信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整，以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過(guò)程。由于信息技術(shù)在經(jīng)營(yíng)、管理領(lǐng)域的廣泛運(yùn)用，信息系統(tǒng)審計(jì)已經(jīng)貫穿在各種審計(jì)之中，成為審計(jì)全過(guò)程的一部分。

 

    信息系統(tǒng)審計(jì)是一種控制信息系統(tǒng)風(fēng)險(xiǎn)的有效方式，它是從獨(dú)立的、第三方的角度來(lái)審視信息化過(guò)程中的各種風(fēng)險(xiǎn)，合理地鑒證被審計(jì)單位信息系統(tǒng)及其處理、生產(chǎn)的信息的真實(shí)性、完整性、可靠性，以及政策遵循的一貫性，并可對(duì)IT的績(jī)效進(jìn)行審計(jì)，以發(fā)現(xiàn)偏離，促進(jìn)及時(shí)進(jìn)行調(diào)整。

 

    信息系統(tǒng)審計(jì)作為新興的職業(yè)和學(xué)科體系，近年來(lái)逐漸升溫，獲得信息系統(tǒng)審計(jì)師資質(zhì)認(rèn)證的專業(yè)人員也在快速增加，顯示了信息系統(tǒng)審計(jì)的發(fā)展需求，美國(guó)等發(fā)達(dá)國(guó)家很早就開(kāi)展有獨(dú)立資格的第三方進(jìn)行的信息系統(tǒng)審計(jì)，建立了完善的信息審計(jì)制度。從國(guó)內(nèi)信息化建設(shè)的現(xiàn)狀及對(duì)信息安全的實(shí)際需要來(lái)看，我國(guó)企業(yè)也開(kāi)始接受信息系統(tǒng)審計(jì)理論。

 

    中國(guó)人民銀行支付與科技司司長(zhǎng)陳靜指出：“信息安全越來(lái)越成為銀行信息化建設(shè)與管理中需要密切關(guān)注的問(wèn)題。企業(yè)對(duì)信息安全的重視程度和資金投入，將逐漸從單一的產(chǎn)品和技術(shù)向整體解決方案過(guò)渡，同時(shí)從封閉式的設(shè)計(jì)、實(shí)施與管理，不斷與完善的、具有適當(dāng)資質(zhì)的、獨(dú)立的第三方審計(jì)相結(jié)合，這是未來(lái)發(fā)展的一個(gè)趨勢(shì)。

 

    2.信息系統(tǒng)審計(jì)的內(nèi)容

 

    對(duì)銀行信息系統(tǒng)進(jìn)行審計(jì)的內(nèi)容主要集中在以下幾個(gè)方面：

 

    ·對(duì)信息系統(tǒng)的管理、規(guī)劃與組織的審計(jì)--評(píng)價(jià)組織信息系統(tǒng)的管理、計(jì)劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。

 

    ·對(duì)信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)的審計(jì)--評(píng)價(jià)組織在技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)的管理和實(shí)施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標(biāo)。

 

    ·對(duì)信息資產(chǎn)的保護(hù)的審計(jì)--對(duì)邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià)，確保其支持組織保護(hù)信息資產(chǎn)的需要，防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。

 

    ·對(duì)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃的審計(jì)--這些計(jì)劃是在發(fā)生災(zāi)難時(shí)，能夠使組織持續(xù)進(jìn)行業(yè)務(wù)，對(duì)這種計(jì)劃的建立和維護(hù)流程需要進(jìn)行評(píng)價(jià)。

 

    ·對(duì)應(yīng)用系統(tǒng)開(kāi)發(fā)、獲得、實(shí)施與維護(hù)的審計(jì)--對(duì)組織業(yè)務(wù)應(yīng)用系統(tǒng)的開(kāi)發(fā)、獲取、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評(píng)價(jià)，以確保其滿足組織的業(yè)務(wù)目標(biāo)。

 

    ·對(duì)IT相關(guān)業(yè)務(wù)流程的審計(jì)--評(píng)估組織業(yè)務(wù)系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務(wù)目標(biāo)對(duì)相應(yīng)風(fēng)險(xiǎn)實(shí)施管理。

 

    ·與信息安全相關(guān)的人力資源管理的審計(jì)--評(píng)估與安全相關(guān)的人力資源管理政策、程序、實(shí)務(wù)，以及“信息安全，人人有責(zé)“的企業(yè)文化。

 

    信息系統(tǒng)審計(jì)工作可以分為兩大類：一種是組織自行完成的內(nèi)部審計(jì)，內(nèi)部審計(jì)的主要目的是檢查組織各部門對(duì)安全保障制度的遵守情況，要保證內(nèi)部審計(jì)師在他們能自由地和客觀地進(jìn)行工作時(shí)是獨(dú)立的，獨(dú)立性可使內(nèi)部審計(jì)師提出公正和不偏不倚的判斷意見(jiàn)。信息系統(tǒng)審計(jì)執(zhí)行主管應(yīng)該對(duì)審計(jì)委員會(huì)、董事會(huì)或其他治理機(jī)構(gòu)報(bào)告業(yè)務(wù)工作，向機(jī)構(gòu)的首席執(zhí)行官報(bào)告行政工作。另一種是由會(huì)計(jì)師事務(wù)所或?qū)I(yè)技術(shù)服務(wù)提供商完成的外部審計(jì)。外部審計(jì)通常是因?yàn)樯鲜小⒉①?gòu)、年終檢查或其他法規(guī)的要求而進(jìn)行，一般都很正規(guī)，也非常深入。進(jìn)行信息審計(jì)的受托方應(yīng)當(dāng)獨(dú)立于委托方，以保證信息系統(tǒng)審計(jì)的客觀性與公正性。

 

    3.信息系統(tǒng)審計(jì)的過(guò)程

 

    1）調(diào)查

 

    該審計(jì)步驟用來(lái)將控制目標(biāo)下的相關(guān)活動(dòng)用文檔記錄下來(lái)，對(duì)組織聲稱已實(shí)施的控制措施與程序進(jìn)行識(shí)別，并且確認(rèn)其存在。

 

    與相關(guān)的管理者和員工進(jìn)行會(huì)見(jiàn)，以理解：

 

    ·業(yè)務(wù)需求好相關(guān)的風(fēng)險(xiǎn)。

 

    ·組織結(jié)構(gòu)。

 

    ·角色和職責(zé)。

 

    ·政策和程序。

 

    ·法律和法規(guī)。

 

    ·已有的控制措施。

 

    ·管理報(bào)告（狀態(tài)、性能、行動(dòng)項(xiàng)目）。

 

    用文檔記錄與過(guò)程相關(guān)的IT資源，特別是那些被審計(jì)的IT流程所影響的IT資源。確認(rèn)理解了審核的過(guò)程、過(guò)程的關(guān)鍵性能指標(biāo)（KPI）、實(shí)際的控制狀況。例如，可以通過(guò)對(duì)過(guò)程的抽查來(lái)進(jìn)行了解。

 

    2）評(píng)價(jià)控制

 

    該審計(jì)步驟用來(lái)評(píng)估當(dāng)前已有控制措施的有效性或達(dá)到控制目標(biāo)的程度，主要是決定測(cè)試什么、是否測(cè)試及如何測(cè)試的問(wèn)題。

 

    通過(guò)對(duì)比已確定的標(biāo)準(zhǔn)及行業(yè)最佳實(shí)踐、控制方法的關(guān)鍵成功要素（CSF）和利用審計(jì)師的職業(yè)判斷，來(lái)評(píng)價(jià)待審核過(guò)程所應(yīng)用的控制措施的適宜性。

 

    ·存在已文檔化的過(guò)程。

 

    ·存在適宜的輸出。

 

    ·職責(zé)和責(zé)任是明確的、有效的。

 

    ·在必要時(shí)，存在補(bǔ)償控制。

 

    ·對(duì)實(shí)現(xiàn)控制目標(biāo)的程度做出結(jié)論。

 

    3）評(píng)估符合性

 

    該審計(jì)步驟用來(lái)確定已建立的控制措施是按組織規(guī)定的方式，持續(xù)地、一致地在起作用，并且對(duì)控制環(huán)境的適宜性做出結(jié)論。

 

    ·得到所選項(xiàng)目和階段的直接或間接的證據(jù)，使用直接和間接的證據(jù)來(lái)保證待審核的項(xiàng)目和階段一直遵守相關(guān)控制程序的要求。

 

    ·對(duì)過(guò)程輸出結(jié)果的充分性進(jìn)行有限的審核。

 

    ·為了證明IT流程是分的，確定需要進(jìn)行實(shí)質(zhì)性測(cè)試的程度和其他需要進(jìn)行的工作。

 

    4）證實(shí)風(fēng)險(xiǎn)

 

    該審計(jì)步驟通過(guò)使用分析技術(shù)和可選的咨詢資源，證實(shí)控制目標(biāo)沒(méi)有被實(shí)現(xiàn)時(shí)所帶來(lái)的風(fēng)險(xiǎn)。目標(biāo)是支持其審計(jì)判斷，并督促管理者采取行動(dòng)。審計(jì)師要?jiǎng)?chuàng)造性地尋找和提出通常是敏感的和機(jī)密的信息。

 

    ·用文檔記錄下控制弱點(diǎn)及其引起的威脅和漏洞。

 

    ·識(shí)別并記錄實(shí)際的影響和潛在的影響，例如，利用因果分析的方法。

 

    ·提供比較信息。例如，通過(guò)基準(zhǔn)比較的方法。