IT 治理－信息系统审计与控制.docVIP

IT 治理－信息系统审计与控制 ? 信息系统审计是指审计人员接受委托或授权，收集并评估证据以判断一个计算机系统是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。它既包括信息系统外部审计的鉴定目标，即对被审计单位的信息系统保护资产安全及数据完整的鉴定，又包含内部审计的管理目标，即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。?? 信息系统审计是随着计算机在财务会计领域的应用而产生的，作为传统财务审计业务的一种辅助工具，对客户的电子化会计数据进行处理和分析，为财务报表审计人员提供服务。随着计算机技术应用范围的不断扩展，计算机对被审计单位各个业务环节的影响越来越大，计算机审计所关注的内容也从单纯的对电子的处理，延伸到对计算机系统的可靠性、安全性进行了解和评价。? 信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标，为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域，例如对组织的信息系统审计（主要集中在对信息技术的管理控制）、技术方面的信息系统审计（包括架构、数据中心、数据通信等）、应用的信息系统审计（包括经营、财务）、开发实施信息系统审计（包括需求识别、设计、开发以及实施后阶段）和信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计业务等电子商务审计。?? 信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源，其关注的核心是资产保护与信息系统的效率、效果。不仅包括对建设过程的审计，更重要的是对信息系统的运营审计，向公众出具审计报告，鉴定信息系统能否保护企业资产安全，其产生、传递的信息是否完整，整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行，审计活动一直存在。? 另外，信息系统工程监理的过程是可见的，即对项目成本、进度和质量与目标出现的偏差是可见的，及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性，这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕，这仅仅是信息化的开始，大量的问题将出现在信息系统运营维护阶段，因此，从这个角度而言，信息系统审计是保证信息系统质量的行之有效的方法。? 信息系统审计的鉴定价值是指通过审计，合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性，政策遵循的一贯性。在市场经济条件下，被审计单位输出的信息资料对该单位的存在与发展及其业务经营活动非常重要，对一些利益相关者而言也非常重要。例如，在电子商务中，交易双方在虚拟的空间进行交易活动，信息的真实性、可靠性、完整性，双方声明的商业政策能否一贯的遵循直接影响到交易是否顺利实现或公平实现。这种情况下，不仅被审计单位自己关注其信息系统对信息资产的安全、完整、真实的作用，同时交易的另一方也非常关心。由于技术、商业机密以及距离上的限制，信息的使用者不可能亲自对信息的质量做出审查，因此需要一个可信赖的一方为此提供鉴定。? 信息系统审计可以促进被审计单位更有效地融入到社会经济生活中，可以促进被审计单位改进内部控制，加强管理，提高信息系统实现组织目标的效率、效果。信息系统审计师在完成审计后，出具审计证明，即审计报告，以证明被审计单位信息的真实、完整、可靠。审计师的证明可以增强人们对其信息的信任程度。随着网络技术的普及，商业信息的在线和实时披露都是不可扭转的必然趋势。信息系统审计师能够以在线、实时的信息为基础提供鉴定，对使用信息的所有相关体而言是具有巨大价值的。这样会给被审计单位带来更多的资金、更多的业务及合作伙伴。同时，信息的使用者也可以借助这些信息，加强被审计单位的管理决策，提高其经济效益。? 信息系统审计在审计过程中发现的控制缺陷或漏洞，可以审计报告、管理建议书等形式报告给委托人或被审计单位管理当局，并提出解决问题的建议，从而促进被审计单位提高管理水平，提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位信息系统进行全面的审视，可以发现从内部看不到的问题。信息系统审计师提供的外部审视的价值既表现在用新的思维方式、新的观点去观察企业，分析其存在的问题及原因，也表现在以科学的态度和创新精神，去设计解决问题的方案。? 为了减少信息化风险，信息系统审计师可凭借其专门知识和实践经验，受托或主动服务于被审计单位的管理者或其业务人员，在信息化过程中帮助企业或政府部门建立健全内部控制制度，进行系统诊断，根据企业需要，确定信息化的目标和内容，选择合适的软件产品，帮助企业或政府部门调整现有的管理架构和流程