qū)I(yè)技術(shù)服務(wù)提供商完成的外部審計(jì)。外部審計(jì)通常是因?yàn)樯鲜小⒉①彙⒛杲K檢查或其他法規(guī)的要求而進(jìn)行,一般都很正規(guī),也非常深入。進(jìn)行信息審計(jì)的受托方應(yīng)當(dāng)獨(dú)立于委托方,以保證信息系統(tǒng)審計(jì)的客觀性與公正性。

3.信息系統(tǒng)審計(jì)的過程

1)調(diào)查

該審計(jì)步驟用來將控制目標(biāo)下的相關(guān)活動(dòng)用文檔記錄下來,對(duì)組織聲稱已實(shí)施的控制措施與程序進(jìn)行識(shí)別,并且確認(rèn)其存在。

與相關(guān)的管理者和員工進(jìn)行會(huì)見,以理解:

·業(yè)務(wù)需求好相關(guān)的風(fēng)險(xiǎn)。

·組織結(jié)構(gòu)。

·角色和職責(zé)。

·政策和程序。

·法律和法規(guī)。

·已有的控制措施。

·管理報(bào)告(狀態(tài)、性能、行動(dòng)項(xiàng)目)。

用文檔記錄與過程相關(guān)的IT資源,特別是那些被審計(jì)的IT流程所影響的IT資源。確認(rèn)理解了審核的過程、過程的關(guān)鍵性能指標(biāo)(KPI)、實(shí)際的控制狀況。例如,可以通過對(duì)過程的抽查來進(jìn)行了解。

2)評(píng)價(jià)控制

該審計(jì)步驟用來評(píng)估當(dāng)前已有控制措施的有效性或達(dá)到控制目標(biāo)的程度,主要是決定測(cè)試什么、是否測(cè)試及如何測(cè)試的問題。

通過對(duì)比已確定的標(biāo)準(zhǔn)及行業(yè)最佳實(shí)踐、控制方法的關(guān)鍵成功要素(CSF)和利用審計(jì)師的職業(yè)判斷,來評(píng)價(jià)待審核過程所應(yīng)用的控制措施的適宜性。

·存在已文檔化的過程。

·存在適宜的輸出。

·職責(zé)和責(zé)任是明確的、有效的。

·在必要時(shí),存在補(bǔ)償控制。

·對(duì)實(shí)現(xiàn)控制目標(biāo)的程度做出結(jié)論。

3)評(píng)估符合性

該審計(jì)步驟用來確定已建立的控制措施是按組織規(guī)定的方式,持續(xù)地、一致地在起作用,并且對(duì)控制環(huán)境的適宜性做出結(jié)論。

·得到所選項(xiàng)目和階段的直接或間接的證據(jù),使用直接和間接的證據(jù)來保證待審核的項(xiàng)目和階段一直遵守相關(guān)控制程序的要求。

·對(duì)過程輸出結(jié)果的充分性進(jìn)行有限的審核。

·為了證明IT流程是分的,確定需要進(jìn)行實(shí)質(zhì)性測(cè)試的程度和其他需要進(jìn)行的工作。

4)證實(shí)風(fēng)險(xiǎn)

該審計(jì)步驟通過使用分析技術(shù)和可選的咨詢資源,證實(shí)控制目標(biāo)沒有被實(shí)現(xiàn)時(shí)所帶來的風(fēng)險(xiǎn)。目標(biāo)是支持其審計(jì)判斷,并督促管理者采取行動(dòng)。審計(jì)師要?jiǎng)?chuàng)造性地尋找和提出通常是敏感的和機(jī)密的信息。

·用文檔記錄下控制弱點(diǎn)及其引起的威脅和漏洞。

·識(shí)別并記錄實(shí)際的影響和潛在的影響,例如,利用因果分析的方法。

·提供比較信息。例如,通過基準(zhǔn)比較的方法。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2013-11-08
企業(yè)如何進(jìn)行信息系統(tǒng)的審計(jì)
1 信息系統(tǒng)審計(jì)的定義信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù),以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整,以及有效率地利用組織的資

長按掃碼 閱讀全文