根据国外IS审计实践,IS 审计有以下基本业务:①信息系统的管理、规划与组织:评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务;②信息技术基础设施与操作实务:评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标;③资产的保护:对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失;④灾难恢复与业务持续计划:这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价;⑤应用系统开发、获得、实施与维护:对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标;⑥业务流程评价与风险管理:评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。 在进行IS审计时,审计师通常根据两种方式对系统进行划分,一种方式是根据管理功能,保证信息系统的开发、维护、运行和维护以一种可控的方式进行,通常包括高层管理、信息系统管理、系统开发管理、程序管理、数据管理、质量保证管理、安全管理、运行管理等。第二种划分是根据应用功能划分,执行这些应用以达到信息可靠处理的目标。这种划分方式通常将大的应用系统逐层划分成子系统,然后针对子系统的输入、处理、输出、数据库等方面的数据完整性进行审计。 审计的实施主要包括以下几个步骤: (1)确定审计依据。信息系统审计师须了解规划、执行及完成审计工作的步骤与技术,并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。信息系统审计的依据主要包含:通用的信息系统审计准则和标准体系;控制目标;委托方的系统需求和业务规定;其他法律及规定。这些可以作为信息系统审计的总体纲要。 (2)审计准备。IS审计的准备主要包括收集背景信息,包括被审计方的组织结构,内部控制,系统流程等,估计完成审计需要的资源和技巧,以及合理进行人员分工等。确定审计范围时应该与被审计方和开发方举行一次正式的会议,需要高级领导的参与,确定审计范围和需要重点关注的内容,并制定日程, 解释审计方法,保证审计工作的顺利实施。 (3)审计实施。根据标准和相关准则,选择具体的目标实施审计,描述由于没有获得每个目标可能导致的风险。审计的方法包括走查、现场审计等方法,在审计过程中,针对各个阶段进度方面出现的问题,可以提交以下报告:①针对项目中某一问题的专题分析报告,提出紧急改进方案或一般改进方案。②阶段性报告,在每一个里程碑结束后,提交阶段性审计报告。③综合审计报告。 (4)审计结束。在审计完成后,需要召开一次正式会议,向高级经理交流审计结果,提出改进建议。这将确保高层领导对审计进一步的理解,增加审计建议的接纳程度,也提供给被审计者一个表达观点的机会。 |