信息系統審計
一、信息系統審計概念
信息系統審計是全部審計過程的一個部分,信息系統審計(ISaudit)目前還沒有固定通用的定義,美國信息系統審計的權威專家RonWeber將它定義為“收集并評估證據以決定一個計算機系統(信息系統)是否有效做到保護資產、維護數據完整、完成組織目標,同時最經濟的使用資源”。
信息系統審計的目的是評估并提供反饋、保證及建議。其關注之處可被分為如下三類:
可用性——商業高度依賴的信息系統能否在任何需要的時刻提供服務?信息系統是否被完好保護以應對各種的損失和災難?
保密性——系統保存的信息是否僅對需要這些信息的人員開放,而不對其他任何人開放?
完整性——信息系統提供的信息是否始終保持正確、可信、及時?能否防止未授權的對系統數據和軟件的修改?
二、信息系統審計產生動因及其發展
1、信息系統審計產生動因分析
關于信息系統審計的產生動因,目前國際上存在兩種觀點:
一種觀點認為是從會計審計發展到計算機審計再發展到信息系統審計(計算機審計的范圍擴展,最后涵蓋整個信息系統)演變過來的;
另外一種認為,由于信息系統尤其是大型信息系統的建設是一項龐大的系統工程,它投資大、周期長、高技術、高風險,在系統的建設過程中,對工程進行嚴格、規范的管理和控制至關重要。而正是由于信息系統工程所具有的這些特點,建設單位往往由于技術力量有限,無力對項目的技術、設備、進度、質量和風險進行控制,無法保證項目的實施成功。所以需要有第三方進行獨立審計。
2、信息系統審計在國際上的發展
信息系統審計的發展是伴隨著信息技術的發展而發展的。在數據處理電算化的初期,由于人們對計算機在數據處理中的應用所產生的影響沒有足夠的認識,認為計算機處理數據準確可靠,不會出現錯弊,因而很少對數據處理系統進行審計,主要是對計算機打印出的一部分資料進行傳統的手工審計。
隨著計算機在數據處理系統中應用的逐步擴大,利用計算機犯罪的案件不斷出現,使審計人員認識到要應用計算機輔助審計技術對電子數據處理系統本身進行審計,即EDI審計。同時隨著社會經濟的發展,審計對象、范圍越來越大,審計業務也越來越復雜,利用傳統的手工方法已不能及時完成審計任務,必須應用計算機輔助審計技術(CAATs)進行審計。
八十年代、九十年代信息技術的進一步發展與普及,使得企業越來越依賴信息及產生信息的信息系統。人們開始更多的關注信息系統的安全性、保密性、完整性及其實現企業目標的效率、效果,真正意義的信息系統審計才出現。隨著電子商務的全球普及,信息系統的審計對象、范圍及內容將逐漸擴大,采用的技術也將日益復雜。到目前為止,信息系統審計在全球來看,還是一個新的業務,從美國五大會計師事務所的數據看1990年擁有信息系統審計師12名到近百名,1995年已有500名,到2000年時,信息系統審計師正以40%——50%的速度增加,說明信息系統審計正逐漸受到重視。
美國在計算機進入實用階段時就開始提出系統審計(SYSTEMAUDIT),從成立電子數據處理審計協會(EDPAA后更名為ISACA)以來,從事系統審計活動已有三十多年歷史,成為信息系統審計的主要推動者,在全球建有一百多個分會,推出了一系列信息系統審計準則、職業道德準則等規范性文件,并開展了大量的理論研究,IT控制的開放式標準COBIT(ControlObjectivesforInformationandRelatedTechnology)已出版了第三版。
3、信息系統審計在國內的發展
目前國內有學者提出計算機審計,電算化審計,但基本上停留在對會計信息系統的審計上,延伸手工會計信息系統審計,尚未全面探討信息時代給審計業務帶來的深刻變化。以我國在1999年頒布了獨立審計準則第20號——計算機信息系統環境下的審計為例,其更多關注的是會計信息系統。在信息時代,面對加入WTO后全球一體化市場,我國IT服務業面臨巨大的挑戰,開展信息系統審計業務不失為推動我國IT服務業發展的一次絕佳機會。
三、信息系統審計的理論基礎
信息系統審計不僅僅是傳統審計業務的簡單擴展,信息技術不單影響傳統審計人員執行鑒證業務的能力,更重要的是公司和信息系統管理者都認識到信息資產是組織最有價值的資產,和傳統資產一樣需要控制,組織同時需要審計人員提供對信息資產控制的評價。因此信息系統審計是一門邊緣性學科,跨越多學科領域。
如圖3所示,信息系統審計是建立在四個理論基礎之上的:
傳統審計理論。傳統審計理論為信息系統審計提供了豐富的內部控制理論與實踐經驗,以保證所有交易數據都被正確處理。同時收集并評價證據的方法論也在信息系統審計中廣泛應用,最為重要的是傳統審計給信息系統審計帶來的控制哲學,即用謹慎的眼光審視信息系統在保護資產安全、保證信息完整,并能有效地實現企業目標的能力。
信息系統管理理論。信息系統管理理論是一門關于如何更好地管理信息系統的開發與運行過程的理論,它的發展提高了系統保護資產安全、保證信息完整,并能有效地實現企業目標的能力。
行為科學理論。人是信息系統安全最薄弱的環節,信息系統有時會因為人的問題而失敗,比如對系統不滿的用戶故意破壞系統及其控制。因此審計人員必須了解哪些行為因素可能導致系統失敗。這方面行為科學特別是組織學理論解釋了組織中產生的“人的問題”。
計算機科學。計算機科學本身的發展也在關注如何保護資產安全、保證信息完整,并能有效地實現企業目標。但是技術是一把雙刃劍,計算機科學的發展可以使審計人員降低對系統組件可靠性的關注,信息技術的進步也可能啟發犯罪,例如一個重要的問題是信息技術在會計制度中的應用是否給罪犯提供了較多緩沖時間?如果是,那么今天網絡犯罪產生的社會威脅較以往任何時候都要大。
圖4 :IS審計的理論基礎
相關文章:
信息系統監理與信息系統審計的對比分析1
信息系統監理與信息系統審計的對比分析2
信息系統監理與信息系統審計的對比分析3
信息系統監理與信息系統審計的對比分析4
四、信息系統審計的基本業務和依據
1、信息系統審計的基本業務
信息系統審計業務將隨著信息技術的發展而發展,為滿足信息使用者不斷變化的需要而增加新的服務內容,目前其基本業務如下:
系統開發審計,包括開發過程的審計、開發方法的審計,為IT規劃指導委員會及變革控制委員會提供咨詢服務;
主要數據中心、網絡、通訊設施的結構審計,包括財務系統和非財務系統的應用審計;
支持其他審計人員的工作,為財務審計人員與經營審計人員提供技術支持和培訓;
為組織提供增值服務,為管理信息系統人員提供技術、控制與安全指導;推動風險自評估程序的執行;
軟件及硬件供應商及外包服務商提供的方案、產品及服務質量是否與合同相符審計;
災難恢復和業務持續計劃審計;
對系統運營效能、投資回報率及應用開發測試審計;
系統的安全審計;
網站的信譽審計;
全面控制審計等。
一個信息系統不等同于一臺計算機。今天的信息系統是復雜的,由多個部分組成以做出商業解決方案。只有各個組成部分通過了評估,判定安全,才能保證整個信息系統的正常工作。對一個信息系統審計的主要組成部分分成以下幾類:
信息系統的管理、規劃與組織——評價信息系統的管理、計劃與組織方面的策略、政策、標準、程序和相關實務。
信息系統技術基礎設施與操作實務——評價組織在技術與操作基礎設施的管理和實施方面的有效性及效率,以確保其充分支持組織的商業目標。
資產的保護——對邏輯、環境與信息技術基礎設施的安全性進行評價,確保其能支持組織保護信息資產的需要,防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。
災難恢復與業務持續計劃——這些計劃是在發生災難時,能夠使組織持續進行業務,對這種計劃的建立和維護流程需要進行評價。
應用系統開發、獲得、實施與維護——對應用系統的開發、獲得、實施與維護方面所采用的方法和流程進行評價,以確保其滿足組織的業務目標。
業務流程評價與風險管理——評估業務系統與處理流程,確保根據組織的業務目標對相應風險實施管理。
2、信息系統審計的依據
信息系統審計師須了解規劃、執行及完成審計工作的步驟與技術,并盡量遵守國際信息系統審計與控制協會的一般公認信息系統審計準則、控制目標和其他法律與規定。
一般公認信息系統審計準則——包括職業準則、ISACA公告和職業道德規范。職業準則可歸類為:審計規章、獨立性、職業道德及規范、專業能力、規劃、審計工作的執行、報告、期后審計。ISACA公告是信息系統審計與控制協會對信息系統審計一般準則所做的說明。ISACA職業道德及規范提供針對協會會員或信息系統審計認證(CISA)持有者有關職業上及個人的指導規范。
信息系統的控制目標——信息系統審計與控制協會在1996年公布的COBIT(ControlObjectivesforInformationandrelatedTechnology)被國際上公認是最先進、最權威的安全與信息技術管理和控制的標準,目前已經更新至第三版。它在商業風險、控制需要和技術問題之間架起了一座橋梁,以滿足管理的多方面需要。面向業務是COBIT的主題。它不僅設計用于用戶和審計師,而且更重要的是可用于全面指導管理者與業務過程的所有者。商業實踐中越來越多的包含了對業務過程所有者的全面授權,因此他們承擔著業務過程所有方面的全部責任。
特別的是,這其中包含著要提供足夠的控制。Cobit框架為業務過程所有者提供了一個工具,以方便他們承擔責任。其框架包括四大部分:架構、控制目標、審計指南及執行概要。COBIT架構著重各項處理的高層次控制,控制目標則著重于各項IT處理或對該架構所包括的34項IT處理的特定詳細控制目標,每一項IT處理都有5至25個詳細控制目標,控制目標使整體架構和詳細控制目標密切對應,相互一致。詳細控制目標有18種主要來源,涵蓋現行的及法定有關IT的國際性準則與規定。這包括對各項IT工作所建置的控制程序擬達到的預期結果或目標的敘述,以提供全球所有的產業有關IT控制的明確方針及實際最佳的應用。
其他法律及規定。每個組織不論規模大小或屬于何種產業,都需要遵守政府或外部對與電腦系統運作、控制,及電腦、程序、信息的使用情況等有關的規定或要求,對于一向受嚴格管制的行業,尤其要注意遵守。以國際性銀行為例,若因不良備份及復原程序而無法提供適當的服務水準,其公司及員工將受嚴重處罰。此外,由于對EDP及信息系統的依賴性加重,許多國家極力建立更多有關信息系統審計的規定。這些規定內容是關于建置、組織、責任與財務及業務操作審計功能的關聯性。有關的管理階層人員必須考慮與組織目標、計劃及與信息服務部門/職能/工作的責任及工作等有關的外部規定或要求。
五、信息系統審計流程
開始審計工作的準備包括收集背景信息,估計完成審計需要的資源和技巧。包括合理進行人員分工。與負責的高級經理舉行一次正式的開始審計會議,最后決定范圍,理解特別關注之處,如果有的話,制定日程,解釋審計方法。這樣的會議有高級經理的參與,使人們互相認識,闡明問題強調商業關注點,使得審計工作得以順利進行。類似的,在審計完成后,也召開一次正式會議,向高級經理交流審計結果,提出改進建議。這將確保進一步的理解,增加審計建議的接納程度。也給了被審計者一個機會來表達他們對提出問題的觀點。會議之后書寫報告,可以大大增加審計的效果。
開始審計工作預備工作了解內部控制結構評價控制風險是否信賴內部控制?是否仍可信賴內部控制?內部控制測試評價控制風險是否提高內部控制的信賴程度?擴大實質性測試有限的實質性測試形成審計意見出具審計報告是否結束。
1 基于風險的審計方法
很多組織意識到技術能帶來的潛在好處。然而,成功的組織還能夠理解和管理好與采用新技術相關的很多風險。因此,審計從基于控制(ControlBased)演變為基于風險(RiskBased)的方法,其內涵包括企業風險、確定風險、風險評估、風險管理、風險溝通。
每個組織使用許多信息系統。對不同功能和活動有不同的應用軟件,在不同的地理區域可能有眾多的計算機配置。審計者面臨的問題是審計什么,什么時候及審計頻率。其答案是接納基于風險的方法。信息系統有著與生俱來的風險,這些風險用不同方式沖擊信息系統。對繁忙的零售超市,信息系統哪怕一個小時的不可用都會對營業系統造成嚴重影響。未授權的修改可能造成對在線銀行系統的欺詐及潛在損失。系統運行的技術環境也可能影響系統的運行風險。
2 基于風險方法來進行審計的步驟
編制組織使用的信息系統清單并對其進行分類。
決定哪些系統影響關鍵功能和資產。
評估哪些風險影響這些系統及對商業運做的沖擊。
在上述評估的基礎上對系統分級,決定審計優先值,資源,進度和頻率。審計者可以制定年度審計計劃,羅列出一年之中要進行的審計項目。
相關文章:
信息系統監理與信息系統審計的對比分析1
信息系統監理與信息系統審計的對比分析2
信息系統監理與信息系統審計的對比分析3
信息系統監理與信息系統審計的對比分析4
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:信息系統監理與信息系統審計的對比分析3
相關文章
