信息系統(tǒng)審計(jì)
一、信息系統(tǒng)審計(jì)概念
信息系統(tǒng)審計(jì)是全部審計(jì)過(guò)程的一個(gè)部分,信息系統(tǒng)審計(jì)(ISaudit)目前還沒(méi)有固定通用的定義,美國(guó)信息系統(tǒng)審計(jì)的權(quán)威專家RonWeber將它定義為“收集并評(píng)估證據(jù)以決定一個(gè)計(jì)算機(jī)系統(tǒng)(信息系統(tǒng))是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo),同時(shí)最經(jīng)濟(jì)的使用資源”。
信息系統(tǒng)審計(jì)的目的是評(píng)估并提供反饋、保證及建議。其關(guān)注之處可被分為如下三類:
可用性——商業(yè)高度依賴的信息系統(tǒng)能否在任何需要的時(shí)刻提供服務(wù)?信息系統(tǒng)是否被完好保護(hù)以應(yīng)對(duì)各種的損失和災(zāi)難?
保密性——系統(tǒng)保存的信息是否僅對(duì)需要這些信息的人員開(kāi)放,而不對(duì)其他任何人開(kāi)放?
完整性——信息系統(tǒng)提供的信息是否始終保持正確、可信、及時(shí)?能否防止未授權(quán)的對(duì)系統(tǒng)數(shù)據(jù)和軟件的修改?
二、信息系統(tǒng)審計(jì)產(chǎn)生動(dòng)因及其發(fā)展
1、信息系統(tǒng)審計(jì)產(chǎn)生動(dòng)因分析
關(guān)于信息系統(tǒng)審計(jì)的產(chǎn)生動(dòng)因,目前國(guó)際上存在兩種觀點(diǎn):
一種觀點(diǎn)認(rèn)為是從會(huì)計(jì)審計(jì)發(fā)展到計(jì)算機(jī)審計(jì)再發(fā)展到信息系統(tǒng)審計(jì)(計(jì)算機(jī)審計(jì)的范圍擴(kuò)展,最后涵蓋整個(gè)信息系統(tǒng))演變過(guò)來(lái)的;
另外一種認(rèn)為,由于信息系統(tǒng)尤其是大型信息系統(tǒng)的建設(shè)是一項(xiàng)龐大的系統(tǒng)工程,它投資大、周期長(zhǎng)、高技術(shù)、高風(fēng)險(xiǎn),在系統(tǒng)的建設(shè)過(guò)程中,對(duì)工程進(jìn)行嚴(yán)格、規(guī)范的管理和控制至關(guān)重要。而正是由于信息系統(tǒng)工程所具有的這些特點(diǎn),建設(shè)單位往往由于技術(shù)力量有限,無(wú)力對(duì)項(xiàng)目的技術(shù)、設(shè)備、進(jìn)度、質(zhì)量和風(fēng)險(xiǎn)進(jìn)行控制,無(wú)法保證項(xiàng)目的實(shí)施成功。所以需要有第三方進(jìn)行獨(dú)立審計(jì)。
2、信息系統(tǒng)審計(jì)在國(guó)際上的發(fā)展
信息系統(tǒng)審計(jì)的發(fā)展是伴隨著信息技術(shù)的發(fā)展而發(fā)展的。在數(shù)據(jù)處理電算化的初期,由于人們對(duì)計(jì)算機(jī)在數(shù)據(jù)處理中的應(yīng)用所產(chǎn)生的影響沒(méi)有足夠的認(rèn)識(shí),認(rèn)為計(jì)算機(jī)處理數(shù)據(jù)準(zhǔn)確可靠,不會(huì)出現(xiàn)錯(cuò)弊,因而很少對(duì)數(shù)據(jù)處理系統(tǒng)進(jìn)行審計(jì),主要是對(duì)計(jì)算機(jī)打印出的一部分資料進(jìn)行傳統(tǒng)的手工審計(jì)。
隨著計(jì)算機(jī)在數(shù)據(jù)處理系統(tǒng)中應(yīng)用的逐步擴(kuò)大,利用計(jì)算機(jī)犯罪的案件不斷出現(xiàn),使審計(jì)人員認(rèn)識(shí)到要應(yīng)用計(jì)算機(jī)輔助審計(jì)技術(shù)對(duì)電子數(shù)據(jù)處理系統(tǒng)本身進(jìn)行審計(jì),即EDI審計(jì)。同時(shí)隨著社會(huì)經(jīng)濟(jì)的發(fā)展,審計(jì)對(duì)象、范圍越來(lái)越大,審計(jì)業(yè)務(wù)也越來(lái)越復(fù)雜,利用傳統(tǒng)的手工方法已不能及時(shí)完成審計(jì)任務(wù),必須應(yīng)用計(jì)算機(jī)輔助審計(jì)技術(shù)(CAATs)進(jìn)行審計(jì)。
八十年代、九十年代信息技術(shù)的進(jìn)一步發(fā)展與普及,使得企業(yè)越來(lái)越依賴信息及產(chǎn)生信息的信息系統(tǒng)。人們開(kāi)始更多的關(guān)注信息系統(tǒng)的安全性、保密性、完整性及其實(shí)現(xiàn)企業(yè)目標(biāo)的效率、效果,真正意義的信息系統(tǒng)審計(jì)才出現(xiàn)。隨著電子商務(wù)的全球普及,信息系統(tǒng)的審計(jì)對(duì)象、范圍及內(nèi)容將逐漸擴(kuò)大,采用的技術(shù)也將日益復(fù)雜。到目前為止,信息系統(tǒng)審計(jì)在全球來(lái)看,還是一個(gè)新的業(yè)務(wù),從美國(guó)五大會(huì)計(jì)師事務(wù)所的數(shù)據(jù)看1990年擁有信息系統(tǒng)審計(jì)師12名到近百名,1995年已有500名,到2000年時(shí),信息系統(tǒng)審計(jì)師正以40%——50%的速度增加,說(shuō)明信息系統(tǒng)審計(jì)正逐漸受到重視。
美國(guó)在計(jì)算機(jī)進(jìn)入實(shí)用階段時(shí)就開(kāi)始提出系統(tǒng)審計(jì)(SYSTEMAUDIT),從成立電子數(shù)據(jù)處理審計(jì)協(xié)會(huì)(EDPAA后更名為ISACA)以來(lái),從事系統(tǒng)審計(jì)活動(dòng)已有三十多年歷史,成為信息系統(tǒng)審計(jì)的主要推動(dòng)者,在全球建有一百多個(gè)分會(huì),推出了一系列信息系統(tǒng)審計(jì)準(zhǔn)則、職業(yè)道德準(zhǔn)則等規(guī)范性文件,并開(kāi)展了大量的理論研究,IT控制的開(kāi)放式標(biāo)準(zhǔn)COBIT(ControlObjectivesforInformationandRelatedTechnology)已出版了第三版。
3、信息系統(tǒng)審計(jì)在國(guó)內(nèi)的發(fā)展
目前國(guó)內(nèi)有學(xué)者提出計(jì)算機(jī)審計(jì),電算化審計(jì),但基本上停留在對(duì)會(huì)計(jì)信息系統(tǒng)的審計(jì)上,延伸手工會(huì)計(jì)信息系統(tǒng)審計(jì),尚未全面探討信息時(shí)代給審計(jì)業(yè)務(wù)帶來(lái)的深刻變化。以我國(guó)在1999年頒布了獨(dú)立審計(jì)準(zhǔn)則第20號(hào)——計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)為例,其更多關(guān)注的是會(huì)計(jì)信息系統(tǒng)。在信息時(shí)代,面對(duì)加入WTO后全球一體化市場(chǎng),我國(guó)IT服務(wù)業(yè)面臨巨大的挑戰(zhàn),開(kāi)展信息系統(tǒng)審計(jì)業(yè)務(wù)不失為推動(dòng)我國(guó)IT服務(wù)業(yè)發(fā)展的一次絕佳機(jī)會(huì)。
三、信息系統(tǒng)審計(jì)的理論基礎(chǔ)
信息系統(tǒng)審計(jì)不僅僅是傳統(tǒng)審計(jì)業(yè)務(wù)的簡(jiǎn)單擴(kuò)展,信息技術(shù)不單影響傳統(tǒng)審計(jì)人員執(zhí)行鑒證業(yè)務(wù)的能力,更重要的是公司和信息系統(tǒng)管理者都認(rèn)識(shí)到信息資產(chǎn)是組織最有價(jià)值的資產(chǎn),和傳統(tǒng)資產(chǎn)一樣需要控制,組織同時(shí)需要審計(jì)人員提供對(duì)信息資產(chǎn)控制的評(píng)價(jià)。因此信息系統(tǒng)審計(jì)是一門邊緣性學(xué)科,跨越多學(xué)科領(lǐng)域。
如圖3所示,信息系統(tǒng)審計(jì)是建立在四個(gè)理論基礎(chǔ)之上的:
傳統(tǒng)審計(jì)理論。傳統(tǒng)審計(jì)理論為信息系統(tǒng)審計(jì)提供了豐富的內(nèi)部控制理論與實(shí)踐經(jīng)驗(yàn),以保證所有交易數(shù)據(jù)都被正確處理。同時(shí)收集并評(píng)價(jià)證據(jù)的方法論也在信息系統(tǒng)審計(jì)中廣泛應(yīng)用,最為重要的是傳統(tǒng)審計(jì)給信息系統(tǒng)審計(jì)帶來(lái)的控制哲學(xué),即用謹(jǐn)慎的眼光審視信息系統(tǒng)在保護(hù)資產(chǎn)安全、保證信息完整,并能有效地實(shí)現(xiàn)企業(yè)目標(biāo)的能力。
信息系統(tǒng)管理理論。信息系統(tǒng)管理理論是一門關(guān)于如何更好地管理信息系統(tǒng)的開(kāi)發(fā)與運(yùn)行過(guò)程的理論,它的發(fā)展提高了系統(tǒng)保護(hù)資產(chǎn)安全、保證信息完整,并能有效地實(shí)現(xiàn)企業(yè)目標(biāo)的能力。
行為科學(xué)理論。人是信息系統(tǒng)安全最薄弱的環(huán)節(jié),信息系統(tǒng)有時(shí)會(huì)因?yàn)槿说膯?wèn)題而失敗,比如對(duì)系統(tǒng)不滿的用戶故意破壞系統(tǒng)及其控制。因此審計(jì)人員必須了解哪些行為因素可能導(dǎo)致系統(tǒng)失敗。這方面行為科學(xué)特別是組織學(xué)理論解釋了組織中產(chǎn)生的“人的問(wèn)題”。
計(jì)算機(jī)科學(xué)。計(jì)算機(jī)科學(xué)本身的發(fā)展也在關(guān)注如何保護(hù)資產(chǎn)安全、保證信息完整,并能有效地實(shí)現(xiàn)企業(yè)目標(biāo)。但是技術(shù)是一把雙刃劍,計(jì)算機(jī)科學(xué)的發(fā)展可以使審計(jì)人員降低對(duì)系統(tǒng)組件可靠性的關(guān)注,信息技術(shù)的進(jìn)步也可能啟發(fā)犯罪,例如一個(gè)重要的問(wèn)題是信息技術(shù)在會(huì)計(jì)制度中的應(yīng)用是否給罪犯提供了較多緩沖時(shí)間?如果是,那么今天網(wǎng)絡(luò)犯罪產(chǎn)生的社會(huì)威脅較以往任何時(shí)候都要大。
圖4 :IS審計(jì)的理論基礎(chǔ)
相關(guān)文章:
信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)的對(duì)比分析1
信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)的對(duì)比分析2
信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)的對(duì)比分析3
信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)的對(duì)比分析4
四、信息系統(tǒng)審計(jì)的基本業(yè)務(wù)和依據(jù)
1、信息系統(tǒng)審計(jì)的基本業(yè)務(wù)
信息系統(tǒng)審計(jì)業(yè)務(wù)將隨著信息技術(shù)的發(fā)展而發(fā)展,為滿足信息使用者不斷變化的需要而增加新的服務(wù)內(nèi)容,目前其基本業(yè)務(wù)如下:
系統(tǒng)開(kāi)發(fā)審計(jì),包括開(kāi)發(fā)過(guò)程的審計(jì)、開(kāi)發(fā)方法的審計(jì),為IT規(guī)劃指導(dǎo)委員會(huì)及變革控制委員會(huì)提供咨詢服務(wù);
主要數(shù)據(jù)中心、網(wǎng)絡(luò)、通訊設(shè)施的結(jié)構(gòu)審計(jì),包括財(cái)務(wù)系統(tǒng)和非財(cái)務(wù)系統(tǒng)的應(yīng)用審計(jì);
支持其他審計(jì)人員的工作,為財(cái)務(wù)審計(jì)人員與經(jīng)營(yíng)審計(jì)人員提供技術(shù)支持和培訓(xùn);
為組織提供增值服務(wù),為管理信息系統(tǒng)人員提供技術(shù)、控制與安全指導(dǎo);推動(dòng)風(fēng)險(xiǎn)自評(píng)估程序的執(zhí)行;
軟件及硬件供應(yīng)商及外包服務(wù)商提供的方案、產(chǎn)品及服務(wù)質(zhì)量是否與合同相符審計(jì);
災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃審計(jì);
對(duì)系統(tǒng)運(yùn)營(yíng)效能、投資回報(bào)率及應(yīng)用開(kāi)發(fā)測(cè)試審計(jì);
系統(tǒng)的安全審計(jì);
網(wǎng)站的信譽(yù)審計(jì);
全面控制審計(jì)等。
一個(gè)信息系統(tǒng)不等同于一臺(tái)計(jì)算機(jī)。今天的信息系統(tǒng)是復(fù)雜的,由多個(gè)部分組成以做出商業(yè)解決方案。只有各個(gè)組成部分通過(guò)了評(píng)估,判定安全,才能保證整個(gè)信息系統(tǒng)的正常工作。對(duì)一個(gè)信息系統(tǒng)審計(jì)的主要組成部分分成以下幾類:
信息系統(tǒng)的管理、規(guī)劃與組織——評(píng)價(jià)信息系統(tǒng)的管理、計(jì)劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。
信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)——評(píng)價(jià)組織在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實(shí)施方面的有效性及效率,以確保其充分支持組織的商業(yè)目標(biāo)。
資產(chǎn)的保護(hù)——對(duì)邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià),確保其能支持組織保護(hù)信息資產(chǎn)的需要,防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。
災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃——這些計(jì)劃是在發(fā)生災(zāi)難時(shí),能夠使組織持續(xù)進(jìn)行業(yè)務(wù),對(duì)這種計(jì)劃的建立和維護(hù)流程需要進(jìn)行評(píng)價(jià)。
應(yīng)用系統(tǒng)開(kāi)發(fā)、獲得、實(shí)施與維護(hù)——對(duì)應(yīng)用系統(tǒng)的開(kāi)發(fā)、獲得、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評(píng)價(jià),以確保其滿足組織的業(yè)務(wù)目標(biāo)。
業(yè)務(wù)流程評(píng)價(jià)與風(fēng)險(xiǎn)管理——評(píng)估業(yè)務(wù)系統(tǒng)與處理流程,確保根據(jù)組織的業(yè)務(wù)目標(biāo)對(duì)相應(yīng)風(fēng)險(xiǎn)實(shí)施管理。
2、信息系統(tǒng)審計(jì)的依據(jù)
信息系統(tǒng)審計(jì)師須了解規(guī)劃、執(zhí)行及完成審計(jì)工作的步驟與技術(shù),并盡量遵守國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)的一般公認(rèn)信息系統(tǒng)審計(jì)準(zhǔn)則、控制目標(biāo)和其他法律與規(guī)定。
一般公認(rèn)信息系統(tǒng)審計(jì)準(zhǔn)則——包括職業(yè)準(zhǔn)則、ISACA公告和職業(yè)道德規(guī)范。職業(yè)準(zhǔn)則可歸類為:審計(jì)規(guī)章、獨(dú)立性、職業(yè)道德及規(guī)范、專業(yè)能力、規(guī)劃、審計(jì)工作的執(zhí)行、報(bào)告、期后審計(jì)。ISACA公告是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)對(duì)信息系統(tǒng)審計(jì)一般準(zhǔn)則所做的說(shuō)明。ISACA職業(yè)道德及規(guī)范提供針對(duì)協(xié)會(huì)會(huì)員或信息系統(tǒng)審計(jì)認(rèn)證(CISA)持有者有關(guān)職業(yè)上及個(gè)人的指導(dǎo)規(guī)范。
信息系統(tǒng)的控制目標(biāo)——信息系統(tǒng)審計(jì)與控制協(xié)會(huì)在1996年公布的COBIT(ControlObjectivesforInformationandrelatedTechnology)被國(guó)際上公認(rèn)是最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn),目前已經(jīng)更新至第三版。它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問(wèn)題之間架起了一座橋梁,以滿足管理的多方面需要。面向業(yè)務(wù)是COBIT的主題。它不僅設(shè)計(jì)用于用戶和審計(jì)師,而且更重要的是可用于全面指導(dǎo)管理者與業(yè)務(wù)過(guò)程的所有者。商業(yè)實(shí)踐中越來(lái)越多的包含了對(duì)業(yè)務(wù)過(guò)程所有者的全面授權(quán),因此他們承擔(dān)著業(yè)務(wù)過(guò)程所有方面的全部責(zé)任。
特別的是,這其中包含著要提供足夠的控制。Cobit框架為業(yè)務(wù)過(guò)程所有者提供了一個(gè)工具,以方便他們承擔(dān)責(zé)任。其框架包括四大部分:架構(gòu)、控制目標(biāo)、審計(jì)指南及執(zhí)行概要。COBIT架構(gòu)著重各項(xiàng)處理的高層次控制,控制目標(biāo)則著重于各項(xiàng)IT處理或?qū)υ摷軜?gòu)所包括的34項(xiàng)IT處理的特定詳細(xì)控制目標(biāo),每一項(xiàng)IT處理都有5至25個(gè)詳細(xì)控制目標(biāo),控制目標(biāo)使整體架構(gòu)和詳細(xì)控制目標(biāo)密切對(duì)應(yīng),相互一致。詳細(xì)控制目標(biāo)有18種主要來(lái)源,涵蓋現(xiàn)行的及法定有關(guān)IT的國(guó)際性準(zhǔn)則與規(guī)定。這包括對(duì)各項(xiàng)IT工作所建置的控制程序擬達(dá)到的預(yù)期結(jié)果或目標(biāo)的敘述,以提供全球所有的產(chǎn)業(yè)有關(guān)IT控制的明確方針及實(shí)際最佳的應(yīng)用。
其他法律及規(guī)定。每個(gè)組織不論規(guī)模大小或?qū)儆诤畏N產(chǎn)業(yè),都需要遵守政府或外部對(duì)與電腦系統(tǒng)運(yùn)作、控制,及電腦、程序、信息的使用情況等有關(guān)的規(guī)定或要求,對(duì)于一向受嚴(yán)格管制的行業(yè),尤其要注意遵守。以國(guó)際性銀行為例,若因不良備份及復(fù)原程序而無(wú)法提供適當(dāng)?shù)姆⻊?wù)水準(zhǔn),其公司及員工將受嚴(yán)重處罰。此外,由于對(duì)EDP及信息系統(tǒng)的依賴性加重,許多國(guó)家極力建立更多有關(guān)信息系統(tǒng)審計(jì)的規(guī)定。這些規(guī)定內(nèi)容是關(guān)于建置、組織、責(zé)任與財(cái)務(wù)及業(yè)務(wù)操作審計(jì)功能的關(guān)聯(lián)性。有關(guān)的管理階層人員必須考慮與組織目標(biāo)、計(jì)劃及與信息服務(wù)部門/職能/工作的責(zé)任及工作等有關(guān)的外部規(guī)定或要求。
五、信息系統(tǒng)審計(jì)流程
開(kāi)始審計(jì)工作的準(zhǔn)備包括收集背景信息,估計(jì)完成審計(jì)需要的資源和技巧。包括合理進(jìn)行人員分工。與負(fù)責(zé)的高級(jí)經(jīng)理舉行一次正式的開(kāi)始審計(jì)會(huì)議,最后決定范圍,理解特別關(guān)注之處,如果有的話,制定日程,解釋審計(jì)方法。這樣的會(huì)議有高級(jí)經(jīng)理的參與,使人們互相認(rèn)識(shí),闡明問(wèn)題強(qiáng)調(diào)商業(yè)關(guān)注點(diǎn),使得審計(jì)工作得以順利進(jìn)行。類似的,在審計(jì)完成后,也召開(kāi)一次正式會(huì)議,向高級(jí)經(jīng)理交流審計(jì)結(jié)果,提出改進(jìn)建議。這將確保進(jìn)一步的理解,增加審計(jì)建議的接納程度。也給了被審計(jì)者一個(gè)機(jī)會(huì)來(lái)表達(dá)他們對(duì)提出問(wèn)題的觀點(diǎn)。會(huì)議之后書寫報(bào)告,可以大大增加審計(jì)的效果。
開(kāi)始審計(jì)工作預(yù)備工作了解內(nèi)部控制結(jié)構(gòu)評(píng)價(jià)控制風(fēng)險(xiǎn)是否信賴內(nèi)部控制?是否仍可信賴內(nèi)部控制??jī)?nèi)部控制測(cè)試評(píng)價(jià)控制風(fēng)險(xiǎn)是否提高內(nèi)部控制的信賴程度?擴(kuò)大實(shí)質(zhì)性測(cè)試有限的實(shí)質(zhì)性測(cè)試形成審計(jì)意見(jiàn)出具審計(jì)報(bào)告是否結(jié)束。
1 基于風(fēng)險(xiǎn)的審計(jì)方法
很多組織意識(shí)到技術(shù)能帶來(lái)的潛在好處。然而,成功的組織還能夠理解和管理好與采用新技術(shù)相關(guān)的很多風(fēng)險(xiǎn)。因此,審計(jì)從基于控制(ControlBased)演變?yōu)榛陲L(fēng)險(xiǎn)(RiskBased)的方法,其內(nèi)涵包括企業(yè)風(fēng)險(xiǎn)、確定風(fēng)險(xiǎn)、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)溝通。
每個(gè)組織使用許多信息系統(tǒng)。對(duì)不同功能和活動(dòng)有不同的應(yīng)用軟件,在不同的地理區(qū)域可能有眾多的計(jì)算機(jī)配置。審計(jì)者面臨的問(wèn)題是審計(jì)什么,什么時(shí)候及審計(jì)頻率。其答案是接納基于風(fēng)險(xiǎn)的方法。信息系統(tǒng)有著與生俱來(lái)的風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)用不同方式?jīng)_擊信息系統(tǒng)。對(duì)繁忙的零售超市,信息系統(tǒng)哪怕一個(gè)小時(shí)的不可用都會(huì)對(duì)營(yíng)業(yè)系統(tǒng)造成嚴(yán)重影響。未授權(quán)的修改可能造成對(duì)在線銀行系統(tǒng)的欺詐及潛在損失。系統(tǒng)運(yùn)行的技術(shù)環(huán)境也可能影響系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)。
2 基于風(fēng)險(xiǎn)方法來(lái)進(jìn)行審計(jì)的步驟
編制組織使用的信息系統(tǒng)清單并對(duì)其進(jìn)行分類。
決定哪些系統(tǒng)影響關(guān)鍵功能和資產(chǎn)。
評(píng)估哪些風(fēng)險(xiǎn)影響這些系統(tǒng)及對(duì)商業(yè)運(yùn)做的沖擊。
在上述評(píng)估的基礎(chǔ)上對(duì)系統(tǒng)分級(jí),決定審計(jì)優(yōu)先值,資源,進(jìn)度和頻率。審計(jì)者可以制定年度審計(jì)計(jì)劃,羅列出一年之中要進(jìn)行的審計(jì)項(xiàng)目。
相關(guān)文章:
信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)的對(duì)比分析1
信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)的對(duì)比分析2
信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)的對(duì)比分析3
信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)的對(duì)比分析4
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:信息系統(tǒng)監(jiān)理與信息系統(tǒng)審計(jì)的對(duì)比分析3
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121824246.html