信息系統(tǒng)審計(jì)（IT審計(jì)）的實(shí)施

2014-11-08 20:45:02 大云網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

1 信息系統(tǒng)審計(jì)的準(zhǔn)備－審計(jì)部門(mén)　　為了實(shí)施信息系統(tǒng)審計(jì)，需要在事前進(jìn)行充足的準(zhǔn)備，以獲得良好的審計(jì)效果。為了導(dǎo)入信息系統(tǒng)審計(jì)，事先需要進(jìn)行下列的活動(dòng)：　　·信息系統(tǒng)審計(jì)的環(huán)境構(gòu)建、文化導(dǎo)入；　　

1. 信息系統(tǒng)審計(jì)的準(zhǔn)備－審計(jì)部門(mén)

　　為了實(shí)施信息系統(tǒng)審計(jì)，需要在事前進(jìn)行充足的準(zhǔn)備，以獲得良好的審計(jì)效果。

為了導(dǎo)入信息系統(tǒng)審計(jì)，事先需要進(jìn)行下列的活動(dòng)：

　　·信息系統(tǒng)審計(jì)的環(huán)境構(gòu)建、文化導(dǎo)入；

　　· IT審計(jì)師的培養(yǎng)；

　　·各種審計(jì)相關(guān)規(guī)章的整備；

　　信息系統(tǒng)審計(jì)的宗旨在于提高作為企業(yè)中樞神經(jīng)的信息系統(tǒng)的可靠性、安全性和開(kāi)發(fā)、運(yùn)營(yíng)效率，使企業(yè)能夠健康地運(yùn)營(yíng)和發(fā)展。要使信息系統(tǒng)審計(jì)能夠達(dá)成既定目標(biāo)，上級(jí)主管的完全授權(quán)是最重要的一環(huán)。

2. 信息系統(tǒng)審計(jì)的準(zhǔn)備－被審計(jì)部門(mén)

　　IT審計(jì)師在實(shí)施信息系統(tǒng)審計(jì)的時(shí)候，常常要求被審計(jì)部門(mén)提供諸如文檔之類(lèi)相應(yīng)的資料作為審計(jì)依據(jù)。

　　被審計(jì)部門(mén)為此事先應(yīng)該對(duì)文檔、操作說(shuō)明書(shū)等進(jìn)行整理和準(zhǔn)備。還要準(zhǔn)備好計(jì)算機(jī)安全措施、個(gè)人信息保密措施等實(shí)施情況的說(shuō)明。這些資料要盡可能讓IT審計(jì)師一目了然。通常，被審計(jì)部門(mén)（信息化部門(mén)，用戶(hù)部門(mén)）需要準(zhǔn)備的東西如下面所示。當(dāng)然，有關(guān)的系統(tǒng)設(shè)計(jì)書(shū)、程序設(shè)計(jì)說(shuō)明書(shū)之類(lèi)的必須保持最新的更新?tīng)顟B(tài)。

　　信息化部門(mén)：

　　·系統(tǒng)開(kāi)發(fā)計(jì)劃書(shū)

　　·系統(tǒng)設(shè)計(jì)書(shū)

　　·系統(tǒng)構(gòu)成圖

　　·程序一覽表

　　·信息管理相關(guān)規(guī)章

　　·操作指南

　　·故障對(duì)應(yīng)指南

　　·計(jì)算機(jī)安全對(duì)策現(xiàn)狀說(shuō)明

　　用戶(hù)部門(mén)：

　　·終端設(shè)備操作手冊(cè)

　　·系統(tǒng)輸出列表

　　·系統(tǒng)輸入式樣

　　·系統(tǒng)使用指南

3. 信息系統(tǒng)審計(jì)的實(shí)施步驟

　　信息系統(tǒng)審計(jì)的實(shí)施步驟如下所示：

　　審計(jì)計(jì)劃

　　·基本計(jì)劃（每年一度的審計(jì)計(jì)劃，屬于年度計(jì)劃，概要性的計(jì)劃）

　　·個(gè)別計(jì)劃（個(gè)別，具體的審計(jì)實(shí)施計(jì)劃，有實(shí)施細(xì)則）

　　審計(jì)實(shí)施

　　·審計(jì)通知（實(shí)施前1－3周通知被審計(jì)部門(mén)）

　　·預(yù)備調(diào)查（審計(jì)實(shí)施前準(zhǔn)備）

　　·審計(jì)實(shí)施（實(shí)際的審計(jì)活動(dòng)）

　　·審計(jì)意見(jiàn)整備（基于審計(jì)結(jié)果的記錄和文檔）

　　·評(píng)議會(huì)（基于審計(jì)結(jié)果，與被審計(jì)部門(mén)交換本次審計(jì)意見(jiàn)）

　　審計(jì)報(bào)告

　　·審計(jì)報(bào)告制作（完成信息系統(tǒng)審計(jì)報(bào)告）

　　·報(bào)告書(shū)提交（向上級(jí)主管提交信息系統(tǒng)審計(jì)報(bào)告）

　　·報(bào)告會(huì)（召集相應(yīng)的干系人進(jìn)行會(huì)議）

　　·改良指示（上級(jí)主管根據(jù)審計(jì)意見(jiàn)責(zé)令被審計(jì)部門(mén)進(jìn)行相關(guān)的改良活動(dòng)）

　　·審計(jì)追蹤（IT審計(jì)師對(duì)改良情況進(jìn)行檢查）

4. 信息系統(tǒng)審計(jì)的留意點(diǎn)

　　在實(shí)施信息系統(tǒng)審計(jì)的時(shí)候?yàn)榱舜_保審計(jì)高效的得以實(shí)施，必須制作相應(yīng)的審計(jì)計(jì)劃。

　　IT審計(jì)師在審計(jì)計(jì)劃中必須明確審計(jì)的對(duì)象、審計(jì)目的、審計(jì)主題。

　　審計(jì)對(duì)象、審計(jì)主題的選定、優(yōu)先度確定之類(lèi)留意點(diǎn)可參照下面所述。

　　·企業(yè)經(jīng)營(yíng)方針、上級(jí)主管的需求

　　·信息化部門(mén)的問(wèn)題、要求

　　·用戶(hù)部門(mén)的問(wèn)題、要求

　　·審計(jì)對(duì)象的業(yè)務(wù)特征

　　·信息系統(tǒng)的重要度

　　·審計(jì)對(duì)象業(yè)務(wù)的問(wèn)題點(diǎn)及其解決緊迫度

　　·IT審計(jì)師自身的知識(shí)、經(jīng)驗(yàn)

5. 信息系統(tǒng)審計(jì)的著眼點(diǎn)

　　下面是進(jìn)行信息系統(tǒng)審計(jì)應(yīng)該重點(diǎn)注意的地方：

　　安全：信息系統(tǒng)的物理安全性，防止非法使用

　　可靠：硬件、軟件的正確運(yùn)行

　　機(jī)密：基于數(shù)據(jù)訪問(wèn)權(quán)限的保密

　　合法：法律、法規(guī)、規(guī)章之類(lèi)

　　適時(shí)：是否符合開(kāi)發(fā)、導(dǎo)入、運(yùn)營(yíng)等的時(shí)間限制

　　成本：成本節(jié)約方面的效率

　　資源：資源利用方面的效率

　　有效：信息系統(tǒng)目標(biāo)的達(dá)成度

6.信息系統(tǒng)審計(jì)技術(shù)

　　可以通過(guò)很多方法來(lái)實(shí)施信息審計(jì)，下面給出常見(jiàn)的幾種方法，每種方法各有利弊，對(duì)這些方法進(jìn)行組合使用，可以使信息系統(tǒng)審計(jì)得以更有效地得以實(shí)施。

　　商談法：與信息化部門(mén)、用戶(hù)及相關(guān)人員進(jìn)行會(huì)談

　　資料查閱法：對(duì)與信息系統(tǒng)相關(guān)的文檔、程序進(jìn)行查閱，核查

　　實(shí)地考察法：對(duì)機(jī)房、考勤以及業(yè)務(wù)終端、器材（例如POS）等進(jìn)行實(shí)地考核

　　計(jì)算機(jī)審計(jì)法：利用計(jì)算機(jī)技術(shù)進(jìn)行信息系統(tǒng)審計(jì)，常見(jiàn)一些利用計(jì)算機(jī)的方法有：

　　·測(cè)試數(shù)據(jù)法

　　·程序?qū)徲?jì)

　　·審計(jì)模塊

　　·ITF方法

　　·并行仿真

　　·快照

　　·追蹤（Tracing）

　　·代碼比較

7. 信息審計(jì)報(bào)告

　　根據(jù)信息系統(tǒng)審計(jì)實(shí)施的結(jié)果，IT審計(jì)師將之匯編成《信息系統(tǒng)審計(jì)報(bào)告》，向上級(jí)部門(mén)出示的同時(shí)，也要傳送給相關(guān)的干系人。

　　信息系統(tǒng)審計(jì)報(bào)告由IT審計(jì)師獨(dú)立編寫(xiě)，內(nèi)容主要涵蓋信息系統(tǒng)的可靠性，安全性和效率的現(xiàn)狀以及問(wèn)題點(diǎn)。同時(shí)給出改良建議。

　　《信息系統(tǒng)審計(jì)報(bào)告》的樣式如下所示：

　　信息系統(tǒng)審計(jì)報(bào)告書(shū)

　　[題頭]

　　報(bào)告日期；

　　上級(jí)主管部門(mén)名稱(chēng)；

　　上級(jí)主管姓名；

　　審計(jì)說(shuō)明（概要）；

　　[正文]

　　審計(jì)對(duì)象；

　　重點(diǎn)審計(jì)主題；

　　審計(jì)目的；

　　審計(jì)范圍和審計(jì)實(shí)施步驟（概要）；

　　實(shí)施期間；

　　被審計(jì)對(duì)象部門(mén)；

　　被審計(jì)人員及其工作職能；

　　審計(jì)結(jié)果（概要）

　　 1 可靠性

　　可靠性概要

　　可靠性評(píng)價(jià)

　　2 安全性

　　安全性概要

　　安全性評(píng)價(jià)

　　 3 效率

　　效率概要

　　效率評(píng)價(jià)

　　主要存在的問(wèn)題

　　改良建議

　　1 一般改良建議

　　2 緊急改良建議

8. 改良指示和改良追蹤

　　信息系統(tǒng)審計(jì)的實(shí)施結(jié)果以審計(jì)報(bào)告的方式提交給上級(jí)主管，上級(jí)主管根據(jù)審計(jì)報(bào)告，向被審計(jì)部門(mén)提出改良的指示，被審計(jì)部門(mén)依照審計(jì)報(bào)告中的改良建議進(jìn)行改良。

　　IT審計(jì)師需要對(duì)被審計(jì)部門(mén)的反饋（改良活動(dòng)）進(jìn)行復(fù)查和評(píng)價(jià)，該活動(dòng)稱(chēng)為審計(jì)追蹤；

　　通過(guò)審計(jì)追蹤，能夠確保審計(jì)效果的達(dá)成，同時(shí)還可以確保改良措施得到妥當(dāng)?shù)貓?zhí)行。

　　改良追蹤的步驟如下所示：

　　信息系統(tǒng)審計(jì)的實(shí)施（審計(jì)部門(mén)）→　信息系統(tǒng)審計(jì)報(bào)告書(shū)制作（審計(jì)部門(mén)）→　對(duì)被審計(jì)部門(mén)提出改良指示（上級(jí)主管）→　改良活動(dòng)實(shí)施（被審計(jì)部門(mén)）→　改良狀況檢查（審計(jì)部門(mén)）→　改良狀況再評(píng)價(jià)（審計(jì)部門(mén)）

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊