《信息系统审计概述.docx》由会员分享,可在线阅读,更多相关《信息系统审计概述.docx(16页珍藏版)》请在优知文库上搜索。
1、信息系统审计概述一、信息系统审计总体要求(-)信息系统审计的概念信息系统审计是指内部审计机构和内部审计人员对组织信息系统建设的合法合规性、内部控制的有效性、信息系统的安全性、业务流程的合理有效性、信息系统运行的经济性所进行的检查与评价活动。信息系统审计包括审计计划、审计依据、审计方法、审计技术、审计人员配置、审计实施流程、审计报告以及审计质量控制等内容。内部审计机构应建立信息系统审计的相应组织管理体系,对信息系统审计的流程和质量进行管控,并依照规章制度开展信息系统审计。(二)信息系统审计的一般原则组织应建立信息系统审计组织管理体系,并根据有关制度、标准和要求开展信息系统审计活动。其一般原则包括
2、:1 .信息系统审计需结合所在组织的战略目标、业务目标、治理要求和管理授权开展审计。目标导向2 .信息系统审计应合理保证信息系统的运行符合法律法规以及相关监管要求。合法合规3 .信息系统审计应在充分了解组织信息系统治理、管理和应用的基础上做出客观评价。客观性4 .信息系统审计应结合组织的业务流程、信息系统及应用数据开展审计工作。5 .信息系统审计应不断提升内部审计人员技能,严格履行审计程序,提高审计工作质量。(三)信息系统审计的目标1 .总体目标通过对信息系统的审计,揭示信息系统面临的风险、评价信息系统技术的适用性、创新性、信息系统投资的经济性、信息系统的安全性、运行的有效性等内容,合理保证信
3、息系统安全、真实、有效、经济。2 .具体目标(1)保证信息系统建设符合国家有关法律法规和组织内部制度。保证信息系统建设方案、规划内容充分体现组织的战略目标,对信息系统建设、应用与公司的经营目标的一致性作出评价。目标导向(2)信息系统审计应促进信息系统在购置、开发、使用、维护过程中,以及数据在生产、加工、修改、转移、删除等处理中都必须符合国家相关法律法规、准则、组织内部规定等,并应促进信息系统有效实现既定业务目标。合法合规(3)提高组织信息系统的可靠性、稳定性、安全性,数据处理的完整性和准确性。(四)信息系统审计的特点1.传统审计的权威性、客观性、公正性等特点2 .可以突破物理区域限制,开展远程
4、非现场审计3 .要求审计人员具备较高的信息化知识和技能4信息系统审计的内容更加广泛5 .信息系统工作难以量化,审计评价时需要定性与定量相结合等(五)信息系统审计的内容信息系统审计对象,包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。信息系统审计内容,主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。6 .组织层面信息技术控制的审计(1)控制环境内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。(2
5、)风险评估内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程,信息资产的分类及信息资产所有者的职责,以及对信息系统的风险识别方法、风险评价标准、风险应对措施。(3)控制活动内部审计人员应当关注信息系统管理的方法和程序,主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。(4)信息与沟通内部审计人员应当关注组织决策层的信息沟通模式,信息系统对财务、业务流程的支持度,信息技术政策、信息安全制度传达与沟通等方面。(5)内部监督内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等。2信息系统一般性
6、控制的审计信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序,目标是保护数据与应用程序的安全,并确保异常中断情况下计算机信息系统能持续运行。信息系统一般性控制包括硬件控制、软件控制,访问控制,职责分离等关键控制。审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理,访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。(1)系统开发和采购审计内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发所制定的系统目标以及预期功能是否合理,是否能够满足组织目标:系统开发的方法,开发环境、测试环境、生产环境的分离情况,系统的测试
7、、审核、验收、移植到生产环境等环节的具体活动。对应用系统的开发与实施过程所采用的方法和流程进行评价,以确保其满足组织目标。评估拟定的系统开发或采购方案,确保其符合组织战略目标;评估项目管理过程,确保组织在满足成本效益原则的基础上实现风险管理框架下的组织业务目标,确保项目按计划开展,并有相应文档充分支持;评估相关信息系统的控制机制,确保其符合组织的相关制度规定:评估系统的开发、采购和测试、维护,对系统实施定期检查,确保其持续满足组织目标。(2)系统运行审计内部审计人员应当关注组织的信息技术资产管理、系统容量管理、系统物理环境控制、网络环境资源配置、系统和数据备份及恢复管理、问题管理和系统的日常运
8、行管理等内容。一般控制措施包括但不限于保证数据安全、保护计算机应用程序正常运行、防止系统被非法侵入、保证在错误操作或意外中断情况下的持续运行等。评估组织在信息系统运行日常操作以及信息系统基础设施管理的有效性及效率性,确保其支持组织的目标:评估信息系统服务相关实务,确保内部和外部服务提供商的服务等级是明确并可控的:评估运行管理,保证信息系统支持功能有效满足业务需求:评估数据管理,确保数据库的完整性和最优化:评估性能的发挥及监控工具与技术应用:评估问题和事件管理,确保所有事件、问题和错误被及时记录。(3)系统变更审计内部审计人员应当关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审
9、批,变更测试及移植到生产环境系统中的流程控制等。评估变更、配置和发布管理,确保变更被详细记录。(4)信息安全审计内部审计人员应当关注组织的信息安全管理制度,物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制,系统设置的职责分离控制等。内部审计人员对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。评估逻辑访问控制的设计、实施和监控,确保信息资产的机密性、完整性、有效性和授权使用合规性:评估网络框架和信息传输的安全:评估环境控制的设计、实施和监控,确保信息资产充分安全。3.信息系
10、统应用控制的审计信息系统应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应当考虑下列与数据输入、数据处理以及数据输出环节相关的控制活动:(1)授权与批准审计应用程序的访问控制,必须关注是否有被授权的使用人才可以访问系统数据或执行授权范围内的程序功能,输入控制是否保证每笔被处理的事务能够被正确完整地录入与编辑,是否只有合法且经授权的信息才能被正确输入。(2)系统配置控制审计配置控制主要关注应用系统基础参数的设置与调整。包括参数的正确性、审批与授权、调整日志等。(3)异常情况报告和差错报
11、告审计信息系统在出现不能正常运行、计算结果错误等异常情况时,系统能否自动提醒、处理,接收、保存差错输出报告。(4)接口/转换控制审计应对接口的数据流向、数据传输能力、数据转换准确性等进行测试和检查,接口/转换能否保证数据流通的正确性以及数据传输能力是否满足系统功能需求。(5)一致性核对审计系统间传输时,需重点检查传输报告分发是否建立了相应的人工控制环节,包括但不限于安全打印、接收签名、加密、只读等,以防范非法篡改造成不一致。(6)职责分离审计系统数据的录入、修改与审核的职责分离,关注对数据进行加密和敏感性分级处理的规则以及加密方式是否满足工作需求。(7)系统计算审计信息系统对数据计算的准确性及
12、计算效率。(8)其他4.信息系统专项审计信息系统审计除上述常规的审计内容外,内部审计人员还可以根据组织面临的特殊风险或者需求,设计专项审计,具体包括但不限于下列领域:(1)信息系统开发实施项目的专项审计。(2)信息系统安全专项审计。(3)信息技术投资专项审计。(4)业务连续性的专项审计。(4)法律、法规、行业规范要求的内部控制合规性专项审计。(5)其他专项审计。二、信息系统审计程序一般包括审计准备、审计实施、审计报告和后续审计四个阶段。()审计准备A.审前准备内部审计人员在实施信息系统审计前,需要根据信息系统审计目标,开展审前调查、收集法规、制度依据以及其他有关资料。审前调查主要了解组织信息系
13、统的治理管理体制、总体架构、规划和建设情况等。具体如下:1.治理、管理体制。主要了解信息系统管理机构设置、管理职责、工作流程等。2 .系统总体架构(1)系统分布。包括系统数量、规模和分布,绘制信息系统分布图。(2)信息系统主要类型。(3)各信息系统的基本情况和系统之间的关联关系。(4)信息系统应用覆盖面及应用程度。3 .规划和建设情况(1)规划:信息系统发展规划以及年度计划落实情况。(2)建设:信息系统建设程序、投入、管理,了解已完成系统和在建系统。(3)使用:信息系统应用管理制度、使用率、应用中存在的主要问题、困难和矛盾。B.编制审计工作方案根据审前准备情况,编制信息系统审计工作方案,方案内
14、容包括但不限于被审计组织信息系统的基本情况。包括信息系统项目建设及应用情况、审计目的、审计依据、审计对象与范围、审计内容重点及方法、审计步骤与时间安排、审计组与人员分工等。在审计组组成环节,审计部门可以借助外部专家的力量,在审计组中应当有具备信息技术经验和知识的专兼职审计专家,便于补充提高审计组的胜任能力。(二)审计实施审计实施是内部审计人员依据审计计划实施现场审计的过程。内部审计人员应结合审前准备了解的内容,按照被审计组织的信息化环境、业务流程、内控制度等方面的风险,明确具体项目审计目标、细化审计内容,突出审计重点。实施阶段主要应完成以下工作:1.了解评估被审计组织的信息系统内部控制收集被审
15、计组织信息系统的内部控制管理制度及流程,对被审计组织相关人员进行访谈,了解组织的信息系统决策及管理政策、方法、控制活动主要内容包括但不限于:(1)信息系统内部控制环境。(2)风险管理。(3)控制活动。(4)信息与沟通。(5)内部监督。2 .开展控制测试内部审计人员开展控制测试评价信息系统的内部控制要素,以确定组织能接受的控制风险。验证控制措施的执行是否符合管理政策和程序,为审计提供合理的保证。信息系统控制测试主要包括控制环境测试和功能测试:(1)组织管理的控制测试。(2)系统建设管理的控制测试。(3)系统资源管理的控制测试。(4)系统环境管理的控制测试。(5)系统运行管理的控制测试。(6)系统网络和通信管理的控制测试。(7)系统数据库管理的控制测试。(8)系统输入,处理、输出的控制测试。(9)其他。3 .初步评估信息系统内部控制根据对组织信息系统的控制测试情况,选择组织信息系统的重点业务流程。对固有风险和控制风险进行初步评估,对信息系统控制有效性作出评价。4 .开展实质性测试内部审计人员应根据控制测试结果确定实质性测试的性质、时间和范围。组织层面评价内容包括组织架构、权责分配、发展战略、人力资源、培训与考核等。对组织信息系统开展风险评估时,结合相关规范中