1.信息系統(tǒng)審計的定義
信息系統(tǒng)審計是一個獲取并評價證據(jù),以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整,以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程。由于信息技術(shù)在經(jīng)營、管理領域的廣泛運用,信息系統(tǒng)審計已經(jīng)貫穿在各種審計之中,成為審計全過程的一部分。
信息系統(tǒng)審計是一種控制信息系統(tǒng)風險的有效方式,它是從獨立的、第三方的角度來審視信息化過程中的各種風險,合理地鑒證被審計單位信息系統(tǒng)及其處理、生產(chǎn)的信息的真實性、完整性、可靠性,以及政策遵循的一貫性,并可對IT的績效進行審計,以發(fā)現(xiàn)偏離,促進及時進行調(diào)整。
信息系統(tǒng)審計作為新興的職業(yè)和學科體系,近年來逐漸升溫,獲得信息系統(tǒng)審計師資質(zhì)認證的專業(yè)人員也在快速增加,顯示了信息系統(tǒng)審計的發(fā)展需求,美國等發(fā)達國家很早就開展有獨立資格的第三方進行的信息系統(tǒng)審計,建立了完善的信息審計制度。從國內(nèi)信息化建設的現(xiàn)狀及對信息安全的實際需要來看,我國企業(yè)也開始接受信息系統(tǒng)審計理論。
中國人民銀行支付與科技司司長陳靜指出:“信息安全越來越成為銀行信息化建設與管理中需要密切關(guān)注的問題。企業(yè)對信息安全的重視程度和資金投入,將逐漸從單一的產(chǎn)品和技術(shù)向整體解決方案過渡,同時從封閉式的設計、實施與管理,不斷與完善的、具有適當資質(zhì)的、獨立的第三方審計相結(jié)合,這是未來發(fā)展的一個趨勢。
2.信息系統(tǒng)審計的內(nèi)容
對銀行信息系統(tǒng)進行審計的內(nèi)容主要集中在以下幾個方面:
·對信息系統(tǒng)的管理、規(guī)劃與組織的審計--評價組織信息系統(tǒng)的管理、計劃與組織方面的策略、政策、標準、程序和相關(guān)實務。
·對信息系統(tǒng)技術(shù)基礎設施與操作實務的審計--評價組織在技術(shù)基礎設施與操作實務的管理和實施方面的有效性及效率,以確保其充分支持組織的商業(yè)目標。
·對信息資產(chǎn)的保護的審計--對邏輯、環(huán)境與信息技術(shù)基礎設施的安全性進行評價,確保其支持組織保護信息資產(chǎn)的需要,防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。
·對災難恢復與業(yè)務持續(xù)計劃的審計--這些計劃是在發(fā)生災難時,能夠使組織持續(xù)進行業(yè)務,對這種計劃的建立和維護流程需要進行評價。
·對應用系統(tǒng)開發(fā)、獲得、實施與維護的審計--對組織業(yè)務應用系統(tǒng)的開發(fā)、獲取、實施與維護方面所采用的方法和流程進行評價,以確保其滿足組織的業(yè)務目標。
·對IT相關(guān)業(yè)務流程的審計--評估組織業(yè)務系統(tǒng)與處理流程,確保根據(jù)組織的業(yè)務目標對相應風險實施管理。
·與信息安全相關(guān)的人力資源管理的審計--評估與安全相關(guān)的人力資源管理政策、程序、實務,以及“信息安全,人人有責“的企業(yè)文化。
信息系統(tǒng)審計工作可以分為兩大類:一種是組織自行完成的內(nèi)部審計,內(nèi)部審計的主要目的是檢查組織各部門對安全保障制度的遵守情況,要保證內(nèi)部審計師在他們能自由地和客觀地進行工作時是獨立的,獨立性可使內(nèi)部審計師提出公正和不偏不倚的判斷意見。信息系統(tǒng)審計執(zhí)行主管應該對審計委員會、董事會或其他治理機構(gòu)報告業(yè)務工作,向機構(gòu)的首席執(zhí)行官報告行政工作。另一種是由會計師事務所或?qū)I(yè)技術(shù)服務提供商完成的外部審計。外部審計通常是因為上市、并購、年終檢查或其他法規(guī)的要求而進行,一般都很正規(guī),也非常深入。進行信息審計的受托方應當獨立于委托方,以保證信息系統(tǒng)審計的客觀性與公正性。
3.信息系統(tǒng)審計的過程
1)調(diào)查
該審計步驟用來將控制目標下的相關(guān)活動用文檔記錄下來,對組織聲稱已實施的控制措施與程序進行識別,并且確認其存在。
與相關(guān)的管理者和員工進行會見,以理解:
·業(yè)務需求好相關(guān)的風險。
·組織結(jié)構(gòu)。
·角色和職責。
·政策和程序。
·法律和法規(guī)。
·已有的控制措施。
·管理報告(狀態(tài)、性能、行動項目)。
用文檔記錄與過程相關(guān)的IT資源,特別是那些被審計的IT流程所影響的IT資源。確認理解了審核的過程、過程的關(guān)鍵性能指標(KPI)、實際的控制狀況。例如,可以通過對過程的抽查來進行了解。
2)評價控制
該審計步驟用來評估當前已有控制措施的有效性或達到控制目標的程度,主要是決定測試什么、是否測試及如何測試的問題。
通過對比已確定的標準及行業(yè)最佳實踐、控制方法的關(guān)鍵成功要素(CSF)和利用審計師的職業(yè)判斷,來評價待審核過程所應用的控制措施的適宜性。
·存在已文檔化的過程。
·存在適宜的輸出。
·職責和責任是明確的、有效的。
·在必要時,存在補償控制。
·對實現(xiàn)控制目標的程度做出結(jié)論。
3)評估符合性
該審計步驟用來確定已建立的控制措施是按組織規(guī)定的方式,持續(xù)地、一致地在起作用,并且對控制環(huán)境的適宜性做出結(jié)論。
·得到所選項目和階段的直接或間接的證據(jù),使用直接和間接的證據(jù)來保證待審核的項目和階段一直遵守相關(guān)控制程序的要求。
·對過程輸出結(jié)果的充分性進行有限的審核。
·為了證明IT流程是分的,確定需要進行實質(zhì)性測試的程度和其他需要進行的工作。
4)證實風險
該審計步驟通過使用分析技術(shù)和可選的咨詢資源,證實控制目標沒有被實現(xiàn)時所帶來的風險。目標是支持其審計判斷,并督促管理者采取行動。審計師要創(chuàng)造性地尋找和提出通常是敏感的和機密的信息。
·用文檔記錄下控制弱點及其引起的威脅和漏洞。
·識別并記錄實際的影響和潛在的影響,例如,利用因果分析的方法。
·提供比較信息。例如,通過基準比較的方法。