信息系统风险导向审计初探.pdfVIP

信息系统风险导向审计初探 ◆ 周明 一 ， 信息系统 (1S)审计 段，同时是IT治理的 目标。第28号准 国资委 中央企业全面风险管理 则明确Is审计的内容主要是对组织层 指引》第十五条明确，IT风险是指 “信 1、概念。信息系统审计 (Is 面信息技术控制、信息技术一般性控 息安全管理中曾发生或易发生失误的 Auditing，以下简称IS审计)也称信息 制及业务流程层面相关应用控制的审 业务流程或环节”。而将 “信息系统操 技术审计 (ITAuditing，以下简称IT审 计。第28号准则着重从风险管理和内 作运行情况的监管、运行评价及持续 计)，是指对一个组织的Is及IT应用的 部控制建设的角度，把围绕业务系统 改进能力”归入企业运营风险。银监会 建设、管理和控制进行检查、评估和报 的管理控制包括一般性控制和业务流 银行业金融机构信息系统风险管理指 告的活动。Is有狭义和广义之分 ，狭义 程层面应用控制作为核心的审计内容， 引》明确，IT风险是指信息系统在规 上是指组织用于收集、处理、存储、传 对于企业来说，内部审计工作范围必 划、研发、建设、运行、维护、监控及 输、显示、传播和处理信息的基础设 然从传统的经营管理业务审计向支撑 退出过程中由于技术和管理缺陷产生 施、软件和数据的活动；广义上则包括 业务活动的信息系统和信息技术管理 的操作、法律和声誉等风险。把信息系 对狭义IS活动的组织、管理和控制等 方面延伸，IT管理与控制成为IS审计 统的规划、研发和建设纳入IT风险中， 活动，又称为信息化建设。因此，广义 重点内容。 涵盖信息系统整个生命周期。英国专 上的IS审计，即IT应用审计、信息化 3、特点和要求。相对外部审计而 家ErnieJordan认为，IT风险是指对业 建设审计，是针对组织IT应用及信息 言，内部审计的Is审计，有别于外部 务造成负面影响的信息技术失效。强 化建设的各个方面包括公司层面的IT 审计的合规性审计。内部审计的IS审 调了IT作为外在的、引起意外结果的 管理与控制、业务层面的Is以及信息 计，在审计 目标方面，不仅要考虑IT合 角色，使业务的其他各个部分都有可 化建设绩效等的检查、评估和报告活 规性 ，还要考虑IT支持组织发展战略 能因为IT而造成损失。第28号准则第 动。对此，中国内部审计协会发布的 《内部审计具体准则第28号一信息系 和业务 目标的有效性 ；在审计依据方 十四条明确，IT风险是指 “组织在信息 面，不仅要依据行业标准、国家监管要 处理和信息技术运用过程 中产生的、 统审计》(以下简称第28号准则)和内 求，还要依据组织内部的IT战略、政 可能影响组织 目标实现的各种不确定 部审计业 内已形成共识。 2、内容 。COBIT框架(Control 策和规章；在审计内容方面，不仅要覆 因素”。揭示了IT风险的本质是 IT活 盖所有的IT应用活动，还要重点关注 动对组织战略、发展、业务和效益等方 0bjectivesforInformationandrelated Technology)指出，IT审计包括以IT应 IT应用风险。要求在促进组织IT应用、 面的负面影响。因此，对IT风险的概 用系统