企业开展信息系统审计几点思考.docVIP

企业开展信息系统审计的几点思考 　　摘要：当前企业信息化快速发展，开展信息系统审计势在必行。本文介绍了信息系统审计的概念和内容以及具体的工作流程、工作方法，并对信息化环境下，企业如何开展信息系统审计工作提出了自己的建议。 　　关键词：信息系统审计 风险 控制 　　 　　当前企业信息化发展迅速，在实现手工操作到电子化过程中，其经营效率得到了不断提升。同时，企业对信息系统的依赖性也越来越强，面临巨大的安全风险。因此，企业内审部门应着力推进信息系统审计，加强风险防范，为企业信息系统的安全稳定运行提供可靠的保证。本文将围绕企业如何开展信息系统审计工作谈谈个人的几点看法。 　　 　　一、信息系统审计的概念 　　 　　到目前为止，国际上对信息系统审计还没有固定、统一的定义。国际信息系统审计委员会（ISACA）定义为 “为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导层，提出问题与建议的一连串的活动”。所以信息系统审计所关注的内容不单纯是对电子数据、财务信息的处理，而是对企业整个信息系统的可靠性、安全性进行了解和评价过程。信息系统审计涉及到了信息系统的整个生命周期，这不仅是技术问题，更是一个管理问题。 　　 　　二、信息系统审计的内容 　　 　　根据对信息系统审计概念的理解，企业开展信息系统审计应该涵盖其所有的业务应用系统以及涉及信息系统建设生命周期中所有的活动与资源。其审计内容具体如下： 　　 1．信息系统管理流程审计。开展信息系统管理流程审计主要是确保企业拥有适当的结构、政策、工作职责、运营管理机制和监督实务，以达到公司治理中对IT 方面的要求。主要内容是评估企业评估信息技术工作条例或工作程序是否健全、执行是否有效。具体包括评估信息技术部门的职责分工，评估信息系统取得、开发、购置、引进的制度和流程，评估生产系统的运行维护的制度和流程，评估项目管理、项目监理的制度和流程，评估信息系统的安全管理制度等等。 　　2．信息系统技术平台审计。开展信息系统技术平台审计主要内容是检查企业是否有适当的安全规范，以保证信息资产的机密性、完整性和有效性。具体包括评估网络设备运行与安全管理，比如路由器、防火墙、通信线路等等；评估硬件设备运行与安全管理，比如小型机、服务器、存储设备等等；评估数据库、操作系统等运行平台的运行与安全管理，比如Unix、数据库、应用开发工具、项目管理工具、防/杀毒工具等等。 　　3．信息系统工程项目审计。开展信息系统工程项目审计主要是评估信息系统和基础建设生命周期管理的有效性。具体内容包括评估项目启动、立项、需求分析、系统设计、开发、测试、验收、推广过程的有序性、有效性，检查系统开发生命周期中的每一个程序是否均被严格执行，检查项目监理是否起到应有作用，检查各类项目文档是否齐全。 　　4．信息系统生产过程审计。信息系统生产过程的审计首先是评估数据流与业务流的吻合情况，即信息系统对需求的满足度及信息系统操作流程与业务操作流程的吻合度。其次是评估生产过程中的风险控制，主要是评估或测试信息系统中的关键控制点是否得到有效控制。比如评估数据访问授权、系统功能授权、业务操作授权、业务审批决定授权等权限管理是否有效，是否拥有防止非法进行数据修改的措施。信息系统的使用者和系统的开发者是否分离，被审计部门对交易录入的原始数据是否实施相应的控制等等。 　　 　　三、信息系统审计的工作流程 　　 　　信息系统审计的工作流程主要包括确定审计范围、做好审计准备、进行审计评估、出具审计报告、提供专业建议等过程。 　　首先，确定审计范围，编制审计计划。一般情况下根据审计目标确定审计范围。在此基础上制定审计预案，编制审计计划。审计预案中要明确审计依据、审计小组成员职责分工、审计工作程序、审计工作文档模板与案例、审计时间表，并注明需重点关注的地方，也就是确定审计重点。审计预案可以人手一份，明确每个审计小组成员的责、权、利，有助于提高审计效率。 　　其次，在实施具体的审计评估工作时，应对照审计依据，了解被审计部门的信息系统管理流程、技术基础平台、生产系统运行与维护的管理制度，通过关键点测试等方式做出公正、客观的评估。完成后还需出具详细的审计报告，对被审计信息系统或专项被审计对象进行鉴证，并提出必要的管理建议，促进或帮助被审计部门提高信息系统管理水平。 　　最后，我们还要做好审计结果追踪工作，检查、督促被审计部门做好整改工作，以达到我们的审计目的。 　　 　　四、当前企业开展信息系统审计的建议 　　 　　我国企业的信息系统审计尚处于探索、起步阶段，需要一个渐进的过程。在当前情况下，企业内部审计部门应做好以下