企业信息系统审计的研究(3)
2016-07-30 01:09
导读:(四)项目治理审计子系统 项目治理系统是对审计过程进行全面指导、帮助和控制的软件,它通过对标准审计的各个工作流程的公道细分,使每个子流程
(四)项目治理审计子系统
项目治理系统是对审计过程进行全面指导、帮助和控制的软件,它通过对标准审计的各个工作流程的公道细分,使每个子流程都对应相应的机处理模块。从而使一个完整的审计项目可通过计算机辅助而完成,并产生各个工作环节应该天生的底稿和报告。有利于进步工作效率,为进行审计质量考核提供了极大的方便。
(五)信息系统审计标准子系统
此系统主要是实现信息资料的收集和共享。定期进行更新,包括:审计工作所需要的各类法律、法规、规章制度等。一般来讲,按不同层次设立,信息的共享通过系统内互联的企业网实现,还可根据信息的保密要求,设定不同的信息访问权限。
三、规范信息系统审计范围
其业务范围包括与信息系统有关的所有领域,例如对组织的信息系统审计(主要集中在对信息技术的治理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通讯等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计以及网誉审计、签名审计业务等电子商务审计。
1.信息系统开发计划、治理及组织架构的战略、政策、标准及相应实践过程的评估;
2.技术基础设施及运行实践的效能和效率的评估;
3.信息资源在逻辑访问、运行环境以及IT基础设施各方面的安全性的评估;
4.系统灾难恢复及保证业务连续性的能力的评估;
5.业务应用系统开发、实施与维护的方法和过程的评估;
6.业务流程的风险治理水平的评估;
7.财务系统的评估。
第一,鉴证作用。信息系统审计的鉴证价值是指通过审计,公道地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性。
(科教作文网http://zw.ΝsΕAc.Com编辑整理) 第二促进作用。促进价值体现在两个方面,一是指信息系统审计可以促进被审计单位更有效地融进到生活中;二是指审计可以促进被审计单位改进内部控制,加强治理,进步信息系统实现组织目标的效率、效果。
第三咨询作用。信息技术的为组织的治理变革提供了技术手段,组织扁平化、工作丰富化等治理变革都要信息技术来实现。信息化已是大势所趋。
四、创建行业标准与实务指南
如同开展业务审计要具有相关法律法规作为审计依据一样,开展信息系统审计同样需要审计依据。国内信息系统审计方面的工作近几年才刚刚开始,基本仍处于摸索阶段,而在国家审计中更是如此。,由于国内关于信息系统审计方面的标准尚处于空缺状态。
国际上关于信息系统审计方面可以的标准主要有信息及相关技术控制目标COBIT(Control Objectives for Information and related Technology)、ISO17799、能力成熟度集成模型CMMI(Capability Maturity Model Integration)和IT基础架构库ITIL(Information Technology Infrastructure Library)等。
信息系统审计与控制协会ISACA(Information System Audit and Control Association)于1996年公布的目前国际上通用的信息系统审计的标准。它将IT 过程,IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。它是一个在国际上公以为最先进、最权威的安全与信息技术治理和控制的标准。
英国国家标准局制定的BS7799-1《信息安全治理实践规范》,该规范于2000年12月被国际标准化组织采纳,成为ISO17799。ISO/IEC17799标准最初于1993年由英国贸易部立项,由标准化协会筹备起草并作为英国的标准。1995年,首次发布BS 7799-1:1995《信息安全治理业务规范》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小组织以及政府部分;1998年,标准化协会发表标准的第二部分BS 7799-2《信息安全治理体系规范》,它规定信息安全治理体系与信息安全控制要求,是一个组织的全面或部分信息安全治理体系评估的基础,它还可以作为一个正式认证方案的根据;BS 7799-1与BS 7799-2经过修订于1999年重新予以发布,此次考虑了信息处理技术,尤其是考虑了在和通讯领域应用的最新发展情况;2000年12月,BS 7799-1:1999《信息安全治理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准,即ISO/IEC17799-1:2000《信息技术——信息安全治理业务规范》标准。
