企業(yè)如何制訂IT審計制度

2014-11-08 22:28:59 大云網(wǎng)　點擊量：評論 (0)

當(dāng)今世界是信息化時代，信息系統(tǒng)受到各種各樣的威脅，如沒有安全對策，系統(tǒng)是相當(dāng)脆弱的。信息系統(tǒng)的可靠性、安全性與效率的確保是極其重要的，而這一切也是為企業(yè)的經(jīng)營者考慮。IT審計應(yīng)由具有信息技術(shù)與審計兩

　IT審計準(zhǔn)則、手冊、工具的配備

　　為了有效地實施IT審計，國際上成立了信息系統(tǒng)審計與控制協(xié)會ISACA（Information System Audit and Control Association），由該組織制定和頒布IT審計準(zhǔn)則、實務(wù)指南等，來規(guī)范與指導(dǎo)IT審計師的工作，并開發(fā)了各種各樣的工具。各IT審計組織要充分考慮IT審計對象的規(guī)模、特性、IT審計人員的知識、經(jīng)驗程度及工具所具有的特性，同時考慮一定的投入，并引入或開發(fā)各種工具與環(huán)境。如沒有手冊、工具等的配合，要真正實施IT審計是困難的。

　　IT審計準(zhǔn)則是實施IT審計的總綱，是IT審計和審計報告規(guī)定必須達到的基本要求，是實施IT審計業(yè)務(wù)、出具IT審計報告的具體規(guī)范。

　　IT審計手冊，是實施IT審計時必要的基本工具，是覆蓋IT審計從計劃、實施到報告各階段可參照的詳細的工具書。如要提高IT審計效率，保證IT審計的質(zhì)量，這些都是非常重要的。

　　IT審計手冊中，應(yīng)考慮以下內(nèi)容：

　　（1）IT審計部門各崗位的職責(zé)、權(quán)限及內(nèi)容。

　　（2）IT審計對象的領(lǐng)域及IT審計實施參照的標(biāo)準(zhǔn)。

　　（3）各主要IT審計領(lǐng)域的詳細的審計目的及IT審計順序。

　　（4）IT審計工具的利用順序及注意事項。

　　（5）IT審計計劃中應(yīng)記載事項及時間。

　　（6）IT審計報告的制作順序，包括要記載的事項、格式和時間。

　　（7）相關(guān)部門的調(diào)整事項及順序。

　　（8）IT審計師的必要資格及教育培訓(xùn)。

　　另外，IT審計實施表的開發(fā)，通用審計軟件包的準(zhǔn)備，審計工具的購買等都需要費用。因此，企業(yè)經(jīng)營者在實施IT審計時，要考慮到這些。表1.3 列出了要準(zhǔn)備的IT審計準(zhǔn)則、手冊與工具等。

　　IT審計準(zhǔn)則、手冊與工具

　　（1）IT審計準(zhǔn)則、IT審計手冊

　　·IT審計的基本方針，業(yè)務(wù)范圍

　　·IT審計人員的任務(wù)、權(quán)限、職責(zé)和組織

　　·IT審計計劃、IT審計順序和IT審計報告

　　（2）業(yè)務(wù)規(guī)則、確認(rèn)規(guī)則和安全政策等

　　·業(yè)務(wù)規(guī)則和確認(rèn)規(guī)則等

　　·安全政策

　　·各種標(biāo)準(zhǔn)過程和業(yè)務(wù)手冊等

　　（3）IT審計順序和IT審計實施表

　　·標(biāo)準(zhǔn)IT審計順序

　　·內(nèi)部審計評價表

　　·安全檢查實施表等

　　（4）IT審計用的工具軟件

　　·通用IT審計程序

　　·組入審計模塊

　　·業(yè)務(wù)管理的程序等

　　相關(guān)部門的關(guān)系

　　內(nèi)部審計、外部審計與行政審計的關(guān)系可知，對于同一信息系統(tǒng)，為了確保系統(tǒng)的安全、可靠與有效，內(nèi)部審計與外部審計是站在不同的角度，為同一目標(biāo)而進行審計。因此，內(nèi)部審計師、外部審計師及系統(tǒng)部門、用戶部門等要協(xié)調(diào)好各方的關(guān)系，明確職責(zé)，找出系統(tǒng)的問題。本節(jié)主要介紹與此相關(guān)的各部門的關(guān)系。

　　IT審計與系統(tǒng)部門的關(guān)系

　　IT審計人員在執(zhí)行IT審計的過程中與系統(tǒng)部門接觸十分頻繁。特別是系統(tǒng)開發(fā)階段，IT審計需要與之長期的協(xié)調(diào)。為實施IT審計，IT審計人員難免要使用計算機來輔助實施，此時也需要系統(tǒng)部門的協(xié)助。因此，系統(tǒng)部門要正確理解IT審計人員的工作性質(zhì)、權(quán)限與職責(zé)，處理好兩者之間的關(guān)系。特別是計算機的使用等，事先都要協(xié)調(diào)好。IT審計用的程序，原則上由IT審計人員執(zhí)行，不能依靠系統(tǒng)部門，IT審計人員要處理好各種關(guān)系并找出問題根源。

　　IT審計與用戶部門的關(guān)系

　　信息系統(tǒng)是由用戶部門使用與維護的。系統(tǒng)部門提供信息處理系統(tǒng)，由用戶實施。因此，對系統(tǒng)整體進行IT審計時，IT審計人員要協(xié)調(diào)好用戶部門與系統(tǒng)部門的關(guān)系，明確各方的職責(zé)，找出問題所在。

　　內(nèi)部審計與外部審計的關(guān)系

　　IT內(nèi)部審計是企業(yè)內(nèi)部的審計活動，是對信息系統(tǒng)功能實現(xiàn)的內(nèi)部控制，也可看成是系統(tǒng)的組成部分，或是內(nèi)部的系統(tǒng)質(zhì)量控制。沒有內(nèi)部IT審計，要保證系統(tǒng)所有功能的實現(xiàn)是困難的。而外部IT審計是對內(nèi)部IT審計的檢查與評價，是對其有效性進行的判斷。可以說外部審計是對內(nèi)部質(zhì)量控制的再控制。從保障信息系統(tǒng)的安全、可靠與有效的角度看，內(nèi)部IT審計與外部IT審計是一致的，但外部審計是對內(nèi)部審計的再檢查與再評價。外部IT審計師在實施IT審計過程中與內(nèi)部IT審計師接觸十分頻繁，要處理好關(guān)系，找出問題根源，并要保持各自的獨立性。