《IT审计》读书报告.docxVIP

《IT审计》读书报告1 IT审计定义IT审计也称之为信息系统审计。IT审计是为了信息系统的安全、可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向IT审计对象的最高领导，提出问题与建议的一连串活动。美国信息系统审计权威专家威伯(Ron Weber) 教授对信息系统审计的定义：“收集证据并对所收集的证据进行评价的一项活动，以决定会计信息系统是否在最经济地使用资源的同时，实现了有效保护资产、维护数据完整、完成组织 目标等预期功能。”而另外一个则是由国际信息系统审计和控制协会 (ISACA)的定义：“信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。”IT审计的最终目的是为了信息系统能够正常并且安全的运作，包括了对其中的方方面面进行评价，促使信息系统的运作良好。2 IT审计起源与发展IT审计的出处源自60年代IBM出版的《Audit encounters Electronic Data Processing》等有关在EDI环境下进行审核和组织的论述。不久后有关该方面的研究结果不断涌现， IT审计的雏形初步形成。但是由于信息系统在社会上尚未得到较为广泛的应用，因此社会对IT审计的认识还很不够，IT审计远未普及。八十年代时，由于计算机在发达国家的企业初步普及，利用计算机犯罪和计算机系统失效的事件频频出现，使得IT审计日益得到社会重视，美国、日本先后成立了IT审计方面的协会组织。从事对IT审计规则的制定和实施指导。值得注意的是1985年日本政府出台了《IT审计标准》并根据美国劳工部的《Skill Start》和Northwest Center for Emerging Technologies（NCET）对IT信息人员的从业技能的要求制订了IT审计师（系统监查员）的技能标准并以之作为新的IT审计师（系统监查员）等级考试的参考标准。九十年代是IT审计的普及期，这主要归功于互联网的普及。互联网的普及是利用计算机犯罪的人员温床，此外日益严重的软件项目失败问题引发了是否要对信息系统的投资和开发进行审计的深思。信息化成为企业的中枢，左右着企业的命运，在美、日及欧洲的先进国家，企业都有一定的规模，几乎所有的经营者都认识到了IT审计的必要性。人们也越来越清楚意识到利用IT审计能有效的管理信息及信息相关的技术，是进入信息化社会的可靠保障，在发达国家IT审计已得到了普及。3 IT审计的对象范围IT的审计对象是指以电子计算机为核心的信息系统，并覆盖信息系统从计划、分析、设计、编程、测试、运行维护到该系统报废为止的全生命周期的各种业务。信息系统审计的目标主要是对信息系统真实性、完整性等六方面要素的评估、反馈保证及建议。真实性上信息系统中的数据要真实地反映企业的生产经营活动。要通过数字签名等一系列技术手段和保留不可更改记录、定期审计等管理手段确保数据的真实性。完整性信息具有不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、存储和传输。系统在购买、使用、开发、更新、维护、转移等过程中必须符合相关法律、法规、准则、行规以及企业内部的规定等。安全性是指信息系统在遭受各种因素破坏的情况下，仍然能够正常运行的概率。威胁信息系统安全的因素有外部和内部两种。外部主要是黑客的入侵、病毒的攻击、线路的侦听等，内部主要是被授权的用户访问和修改、删除等操作。安全性是真实性的基础之一。可靠性也是真实性的基础之一，是指信息系统在遭受非人为因素破坏或人为差错影响的情况下仍然能够正常运行的概率。威胁信息系统可靠性的因素包括自然灾害对硬件和环境的破坏以及误操作对软件和硬件的破坏等。效果是指应用信息系统以后，企业在生产控制、管理质量、提供产品和服务等方面发生的变化。效率是指信息系统的应用在企业劳动生产率的提高方面所起的作用。一般来说，对企业实施IT审计的对象有：本企业内的IT审计师、外部IT审计事务所委托审计师和国家审计机构。作为企业，建立一个完善的IT审计制度需要做到以下几点：（1）IT审计师是跨信息技术和审计技术的复合型人才，要实施企业的IT审计制度，必须重视和培养合格的IT审计师；（2）企业应该建立相应的IT审计部门或审计岗位，确定其部门和岗位职责，并将之置于企业经营者的直接管理之内；（3）企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据；值得一提的是，企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行。企业的IT审计制度不是一成不变的，根据具体企业的营运情况可以在每个审计年度终结后新的审计年度