1.信息系統審計的定義
信息系統審計是一個(gè)獲取并評價(jià)證據,以判斷計算機系統是否能夠保證資產(chǎn)的安全、數據的完整,以及有效率地利用組織的資源并有效果地實(shí)現組織目標的過(guò)程。由于信息技術(shù)在經(jīng)營(yíng)、管理領(lǐng)域的廣泛運用,信息系統審計已經(jīng)貫穿在各種審計之中,成為審計全過(guò)程的一部分。
信息系統審計是一種控制信息系統風(fēng)險的有效方式,它是從獨立的、第三方的角度來(lái)審視信息化過(guò)程中的各種風(fēng)險,合理地鑒證被審計單位信息系統及其處理、生產(chǎn)的信息的真實(shí)性、完整性、可靠性,以及政策遵循的一貫性,并可對IT的績(jì)效進(jìn)行審計,以發(fā)現偏離,促進(jìn)及時(shí)進(jìn)行調整。
信息系統審計作為新興的職業(yè)和學(xué)科體系,近年來(lái)逐漸升溫,獲得信息系統審計師資質(zhì)認證的專(zhuān)業(yè)人員也在快速增加,顯示了信息系統審計的發(fā)展需求,美國等發(fā)達國家很早就開(kāi)展有獨立資格的第三方進(jìn)行的信息系統審計,建立了完善的信息審計制度。從國內信息化建設的現狀及對信息安全的實(shí)際需要來(lái)看,我國企業(yè)也開(kāi)始接受信息系統審計理論。
中國人民銀行支付與科技司司長(cháng)陳靜指出:“信息安全越來(lái)越成為銀行信息化建設與管理中需要密切關(guān)注的問(wèn)題。企業(yè)對信息安全的重視程度和資金投入,將逐漸從單一的產(chǎn)品和技術(shù)向整體解決方案過(guò)渡,同時(shí)從封閉式的設計、實(shí)施與管理,不斷與完善的、具有適當資質(zhì)的、獨立的第三方審計相結合,這是未來(lái)發(fā)展的一個(gè)趨勢。
2.信息系統審計的內容
對銀行信息系統進(jìn)行審計的內容主要集中在以下幾個(gè)方面:
·對信息系統的管理、規劃與組織的審計--評價(jià)組織信息系統的管理、計劃與組織方面的策略、政策、標準、程序和相關(guān)實(shí)務(wù)。
·對信息系統技術(shù)基礎設施與操作實(shí)務(wù)的審計--評價(jià)組織在技術(shù)基礎設施與操作實(shí)務(wù)的管理和實(shí)施方面的有效性及效率,以確保其充分支持組織的商業(yè)目標。
·對信息資產(chǎn)的保護的審計--對邏輯、環(huán)境與信息技術(shù)基礎設施的安全性進(jìn)行評價(jià),確保其支持組織保護信息資產(chǎn)的需要,防止信息資產(chǎn)在未經(jīng)授權的情況下被使用、披露、修改、損壞或丟失。
·對災難恢復與業(yè)務(wù)持續計劃的審計--這些計劃是在發(fā)生災難時(shí),能夠使組織持續進(jìn)行業(yè)務(wù),對這種計劃的建立和維護流程需要進(jìn)行評價(jià)。
·對應用系統開(kāi)發(fā)、獲得、實(shí)施與維護的審計--對組織業(yè)務(wù)應用系統的開(kāi)發(fā)、獲取、實(shí)施與維護方面所采用的方法和流程進(jìn)行評價(jià),以確保其滿(mǎn)足組織的業(yè)務(wù)目標。
·對IT相關(guān)業(yè)務(wù)流程的審計--評估組織業(yè)務(wù)系統與處理流程,確保根據組織的業(yè)務(wù)目標對相應風(fēng)險實(shí)施管理。
·與信息安全相關(guān)的人力資源管理的審計--評估與安全相關(guān)的人力資源管理政策、程序、實(shí)務(wù),以及“信息安全,人人有責“的企業(yè)文化。
信息系統審計工作可以分為兩大類(lèi):一種是組織自行完成的內部審計,內部審計的主要目的是檢查組織各部門(mén)對安全保障制度的遵守情況,要保證內部審計師在他們能自由地和客觀(guān)地進(jìn)行工作時(shí)是獨立的,獨立性可使內部審計師提出公正和不偏不倚的判斷意見(jiàn)。信息系統審計執行主管應該對審計委員會(huì )、董事會(huì )或其他治理機構報告業(yè)務(wù)工作,向機構的首席執行官報告行政工作。另一種是由會(huì )計師事務(wù)所或專(zhuān)業(yè)技術(shù)服務(wù)提供商完成的外部審計。外部審計通常是因為上市、并購、年終檢查或其他法規的要求而進(jìn)行,一般都很正規,也非常深入。進(jìn)行信息審計的受托方應當獨立于委托方,以保證信息系統審計的客觀(guān)性與公正性。
3.信息系統審計的過(guò)程
1)調查
該審計步驟用來(lái)將控制目標下的相關(guān)活動(dòng)用文檔記錄下來(lái),對組織聲稱(chēng)已實(shí)施的控制措施與程序進(jìn)行識別,并且確認其存在。
與相關(guān)的管理者和員工進(jìn)行會(huì )見(jiàn),以理解:
·業(yè)務(wù)需求好相關(guān)的風(fēng)險。
·組織結構。
·角色和職責。
·政策和程序。
·法律和法規。
·已有的控制措施。
·管理報告(狀態(tài)、性能、行動(dòng)項目)。
用文檔記錄與過(guò)程相關(guān)的IT資源,特別是那些被審計的IT流程所影響的IT資源。確認理解了審核的過(guò)程、過(guò)程的關(guān)鍵性能指標(KPI)、實(shí)際的控制狀況。例如,可以通過(guò)對過(guò)程的抽查來(lái)進(jìn)行了解。
2)評價(jià)控制
該審計步驟用來(lái)評估當前已有控制措施的有效性或達到控制目標的程度,主要是決定測試什么、是否測試及如何測試的問(wèn)題。
通過(guò)對比已確定的標準及行業(yè)最佳實(shí)踐、控制方法的關(guān)鍵成功要素(CSF)和利用審計師的職業(yè)判斷,來(lái)評價(jià)待審核過(guò)程所應用的控制措施的適宜性。
·存在已文檔化的過(guò)程。
·存在適宜的輸出。
·職責和責任是明確的、有效的。
·在必要時(shí),存在補償控制。
·對實(shí)現控制目標的程度做出結論。
3)評估符合性
該審計步驟用來(lái)確定已建立的控制措施是按組織規定的方式,持續地、一致地在起作用,并且對控制環(huán)境的適宜性做出結論。
·得到所選項目和階段的直接或間接的證據,使用直接和間接的證據來(lái)保證待審核的項目和階段一直遵守相關(guān)控制程序的要求。
·對過(guò)程輸出結果的充分性進(jìn)行有限的審核。
·為了證明IT流程是分的,確定需要進(jìn)行實(shí)質(zhì)性測試的程度和其他需要進(jìn)行的工作。
4)證實(shí)風(fēng)險
該審計步驟通過(guò)使用分析技術(shù)和可選的咨詢(xún)資源,證實(shí)控制目標沒(méi)有被實(shí)現時(shí)所帶來(lái)的風(fēng)險。目標是支持其審計判斷,并督促管理者采取行動(dòng)。審計師要創(chuàng )造性地尋找和提出通常是敏感的和機密的信息。
·用文檔記錄下控制弱點(diǎn)及其引起的威脅和漏洞。
·識別并記錄實(shí)際的影響和潛在的影響,例如,利用因果分析的方法。
·提供比較信息。例如,通過(guò)基準比較的方法。
