1.
信息系统审计的准备-审计部门
为了
实施信息系统审计,需要在事前进行充足的准备,以获得良好的审计效果。
为了导入信息系统审计,事先需要进行下列的活动:
·信息系统审计的环境构建、文化导入;
·
IT审计师的培养;
·各种审计相关规章的整备;
信息系统审计的宗旨在于提高作为企业中枢神经的信息系统的可靠性、安全性和开发、运营效率,使企业能够健康地运营和发展。要使信息系统审计能够达成既定目标,上级主管的完全授权是最重要的一环。
2. 信息系统审计的准备-被审计部门
IT审计师在实施信息系统审计的时候,常常要求被审计部门提供诸如文档之类相应的资料作为审计依据。
被审计部门为此事先应该对文档、操作说明书等进行整理和准备。还要准备好计算机安全措施、个人信息保密措施等实施情况的说明。这些资料要尽可能让IT审计师一目了然。通常,被审计部门(信息化部门,用户部门)需要准备的东西如下面所示。当然,有关的系统设计书、程序设计说明书之类的必须保持最新的更新状态。
信息化部门:
·系统开发计划书
·系统设计书
·系统构成图
·程序一览表
·信息管理相关规章
·操作指南
·故障对应指南
·计算机安全对策现状说明
用户部门:
·终端设备操作手册
·系统输出列表
·系统输入式样
·系统使用指南
3. 信息系统审计的实施步骤
信息系统审计的实施步骤如下所示:
审计计划
·基本计划(每年一度的审计计划,属于年度计划,概要性的计划)
·个别计划(个别,具体的审计实施计划,有实施细则)
审计实施
·审计通知(实施前1-3周通知被审计部门)
·预备调查(审计实施前准备)
·审计实施(实际的审计活动)
·审计意见整备(基于审计结果的记录和文档)
·评议会(基于审计结果,与被审计部门交换本次审计意见)
审计报告
·审计报告制作(完成信息系统审计报告)
·报告书提交(向上级主管提交信息系统审计报告)
·报告会(召集相应的干系人进行会议)
·改良指示(上级主管根据审计意见责令被审计部门进行相关的改良活动)
·审计追踪(IT审计师对改良情况进行检查)
4. 信息系统审计的留意点
在实施信息系统审计的时候为了确保审计高效的得以实施,必须制作相应的审计计划。
IT审计师在审计计划中必须明确审计的对象、审计目的、审计主题。
审计对象、审计主题的选定、优先度确定之类留意点可参照下面所述。
·企业经营方针、上级主管的需求
·信息化部门的问题、要求
·用户部门的问题、要求
·审计对象的业务特征
·信息系统的重要度
·审计对象业务的问题点及其解决紧迫度
·IT审计师自身的知识、经验
5. 信息系统审计的着眼点
下面是进行信息系统审计应该重点注意的地方:
安全:信息系统的物理安全性,防止非法使用
可靠:硬件、软件的正确运行
机密:基于数据访问权限的保密
合法:法律、法规、规章之类
适时:是否符合开发、导入、运营等的时间限制
成本:成本节约方面的效率
资源:资源利用方面的效率
有效:信息系统目标的达成度
6. 信息系统审计
技术 可以通过很多方法来实施信息审计,下面给出常见的几种方法,每种方法各有利弊,对这些方法进行组合使用,可以使信息系统审计得以更有效地得以实施。
商谈法:与信息化部门、用户及相关人员进行会谈
资料查阅法:对与信息系统相关的文档、程序进行查阅,核查
实地考察法:对机房、考勤以及业务终端、器材(例如POS)等进行实地考核
计算机审计法:利用计算机技术进行信息系统审计,常见一些利用计算机的方法有:
·
测试数据法
·程序审计
·审计模块
·ITF方法
·并行仿真
·快照
·追踪(Tracing)
·代码比较
7. 信息审计报告
根据信息系统审计实施的结果,IT审计师将之汇编成《信息系统审计报告》,向上级部门出示的同时,也要传送给相关的干系人。
信息系统审计报告由IT审计师独立编写,内容主要涵盖信息系统的可靠性,安全性和效率的现状以及问题点。同时给出改良建议。
《信息系统审计报告》的样式如下所示:
信息系统审计报告书
[题头]
报告日期;
上级主管部门名称;
上级主管姓名;
审计说明(概要);
[正文]
审计对象;
重点审计主题;
审计目的;
审计范围和审计实施步骤(概要);
实施期间;
被审计对象部门;
被审计人员及其
工作职能;
审计结果(概要)
1 可靠性
可靠性概要
可靠性评价
2 安全性
安全性概要
安全性评价
3 效率
效率概要
效率评价
主要存在的问题
改良建议
1 一般改良建议
2 紧急改良建议
8. 改良指示和改良追踪
信息系统审计的实施结果以审计报告的方式提交给上级主管,上级主管根据审计报告,向被审计部门提出改良的指示,被审计部门依照审计报告中的改良建议进行改良。
IT审计师需要对被审计部门的反馈(改良活动)进行复查和评价,该活动称为审计追踪;
通过审计追踪,能够确保审计效果的达成,同时还可以确保改良措施得到妥当地执行。
改良追踪的步骤如下所示:
信息系统审计的实施(审计部门)→ 信息系统审计报告书制作(审计部门)→ 对被审计部门提出改良指示(上级主管)→ 改良活动实施(被审计部门)→ 改良状况检查(审计部门)→ 改良状况再评价(审计部门)
以上是对信息系统审计(IT审计)一个概括性的讲述。
备注:有关IT审计师考试的情况
ISACA和日本通产省信息推进和处理机构。
前者于1969年成立并取名叫EDPAA(Electronic Data Processing Auditors Association,电子数据处理审计协会),后来于1994年改名为ISACA(Information System Audit and Control Association,信息系统审计和控制协会),号称全世界唯一的专业信息系统审计协会。CISA考试诞生于1978年,所有通过ISACA的CISA考试的学员皆称CISA(Certified Information Systems Auditor),学员来源大部分来自企业审计人员;ISACA全世界多个国家内设立考点,相对来说,培训费用较高,过级率比较高;
日本通产省信息推进和处理机构则是于1969年推出了系统监查员考试,是专门针对计算机专业人员的信息系统审计考试,由于对计算机专业知识要求极高,对参考学员的信息系统规划和开发经验有比较严格的要求,难度和声誉与系统分析员考试旗鼓相当,合格率平均在4%-6%左右。属于日本信息处理考试中的高级,同等级的系统分析员考试与中国的系统分析员考试互相承认,是难度极高的信息水平考试;
从双方机构的审计准则来看,CISA基于《IS Standards, Guidelines and Procedures for Auditing and Control Professionals》,CISA将信息当资产来看待,主要为提高信息资产的安全性着眼,知识范围包括信息系统的管理、计划、组织、开发,信息系统的基础环境、信息资产相关保护措施、灾难恢复计划和企业业务流程等。
系统监查员基于《IT审计准则》,将信息系统视为机器系统,着眼于提高信息系统的可靠性、安全性和有效性而战,与软件开发的质量控制,求得信息整体质量与投资的最佳组合,主要工作为信息系统的规划、开发和运行三段进行评价和建议。涉及的技术大部分属于计算机专业技术而非普通的管理方面的技术。
