企業如何制訂IT審計制度

2014-11-08 22:28:59 大云網　點擊量：評論 (0)

當今世界是信息化時代，信息系統受到各種各樣的威脅，如沒有安全對策，系統是相當脆弱的。信息系統的可靠性、安全性與效率的確保是極其重要的，而這一切也是為企業的經營者考慮。IT審計應由具有信息技術與審計兩

　IT審計準則、手冊、工具的配備

　　為了有效地實施IT審計，國際上成立了信息系統審計與控制協會ISACA（Information System Audit and Control Association），由該組織制定和頒布IT審計準則、實務指南等，來規范與指導IT審計師的工作，并開發了各種各樣的工具。各IT審計組織要充分考慮IT審計對象的規模、特性、IT審計人員的知識、經驗程度及工具所具有的特性，同時考慮一定的投入，并引入或開發各種工具與環境。如沒有手冊、工具等的配合，要真正實施IT審計是困難的。

　　IT審計準則是實施IT審計的總綱，是IT審計和審計報告規定必須達到的基本要求，是實施IT審計業務、出具IT審計報告的具體規范。

　　IT審計手冊，是實施IT審計時必要的基本工具，是覆蓋IT審計從計劃、實施到報告各階段可參照的詳細的工具書。如要提高IT審計效率，保證IT審計的質量，這些都是非常重要的。

　　IT審計手冊中，應考慮以下內容：

　　（1）IT審計部門各崗位的職責、權限及內容。

　　（2）IT審計對象的領域及IT審計實施參照的標準。

　　（3）各主要IT審計領域的詳細的審計目的及IT審計順序。

　　（4）IT審計工具的利用順序及注意事項。

　　（5）IT審計計劃中應記載事項及時間。

　　（6）IT審計報告的制作順序，包括要記載的事項、格式和時間。

　　（7）相關部門的調整事項及順序。

　　（8）IT審計師的必要資格及教育培訓。

　　另外，IT審計實施表的開發，通用審計軟件包的準備，審計工具的購買等都需要費用。因此，企業經營者在實施IT審計時，要考慮到這些。表1.3 列出了要準備的IT審計準則、手冊與工具等。

　　IT審計準則、手冊與工具

　　（1）IT審計準則、IT審計手冊

　　·IT審計的基本方針，業務范圍

　　·IT審計人員的任務、權限、職責和組織

　　·IT審計計劃、IT審計順序和IT審計報告

　　（2）業務規則、確認規則和安全政策等

　　·業務規則和確認規則等

　　·安全政策

　　·各種標準過程和業務手冊等

　　（3）IT審計順序和IT審計實施表

　　·標準IT審計順序

　　·內部審計評價表

　　·安全檢查實施表等

　　（4）IT審計用的工具軟件

　　·通用IT審計程序

　　·組入審計模塊

　　·業務管理的程序等

　　相關部門的關系

　　內部審計、外部審計與行政審計的關系可知，對于同一信息系統，為了確保系統的安全、可靠與有效，內部審計與外部審計是站在不同的角度，為同一目標而進行審計。因此，內部審計師、外部審計師及系統部門、用戶部門等要協調好各方的關系，明確職責，找出系統的問題。本節主要介紹與此相關的各部門的關系。

　　IT審計與系統部門的關系

　　IT審計人員在執行IT審計的過程中與系統部門接觸十分頻繁。特別是系統開發階段，IT審計需要與之長期的協調。為實施IT審計，IT審計人員難免要使用計算機來輔助實施，此時也需要系統部門的協助。因此，系統部門要正確理解IT審計人員的工作性質、權限與職責，處理好兩者之間的關系。特別是計算機的使用等，事先都要協調好。IT審計用的程序，原則上由IT審計人員執行，不能依靠系統部門，IT審計人員要處理好各種關系并找出問題根源。

　　IT審計與用戶部門的關系

　　信息系統是由用戶部門使用與維護的。系統部門提供信息處理系統，由用戶實施。因此，對系統整體進行IT審計時，IT審計人員要協調好用戶部門與系統部門的關系，明確各方的職責，找出問題所在。

　　內部審計與外部審計的關系

　　IT內部審計是企業內部的審計活動，是對信息系統功能實現的內部控制，也可看成是系統的組成部分，或是內部的系統質量控制。沒有內部IT審計，要保證系統所有功能的實現是困難的。而外部IT審計是對內部IT審計的檢查與評價，是對其有效性進行的判斷。可以說外部審計是對內部質量控制的再控制。從保障信息系統的安全、可靠與有效的角度看，內部IT審計與外部IT審計是一致的，但外部審計是對內部審計的再檢查與再評價。外部IT審計師在實施IT審計過程中與內部IT審計師接觸十分頻繁，要處理好關系，找出問題根源，并要保持各自的獨立性。