论文部分内容阅读
信息系统已成为现代社会中不可缺少的基础设施。在为人们提供便利、满足社会服务需求的同时,信息系统自身的结构和功能也越来越复杂。对信息系统的错误操作、滥用和不正当使用,给社会带来了巨大的经济损失。为应对信息系统风险,确保其服务价值得以体现,必须对信息系统的安全性、投资效果、实施进程和实施效果进行评估、指导和改进,即IT审计(Information Technology Audit,或称IT监查)。
IT审计:
本世纪最重要的审计领域
从财务审计到IT审计
IT审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方——IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整、有效检查和评估。
从企业经营和管理角度来看,审计包括:财务审计,指针对于企业财务问题的审计;管理审计,指针对企业管理行为的审计;IT审计,指针对企业信息系统进行的审计。IT审计并非独立于财务审计和管理审计之外,而是与后两者密切相关的第三大审计领域。在财务审计中,既要保证会计报表等财务信息真实可靠,还要保证软、硬件系统同时可靠,这就涉及IT审计的内容。同样,在管理审计中,如对环境管理的审计,同时要求对企业的生产工艺与生产技术进行审计,也涉及IT审计的范畴。
可以说,审计领域经过了财务审计一统天下,到管理审计与财务审计并存,再到IT审计与前两者并驾齐驱的过程。随着信息系统的广泛应用,IT审计将成为21世纪最重要的审计领域。
五类审计涵盖生命周期
IT审计强调对信息系统软、硬件的审计,注重对信息系统整个生命周期的审计,包括信息系统的所有活动和中间产物,以及信息系统实施相关的外部环境等。按照信息系统的生命周期,可将IT审计分为业务计划审计、业务开发审计、业务执行审计、业务维护审计和共通业务审计五类。
1.业务计划审计
对信息系统的设计规划、投资可行性、信息系统与公司战略的相关性、计划可行性、系统完整性和正确性等进行审核和验证。
2.业务开发审计
注重对信息系统开发环节的审查,包括对开发人员的活动、信息、中间产物进行审核,确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。
3.业务执行审计
确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求,同时对信息系统的功能、性能、易用度、可操作性等进行评估。
4.业务维护审计
对信息系统的维护活动和维护结果实施审核和评价,发现在维护中可能出现的各种漏洞和信息系统维护中亟待改善的问题。
5.共通业务审计
涉及文档管理、进度管理、人员管理、采购管理、风险管理等,检查这些过程的规范性和有效性,并提出改良建议。
IT审计的内容
按国际上通行的规范,信息系统审计有6个方面主要内容:评估信息系统计划、管理及组织架构的战略、政策、标准及相应的实践过程;评估技术基础设施及运行实践的效能和效率;评估信息资源在逻辑访问、运行环境以及IT基础设施各方面的安全性;评估系统灾难恢复及保证业务连续性的能力;评估业务应用系统开发、实施与维护的方法和过程;评估业务流程的风险管理水平。
IT审计不仅对技术基础设施、业务应用系统的安全性、可靠性进行全面的监测,同时也对信息系统的组织结构进行审查,并以确保系统的安全性和灾难恢复能力为基础。因此,IT审计对IT审计从业人员提出相当高的要求,IT审计师必须具备相当广泛的基础知识、专业技巧和实践经验。
重视并稳步推进IT审计
IT审计在我国才刚刚起步
目前,我国IT审计的发展尚属初期。20世纪90年代后期,信息系统控制与审计思想传播到我国,2002年6月,国际信息系统审计与控制协会(Information System Audit and Control Association,简称ISACA)在我国举办了首次注册信息系统审计师(CISA)资格考试,与信息系统控制与审计相关的概念、技术、实践才慢慢引入我国。
从近年情况看,我国的信息系统审计制度建设工作才刚起步,主要包括:1993年审计署发布的《审计署关于计算机审计的暂行规定》,1994年国务院出台的《中华人民共和国计算机信息系统安全保护条例》,1996年审计署制定的《审计机关计算机辅助审计办法》,1999年中国注册会计师协会颁布的《中国独立审计准则第20号——计算机信息系统环境下的审计》,2007年1月1日起施行的《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》等。
由于信息系统控制与审计在国际上尚属新兴领域,国内很多研究还不够成熟,但是一些行业和领域已逐步引进了IT审计来确保相关行业的信息安全。如金融、电信、航空航天、国家安全、电子商务和电子政务等领域。
不能片面追求规模和速度
当前,在全力推进“两化融合”工程的大背景下,我国信息化事业已发展到一个新的阶段。政府、金融机构、企业均开始整合与升级各自的信息化系统,信息化系统的应用范围将更加广泛,社会经济活动对信息化系统的依赖将更为明显,更需保证信息系统的安全。
在信息化推进过程中,难免会出现片面追求规模和速度,不顾质量和安全的情形。信息系统规划制定不够深思熟虑,项目管理不够严格,系统运行效益不够明显,会导致相当一部分信息化项目失败,浪费大量资源。这与各级政府和企业对信息化风险认识不足,规避风险措施不力有直接关系。为此,在未来的发展中,必须重视IT审计,切实建立IT审计制度和规则,加大人才培养和技术开发力度,稳步推进IT审计工作。
三项对策推进IT审计发展
IT审计是一项程序性较为明显的系统性工作。要确保IT审计的公正性和客观性必须具备以下前提:一是要有一批专业化的第三方审计机构以及经过资格认证的注册IT审计师队伍;二是必须有一套公认的审计标准、过程规范及职业道德,并有相应的非赢利行业协会负责制定及监督执行;还需要以适时、适宜的IT审计技术创新为支撑。
完善IT审计准则和制度
国家有关部门要尽快召集IT行业及财务审计领域的专家学者,借鉴国际IT审计经验,研究起草我国IT审计的基本标准和具体准则。IT审计主要考虑IT审计合同、独立性、职业道德、能力等方面。
作为企业也应建立完善的IT审计制度。要重视和培养合格的IT审计师,IT审计师是跨信息技术和审计技术的复合型人才;要建立相应的IT审计部门或审计岗位,明确职责;应制定IT审计准则、实施报表、报告等进行IT审计所必需的凭据;遵循国家相关法律、结合企业实际建立IT审计制度,并根据企业运营情况在审计年度结束时进行调整。
培养IT审计人才
大量合格的IT审计人才是我国IT审计事业得以顺利发展的基础。要重视软件供应商、管理咨询机构、会计师事务所等行业的IT审计师的培养,发挥IT审计师在产品、规划、检测、监控客户信息系统风险和运营风险等环节中的作用。要对现有的审计人员和IT从业人员进行相关技能培训,使他们掌握审计知识,并有能力通过IT审计师认证考试。要充分利用高校、企业和社会团体资源,通过联合培养、集中实践、统一选拔的方式提升IT审计师的数量和质量。
加强审计技术研发工作
IT审计经历了40多年的发展,目前已趋于成熟,但国内发展缓慢。为此,我们有必要借鉴国外先进经验,加强对新型审计技术和度量工具的研究,要真正把握信息技术发展的脉搏,紧跟IT审计技术的发展步伐,结合国内实际,遵循审计工作的基本原则,改进国内审计技术,不断消化和创新IT审计技术和方法。要加大对IT审计软件开发、工具开发的扶持力度,促使企业加大投入,增加国家直接资金支持。同时,要在成果鉴定的基础上,加大IT审计软件的推广和应用力度,提高审计精度和效率。
IT审计:
本世纪最重要的审计领域
从财务审计到IT审计
IT审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方——IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整、有效检查和评估。
从企业经营和管理角度来看,审计包括:财务审计,指针对于企业财务问题的审计;管理审计,指针对企业管理行为的审计;IT审计,指针对企业信息系统进行的审计。IT审计并非独立于财务审计和管理审计之外,而是与后两者密切相关的第三大审计领域。在财务审计中,既要保证会计报表等财务信息真实可靠,还要保证软、硬件系统同时可靠,这就涉及IT审计的内容。同样,在管理审计中,如对环境管理的审计,同时要求对企业的生产工艺与生产技术进行审计,也涉及IT审计的范畴。
可以说,审计领域经过了财务审计一统天下,到管理审计与财务审计并存,再到IT审计与前两者并驾齐驱的过程。随着信息系统的广泛应用,IT审计将成为21世纪最重要的审计领域。
五类审计涵盖生命周期
IT审计强调对信息系统软、硬件的审计,注重对信息系统整个生命周期的审计,包括信息系统的所有活动和中间产物,以及信息系统实施相关的外部环境等。按照信息系统的生命周期,可将IT审计分为业务计划审计、业务开发审计、业务执行审计、业务维护审计和共通业务审计五类。
1.业务计划审计
对信息系统的设计规划、投资可行性、信息系统与公司战略的相关性、计划可行性、系统完整性和正确性等进行审核和验证。
2.业务开发审计
注重对信息系统开发环节的审查,包括对开发人员的活动、信息、中间产物进行审核,确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。
3.业务执行审计
确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求,同时对信息系统的功能、性能、易用度、可操作性等进行评估。
4.业务维护审计
对信息系统的维护活动和维护结果实施审核和评价,发现在维护中可能出现的各种漏洞和信息系统维护中亟待改善的问题。
5.共通业务审计
涉及文档管理、进度管理、人员管理、采购管理、风险管理等,检查这些过程的规范性和有效性,并提出改良建议。
IT审计的内容
按国际上通行的规范,信息系统审计有6个方面主要内容:评估信息系统计划、管理及组织架构的战略、政策、标准及相应的实践过程;评估技术基础设施及运行实践的效能和效率;评估信息资源在逻辑访问、运行环境以及IT基础设施各方面的安全性;评估系统灾难恢复及保证业务连续性的能力;评估业务应用系统开发、实施与维护的方法和过程;评估业务流程的风险管理水平。
IT审计不仅对技术基础设施、业务应用系统的安全性、可靠性进行全面的监测,同时也对信息系统的组织结构进行审查,并以确保系统的安全性和灾难恢复能力为基础。因此,IT审计对IT审计从业人员提出相当高的要求,IT审计师必须具备相当广泛的基础知识、专业技巧和实践经验。
重视并稳步推进IT审计
IT审计在我国才刚刚起步
目前,我国IT审计的发展尚属初期。20世纪90年代后期,信息系统控制与审计思想传播到我国,2002年6月,国际信息系统审计与控制协会(Information System Audit and Control Association,简称ISACA)在我国举办了首次注册信息系统审计师(CISA)资格考试,与信息系统控制与审计相关的概念、技术、实践才慢慢引入我国。
从近年情况看,我国的信息系统审计制度建设工作才刚起步,主要包括:1993年审计署发布的《审计署关于计算机审计的暂行规定》,1994年国务院出台的《中华人民共和国计算机信息系统安全保护条例》,1996年审计署制定的《审计机关计算机辅助审计办法》,1999年中国注册会计师协会颁布的《中国独立审计准则第20号——计算机信息系统环境下的审计》,2007年1月1日起施行的《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》等。
由于信息系统控制与审计在国际上尚属新兴领域,国内很多研究还不够成熟,但是一些行业和领域已逐步引进了IT审计来确保相关行业的信息安全。如金融、电信、航空航天、国家安全、电子商务和电子政务等领域。
不能片面追求规模和速度
当前,在全力推进“两化融合”工程的大背景下,我国信息化事业已发展到一个新的阶段。政府、金融机构、企业均开始整合与升级各自的信息化系统,信息化系统的应用范围将更加广泛,社会经济活动对信息化系统的依赖将更为明显,更需保证信息系统的安全。
在信息化推进过程中,难免会出现片面追求规模和速度,不顾质量和安全的情形。信息系统规划制定不够深思熟虑,项目管理不够严格,系统运行效益不够明显,会导致相当一部分信息化项目失败,浪费大量资源。这与各级政府和企业对信息化风险认识不足,规避风险措施不力有直接关系。为此,在未来的发展中,必须重视IT审计,切实建立IT审计制度和规则,加大人才培养和技术开发力度,稳步推进IT审计工作。
三项对策推进IT审计发展
IT审计是一项程序性较为明显的系统性工作。要确保IT审计的公正性和客观性必须具备以下前提:一是要有一批专业化的第三方审计机构以及经过资格认证的注册IT审计师队伍;二是必须有一套公认的审计标准、过程规范及职业道德,并有相应的非赢利行业协会负责制定及监督执行;还需要以适时、适宜的IT审计技术创新为支撑。
完善IT审计准则和制度
国家有关部门要尽快召集IT行业及财务审计领域的专家学者,借鉴国际IT审计经验,研究起草我国IT审计的基本标准和具体准则。IT审计主要考虑IT审计合同、独立性、职业道德、能力等方面。
作为企业也应建立完善的IT审计制度。要重视和培养合格的IT审计师,IT审计师是跨信息技术和审计技术的复合型人才;要建立相应的IT审计部门或审计岗位,明确职责;应制定IT审计准则、实施报表、报告等进行IT审计所必需的凭据;遵循国家相关法律、结合企业实际建立IT审计制度,并根据企业运营情况在审计年度结束时进行调整。
培养IT审计人才
大量合格的IT审计人才是我国IT审计事业得以顺利发展的基础。要重视软件供应商、管理咨询机构、会计师事务所等行业的IT审计师的培养,发挥IT审计师在产品、规划、检测、监控客户信息系统风险和运营风险等环节中的作用。要对现有的审计人员和IT从业人员进行相关技能培训,使他们掌握审计知识,并有能力通过IT审计师认证考试。要充分利用高校、企业和社会团体资源,通过联合培养、集中实践、统一选拔的方式提升IT审计师的数量和质量。
加强审计技术研发工作
IT审计经历了40多年的发展,目前已趋于成熟,但国内发展缓慢。为此,我们有必要借鉴国外先进经验,加强对新型审计技术和度量工具的研究,要真正把握信息技术发展的脉搏,紧跟IT审计技术的发展步伐,结合国内实际,遵循审计工作的基本原则,改进国内审计技术,不断消化和创新IT审计技术和方法。要加大对IT审计软件开发、工具开发的扶持力度,促使企业加大投入,增加国家直接资金支持。同时,要在成果鉴定的基础上,加大IT审计软件的推广和应用力度,提高审计精度和效率。