談?wù)勂髽I(yè)信息系統(tǒng)審計(jì)
信息系統(tǒng)審計(jì)是通過審計(jì),督促信息技術(shù)管理人員有效地履行職責(zé),保證信息技術(shù)符合企業(yè)的戰(zhàn)略目標(biāo),提高信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準(zhǔn)確性,提高信息系統(tǒng)運(yùn)行的效果與效率,保證信息系統(tǒng)的運(yùn)行符合法律法規(guī)以及相關(guān)監(jiān)管要求。
一、制定審計(jì)計(jì)劃
內(nèi)部審計(jì)人員在實(shí)施信息系統(tǒng)審計(jì)前,確定重點(diǎn)審計(jì)范圍及審計(jì)活動的優(yōu)先次序,明確審計(jì)成員的職責(zé),編制信息系統(tǒng)審計(jì)方案。必要時,信息系統(tǒng)審計(jì)可利用外部專家的服務(wù)。
二、信息系統(tǒng)審計(jì)的內(nèi)容
1、組織層面應(yīng)當(dāng)考慮下列控制要素:環(huán)境、風(fēng)險評估、信息與溝通、內(nèi)部監(jiān)督。
2、對信息技術(shù)一般性控制的審計(jì)應(yīng)當(dāng)考慮下列控制活動:
(1)信息安全管理。企業(yè)的信息安全管理政策,物理訪問及針對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的身份認(rèn)證和邏輯訪問管理機(jī)制,系統(tǒng)設(shè)置的職責(zé)分離控制等。
(2)系統(tǒng)變更管理。企業(yè)的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的變更、參數(shù)設(shè)置變更的授權(quán)與審批,變更測試,變更移植到業(yè)務(wù)環(huán)境的流程控制等。
(3)系統(tǒng)開發(fā)和采購管理。企業(yè)的應(yīng)用系統(tǒng)及相關(guān)系統(tǒng)基礎(chǔ)架構(gòu)的開發(fā)和采購的授權(quán)審批,系統(tǒng)開發(fā)的方法,系統(tǒng)的測試、審核等環(huán)節(jié)。
(4)系統(tǒng)運(yùn)行管理。企業(yè)的信息技術(shù)資產(chǎn)管理、系統(tǒng)容量管理、系統(tǒng)物理環(huán)境控制、系統(tǒng)和數(shù)據(jù)備份及恢復(fù)管理、問題管理和系統(tǒng)的日常運(yùn)行管理等。
3、業(yè)務(wù)流程層面應(yīng)用控制是指在業(yè)務(wù)流程層面為了合理保證應(yīng)用系統(tǒng)準(zhǔn)確、完整、及時完成業(yè)務(wù)數(shù)據(jù)的生成、記錄、處理、報告等功能而設(shè)計(jì)、執(zhí)行的信息技術(shù)控制。對業(yè)務(wù)流程層面應(yīng)用控制的審計(jì)應(yīng)當(dāng)考慮下列與數(shù)據(jù)輸入、數(shù)據(jù)處理以及數(shù)據(jù)輸出環(huán)節(jié)相關(guān)的控制活動:
(1)授權(quán)與批準(zhǔn);(2)系統(tǒng)配置控制;(3)異常情況報告和差錯報告;(4)接口/轉(zhuǎn)換控制;(5)一致性核對;(6)職責(zé)分離;(7)系統(tǒng)訪問權(quán)限。
三、信息系統(tǒng)審計(jì)的方法
內(nèi)部審計(jì)人員在進(jìn)行信息系統(tǒng)審計(jì)時,可以單獨(dú)或者綜合運(yùn)用下列審計(jì)方法獲取相關(guān)、可靠和充分的審計(jì)證據(jù),以評估信息系統(tǒng)內(nèi)部控制的設(shè)計(jì)合理性和運(yùn)行有效性:
1、詢問相關(guān)控制人員;
2、觀察特定控制的運(yùn)用;
3、審閱文件和報告及計(jì)算機(jī)文檔或者日志;
4、根據(jù)信息系統(tǒng)的特性進(jìn)行穿行測試,追蹤業(yè)務(wù)在信息系統(tǒng)中的處理過程;
5、驗(yàn)證系統(tǒng)控制和計(jì)算邏輯;
6、登錄信息系統(tǒng)進(jìn)行系統(tǒng)查詢;
7、利用計(jì)算機(jī)輔助審計(jì)工具和技術(shù);
8、利用其他專業(yè)機(jī)構(gòu)的審計(jì)結(jié)果或者組織對信息技術(shù)內(nèi)部控制的自我評估結(jié)果。
四、審計(jì)報告
在信息系統(tǒng)審計(jì)實(shí)施結(jié)束后,應(yīng)以充分、可靠及相關(guān)的審計(jì)證據(jù)為依據(jù)得出審計(jì)結(jié)論與提出建議,出具審計(jì)報告,形成審計(jì)結(jié)果,并追蹤審計(jì)建議的落實(shí)并執(zhí)行相應(yīng)的后續(xù)審計(jì)程序。
(總經(jīng)理辦公室 高明之)
