审计信息系统的战略规划与组织 信息系统的规划不当、组织结构设计不当、组织的分工不明确等因素会给信息系统的实施带来很大风险,本文主要介绍了信息系统审计师应该重点从哪些方面对信息系统的规划进行审计,以及对组织结构和职责分工进行审计。 规划审计 信息系统的规划对后续信息系统的开发和设计工作影响至关重要,因此需要引起高度的重视。如果规划不当,很可能会产生以下一些潜在的问题: l 最终用户不满意 l 过度费用 l 计划超支 l 项目拖延 l 高层人员调整 l 缺少经验的员工 l 频繁的软硬件错误 l 用户请求积压 l 计算机响应时间长 l 大量流产或搁置的开发项目 l 未经验证的或未授权的软硬件购买 l 软硬件频繁升级 l 过多的异常报告 l 未对异常报告进行追踪 l 不良动机 l 缺少持续规划 l 依赖一两个关键人员 因此,信息系统审计师需要对组织规划进行全面的审计,在审计过程中应该着重审查以下几个方面: l 信息技术战略、规划和预算所提供的规划和管理控制信息系统环境的证据; l 安全策略文档是否辨别谁负责保护公司资产,包括程序和数据。它还应该声明所有安全风险所对应的职位,声明预防违规的防范措施和保护活动,鉴于这个原因,安全策略文档应该列为机密文档; l 组织章程应该给信息系统审计师提供理解特定部门的汇报关系,描述部门的责任划分,给出组织内部职务分离程度; l 信息化领导小组的报告应该提供关于新系统项目的文档化信息。这些报告应由高层领导审阅,分发给各种业务部门; 组织审计 在对组织的职责进行审计时,信息系统审计师需要关注以下方面: l 工作描述定义组织全部职位的责任与功能。提供给组织为相同工作划分成组的能力,同时确保符合工作强度的薪水。 l 组织内部职务分离程度,识别有冲突的职位。 l 确信汇报水平建立在正确概念基础上,不违背职务分工原则; l 系统开发和程序变更流程提供了进行系统开发和程序变更的框架; l 员工操作是否符合操作规程描述,是否遵守组织章程,是否理解组织的标准和规程; l 员工安全、好的防范实务和保护公司资产方法的理解程度以及安全意识; 信息系统审计师在进行规划和组织的审计时,主要采取两种方式: l 审查文档。文档的审查需要管理层授权,具有目的性并且要及时更新。通过审查工作描述的文档可以识别这些员工所要汇报的对象的职位。 l 观察。观察是最好的考察形式,通过与信息处理人员和管理者面谈等方式进行观察,确认员工是否履行该项工作所必需的技能,是否具备安全意识等。 外包合同审计 在采用IT外包战略过程中,一个良好的平衡服务协议作为控制的机制,对于保证质量和未来各方合作而言十分重要。与外包提供方签订的协议内容包括:信息系统服务、产品,质量控制以及方法、过程、结构等方面的描述。这些协议的正确执行取决于双方之间的协调以及负责人的要求等。 信息系统审计师必须认识不同形式的外包和相关风险。并要注意到计算机软件、硬件、信息系统服务合同中不同阶段的风险,包括: l 合同需求开发 l 合同招标过程 l 合同评选过程 l 合同承兑 l 合同维护 l 合同执行 以上每个阶段都要具有法律效应的文档支持,并得到管理者授权。信息系统审计师需要证实管理者是否参与合同过程,并且在适当水平上进行了一致性评价。信息系统审计师可以通过对合同抽样审查独立客观的合同履行情况。 |