企業如何進行信息系統的審計

2014-11-08 22:47:28 大云網　點擊量：評論 (0)

1 信息系統審計的定義信息系統審計是一個獲取并評價證據，以判斷計算機系統是否能夠保證資產的安全、數據的完整，以及有效率地利用組織的資源并有效果地實現組織目標的過程。由于信息技術在經營、管理領域的

1.信息系統審計的定義

信息系統審計是一個獲取并評價證據，以判斷計算機系統是否能夠保證資產的安全、數據的完整，以及有效率地利用組織的資源并有效果地實現組織目標的過程。由于信息技術在經營、管理領域的廣泛運用，信息系統審計已經貫穿在各種審計之中，成為審計全過程的一部分。

信息系統審計是一種控制信息系統風險的有效方式，它是從獨立的、第三方的角度來審視信息化過程中的各種風險，合理地鑒證被審計單位信息系統及其處理、生產的信息的真實性、完整性、可靠性，以及政策遵循的一貫性，并可對IT的績效進行審計，以發現偏離，促進及時進行調整。

信息系統審計作為新興的職業和學科體系，近年來逐漸升溫，獲得信息系統審計師資質認證的專業人員也在快速增加，顯示了信息系統審計的發展需求，美國等發達國家很早就開展有獨立資格的第三方進行的信息系統審計，建立了完善的信息審計制度。從國內信息化建設的現狀及對信息安全的實際需要來看，我國企業也開始接受信息系統審計理論。

中國人民銀行支付與科技司司長陳靜指出：“信息安全越來越成為銀行信息化建設與管理中需要密切關注的問題。企業對信息安全的重視程度和資金投入，將逐漸從單一的產品和技術向整體解決方案過渡，同時從封閉式的設計、實施與管理，不斷與完善的、具有適當資質的、獨立的第三方審計相結合，這是未來發展的一個趨勢。

2.信息系統審計的內容

對銀行信息系統進行審計的內容主要集中在以下幾個方面：

·對信息系統的管理、規劃與組織的審計--評價組織信息系統的管理、計劃與組織方面的策略、政策、標準、程序和相關實務。

·對信息系統技術基礎設施與操作實務的審計--評價組織在技術基礎設施與操作實務的管理和實施方面的有效性及效率，以確保其充分支持組織的商業目標。

·對信息資產的保護的審計--對邏輯、環境與信息技術基礎設施的安全性進行評價，確保其支持組織保護信息資產的需要，防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。

·對災難恢復與業務持續計劃的審計--這些計劃是在發生災難時，能夠使組織持續進行業務，對這種計劃的建立和維護流程需要進行評價。

·對應用系統開發、獲得、實施與維護的審計--對組織業務應用系統的開發、獲取、實施與維護方面所采用的方法和流程進行評價，以確保其滿足組織的業務目標。

·對IT相關業務流程的審計--評估組織業務系統與處理流程，確保根據組織的業務目標對相應風險實施管理。

·與信息安全相關的人力資源管理的審計--評估與安全相關的人力資源管理政策、程序、實務，以及“信息安全，人人有責“的企業文化。

信息系統審計工作可以分為兩大類：一種是組織自行完成的內部審計，內部審計的主要目的是檢查組織各部門對安全保障制度的遵守情況，要保證內部審計師在他們能自由地和客觀地進行工作時是獨立的，獨立性可使內部審計師提出公正和不偏不倚的判斷意見。信息系統審計執行主管應該對審計委員會、董事會或其他治理機構報告業務工作，向機構的首席執行官報告行政工作。另一種是由會計師事務所或專業技術服務提供商完成的外部審計。外部審計通常是因為上市、并購、年終檢查或其他法規的要求而進行，一般都很正規，也非常深入。進行信息審計的受托方應當獨立于委托方，以保證信息系統審計的客觀性與公正性。

3.信息系統審計的過程

1）調查

該審計步驟用來將控制目標下的相關活動用文檔記錄下來，對組織聲稱已實施的控制措施與程序進行識別，并且確認其存在。

與相關的管理者和員工進行會見，以理解：

·業務需求好相關的風險。

·組織結構。

·角色和職責。

·政策和程序。

·法律和法規。

·已有的控制措施。

·管理報告（狀態、性能、行動項目）。

用文檔記錄與過程相關的IT資源，特別是那些被審計的IT流程所影響的IT資源。確認理解了審核的過程、過程的關鍵性能指標（KPI）、實際的控制狀況。例如，可以通過對過程的抽查來進行了解。