返回
浅谈信息系统审计的内容和策略

浅谈信息系统审计的内容和策略

ID:9064575

大小:33.00 KB

页数:4页

时间:2018-04-16

浅谈信息系统审计的内容和策略_第1页
浅谈信息系统审计的内容和策略_第2页
浅谈信息系统审计的内容和策略_第3页
浅谈信息系统审计的内容和策略_第4页
资源描述:

《浅谈信息系统审计的内容和策略》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、浅谈信息系统审计的内容和策略摘要:伴随着科技进步和企业管理理念的发展,越来越多的组织更加依赖于信息技术。与此同时,对信息系统审计的研究和实践也正不断发生着变化。笔者认为,信息系统审计有其自身的特点,是审计的新领域,与传统审计相对独立,应从组织的整体风险控制、价值实现以及整个审计体系的角度来重新认识。  关键词:信息系统信息技术审计内容策略  伴随着科技进步和企业管理理念的发展,以计算机技术、通信技术以及网络技术为主要内容的信息技术在社会各行业的管理中正发挥着越来越重要的作用。无论是企事业单位,还是政府公共服务机构,都越来越依赖于信息系统。信息系统的可靠性、有效性和效率

2、性影响着组织的正常运转。  与此同时,对信息系统审计的研究和实践也正不断发生着变化。从计算机辅助审计到面向系统数据的审计,再到对应用系统的审计,信息系统的审计范围和领域不断扩大。目前,对信息系统审计的认识受到较多传统审计的影响,不少研究人员认为信息系统条审计是传统审计的补充和延伸,是为传统审计提供支撑和服务的。但笔者认为,信息系统审计有其自身的特点,是审计的新领域,对信息系统审计的认识和研究要从企业整体风险控制、价值实现以及整个审计体系的角度来重新认识。  一、信息系统审计的内容  从信息系统在组织中所处地位以及信息系统的开发、运行和维护过程分析,信息系统审计应包括对

3、IT治理结构审计等9个方面的主要内容。  1.对IT治理结构与实施的审计。信息技术过去被认为仅仅是企业组织战略的强化器,而现在被认为是组织战略的重要组成部分,越来越受到管理层的关注。通过有效使用安全、可靠的信息和适用的技术,IT治理有助于企业获得成功。因此,在对信息系统审计中,审计人员应首先关注组织的IT治理机构,判断组织是否做到了IT与业务的融合,并保持目标一致。  2.对系统开发过程的审计。传统的系统开发生命周期法(SDLC)仍是目前大多数系统开发的首选方式。审计人员的职责是参与全过程的监督和评价。  3.对系统和运行的审计。信息系统的运行承担了计算机系统软件、硬

4、件的日常支持工作。  4.对应用控制的审计。审计人员应通过对重要应用程序组件和贯穿系统的事务流的识别,审核系统中的事务进入点、处理点和输出点,以发现控制弱点。一般可以通过审核用户活动报告和违例报告,以及通过平行作业、整体测试等方法来实现对应用控制的审计。  5.对系统安全策略的审计。随着组织对信息系统的依赖性越来越强,信息安全问题正变得日益突出,信息资产比传统资产更容易受到损害。一般而言,为了有效保护信息资产,组织需要建立信息安全管理的一些要素,关键的有:高级管理层的承诺与支持、信息安全政策与程序、组织、安全意识与教育、监督与符合性审核、应急处理与响应。  6.对逻辑

5、访问控制的审计。逻辑访问控制是通过一定的技术方法去控制用户可以利用什么样的信息,可以运行什么样的程序,可以修改什么样的数据。这些控制可以内置在操作系统中,通过单独的访问控制软件进行调用;也可以内置在应用系统、数据库系统和网络控制设施(实时性能监测)中。  7.对物理访问控制的审计。物理访问的暴露可能使企业的业务资源面临非授权访问,导致组织受损。组织一般通过使用胸牌、内存卡、门锁、生物测定设备等限制人员进出机房和数据中心等敏感区域。  8.对环境控制的审计。环境风险可能来自自然灾害,还可能来自电力故障、设备故障、温度、湿度、静电、恐怖袭击等方面。  9.业务连续性计划的

6、审计。业务连续性计划(BCP)是组织为避免关键业务功能中断,减少业务风险而建立的一个控制过程。一般包括对支持组织关键功能的人力、物力需求和关键功能所需的最小级别服务水平的连续性保证。BCP的目标就是要把组织的剩余风险和因意外事件产生的风险降到组织可接受的程度。BCP主要包括灾难恢复计划、作业计划和重建计划。  二、信息系统审计的策略  1.评估现有审计人员的专业胜任能力,补充完善审计人力资源。“知己知彼”才能有效开展审计项目。前面着重阐述的是审计对象,是“彼”,面对新的审计领域,审计人员自身也需要客观审视“己”的专业胜任能力。目前,我国内审人员绝大多数来自财务和审计专

7、业,从事IT开发和管理的人员凤毛麟角,接受过信息系统审计培训的人员也极少。从9个方面的审计内容看,仅在对IT治理结构和实施以及环境控制审计两个方面,目前的审计人员能够基本胜任,其余7个方面都不能完全胜任。这是开展信息系统审计的最大障碍,因此,尽快补充新的审计人力资源是当务之急。  补充完善审计人力资源的途径有两个:一是直接招聘有信息系统背景的审计人员;二是签订信息系统审计业务外包协议。两种途径各有利弊,审计部门负责人可以视具体情况灵活掌握。  2.对现有信息系统的再认识。信息系统是个大系统、大概念,其中包含了众多小的应用系统。以某市通信公司为例,该公

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。