IT审计制度的确定

2005-5-18 13:13:19【作者】 AMTeam.org 【进入论坛】
本文关键字 转贴文档
广告

IT审计制度的确定
来自:电子工业出版社《IT审计》 作者:胡克瑾 
1.4.1 IT审计制度
IT审计能帮助企业实现对信息及与信息相关的技术的管理。本节从企业经营者的角度阐明IT审计制度的重要性以及IT审计制度包含的主要内容。
1.4.1.1 企业经营者的责任
当今世界是信息化时代,信息系统受到各种各样的威胁,如没有安全对策,系统是相当脆弱的。信息系统的可靠性、安全性与效率的确保是极其重要的,而这一切也是为企业的经营者考虑。由1.3节可知,IT审计应由具有信息技术与审计两方面知识与能力的IT审计师对信息系统进行检查与评价,将其结果向企业经营者报告。企业经营者即使对信息系统不精通,按照IT审计报告也能像黑盒子一样理解信息系统及与之相关联的业务,使之间接把握信息系统成为可能。因此,企业经营者通过IT审计,能把握与信息系统有关的业务,决定对策,也就是说IT审计师实施IT审计,把针对信息系统可靠性、安全性与有效性等进行的检查与评价的结果报告给企业经营者,使经营者能把握信息系统,有效地控制和管理与系统相关的风险[11]。
1.4.1.2 确立IT审计制度
在信息系统成为企业业务处理中枢的今天,经营者决定信息化的投资方针,信息系统的可靠、安全、效率的好坏左右着企业的命运。因此,企业经营者不仅要接收信息部门的报告,在企业内部设立IT审计部门,实施内部审计。同时,还必须委托外部IT审计师站在第三方的客观立场对信息系统进行全面的检查与评价,这是必不可少的。因此,企业经营者必须理解IT审计是为企业而实施的,而要实施IT审计,确立IT审计制度是十分重要的[10]。下面介绍IT审计制度大致包含的主要内容。
1.明确基本方针
? 确立领导把关的方针
? 明确IT审计师的权限、职责与任务
? 确立IT审计结果的报告与跟踪制度
2.IT审计的组织机构
? 内部审计在组织机构中的位置
? 内部审计的规模及小组组成
? IT审计师所具备的资格与教育培训
? 委托外部的IT审计
? 外部的IT审计合同
3.IT审计准则、手册、工具的配备
? IT审计准则、手册与操作规程
? IT审计工具与软件
? IT审计报告,各种审计实施表
4.IT审计与相关部门的关系
? IT审计与系统部门关系
? IT审计与用户部门关系
? 外部审计与内部审计的关系
日本通产省情报处理开发协会,曾向企业经营者提出实施IT外部审计的必要性有如下几点。
(1)当今世界信息系统在企业中占据重要地位,经营者为了对信息系统进行客观的评价,仅有内部审计是不够的,为确保信息系统的可靠 、安全与有效,还必须请外部IT审计师客观地不间断地实施IT审计。
(2)追求信息系统投资的效率,充分理解IT审计的本质。由外部IT审计师对信息系统进行评价,带头实施外部IT审计,促进系统的合理使用与不断健全。
(3)为了确保信息系统的安全,考虑地震等自然灾害及人为侵犯等的影响,早做防范。在事故发生、业务中断情况下,有替代方案,使系统损失最小。
(4)一般与人民生活密切相关的各种信息系统,要对其差错与受侵犯的可能性进行充分的研究,考虑预防对策,由此可见外部IT审计是必不可少的。外部IT审计一般通过委托方式,签订外部IT审计合同来实现的。
明确IT审计基本方针,确立IT审计制度,并使其顺利进行。要让相关的人员都知晓IT审计的基本方针,而且还要让相关部门也理解该方针。IT审计的方针作为企业的决策,直接影响到IT审计实施的有效性,因此是十分重要的。基本方针应对IT审计的一些规定明文化,要表明经营者的态度,基本方针的内容如图1.6所示。


1.4.2 IT内部审计部门的组织
在明确IT审计基本方针、确定IT审计制度后,如何组织企业内部审计部门是非常重要的。本节阐明内部审计的组织地位、规模和组成以及如何进行IT审计师的资质培训。
1.4.2.1 内部审计组织
IT内部审计,作为企业内部的审计活动,也应该站在与审计对象独立的客观立场来实施。因此,承担IT审计的部门,从组织地位来讲必须独立于系统部门或用户部门。
刚推行IT审计时,在部门中设置IT审计师来完成内部IT审计的情况也是有的。由于这些IT审计师对具体的业务与计算机知识非常熟悉,因此实施IT审计很方便。但IT审计师的独立性存在问题。有些企业为了实施IT审计,临时组成IT审计小组,IT审计完成后解散,同样也存在独立性的问题。图1.7表示内部IT审计组织。


1.4.2.2 内部IT审计的规模
承担内部IT审计的人数,基本上根据IT审计对象的规模、大小及业务内容而定。
表1.2为IT审计的人数分布情况,是美国对162个公司的调查结果[7]。
表1.2 IT审计的人数分布情况


1.4.2.3 IT审计师的培养
IT审计师要具有信息系统结构及系统开发方面的有关知识,另外,还要具有控制与组建系统的能力,以及在特定系统中,识别哪些控制为最重要控制的能力。
外部IT审计通过委托合同,直接让具有丰富的知识与经验的IT审计师来进行。而对于内部IT审计,在推进IT审计制度时,培养内部 IT审计人员,并不断地进行培训教育是十分重要的。
对IT审计人员的培养,可采用各种方法,对参与企业内部系统开发,具有实践经验的人员让其参加IT审计教育课程,另外也可通过委托外面进行培训等各种方法来完成。
以下是三种具体方法。
(1)对信息处理专业人员进行IT审计方法与技术的培训。
(2)对现有的内部IT审计人员,进行数据处理和IT审计技术方法的培训。
(3)积极采用委托外部IT审计师的方法。由外部IT审计师站在更高的角度,使用丰富的IT审计工具,来实施IT审计。
1.4.3 IT审计准则、手册、工具的配备
为了有效地实施IT审计,国际上成立了信息系统审计与控制协会ISACA(Information System Audit and Control Association),由该组织制定和颁布IT审计准则、实务指南等,来规范与指导IT审计师的工作,并开发了各种各样的工具。各IT审计组织要充分考虑IT审计对象的规模、特性、IT审计人员的知识、经验程度及工具所具有的特性,同时考虑一定的投入,并引入或开发各种工具与环境。如没有手册、工具等的配合,要真正实施IT审计是困难的。
IT审计准则是实施IT审计的总纲,是IT审计和审计报告规定必须达到的基本要求,是实施IT审计业务、出具IT审计报告的具体规范。
IT审计手册,是实施IT审计时必要的基本工具,是覆盖IT审计从计划、实施到报告各阶段可参照的详细的工具书。如要提高IT审计效率,保证IT审计的质量,这些都是非常重要的。
IT审计手册中,应考虑以下内容:
(1)IT审计部门各岗位的职责、权限及内容。
(2)IT审计对象的领域及IT审计实施参照的标准。
(3)各主要IT审计领域的详细的审计目的及IT审计顺序。
(4)IT审计工具的利用顺序及注意事项。
(5)IT审计计划中应记载事项及时间。
(6)IT审计报告的制作顺序,包括要记载的事项、格式和时间。
(7)相关部门的调整事项及顺序。
(8)IT审计师的必要资格及教育培训。
另外,IT审计实施表的开发,通用审计软件包的准备,审计工具的购买等都需要费用。因此,企业经营者在实施IT审计时,要考虑到这些。表1.3 列出了要准备的IT审计准则、手册与工具等。
表1.3 IT审计准则、手册与工具
(1)IT审计准则、IT审计手册

· IT审计的基本方针,业务范围

· IT审计人员的任务、权限、职责和组织

· IT审计计划、IT审计顺序和IT审计报告

(2)业务规则、确认规则和安全政策等

· 业务规则和确认规则等

· 安全政策

· 各种标准过程和业务手册等

(3)IT审计顺序和IT审计实施表

· 标准IT审计顺序

· 内部审计评价表

·安全检查实施表等

(4)IT审计用的工具软件

· 通用IT审计程序

· 组入审计模块

· 业务管理的程序等


1.4.4 相关部门的关系
由图1.4内部审计、外部审计与行政审计的关系可知,对于同一信息系统,为了确保系统的安全、可靠与有效,内部审计与外部审计是站在不同的角度,为同一目标而进行审计。因此,内部审计师、外部审计师及系统部门、用户部门等要协调好各方的关系,明确职责,找出系统的问题。本节主要介绍与此相关的各部门的关系。
1.4.4.1 IT审计与系统部门的关系
IT审计人员在执行IT审计的过程中与系统部门接触十分频繁。特别是系统开发阶段,IT审计需要与之长期的协调。为实施IT审计,IT审计人员难免要使用计算机来辅助实施,此时也需要系统部门的协助。因此,系统部门要正确理解IT审计人员的工作性质、权限与职责,处理好两者之间的关系。特别是计算机的使用等,事先都要协调好。IT审计用的程序,原则上由IT审计人员执行,不能依靠系统部门,IT审计人员要处理好各种关系并找出问题根源。
1.4.4.2 IT审计与用户部门的关系
信息系统是由用户部门使用与维护的。系统部门提供信息处理系统,由用户实施。因此,对系统整体进行IT审计时,IT审计人员要协调好用户部门与系统部门的关系,明确各方的职责,找出问题所在。
1.4.4.3 内部审计与外部审计的关系
IT内部审计是企业内部的审计活动,是对信息系统功能实现的内部控制,也可看成是系统的组成部分,或是内部的系统质量控制。没有内部IT审计,要保证系统所有功能的实现是困难的。而外部IT审计是对内部IT审计的检查与评价,是对其有效性进行的判断。可以说外部审计是对内部质量控制的再控制。从保障信息系统的安全、可靠与有效的角度看,内部IT审计与外部IT审计是一致的,但外部审计是对内部审计的再检查与再评价。外部IT审计师在实施IT审计过程中与内部IT审计师接触十分频繁,要处理好关系,找出问题根源,并要保持各自的独立性。

如果您希望与本文章的作者或其所在机构,进一步交流,请联系:畅享网 姜小姐
jill.jiang@amt.com.cn | 021-51096826-112 | 在线联系
打印全文复制链接添加到收藏投稿邮箱责编:AMTeam.org
IT管理—君无心
IT管理—君无心[原创]IT规划的三个原则六大注..

凡事预则立,不预则废。公司在制定IT规划时,还有一些重要的原则可以决定IT规划的成败。 

Acxiom谈数据库营销
Acxiom谈数据库营销Acxiom数据库营销10—正确运用..

直邮是数据库营销的首要渠道,尽可能多地了解这个渠道非常重要。因为直邮有很多调节点,所以充分利用直邮就……

王玉荣谈流程
王玉荣谈流程[原创]十个经典的心理学实验之..

人们通常认为有选择机会是件好事,然而无论是主动还是被动做出选择,选择是好是坏,都会影响人们之后注意力……

绩效管理的筐子
绩效管理的筐子[原创]我的核心原创之打造你的..

如果我不在这个公司做了,下一步我可以去哪里?如果我不做这个工作了,我还可以做什么?我能为下一个组织贡……