1、企业开展信息系统审计的几点思考 摘要:当前企业信息化快速发展,开展信息系统审计势在必行。本文介绍了信息系统审计的概念和内容以及具体的工作流程、工作方法,并对信息化环境下,企业如何开展信息系统审计工作提出了自己的建议。 下载 关键词:信息系统审计 风险 控制 当前企业信息化发展迅速,在实现手工操作到电子化过程中,其经营效率得到了不断提升。同时,企业对信息系统的依赖性也越来越强,面临巨大的安全风险。因此,企业内审部门应着力推进信息系统审计,加强风险防范,为企业信息系统的安全稳定运行提供可靠的保证。本文将围绕企业如何开展信息系统审计工作谈谈个人的几点看法。 一、信息系统审计的概念 到目前为止,国际上
2、对信息系统审计还没有固定、统一的定义。国际信息系统审计委员会( ISACA)定义为 “ 为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审 计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导层,提出问题与建议的一连串的活动 ” 。所以信息系统审计所关注的内容不单纯是对电子数据、财务信息的处理,而是对企业整个信息系统的可靠性、安全性进行了解和评价过程。信息系统审计涉及到了信息系统的整个生命周期,这不仅是技术问题,更是一个管理问题。 二、信息系统审计的内容 根据对信息系统审计概念的理解,企业开展信息系统审计应该涵盖其所有的业务应用系统以及
3、涉及信息系统建设生命周期中所有的活动与资源。其 审计内容具体如下: 1信息系统管理流程审计。开展信息系统管理流程审计主要是确保企业拥有适当的结构、政策、工作职责、运营管理机制和监督实务,以达到公司治理中对 IT 方面的要求。主要内容是评估企业评估信息技术工作条例或工作程序是否健全、执行是否有效。具体包括评估信息技术部门的职责分工,评估信息系统取得、开发、购置、引进的制度和流程,评估生产系统的运行维护的制度和流程,评估项目管理、项目监理的制度和流程,评估信息系统的安全管理制度等等。 2信息系统技术平台审计。开展信息系统技术平台审计主要 内容是检查企业是否有适当的安全规范,以保证信息资产的机密性、
4、完整性和有效性。具体包括评估网络设备运行与安全管理,比如路由器、防火墙、通信线路等等;评估硬件设备运行与安全管理,比如小型机、服务器、存储设备等等;评估数据库、操作系统等运行平台的运行与安全管理,比如 Unix、数据库、应用开发工具、项目管理工具、防 /杀毒工具等等。 3信息系统工程项目审计。开展信息系统工程项目审计主要是评估信息系统和基础建设生命周期管理的有效性。具体内容包括评估项目启动、立项、需求分析、系统设计、开发、测试、验收、推广过 程的有序性、有效性,检查系统开发生命周期中的每一个程序是否均被严格执行,检查项目监理是否起到应有作用,检查各类项目文档是否齐全。 4信息系统生产过程审计。
5、信息系统生产过程的审计首先是评估数据流与业务流的吻合情况,即信息系统对需求的满足度及信息系统操作流程与业务操作流程的吻合度。其次是评估生产过程中的风险控制,主要是评估或测试信息系统中的关键控制点是否得到有效控制。比如评估数据访问授权、系统功能授权、业务操作授权、业务审批决定授权等权限管理是否有效,是否拥有防止非法进行数据修改的措施。信息系统的使 用者和系统的开发者是否分离,被审计部门对交易录入的原始数据是否实施相应的控制等等。 三、信息系统审计的工作流程 信息系统审计的工作流程主要包括确定审计范围、做好审计准备、进行审计评估、出具审计报告、提供专业建议等过程。 首先,确定审计范围,编制审计计划
6、。一般情况下根据审计目标确定审计范围。在此基础上制定审计预案,编制审计计划。审计预案中要明确审计依据、审计小组成员职责分工、审计工作程序、审计工档模板与案例、审计时间表,并注明需重点关注的地方,也就是确定审计重点。审计预案可以人手 一份,明确每个审计小组成员的责、权、利,有助于提高审计效率。 其次,在实施具体的审计评估工作时,应对照审计依据,了解被审计部门的信息系统管理流程、技术基础平台、生产系统运行与维护的管理制度,通过关键点测试等方式做出公正、客观的评估。完成后还需出具详细的审计报告,对被审计信息系统或专项被审计对象进行鉴证,并提出必要的管理建议,促进或帮助被审计部门提高信息系统管理水平。
7、 最后,我们还要做好审计结果追踪工作,检查、督促被审计部门做好整改工作,以达到我们的审计目的。 四、当前企业开展信 息系统审计的建议 我国企业的信息系统审计尚处于探索、起步阶段,需要一个渐进的过程。在当前情况下,企业内部审计部门应做好以下几方面的准备工作: 第一,建立国际标准框架下的信息系统审计标准与规范体系 从国外的信息系统审计实践经验来看,大多数企业都是在自己的信息系统审计体系下,遵循着一套行之有效的国际标准或规范。如 COBIT、 BS7799、COSO、 ITIL 等等。我国企业也要参照国际通常做法,结合本企业实际,确立自己的信息系统审计标准与规范;同时,进一步明确信息系统审计的技术角
8、色,强 化信息系统审计的技术特色,把信息系统审计技术角色分为应用、系统、网络与硬件、管理四个大类。不同的技术角色分别负责信息系统生命周期中不同阶段的不同领域的控制、分析和评价,确立风险控制的重点,建立相应的风险评估指标,切实提高本企业信息系统审计的专业化水准。 第二,建立全方位的信息系统审计管理体系 目前,我国大多数企业在对信息系统安全评价时,主要侧重反病毒、防火墙、系统备份等技术方面,而对信息系统审计在信息系统控制、风险管理以及公司治理中的作用没有给予足够的重视。因此,企业要加紧完善公司治理机 制,建立信息系统风险控制委员会,定期对信息系统风险管理情况进行研究,推进信息系统审计工作中故障发现
9、、风险评估和风险防范措施的落实,督促指导信息系统审计人员的工作。从信息系统审计的对象来看,信息系统审计既包括软硬件系统,也包括对企业的业务持续性审计,以及信息系统项目的组织、策划、服务管理等诸多方面。因此,企业的信息系统审计小组成员要包括信息系统专家、银行业务专家、咨询专家等等,以保证信息系统审计工作高效运行。此外,企业的上级监管部门也要加强监管工作,来督促企业加强自身的信息系统安全。 第三,加快信息 系统审计专门人才培养工作,适应发展需求 开展信息系统审计要求审计人员不但在业务方面有很强的能力,而且也要在在计算机数据库理论、实务操作等方面也有较高的造诣,即需要一批既掌握现代审计理论与实务又了
10、解计算机技术并且通晓被审计单位业务的复合型专业人才。但从目前的审计人员数量和知识结构来看,还远远不够。我们必须加快信息系统审计专门人才培养、储备工作以适应审计工作的发展需求。 第四, 推广先进的信息系统审计技术,提高工作效率 从国内外开展信息系统审计实践经验来看,借助先进技术进行非现场审计已是大势所趋。企业应根据自身信息系统发展现状,将现场审计和非现场审计有效结合,合理配备审计资源,采用灵活的、可配置的审计模型及数据分析探测工具,构建科学、有效的风险识别、监测和评估体系,在实践中总结经验,不断提高审计工作的效率和效果。 总之,企业推进信息系统审计,关键在行动,通过探索、尝试、总结、完善,使之成为企业信息化风险防范的制度化措施。促进信息系统安全、稳定、持续运行 ?从而为企业的信息化建设和长远发展提供强有力的技术保障。 参考文献: 武宗山,信息系统内部控制的审计评价 指标分析,信息技术论坛,2003.9 张英明, IT 环境下信息系统内部控制研究,中国会计电算化, 2003.10 胡晓明,信息系统审计理论体系的构建,中国注册会计师, 2006.06 李长青,王琴,企业信息系统审计的研究,中国管理信息化, 2007.01. (责任编辑:何小军)
