談談企業信息系統審計
信息系統審計是通過審計,督促信息技術管理人員有效地履行職責,保證信息技術符合企業的戰略目標,提高信息系統的可靠性、穩定性、安全性及數據處理的完整性和準確性,提高信息系統運行的效果與效率,保證信息系統的運行符合法律法規以及相關監管要求。
一、制定審計計劃
內部審計人員在實施信息系統審計前,確定重點審計范圍及審計活動的優先次序,明確審計成員的職責,編制信息系統審計方案。必要時,信息系統審計可利用外部專家的服務。
二、信息系統審計的內容
1、組織層面應當考慮下列控制要素:環境、風險評估、信息與溝通、內部監督。
2、對信息技術一般性控制的審計應當考慮下列控制活動:
(1)信息安全管理。企業的信息安全管理政策,物理訪問及針對網絡、操作系統、數據庫、應用系統的身份認證和邏輯訪問管理機制,系統設置的職責分離控制等。
(2)系統變更管理。企業的應用系統及相關系統基礎架構的變更、參數設置變更的授權與審批,變更測試,變更移植到業務環境的流程控制等。
(3)系統開發和采購管理。企業的應用系統及相關系統基礎架構的開發和采購的授權審批,系統開發的方法,系統的測試、審核等環節。
(4)系統運行管理。企業的信息技術資產管理、系統容量管理、系統物理環境控制、系統和數據備份及恢復管理、問題管理和系統的日常運行管理等。
3、業務流程層面應用控制是指在業務流程層面為了合理保證應用系統準確、完整、及時完成業務數據的生成、記錄、處理、報告等功能而設計、執行的信息技術控制。對業務流程層面應用控制的審計應當考慮下列與數據輸入、數據處理以及數據輸出環節相關的控制活動:
(1)授權與批準;(2)系統配置控制;(3)異常情況報告和差錯報告;(4)接口/轉換控制;(5)一致性核對;(6)職責分離;(7)系統訪問權限。
三、信息系統審計的方法
內部審計人員在進行信息系統審計時,可以單獨或者綜合運用下列審計方法獲取相關、可靠和充分的審計證據,以評估信息系統內部控制的設計合理性和運行有效性:
1、詢問相關控制人員;
2、觀察特定控制的運用;
3、審閱文件和報告及計算機文檔或者日志;
4、根據信息系統的特性進行穿行測試,追蹤業務在信息系統中的處理過程;
5、驗證系統控制和計算邏輯;
6、登錄信息系統進行系統查詢;
7、利用計算機輔助審計工具和技術;
8、利用其他專業機構的審計結果或者組織對信息技術內部控制的自我評估結果。
四、審計報告
在信息系統審計實施結束后,應以充分、可靠及相關的審計證據為依據得出審計結論與提出建議,出具審計報告,形成審計結果,并追蹤審計建議的落實并執行相應的后續審計程序。
(總經理辦公室 高明之)
