屁界的战斗猪
在当前信息时代,信息技术在各行各业的经营与管理领域得到了广泛与深入的运用,信息系统的稳定可靠运行、应用系统中敏感业务信息的保护已逐步成为企业管理者关注的焦点,企业开始应用IT审计来保证信息系统安全性与有效性。
为什么要做IT审计?
具体而言,信息系统审计的必要性如下:
企业自身内控的需要
行业监管部门的要求
用户等相关方的期望
IT审计审的是什么?
审计署对信息系统审计内容的要求是:“信息系统的安全性、有效性和经济性”,它给出了信息系统审计的目标和方向。但针对一个具体的信息系统审计项目,其审计内容应以所确定的审计依据为准,通常包含一般控制审计和应用控制审计;也可以根据审计目的和内容的不同,分为不同的专项审计,如:
信息安全审计
业务和数据审计
信息系统投产和变更审计
业务连续性审计
信息技术外包管理审计
信息系统安全等级保护审计
如何实施IT审计?
实施信息系统审计,首先要明确审计目的并确定审计范围;然后选择和明确审计依据,组建审计小组;其次规划审计方案,实施现场审计;最后报告审计发现,形成审计报告;其后,作为后续审计活动,实施跟踪审计。其审计工作流程大致如下:
IT审计的时间如何确立?
信息系统审计时间的确定应考虑组织年度审计计划,尽量避开被审计对象业务活动高峰时期,以免影响其业务。确定信息系统审计时间,可考虑:
定期审计
随机审计
遇有重大事件时审计
信息资产发生重大变化时审计
IT审计的主要对象?
通常认为,信息系统审计的主要对象是一个组织的信息科技部门。其实,除信息科技部门外,信息系统的所有用户部门及相关方都应考虑在内,因为许多信息系统的控制措施要在这些部门完成。确定被审计对象,可考虑:
一个组织的全部,即所有业务和所有部门
一个组织的局部,即部分业务或部分部门
组织的相关方,如组织的供方,顾客等
根据审计方式的不同,信息系统审计还分为现场审计和非现场审计。非现场审计以非现场审计系统为主要审计工具。
IT审计的主体如何确立?
审计组是实施信息系统审计的主体,应根据审计目标和内容,选择合适的审计人员组成审计组。一个审计组应包括:
组长
审计师
业务或技术专家
审计组成员应经过专业培训并取得相应资格,如:CISP-Auditor、CISA等。业务或技术专家应具备丰富的行业知识和经验。
信息化建设不是一蹴而就,当我们对审计信息系统有越来越多的需求和越来越深的理解,我们将会体验验到新技术给我们带来的变革,全天候运作,同时简化、标准化以及优化流程,提高服务质量并降低成本。时代新威智能IT审计也将帮助人们释放更多的时间和精力,并创造出更有价值的工作!
吃逛吃逛2333
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。信息系统审计过程与一般审计过程一样,分为准备阶段、实施阶段和报告阶段。其中,准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大,而实施阶段所涉及的技术方法则具有信息技术的特色。在实施阶段,针对被审计的信息系统,审计人员所开展的工作可以分为三个层次,即了解、描述和测试。计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比,相应增加了计算机技术的内容。对信息系统审计的方法既包括一般方法即手工方法,也包括应用计算机审计的方法。信息系统审计的一般方法主要用于对信息系统的了解和描述,包括:面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试,包括:测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。应用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用。但不能把计算机辅助审计技术与工具的使用过程与信息系统审计等同起来。在信息系统审计的过程中,仍然需要运用大量的手工审计技术。
shampooxia
信息系统审计师在审计任务的初期阶段执行功能浏览审查的主要原因包括:1. 确认功能的正确性:功能浏览审查可以帮助审计师确认系统中的功能是否符合预期,是否正确地执行了所需的功能,以便在后续的审计过程中进行更深入的审查。2. 识别潜在的风险:通过对系统中的功能进行浏览审查,审计师可以初步了解系统中存在的潜在风险,为后续的审计过程提供更详尽的指导和方向。3. 确认业务流程:功能浏览审查可以协助审计师识别业务流程,以及确定流程是否得到了适当的支持和控制。4. 为后续的测试做准备:功能浏览审查可以为审计师提供关于系统中功能的初步了解,为后续的测试和审查提供基础和方向。总之,在信息系统审计任务的初期阶段进行功能浏览审查可以帮助审计师初步了解系统,为后续审核过程提供指导和方向,识别潜在的风险,并确认业务流程和功能的正确性。
优质审计师问答知识库
