企業(yè)如何進(jìn)行信息系統(tǒng)的審計(jì)
1 信息系統(tǒng)審計(jì)的定義 信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù),以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整,以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過程。由于信息技術(shù)在經(jīng)營(yíng)、管理領(lǐng)域的
1.信息系統(tǒng)審計(jì)的定義
信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù),以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整,以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過程。由于信息技術(shù)在經(jīng)營(yíng)、管理領(lǐng)域的廣泛運(yùn)用,信息系統(tǒng)審計(jì)已經(jīng)貫穿在各種審計(jì)之中,成為審計(jì)全過程的一部分。
信息系統(tǒng)審計(jì)是一種控制信息系統(tǒng)風(fēng)險(xiǎn)的有效方式,它是從獨(dú)立的、第三方的角度來審視信息化過程中的各種風(fēng)險(xiǎn),合理地鑒證被審計(jì)單位信息系統(tǒng)及其處理、生產(chǎn)的信息的真實(shí)性、完整性、可靠性,以及政策遵循的一貫性,并可對(duì)IT的績(jī)效進(jìn)行審計(jì),以發(fā)現(xiàn)偏離,促進(jìn)及時(shí)進(jìn)行調(diào)整。
信息系統(tǒng)審計(jì)作為新興的職業(yè)和學(xué)科體系,近年來逐漸升溫,獲得信息系統(tǒng)審計(jì)師資質(zhì)認(rèn)證的專業(yè)人員也在快速增加,顯示了信息系統(tǒng)審計(jì)的發(fā)展需求,美國(guó)等發(fā)達(dá)國(guó)家很早就開展有獨(dú)立資格的第三方進(jìn)行的信息系統(tǒng)審計(jì),建立了完善的信息審計(jì)制度。從國(guó)內(nèi)信息化建設(shè)的現(xiàn)狀及對(duì)信息安全的實(shí)際需要來看,我國(guó)企業(yè)也開始接受信息系統(tǒng)審計(jì)理論。
中國(guó)人民銀行支付與科技司司長(zhǎng)陳靜指出:“信息安全越來越成為銀行信息化建設(shè)與管理中需要密切關(guān)注的問題。企業(yè)對(duì)信息安全的重視程度和資金投入,將逐漸從單一的產(chǎn)品和技術(shù)向整體解決方案過渡,同時(shí)從封閉式的設(shè)計(jì)、實(shí)施與管理,不斷與完善的、具有適當(dāng)資質(zhì)的、獨(dú)立的第三方審計(jì)相結(jié)合,這是未來發(fā)展的一個(gè)趨勢(shì)。
2.信息系統(tǒng)審計(jì)的內(nèi)容
對(duì)銀行信息系統(tǒng)進(jìn)行審計(jì)的內(nèi)容主要集中在以下幾個(gè)方面:
·對(duì)信息系統(tǒng)的管理、規(guī)劃與組織的審計(jì)--評(píng)價(jià)組織信息系統(tǒng)的管理、計(jì)劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。
·對(duì)信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)的審計(jì)--評(píng)價(jià)組織在技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)的管理和實(shí)施方面的有效性及效率,以確保其充分支持組織的商業(yè)目標(biāo)。
·對(duì)信息資產(chǎn)的保護(hù)的審計(jì)--對(duì)邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià),確保其支持組織保護(hù)信息資產(chǎn)的需要,防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。
·對(duì)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃的審計(jì)--這些計(jì)劃是在發(fā)生災(zāi)難時(shí),能夠使組織持續(xù)進(jìn)行業(yè)務(wù),對(duì)這種計(jì)劃的建立和維護(hù)流程需要進(jìn)行評(píng)價(jià)。
·對(duì)應(yīng)用系統(tǒng)開發(fā)、獲得、實(shí)施與維護(hù)的審計(jì)--對(duì)組織業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)、獲取、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評(píng)價(jià),以確保其滿足組織的業(yè)務(wù)目標(biāo)。
·對(duì)IT相關(guān)業(yè)務(wù)流程的審計(jì)--評(píng)估組織業(yè)務(wù)系統(tǒng)與處理流程,確保根據(jù)組織的業(yè)務(wù)目標(biāo)對(duì)相應(yīng)風(fēng)險(xiǎn)實(shí)施管理。
·與信息安全相關(guān)的人力資源管理的審計(jì)--評(píng)估與安全相關(guān)的人力資源管理政策、程序、實(shí)務(wù),以及“信息安全,人人有責(zé)“的企業(yè)文化。
信息系統(tǒng)審計(jì)工作可以分為兩大類:一種是組織自行完成的內(nèi)部審計(jì),內(nèi)部審計(jì)的主要目的是檢查組織各部門對(duì)安全保障制度的遵守情況,要保證內(nèi)部審計(jì)師在他們能自由地和客觀地進(jìn)行工作時(shí)是獨(dú)立的,獨(dú)立性可使內(nèi)部審計(jì)師提出公正和不偏不倚的判斷意見。信息系統(tǒng)審計(jì)執(zhí)行主管應(yīng)該對(duì)審計(jì)委員會(huì)、董事會(huì)或其他治理機(jī)構(gòu)報(bào)告業(yè)務(wù)工作,向機(jī)構(gòu)的首席執(zhí)行官報(bào)告行政工作。另一種是由會(huì)計(jì)師事務(wù)所或?qū)I(yè)技術(shù)服務(wù)提供商完成的外部審計(jì)。外部審計(jì)通常是因?yàn)樯鲜小⒉①彙⒛杲K檢查或其他法規(guī)的要求而進(jìn)行,一般都很正規(guī),也非常深入。進(jìn)行信息審計(jì)的受托方應(yīng)當(dāng)獨(dú)立于委托方,以保證信息系統(tǒng)審計(jì)的客觀性與公正性。
3.信息系統(tǒng)審計(jì)的過程
1)調(diào)查
該審計(jì)步驟用來將控制目標(biāo)下的相關(guān)活動(dòng)用文檔記錄下來,對(duì)組織聲稱已實(shí)施的控制措施與程序進(jìn)行識(shí)別,并且確認(rèn)其存在。
與相關(guān)的管理者和員工進(jìn)行會(huì)見,以理解:
·業(yè)務(wù)需求好相關(guān)的風(fēng)險(xiǎn)。
·組織結(jié)構(gòu)。
·角色和職責(zé)。
·政策和程序。
·法律和法規(guī)。
·已有的控制措施。
·管理報(bào)告(狀態(tài)、性能、行動(dòng)項(xiàng)目)。
用文檔記錄與過程相關(guān)的IT資源,特別是那些被審計(jì)的IT流程所影響的IT資源。確認(rèn)理解了審核的過程、過程的關(guān)鍵性能指標(biāo)(KPI)、實(shí)際的控制狀況。例如,可以通過對(duì)過程的抽查來進(jìn)行了解。
2)評(píng)價(jià)控制
該審計(jì)步驟用來評(píng)估當(dāng)前已有控制措施的有效性或達(dá)到控制目標(biāo)的程度,主要是決定測(cè)試什么、是否測(cè)試及如何測(cè)試的問題。
通過對(duì)比已確定的標(biāo)準(zhǔn)及行業(yè)最佳實(shí)踐、控制方法的關(guān)鍵成功要素(CSF)和利用審計(jì)師的職業(yè)判斷,來評(píng)價(jià)待審核過程所應(yīng)用的控制措施的適宜性。
·存在已文檔化的過程。
·存在適宜的輸出。
·職責(zé)和責(zé)任是明確的、有效的。
·在必要時(shí),存在補(bǔ)償控制。
·對(duì)實(shí)現(xiàn)控制目標(biāo)的程度做出結(jié)論。
3)評(píng)估符合性
該審計(jì)步驟用來確定已建立的控制措施是按組織規(guī)定的方式,持續(xù)地、一致地在起作用,并且對(duì)控制環(huán)境的適宜性做出結(jié)論。
·得到所選項(xiàng)目和階段的直接或間接的證據(jù),使用直接和間接的證據(jù)來保證待審核的項(xiàng)目和階段一直遵守相關(guān)控制程序的要求。
·對(duì)過程輸出結(jié)果的充分性進(jìn)行有限的審核。
·為了證明IT流程是分的,確定需要進(jìn)行實(shí)質(zhì)性測(cè)試的程度和其他需要進(jìn)行的工作。
4)證實(shí)風(fēng)險(xiǎn)
該審計(jì)步驟通過使用分析技術(shù)和可選的咨詢資源,證實(shí)控制目標(biāo)沒有被實(shí)現(xiàn)時(shí)所帶來的風(fēng)險(xiǎn)。目標(biāo)是支持其審計(jì)判斷,并督促管理者采取行動(dòng)。審計(jì)師要?jiǎng)?chuàng)造性地尋找和提出通常是敏感的和機(jī)密的信息。
·用文檔記錄下控制弱點(diǎn)及其引起的威脅和漏洞。
·識(shí)別并記錄實(shí)際的影響和潛在的影響,例如,利用因果分析的方法。
·提供比較信息。例如,通過基準(zhǔn)比較的方法。
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
-
電動(dòng)車產(chǎn)業(yè)紅利不好接?看看這四條缺了什么?
-
樂視網(wǎng)復(fù)牌首日即跌停 FF、Lucid、樂視汽車要被轉(zhuǎn)讓抵債?
-
科技部發(fā)布國(guó)家重點(diǎn)實(shí)驗(yàn)室2018年度評(píng)估工作的通知 多項(xiàng)電力研究實(shí)驗(yàn)室入圍
-
科技部發(fā)布國(guó)家重點(diǎn)實(shí)驗(yàn)室2018年度評(píng)估工作的通知 多項(xiàng)電力研究實(shí)驗(yàn)室入圍
-
2017年中國(guó)新能源重點(diǎn)細(xì)分行業(yè)發(fā)展現(xiàn)狀、新能源行業(yè)發(fā)展趨勢(shì)及投資前景分析【圖】
-
電力轉(zhuǎn)型是推動(dòng)能源轉(zhuǎn)型的關(guān)鍵
-
湖北2017年電力運(yùn)行情況:直接交易完成簽約電量351.44億千瓦時(shí)
-
河南12月全社會(huì)用電量275.86億千瓦時(shí) 同比增長(zhǎng)0.77%
-
成交電量923億!河南年度雙邊協(xié)商交易競(jìng)爭(zhēng)刷新紀(jì)錄 實(shí)現(xiàn)開門紅
-
微網(wǎng)工程設(shè)計(jì)解析:并網(wǎng)型微電網(wǎng)建設(shè)規(guī)模分析
-
全面解析微電網(wǎng)結(jié)構(gòu)與發(fā)展趨勢(shì)(附五大案例與經(jīng)濟(jì)效益分析)
-
售電必備 | 聚焦2018年增量配電網(wǎng)的六大熱點(diǎn)問題
-
安徽電力直接交易執(zhí)行、出清細(xì)則和電力市場(chǎng)電量結(jié)算規(guī)則發(fā)布
-
電網(wǎng)經(jīng)營(yíng)行業(yè)產(chǎn)品成本核算制度印發(fā):有配電業(yè)務(wù)的售電公司參照?qǐng)?zhí)行
-
遼寧對(duì)居民電采暖用戶試行峰谷分時(shí)電價(jià)政策
-
預(yù)計(jì)南方五省區(qū)2018年用電保持中速增長(zhǎng):南方電網(wǎng)將多措并舉 全力保障電力供應(yīng)平穩(wěn)有序
-
財(cái)政部發(fā)布:電網(wǎng)經(jīng)營(yíng)行業(yè)產(chǎn)品成本核算制度
-
聚焦:貴州電力市場(chǎng)陷入僵局 大云網(wǎng)電力分析師邀您觀望
-
電動(dòng)車產(chǎn)業(yè)紅利不好接?看看這四條缺了什么?
-
樂視網(wǎng)復(fù)牌首日即跌停 FF、Lucid、樂視汽車要被轉(zhuǎn)讓抵債?
-
多方勢(shì)力搏殺新能源車市場(chǎng) 競(jìng)爭(zhēng)激烈