1. 信息系统审计的准备-审计部门
为了实施信息系统审计,需要在事前进行充足的准备,以获得良好的审计效果。
为了导入信息系统审计,事先需要进行下列的活动:
·信息系统审计的环境构建、文化导入;
· IT审计师的培养;
·各种审计相关规章的整备;
信息系统审计的宗旨在于提高作为企业中枢神经的信息系统的可靠性、安全性和开发、运营效率,使企业能够健康地运营和发展。要使信息系统审计能够达成既定目标,上级主管的完全授权是最重要的一环。
2. 信息系统审计的准备-被审计部门
IT审计师在实施信息系统审计的时候,常常要求被审计部门提供诸如文档之类相应的资料作为审计依据。
被审计部门为此事先应该对文档、操作说明书等进行整理和准备。还要准备好计算机安全措施、个人信息保密措施等实施情况的说明。这些资料要尽可能让IT审计师一目了然。通常,被审计部门(信息化部门,用户部门)需要准备的东西如下面所示。当然,有关的系统设计书、程序设计说明书之类的必须保持最新的更新状态。
信息化部门:
·系统开发计划书
·系统设计书
·系统构成图
·程序一览表
·信息管理相关规章
·操作指南
·故障对应指南
·计算机安全对策现状说明
用户部门:
·终端设备操作手册
·系统输出列表
·系统输入式样
·系统使用指南
3. 信息系统审计的实施步骤
信息系统审计的实施步骤如下所示:
审计计划
·基本计划(每年一度的审计计划,属于年度计划,概要性的计划)
·个别计划(个别,具体的审计实施计划,有实施细则)
审计实施
·审计通知(实施前1-3周通知被审计部门)
·预备调查(审计实施前准备)
·审计实施(实际的审计活动)
·审计意见整备(基于审计结果的记录和文档)
·评议会(基于审计结果,与被审计部门交换本次审计意见)
审计报告
·审计报告制作(完成信息系统审计报告)
·报告书提交(向上级主管提交信息系统审计报告)
·报告会(召集相应的干系人进行会议)
·改良指示(上级主管根据审计意见责令被审计部门进行相关的改良活动)
·审计追踪(IT审计师对改良情况进行检查)
4. 信息系统审计的留意点
在实施信息系统审计的时候为了确保审计高效的得以实施,必须制作相应的审计计划。
IT审计师在审计计划中必须明确审计的对象、审计目的、审计主题。
审计对象、审计主题的选定、优先度确定之类留意点可参照下面所述。
·企业经营方针、上级主管的需求
·信息化部门的问题、要求
·用户部门的问题、要求
·审计对象的业务特征
·信息系统的重要度
·审计对象业务的问题点及其解决紧迫度
·IT审计师自身的知识、经验
5. 信息系统审计的着眼点
下面是进行信息系统审计应该重点注意的地方:
安全:信息系统的物理安全性,防止非法使用
可靠:硬件、软件的正确运行
机密:基于数据访问权限的保密
合法:法律、法规、规章之类
适时:是否符合开发、导入、运营等的时间限制
成本:成本节约方面的效率
资源:资源利用方面的效率
有效:信息系统目标的达成度
6.信息系统审计技术
可以通过很多方法来实施信息审计,下面给出常见的几种方法,每种方法各有利弊,对这些方法进行组合使用,可以使信息系统审计得以更有效地得以实施。
商谈法:与信息化部门、用户及相关人员进行会谈
资料查阅法:对与信息系统相关的文档、程序进行查阅,核查
实地考察法:对机房、考勤以及业务终端、器材(例如POS)等进行实地考核
计算机审计法:利用计算机技术进行信息系统审计,常见一些利用计算机的方法有:
·测试数据法
·程序审计
·审计模块
·ITF方法
·并行仿真
·快照
·追踪(Tracing)
·代码比较
7. 信息审计报告
根据信息系统审计实施的结果,IT审计师将之汇编成《信息系统审计报告》,向上级部门出示的同时,也要传送给相关的干系人。
信息系统审计报告由IT审计师独立编写,内容主要涵盖信息系统的可靠性,安全性和效率的现状以及问题点。同时给出改良建议。
《信息系统审计报告》的样式如下所示:
信息系统审计报告书
[题头]
报告日期;
上级主管部门名称;
上级主管姓名;
审计说明(概要);
[正文]
审计对象;
重点审计主题;
审计目的;
审计范围和审计实施步骤(概要);
实施期间;
被审计对象部门;
被审计人员及其工作职能;
审计结果(概要)
1 可靠性
可靠性概要
可靠性评价
2 安全性
安全性概要
安全性评价
3 效率
效率概要
效率评价
主要存在的问题
改良建议
1 一般改良建议
2 紧急改良建议
8. 改良指示和改良追踪
信息系统审计的实施结果以审计报告的方式提交给上级主管,上级主管根据审计报告,向被审计部门提出改良的指示,被审计部门依照审计报告中的改良建议进行改良。
IT审计师需要对被审计部门的反馈(改良活动)进行复查和评价,该活动称为审计追踪;
通过审计追踪,能够确保审计效果的达成,同时还可以确保改良措施得到妥当地执行。
改良追踪的步骤如下所示:
信息系统审计的实施(审计部门)→ 信息系统审计报告书制作(审计部门)→ 对被审计部门提出改良指示(上级主管)→ 改良活动实施(被审计部门)→ 改良状况检查(审计部门)→ 改良状况再评价(审计部门)