信息系統(tǒng)審計(Information System Audit),又稱IT審計,是指根據(jù)公認(rèn)的審計準(zhǔn)則和審計標(biāo)準(zhǔn)、指南等對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進(jìn)行監(jiān)測、評估和控制的過程,以確認(rèn)預(yù)定的業(yè)務(wù)目標(biāo)得以實現(xiàn)。具體而言,信息系統(tǒng)審計以企業(yè)或政府等組織的信息系統(tǒng)為審計對象,通過現(xiàn)代的審計理論和IT治理理論,從企業(yè)信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的可用性和有效性等方面出發(fā),對信息系統(tǒng)是否能夠有效達(dá)到組織的業(yè)務(wù)戰(zhàn)略目標(biāo)進(jìn)行全面的檢測和評估,并為改善和健全組織對信息系統(tǒng)的控制提出詳細(xì)的建議。
信息系統(tǒng)審計業(yè)務(wù)可以通過獨立的外部審計(即獨立執(zhí)業(yè)的信息系統(tǒng)審計師)、企業(yè)內(nèi)部審計(企業(yè)內(nèi)審部門的成員)和作為財務(wù)審計的支撐(注冊會計師事務(wù)所的IT審計機構(gòu),財務(wù)審計小組的IT控制專家)而開展。信息系統(tǒng)審計的主要特點如下。
一、審計目標(biāo)
信息系統(tǒng)審計主要有四個目標(biāo):資產(chǎn)安全性、系統(tǒng)有效性、系統(tǒng)效率性和數(shù)據(jù)完整性。實施信息系統(tǒng)審計可以評價企業(yè)目前的IT治理情況,企業(yè)IT長期、短期戰(zhàn)略能否滿足企業(yè)總體目標(biāo)的實現(xiàn);評價和監(jiān)控系統(tǒng)開發(fā)和實施是否符合規(guī)范、合同、需求;評價外包服務(wù)商提供的產(chǎn)品和服務(wù)是否與合同相符,評價主要數(shù)據(jù)中心,網(wǎng)絡(luò)通訊設(shè)施的結(jié)構(gòu)設(shè)計、財務(wù)系統(tǒng)與非財務(wù)系統(tǒng)是否建立并實施了足夠的業(yè)務(wù)流程控制與安全控制;評價企業(yè)門戶系統(tǒng)是否為企業(yè)帶來足夠的信譽,支持其他審計人員工作,為財務(wù)審計人員與經(jīng)營審計人員提供技術(shù)支持和培訓(xùn)。為企業(yè)提供針對性的IT咨詢服務(wù);指導(dǎo)組織推廣實施IT控制自評程序,隨時進(jìn)行自我診斷。
由于現(xiàn)代企業(yè)的業(yè)務(wù)流程越來越依賴于信息系統(tǒng),因此對信息系統(tǒng)內(nèi)部控制的審計格外重要,加之近年來企業(yè)內(nèi)部控制弱點而導(dǎo)致的信息安全事件越發(fā)頻繁,針對企業(yè)內(nèi)控進(jìn)行定期審查和專項審查的呼聲越來越高。
二、法規(guī)遵循
隨著信息技術(shù)的發(fā)展,信息已經(jīng)滲透到我們?nèi)粘I钆c工作的方方面面,各個國家有關(guān)信息技術(shù)的法律法規(guī)也在陸續(xù)出臺。信息系統(tǒng)審計的一個重要職能就是首先要確定信息系統(tǒng)符合相關(guān)法律、法規(guī)的要求,使組織的行為受到現(xiàn)有法律、法規(guī)的約束,這是組織避免訴訟風(fēng)險的最重要的方面。例如,各國的銀行業(yè)都有針對銀行數(shù)據(jù)保護(hù)的立法,如果由于數(shù)據(jù)備份恢復(fù)程序不完備,而造成服務(wù)中斷,將面臨監(jiān)管部門的嚴(yán)厲處罰。
一些國家由于對信息系統(tǒng)及相關(guān)技術(shù)的依賴性日益增加,正在著手建立對信息系統(tǒng)審計進(jìn)行立法。這些法律的主要內(nèi)容有:對實施信息系統(tǒng)審計的法律要求、對信息系統(tǒng)審計組織的要求、信息系統(tǒng)審計過程中相關(guān)實體的責(zé)任,以及財務(wù)、業(yè)務(wù)及信息系統(tǒng)審計職能間的相互關(guān)系等。
信息系統(tǒng)審計師應(yīng)當(dāng)建議或者驗證管理層是否根據(jù)隱私保護(hù)法律法規(guī)的要求,制定了組織中適用的隱私保護(hù)策略,來保護(hù)個人數(shù)據(jù)的隱私及跨國界的數(shù)據(jù)流動。
組織各級管理層都應(yīng)當(dāng)了解與組織的業(yè)務(wù)目標(biāo)、業(yè)務(wù)計劃相關(guān)的外部法律法規(guī),也要了解與組織的信息服務(wù)部門、信息服務(wù)功能、信息服務(wù)活動相關(guān)的法律法規(guī)。有兩方面法規(guī)尤為重要。一是規(guī)范審計或信息系統(tǒng)審計活動的法律規(guī)則,二是與審計委托人的信息系統(tǒng)、數(shù)據(jù)管理及財務(wù)報告等方面相關(guān)的法律法規(guī)。后者無論是內(nèi)部審計還是外部審計方面都很重要,組織中任何違反法律法規(guī)的事項都將對組織的業(yè)務(wù)運營有負(fù)面影響,甚至可能帶來災(zāi)難。
2002年,美國國會發(fā)表了SOX法案(Sarbanes-OxleyAct:2002,《薩班斯——奧克斯法案》),該法案涉及了美國證券市場治理的各個方面,明確了所有上市公司都必須建立有效的內(nèi)部控制框架,以確保上市公司遵守證券法律,以提高公司信息披露的準(zhǔn)確性和可靠性,從而保護(hù)投資者利益等。SOX的出臺使COSO控制框架成為目前最主流的內(nèi)部控制標(biāo)準(zhǔn)。COSO中包括了對IT控制的明確要求,ISACA也及時推出了針對SOX與COSO相對照的COBIT控制框架,成為指導(dǎo)信息系統(tǒng)審計師進(jìn)行SOX符合性審計的有力工具。另一方面,根據(jù)Ernst&Young的調(diào)查報告,SOX法案404條款專案實施團隊的專業(yè)構(gòu)成中,有66%左右的成員具備信息系統(tǒng)審計經(jīng)驗。
三、審計內(nèi)容
信息系統(tǒng)審計的內(nèi)容包括一般控制與應(yīng)用控制。一般控制就是和具體的業(yè)務(wù)關(guān)系比較弱的控制,具體的一般控制內(nèi)容如用戶密碼控制、操作環(huán)境控制、職責(zé)分離、變更控制、開發(fā)控制、文檔控制、數(shù)據(jù)質(zhì)量、信息安全等。應(yīng)用控制和一般控制最大的區(qū)別在于應(yīng)用控制是和業(yè)務(wù)邏輯密切相關(guān)的,一般控制和業(yè)務(wù)邏輯無關(guān)或關(guān)系不大。以銀行業(yè)為例,如果審計某信貸管理系統(tǒng),信息系統(tǒng)審計師會重點審計信貸審批流程、客戶評級體系、貸款5級分類、利率管理、收費管理等等這些控制。例如信貸審批流程里的重點在于審計系統(tǒng)對貸前調(diào)查、資料完整性、信用額度管理、貸款權(quán)限分配等方面有無控制,以及控制是否起作用。如果存在系統(tǒng)控制,則認(rèn)為風(fēng)險較小,在實質(zhì)性測試階段可減小抽樣樣本量,否則增加樣本量。
應(yīng)用控制審計的審計發(fā)現(xiàn)不僅僅是系統(tǒng)設(shè)計開發(fā)方面的缺陷,更重要的發(fā)現(xiàn)與防止舞弊行為。從審計的內(nèi)容來看,應(yīng)用控制檢查與單位的日常業(yè)務(wù)處理關(guān)系更密切,審計發(fā)現(xiàn)也和財務(wù)報表等有更直接的關(guān)系,信息系統(tǒng)審計活動的增值性更加明顯,被審計單位管理層也容易理解和接受信息系統(tǒng)審計報告。否則很多企業(yè)管理層對一般控制的檢查結(jié)果將信將疑,他們認(rèn)為一直都是這樣,從來沒有出過問題。
四、審計過程
信息系統(tǒng)審計是一個過程,在此過程中搜集和評估證據(jù),以合理保證實現(xiàn)信息系統(tǒng)和相關(guān)資源充分保護(hù)資產(chǎn)、維持?jǐn)?shù)據(jù)和系統(tǒng)的完整性、提供相關(guān)和可靠的信息、有效實現(xiàn)組織機構(gòu)目標(biāo)、有效使用資源、有效內(nèi)部控制等。通用的信息系統(tǒng)審計過程分為四步:
(一)獲取企業(yè)IT控制和風(fēng)險信息
審計目的:為了使審計師能夠熟悉審計目標(biāo)所涉及的任務(wù),并且了解被審計單位是如何確認(rèn)他們已經(jīng)實施了有效的IT控制,包括識別出已實施的任務(wù)和規(guī)定的控制程序相關(guān)的人員、過程和地點。
審計程序:首先,對被審計單位進(jìn)行調(diào)研,并將控制目標(biāo)下的相關(guān)活動用文檔記錄下來,對管理層聲明已實施的控制措施與程序進(jìn)行識別,以確認(rèn)其存在性。其次,與相關(guān)的管理者和員工進(jìn)行訪談,以理解業(yè)務(wù)需求特點和相關(guān)的風(fēng)險、組織結(jié)構(gòu)、角色和職務(wù)、政策和程序、法律和法規(guī)、已有的控制措施、管理報告(狀態(tài)、性能、行動項目)。最后,以書面文檔記錄與控制過程相關(guān)的IT資源,特別是那些受到被審計的IT過程影響的IT資源。確認(rèn)理解了待審核的IT過程,該IT過程的關(guān)鍵性能指標(biāo)KPI、實際的控制情況等。
(二)評價現(xiàn)有控制的適宜性
審計目的:評估企業(yè)當(dāng)前已有控制措施的有效性和達(dá)到控制目的的程度,主要是決定測試什么、是否測試、如何測試。
審計程序:通過對比已確定的標(biāo)準(zhǔn)和行業(yè)最佳實踐,控制方法的關(guān)鍵成功要素CSF和利用滲及時的職業(yè)判斷來評價待審計過程應(yīng)用的控制措施的適宜性:存在文檔化的過程、存在適宜的輸出、職責(zé)和責(zé)任是明確的有效地、在必要時,存在補償控制。對實現(xiàn)控制目標(biāo)的程度作出結(jié)論。
通過評估現(xiàn)有的控制程序,以確認(rèn)此程序是否提供了有效的控制。評估時要利用公認(rèn)的審計準(zhǔn)則、行業(yè)標(biāo)準(zhǔn)和必要的審計職業(yè)判斷。同時,一個有效的控制結(jié)構(gòu)應(yīng)當(dāng)在任務(wù)已經(jīng)被執(zhí)行,控制目標(biāo)已經(jīng)達(dá)到提供合理保證的前提下,符合成本效益原則,節(jié)省人力、財力與物力。
(三)符合性測試
審計目的:對組織符合規(guī)定的控制程序的程度進(jìn)行分析,把實際的的控制程序及補償性控制措施與規(guī)定的程序進(jìn)行對比,并進(jìn)行文檔檢查、訪談相關(guān)人員,以判斷控制是否被正確地、持續(xù)地實施。
審計程序:首先,通過測試規(guī)定的控制是否按規(guī)定、一致地、持續(xù)地起作用。得到所選控制項目和階段的直接或間接的證據(jù)。其次,使用直接或間接的證據(jù)來保證待審核的項目和階段一直遵守相關(guān)控制程序的要求。最后,對過程或結(jié)果的充分性進(jìn)行有限的審核。為了證明IT過程是充分的,確定需要進(jìn)行實質(zhì)性測試的程度和其他需要進(jìn)行的工作。一般只對被證明有效的控制程序符合性測試。符合性測試的流程圖如圖1所示。
圖1 信息系統(tǒng)審計過程中的符合性測試流程圖
(四)進(jìn)行實質(zhì)性測試
審計目的:進(jìn)行必要的數(shù)據(jù)測試,就給定的業(yè)務(wù)目標(biāo)是否達(dá)到,為管理層提供最終的保證。證明信息系統(tǒng)審計師的審計判斷。
審計流程:通過分析技術(shù)和/或可靠的信息來源,證明控制目標(biāo)的風(fēng)險不存在;蛘咦C實控制目標(biāo)沒有被實現(xiàn)時所帶來的風(fēng)險。信息系統(tǒng)審計師要創(chuàng)造性地尋找和提出通常被認(rèn)為是敏感的機密信息,書面記錄下控制弱點及其引起的威脅和漏洞;識別并記錄實際的影響和潛在的影響,例如利用因果分析法,提供比較信息等。例如,通過基準(zhǔn)比較的方法,給被審計單位管理層提出控制弱點和改進(jìn)建議。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:淺議信息系統(tǒng)審計的特點
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121810020.html