企业信息审计的探索与实践

企业信息审计的探索与实践

ID:26801549

大小:49.50 KB

页数:5页

时间:2018-11-29

企业信息审计的探索与实践_第1页
企业信息审计的探索与实践_第2页
企业信息审计的探索与实践_第3页
企业信息审计的探索与实践_第4页
企业信息审计的探索与实践_第5页
资源描述:

《企业信息审计的探索与实践》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、企业信息审计的探索与实践一、基于PDCA循环的审计整改全寿命工作法(一)方法的提出。PDCA循环理论由休哈特提出,是全面质量管理的基本方法,也称为“戴明环”  企业信息审计的探索与实践一、基于PDCA循环的审计整改全寿命工作法(一)方法的提出。PDCA循环理论由休哈特提出,是全面质量管理的基本方法,也称为“戴明环”  企业信息审计的探索与实践一、基于PDCA循环的审计整改全寿命工作法(一)方法的提出。PDCA循环理论由休哈特提出,是全面质量管理的基本方法,也称为“戴明环”,包括计划、实施、检查和处置四个阶

2、段,适用于任何有目的有过程的活动。本文借鉴PDCA循环的思想,提出审计整改全寿命工作法,设定审计计划、审计实施、审计评价、后续审计四个闭合循环的阶段,审计质量控制贯穿全过程,具体内容如图1所示。(二)方法的应用思路。1.审计计划阶段。主要包括审前调查、信息系统基本情况的收集和信息系统相关制度文件的审阅等。此外,还应依据计划编制详细的信息系统审计工作方案,确定审计内容、步骤、方法,制定并送达审计通知书等。在本阶段,相关责任人要全程监督审计工作安排,审核审计工作方案是否满足审计目标要求,了解并考虑企业战略目标

3、、信息技术的依赖程度、信息技术管理的组织架构、信息系统框架、信息系统及其支持的业务流程的变更情况、信息系统的复杂程度等特定内容。2.审计实施阶段。完整的信息系统审计通常涵盖三个层面:一是组织层面信息技术控制,指企业管理层对信息技术治理职能及内部控制的重要性的态度、认识和措施,审计人员要关注与信息系统相关的控制环境、风险评估、信息与沟通、监控四个方面的控制要素;二是信息技术一般性控制,指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,审计中应考虑信息安全管理、系统变更管理、系统开发和

4、采购管理、系统运行管理有关的控制活动;三是业务流程层面相关应用控制,指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制,审计中应考虑与数据输入、数据处理以及数据输出环节相关的控制活动。审计过程中,可以综合采用询问、观察、审阅文件和报告、通过穿行测试追踪交易在信息系统中的处理过程、验证系统控制和计算逻辑、登录信息系统进行系统查询等审计方法。信息系统审计的项目负责人应当既具有IT背景又具有内审专业技能,在实施审计过程中建立审计复核机制,检查

5、审计底稿和相关证据,掌控项目进度,确保审计工作质量和效率。3.审计评价阶段。进行评估时,获取的审计证据必须充分可靠相关,以支持审计结论。审计人员运用专业判断,对审计证据进行分析、撰写征求意见稿、征求有关部门意见、形成审计报告、下达审计意见或审计建议书。审计报告作为审计的最终结果非常重要,审计项目负责人要从重要性和增值性两个方面认真讨论确定审计报告,保证审计报告的高质量。重要性指审计发现对企业内部控制的影响程度;增值性指审计建议是否恰当、有意义,是否有助于提高审计对象效率效果。4.后续审计阶段。即对信息系统

6、审计已报告的缺陷和建议所采取行动的完整性、效果性和时效性跟踪检查的过程。一般和下一次信息系统审计融合在一起进行,从而形成审计流程的闭合式循环。审计结果整改情况应纳入企业绩效考评体系,保证审计整改工作质量。二、应用审计整改全寿命工作法开展信息系统审计的实践某科研生产企业信息化程度较高,目前使用的信息系统为涉密信息系统,有上千个终端用户,数百个业务工作流程,数十个业务系统,采取单点登陆、统一身份认证,部署相关审计系统的方式运行。由于该信息系统涉密等级较高,用户数较多,系统组成复杂,对开展信息系统审计提出了较高

7、要求。本文按照审计整改全寿命工作法的工作思路,进行了信息系统审计的实践和探索。(一)计划阶段。由具有信息系统研发背景和高级工程师资格的专家担任组长,并从企业内部信息技术部门抽调专家,组建一支包括信息技术及内部审计人员在内的专业队伍。该科研生产企业建立了比较完备的信息系统管理体系,对信息系统安全运行和管理有明确具体的要求。审前组织学习研究该企业的信息系统管理制度、行为规范制度、安全控制策略、内部控制制度体系等文件,将这些制度的相关要求作为审计依据,制定信息系统专项审计工作方案。明确重点审计内容为对信息系统的

8、逻辑访问与物理安全控制,包括系统输入控制、用户行为控制和访问权限控制三个方面。同时,获取企业管理层和信息系统管理部门的支持。(二)实施阶段。在该科研生产企业已经建立的信息监控系统的基础上,采取专项审计的方式,对于企业的行为监控系统、权限审查系统开展信息系统审计,这也是本次审计工作的重点。该单位在设计信息系统监控系统时,采取了B/S结构,在终端计算机上安装客户端,后台运行自动记录用户行为,利用SQLServer数据库对用户数据进

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。