信息系統(tǒng)審計(jì)（IT審計(jì)）的實(shí)施

2014-11-08 20:45:02 大云網(wǎng)　點(diǎn)擊量：評論 (0)

1 信息系統(tǒng)審計(jì)的準(zhǔn)備－審計(jì)部門　　為了實(shí)施信息系統(tǒng)審計(jì)，需要在事前進(jìn)行充足的準(zhǔn)備，以獲得良好的審計(jì)效果。為了導(dǎo)入信息系統(tǒng)審計(jì)，事先需要進(jìn)行下列的活動：　　·信息系統(tǒng)審計(jì)的環(huán)境構(gòu)建、文化導(dǎo)入；　　

1. 信息系統(tǒng)審計(jì)的準(zhǔn)備－審計(jì)部門

　　為了實(shí)施信息系統(tǒng)審計(jì)，需要在事前進(jìn)行充足的準(zhǔn)備，以獲得良好的審計(jì)效果。

為了導(dǎo)入信息系統(tǒng)審計(jì)，事先需要進(jìn)行下列的活動：

　　·信息系統(tǒng)審計(jì)的環(huán)境構(gòu)建、文化導(dǎo)入；

　　· IT審計(jì)師的培養(yǎng)；

　　·各種審計(jì)相關(guān)規(guī)章的整備；

　　信息系統(tǒng)審計(jì)的宗旨在于提高作為企業(yè)中樞神經(jīng)的信息系統(tǒng)的可靠性、安全性和開發(fā)、運(yùn)營效率，使企業(yè)能夠健康地運(yùn)營和發(fā)展。要使信息系統(tǒng)審計(jì)能夠達(dá)成既定目標(biāo)，上級主管的完全授權(quán)是最重要的一環(huán)。

2. 信息系統(tǒng)審計(jì)的準(zhǔn)備－被審計(jì)部門

　　IT審計(jì)師在實(shí)施信息系統(tǒng)審計(jì)的時候，常常要求被審計(jì)部門提供諸如文檔之類相應(yīng)的資料作為審計(jì)依據(jù)。

　　被審計(jì)部門為此事先應(yīng)該對文檔、操作說明書等進(jìn)行整理和準(zhǔn)備。還要準(zhǔn)備好計(jì)算機(jī)安全措施、個人信息保密措施等實(shí)施情況的說明。這些資料要盡可能讓IT審計(jì)師一目了然。通常，被審計(jì)部門（信息化部門，用戶部門）需要準(zhǔn)備的東西如下面所示。當(dāng)然，有關(guān)的系統(tǒng)設(shè)計(jì)書、程序設(shè)計(jì)說明書之類的必須保持最新的更新狀態(tài)。

　　信息化部門：

　　·系統(tǒng)開發(fā)計(jì)劃書

　　·系統(tǒng)設(shè)計(jì)書

　　·系統(tǒng)構(gòu)成圖

　　·程序一覽表

　　·信息管理相關(guān)規(guī)章

　　·操作指南

　　·故障對應(yīng)指南

　　·計(jì)算機(jī)安全對策現(xiàn)狀說明

　　用戶部門：

　　·終端設(shè)備操作手冊

　　·系統(tǒng)輸出列表

　　·系統(tǒng)輸入式樣

　　·系統(tǒng)使用指南

3. 信息系統(tǒng)審計(jì)的實(shí)施步驟

　　信息系統(tǒng)審計(jì)的實(shí)施步驟如下所示：

　　審計(jì)計(jì)劃

　　·基本計(jì)劃（每年一度的審計(jì)計(jì)劃，屬于年度計(jì)劃，概要性的計(jì)劃）

　　·個別計(jì)劃（個別，具體的審計(jì)實(shí)施計(jì)劃，有實(shí)施細(xì)則）

　　審計(jì)實(shí)施

　　·審計(jì)通知（實(shí)施前1－3周通知被審計(jì)部門）

　　·預(yù)備調(diào)查（審計(jì)實(shí)施前準(zhǔn)備）

　　·審計(jì)實(shí)施（實(shí)際的審計(jì)活動）

　　·審計(jì)意見整備（基于審計(jì)結(jié)果的記錄和文檔）

　　·評議會（基于審計(jì)結(jié)果，與被審計(jì)部門交換本次審計(jì)意見）

　　審計(jì)報(bào)告

　　·審計(jì)報(bào)告制作（完成信息系統(tǒng)審計(jì)報(bào)告）

　　·報(bào)告書提交（向上級主管提交信息系統(tǒng)審計(jì)報(bào)告）

　　·報(bào)告會（召集相應(yīng)的干系人進(jìn)行會議）

　　·改良指示（上級主管根據(jù)審計(jì)意見責(zé)令被審計(jì)部門進(jìn)行相關(guān)的改良活動）

　　·審計(jì)追蹤（IT審計(jì)師對改良情況進(jìn)行檢查）

4. 信息系統(tǒng)審計(jì)的留意點(diǎn)

　　在實(shí)施信息系統(tǒng)審計(jì)的時候?yàn)榱舜_保審計(jì)高效的得以實(shí)施，必須制作相應(yīng)的審計(jì)計(jì)劃。

　　IT審計(jì)師在審計(jì)計(jì)劃中必須明確審計(jì)的對象、審計(jì)目的、審計(jì)主題。

　　審計(jì)對象、審計(jì)主題的選定、優(yōu)先度確定之類留意點(diǎn)可參照下面所述。

　　·企業(yè)經(jīng)營方針、上級主管的需求

　　·信息化部門的問題、要求

　　·用戶部門的問題、要求

　　·審計(jì)對象的業(yè)務(wù)特征

　　·信息系統(tǒng)的重要度

　　·審計(jì)對象業(yè)務(wù)的問題點(diǎn)及其解決緊迫度

　　·IT審計(jì)師自身的知識、經(jīng)驗(yàn)

5. 信息系統(tǒng)審計(jì)的著眼點(diǎn)

　　下面是進(jìn)行信息系統(tǒng)審計(jì)應(yīng)該重點(diǎn)注意的地方：

　　安全：信息系統(tǒng)的物理安全性，防止非法使用

　　可靠：硬件、軟件的正確運(yùn)行

　　機(jī)密：基于數(shù)據(jù)訪問權(quán)限的保密

　　合法：法律、法規(guī)、規(guī)章之類

　　適時：是否符合開發(fā)、導(dǎo)入、運(yùn)營等的時間限制

　　成本：成本節(jié)約方面的效率

　　資源：資源利用方面的效率

　　有效：信息系統(tǒng)目標(biāo)的達(dá)成度

6.信息系統(tǒng)審計(jì)技術(shù)

　　可以通過很多方法來實(shí)施信息審計(jì)，下面給出常見的幾種方法，每種方法各有利弊，對這些方法進(jìn)行組合使用，可以使信息系統(tǒng)審計(jì)得以更有效地得以實(shí)施。

　　商談法：與信息化部門、用戶及相關(guān)人員進(jìn)行會談

　　資料查閱法：對與信息系統(tǒng)相關(guān)的文檔、程序進(jìn)行查閱，核查

　　實(shí)地考察法：對機(jī)房、考勤以及業(yè)務(wù)終端、器材（例如POS）等進(jìn)行實(shí)地考核

　　計(jì)算機(jī)審計(jì)法：利用計(jì)算機(jī)技術(shù)進(jìn)行信息系統(tǒng)審計(jì)，常見一些利用計(jì)算機(jī)的方法有：

　　·測試數(shù)據(jù)法

　　·程序?qū)徲?jì)

　　·審計(jì)模塊

　　·ITF方法

　　·并行仿真

　　·快照

　　·追蹤（Tracing）

　　·代碼比較

7. 信息審計(jì)報(bào)告

　　根據(jù)信息系統(tǒng)審計(jì)實(shí)施的結(jié)果，IT審計(jì)師將之匯編成《信息系統(tǒng)審計(jì)報(bào)告》，向上級部門出示的同時，也要傳送給相關(guān)的干系人。

　　信息系統(tǒng)審計(jì)報(bào)告由IT審計(jì)師獨(dú)立編寫，內(nèi)容主要涵蓋信息系統(tǒng)的可靠性，安全性和效率的現(xiàn)狀以及問題點(diǎn)。同時給出改良建議。

　　《信息系統(tǒng)審計(jì)報(bào)告》的樣式如下所示：

　　信息系統(tǒng)審計(jì)報(bào)告書

　　[題頭]

　　報(bào)告日期；

　　上級主管部門名稱；

　　上級主管姓名；

　　審計(jì)說明（概要）；

　　[正文]

　　審計(jì)對象；

　　重點(diǎn)審計(jì)主題；

　　審計(jì)目的；

　　審計(jì)范圍和審計(jì)實(shí)施步驟（概要）；

　　實(shí)施期間；

　　被審計(jì)對象部門；

　　被審計(jì)人員及其工作職能；

　　審計(jì)結(jié)果（概要）

　　 1 可靠性

　　可靠性概要

　　可靠性評價(jià)

　　2 安全性

　　安全性概要

　　安全性評價(jià)

　　 3 效率

　　效率概要

　　效率評價(jià)

　　主要存在的問題

　　改良建議

　　1 一般改良建議

　　2 緊急改良建議

8. 改良指示和改良追蹤

　　信息系統(tǒng)審計(jì)的實(shí)施結(jié)果以審計(jì)報(bào)告的方式提交給上級主管，上級主管根據(jù)審計(jì)報(bào)告，向被審計(jì)部門提出改良的指示，被審計(jì)部門依照審計(jì)報(bào)告中的改良建議進(jìn)行改良。

　　IT審計(jì)師需要對被審計(jì)部門的反饋（改良活動）進(jìn)行復(fù)查和評價(jià)，該活動稱為審計(jì)追蹤；

　　通過審計(jì)追蹤，能夠確保審計(jì)效果的達(dá)成，同時還可以確保改良措施得到妥當(dāng)?shù)貓?zhí)行。

　　改良追蹤的步驟如下所示：

　　信息系統(tǒng)審計(jì)的實(shí)施（審計(jì)部門）→　信息系統(tǒng)審計(jì)報(bào)告書制作（審計(jì)部門）→　對被審計(jì)部門提出改良指示（上級主管）→　改良活動實(shí)施（被審計(jì)部門）→　改良狀況檢查（審計(jì)部門）→　改良狀況再評價(jià)（審計(jì)部門）

免責(zé)聲明：本文僅代表作者個人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個贊