信息系统审计(Information System Audit),又称IT审计,是指根据公认的审计准则和审计标准、指南等对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。具体而言,信息系统审计以企业或政府等组织的信息系统为审计对象,通过现代的审计理论和IT治理理论,从企业信息资产的安全性、数据的完整性以及系统的可用性和有效性等方面出发,对信息系统是否能够有效达到组织的业务战略目标进行全面的检测和评估,并为改善和健全组织对信息系统的控制提出详细的建议。
信息系统审计业务可以通过独立的外部审计(即独立执业的信息系统审计师)、企业内部审计(企业内审部门的成员)和作为财务审计的支撑(注册会计师事务所的IT审计机构,财务审计小组的IT控制专家)而开展。信息系统审计的主要特点如下。
一、审计目标
信息系统审计主要有四个目标:资产安全性、系统有效性、系统效率性和数据完整性。实施信息系统审计可以评价企业目前的IT治理情况,企业IT长期、短期战略能否满足企业总体目标的实现;评价和监控系统开发和实施是否符合规范、合同、需求;评价外包服务商提供的产品和服务是否与合同相符,评价主要数据中心,网络通讯设施的结构设计、财务系统与非财务系统是否建立并实施了足够的业务流程控制与安全控制;评价企业门户系统是否为企业带来足够的信誉,支持其他审计人员工作,为财务审计人员与经营审计人员提供技术支持和培训。为企业提供针对性的IT咨询服务;指导组织推广实施IT控制自评程序,随时进行自我诊断。
由于现代企业的业务流程越来越依赖于信息系统,因此对信息系统内部控制的审计格外重要,加之近年来企业内部控制弱点而导致的信息安全事件越发频繁,针对企业内控进行定期审查和专项审查的呼声越来越高。
二、法规遵循
随着信息技术的发展,信息已经渗透到我们日常生活与工作的方方面面,各个国家有关信息技术的法律法规也在陆续出台。信息系统审计的一个重要职能就是首先要确定信息系统符合相关法律、法规的要求,使组织的行为受到现有法律、法规的约束,这是组织避免诉讼风险的最重要的方面。例如,各国的银行业都有针对银行数据保护的立法,如果由于数据备份恢复程序不完备,而造成服务中断,将面临监管部门的严厉处罚。
一些国家由于对信息系统及相关技术的依赖性日益增加,正在着手建立对信息系统审计进行立法。这些法律的主要内容有:对实施信息系统审计的法律要求、对信息系统审计组织的要求、信息系统审计过程中相关实体的责任,以及财务、业务及信息系统审计职能间的相互关系等。
信息系统审计师应当建议或者验证管理层是否根据隐私保护法律法规的要求,制定了组织中适用的隐私保护策略,来保护个人数据的隐私及跨国界的数据流动。
组织各级管理层都应当了解与组织的业务目标、业务计划相关的外部法律法规,也要了解与组织的信息服务部门、信息服务功能、信息服务活动相关的法律法规。有两方面法规尤为重要。一是规范审计或信息系统审计活动的法律规则,二是与审计委托人的信息系统、数据管理及财务报告等方面相关的法律法规。后者无论是内部审计还是外部审计方面都很重要,组织中任何违反法律法规的事项都将对组织的业务运营有负面影响,甚至可能带来灾难。
2002年,美国国会发表了SOX法案(Sarbanes-OxleyAct:2002,《萨班斯——奥克斯法案》),该法案涉及了美国证券市场治理的各个方面,明确了所有上市公司都必须建立有效的内部控制框架,以确保上市公司遵守证券法律,以提高公司信息披露的准确性和可靠性,从而保护投资者利益等。SOX的出台使COSO控制框架成为目前最主流的内部控制标准。COSO中包括了对IT控制的明确要求,ISACA也及时推出了针对SOX与COSO相对照的COBIT控制框架,成为指导信息系统审计师进行SOX符合性审计的有力工具。另一方面,根据Ernst&Young的调查报告,SOX法案404条款专案实施团队的专业构成中,有66%左右的成员具备信息系统审计经验。
三、审计内容
信息系统审计的内容包括一般控制与应用控制。一般控制就是和具体的业务关系比较弱的控制,具体的一般控制内容如用户密码控制、操作环境控制、职责分离、变更控制、开发控制、文档控制、数据质量、信息安全等。应用控制和一般控制最大的区别在于应用控制是和业务逻辑密切相关的,一般控制和业务逻辑无关或关系不大。以银行业为例,如果审计某信贷管理系统,信息系统审计师会重点审计信贷审批流程、客户评级体系、贷款5级分类、利率管理、收费管理等等这些控制。例如信贷审批流程里的重点在于审计系统对贷前调查、资料完整性、信用额度管理、贷款权限分配等方面有无控制,以及控制是否起作用。如果存在系统控制,则认为风险较小,在实质性测试阶段可减小抽样样本量,否则增加样本量。
应用控制审计的审计发现不仅仅是系统设计开发方面的缺陷,更重要的发现与防止舞弊行为。从审计的内容来看,应用控制检查与单位的日常业务处理关系更密切,审计发现也和财务报表等有更直接的关系,信息系统审计活动的增值性更加明显,被审计单位管理层也容易理解和接受信息系统审计报告。否则很多企业管理层对一般控制的检查结果将信将疑,他们认为一直都是这样,从来没有出过问题。
四、审计过程
信息系统审计是一个过程,在此过程中搜集和评估证据,以合理保证实现信息系统和相关资源充分保护资产、维持数据和系统的完整性、提供相关和可靠的信息、有效实现组织机构目标、有效使用资源、有效内部控制等。通用的信息系统审计过程分为四步:
(一)获取企业IT控制和风险信息
审计目的:为了使审计师能够熟悉审计目标所涉及的任务,并且了解被审计单位是如何确认他们已经实施了有效的IT控制,包括识别出已实施的任务和规定的控制程序相关的人员、过程和地点。
审计程序:首先,对被审计单位进行调研,并将控制目标下的相关活动用文档记录下来,对管理层声明已实施的控制措施与程序进行识别,以确认其存在性。其次,与相关的管理者和员工进行访谈,以理解业务需求特点和相关的风险、组织结构、角色和职务、政策和程序、法律和法规、已有的控制措施、管理报告(状态、性能、行动项目)。最后,以书面文档记录与控制过程相关的IT资源,特别是那些受到被审计的IT过程影响的IT资源。确认理解了待审核的IT过程,该IT过程的关键性能指标KPI、实际的控制情况等。
(二)评价现有控制的适宜性
审计目的:评估企业当前已有控制措施的有效性和达到控制目的的程度,主要是决定测试什么、是否测试、如何测试。
审计程序:通过对比已确定的标准和行业最佳实践,控制方法的关键成功要素CSF和利用渗及时的职业判断来评价待审计过程应用的控制措施的适宜性:存在文档化的过程、存在适宜的输出、职责和责任是明确的有效地、在必要时,存在补偿控制。对实现控制目标的程度作出结论。
通过评估现有的控制程序,以确认此程序是否提供了有效的控制。评估时要利用公认的审计准则、行业标准和必要的审计职业判断。同时,一个有效的控制结构应当在任务已经被执行,控制目标已经达到提供合理保证的前提下,符合成本效益原则,节省人力、财力与物力。
(三)符合性测试
审计目的:对组织符合规定的控制程序的程度进行分析,把实际的的控制程序及补偿性控制措施与规定的程序进行对比,并进行文档检查、访谈相关人员,以判断控制是否被正确地、持续地实施。
审计程序:首先,通过测试规定的控制是否按规定、一致地、持续地起作用。得到所选控制项目和阶段的直接或间接的证据。其次,使用直接或间接的证据来保证待审核的项目和阶段一直遵守相关控制程序的要求。最后,对过程或结果的充分性进行有限的审核。为了证明IT过程是充分的,确定需要进行实质性测试的程度和其他需要进行的工作。一般只对被证明有效的控制程序符合性测试。符合性测试的流程图如图1所示。
图1 信息系统审计过程中的符合性测试流程图
(四)进行实质性测试
审计目的:进行必要的数据测试,就给定的业务目标是否达到,为管理层提供最终的保证。证明信息系统审计师的审计判断。
审计流程:通过分析技术和/或可靠的信息来源,证明控制目标的风险不存在。或者证实控制目标没有被实现时所带来的风险。信息系统审计师要创造性地寻找和提出通常被认为是敏感的机密信息,书面记录下控制弱点及其引起的威胁和漏洞;识别并记录实际的影响和潜在的影响,例如利用因果分析法,提供比较信息等。例如,通过基准比较的方法,给被审计单位管理层提出控制弱点和改进建议。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:浅议信息系统审计的特点
相关文章
