|
|
|
|
|
美国信息系统审计的权威专家Ron Weber将信息系统审计定义为“收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源”。
|
|
|
|
信息系统审计的目的是评估并提供反馈、保证及建议,主要关注:
|
|
|
|
.可用性:商业高度依赖的信息系统能否在任何需要的时刻都能提供服务,信息系统是否被完好保护以应对各种损失和灾难?
|
|
|
|
.保密性:系统保存的信息是否仅对需要这些信息的人员开放,而不对其他人开放?
|
|
|
|
.完整性:信息系统提供的信息是否始终保持正确、可信、及时,能否防止未授权的对系统数据和软件的修改?
|
|
|
|
|
|
|
|
.传统审计理论:提供了丰富的内部控制理论与实践经验,同时收集并评价证据的方法论也在信息系统审计中广泛应用。
|
|
|
|
.信息系统管理理论:是一门关于如何更好地管理信息系统的开发与运行过程的理论,它的发展提高了系统保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
|
|
|
|
.行为科学理论:行为科学特别是组织学理论解释了组织中产生的“人的问题”,也为审计人员了解哪些行为因素可能导致系统失败提供了依据。
|
|
|
|
.计算机科学:计算机科学本身的发展也在关注如何保护资产安全、保证信息完整,并有效地实现企业目标。
|
|
|
|
|
|
信息系统审计业务将随着信息技术的发展而发展,为满足信息使用者不断变化的需要而增加新的服务内容,目前其基本业务如下:
|
|
|
|
.系统开发审计:包括开发过程的审计、开发方法的审计、为IT规划指导委员会及变革控制委员会提供咨询服务。
|
|
|
|
.主要数据中心、网络、通信设施的结构审计:包括财务系统和非财务系统的应用审计。
|
|
|
|
.支持其他审计人员的工作,为财务审计人员与经营审计人员提供技术支持和培训。
|
|
|
|
.为组织提供增值服务,为管理信息系统人员提供技术、控制与安全指导,推动风险自评估程序的执行。
|
|
|
|
.软件和硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符的审计。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
.一般公认的信息系统审计准则:包括职业准则、ISACA公告和职业道德规范。
|
|
|
|
.信息系统的控制目标:信息系统审计与控制协会在1996年公布的COBIT被国际上公认为最先进、最权威的安全与信息技术管理和控制标准。
|
|
|
|
|
|
|
|
采用新技术能带来好处,但也会带来很多风险。此时,审计从基于控制的方法演变为基于风险的方法。
|
|
|
|
|
|
|
|
|
|
(3)评估哪些风险会影响这些系统及对商业运作的冲击。
|
|
|
|
(4)在上述评估的基础上对系统分级,决定审计优先级、资源、进度和频率。
|
|
|
