企业IT治理指南——浅谈如何实施信息系统审计.docVIP

企业IT治理指南——浅谈如何实施信息系统审计 如何加强和改善公司内部控制状况，建立和完善公司内控体系呢？谈到这个问题，大多数人就很自然联想到了公司治理，而当前IT治理作为公司治理中必不可少的关键环节，通过加强企业的IT治理水平，就可以促进企业改善其内部控制水平。除此之外，还有其他什么现成的方法或途径可以帮助企业改善其内控水平么？那就是：信息系统审计。它可以通过专业的第三方咨询机构帮助企业发现公司内控体系的不足，加强和完善其内控体系。具体分析如下： （一）确保IT能够支撑和拓展公司的战略和目标 信息系统审计是近几年非常热的一个话题，那么信息系统审计是审计什么呢，它是审计公司信息化对公司整体战略的支持程度、IT战略和公司总体战略的匹配程度、对公司业务发展的支持程度、对企业内部组织流程和业务流程所产生的影响、能否促进企业业务系统效率的提高等等。总之，企业的信息化建设是为公司的战略和业务发展服务的，因此可以通过信息系统审计发现企业信息化存在的问题，保持IT与业务目标一致，推动业务发展，促使收益最大化，以确保组织信息系统的发展能够始终沿着正确的方向进行，确保企业的总体战略目标的实现。 （二）借鉴公认的模型工具更全面和精细的管控企业的整个运营过程 当前国际上关于信息系统审计的模型虽然还没有一个比较通用的标准，但各种不同的信息化评估模型都采用了COBIT、ITIL（BS15000/ISO20000）、ISO/IEC17799、IT项目管理以及平衡记分卡等工具模型的精髓，因此，其评估模型的周衍性、权威性和合理性也得到了保证。其中，COBIT模型目前已成为国际上公认的IT管理与控制标准，其次和IT治理的相关管理标准还有ITIL（BS15000/ISO20000）、ISO/IEC17799、IT项目管理、信息系统工程监理等。其中COBIT覆盖整个信息系统的全部生命周期，其范围最大；ISO/IEC17799这套管理标准更侧重IT应用过程的信息安全；ITIL这套标准优势是在运营维护阶段；信息工程监理则是最具有中国特色的标准，它能够通过专业的、全过程的监督和管理来规范企业信息化工程的建设，达到增强企业对信息化工程建设内部控制的目的，其偏重于信息化建设阶段。这几种可以一起整合实施，来达到提升公司IT内控能力的目的。 （三）通过对企业信息系统审计来规避企业内部存在的风险 作为企业提升自身的内部控制能力，就是要对风险进行更有效的控制。信息系统审计能够对信息系统的应用状况和综合绩效状况进行全面的评估，因此，信息系统审计所包含的内容要大于信息系统治理所涵盖的内容。 由于信息系统审计所包括的范围非常的广泛和全面，如果我们只是想借助其促进企业内控水平的提升，那么我们应该加强其有关信息化风险控制方面的指标，适当弱化和删除其他方面的指标，以此来达到应用的目的。 由于信息系统审计本身更强调评估，是客观、真实地反映企业信息化当前的状况，暴露出其中存在的问题。如何更好的去解决这些问题，如何更有效的规避风险还是要靠人自身来想办法解决，则是我国信息化咨询行业下一步的着眼点。当然，任何一种方法或工具都不是万能的，有它的优势和局限性，我们只有抓住问题的实质，运用适当的方法和工具才能够有效的解决它。 对企业来说，改善其内部控制水平，就是借助这些大家公认的模型，通过设计、实施、维护和监控内部控制和风险管理体系，尤其是对IT 的控制，发现自身存在的不足，帮助企业建立起完善和细化相关的流程和制度，以确保公司所有业务策略、规程和业务流程都在自己的掌握之中，并且在合法合规的轨道上运行。 参考国家审计署2003年第5号令《审计机关内部控制测评准则》中第五条规定，进行内部控制的评测一般分为下列四个步骤： 1、对内部控制进行调查了解； 2、对内部控制进行初步评价，评估控制风险； 3、对内部控制的执行情况进行符合性测试； 4、提出内部控制测评结果，并利用测评结果确定实质性测试的范围、重点和方法。 在信息系统环境下，对信息系统内部控制的评测，即信息系统审计可以通过下列方法实现上述步骤： （一）对内部控制情况进行调查了解 调阅被审单位关于计算机信息系统的各项管理制度和相关文件，对内部控制的健全性和合理性初步了解。 记录和描述信息系统内部控制制度的方法有三种： 1、书面说明法 书面说明法是将调查得到的内部控制制度记录下来，并用文字详细叙述的方法。运用这种方法时，审计人员往往是按着主要经济业务的运行顺序，或每一经济活动的流程环节向有关人员一一询问并予以记录，最后整理结合，形成文字说明材料。书面说明法的优点是可以根据实际情况灵活地选择内容，并且能做出较深入和具体的描述。但这种方法也有局限性，针对经济业务复杂、经济活动环节较多的企业，用书面说明难免冗长。 2、调查表法 调查表法是指审计人员将那些与保证信息的正确性和