在当今社会,越来越多的地方需要使用制度,这是各种行政法规、章程、制度和公约的总称。我想学习制定制度,但我不知道该问谁?下面是小编的《信息系统审计工作制度》,欢迎阅读,希望大家能够喜欢。
第一篇:信息系统审计工作制度
信息系统审计工作
今天,信息系统已成为企业业务处理的中枢,信息系统的可靠、安全、效率左右着企业的命运。企业不仅要在内部设立信息系统审计部门,实施内部审计,还必须委托外部信息系统审计师站在第三方的客观立场对信息系统进行全面的检查与评价。要实施独立的信息系统审计,确立信息系统审计制度是十分重要的。
因此,为了规范部门内部工作流程和质量控制,协助其他部门了解信息系统审计部门的业务支持范围、工作内容及工作流程,促进部门间就项目中设计的信息系统审计业务范围进行有效沟通,协调项目工作计划的界定和质量管理,避免因项目中工作职责和工作范围界定不明确而降低审计工作的效率和效果,特制订此信息系统审计制度。
本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作,为财务审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围,信息系统审计的工作程序及方法,以及信息系统审计对客户能够达成的效果等,特作以下介绍说明。
一、信息系统审计何时介入
信息系统审计(IT Audit)是信息系统鉴证业务中的一种。信息系统审计是根据业务和信息控制目标,针对信息系统环境内设定的控制,通过搜集和评估审计证据,对信息系统控制的有效性发表结论或意见的过程。
信息系统审计有四个层面:
1.它的目的是对信息系统控制的有效性发表评估结论或审计意见。有效性包括控制设计的有效性和执行有效性;
2.它的对象是信息系统环境中的各种控制流程或机制,包括IT 一般控制和应用控制;3)
3.它的内容是搜集和评估审计证据;
4.它的依据是业务控制目标,比如系统是否有效实施控制保证财务软件计算的固定资产折旧程序是否准确。通过执行信息系统审计,可以协助财务审计团队了解和评价信息系统的可靠性和安全性及财务数据的完整性和准确性。
财务审计团队在财务审计业务计划阶段,需对客户的信息系统环境进行调查,若客户的信息系统环境评估结果为复杂时,需邀请信息系统审计人员介入共同探讨审计计划,根据业务系统的复杂度、实体业务性质、财务审计团队人员的技能和知识、业务处理本质(如:是否为高度自动化)、交易数量及信息系统的管理方式(如:若信息系统由第三方管理,则需考虑是否需要SAS70或者相关的报告)确定信息系统审计业务支持服务范围,并在信息系统审计计划中以书面的形式记录业务约定。若客户的信息系统环境评估结果为不复杂时,信息系统审计工作可由审计团队完成,必要时信息系统审计团队可以提供知识和技术的支持和咨询服务。
其中,若在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化(如:银行,保险,电信,和零售业等高度依赖电算化的企业环境和特定行业高度依赖信息系统处理业务),仅仅执行实质性程序无法提供足够的审计证据时,在约定信息系统审计业务服务范围时,需考虑同时包括应用控制审计及其他可以辅助财务审计团队确认交易的真实性、完整性、准确性、截止性的审计程序。
在约定信息系统审计是否介入时,需要考虑如下因素:
▪系统的复杂性;
▪业务的本质;
▪财务审计团队的技能和知识;
▪系统的位置(例如,如果包含一个服务组织,SAS70或相关的报告能否被使用);
▪处理的本质(例如高度自动化)和交易的数量。
在评估信息系统是否复杂时,我们认为以下特征是复杂信息系统的指标:
▪客户实施编程和/或开发;
▪信息系统处理过程高度自动化,很少或者没有人工干预;
▪不同的系统接口;
▪信息系统使用批处理(计划任务);
▪实施了新系统或者系统间进行了转换;
▪使用了单点登录(SSO)或者集中权限管理(CRM)系统。
二、信息系统审计业务范围
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。信息系统审计业务范围包括:
(一)为财务审计团队提供信息系统审计业务支持;
(二)支持企业内部控制审计;
(三)开展独立的信息系统审计业务;
(四)对信息系统控制及安全方面提供独立建议的咨询服务。
(一)为财务审计团队提供信息系统审计业务支持
信息系统审计业务为财务审计提供合理保证,其提供的支持服务内容包括:
1.信息系统一般控制:
▪IT控制环境/关键职责分离;
▪主要业务和财务系统的开发以及程序变更管理;
▪IT系统运维管理,如数据批处理、数据备份、数据中心维护;
▪业务和财务系统环境中关键的信息安全和权限控制管理,包括用户账户和授权管理、应用系统安全、数据库系统安全、操作系统安全、和网络安全。
2.应用控制:
支持重要业务流程的各应用和接口系统中固化在程序中的关键控制点。这要根据财务审计团队确定的业务流程而定。比如销售、采购、库存、应收、应付、总账、资金、电子商务、银行存贷等。
3.根据业务复杂性确定的其他控制:
如根据重大账户余额,交易类型或披露事项的重大错报风险的评估结果,对依赖于计算机生成的信息执行信息(CGI)控制测试,计算机辅助审计(CAATs)测试,会计分录测试 (JET)等。
(二)支持企业内部控制审计
信息系统审计对企业的内部控制审计提供支持,对特定基准日内部控制设计与运行的有效性进行审计,其主要内容包括:
1.恰当地计划内部控制审计工作;
2.实施审计工作,评价内部控制是否可以应对舞弊风险,测试内部控制设计与运行的有效性;
3.评价企业内部控制缺陷,按其影响程度分为重大缺陷、重要缺陷和一般缺陷;
4.获取充分、适当的证据,为在内部控制审计中对内部控制有效性发表意见和对控制风险结果评估提供支持。
(三)开展独立的信息系统审计业务
独立的信息系统审计业务是通过实施信息系统审计工作,对公司、机构或组织是否达成信息技术管理目标进行综合评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行其受托责任以达成公司、机构或组织的信息技术管理目标。
独立的信息系统审计业务也可通过实施信息系统审计工作来对公司、机构或组织所提供的专业化服务(如电子商务、人力资源与薪酬管理外包、在线数据备份等)进行综合评价从而达到以下目标:
1.判断一切与该公司、机构或组织所提供的专业化服务相关的流程、操作及管理是否合乎行业标准;
2.保障使用此类专业服务的公司或个人的信息安全性;
3.基于评价意见提出整改建议,从而帮助此类专业服务提供商更好地拓展市场与开放客户群体。
信息系统审计部门能够为客户提供的独立的信息系统审计业务内容包括:
▪企业信息系统控制合规审计报告;
▪企业信息系统运行和控制系统设计及评估;
▪企业萨班斯法案审计服务;
▪其他。
其目的是保证其信息技术战略充分反映该组织的业务战略目标,提高公司、机构或组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规及监管的相关要求。
(四)对信息系统控制及安全方面提供独立建议的咨询服务
信息系统咨询业务是指结合信息系统安全、企业内部控制管理与外部审计等多方面的专业知识,提供与信息安全相关的信息化建设、信息安全诊断、信息技术认证及ERP系统相关的咨询业务。
信息系统审计部门能够为客户提供的独立的信息系统咨询业务内容包括:
▪企业信息系统战略策划和评估;
▪企业信息系统执行及项目管理监理咨询;
▪企业信息系统安全评估;
▪企业萨班斯法案咨询服务;
▪企业专业服务系统的行业评估;
▪其他。
三、信息系统审计程序
(一)信息系统审计一般程序
审计程序一般可分为四个阶段,即准备阶段、实施阶段、审计结论和执行阶段、异议和复审阶段。信息系统审计也可分为这四个阶段,同时结合自身的特殊要求,运用本身特有的方法,对信息系统进行评价。
1.准备阶段
初步调查被审计单位信息系统基本状况,拟定科学合理的计划,一般应包括以下主要工作:
(1)调查了解被审计单位信息系统的基本情况,如信息系统的硬件配置、系统软件的选用、应用软件的范围、网络结构、系统的管理结构和职能分工、文档资料等,调查完成后将审前调查情况记录下来。
(2)提前三天送达审计通知书,要求被审计单位对所提供资料的真实性、完整性作出书面承诺,明确彼此的责任、权利和义务。
(3)初步评价被审计单位的内部控制制度,以便确定符合性测试的范围和重点。
(4)确定审计重要性、确定审计范围。
(5)分析审计风险。
(6)制定审计实施方案。在审计实施方案中除了对时间、人员、工作步骤及任务分配等方面作出安排以外,还要合理确定符合性测试、实质性测试的时间和范围,以及测试时的审计方法和测试数据。
在安排利用计算机辅助审计时,还需列出所选用的通用软件或专用软件。对于复杂的信息系统,也可聘请专家,但必须明确审计人员的责任。
2.实施阶段
实施阶段是审计工作的核心,也是信息系统审计的核心。主要工作是根据准备阶段确定的范围、要点、步骤、方法,进行取证、评价,综合审计证据,借以形成审计结论,发表审计意见。实施阶段的主要工作应包括以下两个方面的内容:
(1)符合性测试。进行符合性测试应以系统安全可靠性的检查结果为前提。如果系统安全可靠性非常差,不值得审计人员信赖,则应当根据实际情况决定是否取消内控制度的符合性测试,而直接进行实质性测试并加大实质性测试的样本量。在信息系统的符合性测试项目中,主要内容应该是确认输入资料是否正确完整,计算机处理过程是否符合要求。如果系统安全可靠性比较高,则应对该系统给予较高的信赖,在实质性测试时,就可以相应地减少实质性测试的样本量。
(2)实质性测试。实质性测试应该是对被审计单位信息系统的程序、数据、文件进行测试,并根据测试结果进行评价和鉴定。进行实质性测试须依赖于符合性测试的结果,如果符合性测试结果得出的审计风险偏高,而且被审计单位有利用信息系统进行舞弊的动机与可能,并且被审计单位又不能提供完整的会计文字资料,此时审计人员应考虑对会计报表发表保留意见或拒绝表示意见的审计报告。进行实质性测试时,可考虑采用通过计算机和利用计算机进行审计的方法,具体包括:
①测试数据法:就是将测试数据或模拟数据分别由审计人员进行手工核算和被审计单位信息系统进行处理,比较处理结果,作出评价;
②受控处理法:就是选择被审计单位一定时期(最好是12月份)实际业务的数据分别由审计人员和会计电算化系统同时处理,比较结果,作出评价。
(3)利用辅助审计软件直接审查信息系统的数据文件。审计人员可利用现场审计实施系统软件(AO)直接对数据进行数据转换,数据查询,抽样审计,查账,账务分析等测试,得出结论,作出评价。
3.审计结论和执行阶段
审计人员对信息系统进行符合性测试和实质性测试后,整理审计工作底稿,编制审计报告时,除对被审单位会计报表的合理性、公允性发表意见,作出审计结论外,还要对被审单位信息系统的处理功能和内部控制进行评价,并提出改进意见。
审计报告完成后,先要征求被审单位的意见,并报送审计机关和有关部门。审计报告一经审定,所作的审计结论和决定需通知并监督被审单位执行。
4.异议和复审阶段
被审单位对审计结论和决定若有异议,可提出复审要求,审计部门可组织复审并作出复审结论和决定。特别是被审单位信息系统有了新的改进时,还需组织后续审计。
(二)信息系统审计协调程序
为财务审计团队提供信息系统审计业务支持服务前,为了合理安排信息系统审计工作计划,财务审计项目负责人与信息系统审计部门应执行下列协调程序:
1.财务审计项目负责人在制定当年审计计划时应考虑所需信息系统审计部门进行审计支持的内容与实行时间;
2.财务审计项目负责人提前在9月底将所需信息系统审计时间告知信息系统审计部门,与信息系统审计部门讨论确定服务内容,预约部门成员;
3.信息系统审计部门搜集所有信息系统审计需求,按照项目时间安排信息系统审计人员工作计划,并与财务审计项目团队、客户协调;
4.信息系统审计部门及时完成外勤工作、底稿编制和底稿审核,并把结论书面告知财务审计项目团队,并与财务审计团队对信息系统审计部门的最后结论达成口头或书面共识;
5.信息系统审计部门将按照事务所要求归档、保管底稿。
其他信息系统项目的工作计划参照上述信息系统审计业务支持服务,与相关方及时沟通制定审计计划,在制定的项目时间内完成工作。
(三)信息系统审计结果报告程序
信息系统审计部门实施信息系统审计的计划、程序、证据、结论等底稿都会按照相应的审计准则进行记录和保存。
1.在财务审计系统审计风险评估当中,信息系统审计部门不会出具某种审计报告,而是出具评估结论,一般以底稿备忘录的形式提交给财务审计团队。该备忘录总结信息系统审计中评估的范围、方法、时间/区间、结论、重大控制缺陷或风险点等内容。
2.在独立的信息系统审计业务和咨询业务中,会出具独立的审计报告。报告将以事务所名义签发。
第二篇:信息系统监理与信息系统审计
[摘要]建立信息化建设的第三方监督对保证信息化建设的效益最大化至关重要。本文通过信息系统监理和信息系统审计的概念、产生动因等进行比较,分析我国信息系统监理面临的新问题、新要求,并介绍美国信息系统审计的实践经验,在此基础上提出对我国信息系统监理事业发展的若干建议。
[关键词]信息系统信息系统监理信息系统审计比较独立性
引言
“信息化带动工业化”是我国长期的重要发展战略,江泽民同志在十六大的报告中指出:“实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。坚持以信息化带动工业化,以工业化促进信息化,走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子。”这段论述表现了我们党对信息化建设的高度重视,也指明信息化带出一条新型工业化路子的光明前景。
目前,各地区、各部门都在认真贯彻十六大精神,十分重视推进信息化工作,我国信息化建设已经进入新的阶段,我国信息化事业已发展到一个新的阶段。各级政府正在积极推进“电子政务”,许多城市及企业也已着手整合与升级其信息化应用系统。可以预计,全国将有更多、更大的信息系统建设项目展开。但是,在信息化推进过程中,存在不同程度上的一些问题,主要表现在规划制订不够科学,项目管理不够严格,监理机制不够健全,系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标,浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。
国内外的实践表明:信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。英国Kalido于英国时间2001年12月12日公布了有关企业信息管理的调查结果。调查显示,96%的企业对于本公司的信息管理系统感到不满。关于目前正在使用的信息系统,认为"所制作的报告缺乏一贯性"或者是"核对信息花费了太多时间"的企业约占70%。特别引人深思的是该调查是由美国HarteHanks以全球500强企业以及财富1000企业中的171家公司为对象通过问卷方式实施的。调查对象中,40%以上的企业年交易额超过20亿美元。其他主要调查结果如下∶回答目前的信息系统不能灵活因应变化的企业约占60%;对于数据的精度表示担心的企业约占60%;60%以上的企业正在策划有关数据及信息的整合计划。这充分说明,信息系统的建设项目较之传统工业工程项目成功率更低,风险也更加突出。
中央领导同志在国家信息化领导小组第一次会议中特别强调:信息化建设一定要讲求效益,不能搞花架子。因此建立并逐步完善我国信息系统审计制度是健康、有序地推进信息化和落实领导小组会议精神的一项重要措施。
目前,在国内的信息化项目工程建设中,绝大多数用户(业主)无法组织队伍对信息系统建设进行专业化管理,难以胜任从可行性分析、规划设计、招标、方案评审到工程监理和工程验收全过程的管理与组织协调工作,建设方和承建方在信息建设过程中存在严重的信息不对称问题。这表现为借助外援进行工程管理咨询的案例越来越多,一些省市的行业主管部门也开始在信息系统建设中推行由监理进行工程质量管理的做法。但是,监理介 入信息系统在我国还处于一个探索的过程中。
我国加入WTO后,鉴于我国IT服务业未来巨大的增长空间,国际知名咨询顾问公司、专业技术服务提供商等纷纷抢滩我国市场。在信息系统第三方鉴证业务方面,他们提供符合国际标准的信息系统审计服务。因此当前监理事业的发展面临新的形势,监理工作外部环境发生了深刻变化,势将对我国监理企业形成严重冲击,本土监理企业面临前所未有的严峻挑战。监理事业往何处去?这是摆在每一个监理人面前的重大课题。每一个监理企业必须以发展的眼光、动态的观点、创新的思想和创新的理论正确认识和判断当前的监理形势,增强危机感和紧迫感,迎接新的挑战。
信息系统监理
信息系统监理概念
依据信息产业部《信息系统工程监理暂行规定》,信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
信息系统监理产生动因及其发展
1、信息系统监理产生动因分析
监理工作、监理企业是我国在计划经济向市场经济转变的过程中在建设领域中应运而生的,并取得了有目共睹的显著成效,直接促进了工程监理业的繁荣发展,这也导致在通信业工程建设、信息系统建设等方面监理的出现。因此,回顾建设工程监理的发展,将有助于对信息系统监理的认识。
1988年7月建设部发布了《关于开展建设监理工作的通知》,随后又于1988年11月印发了《关于开展建设监理试点问题的若干意见》,使得试点工作有章可循。1989年,根据初步试点取得的经验,建设部制定了《建设监理试行规定》,这是我国第一个比较完备的关于工程建设监理的法规文件,勾画出具有我国特色的工程建设监理制度的初步框架。1991年又分别制定颁发了《建设监理单位资质管理试行办法》和《监理工程师资格考试及注册试行办法》,建设监理法规制度进一步配套完善。1993年,上海市开始了工程设备监理制度的试点工作。1998年,国务院机构改革后赋予了国家质量技术监督局“协调建立设备工程监理制度”的职能要求,随后,国家质量技术监督局拟定了《协调建立设备工程监理制度的方案》,在国家发展计划委员会的指导和具体参与下,会同国务院有关部门,在国内有关技术及咨询机构的帮助、支持下,完成了设备监理制度中有关规章的起草工作。此间,世界银行、国家开发银行等亦曾规定,其贷款的有关项目要有监理公司监理,并作为申请贷款的项目单位获得贷款的基本条件。由此开始推行建设工程监理制度,监理事业得到持续快速发展,从而积累了一定经验,取得了积极成效。发展至今建立了一套比较完整的监理法规体系,组成了一支规模较大的监理队伍,监理出一批优良的工程项目,监理工作在工程建设中发挥了重要作用,得到了各级领导的支持,得到了社会的普遍认可,正逐步向规范化、制度化、科学化方向迈进
但同时我国工程监理事业经过十多年的发展,虽然取得了一定成绩,但也存在不少问题。如:监理人员整体素质不高、监理工作缺位、监理取费普遍较低、监理市场竞争机制不健全、监理企业缺乏自我积累和发展能力、监理责任不明确、监理工作缺乏系统的理论研究、宣传工作滞后等问题比较突出。
2、信息系统监理的发展
目前信息系统工程的现状类似于二十世纪八十年代以前建筑工程的状态。自1988年建设部颁布《关于开展建设监理工作的通知》以后,特别是1996年建设监理全面推行后,建筑工程的质量普遍提高,业主和承建商之间的纠纷普遍减少,凡是出问题的工程,监理也有问题。因此,要求参考建筑工程的管理办法对信息工程实施监理的呼声日益高涨,这既是信息工程用户(业主)的愿望,也是系统集成商的愿望,信息工程市场呼唤“第三方”—信息系统工程监理的出现。
早在1995年,原电子工业部就出台了《电子工程建设监理规定(试行)》。1996年,深圳市成立了全国第一家信息工程质量监督机构—信息工程质量监督检验总站。1998年,西安协同软件股份有限公司经西安技术监督局和西安市科委批准,获得“计算机管理信息系统工程监理”资质认证,成为国内第一家获此资格的公司。1999年6月,深圳市政府在国内率先出台了包括实施信息工程监理条款在内的《深圳市信息工程管理办法》,并要求首届我国国际高新技术成果交易会信息网络工程实施监理。2000年7月,深圳市信息化建设委员会办公室制订了《深圳市信息工程建设管理办法实施意见》,要求“市、区、镇人民政府及其所属部门使用财政性资金(包括预算内资金、预算外资金、事业收入等),投资规模在100万元以上的信息工程建设项目必须遵照本实施意见进行立项、招投标、监理、质量监督、验收”。2002年7月,北京市信息化工作办公室制定了《北京市信息系统工程监理管理办法(试行)》,要求“本市推行信息系统工程监理制度,建设单位应当通过协议或者招标的方式优先选择具有相应资质等级的信息系统工程监理单位承担监理业务。各级财政全部补助或者部分补助以及为社会提供公共服务的重大信息化工程项目必须通过招标的方式选择信息系统工程监理单位,实行强制监理。”2002年11月,国家质量监督检验检疫总局公布《设备监理单位资格管理办法》,在该管理办法的21类设备工程专业中,涉及信息工程的共有三类,即信息网络系统、信息资源开发系统和信息应用系统。最近,在国家信息办和国家标准管理委员会直接领导下,信息化系统监理规范化项目正在加紧制定中,并且是作为电子政务标准化项目的一个子项目而提出的。预计在今年年底,监理规范就要完成,经过试用和修改后,将上升为国家标准。2002年12月,信息产业部在广泛征求意见和开展试点工作的基础上,正式颁布《信息系统工程监理暂行规定》,这标志着我国信息工程监理开始迈向科学化、专业化和规范化,也预示着在我国即将出现一个新的中介服务行业,将很快涌现一批监理机构和执业人员,从此信息系统工程监理工程师也将逐步成为国民经济和社会信息化的“警察”。
但我国的信息系统工程监理目前仅仅是处在起步阶段,事实上根据对国内信息化应用程度较高的行业部门(如银行、证券、保险、气象、社保、旅游等)和部分大型企业(如华北制药、哈尔滨轴承集团、哈尔滨飞机制造企业、跃进汽车集团、我国石化等)30个样本作为调查对象的调查结果显示,对于大多数企业来说,项目监理是个新概念。只有30%的被调查者表示在某些信息化项目中使用过监理服务。在70%未使用过项目监理的被调查者中,5%表示听说过,95%表示知道建筑工程有监理,但在IT信息化项目中引入监理还是第一次听说。
图1监理服务内容重要程度(引自胡敏《市场呼唤项目监理》)
目前,我国还没有一套完善的IT项目监理制度,相应的监理法规、监理内容、收费标准等也都没有制定。特别是收费标准问题,大多数用户采用协商解决。以北京城域网项目的监理费为例,其采用了建筑行业的监理服务收费标准(2%10%),支付的服务费占整个项目资金支出的2%。广大用户也反映,项目监理的标准如何才能做到公正、科学,项目监理的工作流程是否也应该规范,如何界定和权衡监理公司、用户、IT厂商三方利益?监理过程中出了问题,该怎么办?,这一系列问题都需要不断探索。原北京市信息中心主任华平澜表示,只有使监理更加规范化,才能更好地推进监理工作,才能使信息系统的建设更加顺利。事实上,与建筑等其他发展很成熟的行业的监理相比,对IT项目的监理要难得多。并且由于信息技术是一个新兴技术,它本身还在不断发展和完善,因此,即使制定出的监理的内容和标准也不能僵化,需要不断地变更和完善。
信息系统监理的基本理论
信息系统监理的中心任务是科学地规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理;监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理,保证工程的顺利进行和工程质量。
1、成本控制
成本控制的任务,主要是在建设前期进行可行性研究,协助建设单位正确地进行投资决策;在设计阶段对设计方案、设计标准、总概(预)算进行审查;在建设准备阶段协助确定标底和合同造价;在实施阶段审核设计变更,核实已完成的工程量,进行工程进度款签证和索赔控制;在工程竣工阶段审核工程结算。
2、进度控制
进度控制首先要在建设前期通过周密分析研究确定合理的工期目标,并在实施前将工期要求纳入承包合同;在建设实施期通过运筹学、网络计划技术等科学手段,审查、修改实施组织设计和进度计划,做好协调与监督,排除干扰,使单项工程及其分阶段目标工期逐步实
现,最终保证项目建设总工期的实现。
3、质量控制
质量控制要贯穿在项目建设从可行性研究、设计、建设准备、实施、竣工、启用及用后维护的全过程。主要包括组织设计方案评比,进行设计方案磋商及图纸审核,控制设计变更;在施工前通过审查承建单位资质等;在施工中通过多种控制手段检查监督标准、规范的贯彻;以及通过阶段验收和竣工验收把好质量关等。
3、合同管理
合同管理是进行投资控制、工期控制和质量控制的手段。因为合同是监理单位站在公正立场采取各种控制、协调与监督措施,履行纠纷调解职责的依据,也是实施三大目标控制的出发点和归宿。
4、信息管理
信息管理包括投资控制管理、设备控制管理、实施管理及软件管理。
5、协调
协调贯穿在整个信息系统工程从设计到实施再到验收的全过程。主要采用现场和会议方式进行协调。
总之,三控两管一协调,构成了监理工作的主要内容。为完满地完成监理基本任务,监理单位首先要协助建设单位确定合理、优化的三大目标,同时要充分估计项目实施过程中可能遇到的风险,进行细致的风险分析与评估,研究防止和排除干扰的措施以及风险补救对策。使三大目标及其实现过程建立在合理水平和科学预测基础之上。其次要将既定目标准确、完整、具体地体现在合同条款中,绝不能有含糊、笼统和有漏洞的表述。最后才是在信息工程建设实施中进行主动的、不间断的、动态的跟踪和纠偏管理。
信息系统监理的主要业务和依据
1、信息系统监理的主要业务
信息系统监理的主要业务范围有信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。根据国内信息系统监理的实践,其涵盖计算机工程、网络工程、通信工程、结构化布线工程、智能大厦工程、软件工程、系统集成工程以及有关计算机和信息化建设的工程及项目。其业务内容具体如下:
帮助建设单位做好项目需求分析,协助建设单位选择合适的承建单位;
审定承建单位的开工报告、系统实施方案、施工进度计划;
对项目实施的各个阶段进行有效的监督和控制,帮助建设单位控制工程进度、投资和质量;
审查和处理工程变更;
参与工程质量和其他事故调查;
调解建设单位与承包单位的合同争议,处理索赔、审批工程延期;
组织进行竣工验收测试。
组织建设单位和承建单位完成工程移交。
2、信息系统监理的依据
信息系统监理的依据如下:
国务院颁发的《质量振兴纲要》;
现行国家、各省、市、自治区的有关法律、法规、规定;
国际、国内IT行业质量标准规范;
建设单位和承建单位的合同;
将来还有国家标准,例如《信息化工程监理规范》等。
信息系统监理的程序
图3信息系统监理的程序
信息系统工程监理的特点是全过程监理,主要包括四个阶段的监理工作:招投标阶段、设计阶段、实施阶段、验收阶段。监理的目标、方法和程序都体现在这四个阶段的监理工作中。
信息系统审计
信息系统审计概念
信息系统审计是全部审计过程的一个部分,信息系统审计(ISaudit)目前还没有固定通用的定义,美国信息系统审计的权威专家RonWeber将它定义为“收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。
信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下三类:
可用性——商业高度依赖的信息系统能否在任何需要的时刻提供服务?信息系统是否被完好保护以应对各种的损失和灾难?
保密性——系统保存的信息是否仅对需要这些信息的人员开放,而不对其他任何人开放?
完整性——信息系统提供的信息是否始终保持正确、可信、及时?能否防止未授权的对系统数据和软件的修改?
信息系统审计产生动因及其发展
1、信息系统审计产生动因分析
关于信息系统审计的产生动因,目前国际上存在两种观点:一种观点认为是从会计审计发展到计算机审计再发展到信息系统审计(计算机审计的范围扩展,最后涵盖整个信息系统)演变过来的;另外一种认为由于信息系统尤其是大型信息系统的建设是一项庞大的系统工程,它投资大、周期长、高技术、高风险,在系统的建设过程中,对工程进行严格、规范的管理和控制至关重要。而正是由于信息系统工程所具有的这些特点,建设单位往往由于技术力量有限,无力对项目的技术、设备、进度、质量和风险进行控制,无法保证项目的实施成功。所以需要有第三方进行独立审计。
2、信息系统审计在国际上的发展
信息系统审计的发展是伴随着信息技术的发展而发展的。在数据处理电算化的初期,由于人们对计算机在数据处理中的应用所产生的影响没有足够的认识,认为计算机处理数据准确可靠,不会出现错弊,因而很少对数据处理系统进行审计,主要是对计算机打印出的一部分资料进行传统的手工审计。随着计算机在数据处理系统中应用的逐步扩大,利用计算机犯罪的案件不断出现,使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计,即EDI审计。同时随着社会经济的发展,审计对象、范围越来越大,审计业务也越来越复杂,利用传统的手工方法已不能及时完成审计任务,必须应用计算机辅助审计技术(CAATs)进行审计。八十年代、九十年代信息技术的进一步发展与普及,使得企业越来越依赖信息及产生信息的信息系统。人们开始更多的关注信息系统的安全性、保密性、完整性及其实现企业目标的效率、效果,真正意义的信息系统审计才出现。随着电子商务的全球普及,信息系统的审计对象、范围及内容将逐渐扩大,采用的技术也将日益复杂。到目前为止,信息系统审计在全球来看,还是一个新的业务,从美国五大会计师事务所的数据看1990年拥有信息系统审计师12名到近百名,1995年已有500名,到2000年时,信息系统审计师正以40%——50%的速度增加,说明信息系统审计正逐渐受到重视。
美国在计算机进入实用阶段时就开始提出系统审计(SYSTEMAUDIT),从成立电子数据处理审计协会(EDPAA后更名为ISACA)以来,从事系统审计活动已有三十多年历史,成为信息系统审计的主要推动者,在全球建有一百多个分会,推出了一系列信息系统审计准则、职业道德准则等规范性文件,并开展了大量的理论研究,IT控制的开放式标准COBIT(ControlObjectivesforInformationandRelatedTechnology)已出版了第三版。
3、信息系统审计在国内的发展
目前国内有学者提出计算机审计,电算化审计,但基本上停留在对会计信息系统的审计上,延伸手工会计信息系统审计,尚未全面探讨信息时代给审计业务带来的深刻变化。以我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计为例,其更多关注的是会计信息系统。在信息时代,面对加入WTO后全球一体化市场,我国IT服务业面临巨大的挑战,开展信息系统审计业务不失为推动我国IT服务业发展的一次绝佳机会。
信息系统审计的理论基础
信息系统审计不仅仅是传统审计业务的简单扩展,信息技术不单影响传统审计人员执行鉴证业务的能力,更重要的是公司和信息系统管理者都认识到信息资产是组织最有价值的资产,和传统资产一样需要控制,组织同时需要审计人员提供对信息资产控制的评价。因此信息系统审计是一门边缘性学科,跨越多学科领域。
如图3所示,信息系统审计是建立在四个理论基础之上的:
传统审计理论。传统审计理论为信息系统审计提供了丰富的内部控制理论与实践经验,以保证所有交易数据都被正确处理。同时收集并评价证据的方法论也在信息系统审计中广泛应用,最为重要的是传统审计给信息系统审计带来的控制哲学,即用谨慎的眼光审视信息系统在保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
信息系统管理理论。信息系统管理理论是一门关于如何更好地管理信息系统的开发与运行过程的理论,它的发展提高了系统保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
行为科学理论。人是信息系统安全最薄弱的环节,信息系统有时会因为人的问题而失败,比如对系统不满的用户故意破坏系统及其控制。因此审计人员必须了解哪些行为因素可能导致系统失败。这方面行为科学特别是组织学理论解释了组织中产生的“人的问题”。
计算机科学。计算机科学本身的发展也在关注如何保护资产安全、保证信息完整,并能有效地实现企业目标。但是技术是一把双刃剑,计算机科学的发展可以使审计人员降低对系统组件可靠性的关注,信息技术的进步也可能启发犯罪,例如一个重要的问题是信息技术在会计制度中的应用是否给罪犯提供了较多缓冲时间?如果是,那么今天网络犯罪产生的社会威胁较以往任何时候都要大。
图4 :IS审计的理论基础
信息系统审计的基本业务和依据
1、信息系统审计的基本业务
信息系统审计业务将随着信息技术的发展而发展,为满足信息使用者不断变化的需要而增加新的服务内容,目前其基本业务如下:
系统开发审计,包括开发过程的审计、开发方法的审计,为IT规划指导委员会及变革控制委员会提供咨询服务;
主要数据中心、网络、通讯设施的结构审计,包括财务系统和非财务系统的应用审计;
支持其他审计人员的工作,为财务审计人员与经营审计人员提供技术支持和培训;
为组织提供增值服务,为管理信息系统人员提供技术、控制与安全指导;推动风险自评估程序的执行;
软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计;
灾难恢复和业务持续计划审计;
对系统运营效能、投资回报率及应用开发测试审计;
系统的安全审计;
网站的信誉审计;
全面控制审计等。
一个信息系统不等同于一台计算机。今天的信息系统是复杂的,由多个部分组成以做出商业解决方案。只有各个组成部分通过了评估,判定安全,才能保证整个信息系统的正常工作。对一个信息系统审计的主要组成部分分成以下几类:
信息系统的管理、规划与组织——评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
信息系统技术基础设施与操作实务——评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标.
资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
灾难恢复与业务持续计划——这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。
应用系统开发、获得、实施与维护——对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。
业务流程评价与风险管理——评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。
2、信息系统审计的依据
信息系统审计师须了解规划、执行及完成审计工作的步骤与技术,并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。
一般公认信息系统审计准则——包括职业准则、ISACA公告和职业道德规范。职业准则可归类为:审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。ISACA职业道德及规范提供针对协会会员或信息系统审计认证(CISA)持有者有关职业上及个人的指导规范。
信息系统的控制目标——信息系统审计与控制协会在1996年公布的COBIT(ControlObjectivesforInformationandrelatedTechnology)被国际上公认是最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第三版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。面向业务是COBIT的主题。它不仅设计用于用户和审计师,而且更重要的是可用于全面指导管理者与业务过程的所有者。商业实践中越来越多的包含了对业务过程所有者的全面授权,因此他们承担着业务过程所有方面的全部责任。特别的是,这其中包含着要提供足够的控制。Cobit框架为业务过程所有者提供了一个工具,以方便他们承担责任。其框架包括四大部分:架构、控制目标、审计指南及执行概要。COBIT架构着重各项处理的高层次控制,控制目标则着重于各项IT处理或对该架构所包括的34项IT处理的特定详细控制目标,每一项IT处理都有5至25个详细控制目标,控制目标使整体架构和详细控制目标密切对应,相互一致。详细控制目标有18种主要来源,涵盖现行的及法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的控制程序拟达到的预期结果或目标的叙述,以提供全球所有的产业有关IT控制的明确方针及实际最佳的应用。
其他法律及规定。每个组织不论规模大小或属于何种产业,都需要遵守政府或外部对与电脑系统运作、控制,及电脑、程序、信息的使用情况等有关的规定或要求,对于一向受严格管制的行业,尤其要注意遵守。以国际性银行为例,若因不良备份及复原程序而无法提供适当的服务水准,其公司及员工将受严重处罚。此外,由于对EDP及信息系统的依赖性加重,许多国家极力建立更多有关信息系统审计的规定。这些规定内容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员必须考虑与组织目标、计划及与信息服务部门/职能/工作的责任及工作等有关的外部规定或要求。
信息系统审计流程
开始审计工作的准备包括收集背景信息,估计完成审计需要的资源和技巧。包括合理进行人员分工。与负责的高级经理举行一次正式的开始审计会议,最后决定范围,理解特别关注之处,如果有的话,制定日程,解释审计方法。这样的会议有高级经理的参与,使人们互相认识,阐明问题强调商业关注点,使得审计工作得以顺利进行。类似的,在审计完成后,也召开一次正式会议,向高级经理交流审计结果,提出改进建议。这将确保进一步的理解,增加审计建议的接纳程度。也给了被审计者一个机会来表达他们对提出问题的观点。会议之后书写报告,可以大大增加审计的效果。
开始审计工作预备工作了解内部控制结构评价控制风险是否信赖内部控制?是否仍可信赖内部控制?内部控制测试评价控制风险是否提高内部控制的信赖程度?扩大实质性测试有限的实质性测试形成审计意见出具审计报告是否是是否结束否
基于风险的审计方法
很多组织意识到技术能带来的潜在好处。然而,成功的组织还能够理解和管理好与采用新技术相关的很多风险。因此,审计从基于控制(ControlBased)演变为基于风险(RiskBased)的方法,其内涵包括企业风险、确定风险、风险评估、风险管理、风险沟通。
每个组织使用许多信息系统。对不同功能和活动有不同的应用软件,在不同的地理区域可能有众多的计算机配置。审计者面临的问题是审计什么,什么时候及审计频率。其答案是接纳基于风险的方法。信息系统有着与生俱来的风险,这些风险用不同方式冲击信息系统。对繁忙的零售超市,信息系统哪怕一个小时的不可用都会对营业系统造成严重影响。未授权的修改可能造成对在线银行系统的欺诈及潜在损失。系统运行的技术环境也可能影响系统的运行风险。
基于风险方法来进行审计的步骤是:
编制组织使用的信息系统清单并对其进行分类。
决定哪些系统影响关键功能和资产。
评估哪些风险影响这些系统及对商业运做的冲击。
在上述评估的基础上对系统分级,决定审计优先值,资源,进度和频率。审计者可以制定审计计划,罗列出一年之中要进行的审计项目。
信息系统监理与信息系统审计之对比分析
从前面两部分的介绍可知,信息系统审计在国际上已经体系化、标准化、程序化,而 我国信息系统监理仅有最基本的轮廓,积累了一些经验,但尚没有形成完整的方法论。因此,目前只能从概念、发展动因等方面做较为宽泛的对比。不过,对比国际通用体系,可为我国发展信息系统监管体系以及制定相应的管理制度或实施细则提供借鉴。
信息系统监理与信息系统审计之对比,可归纳出以下特点:
两者性质相同,都是第三方监督,但对独立性的要求有差别。
两者都是立足在第三方的立场,公平对待委托方与被监督方,并要求确保公正性、公平性,以《北京市信息系统工程监理管理办法》为例,其第十四条是“信息系统工程监理单位应当客观、公平、公正地执行监理任务”,但是对这一行业赖以存在并得以发展的信条和灵魂——独立性没做明确要求。而信息系统审计对第三方的超然独立要求极其严格,也因此在保证客观、公正上更有可操作性。
客观公正应当是每个信息系统审计师和监理工程师职业道德方面追求的最高目标,但是人们很难衡量其在执行业务时是否已经达到了客观公正,如果只作精神上的要求,那么准则和要求将变成牧师的布道,职业人员很难执行,社会公众很难观察,所以信息系统审计准则中有关于审计师独立性的要求。有关独立性问题的系统研究当首推罗伯特.K.莫茨(R.K.Mautz)和侯赛因.A.夏拉夫(H.A.sharaf)1961年出版的《审计哲学》(ThephilosophyofAuditing)。其中对独立性的讨论包含了两个方面:执业者的独立性(Practitionerindependence)和职业的独立性(Professionindependence)。前者包括审计计划的独立性、审计过程的独立性和审计报告的独立性;后者则是指社会公众对注册会计师行业的一种印象。曾任美国注册会计师协会职业道德委员会主席的托马斯.G.希金斯(ThomasGHiggins)在1962年对独立性的概念又进行了进一步的提升与概括,他认为:“注册会计师必须拥有的独立性,实际上有两种,实质上的独立性和形式上的独立性”。所谓形式上的独立性,是指注册会计师必须与被审查企业或个人没有任何特殊的利益关系,如不得拥有被审查企业股权或担任其高级职务,不能是企业的主要贷款人、资产受托人或与管理当局有亲属关系,等等。否则,就会影响注册会计师公正地执行业务。形式上的独立性又可进一步分为组织上的独立性、经济上的独立性与人员上的独立性三种。所谓实质上的独立性,又称为精神独立性,即认为独立性是一种精神状态、一种自信心以及在判断时不依赖和屈从于外界的压力和影响。它要求注册会计师在执业过程中严格保持超然性,不能主观袒护任何一方当事人,尤其不应使自己的结论依附或屈从于持反对意见利益集团或人士的影响和压力。由上可知,实质上的独立性是无形的,通常是难以观察和度量的,而形式上的独立性则是有形的和可以观察的。社会公众通常是透过注册会计师形式上的独立性来推测其实质上的独立性。因此,从这个意义上来说,形式上的独立性是实质上的独立性的载体和重要前提。由此可见,形式上独立很重要,因为它很好界定,便于准则规范,在现实环境中有很好的可执行性。因此我们认为,信息系统监理行业如果不能在独立性的制度建设上取得重大突破,整个行业的社会信任度大打折扣,而诚信和道德水准的提升对制度缺陷的修正也会很难在实质上取得成效。信息系统监理行业发展中所面临的各种问题都很重要,但围绕信息系统监理职业独立性的建设可能是各项工作中的重中之重。(本文对注册会计师的讨论同样适用于信息系统审计师)。
国外信息系统审计已经发展为较完善的行业监督体系。
目前国内信息系统审计刚刚起步,而信息工程监理还不够规范。国家缺乏相应的法律、法规和标准,至今还没有有效的管理手段,在委托方和被委托方之间也没有一种协调的机制来建立两者之间的信任。并且我国行业不规范的责任往往被轻易地归咎于政府监管的不力;同样轻易得到的结论,是因此要“加强监管机构的权力和范围”。美国的会计行业规范不是这么一种逻辑。在规范行业行为中,政府监管是一个重要的辅助措施;而真正起决定性作用的,是市场中的制衡力量,以及为这些制衡力量切实发挥作用而形成的各种正式 或非正式的制度安排。
美国注册会计师行业的管理机制——行业自我管理和外部约束向结合发挥了重要作用。行业自我管理是通过行业组织、准则和规则、监督来实现的,行业外部约束通过政府组织、准则和规则、监督和实施来实现。如美国国会和SEC监管下的行业自律。外部监管以加强管制的可能性来对行业施加约束。而较强的行政管制,将在很大程度上限制会计行业自主发展的权利和业务拓展空间,损害所有从业者的利益,因此行业总体上需要以行业自律来换取行业自我管制。如果行业不能自律,公众要求国会加强行政管制的压力使得这种可能性现实存在。
两者业务范围和目的均有所差别。
信息系统工程监理和信息系统审计都是对质量控制的再控制,但两者业务范围和目的均有所差别。
1、两者业务范围差别
信息系统工程监理是指具有信息系统工程监理资质的单位,接受建设单位的委托,依据国家和本市有关规定、信息系统工程建设标准和工程承建、监理合同,对信息系统工程的质量、进度和投资方面实施监督。目前主要应用在信息化工程建设阶段。
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。其业务范围包括与信息系统有关的所有领域,例如信息系统安全审计、网誉审计、PKI/CA审计、电子签名审计业务等。
2、两者目的差别
信息系统工程监理的目的是保证工程建设质量、进度和投资额满足建设要求。监理活动随着工程的完成而结束。信息系统审计的目的是合理保证信息系统能够保护资产的安全、数据的完整、系统有效地实现组织目标并有效率的利用组织资源,其核心是信息系统的效率、效果。不仅包括对建设过程的审计,更重要的是对信息系统的运营审计,向公众出具审计报告,鉴证信息系统能否保护企业资产安全,其产生、传递的信息是否完整,整个系统是否有效地实现组织目标并有效率的利用组织资源。只要信息系统在运行,审计活动一直存在。
另外,信息系统工程监理的过程是可见的,即对项目成本、进度和质量与目标出现的偏差是可见的,及时纠正也方便。但信息系统审计对信息系统的安全性、可靠性与有效性的认定具有不可见性,这也正是信息系统比工程项目复杂的主要原因。信息系统建设完毕,这仅仅是信息化的开始,大量的问题将出现在信息系统运维阶段,因此,从这个角度而言,信息系统审计是保证信息系统质量的行之有效的方法。
信息系统审计与方法研究具有科学化、规范化、智能化和系统化的特点。
所谓科学化,是指现代审计技术与方法的研究,已经超越了传统的经验论,非常强调把科学手段和经验总结相结合。比较典型的例子就是分析性复核技术的发展。所谓分析性复核,其实质就是将审计人员掌握的一些客观规律总结出来,测算出被审计事项的合理预期值,再与被审计事项的实际值相比较,进一步评估差异的合理性之后,确定是否还需要对被审计事项进行详细测试。这一个过程,实际上被许多审计人员不自觉地运用了多年,但通过公式和比率等形式总结出来,主动指导审计人员的实践,却是最近20年来审计技术与方法研究的一大突出特点。科学化的另一个表现就是数学和统计学技术在审计中的运用日益广泛,抽样统计技术的全面推广就是例证。
所谓规范化,是指审计机构将审计程序设计与审计技术方法的运用有机结合,规范和引导审计人员运用适当的审计技术和方法。以往,审计人员在运用审计技术和方法的过程中容易有较大的随意性,用与不用,在什么时候用,如何使用,都没有规范和约束,导致整个审计机构的标准不统一,质量没有保证。随着程序导向式审计软件平台的开发和广泛运用,越来越多的审计机构开始把审计技术与方法融入到规范的审计程序之中,要求并指导审计人员合理运用审计技术。
所谓智能化,强调的就是将历史经验总结、科学规律推导和审计人员的专业判断结合起来,指导审计人员得出合理的审计结论。在审计过程中,数学、统计学的分析结果,都不能完全替代审计人员的专业判断,因为在其利用的数学公式中,仍然有许多变量需要审计人员主观确定。在这种情况下,越来越多的审计机构,倾向于在审计软件中为审计人员的决策提供参考。目前,许多审计机构不惜花巨资,邀请审计领域的专家,分析在各种情况下常见的审计策略或方法以及对不同审计结果的判断标准。当然,对审计而言,智能化永远都是一个相对的概念,电脑和机器永远不能替代审计人员的决策,但提供决策辅助和参考意见,确实非常必要。
所谓系统化,是指审计战略(策略)和审计技术方法的全面协调。审计战略(策略)解决的是要审什么、想达到什么目的,审计技术和方法解决的是怎么审和怎么达到目的,这两者的协调是审计技术与方法的研究成果得以全面运用的关键。回顾最近20多年来审计技术与方法的研究历程,可以清晰地发现,审计技术的研究和运用完全是在风险基础审计理论指导下的开拓和发展,而脱离理论指导的实践经验总结相对越来越少。这一点给我们的启示在于,审计技术与方法的研究,不能超越基本审计理论和审计目标的研究,也不能脱离审计战略和审计目标的总体要求。
信息系统审计具有较完善的职业教育和认证体系。
国际信息
系
统
审
计
与
控
制
协
会
ISACA(InformationSystemAuditandControlAssociation)是唯一有权授予国际信息系统审计师资格的跨国界、跨行业专业机构,该协会成立于1969年,总部在美国的芝加哥。目前在世界上100多个国家设有160多个分会,现有会员两万多人。注册信息系统审计师CISA(CertifiedInformationSystemAuditor)资格由ISACA授予,是信息系统审计领域的唯一职业资格,受到全世界的广泛认可。由于信息技术的国际性,国际信息系统审计师资格在世界任何一个国家的使用都不会受到任何制约。自1978年以来,国际信息系统审计师CISA认证已经成为在信息系统审计、控制与安全专业领域中取得成绩的标准,并得到了全世界的公认。在世界各地,每年都要举行一次认证考试和若干次后续教育,目前在我国香港、台湾、北京、上海、广州、深圳设有考点。经过认证的信息系统审计师最擅长鉴别信息系统的有效性,最安全和最稳定的系统不一定是最有效的系统,而效率不高的系统就会消耗企业大量的资源,信息系统审计师的优势就是对财经管理和信息技术融会贯通,为企业信息系统的改造提供建议。
鉴于信息安全市场的高速增长,最近国际信息系统审计与控制协会又迅速推出了信息安全管理师认证CISM,以配合市场对安全人才的巨大需求。
对信息系统监理的建议
目前,我国的信息系统监理业巨大的发展空间吸引着越来越多的国际咨询公司和专业服务提供商抢滩我国市场。据不完全统计,目前在我国的海外咨询足有百余家。随着摩立特集团(我国)公司日前在北京成立,国际上最著名的咨询公司如麦肯锡、科尔尼、埃森哲、BCG、PWC、罗兰贝格、德勤等皆已在我国登陆,给国内的咨询包括监理机构带来了巨大的压力,其丰富的案例库、数据库、知识库,数十甚至百年创下的品牌,短时期内本土咨询业与其的差距依然较大。
面对机遇和挑战,如何借鉴国际上先进的经验,推动我国信息系统监理的健康发展,避免其他中介服务行业曾走过的弯路,我们在广泛的理论分析和实证研究的基础上提出如下具体建议:
建立健全的管理体制与法律法规体系,尽快形成统
一、规范、竞争、有序的信息系统工程监理服务市场。
各级信息化主管部门,在规范政府管理职能的同时(政府部门要避免管的过多、过细,应过多关注整个监理市场的宏观管理和调控),注重加强行业自律管理,避免其他中介服务行业曾出现过的多种问题。例如,个别人凭借权利强行包揽监理业务,采取高回扣等不正当手段,以及为独揽业务,不惜损害其他方和当事人的权益等。
鉴于信息系统工程监理具有专业性强和风险大的特点,建议把执业队伍的业务素质和职业道德素质的提高作为一项重要工作常抓不懈,使信息系统工程监理工程师真正成为国民经济和社会信息化的“警察”。
尽快建立信息系统工程监理的标准和执业规范。
推动信息系统工程监理工业的分化整合,探索信息系统工程监理公司扩大规模的方式和途径。在我国加入WTO的新形势下,面对国际IT服务咨询业巨头的竞争,我国信息系统工程监理行业刚起步,监理公司如何脱颖而出、迅速成长,参与国内甚至国际信息系统中介服务市场的竞争,将是重中之重的工作。
开展信息系统工程监理公司内部管理机制研究。努力提高信息系统工程监理行业的监理质量。
执业程序要统一。“四大”发展到今天这样的规模,执业程序的统一是其基石。这些程序历经多年的经验积累而形成,并针对新出现的问题随时加以完善。从某种意义上将,客户对“四大”的统一的执业程序的认同,超过了对其名称品牌的认同。
培训统一。为保证执业程序的统一,首先要做到培训统一。信息系统监理工程师在开始执业前要经过严格的培训,定期培训当然更不可少。建议信息系统监理公司设立专门的培训部门,并将每年收入相当大的比重用于培训。另外,严格、规范的培训也是监理公司能够吸引众多高素质从业人员的一个重要因素。
人事管理在一定范围内统一。建议将监理工程师的级别进行细分,并且不要出现一个地方的人员比另外一个地方同一级别的人员水平明显高的情况。这种管理方式,对于监理机构来说非常重要。
总之,我国信息系统监理事业发展几年来,虽然取得了一定成绩,但在思想认识、理论研究、管理体制、法规建设及实际操作中仍存在诸多问题,监理企业面临前所未有的严峻挑战。但是机遇与挑战同在,我国本土的咨询和监理企业最了解我国的国情环境。我们要充分利用这一优势,发挥自身的能动力量,积极参与竞争,加强与国际同行的合作交流,借鉴国际咨询机构和专业服务提供商的经验、知识、规则乃至在实施过程中的具体方法,把我国的信息系统监理事业做稳、做实、做大,做出我国的监理和咨询品牌。
第三篇:我在信息系统审计行业的试用期工作总结
我在信息系统审计行业的试用期工作总结 北京时代新威信息技术有限公司 技术部 王生 关键词:信息系统审计、农商银行、网络信息安全、银行审计、信息安全、审计师 摘要:本文主要讲述我在北京时代新威信息技术有限公司试用期的工作总结,经过这段时间的学习,获益匪浅,成长很多,不仅学到了很多信息系统审计的专业知识,还感受到领导给予的关怀,同事们积极乐观的态度。 时光飞逝,转眼间我的工作试用期已接近尾声。这是我人生中弥足珍贵的经历,也给我留下了精彩而美好的回忆。在这段时间里大家给予了我足够的宽容、支持、鼓励和帮助,让我充分感受到了领导们坚定的信念,和同事们积极乐观的精神。在对大家肃然起敬的同时,也为我有机会成为公司正式员工而感到光荣和兴奋。 这两个月的时间里,在领导和同事们的悉心关怀和指导下,通
一、工作情况 工作情况分为项目方面还有学习方面,通过项目实践自己的知识点,通过自主学习梳理自己项目工作点。
北京时代新威信息技术有限公司 技术部 XX
1 时光飞逝,转眼间我的工作试用期已接近尾声。这是我人生中弥足珍贵的经历,也给我留下了精彩而美好的回忆。在这段时间里大家给予了我足够的宽容、支持、鼓励和帮助,让我充分感受到了领导们坚定的信念,和同事们积极乐观的精神。在对大家肃然起敬的同时,也为我有机会成为公司正式员工而感到光荣和兴奋。
这两个月的时间里,在领导和同事们的悉心关怀和指导下,通过自身的不懈努力,各方面均取得了一定的进步。
一、工作情况
工作情况分为项目方面还有学习方面,通过项目实践自己的知识点,通过自主学习梳理自己项目工作点。
(一)项目方面
1.XX农商银行信息科技全面审计项目
XX农商银行相对大城市总行的要求肯定有很大差距,但是这也是我第一次去做审计这个工作。虽然时间短暂,但他让我对《信息安全等级保护管理办法》、《商业银行信息科技风险管理指引》有了全新的认识。我按照审计流程从了解银行的业务情况开始,确认审计目标,到建立详细的审计流程,通过技术、问询等方式确定我们要审计的问题,编写审计底稿,与管理部门讨论审计发现的问题并确认,最终编写审计报告。这些工作完成之后感觉自己有了很大的提升。
2 2.XX集团信息安全规划项目
XX集团的项目我是在收尾阶段才过来的,并没有想象的枯燥乏味,因为情况很像我在中科院的时候,安全人员缺乏、领导不支持,两大致命问题都在此出现了。但是来了发现这里有太多的工作要做,等保检查符合率的汇总,编写诊断报告,梳理交付物的文档,都是些很用心的工作。而且这里不仅有常见的信息系统,而且还有工控系统,工控系统是我第一次听说,面临的问题更加严重,而且工控系统的设备很难国产化,再加上安全方面的薄弱,工控系统完全是暴露在外的。
在项目过程中,还能经常与XX集团的人员一同拜访一些有权威的单位,比如公安部三所,甚至是百度方面的技术交流,这些都是以前很难接触到的,在管理咨询方面也是有了极大的提高。
个人感觉文档方面的提升非常大,因为央企、机关单位对文字的要求是十分苛刻的,而且对文字的表达也是需要反复揣摩的,不像以前的工作写的文档都是给技术方面的领导去看,他们对文字的要求并不太高,但是从规划报告、诊断报告这些都是要给高层领导去看,这些报告的语言必须非常准确,甚至超过了审计报告的程度。
(二)学习方面
自从从事了信息系统审计行业,每天都需要不断的充实自己,才能在工作中立足。
在工作之余不仅要对各个标准有所了解,比如ISO27000、等保要求、商业银行风险管理指引等。
技术方面也要有一定程度的熟悉,物理、网络、主机、应用、数
3 据等方面都需要下功夫去了解,去学习。
个人计划今年要考取CISSP,增加自己的知识储备,强化自己的专业能力。
二、个人感悟
(一)对岗位的感悟
信息系统审计师是一个全面的岗位,要具备职业审慎原则、专业的技能知识、良好的语言组织能力、扎实的文字功底等。 1.职业审慎原则
CISA中明确要求了信息系统审计师应具备职业审慎原则,意味着审计师做事之前一定要有所计划,不能盲目执行工作,盲目下结论,所有的结论都需要有大量的审计证据支撑。这在做审计项目时我已有所体会,判断出来的问题都要结合银行的行规、等保要求、银行风险管理指引综合之后做决定是否为风险问题。职业审慎原则不仅代表了审计师的审计能力,也决定了审计团队的专业能力。 2.专业的技能知识
专业技能决定一切。在我看来,作为审计师虽然不用对信息系统每一个点钻研到极致,但至少要能达到别人不敢蒙你的程度。审计师就是裁判员,如果连比赛规则都不清楚的话,那这无疑是毁灭性的。所以,必须充实专业技能知识,确保各方面都能技高一筹,才能审计出问题。
4 3.良好的语言组织能力
在XX农商银行的审计工作时,银行的董事长问我们为什么要去审计,我听老员工的陈述表达,顿时觉得这个非常重要,如果语言组织能力匮乏,对于银行懂事长的第一印象将会是失败的,这将会对后续的审计造成巨大的麻烦。面对面交流中眼神、心态都必须自如,顶得住各方的为难,就如同诸葛亮舌战群臣一样,语言陈述准确,理论依据充足,这将会提高审计流畅度,降低审计难度,最终实现审计成果。
4.扎实的文字功底
审计方面的审计底稿,审计报告,咨询方面的风险评估报告,规划报告,这些对于文字功底的要求很高,不仅看的对象是不一样的,而且报告具有权威性,文字把控孱弱,报告架构混乱,语言表达模糊,这样的报告谁看了都会表示质疑,并且影响到审计团队,影响到公司。这个在XX集团我已经体会到了,可以想象一屋子人研究一个词的用法究竟合不合适,对领导会有什么影响的严重情况。
(二)对公司的感悟
执事以尽心为有功。这是公司的企业文化,作为审计,作为咨询,对于事情的尽心而为是最重要的,尤其是在目前中国的大环境下,缺乏信仰,道德缺失,任何事情都想一步到位,造成了如今混乱的局面,能够踏实下来做事的公司更少,审计这个行业如果也是这样的话,那就彻底崩塌了。
5 公司能有这样的企业文化,说明公司上下都在朝一个方向奋进,不仅增加了团队凝聚力,对于企业发展也起着承上启下的作用。
三、存在的不足
1.紧急情况的应变能力稍差
在XX集团出差期间,由于在计划之前没有把紧急变更作为考虑范畴之内,造成在行程方面来回变动对公司同事造成了不小的影响。以后会在计划中考虑到变动,并提前做好应急准备。未来工作中凡是遇到出差的情况,在最后我都会写一个出差的行程情况以及花费情况,方便后勤部门工作。 2.知识面不够广泛
由于现在还比较年轻,即便已经学习了CISA、2700
1、CISSP,但是发现还是与别人存在专业技能上的差距。还需要我不断的去提高自身的知识储备,了解更多有关信息安全方面的每个领域。
四、对公司的建议 1.技能培训
公司的领导无论在信息安全管理方面还有技术方面都非常的强,但是全都在项目上,我们这些初出茅庐的学生根本无法得到良好的技能培训。我希望技术部门各方面的行家能够定期相互分享一下项目上的工作展示,一些技能知识的培训,相互学习,要不永远都是在自学
6 的状态。 2.行业活动
目前中国非常重视网络信息安全,经常会举办一些相关的大型会议,还有一些像我们审计行业的专业会议,其中都会分享一些专业知识,行业经验等。我在中科院的时候就有机会去参加,咱们又是信息安全方面的一些承办单位,希望能够让我们这些技术人员在项目工作不紧张的情况下能够有机会参加一些大型会议,开拓视野,增长技能。
关键词:农商银行、网络信息安全、银行审计、信息安全、审计师
7
第四篇:信息系统审计
1、 信息系统审计的概念,内容,流程?
答:(1)概念信息系统审计是指根据公认的标准和指导规范,对信息系统从规划、实施到运行维护各个环节进行审查评价,对信息系统及其业务的完整性、有效性、效率性、安全性等进行监测、评估和控制的过程,以确定预定的业务目标得以实现,斌提出一系列改进建议的管理活动。
(2)内容:主要包括内部控制系统审计、系统开发审计、应用程序审计、数据文件审计等。a.内部控制系统审计。信息系统的内部控制系统由两个子系统构成:一是一般控制系统,它是系统运行环境方面的控制,为应用程序的正常运行提供外围保障。另一子系统是应用控制系统,它是针对具体的应用系统和程序而设置的各种控制措施。
b.系统开发审计。是指对信息系统开发过程所进行的审计,这是一种事前审计。
c.应用程序审计。其决定了数据处理的合规性、正确性。对应用程序的审计,可以对程序直接进行审查,也可以通过数据在程序上的运行进行间接测试。
d.数据文件审计。在信息系统中,各种凭证、账簿及报表中的数据均以数据文件的形式存储在硬盘或软盘等存储介质中,对数据文件进行审计,可以将该文件打印出来进行检查,也可以在计算机内直接进行审查。
(3)流程:主要的分为准备阶段、实施阶段、终结阶段。
a.准备阶段:
1、明确审计任务。
2、组成信息系统审计小组。
3、了解被审计系统的基本情况。
4、制定信息系统审计方案;
b.实施方案:
1、对被审计系统的内部控制制度进行健全性调查和符合性测试。
2、对帐表单证或数据文件的实质性审查;
c.终结阶段:
1、整理归纳审计资料。
2、撰写审计报告。
3、发出审计结论和决定。
4、审计资料的归档和管理。
2、 常见的IT治理标准有哪些,各自的作用是什么?
答:常见的IT治理标准有ITIL,COBIT,BS 7799,PRINCE2。
(1)ITIL(Information Technology Infrastructure Library),即信息技术基础构架库,一套被广泛承认的用于有效IT服务管理的时间准则。1980年以来,英国政府商务办公室为解决“IT服务质量不佳”的问题,逐步提出和完善了一整套对IT服务的质量进行评估的方法体系。
(2)COBIT,(Control Objectives for Information and related Technology):信息和相关技术的控制目标。它是由信息系统审计与控制协会,于1996年推出的用于IT审计的知识体系。作为IT治理的核心模型,其包括34个信息技术过程控制,并归集为IT规划和组织、系统获得和实施、交付与支持以及信息系统运行性能监控4个领域。目前COBIT是国际上公认的IT管理与控制标准。
(3)BS 7799(ISO/IEC17799):国际信息安全管理标准体系。该标准包括信息系统安全管理和安全认证两大部分,是参照英国国家标准BS 7799而来的。它是一个详细的安全标准,包括安全内容的所有准则,由10个独立的部分组成,每一节都覆盖了不同的主题和区域。该体系主要解决企业的信息安全管理上的问题,为企业提供了一个完整的管理框架,不断改进信息安全管理水平,使机构或企业的信息安全以最小代价达到需要的水准。
(4)PRINCE2(Projects In Controlled Environments)是一种对项目管理的某些特定方面提供支持的方法。PRINCE2描述了一个项目如何被切分成一些可供管理的阶段,以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。PRINCE2的视野并不仅仅限于对具体项目的管理,还覆盖了在组织范围对项目的管理。
3、 常见的信息系统开发方法,对其中的一到两种展开说明?
答:常见的信息系统开发方法有软件开发生命周期法、原型法、面向对象法、计算机辅助开发方法、基于组件的开发方法、基于Web应用开发方法。以下对软件开发生命周期法进行
说明。
软件开发生命周期法(Software Development Life Cycle,SDLC)是系统分析员和系统开发者常用的软件开发方法。软件开发生命周期法能够生产高质量的软件,满足业务和用户的需求,在开发进度和成本控制下进行软件开发生产,是一种有效保证成本,提高效益的软件开发方法。通过应用传统的SDLC方法,已经成功开发出了大量的业务应用系统。其各个阶段及其基本内容如下:
1、 第一阶段——可行性研究。确定实施系统在提高生产效率或未来降低成本方面的战略利
益,确定和量化新系统可以节约的成本,评价新系统的成本回收期。
2、 第二阶段——需求定义。一是定义需要解决的问题,二是定义所需的解决方案及方案应
当具有的功能和质量要求。该阶段还要确定是采用定制开发的方法还是供应商提供的软件包。
3、 第三阶段A——系统设计(当决定自行开发软件时)。以需求定义为基础,建立一个系
统基线和子系统的规格说明,以描述系统功能如何实现,各个部分之间接口如何定义,系统如何使用已选择的硬件、软件和网络设施等。
4、 第三阶段B——系统获取(当决定购买现成软件包时)。以需求定义为基础,向软件供
应商发出请求建议书(RFP)。商品软件的选择要从多方面进行考虑。
5、 第四阶段A——系统开发(当决定自行开发软件时)。使用系统设计说明书来设计编程
和实现系统过程。在这个阶段,要进行各个层次的测试,以验证和确认开发的系统。
6、 第四阶段B——系统配置(当决定购买现成软件包时)。如果决定选用商品化的软件包
时,需要按照企业的需求进行系统客户化工作,对系统进行剪裁。这种剪裁最好是通过配置系统参数来实现,而不是通过修改程序源代码。
7、 第五阶段——系统实施。这个阶段是在最终用户验收测试完成、用户签署正式文件后进
行。系统还需要通过一些认证和鉴定过程,来评价应用系统的有效性。
8、 第六阶段——实施后维护。随着一个新系统或彻底修改的系统的成功实施,应当建立正
式的程序来评估系统的充分性和评价成本效益或投资回报。这样可为后续的系统开发项目管理提供改进意见。
当一个项目的需求稳定、定义准确时,生命周期法使用起来最有效,改方法适用于在开发工作的早期建立总体的系统构架。
4、IT服务管理的定义,包括哪些内容?
答:(1)IT服务管理(IT Service Management,ITSM)有以下两种使用比较广泛的定义:
1、 IT服务管理是一种以流程为导向、以客户为中心的方法。它通过整合IT服务于企业业
务,提高了企业的IT服务提供和服务支持的能力和水平。
2、 IT服务管理是一套通过SLA(服务级别协议)来保证IT服务质量的协同流程。它融合
了系统管理、网络管理、系统开发管理等管理活动以及变更管理、资产管理、问题管理等许多流程理论和实践。
(2)ITIL主题框架包括6个主要模块,即服务管理、业务管理、ICT(信息与通信技术)基础设施管理、贯穿业务和IT基础设施的应用管理、IT服务管理实施规划和集中的安全管理。
08信息2班0804100229徐怡
第五篇:COBIT在工商银行信息系统审计工作中应用的探讨
作者:时间:2006-06-06
Hits: 1193
COBIT在工商银行信息系统审计工作中应用的探讨
在商业银行数据大集中的形势下,银行信息系统面临着两种威胁:一是利用计算机舞弊,二是灾难性破坏。计算机舞弊现象不仅存在于系统开发阶段,更容易发生在维护阶段。总行数据中心一旦发生灾难性破坏,受到影响的将是全行范围的所有分支机构和所有业务,经济%信誉和法律的损失将无法估量。为此,工商银行的行领导非常重视,除了进一步加强信息科技部门自身的内部控制和采取必要的措施之外, 还于2002年在内审部门成立了专职的IT 审计处, 重点对IT风险进行检查和控制,在IT审计方面做了一些有益的探索,取得了一些经验。
商业银行在应用COBIT的具体过程中,要注意以下几点:
1.从审计目的看,IT审计不仅包含对信息系统安全运行的状况提出评价, 规
避操作风险, 更应该使组织中的IT战略符合企业的战略目标, 规避由于信息技术发展给企业带来的战略风险。在这一方面,COBIT的审计范围几乎涵盖了所有与IT相关的活动。而其他几个国际标准则各有不同,BS7799 侧重于与信息系统安全相关的活动,COSO 则侧重于企业自身内部控制,ITIL则是着重IT系统的交付和支持。更为重要的是,COBIT就如何进行IT审计,给出了详尽的指导性建议。就其适用的对象而言, 只有COBIT的适用用户包含审计师,是从审计人员的角度来全面阐述了如何对企业面临的IT战略风险和操作运行风险进行审计和规避。因此,应该按照COBIT要求的控制目标,尽早对银行相关的IT过程进行审计。 2.在应用COBIT标准时,应以COBIT为主,还要参照其他国际标准。COBIT
作为一个IT治理的通用标准和信息系统审计的框架体系,与其他的国际IT标准并不冲突。审计师在以COBIT作为主要参照标准的同时,针对信息系统审计的不同方面,可以借鉴不同的国际标准。如在对商业银行数据中心安全方面进行审计时, 可以参照BS7799中的相应内容, 也可以参照SSE—CMM的标准来进行; 在涉及信息系统的交付和支持时,则可以采用
ITIL 中的内容来对数据中心的相关活动进行评价和审计;在对数据中心内控机制的建设情况进行评价时,就可参照COSO中的相应条款来比照评估。
3.对COBIT标准的采用,应结合商业银行自身的实际情况有选择地实施。
COBIT作为一个国际标准,比较强调其通用性,而对企业的具体情况有所忽视。在具体运用过程中,可依据自身特点,结合信息系统生命周期各个阶段的不同特点,有选择分阶段地来实施COBIT中所要求的内容。
4.在运用COBIT实施IT审计时,可从COBIT有关过程中的控制目标入手,
进行风险分析, 得出与该过程相关的风险控制目标,再从风险控制目标中导出与该目标相关的风险控制点。针对每个风险控制点,结合商业银行自身的技术特色,找出其所包含的风险检查点,风险检查点又可以组成对相关部分的检查表。针对检查的结果,与COBIT相关部分中的要求相比照,找出相关的薄弱点,并就此提出相应的改进意见。风险控制目标和风险检查点之间的推导方式主要有两种,一种是自下而上,即从具体的管理过程或技术实施措施入手,从中得出相应的风险控制点,对相应的风险控制点进行提炼,最后得到风险控制目标; 一种是自上而下,从风险控制目标出发,将其进行分解,得到相应的风险控制点并对其进行细分,直到能够直接得出检查点为止。最后将得到的风险控制目标与COBIT相关过程的控制目标相比较,以确保整个信息系统审计目标的完整性。
七、我国商业银行IT审计发展的几点思考
商业银行IT 审计应审时度势, 紧密联系经营的新形势、新特点, 遵循先进的国际审计标准, 突出技术特色和风险导向, 大力开展非现场IT 审计。
1. 紧密围绕银行的经营需求, 推动银行的公司治理及IT 治理。目前金融市场的竞争进一步加剧, 需要进行全面的风险管理, 对内部控制和内部治理也应进行彻底性的变革。IT 审计在这场变革中, 要把握方向, 加快体系建设, 提高审计层次, 促进IT 治理, 推动公司治理。因此,一方面,商业银行要切实落实《金融机构计算机安全保护工作暂行规定》要求,合理安排基础设施和安全防范措施。要充分重视IT内部审计的作用,发挥审计对安全管理的内控作用,在引入IT 审计后,加快完善公司治理机制,并保证内审的独立性。成立信息系统
风险控制委员会,定期对信息系统风险管理情况进行研究,推进IT审计中的故障发现、评估和风险控制措施的落实,督促指导IT 审计组的工作。另一方面,监管部门应加强对金融企业的IT 审计的监管,将IT 安全作为监管的重要内容,将IT 审计作为评价其安全性的重要因素,通过现场及非现场检查对商业银行等金融企业进行督促。同时,国家审计在金融计算机审计方面发展迅速,电子数据的采集分析等方面已有相当高的水平,但在对针对金融企业信息技术本身的审计方面,还应予以加强。
2. 建立商业银行IT 审计规划。恰当的IT 审计方案与规划是IT 审计工作的核心基础,是保证审计目标实现,以及达到相关审计效果的关键。商业银行在引入IT 审计后,应对全系统信息系统建设设计整体的专业审计规划,制定年度工作目标及三年、五年风险控制目标,并与信息化建设发展相适应,形成IT 审计标准方案和计划。商业银行IT 审计方案与计划应包括:商业银行的信息系统现状分析、商业银行的内部控制现状初步评价、IT 审计的性质与范围、审计工作的组织安排、审计风险评估、审计费用与成本、实施时间计划、IT 审计方法、审计协调与沟通机制等。IT 审计实施的过程要求对审计计划确定的范围、要点、步骤、方法等内容,进行取证、测试与评价,最终形成IT 审计报告。
3. 遵循国际通行准则, 建立国际标准框架下具有各行特色的标准和规范体系。从国际同业的实践看, 国际大型商业银行大多都在自己的IT 审计体系下, 遵循国际标准或规范, 按照国际通行的做法, 结合实际情况, 确立自己的IT 审计标准和规范。因而, 我国商业银行也可应把目前国际上公认的最先进、最权威的IT 审计标准———COBIT 作为核心标准, 同时借鉴《巴塞尔协议》、BS779
9、COSO (Committee of Sponsoring Organizations of the Treadway Commision)、《萨班斯—奥克斯利法案》等其他国际标准和原则, 进而确立适合各行的IT 审计目标、对象、范围、方法、流程等, 具体指导IT 审计工作。同时,应进一步明确IT 审计的技术角色,突出IT 审计的技术特色,根据商业银行信息系统的技术架构和特点,结合审计资源条件,确立IT 审计对应的技术角色架构。可以考虑将IT 审计的技术角色划分为应用、系统、网络及硬件三个大类。不同的技术角色分别负责信息系统生命周期中不同阶段的不同技术领域的控
制、分析和评价,确立控制风险分布和控制重点,建立相应的风险评估指标,制定有效的控制检查表和检查点,提高商业银行IT 审计的专业化水平。
4.建立合理的IT 审计管理模式。现阶段,商业银行开展IT 审计应将现场审计与非现场审计有效结合,并利用好不同审计模式下取得的成果,形成互补。通过考察国际银行业界的IT 审计技术和手段,可以断定,借助先进技术实施非现场审计已是大势所趋。IT 审计可以通过采用灵活的、可配置的审计模型及数据分析探测工具,构筑起科学、有效的风险分析、监测、评价体系,进一步加强商业银行IT 审计的非现场审计,推动商业银行的审计信息化建设。但在审计开展过程中,要注意加强风险管理,规避IT 审计风险。在关注重要性的同时,要力求效益性,防止因审计不当导致银行新的风险发生。
5.加强注册信息系统审计师(Certified Information System Auditor,简称CISA)和IT 审计专业人才的培养。从当前商业银行审计人员素质来看,还不大适应IT 审计的要求。这主要归结于在IT 环境下商业银行内部审计人员工作发生的一系列重大变化,对内部审计人员素质要求进一步提高。首先,内部审计人员需要以内部控制专家的身份参与开发小组并监督计算机信息系统开发过程中的各项活动。其次,内部审计人员应及早参与到计算机系统的实施过程,提出宝贵意见和建议。因此,内部审计人员必须不断地注视信息技术的发展,掌握新方法与新技能,了解现代信息技术的用途及其对企业管理与信息处理的影响,使信息技术成为实施审计监督和加强控制的有力工具,并在现有的基础上掌握经营方面的重要知识和技能,以增强在经营领域的运作。目前虽然外包IT 内审的条件不成熟,但IT 业务外包是社会化分工的趋势,从长远来看,商业银行应增加IT技术尤其是通用技术的外包,将各系统行大批内部IT 开发人员适当转化为固定的IT 内部审计人员,从而进一步提高内审质量。
6. 进行IT 审计人员的技术角色划分, 突出IT 审计的技术特色。根据各商业银行自己的信息系统技术体系及IT 审计资源, 划分不同的IT 审计技术角色, 突出IT审计的技术特色, 提升IT 审计层次。首先应分析掌握信息系统的技术和管理架构的特点, 然后结合现有的审计资源, 根据一般控制、应用控制和信息安全审计的要求,确立IT 审计对应的技术角色架构。可以初步将技术角色划分
为三个大类, 即应用类技术角色、系统类技术角色、信息和网络安全类技术角色。不同角色审计人员负责对信息系统中不同技术领域进行审计, 建立各自的控 制风险分布和重点的模型, 并制定相应的风险评估指标, 确定有效的风险控制检查表和检查点。形成以三大技术分类为主线, 全面覆盖全行信息系统各个部门和信息系统发展生命周期全过程的IT 审计的技术体系。
7. 推行风险管理, 突出IT 审计的风险导向。现阶段, 在复杂的信息系统技术和管理环境下的IT 审计无疑是有一定审计风险的。因此, IT 审计更要重视风险管理, 规避审计风险, 在注重重要性的同时, 要讲究效益性, 这也是在今后相当长的时间里要充分重视的。
在目前商业银行的环境下, 信息系统的审计应该是以风险管理为基础, 按照重要性原则, 对信息系统进行的一般控制审计和应用控制审计,并且贯穿了信息系统生命周期的全过程。商业银行IT审计工作应该按照先进的国际标准的要求, 本着科学、独立、审慎的精神, 依据各商业银行的实际情况来进行,只有这样, 才能达到IT 审计真正目的。通过信息系统审计(IT 审计),及时识别风险,完善控制措施,是商业银行构建全面风险管理体系的现实需求.实施IT 审计有力于商业银行信息系统项目的风险控制。加强对商业银行业务运营风险的防范。促进商业银行业务流程再造BPR(Business Process Reengineering,)。总之,在银行系统开展信息系统审计工作,是银行控制风险的的重要手段,在新形势下,银行要健康发展,就要积极迎接挑战、应对不断出现的新风险,防患于未然,才能抓住网络经济时代给银行带来的新机遇, 迎来银行业的新发展。