欢迎访问时代新威

语言版本:中文 | 英文       了解我们  在线咨询



一、为什么审?



  • •    企业自身内控的需要
  • •    行业监管部门的要求
  • •    用户等相关方的期望



由电脑、网络和用户所构成的信息系统,已经成为当今社会最重要的生产工具。其安全性和有效性已经成为生产安全的重要组成部分,并成为信息系统所有者及其用户最为关心的问题。同时,也是行业监管部门主要的监管内容。

信息系统审计是信息系统治理工作中的重要一环。它以合规性评价为出发点,以评审、检查和测试为主要手段,以发现信息系统治理过程中存在的风险为目标,帮助和促进用户全面预防和及时处置信息系统风险,从而有效提高信息系统的安全性和有效性。


二、审什么?

审计署对信息系统审计内容的要求是:“信息系统的安全性、有效性和经济性”,它给出了信息系统审计的目标和方向。但针对一个具体的信息系统审计项目,其审计内容应以所确定的审计依据为准,通常包含一般控制审计和应用控制审计;也可以根据审计目的和内容的不同,分为不同的专项审计,如:

  • •    信息安全审计
  • •    业务和数据审计
  • •    信息系统投产和变更审计
  • •    业务连续性审计
  • •    信息技术外包管理审计
  • •    信息系统安全等级保护审计


三、怎么审?

实施信息系统审计,首先要明确审计目的并确定审计范围;然后选择和明确审计依据,组建审计小组;其次规划审计方案,实施现场审计;最后报告审计发现,形成审计报告;其后,作为后续审计活动,实施跟踪审计。其审计工作流程大致如下:




四、什么时间审?

 信息系统审计时间的确定应考虑组织年度审计计划,尽量避开被审计对象业务活动高峰时期,以免影响其业务。确定信息系统审计时间,可考虑:

  • •    定期审计
  • •    随机审计
  • •    遇有重大事件时审计
  • •    信息资产发生重大变化时审计


五、在哪审?

通常认为,信息系统审计的主要对象是一个组织的信息科技部门。其实,除信息科技部门外,信息系统的所有用户部门及相关方都应考虑在内,因为许多信息系统的控制措施要在这些部门完成。确定被审计对象,可考虑:

  • •    一个组织的全部,即所有业务和所有部门;
  • •    一个组织的局部,即部分业务或部分部门;
  • •    组织的相关方,如组织的供方,顾客等。

   根据审计方式的不同,信息系统审计还分为现场审计和非现场审计。非现场审计以非现场审计系统为主要审计工具。


六、谁来审?

审计组是实施信息系统审计的主体,应根据审计目标和内容,选择合适的审计人员组成审计组。一个审计组应包括:

  • •    组长
  • •    审计师
  • •    业务或技术专家
审计组成员应经过专业培训并取得相应资格,如:CISP-Auditor、CISA等。业务或技术专家应具备丰富的行业知识和经验。